This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Kompendium Kompetent aufbereitetes PC-Know-how für alle Die KOMPENDIEN aus dem Markt+Technik Verlag stehen seit mehr als 20 Jahren für anerkanntes Expertenwissen und bieten wertvolle Praxistipps in allen Fragen rund um den PC. Das Portfolio der Handbücher reicht von der übersichtlichen Vorstellung diverser Programmiersprachen bis hin zur umfangreichen Beschreibung kompletter Betriebssysteme: Mit mehr als 500 Titeln seit Bestehen der Reihe wurde nahezu jede Fragestellung der Computerpraxis abgedeckt. Ob als Lehrbuch für den ambitionierten Einsteiger oder Nachschlagewerk für den erfahrenen Anwender: Die übersichtlichen, klar strukturierten KOMPENDIEN helfen jedem schnell weiter und auch komplexe Sachverhalte werden mit praxisnahen Beispielen übersichtlich illustriert und verständlich gemacht. Ein detailliertes Inhaltsverzeichnis und ein umfangreicher Index ermöglichen dem Leser außerdem schnellen Zugriff auf die gesuchten Informationen. Technisch anspruchsvoll und präzise, dabei jedoch immer praxisbezogen und klar verständlich: Das sind die KOMPENDIEN, die mit mehr als 6 Millionen Lesern zu den erfolgreichsten Computerfachbüchern auf dem deutschsprachigen Markt gehören.
Exchange Server 2007 SP1und Outlook Messaging, Mails und mehr – für Profis THOMAS JOOS
Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Die Informationen in diesem Buch werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben, die in diesem Buch verwendet werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ®-Symbol in diesem Buch nicht verwendet. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.
Nachträgliche Installation des Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . Was muss beim Einsatz von Service Pack 1 für Exchange Server 2007 beachtet werden?
Einrichten und Verwalten der Zertifikatdienste unter Windows Server 2008 . . . Neuerungen der Active Directory-Zertifikatdienste in Windows Server 2008 . . . . . . . Installation einer Windows Server 2008-Zertifizierungsstelle . . . . . . . . . . . . . . . . Sichern von Active Directory-Zertifikatdiensten . . . . . . . . . . . . . . . . . . . . . . . . . Exchange Server 2007 SP1 mit einer Windows Server 2008-Zertifikatsstelle verwenden
Verwalten der Benutzereinstellungen für Unified Messaging . . . . . . . . . . . . . Aktivieren von Unified Messaging für Postfächer . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Unified-Messaging-Eigenschaften für ein Postfach . . . . . . . . . . . . .
649 649
10.6 10.6.1 10.6.2
Erstellen und Verwalten von Unified-Message-IP-Gateways . . . . . . . . . . . . . . Erstellen und Verwalten eines neuen Unified-Messaging-IP-Gateways . . . . . . . . . . Verwalten von Sammelanschlüssen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
652 653
10.7 10.7.1 10.7.2
Erstellen und Verwalten von automatischen UM-Telefonzentralen . . . . . . . . . Erstellen einer neuen automatischen Telefonzentrale . . . . . . . . . . . . . . . . . . . . . Verwalten einer automatischen Telefonzentrale . . . . . . . . . . . . . . . . . . . . . . . .
658 658
10.8 10.8.1 10.8.2
Voice-Mail mit Outlook 2007 und Outlook Web Access . . . . . . . . . . . . . . . . . . Voice-Mail in Outlook 2007 und Outlook Web Access verwenden . . . . . . . . . . . . . . Troubleshooting der Verbindung zum Exchange Server von Outlook 2007. . . . . . . . .
Speichergruppen für die Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . Informationen zu Speichergruppen für die Wiederherstellung . . . . . . . . . . . . . . . Wann ist der Einsatz einer Speichergruppe für die Wiederherstellung sinnvoll? . . . . . Anlegen, Verwalten und verwenden von Speichergruppen für die Wiederherstellung.
Delegierung von Administrationsaufgaben im Active Directory . . . . . . . . . . . . Szenario: Delegierung zum administrativen Verwalten einer Organisationseinheit . . .
In diesem Kapitel stelle ich die Neuerungen von Exchange Server mit SP1 vor. Der neue Server wurde von Microsoft im Vergleich zum Vorgänger extrem überarbeitet. In den folgenden Abschnitten gehe ich in aller Kürze auf die Neuerungen ein, die in den weiteren Kapiteln dieses Buches ausführlicher besprochen werden. Grundsätzlich möchte ich Ihnen auch die Internetseite http://msexchangeteam.com ans Herz legen, da hier die Exchange-Entwickler von Microsoft regelmäßig Informationen und Howto-Dokumente veröffentlichen.
7 8 9 Abbildung 1.1: Neue Installationsoberfläche in Exchange 2007
10 11 12 13 14 15
23
Index
1
Neuerungen und Einführung
64 Bit versus 32 Bit Eine der wichtigsten Verbesserungen ist die native 64-Bit-Unterstützung. Exchange Server 2003 kann zwar auch auf 64-Bit-Servern installiert werden, nutzt aber nur 32 Bit. Das ändert sich grundlegend bei Exchange Server 2007. Dieser kann nicht mehr auf 32-Bit-Servern installiert werden. Für Testzwecke stellt Microsoft zwar eine spezielle 32-Bit-Version zur Verfügung, rät aber von einem produktiven Einsatz dieser Version ab. Exchange 2007 sollte daher am besten auf einer 64-Bit-Variante von Windows Server 2003 R2 installiert werden. Bei 32-Bit-Systemen werden bei 4 GB RAM dem Betriebssystem 2 GB und den Serverapplikationen ebenfalls 2 GB RAM zugewiesen, was in der Praxis auf Exchange Servern zu erheblichen Problemen in der Performance und der Stabilität geführt hat. Durch die 64-Bit-Unterstützung von Exchange 2007 gehören diese Probleme der Vergangenheit an. Es besteht daher keine Limitierung von Postfächern auf Servern wie unter Exchange 2003, da der Arbeitsspeicher nicht ausreicht. Unter Exchange 2007 können größere Unternehmen deutlich mehr Postfächer auf einzelnen Exchange Servern betreiben, was die Gesamtzahl der Server und damit die Kosten weiter reduziert. Außerdem sind weniger Schreibzugriffe auf Festplatten notwendig, da Exchange 2007 deutlich mehr Funktionen in den Arbeitsspeicher auslagern kann, was die Performance und die Stabilität deutlich erhöht. Unterstützt werden alle 64-Bit-Prozessoren von AMD und Intel, aber keine Itanium(IA64)-Prozessoren. Exchange Server 2007 unterstützt durch die 64-Bit-Kompatibilität mehr als 4 GB Arbeitsspeicher.
TIPP
Um zu überprüfen, ob der Prozessor auf Ihrem Server 64 Bit unterstützt, können Sie das kostenlose Programm CPU-Z von der Internetseite www.cpuid.com herunterladen. Dieses Tool gibt ausführliche Informationen über die eingebauten CPUs eines Servers.
1.1
Rollenbasierte Installation
Exchange Server 2007 setzt als Basisbetriebssystem Windows Server 2003 mit installiertem Service Pack 1 (auch Service Pack 2) oder Windows Server 2003 R2 voraus. Die Installationsroutine wurde von Microsoft deutlich überarbeitet und bietet mehr Möglichkeiten als bei den Vorgängern. Die neue Installationsroutine überprüft effizienter, ob die notwendigen Installationsvoraussetzungen vorhanden sind, und gibt mehr und eindeutigere Hinweise aus, wenn die Installation nicht durchgeführt werden kann. Auch die Installation wurde angepasst, sie kann jetzt rollenbasiert erfolgen. Vor allem Unternehmen, die mehrere Exchange Server einsetzen, können auf den einzelnen Servern nur die Funktionen installieren, die auch gebraucht werden. Dadurch werden Sicherheitslücken, aber auch Fehler in der Konfiguration oder verschwendete Performance vermieden. Es ist zum Beispiel möglich, nur die Funktionen eines E-Mail-Routing-Servers zu installieren, ohne gleich alle Exchange-Funktionalitäten auf dem Server installieren und später nach und nach wieder abschalten zu müssen. Bisher war es zum Beispiel nicht möglich, Bridgehead-Server als selbstständige Funktion zu installieren; das ist unter Exchange 2007 jetzt möglich. Auch die Integration eines Bridgehead-Servers in der DMZ ist nun besser und effizienter möglich.
24
Rollenbasierte Installation
Abbildung 1.2: Angepasste und rollenbasierte Installation
1 2 3 4 5 6 7 So muss ein sogenannter Edge-Transport-Server, der zum Beispiel für den E-MailVersand ins Internet oder das Scannen von E-Mails zuständig ist, unter Exchange 2007 als Stand-alone-Server betrieben werden. Diese Server müssen kein Mitglied einer Active Directory-Domäne sein. Der Server tauscht seine Daten durch die ADAM-Funktion (Active Directory Application Mode) mit der Active Directory aus.
8 9
ADAM ist eine Low-End-Variante von Active Directory. Es basiert auf der gleichen Technologie und unterstützt ebenfalls Replikation. Im Gegensatz zum Active Directory wird aber beispielsweise kein Kerberos für die Authentifizierung unterstützt.
10
Eine weitere Rolle ist der Hub-Transport-Server, der für das Routing von E-Mails zwischen verschiedenen Active Directory-Standorten innerhalb des Unternehmens zuständig ist. Clients aus dem Internet oder auch dem internen Netzwerk verbinden sich mit der Serverrolle eines Client-Access-Servers (CAS), die Postfächer liegen auf Mailbox-Servern. Ein Server mit der Rolle Postfach entspricht den bisherigen BackEnd-Servern unter Exchange 2000 und 2003. Ein Client-Access-Server (CAS) entspricht dem bisherigen Front-End-Server, allerdings mit der Erweiterung, dass er auch für die Anbindung von internen Clients für MAPI, also Outlook, verwendet werden kann. Die Serverrolle Unified Messaging ist für Server gedacht, die direkt mit einer Telefonanlage verbunden werden können, um Sprachnachrichten zu den Postfächern der Benutzer zuzustellen. Insgesamt können Sie bei der Installation von Exchange 2007 einem Server eine oder mehrere der fünf Rollen zuweisen (siehe Kapitel 3): ■ ■
11 12 13 14 15
Edge-Transport: Exchange Server für das Routing vom und ins Internet in der DMZ. Hub-Transport: Diese Server nehmen die Aufgaben der bisherigen BridgeheadServer zwischen verschiedenen Routing-Gruppen ein.
25
Neuerungen und Einführung
■ ■
■
Mailbox: Diese Server entsprechen der bisherigen Rolle eines Back-End-Servers, dienen also nur dem Speichern von Postfächern. Client-Access: Diese Server entsprechen den bisherigen Front-End-Servern mit dem Unterschied, dass auch interne Outlook-Clients über Client-Access-Server Verbindung zu Mailbox-Servern aufbauen können. Unified Messaging: Diese Server dienen dem Versenden von Faxen und der Anbindung direkt an Telefonanlagen für Voice Mail und Outlook Voice Access.
Automatisierte Installation Die Unterstützung von automatischen, unbeaufsichtigten Installationen wurde erheblich verbessert. Automatische Installationen lassen sich auch über die Befehlszeile steuern (siehe Abbildung 1.3). Unter Exchange 2007 lässt sich auch der erste Exchange Server in der Organisation automatisiert installieren. Exchange 2007 arbeitet, wie Windows Vista oder Windows Server 2008, mit Antwortdateien. Die Installation gibt auch über die Befehlszeile entsprechende Meldungen und Statusinformationen aus. Abbildung 1.3: Automatisierte Installation von Exchange 2007
1.2
Optimierungen im Vergleich zu Exchange 2003
Exchange Server 2007 bietet in Verbindung mit Outlook 2007 die neuen Funktionen Autodiscover und AutoConnect. Outlook 2007 ist in der Lage, automatisch eine Verbindung zu einem Exchange Server im Netzwerk herzustellen, ohne dass auf dem PC erst manuell ein Outlook-MAPI-Profil erstellt werden muss. Diese neuen Funktionen ersparen Anwendern und Administratoren die komplexe Konfiguration am Client und bieten die Möglichkeit, die Konfiguration direkt am Server für alle Clients durchzuführen. Datenbankoptimierungen – Datensicherheit Viele Administratoren werden dankbar über die neue Funktion Local Continuous Replication (LCR), im Deutschen fortlaufende lokale Sicherung, sein. Mit dieser Funktion legt Exchange 2007 parallel zu seiner produktiven Datenbank ein Replikat an, das zum Beispiel bei einer Wiederherstellung genutzt werden kann. Fällt die Festplatte auf dem Server aus, auf dem die Exchange-Datenbank gespeichert wurde, kann ein Administrator ohne Zeit- und Datenverlust auf das Replikat umschalten. Die Anwender können ohne Ausfall und Datenverlust weiterarbeiten (siehe Abbildung 1.4). Diese Funktion wird in der Standard Edition und der Enterprise Edition unterstützt (siehe Kapitel 6). 26
Optimierungen im Vergleich zu Exchange 2003
Abbildung 1.4: Fortlaufende lokale Sicherung von Exchange-Datenbanken
1 2 3 4 5 6 7
Idealerweise sollte dazu das Replikat der Datenbank auf einem getrennten Datenträger abgelegt werden. Die Datensicherung von Exchange wird durch diese Funktion erheblich optimiert, da ständig in Echtzeit alle Daten redundant vorliegen.
8
Innerhalb eines Clusters können Sie diese Funktion dazu verwenden, einen Cluster zu bauen, der über keinen gemeinsamen Datenspeicher verfügt. Sie können zum Beispiel die Replikats-Datenbank von Continuous Backup auf den passiven Knoten des Clusters in Echtzeit replizieren lassen. Fällt der aktive Knoten aus, kann der passive Knoten gestartet werden und stellt die replizierte Datenbank in Echtzeit und ohne Datenverlust zur Verfügung. Dadurch wird die Datensicherung deutlich ausgeweitet, und die Kosten für Hochverfügbarkeit werden reduziert. Durch diese Funktion erhalten Sie eine 24-Stunden-Datensicherung (siehe Kapitel 14).
9 10 11
Exchange Server 2007 Enterprise Edition unterstützt bis zu 50 Speichergruppen, die wiederum bis zu 50 Postfachspeicher enthalten können.
12
Exchange Server 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich einen gemeinsamen Satz von Transaktionsprotokollen (siehe Kapitel 6).
13
Weder in der Standard Edition noch in der Enterprise Edition gibt es eine Begrenzung des Postfachspeichers. Unter Exchange Server 2003 war die Größe der Datenbank in der Standard Edition mit installiertem SP2 noch auf 75 GB begrenzt.
14 INFO
15
Die Datenbankdateien sind nicht mehr in *.edb- und *.stm-Dateien aufgeteilt, sondern bestehen nur noch aus einer einzelnen *.edb-Datei pro Datenbank. Insgesamt kann Exchange 2007 mehrere Milliarden Logdateien verwalten. Außerdem wurden die Datenbanken-Blockgrößen von 4 KB auf 8 KB vergrößert, mit dem Hintergedanken, dass so eine durchschnittliche E-Mail in eine einzige Speicher-Page passt. Diese 27
Neuerungen und Einführung
und weitere Maßnahmen tragen zur Reduzierung der I/O pro Sekunde bei und führen unter anderem dazu, dass ein Exchange Server 2007 wesentlich mehr Postfächer pro Server bedienen kann.
1.3
Neue Tools zur Verwaltung, Überwachung und Fehlerbehebung
Die neue grafische Oberfläche zur Verwaltung von Exchange 2007 trägt die Bezeichnung Exchange-Verwaltungskonsole. In Kapitel 2 gehe ich in ersten Schritten auf die neue Verwaltungsoberfläche ein, die wesentlich effizienter ist als der Exchange System Manager unter Exchange 2000 und 2003 (siehe Abbildung 1.6). Es wurden mehr Assistenten integriert, die bei der Verwaltung helfen sollen. Im Gegensatz zu den Vorgängern von Exchange 2007 sind alle Assistenten aufeinander abgestimmt und lassen sich identisch bedienen, sehen also nicht mehr komplett unterschiedlich aus. Die Assistenten zeigen beim Abschluss der Konfiguration auch das entsprechende Konfigurationsskript für die Befehlszeile an (siehe Abbildung 1.5). Abbildung 1.5: Anzeigen des Befehlszeilenskriptes beim Durchführen eines Assistenten in der grafischen Oberfläche
Nach Abschluss der Aktion eines Assistenten werden ausführlichere Informationen ausgegeben, die im Fehlerfall besser bei der Fehlerbehebung unterstützen. Exchange erstellt bei der Durchführung von Aufgaben in der Exchange-Verwaltungskonsole sogenannte CMDlets, skriptbasierte Aktionen, die auch über die ExchangeVerwaltungsshell durchgeführt werden können. Die führende Konfigurationsoberfläche ist daher nicht mehr die grafische Oberfläche, sondern diese CMDlets in der Exchange-Verwaltungsshell. Die Oberfläche dient ausschließlich der grafischen Unterstützung. Alle Aufgaben, die Administratoren durchführen, sind unter Exchange 2007 daher transparent und einfach auch in der Befehlszeile durchzuführen. 28
Neue Tools zur Verwaltung, Überwachung und Fehlerbehebung
Abbildung 1.6: Neue Verwaltungskonsole in Exchange 2007
1 2 3 4 5 6 7
Bisher mussten automatisierte Aufgaben kompliziert über VB-Skripte durchgeführt und dabei verschiedene Schnittstellen verwendet werden. Exchange 2007 wird daher neue Meilensteine in der Automatisierung setzen, die auch für Windows Vista und Windows Server 2008 verwendet werden können.
8
Eine weitere Änderung in Exchange 2007 ist die Integration des Exchange Server Best Practices Analyzers (ExBPA) in die neue Exchange-Verwaltungskonsole, den Nachfolger des Exchange Server 2003 System Managers. Die Verwaltungskonsole baut auf die neue MMC von Windows Server 2003 R2 auf (MMC 3.0), die auch im ISA Server 2006 oder dem Microsoft Operations Manager 2005 Einsatz findet.
9 10 Abbildung 1.7: Neue Überwachungs- und Diagnosetools in Exchange 2007
11 12 13 14 15
29
Neuerungen und Einführung
Der ExBPA überprüft die Installation des Exchange Servers auf eventuelle Konfigurationsfehler. Microsoft hat in dem Produkt über 2000 Regeln integriert, die typische Installations- und Konfigurationsfehler aufdecken und beheben helfen sollen. Interessant an dieser Lösung ist, dass die Regeln ständig aus dem Internet aktualisiert werden können und so immer auf dem neuesten Stand sind. In Exchange Server 2003 musste der ExBPA gesondert heruntergeladen und installiert werden. Neben dem ExBPA hat Microsoft in die Toolbox der Exchange-Verwaltungskonsole auch noch Zusatzprogramme integriert, welche die Performance des Exchange Servers überwachen und ebenfalls Hinweise zur Problemlösung geben können (siehe Kapitel 11 und 16). Eines dieser Zusatztools ist zum Beispiel der Exchange Troubleshooting Assistant (ExTrA), der ebenfalls aus dem Internet aktualisiert werden kann. Die Kombination von ExBPA und ExTrA hilft Administratoren, Fehler in Exchange Server 2007 zu vermeiden und, falls diese doch auftreten, zu beheben. In bisher keinem Exchange Server gab es eine solche Flut von Zusatztools, die Administratoren bei ihrer Arbeit helfen sollen. Exchange Server 2007 in der Befehlszeile verwalten Eine weitere Neuerung in Exchange Server 2007 ist die neue Exchange-Verwaltungsshell, die auf der neuen Microsoft PowerShell aufbaut und alle Verwaltungsaufgaben in der Befehlszeile unterstützt. Exchange Server-Administratoren können daher zukünftig alle Verwaltungsaufgaben, die auch in der grafischen Oberfläche durchgeführt werden können, in der Verwaltungsshell skriptgesteuert und automatisiert durchführen. Abbildung 1.8: Verwaltung von Exchange 2007 über die Befehlszeile
Skriptbasierte Aktionen mussten in Exchange 2003 noch durch komplizierte VBSkripte durchgeführt werden, während in Exchange 2007 einfache PowerShellSkripte verwendet werden können. Ich zeige Ihnen in den einzelnen Kapiteln dieses Buches die Aufgaben auch innerhalb der Befehlszeile nicht nur in der grafischen Oberfläche. In Kapitel 2 sehen Sie bereits erste praktische Beispiele für die Verwendung der Exchange-Verwaltungsshell im Rahmen der Testumgebung.
1.4
Neuerungen in Outlook Web Access und zur Unterstützung von mobilen Geräten
In Exchange Server 2007 wurden auch zahlreiche Verbesserungen in Outlook Web Access und zur Unterstützung von mobilen Endgeräten, wie zum Beispiel Smartphones, integriert. Mit Outlook Web Access können Anwender weltweit über einen 30
Neuerungen in Outlook Web Access
Browser auf ihr Postfach im Unternehmen zugreifen. Die Verwaltung von Outlook Web Access (OWA) wurde deutlich optimiert (siehe Abbildung 1.9). Die Oberfläche von Outlook Web Access kann von Anwendern selbst an ihre Bedürfnisse angepasst werden. Auch die Planung von Besprechungen und die Abfrage des globalen Adressbuches wurden an Outlook angeglichen, sodass die Bedienung von Outlook Web Access sich stark an Outlook annähert. Für die Planung von Besprechungsanfragen können Besprechungsräume als eigener Menüpunkt ausgewählt und in Exchange 2007 auch verwaltet werden. Die rechte Maustaste wird auch in Outlook Web Access unterstützt. Auch die Anzeige der Ordner in Outlook Web Access wird automatisch aktualisiert, wenn eine neue Mail eintrifft.
1 2 3 Abbildung 1.9: Verwaltung von Besprechungsräumen in Outlook Web Access von Exchange 2007
4 5 6 7 8 9 10
Benutzer können in Outlook Web Access die Spracheinstellungen unabhängig vom Browser einstellen. Unter Exchange 2003 wurde Outlook Web Access noch in der Sprache angezeigt, in welcher der Browser installiert wurde. Vor allem beim Zugriff im Urlaub oder bei international tätigen Unternehmen ist diese Möglichkeit ein echter Gewinn.
11
GZIP-Komprimierung funktioniert unabhängig von Forms-Based Authentication innerhalb von Outlook Web Access. Beim Herunterladen von Anhängen haben Sie dadurch den Vorteil, dass die zu übertragende Datenmenge deutlich verringert wird.
13
12
INFO
14
Über Outlook Web Access besteht die Möglichkeit, auch auf Dateien von Dateiservern oder SharePoint-Servern zuzugreifen. OWA gibt dazu die Authentifizierung des aktuellen Anwenders SSL-gesichert weiter und funktioniert als Reverse-Proxy. Sie können auf beliebige Netzwerkpfade zugreifen, es ist aber nur lesender Zugriff möglich. Diese Funktion kann natürlich auch deaktiviert werden. Es besteht auch die Möglichkeit, diese Funktion nur einzelnen Benutzern zu gestatten, Filtermöglichkeiten sind ebenfalls möglich (siehe Kapitel 8).
15
31
Neuerungen und Einführung
Abbildung 1.10: Neues Outlook Web Access 2007
Abbildung 1.11: Zugriff auf Dateifreigaben über Outlook Web Access
Ein Administrator kann Anwendern das Recht geben, ihre mobilen Endgeräte automatisch löschen zu lassen, wenn diese verloren gegangen sind oder gestohlen wurden. Verbindet sich ein solches Gerät über das Internet mit dem Exchange Server, wird ein Löschbefehl gesendet, der die sensiblen Daten direkt auf dem Smartphone löscht. Die neue Oberfläche von OWA sieht darüber hinaus noch mehr aus wie Outlook, damit auch mobile Nutzer effizient arbeiten können. Es ist auch in Outlook Web Access möglich, dass Anwender andere Postfächer auf dem Exchange Server öffnen, wenn sie die Berechtigung dazu haben, ohne OWA schließen und neu öffnen zu müssen (siehe Kapitel 9). Die Konfiguration von Outlook Web Access ist in Exchange 2007 nahezu komplett in die Exchange-Verwaltungskonsole integriert. Es sind keine zusätzlichen Tools notwendig, und Sie müssen weniger Konfigurationen im IIS vornehmen (siehe Abbildung 1.12). Outlook Web Access 2007 bietet verschiedene Möglichkeiten, um den Datenzugriff für Anwender zu steuern. Exchange Server 2007 bietet eine neue Funktion, die WebReady Document Viewing genannt wird. Mit dieser Funktion können Anwender auf Dateien zugreifen und diese anzeigen, ohne dass auf dem PC, mit dem Sie sich per OWA verbinden, die entsprechende Applikation installiert wird. Hauptsächlich bietet OWA so den Zugriff auf folgende Dateitypen: 32
Neuerungen in Outlook Web Access
■ ■ ■ ■
*.doc *.pdf *.ppt *.xls
1 Abbildung 1.12: Konfiguration von Outlook Web Access in der ExchangeManagementkonsole von Exchange 2007
2 3 4 5 6 7 8
Mobile Benutzer – Unified Messaging und Outlook Voice Access (OVA) Neu ist auch die Unterstützung von Unified Messaging (UMS) in Exchange 2007 (siehe Kapitel 10). Der Server unterstützt Fax und Voice Mails für die Postfächer. Jedes Exchange-Postfach ist auch ein Anrufbeantworter. Telefonanlagen können ohne Zusatzsoftware direkt mit Exchange verbunden werden. Sprachnachrichten werden in einer E-Mail als *.wma-Datei gespeichert, die durch ein Media Player Plug-In direkt in Outlook oder auch Outlook Web Access vorgespielt werden können. So können zum Beispiel Anrufe als Sprachdatei in das lokale Postfach des Anwenders zugestellt werden (siehe Abbildung 1.13).
9 10 11 Abbildung 1.13: Anzeigen von Voice-Mails über Exchange 2007
12 13 14 15
Zusätzlich kann Exchange so konfiguriert werden, dass es beim Eingang einer VoiceMail eine bestimmte Telefonnummer, zum Beispiel ein Handy, anruft und die VoiceMail vorspielt. Exchange Server 2007 kann auch angerufen werden. Anwender, die 33
Neuerungen und Einführung
zum Beispiel im Auto unterwegs sind, erhalten dadurch die Möglichkeit, die Telefonnummer des Exchange Servers zu wählen und sich E-Mails von der neuen Exchange Speach Engine vorlesen zu lassen. Über diese Technik können auch Termine vorgelesen, geplant und verschoben werden (siehe Kapitel 9 und 10). Die neue Funktion, sich E-Mails unterwegs vorlesen zu lassen, wird Outlook Voice Access (OVA) genannt. Sie können sich per Telefon auch Termine vorlesen lassen und konfigurieren, wenn Sie zum Beispiel zu spät zu einem Termin kommen.
1.5
Was ist weggefallen und was bleibt?
Exchange 2007 baut immer noch auf die Datenbanktechnologie von Exchange 2000 und 5.5 auf. Exchange 2007 basiert auf der Joint-Engine-Technologie (JET). Auf deren Basis wurde die Extensible Storage Engine (ESE) von Exchange 2003 und Exchange 2007 entwickelt. Erst eine künftige Exchange Server-Version wird Ihre Datenbank in den neuen SQL Server 2005 oder dessen Nachfolger integrieren können. ■
■ ■
■
■
■
■ ■
34
Mit Exchange Server 2007 gibt es im Snap-In Active Directory-Benutzer und -Computer keine Registerkarten mehr für die Verwaltung der Exchange-Attribute. Es gibt auch keine Exchange-Aufgaben mehr im Snap-In Active Directory-Benutzer und -Computer. Die komplette Benutzerverwaltung der Exchange-Attribute findet jetzt in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Postfach oder der Exchange-Verwaltungsshell statt. Ab sofort darf der Windows SMTP-Dienst nicht mehr auf Exchange 2007 installiert sein, da Exchange seinen eigenen SMTP-Dienst mitbringt. Auf den Clients müssen Sie Outlook XP, 2003 oder 2007 installiert haben, ältere Outlook-Versionen werden nicht mehr unterstützt. Auch Outlook XP wird nur eingeschränkt unterstützt. Idealerweise setzen Sie auf den Clients Outlook 2007 ein, um alle Funktionen zu unterstützen. Exchange 2007 unterstützt nicht mehr den X.400 Connector. Wer noch X.400Anbindungen betreiben muss, sollte einen Exchange 2003 Server in die Organisation integrieren. Öffentliche Ordner werden bis ins Jahr 2016 von Exchange unterstützt. Ursprünglich war angedacht, den Nachfolger von Exchange 2007 ohne die öffentlichen Ordner auszuliefern, da Microsoft die Datenspeicherung in den kostenlos erhältlichen SharePoint Services präferiert. Auch die Routing-Gruppen und die administrativen Gruppen wurden abgeschafft. Da Exchange 2007 die Active Directory-Standorte unterstützt, ist daher keine zusätzliche Konfiguration von physikalisch getrennten Exchange Servern mehr notwendig. Alle Berechtigungen und Konfigurationen übernimmt Exchange aus dem Active Directory. Exchange 2007 ist daher noch mehr von Active Directory abhängig als die Vorgängerversionen. Die Verwaltung einzelner Exchange Server kann delegiert werden, daher sind auch die administrativen Gruppen nicht mehr notwendig (siehe Kapitel 12). Exchange 2007 unterstützt kein Active-Active-Clustering mehr, sondern lediglich Active-Passive- bzw. Active-Active-Passive-Clustering mit drei Cluster-Knoten. In Exchange 2007 werden die Verarbeitungen von Besprechungsanfragen und Terminen vom Client auf den Server verlegt. Das hat den Vorteil, dass keine Inkonsistenzen entstehen können, wenn mit mehreren Clients, zum Beispiel PC, OWA und Smartphones, auf Postfächer zugegriffen wird. Unter den Vorgängerversionen von Exchange 2007 wurden die Termine von den Clients verwaltet
Exchange Server 2007-Editionen
■
■
und nur auf den Exchange Server repliziert. Die verschiedenen Clients und Geräte, also OWA, Smartphones, Heim-PCs und Unternehmens-PCs, greifen dadurch immer auf die aktuellen Daten der Termine zu, Outlook muss dabei nicht laufen. Durch diese Funktion können auch Kalendereinträge durch Outlook Voice Access (OVA) vorgelesen werden, wenn die Unified MessagingDienste installiert und konfiguriert wurden (siehe Kapitel 9 und 10). Außerdem muss dazu ein Exchange Server der Organisation an der Telefonanlage des Unternehmens angeschlossen werden. Damit in einer Active Directory-Domäne Exchange 2007 installiert werden kann, müssen Sie sicherstellen, dass die Domänenfunktionsebene mindestens auf Windows 2000 pur gehoben wurde, es dürfen daher in dieser Domäne keine Windows NT 4.0-Domänencontroller betrieben werden. Die WAP-Funktion von Exchange 2003 (Outlook Mobile Access, OMA) ist kein Bestandteil mehr von Exchange Server 2007. Microsoft empfiehlt für die Anbindung von mobilen Benutzern Smartphones mit Windows Mobile und der Funktion Exchange ActiveSync (EAS), bei der die Synchronisation von Postfächern über das Internet durchgeführt wird.
1.6
1 2 3 4 5
Exchange Server 2007-Editionen
6
Exchange 2007 wird, wie Exchange 2003 und 2000, in einer Standard Edition und einer Enterprise Edition zur Verfügung gestellt. Exchange 2007 Enterprise Edition unterstützt 50 Speichergruppen mit 50 Postfachspeichern. Die Exchange 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern.
7 8
Beide Editionen unterstützen die fortlaufende Datensicherung (Local Continuous Replication, LCR). Die Cluster-Unterstützung ist auch in Exchange Server 2007 ausschließlich der Enterprise Edition vorbehalten, Exchange 2007 Standard Edition unterstützt keine Cluster-Konfiguration (siehe Kapitel 14).
9
Es gibt unterschiedliche Exchange Client-Access-Lizenzen (CALs): Die Standard CAL bietet die Nutzung aller Grundfunktionen ähnlich wie bei Exchange Server 2003.
10
Die Enterprise CAL bietet zusätzlich Zugriff auf Funktionen wie Exchange Hosted Filtering und Forefront Security für Exchange (siehe Kapitel 17).
11
1.7
Exchange Server 2007 Service Pack 1
Das Service Pack 1 bietet neben zahlreichen Fehlerbehebungen haufenweise Neuerungen für Exchange Server 2007. Daher bietet sich die Installation nicht nur aus Gründen der Stabilität an. Die Download-Größe des Service Packs beträgt etwa 850 MB. In entpackter Form hat das Service Pack eine Größe von über 1,1 GB. Die wichtigste Neuerung ist sicherlich die Unterstützung für Windows Server 2008, sodass Exchange Server 2007 jetzt auch auf dem neuen Serverbetriebssystem installiert werden kann. Die meisten neuen Funktionen finden sich übrigens in der Toolbox der Exchange-Verwaltungskonsole. Hier gibt es ein paar neue Programme, zum Beispiel die Möglichkeit der Verwaltung von öffentlichen Ordnern. Mithilfe neuer Systemmonitorzähler können verschiedene Online-Defragmentierungsinformationen überwacht werden, zum Beispiel wann die Online-Defragmentierung zuletzt ausgeführt wurde, wie lange dies gedauert hat und was dabei durchgeführt wurde.
12 13 14 15
35
Neuerungen und Einführung
Mit dem neuen Service Pack unterstützt Exchange Server 2007 IPv6. Das macht Sinn, wenn der Server unter Windows Server 2008 installiert wird, da hier neben IPv4 auch IPv6 für die Kommunikation verwendet wird. So können Exchange Server unter Windows Server 2008 deutlich besser miteinander kommunizieren. Allerdings muss für die Funktion sowohl IPv4 als auch IPv6 aktiviert sein. Wird auf dem Windows Server 2008 IPv4 deaktiviert, kann Exchange auch nicht mehr über IPv6 kommunizieren. Unter Windows Server 2003 wird IPv6 jedoch nicht für Exchange Server 2007 unterstützt. Soll das Service Pack unter Windows Server 2003 installiert werden, muss auf dem Server das Service Pack 2 für Windows Server 2003 installiert sein. Mit dem Service Pack ist es möglich, komplett einen Exchange Server zu installieren. Es ist nicht notwendig, vorher Exchange Server 2007 zu installieren und das Service Pack nachzuziehen. Auf diesem Weg wird zum Beispiel Exchange Server 2007 unter Windows Server 2008 installiert, was deutlich Zeit spart. PST-Dateien können über die Exchange-Verwaltungsshell in den Server importiert oder exportiert werden, exmerge wird also nicht mehr benötigt. Es werden die beiden Befehle import-mailbox und export-mailbox verwendet. Dazu muss auf dem Server allerdings Outlook 2003/2007 installiert sein. Ausführliche Hilfe erhalten Sie, wenn Sie in der Exchange-Verwaltungsshell die Befehle get-help import-mailbox bzw. get-help export-mailbox eingeben. Unter Exchange Server 2007 gibt es die Empfehlung von Microsoft nicht mehr, dass Outlook nicht auf dem Server installiert sein darf. Sollen auf einem Server Postfächer exportiert oder importiert werden, wird Outlook zwingend benötigt. Viele Funktionen, die bisher nur in der Exchange-Verwaltungsshell durchgeführt werden konnten, sind jetzt in die Exchange-Verwaltungskonsole integriert, zum Beispiel die Verwaltung von öffentlichen Ordnern, die Clusterverwaltung, POP3 und IMAP-Konfiguration, VoIP-Sicherheit und die Verwaltung von Berechtigungen für Postfächer und öffentlicher Ordner. Mit Service Pack 1 können Active DirectoryBenutzer angezeigt werden, die noch kein Exchange-Postfach haben, und auf einen Rutsch für alle diese Anwender Postfächer erstellt werden. Diese Konfiguration wird über die Empfängerkonfiguration durchgeführt. Bei der Installation des Service Packs werden automatisch Exchange ActiveSyncRichtlinien und -Einstellungen gesetzt und Anwendern zugewiesen, für die noch keine Richtlinie erstellt wurde. Außerdem wurden neue Einstellungen in den ActiveSyncRichtlinien integriert, zum Beispiel die Deaktivierung von Wechselmedien. Auch die Performance von Exchange ActiveSync wird deutlich verbessert. So werden die HTTPS-Datenpakete, die zwischen Client und Server für die Verbindung gesendet werden, deutlich verkleinert. Nachrichtengrößen können jetzt auch für Active DirectoryStandortverknüpfungen gesetzt werden. Dazu wird in der Exchange-Verwaltungsshell das CMDLet Set-AdSiteLink verwendet. Wird Exchange Server 2007 zusammen mit Exchange Server 2003 betrieben, können Nachrichtengrößen auch auf Routinggruppen-Connector-Ebene mit dem CMDLet New-RoutingGroupConnector oder Set-RoutingGroupConnector gesetzt werden. In den Transportregeln können Regeln für Unified-Messaging-Nachrichten gesetzt werden. Exchange Server 2007 und Office Communicator 2007 arbeiten jetzt besser miteinander. So muss beim Zugriff auf Voice-Mails keine PIN mehr eingegeben werden, und der Datenaustausch wurde optimiert.
36
Exchange Server 2007 Service Pack 1
Standby Continuous Replication (SCR) Eine weitere Neuerung des Service Pack 1 ist die neue Sicherungsfunktion Standby Continuous Replication (SCR). Hierbei handelt es sich neben der Local Continuous Replication (LCR) und Cluster Continuous Replication (CCR) um die dritte Hochverfügbarkeitsfunktion von Exchange Server 2007. SCR sichert einen Standort gegen Ausfall eines Servers. Mit dieser Funktion können Speichergruppen auf andere Exchange Server repliziert werden. Das Failover erfolgt manuell, daher die Bezeichnung Standby Continuous Replication. Fällt ein Server aus, kann ein anderer Server die Datenbank produktiv schalten. Bei CCR wiederum können jetzt die Logdateien auch über mehrere interne Cluster-Netzwerke repliziert werden.
1 2 3
Neuerungen für Anwender – Outlook Web Access DeLuxe Für Anwender bringt das Service Pack 1 zum Beispiel in Outlook Web Access die Unterstützung von persönlichen Verteilerlisten sowie den Zugriff auf öffentliche Ordner. Diese beiden Funktionen können jetzt bequem über eigene Schaltflächen in Outlook Web Access erreicht werden. Neben Lesefunktionen können auch Ordner erstellt und bearbeitet werden. Auch Regeln und Editoren für Assistenten werden jetzt in Outlook Web Access 2007 wesentlich besser unterstützt. Bestehende Regeln können bearbeitet, neue Regeln erstellt werden. Die erstellten Regeln sind serverbasiert, sodass diese auch bei der parallelen Verbindung mit Outlook zur Verfügung stehen. Es können eigene Formulare und Einträge für eigene Adressbücher erstellt werden. Außerdem haben Anwender direkt über Outlook Web Access Zugriff auf den Papierkorb des Servers, um gelöschte E-Mails wiederherstellen zu können. Kalenderansichten können angepasst werden, um zum Beispiel eine monatliche Ansicht zu aktivieren. Bisher konnte die Kalenderansicht nur wöchentlich und täglich angezeigt werden, nicht monatlich. In den Kalenderoptionen stehen für Anwender jetzt auch deutlich mehr Möglichkeiten zur Verfügung also ohne das SP.
4 5 6 7 8
Neu ist auch die Möglichkeit, auf Objekte, die als Notizen dargestellt werden, direkt zu antworten, was bisher nicht möglich war. Das spielt vor allem bei der Verwendung von öffentlichen Ordnern eine wichtige Rolle. In Outlook Web Access kann mit der neuen Funktion Webready Document Viewer jetzt auch auf Office 2007-Dokumente zugegriffen werden, ohne dass auf dem Client ein entsprechendes Programm installiert sein muss. Ohne das SP1 ist nur der Zugriff auf Office 2003-Dokumente möglich. Innerhalb von Outlook Web Access kann S/MIME für die E-Mail-Sicherheit verwendet werden. Objekte können in Outlook Web Access in andere Ordner kopiert oder verschoben werden, was die Arbeit für Anwender enorm erleichtert.
9 10 11 12
Berechtigungen in der Exchange-Managementkonsole setzen Eine weitere Neuerung für alle Administratoren, die sich nicht gerne mit der Exchange-Verwaltungsshell beschäftigen, ist die Möglichkeit, Berechtigungen in der Exchange-Verwaltungskonsole setzen zu können. Nach der Installation des Service Packs können Berechtigungen unter der Empfängerkonfiguration über Rechtsklick auf ein Postfach angepasst werden. Es startet ein Assistent, der genauso bedient wird wie alle Assistenten in Exchange Server 2007.
13 14
Weitere Neuerungen Eine weitere Neuerung besteht in der Unterstützung des Secure Realtime Transport Protocols (SRTP). Exchange Server 2007 bietet zwei Sicherheitsmodi. Der gesicherte Modus verschlüsselt nur den SIP-Datenverkehr. Der RTP-Datenverkehr ist unverschlüsselt. Mit SP1 gibt es drei Modi. Im gesicherten SIP-Modus wird nur der SIP-
15
37
Neuerungen und Einführung
Datenverkehr verschlüsselt, aber nicht der RTP-Datenverkehr. Im gesicherten Modus werden sowohl der SIP- als auch der RTP-Datenverkehr verschlüsselt. Links: Download Exchange 2007 SP1 – http://www.microsoft.com/downloads/details.aspx? FamilyId=44C66AD6-F185-4A1D-A9AB What's New in Exchange Server 2007 SP1 – http://technet.microsoft.com/enus/library/bb676323.aspx SP1 Release Notes – http://www.microsoft.com/downloads/details.aspx?familyid= 5770BD59-376E-42EC-B940-BE6225CD97FF&displaylang=en How to Install Exchange 2007 SP1 Prerequisites on Windows Server 2008 – http://technet.microsoft.com/en-us/library/bb691354.aspx IPv6 Support in Exchange 2007 SP1 – http://technet.microsoft.com/en-us/library/ bb629624.aspx New Client Access Features in Exchange 2007 SP1 – http://technet.microsoft.com/ en-us/library/bb684907.aspx New Transport Features in Exchange 2007 SP1 – http://technet.microsoft.com/en-us/ library/bb684905.aspx New Mailbox Features in Exchange 2007 SP1 – http://technet.microsoft.com/en-us/ library/bb684903.aspx New High Availability Features in Exchange 2007 SP1 – http://technet.microsoft. com/en-us/library/bb676571.aspx New Unified Messaging Features in Exchange 2007 SP1 – http://technet.microsoft. com/en-us/library/bb691398.aspx
38
Inhalt 1
2 3 4 5
2
Aufbau einer Testumgebung, Grundlagen und erste Schritte
6 7 8
Der erste Schritt, um sich mit Exchange 2007 auseinanderzusetzen, ist der Aufbau einer Testumgebung. Dazu ist es nicht unbedingt notwendig, dass Sie sich zusätzliche Hardware besorgen. Es ist ohne Weiteres möglich, auf einer einzelnen virtuellen Maschine Windows Server 2003 R2 oder Windows Server 2008 als Domänencontroller parallel zu Exchange 2007 und auch Outlook 2007 zu betreiben. Ich zeige Ihnen in diesem Kapitel, wie Sie eine Testumgebung mit Active Directory und Exchange 2007 unter Microsoft Virtual Server 2005 R2 installieren können. Ich gehe dabei auf die Installation unter Windows Server 2003 und Windows Server 2008 ein. Haben Sie sich mit dem einen oder anderen Punkt bereits auseinandergesetzt, können Sie einzelne Abschnitte auch überspringen. Administratoren, die sich mit dem Thema Active Directory und Virtual Server 2005 R2 noch nicht ausführlich auseinandergesetzt haben, erhalten wertvolle Tipps und Hinweise, wie Testumgebungen mit Virtual Server 2005 R2 aufgebaut werden können.
9 10 11 12
Es ist auch möglich, auf diese Weise einen Testcluster aufzubauen, um die neuen Cluster-Funktionen von Exchange Server 2007 zu testen. Dieser Bereich wird in Kapitel 14 ausführlich besprochen. Die Testumgebung in Kapitel 14 baut auf der Testumgebung in diesem Kapitel auf.
2.1
13 14
Aufbau einer Testumgebung
In diesem Abschnitt zeige ich Ihnen zunächst, wie Sie eine Testumgebung aufbauen können. Alles, was Sie dazu brauchen, ist ein Test-PC mit aktuellem Prozessor und mindestens 1 bis 2 GB RAM.
15
39
Index
Auf diesem Server installieren Sie den kostenlosen Microsoft Virtual Server 2005 R2 und erstellen alle notwendigen Server virtuell. Sie sollten auch ein oder zwei Arbeits-
Aufbau einer Testumgebung, Grundlagen und erste Schritte
stationen mit Outlook 2007 in der Testumgebung installieren, um sich optimal vorzubereiten, diese müssen aber nicht unbedingt virtuell sein. Alle Applikationen, die Sie zum Testen brauchen, können Sie sich kostenlos bei Microsoft entweder als Vollversion oder als Testversion herunterladen. Die Testversionen von Microsoft laufen mindestens 120 Tage, meistens viel länger, sodass einem ausführlichen Test nichts im Wege steht. Ich verwende den Virtual Server, da mit diesem optimal ein Testcluster und durch die Funktion differenzierende virtuelle Festplatte platzsparender, schneller und effizienter eine Testumgebung aufgebaut werden kann als mit anderen Virtualisierungslösungen.
2.1.1
Vorbereitungen für die Testumgebung
Zunächst sollten Sie sich einen PC besorgen, der über genug Hardware verfügt, um eine Testumgebung aufzubauen. Zusätzlich sollten Sie sich folgende Software besorgen: ■ ■
■
■
Microsoft Virtual Server 2005 R2 (kostenloser Download unter http://www. microsoft.com/germany/virtualserver). Windows Server 2003 Enterprise Edition, am besten in der R2-Version, da diese die aktuellste ist (Testversion unter http://www.microsoft.com/germany/technet/ beta/ws03_r2/default.mspx). Wollen Sie kein Windows Server 2003 R2 verwenden, sollten Sie Windows Server 2003 und das SP1 für Windows Server 2003 bereithalten. Meine Empfehlung lautet aber, stets die aktuelle Version einzusetzen. Exchange Server 2007 Enterprise Edition (Testversion unter http://www. microsoft.com/germany/exchange).
Haben Sie sich alle Programme besorgt, können Sie mit der Installation der Testumgebung beginnen. Haben Sie die Testversionen von Microsoft heruntergeladen, liegen diese normalerweise als ISO-Dateien vor, die sich zur Einbindung in den Microsoft Virtual Server 2005 R2 hervorragend eignen. Sie können sich auch CDs brennen und diese bei Bedarf in das Laufwerk des Rechners einlegen, allerdings bieten sich für Virtualisierungslösungen ISO-Dateien an, da diese leicht als CD-ROMLaufwerk eingebunden werden können. Haben Sie Zugriff auf die MSDN, können Sie sich die Vollversionen auch als ISO-Dateien herunterladen. Sie können als Basis für die Virtualisierung auch den VMware Server verwenden oder VMware Workstation. Virtual PC ist ebenfalls geeignet. In diesem Abschnitt zeige ich Ihnen den Aufbau einer virtuellen Testumgebung auf Basis von Microsoft Virtual Server 2005 R2, da dieser für den Testaufbau eines Active Directory mit Exchange 2007 aus meiner Sicht neben VMware Workstation am besten geeignet ist. Schlussendlich ist es Geschmackssache. Sie können die Testumgebung auch auf physikalischen Servern installieren, haben dann aber den Nachteil, dass Sie für eine vernünftige Testumgebung mehrere Server benötigen. Außerdem ist auf diesem Weg der Aufbau eines Testclusters, wie in Kapitel 14 beschrieben, nicht möglich. Virtual Server 2005 R2 kann sowohl auf 32-Bit- als auch auf 64-Bit(x64)-Betriebssystemen ausgeführt werden. Es ist daher möglich, auch die 64-Bit-Varianten von Windows Server 2003 und Windows XP als Hostsystem zu installieren. Es werden AMD64- und Intel IA-32e/EM64T(x64)-Prozessoren unterstützt, nicht jedoch Intel Itanium(IA-64)-Prozessoren. Frühere Versionen von Virtual Server 2005 können zwar auf x64-basierter Hardware ausgeführt werden, jedoch nur dann, wenn eine 32-Bit-Version eines der unterstützten Hostbetriebssysteme installiert ist. 40
Aufbau einer Testumgebung
Es ist jedoch nicht möglich, 64-Bit-Betriebssysteme in den Gästen zu installieren, diese laufen weiterhin im 32-Bit-Modus mit einem einzigen emulierten Prozessor. Es ist daher auch nicht möglich, zum Beispiel die 64-Bit-Version des SQL Servers 2005 oder von Exchange 2007 in einer Gastmaschine zu installieren, um zum Beispiel ein Ausfallkonzept mit virtuellen Maschinen zu erstellen, hier muss weiterhin auf die 32-Bit-kompatiblen Programmversionen gesetzt werden. Da sich die Bedienung dieser Systeme nicht von der Bedienung der 64-Bit-Versionen unterscheidet, spielt diese Einschränkung, zumindest im Bereich einer Testumgebung, keine allzu große Rolle.
2.1.2
1
2
Microsoft Virtual Server 2005 R2
3
Der Vorteil von virtuellen Servern in produktiven Umgebungen liegt vor allem darin, dass es nicht mehr notwendig ist, für jeden Serverdienst einen eigenen Server zu kaufen, sondern dass der Kauf einer großen Servermaschine ausreicht, auf der eine Virtualisierungssoftware installiert wird. Ein Windows-Server läuft immer am stabilsten, wenn nur ein Dienst auf ihm installiert ist. Hier liegen die Hauptvorteile von virtuellen Servern. Auf einer physikalischen Servermaschine können mehrere Dienste mit Virtualisierungssoftware zusammengefasst werden. In Testumgebungen lassen sich mit virtuellen Servern sehr schnell auch komplexe Strukturen abbilden und wiederherstellen.
4 5 6
VMware Server wird von VMware kostenlos zur Verfügung gestellt. Auch Microsoft stellt seine Virtual Server 2005 R2 Enterprise Edition kostenlos zur Verfügung. Sie können sich beide Produkte von der Homepage der Anbieter herunterladen. Grundsätzlich ist der Aufbau einer virtuellen Server-Infrastruktur kein Hexenwerk. Sie benötigen einen ganz normalen physischen Server (Host, Gastgeber genannt), auf dem Sie Windows Server 2003 R2 installieren sollten. Im Gegensatz zu den Desktop-Produkten für die Virtualisierung (Virtual PC und VMware Workstation) werden bei den Serverprodukten Microsoft Virtual Server 2005 R2 und VMware Server die virtuellen Maschinen nicht ausgeschaltet, wenn Sie die Konsole beenden. Da die virtuellen Maschinen in den Serverprodukten als Dienste laufen, sind diese weiterhin aktiv und belasten daher die Performance einer Arbeitsstation oder eines Testrechners. Sie sollten die virtuellen Maschinen beim Beenden des Tests daher ausschalten oder die Dienste beenden.
7 8 9 INFO
10 11
Installation Microsoft Virtual Server 2005 R2 Wollen Sie auf einem Server Microsoft Virtual Server 2005 R2 installieren, müssen Sie auf diesem Server zunächst das Betriebssystem installieren. Sie können entweder eine Version von Windows Server 2003 oder auch Windows XP Professional mit SP2 bzw. Windows Vista als Basisbetriebssystem installieren. Sorgen Sie auch dafür, dass am besten alle Sicherheitspatches auf dem Server installiert worden sind.
12 13
Da die Serververwaltung von Microsoft Virtual Server 2005 R2 webbasierend ist, müssen Sie vor der Installation von Virtual Server auf dem Quellserver die Internetinformationsdienste installieren. Im Anschluss können Sie die Installation von Microsoft Virtual Server 2005 R2 starten. Die Installation läuft schnell durch. Sie sollten möglichst alle Komponenten der Installation auswählen. Im Verlauf der Installation müssen Sie noch den Port für die Verwaltungswebseite des Virtual Servers festlegen. Microsoft Virtual Server 2005 R2 wird vollständig in der Weboberfläche verwaltet. Sie können die Einstellungen für die Standardwebseite so belassen, wie sie sind. Auch die Ausnahmen in der Windows-Firewall sollten Sie durch den Instal-
14 15
41
Aufbau einer Testumgebung, Grundlagen und erste Schritte
lationsassistenten eintragen lassen, damit die Kommunikation zu den virtuellen Servern auch bei aktivierter Sicherheit funktioniert. Haben Sie alle Eingaben vorgenommen, beginnt der Assistent mit der Installation, die nach wenigen Sekunden abgeschlossen ist. Sie erhalten nach der Installation eine Zusammenfassung der wichtigsten Daten. Lesen Sie sich die Anmerkungen nach der Installation aufmerksam durch. Virtual Server 2005 R2 auf Windows Vista Es ist auch möglich, eine Testumgebung auf einem Vista-PC zu installieren und dabei den Virtual Server 2005 R2 zu verwenden. Sie müssen dazu auf dem PC ebenfalls den IIS installieren. Zusätzlich müssen Sie auf dem Vista-PC noch folgende IISKomponenten auswählen, damit die Installation durchgeführt werden kann (siehe Abbildung 2.1):
1. 2. 3.
Wählen Sie zunächst die Standardinstallation des IIS auf dem PC aus. Bei dieser Auswahl werden alle Standardkomponenten ausgewählt. Wählen Sie als Nächstes den Unterpunkt Kompatibilität mit der IIS 6-Verwaltung sowie alle Unterpunkte aus. Wählen Sie den Unterpunkt Anwendungsentwicklungsfeatures sowie alle Unterpunkte, vor allem CGI aus.
Abbildung 2.1: Notwendige Komponenten für die Installation von Microsoft Virtual Server 2005 R2 auf Windows Vista
4. Wählen Sie unter Sicherheit die Windows-Authentifizierung und die Standardauthentifizierung aus.
5. Im Anschluss können Sie Microsoft Virtual Server 2005 R2 auf dem Vista-PC installieren.
Verwaltungsoberfläche von Microsoft Virtual Server 2005 R2 Nach der Installation finden Sie die Verknüpfung zur Verwaltung des Virtual Servers unter Start/Programme/Microsoft Virtual Server/Virtual Server-Verwaltungswebseite. In der Programmgruppe finden Sie auch eine ausführliche Hilfedatei über den Umgang mit dem Microsoft Virtual Server. 42
Aufbau einer Testumgebung
Abbildung 2.2: Verwaltungsoberfläche des Microsoft Virtual Server 2005 R2 SP1 unter Windows Vista
1
2 3 4 5 6 7 Sie können die Verwaltungswebseite des Virtual Servers auch von jeder anderen Arbeitsstation aus öffnen, die eine Netzwerkverbindung zum Virtual Server hat. Öffnen Sie dazu einen Browser, und geben Sie die Adresse des Servers und den Port ein, den Sie während der Installation angegeben haben. Standardmäßig verwendet der Virtual Server Port 1024: http://SERVERNAME:1024. Verbinden Sie sich von einer Remote-Maschine mit dem Virtual Server, müssen Sie sich zunächst an der Konsole authentifizieren, wenn kein Domänenkonto verwendet wird. Auf der Startseite können Sie alle relevanten Einstellungen vornehmen. Hier finden Sie auch alle aktuellen Ereignisse und möglichen Fehler, die bei der Arbeit mit dem Virtual Server auftreten können (siehe Abbildung 2.1). Eine umfassende Erklärung des Microsoft Virtual Servers würde den Umfang dieses Buchs sprengen. Ich gehe aber auf die Erstellung und Verwaltung von virtuellen Maschinen so ausführlich wie möglich ein.
8 9 10 11
Virtual Machine Remote Control Client Plus 1.6
12
Wer im Unternehmen Microsoft Virtual Server 2005 einsetzt, kennt die Problematik, dass der Server und die virtuellen Maschinen hauptsächlich mit einem Webfrontend verwaltet werden. Für die Remotesteuerung gibt es zwar den VMRC-Client, dieser ist aber wenig effizient und in seinen Möglichkeiten eingegrenzt. Vor allem beim Betrieb in einer Testumgebung oder bei der Verwendung mehrerer virtueller Server ist die Verwaltung mit den Bordmitteln nicht sehr übersichtlich, da teils auf den Webbrowser, teils auf den wenig komfortablen VMRC-Client zurückgegriffen werden muss. Aus diesem Grund stellt Microsoft kostenlos den Virtual Machine Remote Control Client Plus (VMRC) in der aktuellen Version 1.6 zur Verfügung, mit dem der Server selbst und alle virtuellen Maschinen ohne Webfrontend mit einer WindowsApplikation verwaltet werden.
13 14 15
43
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Das Tool nutzt nicht den IIS, sondern eine normale Windows-Oberfläche zur Verwaltung. In der neuen Version 1.6 wurde die Virtual Server-Terminologie übernommen, und einige Verbesserungen wurden vorgenommen. So unterstützt das Tool jetzt auch Skripte für die Ausführung in Virtual Server oder den virtuellen Maschinen. Neben 32 Bit unterstützt das Tool auch die Installation auf den 64-Bit-Versionen von Windows Server 2003, Windows XP und Windows Vista. Beide Versionen werden zum Download zur Verfügung gestellt. Das Tool wurde für Microsoft Virtual Server 2005 R2 SP1 optimiert und sollte auch nur mit dieser Serverversion eingesetzt werden. Für die Installation wird das .Net Framework 2.0 vorausgesetzt. Der Entwickler des Tools veröffentlicht auf seinem Blog unter der Adresse http://blogs. technet.com/matthts regelmäßig Informationen und auch neue Versionen. Zwar besteht auch die Möglichkeit, neben oder anstatt Virtual Server Microsoft Virtual PC 2007 einzusetzen, allerdings bietet der Server einige Vorteile, zum Beispiel den unkomplizierten Aufbau eines Clusters für Testzwecke. Auch wenn mehrere virtuelle Computer gleichzeitig gestartet und verwaltet werden wollen, ist die Kombination Virtual Server 2005 R2 SP1 und VMRC Plus der effizienteste Weg. VMRC Plus installieren und konfigurieren Nach der Installation und dem Start der Anwendung, wird zunächst die Oberfläche des Virtual Machine Managers angezeigt. Hier werden alle virtuellen Maschinen aufgelistet, die mit dem Virtual Server erstellt wurden. Damit die Verbindung zu Virtual Server 2005 hergestellt wird, muss auf die Schaltfläche Connect geklickt werden, mit der auch Verbindung zu einem Server über das Netzwerk hergestellt werden kann. Neben dem lokalen Server lassen sich insgesamt bis zu 32 Host-Computer verwalten. Das Tool baut über den TCP-Port 5900 eine Verbindung zum Server auf. Aus diesem Grund muss dieser Port in der Firewall freigeschaltet sein und darf nicht von anderen Anwendungen belegt werden. Manche VNC-Versionen belegen diesen Port und behindern VMRC Plus am Verbindungsaufbau. Wird VMRC Plus mit mehreren Hosts verbunden, wird für jeden Host eine eigene Registerkarte eingeblendet, über die jeweils die einzelnen virtuellen Maschinen angezeigt werden. Nach der Verbindung mit einem Host werden im unteren Bereich des Clients Eigenschaften über den Server angezeigt, zum Beispiel den verfügbaren Arbeitsspeicher und die Anzahl von CPUs. Diese Informationen sind beim Erstellen von neuen virtuellen Maschinen hilfreich, da die Hosts nicht immer mit identischer Hardware betrieben werden. VMRC Plus ist kompatibel zu Windows Vista, aber vor allem beim neuen Microsoft-Betriebssystem müssen die Firewall-Einstellungen überprüft werden, damit der Verbindungsaufbau gelingt. Sollte sich der Client trotz korrekter Firewall-Einstellungen nicht verbinden, liegt es selten an VMRC Plus, sondern meistens an den Einstellungen von Virtual Server 2005 R2. Auf der Seite http://www.hasslinger.com/microsoft/sites/server/dotnet/ grund/virtualserver2005_errors.html werden hilfreiche Informationen über die Fehlerbehebung zur Verfügung gestellt.
44
Aufbau einer Testumgebung
Abbildung 2.3: Mit dem Virtual Machine Manager von VMRC Plus werden die virtuellen Server verwaltet.
1
2 3 4 5 6 7 8 Über das Kontextmenü der virtuellen Maschinen im Virtual Machine Manager werden diese gestartet, gestoppt, Snapshots erstellt oder die Einstellungen angepasst.
9
Über den Menüpunkt Virtual Machine/Create wird der Assistent zum Erstellen neuer virtueller Maschinen gestartet. Hierüber lassen sich auch mehrere virtuelle Server gleichzeitig erstellen. Der Assistent nummeriert diese Maschinen durch, sodass der Name eindeutig bleibt. Für jede neue virtuelle Maschine werden automatisch zwei virtuelle SCSI-Festplatten erstellt und verbunden. Die Platten können über die Einstellungen auf der rechten Seite des Fensters nachträglich angepasst werden. Durch die Option Parent bei der Erstellung wird einem neuen virtuellen Computer ein bereits vorhandener Computer als Basis zugewiesen. Dieser Basiscomputer enthält zum Beispiel schon das Betriebssystem mit allen Service Packs, Einstellungen und Hotfixes. Als Grundlage für einen solchen »Parent« dient eine mit Sysprep vorbereitete Maschine. Neue virtuelle Computer lassen sich auf diesen Weg sehr schnell erstellen und haben den Vorteil, auf der gleichen Basis aufzubauen, um Installationszeit zu sparen. Auf diesem Weg lassen sich sehr schnell Testumgebungen mit zahlreichen identischen Servern aufbauen. In den virtuellen Festplatten der untergeordneten Computer werden nur die Änderungen zum »Parent« gespeichert, sodass diese deutlich weniger Festplattenplatz benötigen. Die Einstellungen des »Parent« bleiben davon getrennt, sodass die Grundlage der Server immer identisch bleibt, die Server aber selbst individuell angepasst werden können. Alle Einstellungen von virtuellen Maschinen lassen sich bequem auch über die Schaltflächen auf der rechten Seite des Virtual Machine Managers bearbeiten. Hier wird auch in einer kleinen Vorschau der aktuelle Bildschirm des Servers angezeigt.
10 11 12 13 14 15
45
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.4: Mit dem Virtual Machine Manager von VMRC Plus werden die virtuellen Server verwaltet.
Der Status sowie die Disk- und Netzwerk-I/O, die CPU-Auslastung und das Betriebssystem des Gasts werden ebenfalls auf der rechten Seite angezeigt, sobald diese Maschine im Virtual Machine Manager angeklickt wird. Werden mehrere virtuelle Maschinen mit der Konsole verwaltet, werden diese durch Klicken auf die jeweilige Spalte sortiert. Der Client unterstützt auch das Markieren von mehreren Clients gleichzeitig. Gestartete virtuelle Maschinen werden dick angezeigt. Das Fenster aktualisiert sich dynamisch mit den neuesten virtuellen Maschinen auf dem Host. Das Intervall für diese Aktualisierung wird über den Menüpunkt View eingestellt und in der unteren rechten Ecke angezeigt. Über den Menüpunkt Virtual Server werden Systemeinstellungen des aktuellen Hosts vorgenommen sowie die Berechtigungen konfiguriert. Normalerweise haben Mitglieder in der lokalen Administratorgruppe alle Rechte auf dem Server, über den Menüpunkt Security werden diese angepasst. Neben den virtuellen Servern werden über den Virtual Machine Manager auch die virtuellen Festplatten und virtuellen Netzwerke verwaltet. Diese virtuelle Hardware wird anschließend an die virtuellen Server verteilt. Der Ablauf dabei ist identisch wie beim Einsatz ohne VMRC Plus, nur eben bequemer. Über die virtuellen Netzwerke kann auch ein interner DHCP-Server erstellt sowie dessen Einrichtung vorgenommen werden. Dieser Server steht dann speziell für die definierten virtuellen Maschinen zur Verfügung. Dazu müssen lediglich die Option Enable Bulit-In DHCP-Server aktiviert und über Settings die Einstellungen konfiguriert werden. Die VM-Konsole von virtuellen Maschinen, also die Remotesteuerung des Bildschirms, wird über das Kontextmenü oder den Aktionsbereich des Tools gestartet. Im Konsolenfenster werden Einstellungen betreffend die Verbindung vorgenommen. Der Computer kann pausiert, neu gestartet oder heruntergefahren werden. Screen-
46
Aufbau einer Testumgebung
shots lassen sich genauso über das Menü erstellen, wie sich die Einstellungen der Maschine ändern lassen. Über den Menüpunkt Special lässt sich Text auf die virtuelle Maschine übertragen, was zwar kein vollwertiger Ersatz für die Zwischenablage ist, aber zum Übertragen kleinerer Nachrichten oder Seriennummern durchaus hilfreich ist. Werden mehrere VM-Konsolen geöffnet, werden diese in einem einzelnen Fenster auf verschiedenen Registerkarten angezeigt, was die Übersichtlichkeit enorm erhöht, je mehr virtuelle Maschinen verwaltet werden. Im unteren Bereich wird der Status der verbundenen Disketten- und CD-/DVD-Laufwerke angezeigt. Hier werden auch ISO-Abbilder als Laufwerk verbunden oder wieder getrennt. Die Auflösung der Konsole sowie die Verwaltung der Undo-Disks werden ebenfalls im Konsolenfenster durchgeführt.
2.1.3
1
2 3
Erstellen eines virtuellen Servers mit Microsoft Virtual Server 2005 R2
4
Um einen neuen virtuellen Server zu erstellen, sollten Sie zunächst die Installationsmedien von Windows Server 2003 R2 bereithalten. Virtual Server bietet die Möglichkeit, ISO-Dateien als CD-ROM-Laufwerke für virtuelle Server zur Verfügung zu stellen.
5 6
Erstellen eines neuen virtuellen Netzwerks Der erste Schritt bei der Erstellung eines neuen virtuellen Servers besteht darin, ein virtuelles Netzwerk zu erstellen. Um ein neues virtuelles Netzwerk zu erstellen, klicken Sie auf der Startseite des Virtual Servers im Bereich Virtuelle Netzwerke auf Erstellen (siehe Abbildung 2.5). Es öffnet sich ein neues Fenster, in dem Sie das virtuelle Netzwerk erstellen können. Geben Sie dem Netzwerk die Bezeichnung LAN. Weisen Sie diesem Anschluss den physischen Netzwerkadapter Ihres Testservers zu. Klicken Sie auf OK, wird der virtuelle Adapter erstellt (siehe Abbildung 2.5).
7 8 9 Abbildung 2.5: Erstellen einer virtuellen Netzwerkverbindung
10 11 12 13 14 15
47
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Festlegen der Verzeichnisstruktur für neue virtuelle Computer Der nächste Schritt sollte darin bestehen, dass Sie auf dem physischen Server eine Verzeichnisstruktur erstellen, in der später die virtuellen Festplatten der virtuellen Server gespeichert werden. Erstellen Sie dazu am besten ein übergeordnetes Verzeichnis, zum Beispiel MSVS. Unterhalb dieses Verzeichnisses sollten Sie weitere zwei Verzeichnisse erstellen. Im ersten Verzeichnis werden die Konfigurationsdaten der virtuellen Server gespeichert. Dieses Verzeichnis können Sie zum Beispiel vmconfig nennen. Im zweiten Verzeichnis werden die Dateien der virtuellen Datenträger gespeichert. Dieses Verzeichnis nennen Sie beispielsweise vm-disks. Haben Sie die Verzeichnisse im Explorer angelegt, können Sie diese in der Verwaltungsoberfläche von Virtual Server 2005 R2 hinterlegen. In diesen Verzeichnissen werden später automatisch die entsprechenden Daten der virtuellen Server abgelegt:
1.
2. 3. 4. Abbildung 2.6: Festlegen der Speicherpfade für virtuelle Maschinen
48
Um die neuen Verzeichnisse zu hinterlegen, klicken Sie in der Verwaltungsoberfläche des Virtual Servers im Bereich Virtual Server auf die Option Servereigenschaften und im nächsten Fenster auf den Link Suchpfade. Tragen Sie im folgenden Fenster im Bereich Standardordner für Konfiguration virtueller Computer den Pfad zum Konfigurationsverzeichnis ein. Im Verzeichnis Suchpfade tragen Sie das Verzeichnis zu den virtuellen Festplatten ein. Speichern Sie diese Eingaben mit OK ab (siehe Abbildung 2.6).
Aufbau einer Testumgebung
Erstellen des Datenträgers für den ersten virtuellen Computer Die Datenträger der einzelnen virtuellen Server sind Dateien, die im Dateisystem auf dem Server abgelegt werden, auf dem Sie den Microsoft Virtual Server 2005 R2 installiert haben.
1
Um einen neuen Datenträger zu erstellen, klicken Sie im Bereich Virtuelle Festplatten auf Erstellen. Sie können an dieser Stelle verschiedene virtuelle Festplattenstrukturen auswählen. Wählen Sie die Option Dynamisch erweiterbare virtuelle Festplatte. Sie können unter Pfad: das Verzeichnis auswählen, das Sie zur Ablage der virtuellen Festplatten vorher konfiguriert haben (siehe Abbildung 2.7).
2 3 Abbildung 2.7: Erstellen einer neuen virtuellen Festplatte
4 5 6
Legen Sie die maximale Größe fest. Die tatsächliche Größe dieser Datei hängt ohnehin zunächst nur von der Installation ab. Direkt nach der Erstellung hat diese virtuelle Festplatte eine Größe von wenigen KB, da noch keinerlei Daten auf der Platte abgelegt wurden. Geben Sie der neuen Festplatte die Bezeichnung quell-vm. Dieser Datenträger dient später als Quelle für alle weiteren Installationen der Testserver.
7 8
Erstellen eines neuen virtuellen Servers Der nächste Schritt besteht darin, dass Sie einen neuen virtuellen Server erstellen, aus dem Sie später weitere Server recht schnell klonen können. Um einen neuen virtuellen Computer zu erstellen, klicken Sie im Bereich Virtuelle Computer auf Erstellen (siehe Abbildung 2.8).
1. 2.
3. 4. 5. 6.
9 10
Geben Sie dem neuen virtuellen Computer den Namen quell-vm, da aus diesem Computer später weitere virtuelle Server geklont werden. Weisen Sie dem Server genügend Arbeitsspeicher zu. Denken Sie daran, dass Sie nur so viel Arbeitsspeicher auf die virtuellen Server verteilen können, wie auch im physischen Server vorhanden sind. Wählen Sie als Datenträger die Option Eine vorhandene virtuelle Festplatte verwenden aus. Wählen Sie den Pfad und den Dateinamen zu der Datei quell-vm.vhd aus. Wählen Sie danach noch im Bereich Virtueller Netzwerkadapter den Netzwerkanschluss aus, den Sie vorher bereits erstellt haben. Klicken Sie danach auf Erstellen (siehe Abbildung 2.8).
11 12 13 14 15
49
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.8: Erstellen eines neuen virtuellen Servers
Anpassen der Einstellungen für den virtuellen Server Standardmäßig wird dem Server als CD-/DVD-Laufwerk das physische Laufwerk auf dem Server zugeordnet. Wollen Sie die Installation des Betriebssystems wie empfohlen von einer ISO-Datei durchführen, klicken Sie zunächst auf die Konfiguration des CD-Laufwerks im Bereich CD/DVD und geben den Pfad zur ISO-Datei an (siehe Abbildung 2.9). Abbildung 2.9: Festlegen einer ISO-Datei als CD-Laufwerk
Starten des virtuellen Servers und Aktivierung der Fernsteuerung Klicken Sie auf das kleine Vorschausymbol des Servers oben links, wird dieser eingeschaltet und fängt an zu booten. Dieser Vorgang kann einige Sekunden dauern. Verwenden Sie den Internet Explorer 7, wird unter Umständen die Ansicht nicht 50
Aufbau einer Testumgebung
automatisch aktualisiert. Klicken Sie in diesem Fall [F5]. Klicken Sie auf den Namen des Servers, erscheint ein neues Menü, in dem Sie Remotesteuerung auswählen können (siehe Abbildung 2.10). Abbildung 2.10: Auswahl der Remotesteuerung bei einem virtuellen Server
1
2 3 4 5
Es erscheint ein weiteres Fenster, in dem Sie zunächst den VMRC-Server aktivieren müssen. Haben Sie den VMRC-Server gestartet, wird im Internet Explorer des Clients ein neues ActiveX-Element installiert, das zur Fernsteuerung des Servers benötigt wird. Lassen Sie die Installation des Controls zu. Sie erhalten noch die Warnung, dass die Remotesteuerung nicht durch SSL verschlüsselt ist. Die SSL-Verschlüsselung können Sie ebenfalls auf der Konfigurationsseite des VMRC-Servers aktivieren, in einer Testumgebung benötigen Sie das allerdings nicht. Im Anschluss startet die Oberfläche des Servers, und Sie können mit der Installation des Betriebssystems fortfahren.
6 7 8
Installation von Windows Server 2003/2008 auf einem virtuellen Server Klicken Sie in das Fenster der virtuellen Maschine, wird der Fokus des Desktops auf die virtuelle Maschine gelegt. Die Maus ist auf dem PC nicht mehr verfügbar. Drücken Sie die Hosttaste, wird die Maus wieder verfügbar gemacht. Sie können die Hosttaste über den Menüpunkt Remotesteuerung/Hosttaste konfigurieren. Standardmäßig liegt die Hosttaste auf der rechten [ALT]-Taste.
9 10
Haben Sie die Installation abgeschlossen, beginnt der nächste Schritt der Konfiguration. Geben Sie während der Installation dieser Maschine die Bezeichnung quell-vm. Lassen Sie ansonsten alle Einstellungen auf Standard, und schließen Sie die Installation ab. Nach der Installation ist der virtuelle Server einsatzbereit, und Sie können sich anmelden. Die Tastenkombination [STRG)+(ALT)+(ENTF], die Sie zur Anmeldung am virtuellen Server drücken müssen, können Sie nicht über die Tastatur eingeben, da ansonsten Ihr lokaler Rechner diese Eingabe übernimmt. Wählen Sie stattdessen den Menüpunkt Remotesteuerung/Spezialtasten/STRG+ALT+ENTF senden (siehe Abbildung 2.11).
11 12 13 Abbildung 2.11: STRG+ALT+ENTF für die Anmeldung senden
14 15
51
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Installation von Windows Server 2003 R2 Windows Server 2003 R2 baut auf das Service Pack 1 für Windows Server 2003 auf. Mit der Installation von R2 werden keine Änderungen an den Systemdateien oder der Architektur des Servers vorgenommen, sondern ausschließlich zusätzliche Funktionen hinzugefügt. Zum Lieferumfang von Windows Server 2003 R2 gehören zwei CDs. Auf der ersten CD befindet sich das Betriebssystem Windows Server 2003 SP1. Installieren Sie mit dieser CD einen Server, wird Windows Server 2003 mit integriertem SP1 installiert. Erst durch die nachträgliche Installation der zweiten CD wird der Server auf R2 aktualisiert. Um R2 zu installieren, müssen Sie einen Server zunächst auf Windows Server 2003 SP1 aktualisieren. R2 lässt sich nicht auf einem Server ohne SP1 für Windows Server 2003 installieren. Wurde der Server auf Windows Server 2003 SP1 aktualisiert, können Sie den zweiten Datenträger einlegen. Haben Sie die Autostart-Funktion der CD aktiviert, erscheint das Installationsfenster von R2. Sie können die Installation auch über \cmpnents\r2\setup2.exe starten. Auf dem Willkommensbildschirm wählen Sie die Option Windows Server 2003 R2 Setup fortsetzen, damit die Installation gestartet wird. Es erscheint der Installationsassistent, der Sie durch die Aktualisierung auf Windows Server 2003 R2 führt. Die einzelnen Fenster des Assistenten sind selbsterklärend. Arbeiten Sie mit einer ISO-Datei, können Sie in der Webverwaltungsoberfläche von Virtual Server 2005 R2 einfach den neuen Pfad zur ISO-Datei als Laufwerk hinterlegen, auf dem gleichen Weg wie Sie die erste CD hinterlegt haben. Sie können dazu die Remotesteuerung verlassen und die Einstellung des virtuellen Servers im laufenden Betrieb anpassen. Haben Sie die Änderungen vorgenommen, können Sie sich wieder per Remotesteuerung auf den Server schalten und die Installation der R2Komponenten abschließen. Die Installation von Windows Server 2008 läuft identisch ab zur Installation von Windows Server 2003 ohne R2-Komponenten.
Installation der Virtual Machine Additions Installieren Sie die Virtual Machines Additions, indem Sie auf den Link Klicken Sie hier, um das Virtual Machine Additions-Setup zu starten ganz unten auf dem Bildschirm klicken (siehe Abbildung 2.12). Nach der Installation der Virtual Machine Additions (siehe Abbildung 2.13) müssen Sie den Server neu starten. Anschließend sollten Sie die Auflösung des Bildschirms anpassen. Durch die Installation der Virtual Maschine Additions wird die Performance der virtuellen Maschine erhöht, und Sie können die Maus aus dem Bildschirm der virtuellen Maschine bewegen, ohne die Hosttaste drücken zu müssen. Konfigurieren Sie die virtuellen Server so, dass Sie eine Verbindung in Ihr Hausnetz haben, können Sie auch auf den virtuellen Servern den Remotedesktop aktivieren wie auf jedem anderen Server auch. Das RDP-Protokoll des Remotedesktops ist wesentlich schneller als der VMRC-Client von Virtual Server 2005 R2.
52
Aufbau einer Testumgebung
Abbildung 2.12: Installation der Virtual Machine Additions
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Wollen Sie von den virtuellen Servern eine Internetverbindung aufbauen, müssen Sie auf dem Host-PC den Microsoft Loopback-Adapter installieren und die Freigabe für den Internetzugriff verwenden. Diese Funktion ist in Virtual Server 2005 R2 zugegebenermaßen weniger optimal gelöst, was aber für eine Testumgebung keine Probleme macht.
Klonen des virtuellen Servers Im Anschluss können Sie weitere Server, die Sie für die Testumgebung benötigen, als Klon dieses Quellservers erstellen. Diese Option ist platzsparend und sehr effizient, weil Sie in Sekundenschnelle einen Windows Server 2003 für Ihre Testumgebung bauen können. Sie müssen nicht jedes Mal neu Windows Server 2003 installieren, sondern können ständig auf die bereits erstellte Basisinstallation zurückgreifen.
Vorbereiten des virtuellen Servers für das Klonen Sobald Sie die Installation des virtuellen Servers abgeschlossen haben, sollten Sie den Inhalt der Datei deploy.cab im Verzeichnis \support\tools auf dem Windows Server 2003-Installationsmedium in das Windows-Verzeichnis des virtuellen Servers entpacken. Dieses Verzeichnis finden Sie auf der ersten Installations-CD der Windows Server 2003 R2-Installationsmedien.
1.
Klicken Sie dazu doppelt auf die Datei deploy.cab, markieren Sie alle enthaltenen Dateien, und klicken Sie diese mit der rechten Maustaste an. Wählen Sie aus dem Kontextmenü die Option Extrahieren aus (siehe Abbildung 2.14). Sie können alle Dateien einfach in das Windows-Verzeichnis auf dem virtuellen Server extrahieren lassen.
2.
Haben Sie die Datei in das Verzeichnis kopiert, rufen Sie die Datei sysprep.exe aus dem Windows-Verzeichnis auf. Es öffnet sich der Assistent, der den Server für das Klonen vorbereitet. Bestätigen Sie die erste Warnmeldung. Klicken Sie im Assistenten auf die Schaltfläche Erneut versiegeln, und bestätigen Sie die einzelnen Meldungen, bis der Server die Aktion abschließt und herunterfährt (siehe Abbildung 2.15).
Abbildung 2.14: Extrahieren einer Datei aus den Support-Tools
3.
54
Aufbau einer Testumgebung
Abbildung 2.15: Vorbereiten eines Servers für das Klonen
1
2 3 4 5 6 Klicken Sie im Anschluss auf Ihrem Test-PC im Explorer die Datei quell-vm.vhd mit der rechten Maustaste an, und wählen Sie Eigenschaften. Setzen Sie das Attribut Schreibgeschützt, damit diese Datei durch das spätere Klonen nicht versehentlich überschrieben wird.
7 Abbildung 2.16: Schreibschützen der Datei mit der virtuellen Festplatte
8 9 10 11 12 13
Erstellen einer neuen virtuellen Festplatte für den geklonten Server 14
Um einen Klon eines bestehenden Servers zu erstellen, müssen Sie zunächst einen neuen Datenträger für den Klon erstellen. Dieser Klon dient zur Installation eines weiteren virtuellen Servers. Der erstellte Quellserver bleibt in diesem Fall immer heruntergefahren.
1.
15
Gehen Sie dazu zurück in das Hauptmenü der Serververwaltung. Klicken Sie im Bereich Virtuelle Festplatten auf Erstellen.
55
Aufbau einer Testumgebung, Grundlagen und erste Schritte
2.
3.
4. 5.
Wählen Sie aus dem Menü den Punkt Differenzierende virtuelle Festplatte aus (siehe Abbildung 2.17). Wählen Sie diese Festplatte aus, wird auf Basis einer bereits vorhandenen virtuellen Festplatte eine neue Festplatte erstellt. Dadurch können Sie von bereits vorhandenen virtuellen Festplatten ein Abbild erschaffen. Microsoft empfiehlt, die übergeordnete virtuelle Festplatte mit einem Schreibschutz zu versehen, damit diese nicht versehentlich überschrieben wird (daher haben Sie die Datei quell-vm.vhd schreibgeschützt). In der Differenzplatte liegen nur die Änderungen, die das Gastsystem an der virtuellen Platte vorgenommen hat. Dazu werden alle Schreibzugriffe des Gastes in die Differenzplatte umgeleitet. Lesezugriffe kombinieren den Inhalt der Differenzplatte und den Inhalt der zugrunde liegenden virtuellen Platte (in unserem Beispiel die quell-vm.vhd), ohne dass der Gast etwas davon bemerkt. Die zugrunde liegende Platte wird nicht mehr verändert, und die Differenzplatte bleibt relativ klein, da sie nur Änderungen enthält. Eine fertige Basisinstallation kann von mehreren VMs gleichzeitig verwendet werden, indem Sie mehrere Differenzplatten erstellen, die dieselbe virtuelle Platte verwenden. Dadurch sparen Sie sich viel Zeit und Platz beim Klonen von virtuellen Maschinen. Wählen Sie den Speicherort der neuen Festplatte aus. Verwenden Sie das gleiche Verzeichnis, das Sie auch für den anderen Datenträger verwendet haben, verwenden Sie aber einen anderen Namen. Geben Sie dem neuen Datenträger die Bezeichnung des neuen Servers, zum Beispiel dc01. Wählen Sie im Menü Bekannte virtuelle Festplatten die von Ihnen erstellte quellvm.vhd aus. Aus dieser Platte erstellt der Assistent im Anschluss den neuen Datenträger des geklonten Servers (siehe Abbildung 2.17).
Abbildung 2.17: Erstellen einer neuen differenzierenden Festplatte
Erstellen eines neuen geklonten virtuellen Servers Im Anschluss wählen Sie aus dem Hauptmenü im Bereich Virtuelle Computer wieder Erstellen und geben die notwendigen Angaben ein, um einen neuen virtuellen Server zu erstellen.
56
Aufbau einer Testumgebung
1.
2. 3.
Aktivieren Sie die Option Eine vorhandene virtuelle Festplatte verwenden. Wählen Sie Pfad und Datei der neu erstellten virtuellen Festplatte für den neuen geklonten Server aus. Wählen Sie für das Netzwerk den Anschluss LAN aus, und lassen Sie die Maschine erstellen. Klicken Sie doppelt auf die Vorschau des Servers, und lassen Sie den Server starten.
1
2
Der Server startet bereits mit der Windows Server 2003-Installation, und Sie müssen nur einige wenige neue Informationen eingeben, um die Installation des Servers abzuschließen. Sie können auf exakt die gleiche Weise beliebige virtuelle Server erstellen, die Sie für die Testumgebung benötigen. Achten Sie darauf, dass die Quellfestplatte nicht versehentlich überschrieben wird, da diese als Basis für alle Server gilt. Alle weiteren virtuellen Testserver erhalten eine eigene differenzierende Festplatte, die auf der bekannten quell-vm aufbaut.
3 4 INFO
5
Virtuelle Server anhalten und beenden 6
Sie können im Hauptfenster auf der Verwaltungswebseite den Status der laufenden Maschinen ansehen und verändern. Abbildung 2.18: Status eines Servers
7 8 9 10 11
Klicken Sie auf den Servernamen mit dem schwarzen Pfeil daneben, erscheint ein Menü, in dem Sie den Status des Servers anpassen können (siehe Abbildung 2.18). Vor allem zwei Optionen sind in diesem Fall von Bedeutung: ■
■
12
Anhalten – Einer laufenden VM werden sämtliche CPU-Ressourcen entzogen, sie friert im aktuellen Zustand ein. Der RAM-Inhalt und damit der aktuelle Zustand der Maschine bleiben erhalten, und die VM läuft nach dem Fortsetzen sofort weiter. Zustand speichern – Mit dieser Option wird der RAM-Inhalt in einer Datei auf dem Host abgespeichert und der Gast dann abgeschaltet. Beim späteren Starten wird dieser Status aus der Datei wieder in den Arbeitsspeicher geladen, und die Maschine steht recht schnell erneut zur Verfügung. Dieser Weg ist die optimale Art, einen Testserver pausieren zu lassen, solange er nicht benötigt wird.
13 14 15
57
Aufbau einer Testumgebung, Grundlagen und erste Schritte
2.1.4
Active Directory- und DNS-Infrastruktur erstellen
Im nächsten Schritt erstellen Sie auf einem installierten Testserver eine Active Directory-Domäne, in die später Exchange 2007 integriert wird. Das Active Directory und DNS sind miteinander verbunden. Aus diesem Grund werden in diesem Abschnitt sowohl die notwendigen Themen um das DNS als auch das Zusammenspiel mit dem Active Directory ausführlich behandelt. Ohne stabiles DNS ist ein Active Directory nicht funktionsfähig.
Einführung in DNS unter Windows Server 2003 und Windows Server 2008 Die hauptsächliche Aufgabe von DNS (Domain Name System) ist die Auflösung von Computernamen zu IP-Adressen, auch Forward-Lookup genannt. Eine weitere Aufgabe ist das Auflösen von IP-Adressen zu Computernamen, auch Reverse-Lookup genannt. Computernamen im DNS bestehen nicht nur aus einem NetBIOS-Name, wie zum Beispiel dc01, sondern zusätzlich aus einem sogenannten Domänennamen, wie zum Beispiel contoso.com. Einen vollständigen Rechnernamen bezeichnet man auch als voll qualifizierten Domänennamen (Full Qualified Domain Name, FQDN). Der FQDN eines Servers dc01 in der Domäne contoso.com ist dc01.contoso.com. Die beiden Rechner dc01. contoso.com und dc01.contoso.int sind zwei vollkommen unterschiedliche Systeme. Um eine Verbindung mit einem dieser Systeme aufzubauen, reicht es nicht aus, nur den Namen dc01 auflösen zu können. Es ist wichtig, dass die beteiligten Computer, welche die Verbindung zu den beiden Servern aufnehmen sollen, beide Domänennamen auflösen können. DNS-Domänen, wie in diesem Beispiel contoso.com und contoso.int, werden auf DNS-Servern in sogenannten Zonen verwaltet. Eine Zone kann mehrere Subdomänen einer Domäne verwalten, zum Beispiel de.contoso.com oder fr.contoso.com. Allerdings kann eine Zone auf einem DNS-Server nicht verschiedene Namensräume verwalten, wie zum Beispiel contoso.com und contoso.int. In diesem Fall müssten für diese beiden DNS-Domänen zwei getrennte Zonen angelegt werden. Eine weitere wichtige Aufgabe von DNS ist das Auflösen von SRV-Records (ServiceRecords). In SRV-Records werden spezielle Serverdienste abgelegt, die in DNS veröffentlicht werden. Ein Beispiel wäre der bekannte SRV-Record MX (Mailexchanger), der festlegt, welche E-Mail-Server es in einer Domäne gibt und wie die IP-Adresse dieses Servers lautet. Die Aufgabe des DNS-Servers besteht in diesem Bereich darin, dass Computer den DNS-Server befragen können, welcher Server im Netzwerk einen bestimmten Netzwerkdienst verwaltet. Es gibt zahlreiche SRV-Records im DNS, die durch das Active Directory angelegt werden. Wollen Computer spezielle Dienste im Active Directory erreichen, zum Beispiel einen globalen Katalogserver, können die DNS-Server befragt werden, die alle SRV-Records der globalen Katalogserver kennen.
DNS auf einem Windows Server 2003 installieren Um DNS auf einem Windows Server 2003 zu installieren, aktivieren Sie Systemsteuerung/Software/Windows-Komponenten hinzufügen/Netzwerkdienste/Details/DNSServer (Domain Name System) (siehe Abbildung 2.19).
58
Aufbau einer Testumgebung
Abbildung 2.19: DNS auf einem Windows Server 2003 R2 installieren
1
2 3 4 5 Klicken Sie diese Option an, und lassen Sie die notwendigen Komponenten installieren. Nach der Installation müssen Sie den Server nicht neu starten.
6 Wollen Sie ein neues Active Directory erstellen, besteht der erste Schritt darin, auf dem ersten geplanten Domänencontroller nach der Installation des Windows Server 2003 zunächst die DNS-Erweiterung zu installieren.
7
TIPP
Verwalten des DNS-Servers 8
Nach der Installation finden Sie das Verwaltungsprogramm für den DNS-Server unter Start/Programme/Verwaltung/DNS (siehe Abbildung 2.20). Starten Sie die Verwaltung, sehen Sie zunächst die Menüpunkte, die Sie an dieser Stelle zur Verwaltung verwenden: ■ ■ ■
10 Abbildung 2.20: Verwaltungskonsole eines DNS-Servers nach der Installation
11 12 13 14 15
59
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Standardmäßig werden Sie mit dem lokal installierten DNS-Server verbunden. Erstellen Sie später eine einheitliche Managementkonsole (MMC), können Sie die Verwaltung mehrerer DNS-Server in Ihrem Unternehmen an einer Stelle verbinden. Klicken Sie mit der rechten Maustaste in der Konsole auf den Menüpunkt DNS, können Sie sich mit zusätzlichen DNS-Servern verbinden (siehe Abbildung 2.21). Für die Testumgebung werden diese Schritte nicht benötigt. Abbildung 2.21: Weitere DNS-Server zu einer MMC hinzufügen
Mit den Menüpunkten Forward-Lookupzonen und Reverse-Lookupzonen werden die Zonen angelegt, die das Active Directory für seinen Betrieb benötigt. Im Menü Ereignisanzeige finden Sie das gleiche Protokoll wie in der Ereignisanzeige des Servers.
Vorbereitungen für das Active Directory Der nächste Schritt der Installation eines Active Directory besteht darin, den NetBIOS-Namen und das DNS-Suffix des ersten Domänencontrollers so zu wählen, wie später die Active Directory-Domäne benannt werden soll. Konfigurieren Sie daher zunächst über Systemsteuerung/System/Computername/ Ändern den NetBIOS-Namen des neuen Domänencontrollers, zum Beispiel dc01 (siehe Abbildung 2.22). Klicken Sie dann in diesem Fenster auf die Schaltfläche Weitere, und geben Sie das DNS-Suffix des Servers an. Geben Sie an dieser Stelle exakt den DNS-Namen an, den Ihre Active Directory-Domäne später erhalten soll, zum Beispiel contoso.com (siehe Abbildung 2.22). Der vollständige Name des Servers (FQDN) setzt sich aus dem Computernamen und dem primären DNS-Suffix zusammen. Der vollständige Computername des Domänencontrollers lautet dc01.contoso.com. Haben Sie die Änderungen vorgenommen, müssen Sie den Server neu starten.
60
Aufbau einer Testumgebung
Abbildung 2.22: Definieren des Computernamens und des DNS-Suffixes eines Domänencontrollers
1
2 3 4 5 Konfigurieren der IP-Einstellungen des Servers 6
Haben Sie den vollständigen Computernamen festgelegt, sollten Sie als Nächstes die IP-Einstellungen des Servers anpassen. Wichtig ist an dieser Stelle, dass Sie die lokale IP-Adresse des Servers als primären DNS-Server festlegen. Da dieser Server der erste Domänencontroller des neuen Active Directory werden soll, wird er auch der erste DNS-Server. Tragen Sie in den Eigenschaften des IP-Protokolls die IPAdresse des Servers als bevorzugten Server ein (siehe Abbildung 2.23).
7 8 Abbildung 2.23: Konfigurieren der IP-Einstellungen des ersten Domänencontrollers
9 10 11 12 13 14
Der nächste Schritt besteht darin, den DNS-Server für das Active Directory vorzubereiten.
15
An dieser Stelle müssen Sie noch keinen alternativen DNS-Server eintragen. Der alternative DNS-Server wird erst von einem Client befragt, wenn der bevorzugte DNS-Server nicht mehr antwortet.
61
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Erstellen der notwendigen DNS-Zonen für das Active Directory Der nächste Schritt zur Erstellung eines Active Directory besteht in der Erstellung der neuen Zonen, welche die DNS-Domänen des Active Directory verwalten. Starten Sie über Start/Ausführen/mmc eine neue MMC, und wählen Sie über Datei/Snap-In hinzufügen/Hinzufügen/DNS das Snap-In zur Verwaltung des DNS-Servers aus. Mehr Snap-Ins brauchen Sie an dieser Stelle noch nicht hinzuzufügen.
Erstellen einer Forward-Lookupzone Die erste und wichtigste Zone, die Sie auf einem DNS-Server erstellen, ist die Forward-Lookupzone der ersten Domäne des Active Directory. Abbildung 2.24: Erstellen einer neuen primären Zone für das Active Directory
Klicken Sie dazu in der MMC mit der rechten Maustaste auf den Menüpunkt Forward-Lookupzonen, und wählen Sie aus dem Menü Neue Zone aus. Es startet der Assistent zum Erstellen von neuen Zonen. Im nächsten Fenster können Sie festlegen, welche Art von Zonen Sie erstellen wollen. Wählen Sie die Option Primäre Zone aus. Beim Erstellen neuer Domänen im Active Directory werden ausschließlich primäre Domänen benötigt (siehe Abbildung 2.24). Auf der nächsten Seite des Assistenten legen Sie den Namen der neuen Zone fest. Hier ist es extrem wichtig, dass Sie als Zonennamen exakt den Namen wählen, den Sie zuvor als DNS-Suffix eingetragen haben (siehe Abbildung 2.25). Das DNS-Suffix des Domänencontrollers wird später in diese Zone integriert, und die erste Active Directory-Domäne speichert ihre SRV-Records ebenfalls in dieser Domäne. Im Anschluss erscheint das Fenster, in dem Sie die Erstellung einer neuen Datei für die Zone bestätigen müssen. Sie könnten an dieser Stelle den Namen der Datei zwar ändern, sollten ihn aber möglichst immer so belassen, wie er festgelegt wurde. Im nächsten Fenster müssen Sie die dynamischen Updates der DNS-Zone festlegen. DNS-Server unter Windows Server 2003 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV-Records des Active Directory werden automatisch in diese Zone eingetragen.
62
Aufbau einer Testumgebung
Abbildung 2.25: Festlegen des Zonennamens
1
2 3 Ohne dynamische Updates können Sie in einer Zone kein Active Directory integrieren. Der Installationsassistent des Active Directory muss in einer Zone Dutzende Einträge automatisch durchführen können. Aktivieren Sie daher im Fenster die Option Nicht sichere und sichere dynamische Updates zulassen (siehe Abbildung 2.26).
4 5 Abbildung 2.26: Aktivieren der dynamischen Updates für eine Zone
6 7 8 9 10 11
Im Anschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Angaben, danach wird die Zone erstellt und in der MMC angezeigt (siehe Abbildung 2.27).
12 Abbildung 2.27: Anzeigen einer neu erstellten DNS-Zone
13 14 15
Innerhalb der Zone sollte bereits der lokale Server als Host (A) mit seiner IP-Adresse registriert sein. Diese Registrierung findet nur statt, wenn das primäre DNS-Suffix des Servers mit der erstellten Zone übereinstimmt und die dynamische Aktualisie63
Aufbau einer Testumgebung, Grundlagen und erste Schritte
rung zugelassen wurde. In den IP-Einstellungen des Servers muss außerdem der DNS-Server eingetragen sein, der die Zone verwaltet.
Erstellen einer Reverse-Lookupzone Im Anschluss an die Forward-Lookupzone sollten Sie eine Reverse-Lookupzone erstellen. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Klicken Sie mit der rechten Maustaste auf den Menüpunkt Reverse-Lookupzone, und wählen Sie Neue Zone aus. Auf der ersten Seite des Assistenten wählen Sie wieder die Option Primäre Zone. Legen Sie auf der nächsten Seite des Assistenten den IP-Bereich fest, der durch diese Zone verwaltet werden soll (siehe Abbildung 2.28). Abbildung 2.28: Erstellen einer ReverseLookupzone
Tragen Sie zur Definition des IP-Bereiches unter Netzwerkkennung den IP-Bereich ein, den Sie verwalten wollen. Für jeden eigenständigen IP-Bereich müssen Sie eine eigene Zone anlegen. Verwalten Sie ein B-Klasse-Netz (255.255.0.0), können Sie auch einfach die letzte Stelle leer lassen, wie in diesem Beispiel (siehe Abbildung 2.28). Hat sich bei einer Zone, die Sie für die Netzwerkkennung 10.1. konfiguriert haben, ein Server mit der IP-Adresse 10.1.1.20 registriert, legt der DNS-Server automatisch einen Ordner 1 unter der Zone 10.1 an (siehe Abbildung 2.29). In diesem Ordner wird der Hosteintrag des Servers registriert. Alle weiteren IP-Adressen, wie zum Beispiel 10.1.2.20, werden ebenfalls automatisch als neuer Ordner angelegt. Sie müssen daher bei einem B-Klasse-Netzwerk nicht manuell für jedes Unternetz eine eigene Zone anlegen. Nur wenn sich der IP-Bereich vollständig unterscheidet, zum Beispiel 192.168. und 10.1., müssen Sie zwei getrennte Zonen anlegen. Auf der nächsten Seite des Assistenten legen Sie den Zonennamen fest. Danach müssen Sie die dynamischen Updates zulassen und die Zusammenfassung bestätigen. Als Nächstes wird die neue Zone erstellt (siehe Abbildung 2.29).
64
Aufbau einer Testumgebung
Abbildung 2.29: Anzeigen der erstellten ReverseLookupzone
1
2 3
Hat sich der Server noch nicht automatisch registriert, können Sie über die Eingabe des Befehls ipconfig /registerdns in der Befehlszeile und Start/Ausführen/cmd die dynamische Registrierung anstoßen (siehe Abbildung 2.30).
4 Abbildung 2.30: Durchführen der dynamischen Registrierung auf einem Server nach dem Erstellen einer Zone
5 6 7
Danach sollte die IP-Adresse des Servers in der Zone registriert sein (siehe Abbildung 2.31). Abbildung 2.31: Anzeigen des neuen Hosteintrages des Servers
8 9 10 11
Überprüfung und Fehlerbehebung der DNS-Einstellungen 12
Bevor Sie Active Directory auf dem Server installieren, sollten Sie sicherstellen, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Überprüfen Sie, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone korrekt eingetragen hat. Öffnen Sie danach eine Befehlszeile, und geben Sie den Befehl nslookup ein (siehe Abbildung 2.32).
13 Abbildung 2.32: Überprüfen des DNS-Servers vor der Installation von Active Directory
65
14 15
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Die Eingabe des Befehls darf keinerlei Fehlermeldungen verursachen. Es muss der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden. Sollte das nicht der Fall sein, gehen Sie Schritt für Schritt vor, um den Fehler einzugrenzen:
1. 2. 3. 4.
Sollte ein ähnlicher Fehler wie in Abbildung 2.33 erscheinen, versuchen Sie es einmal mit dem Befehl ipconfig/registerdns in der Befehlszeile. Sollte der Fehler weiterhin auftreten, überprüfen Sie, ob das primäre DNS-Suffix auf dem Server mit dem Zonennamen übereinstimmt. Stellen Sie als Nächstes fest, ob die IP-Adresse des Servers stimmt und der Eintrag des bevorzugten DNS-Servers auf die IP-Adresse des Servers zeigt. Überprüfen Sie in den Eigenschaften der Zone, ob die dynamische Aktualisierung zugelassen wird (siehe Abbildung 2.34), und ändern Sie gegebenenfalls die Einstellung, damit die Aktualisierung stattfinden kann.
Abbildung 2.33: Fehlermeldung beim Überprüfen eines DNS-Servers mit nslookup
Die Eigenschaften der Zonen erreichen Sie, wenn Sie mit der rechten Maustaste auf die Zone klicken und die Eigenschaften auswählen (siehe Abbildung 2.34). Abbildung 2.34: Überprüfen der dynamischen Updates in den Eigenschaften einer Zone
Grundlagen von Active Directory für Exchange Server 2007 Aus dem klassischen Domänenmodell finden sich zwei Begriffe im Active Directory wieder: Es gibt Active Directory-Domänen und Domänencontroller. Die Domäne ist weiterhin die grundlegende Strukturierungseinheit. Allerdings kann sie in eine komplexere Struktur eingebunden werden. Domänencontroller finden sich ebenfalls im
66
Aufbau einer Testumgebung
Active Directory, sie übernehmen die Verwaltung der Verzeichnisinformationen innerhalb einer Domäne. Die Benutzer-, Computer-, Freigaben- und Druckerinformationen werden in einer Datenbank gespeichert. Diese Datenbank ist eine JETDatenbank (Joint-Engine-Technologie), die Microsoft auch bei Exchange 2007 einsetzt.
1
Active Directory-Gesamtstruktur (Forest) Im Active Directory werden die Benutzerdaten und Computerinformationen nicht mehr in der Registry des PDC durch den SAM gespeichert, sondern in der Datenbank des Active Directory.
2 3
Eine Active Directory-Umgebung kann im Gegensatz zu Windows NT mehrere Domänen zu einer Einheit zusammenfassen. Das Domänenmodell ist immer noch vorhanden, wird aber extrem erweitert. Ein Active Directory kann aus mehreren selbstständigen Domänen bestehen, die dennoch zu einer großen gemeinsamen Organisation, auch Gesamtstruktur (engl. Forest) genannt, gehören (siehe Abbildung 2.35).
4 5
Alle verbundenen Domänen einer Gesamtstruktur teilen sich eine Datenbank. Eine Gesamtstruktur (Forest) ist die Grenze des Verzeichnisdienstes eines Unternehmens, in dem einheitliche Berechtigungen vergeben und delegiert werden können. In den einzelnen Domänen eines Active Directory gibt es, wie auch bei Windows NT, Domänencontroller und Domänenadministratoren.
6 7
Abbildung 2.35: Aufbau eines Active Directory
8 9 10 11 12 13 14 15
67
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Für Anwender ändert sich beim Umgang mit der Domäne so gut wie nichts. Sie können mehrere Domänen in einer Gesamtstruktur hierarchisch aufbauen. Jede Domäne in einem Active Directory ist eine eigene Partition im Verzeichnis. Jede Partition wird von unterschiedlichen Domänencontrollern verwaltet. Diese Partitionierung erfolgt automatisch. Zusätzlich gibt es die Möglichkeit mit Zusatztools, wie ldp.exe, das zum Lieferumfang des Windows Server 2003 gehört, zusätzliche Partitionen zu erstellen. Die meisten Gesamtstrukturen benötigen eine solche nachträgliche Erweiterung jedoch nicht. Active Directory-Struktur (Tree) Domänen werden im Active Directory zu Strukturen (Trees) zusammengefasst. Eine Struktur muss über einen einheitlichen Namensraum verfügen. Heißt eine Struktur beispielsweise contoso.com, kann es innerhalb dieser Struktur weitere Einheiten geben, wie beispielsweise sales.contoso.com, marketing.contoso.com und dallas. marketing.contoso.com. In einer Struktur (Tree) werden automatisch gegenseitige Vertrauensstellungen zwischen den beteiligten Domänen erzeugt. Darüber hinaus kann in einer Struktur eine Suche über mehrere Domänen hinweg erfolgen. Eine Active Directory-Gesamtstruktur (Forest) kann aus mehreren Strukturen (Trees) zusammengesetzt sein. Abbildung 2.36: Strukturen im Active Directory
INFO
Jede Gesamtstruktur besteht aus mindestens einer Struktur. Der ersten Domäne eines Active Directory kommt eine besondere Bedeutung zu: –
68
Da sie die erste Domäne ist, bildet sie die erste Struktur des Active Directory und ist gleichzeitig die Stamm(Root)-Domäne der Gesamtstruktur.
Aufbau einer Testumgebung
–
Planen Sie ein Active Directory mit nur einer Domäne, bildet diese Domäne die Gesamtstruktur, die erste und einzige Struktur und die Stamm(Root)-Domäne des Active Directory.
Die Domänen einer Struktur (Tree) teilen sich einen sogenannten Namensraum. Unter Windows NT hatten Domänen lediglich einen NetBIOS-Namen mit bis zu 15 Zeichen. Im Active Directory gibt es diese NetBIOS-Namen auch. Wichtiger sind jedoch die DNS-Namen, die jede Domäne einem DNS-Namensraum eindeutig zuweisen. Als Struktur wird ein Namensraum bezeichnet, der vollkommen eigenständig ist.
1
In der Abbildung 2.36 bilden zum Beispiel die Domänen microsoft.com und de.microsoft.com jeweils eine eigenständige Domäne innerhalb derselben Struktur (Tree).
3
2
Abbildung 2.37: Domänen im Active Directory
4 5 6 7 8 9 10 11
Auch die Domänen contoso.com, sales.contoso.com und dallas.sales.contoso.com sind eine eigene Struktur. Die beiden Strukturen contoso.com und microsoft.com sind trotz ihrer vollständig eigenständigen Namensräume Teil einer gemeinsamen Active Directory-Gesamtstruktur. Eine Exchange-Organisation kann sich immer nur auf eine einzelne Gesamtstruktur erstrecken, und jede Gesamtstruktur kann nur eine einzelne Exchange-Organisation enthalten.
12 13
Jede Domäne kann beliebige untergeordnete Domänen (Child-Domänen genannt) haben, denen ebenfalls weitere Domänen untergeordnet werden. Alle Domänen eines Namensraums werden als eigenständige Struktur bezeichnet. Child-Domänen sind wie die übergeordneten Domänen vollkommen eigenständig, teilen sich jedoch einen Namensraum und eine Active Directory-Gesamtstruktur. Sie bilden jeweils eigene Partitionen im Active Directory, die durch getrennte Domänencontroller verwaltet werden.
14 15
69
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Active Directory auf einem neuen Domänencontroller erstellen Um ein Active Directory auf einem Server zu installieren, rufen Sie den Installationsassistenten von Active Directory über Start/Ausführen/dcpromo auf (siehe Abbildung 2.38). Abbildung 2.38: Assistent zum Installieren von Active Directory auf einem Domänencontroller
Auf der nächsten Seite des Assistenten werden Sie darüber informiert, welche Betriebssysteme mit Active Directory kompatibel sind. Im Fenster Typ des Domänencontrollers beginnt die eigentliche Erstellung des Active Directory (siehe Abbildung 2.39). Hier müssen Sie zunächst festlegen, ob Sie eine neue Domäne mit einem dazugehörigen neuen Domänencontroller erstellen oder ob Sie einer bestehenden Domäne einen neuen Domänencontroller hinzufügen wollen. Da Sie an dieser Stelle eine neue Domäne erstellen wollen, wählen Sie die Option Domänencontroller für eine neue Domäne. Damit legen Sie fest, dass eine neue Domäne erstellt werden soll (siehe Abbildung 2.39). Abbildung 2.39: Erstellen eines neuen Domänencontrollers für eine neue Domäne
70
Aufbau einer Testumgebung
Wählen Sie im nächsten Fenster die Option Domäne in einer neuen Gesamtstruktur (siehe Abbildung 2.40). Auf der nächsten Seite des Assistenten legen Sie den DNS-Namen der neuen Domäne fest. Tragen Sie hier genau den gleichen Namen ein, den Sie bereits bei der DNSZone und dem primären DNS-Suffix des ersten Domänencontrollers verwendet haben, in diesem Beispiel contoso.com (siehe Abbildung 2.41).
1
2
Abbildung 2.40: Erstellen einer neuen Gesamtstruktur
3 4 5 6 7 8
Abbildung 2.41: Konfigurieren des DNS-Namens einer neuen Domäne
9 10 11
Im nächsten Fenster müssen Sie den NetBIOS-Namen der neuen Domäne festlegen (siehe Abbildung 2.42). Dieser Name wird zum Beispiel in den Anmeldemasken und den meisten Authentifizierungsfenstern verwendet. Sie sollten möglichst einen NetBIOS-Namen wählen, der auch zum DNS-Namen passt, am besten den DNS-Namen ohne die letzte Endung, in diesem Beispiel also CONTOSO.
12 13 Abbildung 2.42: Konfigurieren des NetBIOS-Namens der neuen Domäne
14 15
71
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Im nächsten Fenster legen Sie den Speicherort der Datenbank und der Protokolle fest, die das Active Directory zum Speichern der Informationen benötigt (siehe Abbildung 2.43). Sie sollten hier den Ordner an der Stelle belassen, die vorgeschlagen wird. Abbildung 2.43: Festlegen des Verzeichnisses zum Speichern der Active Directory-Dateien
Im Anschluss müssen Sie noch den Ordner festlegen, der als netlogon- und sysvolFreigabe verwendet wird (siehe Abbildung 2.44). Abbildung 2.44: Festlegen der netlogon-Freigabe
In diesem Ordner werden die Anmeldeskripte und später die Gruppenrichtlinien gespeichert. Belassen Sie auch an dieser Stelle den Standardpfad, da eine Änderung keinen Sinn ergeben würde. Im Anschluss erscheint das DNS-Diagnose-Fenster. Die Diagnose sollte keinerlei Fehler liefern (siehe Abbildung 2.45).
72
Aufbau einer Testumgebung
Abbildung 2.45: Anzeigen des Diagnosefensters beim Erstellen von Active Directory
1
2 3 4 5 Erscheint an dieser Stelle ein Diagnosefehler (siehe Abbildung 2.46), haben Sie sich vermutlich bei der Eingabe des DNS-Namens der Domäne vertippt. Sollte das nicht der Fall sein, stellen Sie vor der Beendigung des Assistenten folgende Punkte sicher:
6
■
7
■ ■ ■ ■
Das primäre DNS-Suffix des Domänencontrollers stimmt mit der DNS-Zone, die Sie erstellt haben, überein. In den IP-Einstellungen ist als bevorzugter DNS-Server die eigene IP-Adresse des Servers eingetragen. In der Zone ist die dynamische Aktualisierung aktiviert, und der Server hat sich auch eingetragen. nslookup bringt keine Fehlermeldungen. Der DNS-Server ist gestartet und liefert beim Starten des Verwaltungsprogramms keinen Fehler.
8 9 10 Abbildung 2.46: Anzeigen eines DNSDiagnosefehlers bei einer fehlerhaften DNS-Konfiguration
11 12 13 14 15
73
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Beseitigen Sie den Fehler, und starten Sie den Diagnosetest erneut. Sobald das Ergebnis erfolgreich ist und keine Fehler aufweist, wechseln Sie mit Weiter auf die nächste Seite des Assistenten (siehe Abbildung 2.47). Hier können Sie die Berechtigungsstruktur der neuen Domäne beeinflussen. Hauptsächlich geht es an dieser Stelle um die Leserechte bestimmter Benutzergruppen und verschiedene andere Sicherheitseinstellungen. Setzen Sie nur aktuelle Server ein, sollten Sie die Option Nur mit Windows 2000- oder Windows Server 2003-Betriebssystemen kompatible Berechtigungen verwenden. Mit dieser Option wird die Sicherheit in der Domäne auf jeden Fall erhöht. Die unsichere Prä-Windows 2000-Einstellung sollten Sie nur dann verwenden, wenn Sie einzelne Windows NT 4.0-Server einsetzen, deren Applikationen vielleicht nicht mit Windows Server 2003 kompatibel sind. Im Rahmen einer ordentlichen Sicherheitsstrategie sollten Sie aber in dieser Hinsicht wegen einiger Applikationen nicht die Sicherheit der ganzen Domäne aufs Spiel setzen. Abbildung 2.47: Festlegen der Sicherheitsstufe der neuen Domäne
Im nächsten Fenster legen Sie das Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest (siehe Abbildung 2.48). In diesem Modus können Sie einzelne Objekte aus dem Active Directory oder auch ein ganzes Active Directory wiederherstellen (siehe Kapitel 11). Im Anschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Eingaben. Haben Sie diese bestätigt, beginnt der Assistent mit der Installation des Active Directory. Nach kurzer Zeit sollte die Installation abgeschlossen sein, und Sie können den Server neu starten. Mit dem Neustart ist die Erstellung des Active Directory abgeschlossen.
74
Aufbau einer Testumgebung
Abbildung 2.48: Festlegen des Kennwortes für den Verzeichnisdienstwiederherstellungsmodus
1
2 3 4 5 DNS in das Active Directory integrieren und sichere Updates konfigurieren
6
Die erste Maßnahme, die Sie nach der Installation des Active Directory durchführen sollten, ist die Integration der DNS-Zonen in das Active Directory. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt.
7 8
Um die DNS-Zonen in das Active Directory zu integrieren, rufen Sie zunächst das DNS-Snap-In auf. Erweitern Sie die Zone, sehen Sie die Erweiterungen, die das Active Directory hinzugefügt hat (siehe Abbildung 2.49).
9 Abbildung 2.49: Anzeigen der DNSErweiterungen des Active Directory
10 11 12 13
In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRVRecords.
1. 2.
14
Klicken Sie mit der rechten Maustaste auf die Zone, und wählen Sie Eigenschaften. Auf der Registerkarte Allgemein können Sie durch Klicken auf die Schaltfläche Ändern im Bereich Typ die Zone in das Active Directory integrieren lassen (siehe Abbildung 2.51).
15
75
Aufbau einer Testumgebung, Grundlagen und erste Schritte
3. Aktivieren Sie im Fenster Zonentyp ändern die Option Die Zone in Active Directory speichern.
4. Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich Dynamische Updates die Option Nur sichere aktivieren (siehe Abbildung 2.50). Abbildung 2.50: Aktivierung der sicheren dynamischen Updates nach der Integration einer DNS-Zone im Active Directory
Bei dieser Einstellung können sich nur Computer, die sich erfolgreich im Active Directory authentifizieren, dynamisch in DNS registrieren.
Abbildung 2.51: Integration einer DNS-Zone in Active Directory
Eine Stubzone ist die Kopie einer Zone, die nur die für diese Zone erforderlichen Ressourceneinträge zum Identifizieren der autorisierenden DNS-Server enthält. Diese wird in dieser Testumgebung nicht benötigt, taucht aber im Fenster zur Konfiguration des Zonentyps auf. Auch in größeren Netzwerken mit vielen DNS-Zonen spielt beim Datenverkehr die Datenmenge bei der Replikation der DNS-Daten keine große Rolle. Gehen Sie daher immer auf Nummer sicher, und lassen Sie möglichst alle Zonen auf Servern mit Windows Server 2003 in das Active Directory integrieren. Führen Sie diesen Vorgang auch für die Reverse-Lookupzone aus.
Optional: Replikation der DNS-Daten konfigurieren Haben Sie die Zone in das Active Directory integriert, können Sie auch die Replikation der DNS-Daten anpassen: Klicken Sie in den Eigenschaften einer Zone im Bereich Replikation auf Ändern, können Sie konfigurieren, auf welche Server die DNS-Daten repliziert werden sollen (siehe Abbildung 2.52).
76
Aufbau einer Testumgebung
Abbildung 2.52: Konfiguration der Replikation der DNS-Daten
1
2 3 4 5 6 7 Standardmäßig werden die Daten einer DNS-Zone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch ohne Weiteres auf weitere Server ausgedehnt werden. Sie können die Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS-Server der aktuellen Domäne oder auf alle Domänencontroller der aktuellen Domäne replizieren.
Haben Sie eine neue Domäne installiert, sollten Sie immer so schnell wie möglich einen zusätzlichen Domänencontroller installieren. In einer Testumgebung wird das zwar nicht unbedingt notwendig sein, aber durch mehrere Domänencontroller können Sie das Verhalten von Exchange 2007 in einem Active Directory besser testen, vor allem bezüglich der Replikation. Die Installation ist schnell durchgeführt, und Sie können damit sichergehen, dass die Daten der Active Directory-Domäne bei Ausfall des ersten Servers nicht verloren gehen können.
11 12
Vorbereitungen für die Integration eines zusätzlichen Domänencontrollers in eine Domäne
13
Der erste Schritt bei der Integration eines zusätzlichen Domänencontrollers in eine Domäne besteht aus der Installation des Betriebssystems. Achten Sie darauf, dass Sie den Server mit dem gleichen Stand des Betriebssystems installieren, damit Sie eine homogene Umgebung erhalten.
14 15
77
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Computername und primäres DNS-Suffix Geben Sie dem zusätzlichen Domänencontroller zunächst einen passenden Namen, zum Beispiel dc02, und konfigurieren Sie das primäre DNS-Suffix auf dem Server. Gehen Sie bei diesem Schritt so vor wie bei der Erstellung des ersten Domänencontrollers. DNS-Erweiterung installieren Installieren Sie auf dem Rechner nach dem Neustart des Servers, wie beim ersten Server, ebenfalls die DNS-Erweiterung. Wurde der Server als Domänencontroller in das Active Directory mit aufgenommen, steht er ebenfalls als DNS-Server für die Mitgliedsserver und Arbeitsstationen zur Verfügung. Konfigurieren der IP-Einstellungen Weisen Sie dem zusätzlichen Domänencontroller zunächst den ersten Domänencontroller, den Sie installiert haben, als bevorzugten DNS-Server zu. Später kann diese Einstellung noch abgeändert werden, aber für das Beitreten der Domäne muss der Server einen DNS-Server in der Domäne erreichen können. Integration eines neuen Domänencontrollers Rufen Sie im Anschluss über Start/Ausführen/dcpromo den Installationsassistenten von Active Directory auf dem neuen Domänencontroller auf. Klicken Sie auf der Startseite und der Seite mit der Betriebssystemkompatibilität auf Weiter. Aktivieren Sie auf der Seite Typ des Domänencontrollers die Option Zusätzlicher Domänencontroller für eine bestehende Domäne (siehe Abbildung 2.53). Abbildung 2.53: Installieren eines zusätzlichen Domänencontrollers
Auf der nächsten Seite des Assistenten müssen Sie sich zunächst bei der Gesamtstruktur anmelden, damit Sie einen zusätzlichen Domänencontroller installieren können (siehe Abbildung 2.54). Verwenden Sie an dieser Stelle am besten den DNSNamen der Domäne, soweit noch kein WINS-Server zur Verfügung steht.
78
Aufbau einer Testumgebung
Abbildung 2.54: Authentifizieren in der Domäne
1
2 3 4 5 Auf der nächsten Seite des Assistenten wählen Sie die Domäne aus, in der Sie den zusätzlichen Domänencontroller installieren wollen (siehe Abbildung 2.55).
6
Auf den folgenden Seiten erfolgt die Auswahl des Pfades zur Datenbank, der sysvolFreigabe und des Kennwortes für den Verzeichnisdienstwiederherstellungsmodus. Belassen Sie die Optionen auf den Standardwerten, und legen Sie ein Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest. Sie können das gleiche Kennwort wie beim ersten Domänencontroller verwenden.
7 8 Abbildung 2.55: Auswählen der Domäne für einen zusätzlichen Domänencontroller
9 10 11 12 13 14 15
79
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Im Anschluss beginnt der Assistent mit der Installation von Active Directory auf dem Domänencontroller und repliziert die Daten auf den lokalen Domänencontroller. Hat der Assistent seine Arbeit beendet, können Sie den Server neu starten und sich in der Domäne anmelden. Die Installation des zusätzlichen Domänencontrollers ist damit abgeschlossen. Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänencontrollers Haben Sie den Domänencontroller in die Domäne aufgenommen, sollten Sie zunächst noch einige Nacharbeiten durchführen, um den Domänencontroller optimal einzubinden. Zunächst sollten Sie auf dem neuen Domänencontroller das Snap-In der DNS-Verwaltung über Programme/Verwaltung/DNS starten. Überprüfen Sie, ob die Daten der DNS-Zonen auf den Domänencontroller repliziert wurden (siehe Abbildung 2.56). Abbildung 2.56: Überprüfen der DNS-Integration des zusätzlichen Domänencontrollers
Ist sichergestellt, dass die DNS-Daten repliziert wurden, ist die DNS-Funktionalität auf dem zusätzlichen Domänencontroller vorhanden. Die Replikation kann allerdings durchaus einige Minuten dauern. Optimierung der IP-Einstellungen auf den Domänencontrollern Im nächsten Schritt sollten Sie die IP-Einstellungen auf den Domänencontrollern optimieren. Tragen Sie in den IP-Einstellungen jeweils den anderen Domänencontroller als bevorzugten Server und als alternativen Domänencontroller den Controller selbst ein (siehe Abbildung 2.57). Durch diese Konfiguration ist sichergestellt, dass die beiden Domänencontroller über Kreuz die Namen auflösen können. Wird ein Domänencontroller neu gestartet, besteht die Möglichkeit, dass der DNS-Dienst vor dem Active Directory beendet wird und das Herunterfahren unnötig lange dauert. In diesem Fall werden darüber hinaus noch Fehlermeldungen in der Ereignisanzeige protokolliert. Aus Gründen der Ausfallsicherheit ist es daher immer am besten, wenn ein Domänencontroller jeweils einen anderen Domänencontroller als bevorzugten DNS-Server verwendet, und nur wenn dieser bevorzugte Server nicht zur Verfügung steht, seine eigenen Daten verwendet. Haben Sie diese Einstellungen vorgenommen, können Sie mit nslookup in der Befehlszeile überprüfen, ob die Namensauflösung auf den Domänencontrollern
80
Aufbau einer Testumgebung
noch fehlerfrei funktioniert. Öffnen Sie dazu eine Befehlszeile, und geben Sie nslookup ein. Geben Sie danach einmal die Bezeichnung des ersten und dann die des zweiten Domänencontrollers ein, also in diesem Beispiel dc01.contoso.com und dc02.contoso.com. Auf dem anderen Domänencontroller sollten Sie diese Aufgaben ebenfalls durchführen. Es sollte kein Fehler angezeigt werden, damit sichergestellt ist, dass die Namensauflösung funktioniert.
1
Abbildung 2.57: Optimierung der IP-Einstellungen auf den Domänencontrollern
2 3 4 5 6 7 8 9
Replikation der beiden Domänencontroller überprüfen Nach einigen Minuten sollten Sie die Replikation der beiden Domänencontroller überprüfen. Starten Sie dazu das Snap-In Active Directory-Standorte und -Dienste (siehe Abbildung 2.58).
10 Abbildung 2.58: Anzeigen der Domänencontroller
11 12 13 14
Navigieren Sie zum Menü Standardname-des-ersten-Standorts, und öffnen Sie das Menü Servers. An dieser Stelle sollten beide Domänencontroller angezeigt werden. Klicken Sie bei den Servern auf das Pluszeichen, sehen Sie darunter einen weiteren Menüpunkt mit der Bezeichnung NTDS-Settings (siehe Abbildung 2.59).
15
81
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.59: Anzeigen der Replikationspartner eines Domänencontrollers
Klicken Sie auf diesen Menüpunkt, wird auf der rechten Seite jeder Replikationspartner des Domänencontrollers angezeigt. Klicken Sie auf diese automatisch erstellten Verbindungen mit der rechten Maustaste, können Sie aus dem Menü die Option Jetzt replizieren auswählen. Im Anschluss daran erscheint ein Fenster, das Sie über die erfolgreiche Replikation informiert (siehe Abbildung 2.60). Abbildung 2.60: Erfolgreiche Replikation eines Domänencontrollers
Führen Sie diese Replikation für beide Domänencontroller durch, damit sichergestellt ist, dass die Active Directory-Replikation zwischen den beiden Domänencontrollern funktioniert. Damit ist die Erstellung des zusätzlichen Domänencontrollers abgeschlossen, und Sie haben alle notwendigen Maßnahmen zur Überprüfung durchgeführt.
Installation von WINS Zu jeder Active Directory-Domäne gehört ein WINS-Server. WINS steht für Windows Internet Name Service und ist der Vorgänger der dynamischen DNS-Aktualisierung. Während DNS für die Namensauflösung mit voll qualifizierten Domänennamen zuständig ist, werden mit WINS NetBIOS-Namen aufgelöst. Die Namensauflösung in einem Active Directory ist überaus wichtig. Setzen Sie ein Active Directory mit mehreren Domänen oder Strukturen und Exchange Server 2007 ein, benötigen Sie darüber hinaus zwingend WINS, da ansonsten die Namensauflösung nicht stabil funktioniert. Aus diesen Gründen gehört zur Erstellung eines Active Directory auch die Integration von WINS dazu. Sie können auf den Domänencontrollern neben DNS auch ohne Weiteres den WINS-Dienst installieren, da dieser so gut wie keine Auswirkungen auf das System hat. DNS kann darüber hinaus eng mit WINS zusammenarbeiten.
82
Aufbau einer Testumgebung
Im Windows Server 2003 SP1 wurden Erweiterungen eingebaut, welche die Namensauflösung zur Replikation des Active Directory über WINS abwickeln können, falls DNS Probleme hat. Sie sehen, dass WINS alles andere als eine veraltete Struktur zur Namensauflösung ist und zu jedem Windows-Netzwerk dazugehört. Um WINS zu installieren, rufen Sie Systemsteuerung/Software/Windows-Komponenten hinzufügen/Netzwerkdienste/WINS auf (siehe Abbildung 2.61). Bei Windows Server 2008 wird WINS als Feature hinzugefügt, die Verwaltung des Dienstes ist identisch mit Windows Server 2003.
1
2 Abbildung 2.61: WINS auf einem Windows Server 2003 installieren
3 4 5 6 7 8
Nach der Installation steht WINS sofort zu Verfügung. Es müssen keine Zonen erstellt und auch keine dynamischen Updates aktiviert werden. WINS funktioniert sofort nach der Installation uneingeschränkt.
9
Konfiguration der IP-Einstellungen für WINS Damit sich die Server beim WINS registrieren und Daten aus WINS abfragen können, müssen Sie in den IP-Einstellungen der Server die WINS-Server eintragen.
10
Sie müssen nicht auf allen Domänencontrollern einer Domäne WINS installieren, zwei WINS-Server pro Standort reichen durchaus aus. Haben Sie auf den beiden Domänencontrollern in diesem Workshop WINS installiert, können Sie in den IPEinstellungen unter Erweitert auf der Registerkarte WINS die beiden WINS-Server hinzufügen (siehe Abbildung 2.62). Tragen Sie an dieser Stelle auf beiden Domänencontrollern beide WINS-Server ein.
11 12
Diese IP-Einstellungen sollten Sie darüber hinaus auf allen Mitgliedsservern und Arbeitsstationen einrichten, damit die Namensauflösung im Netzwerk optimal funktioniert. Auf den Arbeitsstationen können Sie diese Einstellungen auch mithilfe eines DHCP-Servers verteilen.
13 14 15
83
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.62: Konfiguration der IP-Einstellungen für den Einsatz von WINS
Einrichten der WINS-Replikation Haben Sie auf beiden Domänencontrollern WINS installiert und eingerichtet sowie die IP-Einstellungen auf den Servern angepasst, sollten Sie als Nächstes die Replikation der beiden WINS-Server einrichten, damit sich die Datenbanken untereinander abgleichen. Für die Verwaltung von WINS verwenden Sie das Snap-In WINS, das Sie auf die gleiche Weise wie das Snap-In DNS der MMC hinzufügen können. Haben Sie das SnapIn gestartet, sollten Sie zunächst mit der rechten Maustaste auf den Menüpunkt WINS klicken und den zusätzlichen WINS-Server der Konsole hinzufügen. Die Konfiguration von WINS ist am effizientesten, wenn Sie diese an einer zentralen Stelle durchführen (siehe Abbildung 2.63). Abbildung 2.63: Einen weiteren WINS-Server in der Verwaltungskonsole hinzufügen
Haben Sie den zweiten WINS-Server in der Konsole hinzugefügt, sollten beide als aktiv und verbunden angezeigt werden (siehe Abbildung 2.64).
84
Aufbau einer Testumgebung
Abbildung 2.64: Anzeigen der WINSServer in einem zentralen Snap-In
1
2 3 WINS hat eine eigene Datenbank und kann seine Daten nicht wie DNS in Active Directory speichern. Aus diesem Grund müssen Sie auf WINS-Servern die Replikation manuell durchführen.
4
Klicken Sie zunächst mit der rechten Maustaste unter WINS auf den Menüpunkt Replikationspartner und wählen aus dem Menü Neuer Replikationspartner aus (siehe Abbildung 2.65). Tragen Sie die IP-Adresse des anderen Servers ein.
5 Abbildung 2.65: Einen neuen Replikationspartner in WINS hinzufügen
6 7 8 9 10 11
Wählen Sie als Typ immer Push/Pull, damit die Replikation von beiden Servern angestoßen werden kann. Tragen Sie dann auf dem anderen WINS-Server ebenfalls den jeweiligen Partner als Push-/Pull-Partner ein.
12
Haben Sie die Replikationspartner eingetragen, können Sie mit der rechten Maustaste auf die Replikationsverbindung klicken und aus dem Menü die Option PushReplikation starten und dann Pull-Replikation starten auswählen (siehe Abbildung 2.66). Im Anschluss müssen Sie noch vorgeben, ob die Replikation an alle oder nur an den ausgewählten Replikationspartner übermittelt werden soll.
13 14
Haben Sie die Replikation angestoßen, erscheint keine weitere Meldung, und die Replikation beginnt. Überprüfen Sie in der Ereignisanzeige, ob Fehler angezeigt werden. Kurz nach der Einrichtung besteht durchaus die Möglichkeit, dass noch Fehler angezeigt werden. Diese sollten aber nach einiger Zeit nicht mehr auftauchen, wenn Sie die Replikation starten.
15
85
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.66: Einrichten der Replikation auf einem WINS-Server
Die Einrichtung ist abgeschlossen, wenn die Replikation fehlerfrei stattfindet. Abbildung 2.67: Starten der Replikation auf WINS-Servern
Bei der Replikation über WINS sollten keine Fehler in der Ereignisanzeige auftauchen. Abbildung 2.68: WINS-Fehlermeldungen bei der Replikation
Überprüfen Sie nach ein paar Stunden, ob die Replikation funktioniert und ob keine Fehlermeldungen in den Ereignisanzeigen erscheinen. Integration von WINS in DNS Um WINS in DNS zu integrieren, müssen Sie die Eigenschaften der einzelnen Zonen im DNS öffnen. Dort kann auf der Registerkarte WINS die Option WINS-Forward-Lookup verwenden ausgewählt und die IP-Adresse eines WINS-Servers angegeben werden. Richtet ein Client eine Anfrage an den DNS-Server, versucht dieser zunächst, diese Anfrage über die lokalen Informationen in der DNS-Datenbank zu beantworten. Gelingt ihm das nicht, sendet er den Hostnamen an den WINS-Server. Dieser versucht, die Anfrage zu beantworten, und liefert gegebenenfalls das Ergebnis an den DNS-Server zurück. Die Konfiguration muss für jede DNS-Domäne erfolgen (siehe Abbildung 2.69). 86
Aufbau einer Testumgebung
Abbildung 2.69: Einrichten des WINS-Lookups in DNS
1
2 3 4 5 6 7
Durch diese Koppelung von WINS und DNS wird die Stabilität der Namensauflösung in einem Active Directory erheblich verbessert, wobei vor allem Unternehmen mit Exchange Servern profitieren.
8
Installation von Active Directory unter Windows Server 2008 Im nächsten Abschnitt zeige ich Ihnen, wie Sie das Active Directory auf einem Windows Server 2008 installieren. Das Active Directory und DNS sind auch hier eng miteinander verbunden. Aus diesem Grund werden in diesem Abschnitt sowohl die notwendigen Themen um das DNS als auch das Zusammenspiel mit dem Active Directory ausführlich behandelt. Viele Einstellungen sind unter Windows Server 2003 und Windows Server 2008 sehr ähnlich oder identisch. Auf die Unterschiede gehe ich in diesem Abschnitt ein.
9 10 11
Während der Installation des DNS-Dienstes beziehungsweise bei der Heraufstufung eines Servers zu einem Domänencontroller erhalten Sie unter Umständen die Meldung, dass noch DHCP aktiviert ist, auch wenn Sie eine statische IPv4-Adresse festgelegt haben. Dieser Fehler wird durch die IPv6-Verbindung von Windows Server 2008 verursacht und kann ignoriert werden. Deaktivieren Sie in den Netzwerkverbindungen IPv6, erscheint diese Meldung nicht mehr, allerdings verlieren Sie auch die Vorteile der effizienteren Kommunikation zwischen Windows Server 2008- und Windows Vista-Computern.
12 13 14
Vorbereitungen für das Active Directory Der nächste Schritt bei der Installation eines Active Directory besteht auch bei Windows Server 2008 darin, den NetBIOS-Namen und das DNS-Suffix des ersten Domänencontrollers so zu wählen, wie später die Active Directory-Domäne benannt werden soll. Konfigurieren Sie daher zunächst über Systemsteuerung/System/Erweiterte Systemeinstellungen/Computername/Ändern den NetBIOS-Namen des neuen Domänencontrollers, zum Beispiel x2k7. Klicken Sie dann in diesem Fenster auf die
15
87
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Schaltfläche Weitere, und geben Sie das DNS-Suffix des Servers an. Geben Sie an dieser Stelle exakt den DNS-Namen an, den Ihre Active Directory-Domäne später erhalten soll, zum Beispiel contoso.com. Nach der Änderung sollte der Computer zunächst neu gestartet werden. DNS unter Windows Server 2008 installieren Der Assistent für die Installation von Active Directory kann zwar auch im Rahmen der Einrichtung die DNS-Funktionalität installieren und einrichten, allerdings ist diese Vorgehensweise nicht optimal, vor allem weil das Verständnis für DNS zur Verwaltung eines Active Directory ein wichtiger Bereich ist. Wird die Installation von DNS über den Assistenten zur Installation von Active Directory durchgeführt, legt der Assistent für DNS-Zone und Active Directory-Daten zwei Zonen an. Außerdem wird keine Reverse-Lookupzone erstellt. Auch aus Gründen des Wissensaufbaus gilt für Windows Server 2008 aus meiner Sicht das Gleiche wie für Windows Server 2003: Legen Sie die DNS-Zonen selbst an. Um DNS auf einem Windows Server 2008 zu installieren, starten Sie den Server-Manager und klicken auf Rollen. (siehe Abbildung 2.70). Wählen Sie anschließend Rolle hinzufügen, und wählen Sie die Rolle DNS-Server aus. Klicken Sie diese Option an, und lassen Sie die notwendigen Komponenten installieren. Nach der Installation müssen Sie den Server nicht neu starten. Wollen Sie ein neues Active Directory erstellen, besteht der erste Schritt darin, auf dem ersten geplanten Domänencontroller nach der Installation des Windows Server 2008 zunächst die DNS-Erweiterung zu installieren. Unter Windows Server 2008 wird DNS automatisch installiert und eingerichtet, wenn das Active Directory auf einem Server installiert wird. Dennoch ist die korrekte Vorbereitung einer DNS-Infrastruktur immer noch der bessere Weg. Abbildung 2.70: DNS wird unter Windows Server 2008 als Serverrolle installiert.
Nach der Installation finden Sie das Verwaltungsprogramm für den DNS-Server unter Start/Verwaltung/DNS. Starten Sie die Verwaltung, sehen Sie zunächst die Menüpunkte, die Sie an dieser Stelle zur Verwaltung verwenden: ■ ■ ■ ■
88
Globale Protokolle und die DNS-Ereignisanzeige Forward-Lookupzonen Reverse-Lookupzonen Weiterleitungsserver mit Bedingungen
Aufbau einer Testumgebung
Standardmäßig werden Sie mit dem lokal installierten DNS-Server verbunden. Erstellen Sie später eine einheitliche Managementkonsole (MMC), können Sie die Verwaltung mehrerer DNS-Server in Ihrem Unternehmen an einer Stelle verbinden. Klicken Sie mit der rechten Maustaste in der Konsole auf den Menüpunkt DNS, können Sie sich mit zusätzlichen DNS-Servern verbinden. Für die Testumgebung werden diese Schritte nicht benötigt. Mit den Menüpunkten Forward-Lookupzonen und Reverse-Lookupzonen werden die Zonen angelegt, die das Active Directory für seinen Betrieb benötigt. Im Menü Ereignisanzeige finden Sie das gleiche Protokoll wie in der Ereignisanzeige des Servers. Über Weiterleitungsserver mit Bedingungen können Sie Anfragen zu bestimmten DNS-Zonen an fest definierte DNS-Server weiterleiten. Unter Windows Server 2003 war diese Einstellung noch in den Eigenschaften des DNS-Servers verfügbar.
1
2 3
Im Anschluss an die Forward-Lookupzone sollten Sie eine Reverse-Lookupzone erstellen. Deren Funktion ist die gleiche wie bei Windows Server 2003. Klicken Sie mit der rechten Maustaste auf den Menüpunkt Reverse-Lookupzone, und wählen Sie Neue Zone aus. Auf der ersten Seite des Assistenten wählen Sie wieder die Option Primäre Zone. Auf der nächsten Seite können Sie festlegen, ob Sie eine IPv4- oder eine IPv6-Reverse-Lookupzone anlegen wollen. Da Windows Server 2008 neben IPv4 auch IPv6 unterstützt, wird dieses neue Dialogfeld eingeblendet. In den meisten Netzwerken wird derzeit noch mit IPv4 gearbeitet. Aus diesem Grund sollten Sie bei einer Testumgebung auch eine IPv4-Reverse-Lookupzone anlegen. Die Vorgehensweise dabei ist nahezu identisch mit Windows Server 2003.
4 5 6 7
Installation der Active Directory-Domänendienste-Rolle Nachdem Sie diese Vorbereitungen getroffen haben, können Sie das Active Directory auf dem Server installieren. Ihnen stehen dazu zwei Möglichkeiten zur Verfügung: Starten Sie den Server-Manager, klicken Sie auf Rollen und dann auf Rollen hinzufügen. Wählen Sie die Rolle Active Directory-Domänendienste aus. Diese Maßnahme entspricht dem Befehl dcpromo, der noch unter Windows Server 2003 genutzt wurde und auch noch unter Windows Server 2008 unterstützt wird. Klicken Sie zur Installation der Rolle auf Weiter. Es erscheint ein neues Fenster mit Hinweisen zum Active Directory, das Sie ebenfalls mit Weiter bestätigen können. Auf der nächsten Seite des Assistenten starten Sie über die Schaltfläche Installieren die Installation der Rolle auf dem Server. Nach kurzer Zeit wird die Installation der Rolle abgeschlossen. Anschließend startet normalerweise der Assistent zur Einrichtung des Domänencontrollers. An dieser Stelle sind noch keine Konfigurationen für die Domäne durchgeführt worden, sondern Sie haben lediglich die notwendigen Daten zur Erstellung eines Active Directory auf dem Server installiert. Startet der Assistent zur Einrichtung der Domäne nicht automatisch, klicken Sie im Server-Manager unter Rollen/Active DirectoryDomänendienste in der Mitte der Konsole auf den Link Führen Sie den Installationsassistenten für Active Directory-Dienste aus (siehe Abbildung 2.71).
8 9 10 11 12 13 Abbildung 2.71: Der Assistent für die Erstellung eines Active Directory lässt sich nachträglich starten.
89
14 15
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Dieser Link startet den gleichen Assistenten, den Sie auch, wie unter Windows Server 2003, über dcpromo starten können. Erst durch die Ausführung dieses Assistenten wird der Server zum Domänencontroller heraufgestuft. Unter Windows Server 2008 kann dieser Assistent noch immer verwendet werden. Beim Aufrufen wird die Rolle Active Directory-Domänendienste automatisch nachinstalliert, wenn sich die entsprechenden Dateien noch nicht auf dem Server befinden. Installieren Sie das Active Directory über den bekannten Weg in der Befehlszeile mit dcpromo, ist der Ablauf für die Einrichtung von Active Directory, der nachfolgend beschrieben wird, identisch mit der Einrichtung über den Server-Manager. Fortgeschrittene Benutzer werden den Weg über dcpromo bevorzugen. Starten Sie die Einrichtung von Active Directory über dcpromo, überprüft der Assistent, ob die notwendigen Daten für das Active Directory installiert wurden, und installiert diese gegebenenfalls nach. Nach der Installation der Rolle Active Directory-Domänendienste wird diese auch über diesen Weg im Server-Manager nach der Einrichtung angezeigt. Es ist also nicht zwingend notwendig, vor der Ausführung von dcpromo die Rolle Active Directory-Domänendienste zu installieren. Aktivieren Sie die Option Installation im erweiterten Modus verwenden, damit Sie auch alle notwendigen Einstellungen für Ihre Domäne konfigurieren können. Wird dcpromo über die Befehlszeile gestartet, kann mit der Option dcpromo /adv gleich in den erweiterten Modus gewechselt werden. Durch die Aktivierung des erweiterten Modus können Sie mit dem Assistenten noch folgende Funktionen einstellen: ■ ■ ■ ■ ■
Erstellen von neuen Domänenstrukturen. Verwenden eines Sicherungsmediums für die Replikation von Active Directory, um Netzwerkverkehr im WAN zu sparen. Auswählen des Quell-Domänencontrollers für die Installation. Anpassen des NetBIOS-Namens der Domäne. Konfiguration der Richtlinien für die Kennwortreplikation für RODCs.
Abbildung 2.72: Unter Windows Server 2008 kann bei der Erstellung eines Active Directory der erweiterte Modus verwendet werden.
Auf der nächsten Seite des Assistenten legen Sie fest, wie das Active Directory installiert werden soll. Da Sie die erste Domäne für Ihre Gesamtstruktur erstellen, wählen Sie die Option Neue Domäne in neuer Gesamtstruktur aus. Sie erstellen durch diese Auswahl eine neue Domäne und auch die dazugehörige Gesamtstruktur. Insgesamt gibt es im Active Directory die drei Container Gesamtstruktur, Struktur und Domäne. Hier gibt es keine Unterschiede zu Windows Server 2003.
90
Aufbau einer Testumgebung
Abbildung 2.73: Erstellen einer neuen Domäne mit einer neuen Gesamtstruktur
1
2 3 4 5 6 7 Auf der nächsten Seite des Assistenten legen Sie den DNS-Namen der neuen Domäne fest. Tragen Sie hier genau den gleichen Namen ein, den Sie bereits bei dem primären DNS-Suffix des Domänencontrollers verwendet haben, in diesem Beispiel contoso.com. Im nächsten Fenster müssen Sie den NetBIOS-Namen der neuen Domäne festlegen. Sie sollten möglichst einen NetBIOS-Namen wählen, der auch zum DNS-Namen passt, am besten den DNS-Namen ohne die letzte Endung, in diesem Beispiel also CONTOSO. Auch hier gibt es keine Unterschiede zwischen Windows Server 2003 und Windows Server 2008. Auf der nächsten Seite des Assistenten legen Sie die Funktionsebene der Gesamtstruktur fest. Ein Active Directory kann unter verschiedenen Betriebsmodi betrieben werden: ■ ■
8 9 10
Betriebsmodus der einzelnen Domänen in der Gesamtstruktur Betriebsmodus der Gesamtstruktur
11
Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen. Diese drei Betriebsmodi haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder -PCs. Wichtig ist der Modus nur für die integrierten Domänencontroller.
12 13
Der Modus Windows Server 2008 hat funktional keine großen Unterschiede zum bereits erwähnten Windows Server 2003-Modus. Allerdings wird durch Auswahl dieses Modus sichergestellt, dass alle Domänen der Gesamtstruktur im Windows Server 2008-Modus betrieben werden. In diesem Modus werden Kennwortrichtlinien für mehrere OUs unterstützt. Außerdem wird in diesem Modus zur Replikation des Sysvol-Verzeichnisses DFS genutzt, was wesentlich performanter und stabiler funktioniert. In diesem Modus kann der Kerberosverkehr mit AES 128 oder 256 verschlüsselt werden. Auf der nächsten Seite des Assistenten konfigurieren Sie, dass der
14 15
91
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Domänencontroller auch zum DNS-Server konfiguriert wird. Der erste Domänencontroller in der Gesamtstruktur sollte möglichst auch immer DNS-Server sein. Der neue Domänencontroller wird darüber hinaus auch zwingend der erste globale Katalogserver. Auf dieser Seite können Sie auch festlegen, ob ein Domänencontroller zum Read-Only-Domänencontroller (RODC) werden soll. Hierbei wird auf dem Domänencontroller ein Replikat der Active Directory-Datenbank gespeichert, die keinerlei Änderungen akzeptiert. Abbildung 2.74: Auswählen des Betriebsmodus der Gesamtstruktur unter Windows Server 2008
Außerdem lässt sich die Berechtigung zur RODC-Verwaltung an einen beliebigen Domänenbenutzer delegieren, um beispielsweise Aktualisierungen von Gerätetreibern vor Ort rasch durchführen zu können. Der erste Domänencontroller einer Gesamtstruktur kann nicht zum RODC konfiguriert werden, aus diesem Grund ist diese Option, genau wie die Auswahl zum globalen Katalog, deaktiviert. Exchange Server 2007 unterstützt keine Verbindung zu einem RODC, sodass an jedem Standort, an dem ein Exchange Server betrieben wird, auch ein normaler Domänencontroller installiert werden muss. Nachdem Sie die Installation des DNS-Servers ausgewählt haben, erscheint eine weitere Warnmeldung, die etwas verwirrend ist. Diese Meldung erscheint allerdings nur dann, wenn Sie nicht, wie zuvor beschrieben, vor der Installation von Active Directory die Rolle DNS-Server installiert haben und die Zonen eingerichtet wurden. Diese Meldung besagt in aller Kürze, dass der DNS-Server, den Sie in den IP-Einstellungen konfiguriert haben, nicht in der Lage ist, die DNS-Zone der neuen Active Directory-Domäne aufzulösen. Da Sie derzeit den ersten DNS-Server und Domänencontroller installieren, wird diese Zone natürlich erst erstellt. Aus diesem Grund erscheint die Fehlermeldung, die Sie mit Ja bestätigen. In diesem Fall übernimmt der Assistent die Einrichtung des DNS-Servers. Haben Sie, wie empfohlen, vor der Einrichtung des Active Directory eine DNS-Zone erstellt, erscheint ein anderes Fenster. Hierbei werden Sie darauf hingewiesen, dass
92
Aufbau einer Testumgebung
keine DNS-Delegation existiert. Diese Meldung hat Ihren Ursprung bei der Erweiterung eines bestehenden Active Directory um zusätzliche Domänen. Wenn Sie eine untergeordnete Domäne erstellen wollen, zum Beispiel die Domäne de unterhalb der Domäne contoso.com, haben Sie zwei Möglichkeiten, die Namensauflösung und das DNS-Konzept zu erstellen. Sie können auf den primären DNS-Servern der Zone contoso.com eine Unterdomäne de erstellen. In diesem Fall wird die neue Domäne unterhalb der Domäne contoso.com angezeigt. Alle DNS-Server, welche die Zone contoso.com verwalten, sind auch für die Domäne de.contoso.com zuständig. Haben Sie die neue Domäne erstellt, müssen Sie als Nächstes auf dem ersten Domänencontroller der neuen untergeordneten Domäne in den IP-Einstellungen den DNS-Server der Hauptzone eintragen. Wenn sich die Domäne in einer anderen Niederlassung befindet, können Sie nach der Erstellung der neuen untergeordneten Domäne die Einstellungen auf den lokalen DNS-Server umstellen.
1
2 3 4
Da bei den meisten Active Directorys die DNS-Zonen im Active Directory integriert sind, können Sie vor dem Heraufstufen eines Domänencontrollers diesen noch nicht zum DNS-Server innerhalb eines Active Directory konfigurieren. Erstellen Sie eine neue untergeordnete Domäne und ist in den IP-Einstellungen des neuen Domänencontrollers der DNS-Server der Hauptzone eingetragen, können Sie nach der Heraufstufung, die komplette Zone zum DNS-Server in der untergeordneten Domäne replizieren lassen. Vor allem bei größeren Unternehmen kann die Erstellung von untergeordneten DNS-Domänen Probleme bereiten. Wenn zum Beispiel in der Zentrale in Dallas die Root-Domäne contoso.com verwaltet werden soll, aber die Administratoren in der deutschen Domäne de diese Zone aus Sicherheitsgründen nicht verwalten sollen, sondern nur ihre eigene, können Sie nicht einfach eine Unterdomäne anlegen, da sonst jeder Administrator eines DNS-Servers Änderungen in der ganzen Zone vornehmen kann. Durch fehlerhafte Änderungen kann dadurch ein weltweites Active Directory schnell außer Funktion gesetzt werden. Aus diesem Grund hat Microsoft in seinen DNS-Servern die Delegation von Domänen integriert. Gehen Sie dazu folgendermaßen vor:
5 6 7 8 9
Auf dem DNS-Server der neuen untergeordneten Domäne wird eine eigene Zone de.contoso.com angelegt und konfiguriert. Zukünftig verwalten die Administratoren der Domäne de ihre eigene Zone de.contoso.com.
10
Damit die DNS-Server und Domänencontroller der restlichen Niederlassungen ebenfalls Verbindung zu der Zone de.contoso.com aufbauen können, wird in der Hauptzone contoso.com eine sogenannte Delegation eingerichtet, in der festgelegt wird, dass nicht die DNS-Server der Zone contoso.com für die Domäne de.contoso.com zuständig sind, sondern die DNS-Server der Niederlassung in Deutschland. Durch diese Konfiguration können weiterhin alle Namen aufgelöst werden, aber die Administratoren der Niederlassungen können nur ihre eigenen Zonen verwalten, nicht die Zonen der anderen Niederlassungen. Nachdem Sie die Delegation eingerichtet haben, wird die Zone unterhalb der Hauptzone als delegiert angezeigt. Dieser DNSServer ist nicht mehr für diese Zone verantwortlich, kann aber Namen in der Domäne durch die Delegation auflösen, indem er Anfragen an die DNS-Server weiterleitet, die in der Delegation angegeben sind.
11 12 13 14
Auf Dauer kann allerdings diese Konfiguration auch kompliziert werden. Einfacher ist es, innerhalb eines Namensraums möglichst alle neuen Domänen als Unterdomänen anzulegen. Stellen Sie bei der Replikation der Hauptzone ein, dass diese Zone auf alle DNS-Server des Active Directory repliziert wird. Dadurch ist sichergestellt, dass in jeder Niederlassung alle notwendigen Server aufgelöst werden können. Sie
15
93
Aufbau einer Testumgebung, Grundlagen und erste Schritte
ersparen sich dadurch komplizierte Verwaltungsvorgänge. Wenn jedoch in den Niederlassungen Administratoren sitzen, die ihre eigenen Domänen verwalten sollen, arbeiten Sie mit der Delegation. Geben Sie die delegierte Domäne ein, müssen Sie nur die neue Zone eingeben, also in diesem Fall de. Der restliche Domänenname, also hier contoso.com, wird durch den Assistenten automatisch eingerichtet. Geben Sie auf der letzten Seite des Assistenten die IP-Adresse des DNS-Servers ein, der zukünftig diese Zone verwalten soll. Sie können jederzeit in den Zoneneinstellungen zusätzliche DNS-Server für die Zone eintragen. Nachdem die Delegation erstellt wurde, können alle PCs und Server, die den DNSServer der Hauptzone abfragen, auch die Namen der Server in den untergeordneten Zonen auflösen. Sobald der DNS-Server der Zone contoso.com eine Anfrage für die Domäne de.contoso.com erhält, gibt er diese Abfrage an die DNS-Server weiter, die in der Delegation hinterlegt sind. Die Zone de.contoso.com wird auf den DNS-Servern, welche die Zone verwaltet genau so verwaltet, wie die Zone contoso.com auf dem Haupt-DNS-Server. Die Zone sollte in das Active Directory integriert und zu den anderen Domänencontrollern der Niederlassung repliziert werden. Die Delegation auf den DNS-Servern der Zone contoso.com hat keinerlei Auswirkungen auf die Verwaltung der Zone de.contoso.com. Die Delegation ist quasi nur eine Verknüpfung zu den DNS-Servern in der Zone de.contoso.com. In der Ansicht der DNS-Verwaltung auf den DNS-Servern von contoso.com werden die Delegationen grau angezeigt. Delegationen können jederzeit gelöscht und wieder angelegt werden, da sie keinerlei Auswirkungen auf die Zone haben, zu der sie delegiert sind. In diesem Fenster werden Sie also gefragt, ob in der übergeordneten DNS-Zone eine Delegation zur aktuellen Domäne durchgeführt werden soll. Dies spielt nur bei der Installation von untergeordneten Domänen eine Rolle. Da Sie die erste Domäne in der Gesamtstruktur erstellen, können Sie an dieser Stelle die Option Nein, keine DNS-Delegierung erstellen auswählen. In diesem Fall erstellt der Assistent die notwendigen Daten in der Zone, die Sie erstellt haben. Im nächsten Fenster legen Sie den Speicherort der Datenbank und der Protokolle fest, die das Active Directory zum Speichern der Informationen benötigt. Im nächsten Fenster legen Sie das Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest. In diesem Modus können Sie einzelne Objekte aus dem Active Directory oder auch ein ganzes Active Directory wiederherstellen. Anschließend erhalten Sie eine Zusammenfassung, und der Assistent beginnt mit seiner Arbeit. Sie können den Server automatisch neu starten lassen, nachdem die Installation durchgeführt wurde, oder Sie können die Installation manuell durchführen. Nachdem Sie die Installation abgeschlossen haben, können Sie den Server neu starten. Unter Umständen erhalten Sie noch eine Fehlermeldung, in welcher der Assistent Ihnen mitteilt, dass keine DNS-Zone erstellt werden kann, da Sie bereits eine Zone mit der gleichen Bezeichnung erstellt haben. Bestätigen Sie diese Meldung. Der Assistent integriert in diesem Fall die notwendigen Daten von Active Directory in Ihre bereits erstellte Zone. DNS in das Active Directory integrieren und sichere Updates konfigurieren Die erste Maßnahme, die Sie nach der Installation des Active Directory durchführen, ist die Integration der DNS-Daten in die AD-Datenbank. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt. Haben Sie die Installation des DNS-Servers nicht manuell vorgenommen, sondern durch den Assistenten für das Active Directory, sind die Zonen bereits automatisch in das Active Directory integriert. Um die DNS-Zonen-Daten manuell in das 94
Aufbau einer Testumgebung
Active Directory zu integrieren, rufen Sie zunächst das DNS-Snap-In auf. Erweitern Sie die Zone, sehen Sie die Erweiterungen, die das Active Directory hinzugefügt hat. In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRVRecords.
1. 2. 3. 4.
1
Klicken Sie mit der rechten Maustaste auf die Zone, und wählen Sie Eigenschaften. Auf der Registerkarte Allgemein können Sie durch Klicken auf die Schaltfläche Ändern im Bereich Typ die Zone in das Active Directory integrieren lassen. Aktivieren Sie im Fenster Zonentyp ändern die Option Die Zone in Active Directory speichern. Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich Dynamische Updates die Option Nur sichere aktivieren. Bei dieser Einstellung können sich nur Computer, die sich erfolgreich im Active Directory authentifizieren, dynamisch in DNS registrieren.
2 3 4
Haben Sie die Zone in das Active Directory integriert, können Sie auch die Replikation der DNS-Daten anpassen: Klicken Sie in den Eigenschaften einer Zone im Bereich Replikation auf Ändern, können Sie konfigurieren, auf welche Server die DNS-Daten repliziert werden sollen. Standardmäßig werden die Daten einer DNSZone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch ohne Weiteres auf weitere Server ausgedehnt werden. Sie können die Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS-Server der aktuellen Domäne oder auf alle Domänencontroller der aktuellen Domäne replizieren.
5
DNS-IP-Einstellungen anpassen Windows Server 2008 hat die Eigenart, die Konfiguration Ihrer Netzwerkverbindungen automatisch abzuändern, sodass die Einstellungen für manche Administratoren verwirrend sein können. Im folgenden Abschnitt gehe ich darauf ein, wie Sie die Einstellungen wieder an Ihre Bedürfnisse anpassen. Geben Sie nach der Fertigstellung der Installation von Active Directory auf dem Domänencontroller in der Befehlszeile nslookup ein, erhalten Sie unter Umständen eine etwas verwirrende Ausgabe (siehe Abbildung 2.75).
8
6 7
9 10 Abbildung 2.75: nslookup bringt bei der Ausführung unter Windows Server 2008 manchmal seltsame Meldungen zutage.
11 12 13
Der Fehler wird durch eine Konfiguration der Netzwerkverbindungen verursacht. Rufen Sie zunächst die Verwaltung Ihrer Netzwerkverbindungen auf. Der schnellste Weg ist, wenn Sie ncpa.cpl in das Suchfeld des Startmenüs eingeben. Rufen Sie zunächst die Eigenschaften des IPv6-Protokolls auf . Wie Sie sehen, hat Windows Server 2008 die Option Folgende DNS-Serveradressen verwenden aktiviert und den Eintrag ::1 hinterlegt. Dies entspricht bei IPv6 dem Eintrag 127.0.0.1 (localhost) bei IPv4. Durch diesen Eintrag fragt der DNS-Server bei Reverse-Abfragen per IPv6 den lokalen DNS-Server. Haben Sie keine IPv6-Reverse-Lookupzone erstellt, weil Sie im Unternehmen noch kein IPv6 einsetzen, wird durch diese Konfiguration ein Fehler
14 15
95
Aufbau einer Testumgebung, Grundlagen und erste Schritte
verursacht. Legen Sie entweder eine IPv6-Reverse-Lookupzone an, und stellen Sie sicher, dass ein Zeiger zur IPv6-Adresse des Servers eingetragen wird. In den meisten Fällen ist diese Konfiguration allerdings nicht notwendig, vor allem dann nicht, wenn im Unternehmen nicht mit IPv6 gearbeitet wird. Aktivieren Sie in diesem Fall die Option DNS-Serveradresse automatisch beziehen. Durch diese Konfiguration vermeiden Sie die irreführende Meldung in nslookup. Rufen Sie als Nächstes die Eigenschaften für das IPv4-Protokoll auf. Auch hier hat der Assistent als bevorzugten DNS-Server die Adresse des lokalen Hosts hinterlegt (127.0.0.1). In diesem Fall funktionieren zwar Abfragen per DNS, aber diese Konfiguration ist nicht sauber und resultiert in einer fehlerhaften Ausgabe bei nslookup. Tragen Sie auch hier die richtige IPv4-Adresse des Servers ein. Anschließend sollte die Eingabe von nslookup in der Befehlszeile keine Fehler mehr ausgeben.
2.1.5
Installation von Exchange Server 2007
Exchange Server 2007 installieren Sie am besten auf einem Mitgliedsserver. Die Installation auf einem Domänencontroller wird zwar unterstützt, aber nicht empfohlen. Für die Testumgebung können Sie Exchange 2007 auch auf einem der Domänencontroller installieren, aber zu Testzwecken ist die Installation auf einem eigenständigen virtuellen Server besser.
Beitreten eines Windows Server 2003/2008 zu einer Domäne Bevor Sie Exchange Server 2007 auf einem Server installieren, sollten Sie diesen Server zunächst zu einem Mitgliedsserver der Domäne machen, in der Sie den Server installieren wollen. Um einen Server zu einem Mitgliedsserver zu machen, aktivieren Sie Systemsteuerung/System und klicken auf der Registerkarte Computername auf die Schaltfläche Ändern (siehe Abbildung 2.76). Achten Sie aber darauf, dass Sie vor dem Beitreten der Domäne den Namen des Servers bereits angepasst haben und in den IP-Einstellungen des Servers die DNS- und WINS-Server des Active Directory eingetragen sind. Haben Sie den Namen der Domäne eingegeben und das Fenster mit OK bestätigt, erscheint ein Authentifizierungsfenster. Dort müssen Sie die Authentifizierung eines Benutzers eintragen, der das Recht hat, Computer einer Domäne hinzuzufügen. Haben Sie sich erfolgreich authentifiziert, wird der Server in die Domäne aufgenommen und das primäre DNS-Suffix des Servers automatisch an die Domäne angepasst. Wurde das Computerkonto der Domäne hinzugefügt, erhalten Sie eine Meldung (siehe Abbildung 2.77). Dieser Vorgang ist für alle Server oder Arbeitsstationen identisch. Nach dem Beitreten einer Domäne müssen Sie den Server neu starten. Melden Sie sich im Anschluss mit einem Benutzerkonto in der Domäne an, das über administrative Rechte verfügt. Mit diesem Konto installieren Sie Exchange sowie alle notwendigen Komponenten auf dem Server.
96
Aufbau einer Testumgebung
Abbildung 2.76: Beitreten eines Servers zu einer Domäne
Danach wird das Computerkonto in der Organisationseinheit Computers im Snap-In Active Directory-Benutzer und -Computer angezeigt (siehe Abbildung 2.78).
11 Abbildung 2.78: Computerkonto eines beigetretenen Servers in der Domäne
12 13 14 15
97
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Installation von Exchange Server 2007 unter Windows Server 2003 Um Exchange 2007 auf einem Server zu installieren, muss dieser entweder als Mitgliedsserver der Domäne hinzugefügt werden oder als Domänencontroller laufen. Bevor Sie das Installationsprogramm von Exchange 2007 laufen lassen, müssen Sie noch einige Vorbereitungen treffen. Installation von Microsoft .NET Framework 2.0 Der erste Schritt zur Installation von Exchange 2007 besteht darin, dass Sie auf dem Server das .NET Framework 2.0 installieren. Sie können bei installiertem Windows Server 2003 R2 diese Komponente über Systemsteuerung/Programme ändern oder entfernen/Windows-Komponenten hinzufügen installieren. Wählen Sie die Komponente Microsoft .NET Framework 2.0 aus. Sie müssen zur Installation die zweite CD der Windows Server 2003 R2-Installationsmedien einlegen. Verwenden Sie als Testumgebung Windows Server 2003 mit SP1, dann müssen Sie das .NET Framework aus dem Internet herunterladen. Abbildung 2.79: Installation des .NET Frameworks 2.0
Installation der Internetinformationsdienste Als Nächstes sollten Sie auf dem Server die Internetinformationsdienste installieren. Der IIS wird in Exchange 2007 noch immer benötigt. Vor allem die neue Autodiscover-Funktion von Outlook 2007 und die Anbindung mobiler Clients benötigen einen Exchange 2007-Server mit installiertem IIS, um sich verbinden zu können.
INFO
Für die Installation von Exchange 2007 ist es nicht mehr notwendig, ASP, SMTP und NNTP zu installieren, da diese Komponenten nicht mehr benötigt bzw. im Fall von SMTP durch Exchange 2007 selbst zur Verfügung gestellt werden, nicht mehr durch das Betriebssystem. Es reicht, wenn Sie über Systemsteuerung/Programme ändern oder entfernen/Windows-Komponenten hinzufügen die Komponente Internetinformationsdienste (IIS) auswählen (siehe Abbildung 2.80).
98
Aufbau einer Testumgebung
Abbildung 2.80: Installation der Internetinformationsdienste (IIS) für Exchange 2007
1
2 3 4 5 Installation der Microsoft Management Console 3.0 Als Nächstes müssen Sie die MMC 3.0 installieren, wenn Sie als Testserver nicht Windows Server 2003 R2 verwenden. Beim Einsatz von Windows Server 2003 R2 wurde diese Komponente bereits installiert. Setzen Sie Windows Server 2003 mit SP1 ein, müssen Sie die MMC bei Microsoft herunterladen, diese wird kostenlos zur Verfügung gestellt. Sie finden die Konsole über http://www.microsoft.com/downloads/ details.aspx?displaylang=de&FamilyID=4C84F80B-908D-4B5D-8AA8-27B962566D9F.
6 7
Installation der Microsoft PowerShell Der nächste Schritt besteht darin, dass Sie das Installationsprogramm von Exchange 2007 aufrufen. Auf dem Startbildschirm sehen Sie, welche Komponenten bereits installiert wurden und welche noch installiert werden müssen. Die bereits installierten Komponenten sind deaktiviert (siehe Abbildung 2.81).
8 9 Abbildung 2.81: Installation der Microsoft Command Shell
10 11 12 13 14 15
99
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Der Schritt 3 für die Vorbereitungen zur Installation von Exchange Server 2007 besteht darin, dass Sie die Microsoft Command Shell (MSH) installieren. Auf diese können Sie bequem zugreifen, wenn Sie auf den Link Schritt 3: Installieren Sie Microsoft WindowsPowerShell klicken. Der Internet Explorer öffnet im Anschluss die entsprechende Download-Seite. Sie können die Datei auch über den Link http://go. microsoft.com/fwlink/?linkid=64456 herunterladen. Ist die Windows PowerShell bereits installiert worden, wird der Link zur Installation deaktiviert. Installieren Sie aber immer die aktuelle Version, die Exchange Server 2007 unterstützt. Installation der Exchange 2007-Komponenten Haben Sie das .NET Framework, die MMC 3.0 und die PowerShell installiert, sollten diese Punkte im Menü deaktiviert sein. Im nächsten Schritt können Sie die Installation von Exchange 2007 auswählen. Die Installation besteht aus mehreren verschiedenen Fenstern, auf denen Sie verschiedene Eingaben machen können (siehe Abbildung 2.82). Für die Installation in einer Testumgebung ist es nicht notwendig, ausführlichere Eingaben zu machen, diese bespreche ich in Kapitel 4. Sie sehen am Beispiel der Installationsroutine, wie später auch die einzelnen Schritte in den verschiedenen Assistenten von Exchange 2007 aussehen werden. Abbildung 2.82: Startseite der Exchange Server 2007-Installation
Auf der nächsten Seite der Exchange 2007-Installation müssen Sie die obligatorischen Lizenzbedingungen bestätigen (siehe Abbildung 2.83).
100
Aufbau einer Testumgebung
Abbildung 2.83: Bestätigen der Lizenzbedingungen von Exchange 2007
1
2 3 4 5 6 Auf der nächsten Seite der Installationsroutine sollten Sie die Fehlerberichterstattung deaktivieren, da diese für Unternehmen keinen Nutzen bringt und unnötig den Server belastet. Bei dieser Funktion werden bei Abstürzen und Fehlern automatisch Daten zu Microsoft übertragen, um Probleme in der Programmierung zu entdecken.
7 8 Abbildung 2.84: Deaktivierung der Fehlerberichterstattung
9 10 11 12 13 14 15
101
Aufbau einer Testumgebung, Grundlagen und erste Schritte
In dem nächsten Fenster können Sie die Installationsart auswählen. Für die Installation in einer Testumgebung reicht die Installationsvariante Typische Installation von Exchange Server aus, Sie müssen keine weiteren Eingaben vornehmen. Abbildung 2.85: Auswahl der Installationsart
Auf der nächsten Seite geben Sie den Namen der Exchange-Organisation ein. Dieser Name muss nicht unbedingt mit einer Active Directory-Domäne übereinstimmen, sondern kann beliebig gewählt werden. Abbildung 2.86: Eintragen des Organisationsnamens
102
Aufbau einer Testumgebung
Auf der nächsten Seite der Installationsroutine können Sie auswählen, ob Sie neben Outlook 2007 auch Outlook 2003 oder ältere Versionen einsetzen (siehe Abbildung 2.87). Wählen Sie Ja aus, erstellt das Exchange-Setup eine öffentliche Ordner-Datenbank. Wählen Sie Nein aus, wird diese Datenbank nicht erstellt, da öffentliche Ordner unter Outlook 2007/Exchange 2007 eigentlich nur optional sind. Bei dieser Auswahl handelt es sich aber nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen, diese funktioniert dann wie gewohnt. Andere Auswirkungen hat dieses Fenster nicht (siehe auch Kapitel 7).
1 INFO
2 3
Zur Installation einer Testumgebung müssen Sie an dieser Stelle keine weiteren Eintragungen vornehmen oder bestimmte Punkte beachten.
4 Abbildung 2.87: Auswählen der Client-Optionen
5 6 7 8 9 10 11
Als Nächstes überprüft die Installationsroutine, ob alle notwendigen Komponenten auf dem Server vorhanden sind und die Installation fortgesetzt werden kann (siehe Abbildung 2.88). Sie erhalten für jede Exchange 2007-Komponente, die installiert werden soll, einen Statusbericht. Kann eine Komponente nicht installiert werden, erhalten Sie eine entsprechende Information, können den Fehler beheben und die Installation erneut starten. Installieren Sie eine Testumgebung von Exchange 2007 auf einem virtuellen Server unter Microsoft Virtual Server 2005 R2, sollten Sie die 32Bit-Testversion von Exchange 2007 installieren. In diesem Fall erhalten Sie eine entsprechende Warnung bei den einzelnen Komponenten, die Sie darauf hinweist, dass die 32-Bit-Version von Exchange 2007 nicht auf einem produktiven System installiert werden kann. Virtual Server 2005 R2 kann zwar auf 64-Bit-Servern installiert werden, unterstützt aber nur 32-Bit-Server.
12 13 14 15
103
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.88: Überprüfen der Bereitschaft für die Installationskomponenten
Im nächsten Schritt beginnt Exchange 2007 mit der Installation und zeigt Ihnen den aktuellen Installationsstatus für jede einzelne Komponente an. Sie sehen in diesem Fenster auch die Dauer der Installation für jede einzelne Komponente, die installiert wurde (siehe Abbildung 2.89). Hier sehen Sie auch, bei welchen Komponenten Fehler oder Warnungen während der Installation aufgetreten sind. Nach einiger Zeit wird die Installation abgeschlossen, und Exchange 2007 steht zur Verfügung. Abbildung 2.89: Ablauf der Installation
104
Aufbau einer Testumgebung
Installation von Exchange Server 2007 unter Windows Server 2008 Damit Exchange Server 2007 unter Windows Server 2008 installiert werden kann, müssen auch hier erst die Voraussetzungen geschaffen werden. Auf dem Server muss das Feature PowerShell installiert werden, bevor Exchange installiert werden kann. Die neue Managementkonsole und das .NET Framework 2.0 müssen bei Windows Server 2008 nicht installiert werden, diese sind bereits standardmäßig auf dem System vorhanden.
1
Die PowerShell wird entweder über den Server-Manager installiert oder über den Befehl servermanagercmd -i powershell in der Befehlszeile. Neben der PowerShell muss unter Windows Server 2008 noch die Serverrolle Webserver (IIS) mit der Standardauswahl installiert werden. Außerdem müssen bei der Installation noch folgende zusätzliche Rollendienste ausgewählt werden:
3
■ ■ ■ ■ ■
2
4
IIS 6-Verwaltungskompatibilität mit allen Unterdiensten Komprimierung dynamischer Inhalte Standardauthentifizierung Windows-Authentifizierung Digestauthentifizierung
5 6 Abbildung 2.90: Installieren der notwendigen Rollendienste des IIS für die Installation von Exchange Server 2007
7 8 9 10 11 12 13
Auch wenn die Installation der Rollendienste einen Neustart nicht voraussetzt, sollten Sie diesen trotzdem durchführen, bevor das Exchange Server 2007-Installationsprogramm gestartet wird.
14
Bei der Neuinstallation einer Organisation auf einem Mitgliedsserver unter Windows Server 2008 müssen zunächst die Active Directory-Verwaltungsprogramme auf dem Server installiert werden. Dazu verwenden Sie den Befehl ServerManagerCmd -i RSAT -ADDS.
15
105
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Anschließend wird Exchange Server 2007 auf dem Server installiert. Achten Sie aber darauf, dass die Installation direkt mit dem Installationsprogramm des Service Packs 1 gestartet wird. Auf dem Server muss nicht erst Exchange Server 2007, dann das Service Pack installiert werden. Der Ablauf der Installation ist identisch zur Installation der Version ohne das Service Pack bei Windows Server 2003. Vor der Installation findet eine Überprüfung statt. Findet der Assistent Fehler, weil zum Beispiel Komponenten fehlen, müssen diese erst behoben werden, bevor die Installation fortgesetzt werden kann. Abbildung 2.91: Installieren eines neuen Exchange Servers direkt mit dem Service Pack 1
Ist die Installation abgeschlossen, befindet sich auf dem Server Exchange Server 2007 mit bereits integriertem Service Pack 1.
Nachträgliche Installation von Service Pack 1 für Exchange Server 2007 bei Windows Server 2003 Wurde auf einem Server mit Windows Server 2003 bereits Exchange Server 2007 installiert, kann das Service Pack einfach darüber installiert werden. Dazu muss allerdings das Service Pack 2 für Windows Server 2003 installiert werden. Weitere Anmerkungen zum Service Pack 1 für Exchange Server 2007 finden sich im Kapitel 4. Bei der Installation werden einige Dienste neu gestartet, sodass keine Anwender mit dem Server arbeiten sollten. Die Installation wird mit dem normalen Setup-Programm des Service Packs gestartet. Wie bei Windows Server 2008, kann ein neuer Server auch direkt mit Service Pack 1 installiert werden. Auch unter Windows Server 2003 ist eine vorhergehende Installation von Exchange Server 2007 nicht unbedingt notwendig. Probleme bei der Installation des Service Packs TIPP
106
Unter manchen Umständen erhalten Administratoren eine Fehlermeldung, wenn das Service Pack 1 installiert werden soll. Der Fehler kann aber leicht durch das Löschen eines Registry Keys behoben werden. Erscheint die Fehlermeldung »Setup previously
Erste Schritte mit Exchange 2007
failed while performing the action Install. You cannot resume setup by performing the action BuildToBuildUpgrade«, gibt es auf Ihrem Server noch einen falsch gesetzten Registry-Eintrag. Öffnen Sie in diesem Fall den Registrierungs-Editor und navigieren zu HKLM\Software\Microsoft\Exchange\v8.0. Hier findet sich für jede installierte Rolle ein eigener Registryschlüssel. Bei mindestens einem dieser Schlüssel findet sich ein Eintrag mit dem Namen Action und dem Wert Install oder ein Eintrag Watermark. Löschen Sie in diesem Fall die Werte, die Installation sollte dann problemlos durchgeführt werden können. Achten Sie nach der Installation darauf, dass die Dienste gestartet sind, und starten Sie diese unter Umständen manuell.
2.2
1
2 3
Erste Schritte mit Exchange 2007
Nach der Installation der Testumgebung können Sie sich durch ein paar erste Schritte mit der Konfiguration von Exchange 2007 vertraut machen. Die Verwaltungskonsole von Exchange 2007 trägt die Bezeichnung Exchange-Verwaltungskonsole und baut auf die MMC 3.0 auf. Die MMC 3.0 muss nachträglich auf Windows Server 2003 mit SP1 installiert werden, in Windows Server 2003 R2 ist diese bereits enthalten. Der maßgebliche Unterschied ist die Aufteilung in drei Spalten, von denen die dritte dazu da ist, notwendige Aktionen im aktuell markierten Bereich durchzuführen. Auch Windows Vista wird mit der MMC 3.0 ausgeliefert.
4 5 6
Die Verwaltung von Exchange Server 2007 findet hauptsächlich über die beiden Tools Exchange-Verwaltungskonsole und Exchange-Verwaltungsshell statt. Im folgenden Abschnitt gehe ich auf den ersten Umgang mit diesen Werkzeugen ein, bevor ich in den restlichen Kapiteln des Buches ausführlicher auf die Verwaltung von Exchange Server 2007 eingehe.
2.2.1
7 8
Die Exchange-Verwaltungskonsole verstehen 9
Sie starten die Exchange-Managementkonsole über Start/Programme/Microsoft Exchange Server 2007/Exchange-Verwaltungskonsole (siehe Abbildung 2.92). Abbildung 2.92: Erster Blick in die Exchange-Verwaltungskonsole
10 11 12 13 14 15
107
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Haben Sie die Exchange-Verwaltungskonsole das erste Mal gestartet, sehen Sie den typischen Aktionsbereich ganz rechts in der Management Console 3.0. In diesem Bereich werden immer alle verfügbaren Befehle und Aktionen angezeigt, die auch über den Menüpunkt Aktion bzw. mit Rechtsklick auf den entsprechenden Menüpunkt zur Verfügung stehen. Der Aktionsbereich mit den verfügbaren Befehlen zieht sich quer durch die ganze Bedienung von Servern mit der Management Console 3.0. Auch auf der linken Seite der Managementkonsole sehen Sie, dass die einzelnen Menüpunkte im Baum gegenüber Exchange 2003 deutlich verändert wurden. Zunächst fällt auf, dass der Baum nicht mehr so tief verschachtelt wurde, sondern viele Aufgaben der Verwaltung in den mittleren Bereich der Konsole gewandert sind, während auf der rechten Seite die Hauptmenüpunkte zur Verfügung stehen. Die einzelnen Aktionen, die Sie durchführen können, erscheinen dann wieder im Kontextmenü des entsprechenden Punktes in der Mitte der Konsole oder im Aktionsbereich der Konsole ganz rechts. Abbildung 2.93: Struktur der Exchange-Verwaltungskonsole
Die Bedienung der Exchange-Verwaltungskonsole wurde von Microsoft komplett überarbeitet, es sind nur wenige Ähnlichkeiten zu Exchange 2003 zu erkennen. Es handelt sich bei der Konsole aber noch immer um ein Snap-In für die MMC. Einer der Vorteile ist die bessere Bedienung der Konsole, die ich im Folgenden an ein paar Beispielen zeigen werde. Die Konsole besteht aus vier Bereichen, in denen Sie die einzelnen Komponenten von Exchange verwalten können (siehe Abbildung 2.94). Abbildung 2.94: Struktur der Exchange-Verwaltungskonsole
108
Erste Schritte mit Exchange 2007
Die verschiedenen Bereiche der Managementkonsole sind: ■ ■ ■ ■
Die Konsole ist nicht mehr so tief verschachtelt wie unter Exchange 2003. Administratoren erreichen die einzelnen Optionen direkt unter den einzelnen Menüpunkten. Alle Aktionen, die Sie für die Objekte im Ergebnisbereich durchführen können, erreichen Sie auch durch Rechtsklick. Arbeiten Sie lieber mit der rechten Maustaste und benötigen den Aktionsbereich nicht, können Sie diesen über das Menü Ansicht deaktivieren. Alternativ können Sie auch die Schaltfläche zur Deaktivierung des Aktionsbereichs verwenden (siehe Abbildung 2.95).
3 4 Abbildung 2.95: Deaktivieren des Aktionsbereiches
5 6 7 8 9 10
Verwalten der Exchange-Organisation über die Organisationskonfiguration
11
Über den Menüpunkt Organisationskonfiguration erreichen Sie die Einstellungen, welche für die gesamte Organisation, also alle Exchange-Server, alle Datenbanken und alle Empfänger gelten (siehe Abbildung 2.96).
12 Abbildung 2.96: Verwalten der Organisation
13 14
Dieser Bereich untergliedert sich in vier weitere Untermenüs. Diese Menüs stellen die vier Serverrollen dar, die in einem internen Netzwerk betrieben werden können. Über diese vier Serverrollen-Menüs erreichen Sie die globalen Einstellungen für die einzelnen Serverrollen.
15
109
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Klicken Sie auf den obersten Menüpunkt Organisationskonfiguration, werden Ihnen im Ergebnisbereich alle Einstellungen angezeigt, die nicht zu einer der vier Serverrollen passen (siehe Abbildung 2.97). Hier können Sie zum Beispiel die Administratorrechte delegieren (siehe Kapitel 12). Es gibt unterhalb dieser Menüs keine weiteren Menüpunkte, sondern Sie erreichen alle Einstellungen über den Ergebnisbereich in der Mitte der Exchange-Verwaltungskonsole. Hier stellen Sie zum Beispiel die Empfängerrichtlinien ein oder die E-Mail-Domänen, die von der Exchange-Organisation empfangen werden können (siehe Kapitel 5). Auch die Adresslisten (Kapitel 8) und die Postfachrichtlinien (Kapitel 6) werden an dieser Stelle gepflegt. Abbildung 2.97: Globale Organisationskonfiguration
Klicken Sie auf einen der vier Serverrollen-Menüpunkte, sehen Sie im Ergebnisbereich verschiedene Registerkarten, auf denen Sie die verschiedenen Konfigurationsbereiche der Serverrolle erreichen (siehe Abbildung 2.98). Abbildung 2.98: Verwalten von Exchange 2007 über die Registerkarten im Ergebnisbereich der Managementkonsole
Verwalten der Exchange Server in der Organisation über den Menüpunkt Serverkonfiguration Über den Menüpunkt Serverkonfiguration auf der linken Seite der Exchange-Verwaltungskonsole erreichen Sie alle serverspezifischen Einstellungen der Serverkonfiguration (siehe Abbildung 2.99). Hier verwalten Sie zum Beispiel die verschiedenen Speichergruppen und Postfachdatenbanken aller Exchange Server. Abbildung 2.99: Verwalten der Serverkonfigurationen
110
Erste Schritte mit Exchange 2007
Auch unterhalb des Menüpunktes Serverkonfiguration finden Sie wieder die vier Menüpunkte der internen Serverrollen, wie bereits bei der Organisationskonfiguration. Klicken Sie direkt auf den Menüpunkt Serverkonfiguration, werden Ihnen im Ergebnisbereich alle notwendigen Informationen für alle Exchange Server der kompletten Organisation angezeigt. Hier sehen Sie auch, welche Serverrollen die einzelnen Exchange Server zugewiesen bekommen haben. Über die einzelnen ServerrollenMenüs werden im Ergebnisbereich Registerkarten eingeblendet, die Einstellungen für die entsprechend markierte Serverrolle zur Verfügung stellen (siehe Abbildung 2.100).
1
2 3 Abbildung 2.100: Verwalten der Exchange Server über die Serverkonfiguration
4 5 6 7 8
Sie können mit der rechten Maustaste auf den Servereintrag im Ergebnisbereich klicken. Im Kontextmenü können Sie die einzelnen zugewiesenen Serverrollen verwalten, indem Sie diese auswählen.
9 Abbildung 2.101: Verwalten der Serverrollen
10 11 12 13
Im Ergebnisbereich werden Ihnen also alle Serverobjekte angezeigt, die zu Funktionen auf den Exchange-Servern gehören, also zum Beispiel die Datenbanken.
14
Verwalten der Empfänger über den Menüpunkt Empfängerkonfiguration
15
Über den Menüpunkt Empfängerkonfiguration erreichen Sie alle Einstellungen, die Ihre Empfänger auf allen Exchange Servern der Organisation betreffen (siehe Abbildung 2.102).
111
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.102: Verwalten der Empfänger
Über diesen Menüpunkt können Sie Postfächer verwalten, Benutzer anlegen (auch Benutzerkonten im Active Directory), Verteilergruppen und E-Mail-Kontakte erstellen und Postfächer erneut verbinden.
Verwenden der Zusatztools über den Menüpunkt Toolbox Über den Menüpunkt Toolbox erreichen Sie die verschiedenen Zusatzprogramme, die Microsoft direkt in Exchange Server 2007 integriert hat, zum Beispiel den Exchange Best Practices Analyzer, der Ihre Exchange Server auf Konfigurationsfehler untersucht und Hilfestellung zur Beseitigung von Problemen gibt (siehe Abbildung 2.103). Abbildung 2.103: Zusatztools von Exchange Server 2007
Beispiel: Verwaltung der Empfänger Klicken Sie zum Beispiel auf den Menüpunkt Empfängerkonfiguration, werden Ihnen in der Mitte der Konsole alle Empfänger innerhalb der Exchange-Organisation angezeigt. Sie sehen hier nicht nur die Empfänger des aktuellen Servers oder der Domäne, sondern alle Empfänger der Organisation innerhalb der Gesamtstruktur (siehe Abbildung 2.104). Abbildung 2.104: Anzeigen der Empfänger innerhalb der ExchangeOrganisation
112
Erste Schritte mit Exchange 2007
Bei großen Organisationen kann die Ansicht aller Empfänger innerhalb einer einzelnen Konsole natürlich entweder sehr lange dauern oder übersichtlich sein, aus diesem Grund können Sie über den Menüpunkt Die Anzahl der maximal anzuzeigenden Empfänger ändern die Ansicht auch beschränken (siehe Abbildung 2.95).
1 Abbildung 2.105: Ändern der maximal anzuzeigenden Empfänger in der Konsole
2 3 4 5 6
Darüber hinaus können Sie noch Filter erstellen, welche die Ansicht der Empfänger Ihrer Organisation an Ihre Bedürfnisse anpasst. Auch diese Funktion kann über einen Link in der Konsole direkt erreicht werden (siehe Abbildung 2.106).
7 Abbildung 2.106: Erstellen von Anzeigefilter in Exchange 2007
8 9 10 11 12 13
Klicken Sie auf den Link Filter erstellen, erscheint innerhalb der Konsole ein weiterer Eingabebereich, über den Sie konfigurieren können, nach welchem Attribut die Empfänger in der Managementkonsole angezeigt werden sollen (siehe Abbildung 2.97).
14
Des Weiteren können Sie in den mittleren Fensterbereich klicken, um die einzelnen Konfigurationsmöglichkeiten anzuzeigen. Die entsprechenden Befehle werden in der rechten Seite der Konsole angezeigt. Sie können innerhalb der Exchange-Verwaltungskonsole auch Benutzerkonten im Active Directory anlegen und gleich ein Postfach in einer beliebigen Speichergruppe erstellen (siehe Abbildung 2.108).
15
113
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.107: Konfiguration eines Filters zur Anzeige von Empfängern
Abbildung 2.108: Erstellen von neuen Benutzerkonten und Postfächern in der ExchangeVerwaltungskonsole
Sie können auch ein neues Postfach für ein bereits vorhandenes Benutzerkonto erstellen, die Bedienung ist sehr flexibel. Sie sehen an dieser neuen Möglichkeit, dass auch für die Verwaltung von Benutzern und Verteilerlisten keine verschiedenen Tools mehr notwendig sind, sondern alle Aufgaben bequem in der Konsole durchgeführt werden können. Abbildung 2.109: Erstellen von neuen Benutzerpostfächern in Exchange 2007
114
Erste Schritte mit Exchange 2007
Haben Sie Postfächer erstellt, können Sie diese im gleichen Bereich mit der rechten Maustaste anklicken und die Eigenschaften aufrufen. Ihnen werden daraufhin alle Informationen zu diesem Benutzerkonto und zu dem dazugehörigen Postfach angezeigt (siehe Abbildung 2.110). Hier können Sie auch Änderungen vornehmen. Die Informationen, die Sie angezeigt bekommen, sind darüber hinaus wesentlich besser aufbereitet.
1
Sie sehen auf der ersten Registerkarte bereits, auf welchem Server, in welcher Speichergruppe und innerhalb welchen Postfachspeichers sich das Postfach befindet. Zusätzlich sehen Sie auch, welche Datenmenge bereits im Postfach gespeichert wurde und weitere Informationen, wie zum Beispiel die letzte Anmeldung, um zu erkennen, ob das Postfach überhaupt noch verwendet wird. Innerhalb des Fensters können alle Einstellungen vorgenommen werden, für die bisher das Snap-In Active Directory-Benutzer und -Computer benötigt wurde.
2 3 4 Abbildung 2.110: Anzeigen von Benutzerpostfächern
5 6 7 8 9
Weitere Informationen erhalten Sie, wenn Sie auf den Menüpunkt Postfach klicken. Hier sehen Sie bereits im Hauptmenü, auf welchem Server sich ein Postfach befindet und in welcher Organisationseinheit das zu zugrunde liegende Benutzerkonto abgelegt ist (siehe Abbildung 2.111). Klicken Sie auf die einzelnen Spalten, können Sie die Ansicht auch nach dem entsprechenden Bereich filtern. Außerdem haben Sie die Möglichkeit, die Spalten per Drag&Drop beliebig anzuordnen. Auch hier stehen die Filtermöglichkeiten zur Verfügung, die Sie bereits im Menü Empfängerkonfiguration vorgefunden haben.
10 11 12
Beispiel: Serverkonfiguration Auch im Bereich der Serverkonfiguration hat Microsoft in Exchange Server 2007 einiges angepasst. Klicken Sie in der Exchange-Verwaltungskonsole auf den Menüpunkt Serverkonfiguration, werden Ihnen alle Exchange Server der Organisation angezeigt (siehe Abbildung 2.112).
13 14
Auch hier stehen über das Kontextmenü bzw. den Aktionsbereich in der Konsole die Aufgaben und Aktionen zur Verfügung, die Sie durchführen können.
15
115
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.111: Anzeigen und Verwalten von Benutzerkonten und Postfächern in der Exchange-Verwaltungskonsole
Abbildung 2.112: Serververwaltung in der ExchangeVerwaltungskonsole
Rufen Sie im Kontextmenü die Eigenschaften eines Servers auf, erhalten Sie ausführliche Informationen über Edition und die Konfiguration des Servers (siehe Abbildung 2.113). Sie sehen, ähnlich zu den Benutzerkonten, an zentraler Stelle alle relevanten Informationen über den Server. Da Exchange Server 2007 auch auf ein Rollenmodell aufbaut, erhalten Sie an dieser Stelle die Information, welche Rollen den einzelnen Servern zugewiesen wurden. Neben den Informationen können Sie auf den verschiedenen Registerkarten zahlreiche Einstellungen vornehmen, die in Exchange Server 2003 im Exchange System Manager an verschiedenen Stellen durchgeführt werden mussten.
116
Erste Schritte mit Exchange 2007
Abbildung 2.113: Eigenschaften eines Exchange Servers
1
2 3 4 5 6 7 Beispiel: Tools Microsoft hat in die Exchange-Verwaltungskonsole im Bereich Toolbox zahlreiche neue Werkzeuge integriert, die bisher gesondert heruntergeladen, installiert und verwaltet werden mussten. Hier finden Sie hauptsächlich Troubleshooting- und Optimierungstools, wie zum Beispiel die neue Version des Exchange Best Practices Analyzers (siehe Abbildung 2.114). Auf diese Tools gehe ich in den Kapiteln 11 und 16 noch ausführlicher ein. Über den Best Practices Analyzer erhalten Sie weit über 2000 Regeln, die bei den bekanntesten Konfigurationsfehlern helfen sollen und die durch automatische Updates aus dem Internet ständig aktuell gehalten werden.
8 9 10
Abbildung 2.114: Neue Tools für das Troubleshooting und die Optimierung von Exchange
11 12 13 14 15
117
Aufbau einer Testumgebung, Grundlagen und erste Schritte
2.2.2
Einführung in die Exchange-Verwaltungsshell
In der Programmgruppe Microsoft Exchange Server 2007 gibt es darüber hinaus noch den Link zur Exchange-Verwaltungsshell, welche die Befehlszeilenoberfläche von Exchange 2007 startet (siehe Abbildung 2.115). Die meisten neuen Server-Produkte von Microsoft bauen auf der Windows PowerShell auf. Die grafische Oberfläche von Exchange Server 2007 dient nur noch dazu, Befehle zu generieren, sogenannte CMDlets, die durch die PowerShell ausgeführt werden. Exchange Server 2007 erweitert zum Beispiel die Windows PowerShell mit zusätzlichen Funktionen. Die neue Kommandozeile hat nichts mehr mit einer DOS-Box gemeinsam und ist extrem mächtig. Die PowerShell baut auf das .NET Framework auf. Skriptbasierte Aktionen mussten in Exchange Server 2003 noch durch komplizierte VB-Skripte durchgeführt werden, während in Exchange Server 2007 einfache PowerShell-Skripte verwendet werden können. Sie können Cmdlets an ihrem Aufbau erkennen: ein Verb und ein Substantiv, getrennt durch einen Bindestrich (-), beispielsweise Get-Help, Get-Process und StartService. Die meisten Cmdlets sind sehr einfach und für die Verwendung zusammen mit anderen Cmdlets vorgesehen. So werden mit Get-Cmdlets Daten abgerufen, mit Set-Cmdlets Daten erzeugt oder geändert, mit Format-Cmdlets Daten formatiert und mit Out-Cmdlets Ausgaben an ein angegebenes Ziel geleitet. Unter Windows Server 2008 können CMDlets auch für die Automatisierung der neuen Serverrollen, zum Beispiel des IIS 7.0, der Active Directory-Domänendienste und der Terminaldienste, verwendet werden. Auch die Verwaltung der Registry, von Zertifikaten und der Ereignisanzeigen lassen sich über die PowerShell automatisieren. Windows PowerShell baut auf .NET Framework und der Common Language Runtime (CLR) von .NET auf und kann .NET-Objekte akzeptieren und zurückgeben. Diese grundlegende Änderung ermöglicht neue Tools und Skriptverfahren für die Verwaltung und Konfiguration von Windows. Neben den bekannten Dateisystemlaufwerken wie C: und D: enthält Windows PowerShell auch Laufwerke, welche die Registrierungsstrukturen HKEY_LOCAL_MACHINE (HKLM:) und HKEY_CURRENT_USER (HKCU:), den Speicher für digitale Signaturzertifikate auf Ihrem Computer (Cert:) und die Funktionen in der aktuellen Sitzung (Function:) darstellen. Diese werden als Windows PowerShellLaufwerke bezeichnet. Eine Liste kann mit dem Befehl get-psdrive angezeigt werden. In der PowerShell wird mit .NET-Objekten gearbeitet. Technisch gesehen ist ein .NET-Objekt eine Instanz einer .NET-Klasse, die aus Daten und zugeordneten Operationen besteht. Sie können sich ein Objekt als Dateneinheit mit Eigenschaften und Methoden vorstellen. Methoden sind Aktionen, die für das Objekt ausgeführt werden können. Wenn beispielsweise ein Dienst aufgerufen werden soll, wird eigentlich ein Objekt, das diesen Dienst darstellt, verwendet. Wenn Informationen über einen Dienst angezeigt werden, werden die Eigenschaften des zugehörigen Dienstobjekts angezeigt. Und wenn einen Dienst gestartet wird, verwendet die PowerShell eine Methode des Dienstobjekts. Um zum Beispiel in die lokale Registry in HKEY_CURRENT_USER zu wechseln, geben Sie in der PowerShell cd hkcu: ein. Den Inhalt des Registry-Hives können Sie sich mit dir anzeigen lassen. Wenn Sie immer wieder bestimmte Befehlsfolgen ausführen oder ein PowerShell-Skript für eine komplexe Aufgabe entwickeln, empfiehlt es sich, die Befehle nicht einzeln einzugeben, sondern in einer Datei zu speichern. Die Dateierweiterung für Windows PowerShellSkripte lautet *.ps1. Es muss immer ein vollqualifizierter Pfad zu der Skriptdatei angegeben werden, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn auf das aktuelle Verzeichnis verwiesen werden soll, geben Sie einen Punkt ein, zum Beispiel .script.ps1.
118
Erste Schritte mit Exchange 2007
Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Die Ausführungsrichtlinie bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen. Standardmäßig werden Skripte blockiert. Sie können die Ausführungsrichtlinie mit dem Cmdlet Set-ExecutionPolicy ändern. Die Ausführungsrichtlinie wird in der WindowsRegistrierung gespeichert. Mit dem Cmdlet Start-Sleep werden Windows PowerShellAktivitäten für einen bestimmten Zeitraum gestoppt. Mit dem Befehl Start-Sleep -s 10 hält das Skript zehn Sekunden an. Start-Sleep -m 10000 verwendet Millisekunden. Wird die Ausgabe von CMDlets mit der Option | outpout-printer an das CMDlet Output-Printer übergeben, wird die Ausgabe auf dem Standarddrucker ausgedruckt. Der Drucker kann mit Anführungszeichen und der Bezeichnung in der Druckersteuerung auch angegeben werden. Mit dem Cmdlet Write-Warning können eigene Warnungen in der PowerShell angezeigt werden. Write-Host schreibt Nachrichten. Mit dem Cmdlet Invoke-Expression wird in der Windows PowerShell ein Skript gestartet: Invoke-Expression c:\scripts\test.ps1.
1
2 3 4 Abbildung 2.115: Exchange-Verwaltungsshell über die ExchangeProgrammgruppe starten
5 6 7 8 9 10 11
Über die Befehlszeilenoberfläche von Exchange 2007 lassen sich alle Verwaltungsaufgaben durchführen, die auch in der grafischen Oberfläche der Exchange-Verwaltungskonsole durchgeführt werden können. Die Exchange-Verwaltungsshell baut auf der Microsoft PowerShell auf (siehe Abbildung 2.116). Sie können Skripte schreiben und zahlreiche Aufgaben automatisieren, die unter Exchange 2003 noch in der grafischen Oberfläche fast ohne die Möglichkeit zu automatisieren durchgeführt werden mussten. Die Exchange-Verwaltungsshell baut auf der Windows-PowerShell auf und erweitert diese um exchange-spezifische Befehle.
12 13
Haben Sie die Exchange-Verwaltungsshell gestartet, können Sie sich über den Befehl get-command alle Befehle anzeigen lassen, welche die Shell kennt.
14
Über den Befehl help können Sie sich zu einzelnen Befehlen eine ausführliche Hilfe anzeigen lassen. Über die Tastenkombination (STRG)+(C) können Sie innerhalb der Shell einzelne Aktionen stoppen. Wenn Sie eine detaillierte Hilfe zu einem Cmdlet einschließlich Parameterbeschreibungen und Beispielen anzeigen möchten, verwenden Sie Get-Help mit dem Detailed-Parameter, zum Beispiel gethelp get-command -detailed.
15
119
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.116: Verwaltung von Exchange Server 2007 mit der ExchangeVerwaltungsshell
TIPP
Eine ausführliche Hilfe über die einzelnen Befehle in der Exchange-Verwaltungsshell erhalten Sie in der Datei C:\Programme\Microsoft\Exchange-Server\Bin\exquick. htm. In der Konsole können Sie mit dem Befehl get-command eine Liste aller Befehle erstellen, die in der Exchange-Verwaltungsshell ausgegeben werden. Über get-command >c:\befehle.txt werden alle Befehle in die Datei c:\befehle.txt umgelenkt, Sie erhalten wie immer bei der Dateiumleitung keine Bestätigung der Ausführung. Interessant ist auch die Möglichkeit, dass Sie innerhalb der Shell auch Variablen definieren können, die aktuelle Informationen automatisch abfragen. Diese Variablen können Sie dann später innerhalb eines Skriptes verwenden. Wollen Sie zum Beispiel das aktuelle Datum als Variable $heute hinterlegen, können Sie in der Shell den Befehl $heute = get-date eingeben. Anschließend wird das heutige Datum als Variable $heute hinterlegt. Geben Sie als Nächstes in der Shell $heute ein, wird das aktuelle Datum ausgegeben (siehe Abbildung 2.117).
Abbildung 2.117: Arbeiten mit Variablen in der Management Shell
Sie können auch auf einzelne Bestandteile der Variablen getrennt zugreifen. Interessiert Sie zum Beispiel aus dem Datum lediglich die Zeit, können Sie etwa einzelne Elemente objektorientiert aus der Variablen auslesen. So können Sie zum Beispiel durch das Eingeben des Befehls $heute.ToShortTimeString() ohne viel Aufwand nur die Zeit aus der Variablen auslesen (siehe Abbildung 2.108).
120
Erste Schritte mit Exchange 2007
Abbildung 2.118: Arbeiten mit einzelnen Objekten aus Variablen innerhalb der Management Shell
1
2 Weitere Möglichkeiten sind die Formatierung der Ausgabe. So ist es zum Beispiel auch möglich, über Eingabe des Befehls $heute.ToString(MMMM) die Ausgabe des Monats zu erzwingen oder über $heute.ToString(MM) den Monat als Zahl innerhalb des Kalenderjahres (siehe Abbildung 2.119).
3
Abbildung 2.119: Abfrage und Formatierung von Variablen
4 5 6 7
Sie können sich in der Befehlszeile auch alle Exchange-Datenbanken ausgeben, die auf den Servern Ihrer Organisation angelegt wurden. Geben Sie dazu in der Exchange-Verwaltungsshell den Befehl get-mailboxdatabase ein. Sie erhalten eine formatierte Liste aller Postfachdatenbanken (siehe Abbildung 2.120).
8 Abbildung 2.120: Anzeigen der Postfachdatenbanken in der ExchangeVerwaltungsshell
9 10 11
Sie erhalten durch den Befehl nicht nur die Liste der Postfachdatenbanken eines Servers, sondern alle Postfachdatenbanken auf allen Exchange-Servern in der Organisation. Über den Befehl dismount-database können Sie die Bereitstellung einer Datenbank in der Befehlszeile aufheben (siehe Kapitel 6). Sie müssen dazu lediglich die ID der Datenbank mitgeben, damit die Exchange-Verwaltungsshell weiß, von welcher Datenbank die Bereitstellung aufgehoben werden soll. Sie können so zum Beispiel den Befehl dismount-database (get-mailboxdatabase Mailbox) eingeben (siehe Abbildung 2.121). Zwischen die Anführungszeichen schreiben Sie die Bezeichnung der Postfachdatenbank.
12 13 14 15
121
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Abbildung 2.121: Aufheben der Bereitstellung einer Datenbank
Nach der Ausführung des Befehls erhalten Sie keine weitere Meldung, Sie erkennen aber in der Exchange-Verwaltungskonsole, dass die Bereitstellung der Postfachdatenbank aufgehoben worden ist (siehe nächster Abschnitt und Abbildung 2.122). Abbildung 2.122: Aufgehobene Bereitstellung einer Postfachdatenbank
Drücken Sie die Pfeiltaste nach oben auf der Tastatur, erscheint der eingegebene Befehl noch einmal. Sie können den Befehl dismount-database in mount-database abändern, damit die Datenbank wieder bereitgestellt wird (siehe Abbildung 2.123). Abbildung 2.123: Bereitstellen einer Datenbank in der Exchange-Verwaltungsshell
Sie erhalten bei der Bereitstellung keine weitere Meldung, können aber in der Exchange-Verwaltungskonsole auf (F5) klicken, damit der Status der Datenbank wieder als Bereitgestellt angezeigt wird (siehe Abbildung 2.124).
122
Erste Schritte mit Exchange 2007
Abbildung 2.124: Bereitstellen einer Datenbank
1
2 3 4 Eine weitere Möglichkeit der Exchange-Verwaltungskonsole ist das Auslesen der Postfächer innerhalb einer Postfachspeicherdatenbank. Geben Sie den Befehl getmailbox ein, erhalten Sie eine Liste aller Postfächer der Organisation (siehe Abbildung 2.125).
5 6 Abbildung 2.125: Anzeigen der Postfächer einer Organisation
7 8 9
Haben Sie den Befehl eingegeben, erhalten Sie eine formatierte Liste. Sie sehen hier auch, auf welchem Server die einzelnen Postfächer liegen und ob ein Grenzwert eingetragen ist, der das Senden verbietet.
10
Über den Befehl get-mailbox | format-table displayname, database, können Sie sich die Postfächer sortiert nach Postfachdatenbank und Anzeigenamen anzeigen lassen (siehe Abbildung 2.126).
11 Abbildung 2.126: Anzeigen von Postfächern, sortiert nach Postfachdatenbanken
12 13 14 15
123
Aufbau einer Testumgebung, Grundlagen und erste Schritte
Über den Befehl move-mailbox können Sie Postfächer auch in der Exchange-Verwaltungsshell zwischen Postfachspeicherdatenbanken verschieben. Sie können beispielsweise den Befehl get-mailbox –database Mailbox | move-mailbox –targetdatabase Mailbox Database –validateonly verwenden, um Postfächer aus der Postfachdatenbank Mailbox in die Postfachdatenbank Mailbox Database zu verschieben (siehe Abbildung 2.127). Sie müssen das Verschieben noch bestätigen, danach beginnt der Exchange Server mit dem Vorgang. Abbildung 2.127: Verschieben von Postfächern in der Befehlszeile
Verwenden Sie den Befehl get-mailbox –database Mailbox | move-mailbox –targetdatabase Mailbox Database –validateonly, verschiebt Exchange keine Postfächer, sondern überprüft lediglich, ob ein Verschieben möglich ist, und gibt eine ausführliche Informationsseite aus, welche Optionen durchgeführt werden würden, wenn die Option –vaildateonly nicht verwendet wird. Eine weitere Option in diesem Zusammenhang ist –whatif, die ähnlich funktioniert wie –vaildateonly, aber weniger Informationen ausgibt. Unabhängig davon, welche Optionen Sie verwenden, erhalten Sie ausführliche Informationen, was Exchange durchführen würde oder getan hat. Über die Exchange-Verwaltungsshell können Sie nicht nur auf Attribute innerhalb von Exchange zugreifen, sondern auch direkt auf das Active Directory. Sie können Gruppen erstellen, Gruppenmitgliedschaften konfigurieren und so weiter. Sie können in der Exchange-Verwaltungsshell auch Statistiken über die Postfächer in Ihrer Organisation abrufen. Geben Sie beispielsweise den Befehl get-mailboxstatistics ein, erhalten Sie ausführliche Informationen über die einzelnen Postfächer innerhalb Ihrer Exchange-Organisation (siehe Abbildung 2.128). Abbildung 2.128: Abrufen von Statistiken über die Postfächer auf den Exchange Servern
124
Erste Schritte mit Exchange 2007
Der Befehl get-mailboxstatistics | group database gibt Ihnen eine Statistik über die einzelnen Postfachdatenbanken aus (siehe Abbildung 2.129). Abbildung 2.129: Statistik über Exchange-Postfachdatenbanken
1
2 3 Generell können Sie hinter den meisten Befehlen in der Exchange-Verwaltungsshell, die einen Status oder eine Statistik ausgeben, noch den Zusatz |fl eingeben. Dieser Zusatz bewirkt, dass Sie eine formatierte Liste (daher fl) erhalten, die deutlich mehr Informationen ausgibt als der Befehl ohne diesen Zusatz.
4 TIPP
5
Im Internet gibt es bereits zahlreiche Communities und Zusatzprodukte, die den Nutzen der PowerShell und der Exchange-Verwaltungsshell weiter verbessern. Ebenfalls im Internet erhältlich sind CMDlets für die PowerShell, die spezielle Aufgaben im Netzwerk durchführen können, auf das Active Directory zugreifen oder auch Dateien übertragen können. Auch hier haben wir für Sie Beispiele aufgeführt. Auch eine grafische Oberfläche wird mittlerweile angeboten, die Administratoren bei der Erstellung von CMDlets unterstützt. Die PowerGUI kennt nicht nur die CMDlets der herkömmlichen PowerShell, sondern auch die Erweiterungen für Exchange Server 2007 und Microsoft System Center Operation Manager 2007. Mit der PowerGUI können Sie CMDlets direkt in der grafischen Oberfläche durch bequeme Menüs ausführen.
Erster Einblick in die neuen Strukturen der Exchange-Datenbanken
13
Wie auch in Exchange 2000 und Exchange 2003 werden die Postfächer der Anwender in Postfachspeichern abgelegt. Mehrere Postfachspeicher werden zu Speichergruppen zusammengefasst, die sich einen gemeinsamen Satz Transaktionsprotokolle teilen (siehe Kapitel 6).
14
10 11 12
15
Die Verwaltung dieser Postfachspeicher und Speichergruppen finden Sie ebenfalls in der Exchange-Verwaltungskonsole. Klicken Sie dazu auf Serverkonfiguration/Postfach (siehe Abbildung 2.130). In der Mitte der Konsole werden Ihnen alle Exchange Server Ihrer Organisation angezeigt. Klicken Sie auf einen Server, sehen Sie unten in 125
Aufbau einer Testumgebung, Grundlagen und erste Schritte
der Konsole, welche Speichergruppen und Postfachspeicher bzw. Speicher für öffentliche Ordner standardmäßig angelegt wurden. Im Gegensatz zu Exchange 2003 wird der Speicher für öffentliche Ordner (siehe Kapitel 6 und 7) nicht mehr in der gleichen Speichergruppe angelegt wie der erste Postfachspeicher, sondern in einer neuen, getrennten Speichergruppe. Da unter Exchange 2003 in der Standard Edition nur eine Speichergruppe unterstützt wurde, war das bisher nicht möglich. Exchange 2007 wird, wie Exchange 2003 und 2000, in einer Standard Edition und einer Enterprise Edition zur Verfügung gestellt. Exchange 2007 Enterprise Edition unterstützt 50 Speichergruppen mit 50 Postfachspeichern. Die Exchange 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Abbildung 2.130: Verwalten von Speichergruppen und Postfachspeichern in der ExchangeVerwaltungskonsole
Die Erstellung und ausführliche Verwaltung von Speichergruppen zeige ich Ihnen in Kapitel 6. Klicken Sie mit der rechten Maustaste auf eine Speichergruppe, sehen Sie alle Aktionen, die Sie mit dieser Speichergruppe durchführen können. Klicken Sie mit der rechten Maustaste in einen leeren Bereich im unteren Teil des Fensters, können Sie zum Beispiel eine neue Speichergruppe erstellen. Neue Postfachspeicherdatenbanken erstellen Sie, wenn Sie mit der rechten Maustaste auf die Speichergruppe klicken, unter der Sie den Postfachspeicher erstellen wollen, und aus dem Menü Neue Postfachspeicherdatenbank auswählen (siehe Abbildung 2.131). Erstellen Sie zu Testzwecken auf dem Testserver eine neue Postfachspeicherdatenbank. Ich zeige Ihnen im folgenden Abschnitt, wie Sie Postfächer in diese neue Datenbank verschieben können. Sie brauchen zur Erstellung der Datenbank keine ausführlicheren Einstellungen vorzunehmen, es reicht, wenn Sie mit der rechten Maustaste auf eine der beiden Speichergruppen klicken, aus dem Menü Neue Postfachspeicherdatenbank auswählen und dann auf Neu klicken. Wie Sie in Abbildung 2.132 erkennen können, zeigt der Assistent für die Erstellung einer neuen Postfachspeicherdatenbank auch den entsprechenden Befehl aus der Befehlszeile für die Exchange-Verwaltungsshell an. Sie sehen im folgenden Beispiel, dass über den Befehl mount -database Datenbanken auch über die Befehlszeile bereitgestellt werden können. 126
Erste Schritte mit Exchange 2007
Abbildung 2.131: Erstellen einer neuen Postfachdatenbank
1
2 3 4 5 Abbildung 2.132: Erstellen einer neuen Postfachspeicherdatenbank
6 7 8 9 10 11 12 13 14
Verschieben von Postfächern Im folgenden Abschnitt zeige ich Ihnen, wie Sie Postfächer in die neue Postfachspeicherdatenbank verschieben können. Klicken Sie dazu in der Exchange-Verwaltungskonsole auf den Menüpunkt Empfängerkonfiguration.
15
Wie Sie bereits gesehen haben, werden Ihnen alle Postfächer innerhalb der Exchange-Organisation angezeigt (siehe Abbildung 2.133). Klicken Sie auf ein Post127
Aufbau einer Testumgebung, Grundlagen und erste Schritte
fach mit der rechten Maustaste, können Sie über die Option Postfach verschieben den Assistenten für das Verschieben von Postfächern starten (siehe Abbildung 2.133). Alternativ können Sie diese Aktion auch im Aktionsbereich der Konsole durchführen. Abbildung 2.133: Verschieben eines Postfachs
Haben Sie die Auswahl getroffen, erscheint der Assistent zum Verschieben von Postfächern. Sie sehen, dass auch dieser Assistent mit den anderen Assistenten weitgehend identisch ist und der Aufbau der einzelnen Schritte sich auch hier nicht unterscheidet. Wählen Sie in dem ersten Fenster zunächst aus, auf welchen Server, in welche Speichergruppe und in welchen Postfachspeicher das Postfach verschoben werden soll (siehe Abbildung 2.134). Klicken Sie bei den weiteren Fenstern des Assistenten einfach immer auf Weiter. Haben Sie den Assistenten abgeschlossen, wurde das Postfach verschoben. Generell unterscheidet sich dieser Assistent nicht sehr von dem Assistent zur Verschiebung von Postfächern unter Exchange 2003. Sie sehen im Abschlussfenster des Assistenten unten die Information, dass Sie über (STRG)+(C) den Inhalt des Fensters in die Zwischenablage kopieren können (siehe Abbildung 2.135). Diese Funktion finden Sie in Exchange 2007 bei jedem Assistenten. Sie können mithilfe dieser Funktion die einzelnen Aufgaben dokumentieren, erhalten wertvolle Informationen für die Fehlersuche und können sich sehr einfach die entsprechenden Befehle für die Exchange-Verwaltungsshell in die Zwischenablage kopieren. So ersparen Sie sich das Abtippen komplexer Befehle.
128
Erste Schritte mit Exchange 2007
Abbildung 2.134: Verschieben eines Benutzerpostfaches
1
2 3 4 5 6 7 Abbildung 2.135: Kopieren des Inhalts eines Fensters in Exchange 2007
8 9 10 11 12 13 14 15
Sie können den kopierten Inhalt des Fensters zum Beispiel in den Editor einfügen (siehe Abbildung 2.136). Durch das Einfügen in den Editor erhalten Sie auch die entsprechenden Befehle für die Exchange-Verwaltungsshell, die Sie später weiterver-
129
Aufbau einer Testumgebung, Grundlagen und erste Schritte
wenden können, um zukünftig solche Aufgaben zu automatisieren. Sie erkennen, dass die Exchange-Verwaltungsshell nicht nur ein Spielzeug für Skriptprofis ist, sondern auch Administratoren schnell die entsprechenden Befehle in der Exchange-Verwaltungskonsole zusammenklicken können und dann in die Shell einfügen. Abbildung 2.136: Kopieren von Informationen aus der Exchange-Verwaltungskonsole in eine Textdatei
2.2.4
Clientzugriff testen
Der schnellste Weg, um den Zugriff auf den Exchange Server zu testen, ist Outlook Web Access (OWA). Haben Sie Ihren Exchange Server installiert, können Sie auf dem Server oder von einem anderen PC im Netzwerk Outlook Web Access über den Link http://<Servername>/owa testen. OWA ist bereits standardmäßig nach der Installation aktiviert. Die sichere Veröffentlichung von OWA im Internet zeige ich Ihnen in Kapitel 9 und 15. Verbinden Sie sich vom lokalen Server mit OWA, müssen Sie sich unter Umständen ein- bis zweimal authentifizieren. Ich zeige Ihnen in Kapitel 9, wie Sie diese Authentifizierung steuern können. Haben Sie sich authentifiziert, erscheint die neue Oberfläche von Outlook Web Access 2007. Abbildung 2.137: Zugriff auf Exchange 2007 mit Outlook Web Access
130
Inhalt 1 2
3 4 5
3
Serverrollen, Verzeichnisse und Dienste
6 7
In diesem Kapitel gehe ich ausführlicher auf die einzelnen Serverrollen von Exchange Server 2007 ein. Ich zeige Ihnen in diesem Kapitel auch die Systemdienste und Verzeichnisse, die ein Exchange Server benötigt. Administratoren, die eine Exchange-Infrastruktur verwalten, sollten nicht nur über die grafische Oberfläche oder die Exchange-Verwaltungsshell Bescheid wissen, sondern auch die Hintergründe verstehen, da bei Problemen mit dem Server oft hier die Lösung liegt.
8 9
Die Serverrollen und die Standorte im Active Directory interagieren miteinander. Exchange-Administratoren, die Exchange Server über mehrere Standorte verteilt einsetzen, sollten sich daher auch mit der Thematik der Active Directory-Standorte auseinandersetzen. Auch dem Bereich habe ich in diesem Kapitel einen eigenen Abschnitt gewidmet.
10 11
In den meisten Bereichen gibt es zwischen dem Einsatz von Exchange Server 2007 mit SP1 unter Windows Server 2003 und Windows Server 2008 keinen Unterschied. Aus diesem Grund erwähnen wir nicht bei allen Themen explizit Windows Server 2008.
Allgemeine Informationen zu Serverrollen 13
Die verschiedenen Serverrollen in Exchange Server 2007 sind eine der maßgeblichsten Änderungen. Durch diese neuen Möglichkeiten können Unternehmen einzelne Exchange Server speziell nach deren gewünschter Funktion einsetzen. Nicht benötigte Funktionen werden nicht mit installiert. Dadurch steigt die Sicherheit, und die Belastung der Hardware durch unnötige Dienste wird verringert.
14 15
Bevor Sie sich an die Planung und Umsetzung eines Exchange-Projektes machen, sollten Sie sich daher mit dem Rollenmodell in Exchange Server 2007 vertraut machen. Vor allem beim Einsatz mehrerer Exchange Server auch in verschiedenen physikalischen Niederlassungen ist das Verständnis für die Serverrollen wichtig für die Planung, Installation, Verwaltung und Optimierung. 131
Index
3.1
12
Serverrollen, Verzeichnisse und Dienste
Insgesamt können Sie bei der Installation von Exchange Server 2007 einem Server eine oder mehrere der fünf Rollen zuweisen. Im nächsten Abschnitt gehe ich näher auf die einzelnen Rollen und deren Funktionen ein: ■
■
■
■
■
132
Edge-Transport – Diese Exchange Server sind für das Routing vom und ins Internet in der DMZ, auch für das Viren- und Spam-Scannen verantwortlich. Dieser Server muss kein Bestandteil einer Domäne sein. Diese Rolle wird standardmäßig nicht mit installiert, sondern muss explizit getrennt installiert werden, da diese nicht zusammen mit den anderen Rollen auf einem Server betrieben werden kann. Diese Art von Server ist der erste Berührungspunkt von E-Mails aus dem Internet und der letzte vom internen Netzwerk ins Internet (siehe Kapitel 5 und 15). Eine solche Funktion gibt es erst seit Exchange Server 2007. Hub-Transport – Diese Server nehmen die Aufgaben der bisherigen BridgeheadServer zwischen verschiedenen Routinggruppen ein. In Exchange Server 2007 gibt es keine Routinggruppen mehr, da Exchange jetzt die Active DirectoryStandorte unterstützt. Außerdem ist dieser Servertyp für das Durchsetzen der verschiedenen Richtlinien zuständig. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Mailbox-, Client-Access- und UnifiedMessaging-Rolle installiert werden. In jedem Active Directory-Standort in der Gesamtstruktur, in der auch Exchange Server positioniert werden, muss mindestens ein Server die Rolle eines Hub-Transport-Servers einnehmen. Alle E-Mails eines Active Directory-Standorts laufen immer durch einen HubTransport-Server. Die Kommunikation zwischen Hub-Transport-Servern der verschiedenen Active Directory-Standorte findet zertifikatsbasierend und verschlüsselt statt. Exchange Server 2007 stellt dazu bereits eingebaute Zertifikate zur Verfügung, sodass Administratoren nicht zwingend eine eigene Zertifikatsinfrastruktur (Certificate Authority, CA) aufbauen und verwalten müssen. Admins, die sich mit diesem Thema auskennen, können aber auch selbst erstellte Zertifikate verwenden (siehe Kapitel 5). Mailbox (oft auch als Postfachserver bezeichnet) – Diese Server entsprechen der bisherigen Rolle eines Back-End-Servers, dienen also nur dem Speichern von Postfächern und öffentlichen Ordnern. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Client-Access- und Unified-Messaging-Rolle installiert werden. Diese Rolle ist als einzige clusterfähig (siehe Kapitel 14), alle anderen Rollen müssen durch Loadbalancing oder andere Absicherungsmethoden vor Ausfall geschützt werden (siehe Kapitel 6). Client-Access (oft auch als Clientzugriffserver bezeichnet) – Diese Server entsprechen den bisherigen Front-End-Servern mit dem Unterschied, dass auch interne Outlook-Clients über Client-Access-Server Verbindung zu MailboxServern aufbauen können. Auch der Zugriff von Smartphones (Exchange ActiveSync), Outlook Anywhere (RPC über HTTP) oder Outlook Web Access erfolgt über diese Art von Servern. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Mailbox- und Unified-Messaging-Rolle installiert werden (siehe Kapitel 9). Unified Messaging – Diese Server dienen dem Empfangen (Senden geht nicht) von Faxen und der Anbindung direkt an Telefonanlagen für Voice Mail und Outlook Voice Access. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Client-Access- und Mailbox-Rolle installiert werden. Für die Konfiguration dieser Rolle ist etwas Wissen für die Konfiguration und Steuerung von Telefonanlagen notwendig (siehe Kapitel 10).
Allgemeine Informationen zu Serverrollen
Unternehmen, die nur einen Exchange Server einsetzen, installieren diesen natürlich mit allen Serverrollen, die auf einem einzelnen Exchange Server installiert werden können, also Client-Access, Mailbox, Hub-Transport und bei Bedarf auch Unified Messaging. Ist ein Edge-Transport-Server in der DMZ geplant, muss diese Rolle zwingend auf einer eigenständigen Maschine installiert werden, eine Kombination mit den anderen vier Rollen ist nicht möglich.
1 2
INFO
Anzeigen der verschiedenen Serverrollen in der Exchange-Verwaltungskonsole Klicken Sie in der Exchange-Verwaltungskonsole auf den Menüpunkt Serverkonfiguration, werden Ihnen im Ergebnisbereich alle Exchange Server der Organisation mit den verschiedenen Rollen angezeigt (siehe Abbildung 3.1).
3 4 Abbildung 3.1: Anzeigen der Serverrollen in der Exchange-Verwaltungskonsole
5 6 7 8
Unterhalb des Menüpunktes Serverkonfiguration finden Sie die vier Serverrollen, die in einem internen Netzwerk installiert werden können. Klicken Sie auf einen dieser Menüpunkte, werden Ihnen die Server angezeigt, auf denen die entsprechende Rolle installiert ist.
9 10
Serverrollen während der Migration zu Exchange Server 2007 Migrieren Sie zu Exchange Server 2007, und setzen Sie dedizierte Server für die verschiedenen Rollen ein, sollten Sie die Migration in folgender Reihenfolge vornehmen:
Bei der Installation eines Edge-Transport-Servers während der Migration müssen Sie keine besondere Reihenfolge beachten, Sie können diese Server vor, während oder nach der Migration zu Exchange Server 2007 installieren. Migrieren Sie Exchange Server 2003-Front-End-Server zu Exchange Server 2007-ClientAccess-Servern, können Anwender, deren Postfächer noch auf Exchange Server 2003Back-End-Servern liegen, wie gewohnt auf deren Postfächer mit Outlook Web Access zugreifen.
14 15 INFO
133
Serverrollen, Verzeichnisse und Dienste
3.1.1
Edge-Transport-Server und ADAM (Active Directory Application Mode)
ADAM ist eine Low-End-Variante von Active Directory. Es basiert auf der gleichen Technologie und unterstützt ebenfalls Replikation. Im Gegensatz zum Active Directory wird aber beispielsweise kein Kerberos für die Authentifizierung unterstützt. Mit ADAM können LDAP-Verzeichnisse für Anwendungen erstellt werden, die wiederum mit dem Active Directory synchronisiert werden und dieses auch für die Authentifizierung nutzen können. Es können mehrere ADAM-Instanzen parallel auf einem Server betrieben werden. ADAM ist eine Alternative zu den Application Directory Partitions im Active Directory. ADAM wurde für Organisationen, die eine flexible Unterstützung verzeichnisfähiger Anwendungen benötigen, entwickelt. ADAM ist ein LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll), der als Benutzerdienst und nicht als Systemdienst ausgeführt wird. Mit den ADAM-Services können Unternehmen zum Beispiel andere LDAP-Verzeichnisse in Testumgebungen oder der DMZ installieren, ohne auf Software eines Drittanbieters zurückgreifen zu müssen. Sie können ADAM im Internet auf der Seite http://www.microsoft.com/downloads/ details.aspx?displaylang=de&FamilyID=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4 herunterladen. Alternativ können Sie auch nach ADAM auf der Microsoft-Homepage suchen. Setzen Sie Windows Server 2003 R2 ein, ist ADAM bereits im Lieferumfang des Servers enthalten. Sie können ADAM über Systemsteuerung/Software/WindowsKomponenten hinzufügen/Active Directory-Dienste/Details/Active Directory-Anwendungsmodus installieren. Die Verwaltung von ADAM findet über die Programmgruppe Start/Programme/ADAM statt.
3.2
Active Directory-Standorte und Exchange Server 2007
Exchange Server 2007 kennt keine administrativen Gruppen und Routinggruppen mehr, sondern verwendet die Active Directory-Standorte der Gesamtstruktur. Aus diesem Grund gehört die Planung von Active Directory und Exchange zukünftig enger zusammengelegt als noch bei den Vorgängerversionen von Exchange Server 2007. Durch die Integration von Exchange Server 2007 in die Active Directory-Standorte verringert sich die Verwaltung von Exchange 2007-Servern. Exchange-Administratoren müssen daher zukünftig auch im Bereich der Active Directory-Replikation und -Standorte entsprechendes Wissen mitbringen. Im folgenden Abschnitt gehe ich auf die Erstellung und Verwaltung von Active Directory-Standorten ein. Die Fehlerbehebung zu diesem Bereich zeige ich Ihnen in Kapitel 16. Das Active Directory bietet die Möglichkeit, eine Gesamtstruktur in mehrere Standorte zu unterteilen, die durch verschiedene IP-Subnetze voneinander getrennt sind (siehe Abbildung 3.2). Durch diese physische Trennung der Standorte ist es nicht mehr notwendig, für jede Niederlassung eine eigene Domäne zu erstellen. An jedem Standort müssen zwar weiterhin Domänencontroller installiert werden, allerdings kann die Domäne von einem zentralen Standort aus verwaltet werden, von dem die Änderungen auf die einzelnen Standorte repliziert werden können.
134
Active Directory-Standorte und Exchange Server 2007
Abbildung 3.2: Standorte im Active Directory
1 2
3 4 5 6 7 8
3.2.1
Konfiguration der Routingtopologie im Active Directory
9
Die Replikation zwischen verschiedenen Standorten im Active Directory läuft weitgehend automatisiert ab. Damit die Replikation aber stattfinden kann, müssen Sie zunächst die notwendige Routingtopologie erstellen. Installieren Sie später Exchange, werden automatisch Connectoren, basierend auf den verschiedenen Standorten, erstellt.
10 11
Bei der Erstellung der Routingtopologie fallen hauptsächlich folgende Aufgaben an, die auf den nächsten Seiten ausführlicher behandelt werden: ■ ■ ■ ■
12
Erstellen von Standorten in der Active Directory-Standortverwaltung. Erstellen von IP-Subnetzen und zuweisen an die Standorte. Erstellen von Standortverknüpfungen für die Replikation des Active Directory. Konfiguration von Zeitplänen und Kosten für die optimale Standort-Replikation.
13
Damit Sie die standortübergreifende Replikation von Active Directory verwenden können, müssen Sie in jedem Standort, an dem später ein Domänencontroller angeschlossen wird, ein unabhängiges IP-Subnetz verwenden. Dieses IP-Subnetz wird in der Active Directory-Verwaltung hinterlegt und dient fortan zur Unterscheidung der Standorte im Active Directory. Das wichtigste Verwaltungswerkzeug, um Standorte im Active Directory zu verwalten, ist das Snap-In Active Directory-Standorte und -Dienste (siehe Abbildung 3.3).
14 15
135
Serverrollen, Verzeichnisse und Dienste
Voraussetzungen für eine Routingtopologie Die Standorte müssen mit WAN-Leitungen angebunden werden. Dazu ist es nicht unbedingt notwendig, dass jeder Standort mit der Zentrale durch eine Sterntopologie angebunden ist. Die Replikation im Active Directory ermöglicht auch die Anbindung von Standorten, die zwar mit anderen Standorten verbunden sind, aber nicht mit der Zentrale. In jedem Standort sollten darüber hinaus ein oder mehrere unabhängige IP-Subnetze verwendet werden. Das Active Directory unterscheidet auf Basis dieser IP-Subnetze, ob Domänencontroller zum gleichen oder zu unterschiedlichen Standorten gehören. Auf dieser Basis werden in Exchange Server 2007 auch E-Mails geroutet, die entsprechenden Connectoren werden automatisch angelegt.
Erstellen von neuen Standorten im Snap-In Active Directory-Standorte und -Dienste Sobald die Voraussetzungen für die Routingtopologie vorhanden sind, sollten Sie die einzelnen physischen Standorte im Snap-In Active Directory-Standorte und -Dienste erstellen. Öffnen Sie das Snap-In, wird unterhalb des Menüpunktes Sites der erste Standort als Standardname-des-ersten-Standortes bezeichnet. Im ersten Schritt sollten Sie für diesen Standardnamen einen richtigen Namen eingeben, indem Sie ihn mit der rechten Maustaste anklicken und Umbenennen wählen. Sie müssen die Domänencontroller im Anschluss nicht neu starten, der Name wird sofort aktiv. Als Nächstes können Sie alle notwendigen Standorte erstellen, an denen Sie Domänencontroller installieren wollen. Klicken Sie dazu mit der rechten Maustaste im Snap-In auf den Menüpunkt Sites und wählen aus dem Menü die Option Neuer Standort aus (siehe Abbildung 3.3). Abbildung 3.3: Erstellen eines neuen Standortes
Es öffnet sich ein neues Fenster, in dem Sie den Namen des Standortes sowie die Standortverknüpfung, die diesem Standort zugewiesen werden soll, auswählen können. Standardmäßig gibt es bereits die Verknüpfung DEFAULTIPSITELINK. Verwenden Sie bei der Erstellung eines neuen Standortes zunächst diese Standortverknüpfung (siehe Abbildung 3.4). Später werden in diesem Abschnitt noch neue Standortverknüpfungen erstellt und den einzelnen Standorten zugewiesen.
136
Active Directory-Standorte und Exchange Server 2007
Abbildung 3.4: Erstellen eines neuen Standortes und Festlegen der Standortverknüpfung
1 2
3 4 5 Bestätigen Sie die Erstellung mit OK, erhalten Sie eine Meldung, welche Aufgaben nach der Erstellung noch notwendig sind (siehe Abbildung 3.5). Bestätigen Sie diese Meldung, damit der Standort erstellt wird.
6 Abbildung 3.5: Meldung bei der Erstellung eines neuen Standortes
7 8 9 10
Sobald diese Meldung bestätigt wird, erscheint der neue Standort im Snap-In. Legen Sie auf die gleiche Weise alle Standorte in Ihrer Gesamtstruktur an.
11
Nur Mitglieder der Gruppe Organisations-Admins dürfen neue Standorte im Active Directory erstellen.
12 INFO
Erstellen und Zuweisen von IP-Subnetzen
13
Haben Sie die Standorte erstellt, an denen Domänencontroller installiert werden sollen, müssen Sie IP-Subnetze anlegen und diese dem jeweiligen Standort zuweisen.
14
Um ein neues Subnetz zu erstellen, klicken Sie mit der rechten Maustaste im SnapIn Active Directory-Standorte und -Dienste auf den Menüpunkt Subnets und wählen aus dem Menü Neues Subnetz aus (siehe Abbildung 3.6).
15
137
Serverrollen, Verzeichnisse und Dienste
Abbildung 3.6: Erstellen eines neuen IP-Subnetzes in der Active Directory-Verwaltung
Es öffnet sich ein neues Fenster, in dem Sie das IP-Subnetz definieren und dem jeweiligen Standort zuweisen können (siehe Abbildung 3.7). Haben Sie das Subnetz erstellt und die Erstellung mit OK bestätigt, wird es unterhalb des Menüs Subnets angezeigt. Wiederholen Sie diesen Vorgang für jedes Subnetz in Ihrem Unternehmen. Auch IPSubnetze, in denen keine Domänencontroller installiert sind, in denen aber unter Umständen Mitgliedsrechner liegen, die sich bei dem Domänencontroller anmelden, sollten Sie an dieser Stelle anlegen und dem entsprechenden Standort zuweisen. Abbildung 3.7: Anlegen neuer Subnetze
Klicken Sie den Menüpunkt Subnets an, werden Ihnen auf der rechten Seite alle IPSubnetze und die ihnen zugewiesenen Standorte angezeigt (siehe Abbildung 3.8).
138
Active Directory-Standorte und Exchange Server 2007
Abbildung 3.8: Anzeigen der angelegten IP-Subnetze in der Active Directory-Verwaltung
1 2
3 Die Zuweisung des Subnetzes zu einem bestimmten Standort kann jederzeit über dessen Eigenschaften geändert werden. Sie können auch nachträglich Standorte erstellen und neue Subnetze vorhandenen Standorten zuweisen.
4
Erstellen von Standortverknüpfungen
5
Haben Sie Standorte und IP-Subnetze erstellt, können Sie neue Standortverknüpfungen anlegen.
6
Bei der Installation von Active Directory wird bereits automatisch die Standortverknüpfung DEFAULTIPSITELINK angelegt. Für viele Unternehmen reicht diese Verknüpfung bereits aus. Setzen Sie in Ihrem Unternehmen verschiedene Bandbreiten der WAN-Leitungen ein, macht es Sinn, auch verschiedene Standortverknüpfungen zu erstellen. Sie können auf Basis jeder Standortverknüpfung einen Zeitplan festlegen, wann die Replikation möglich ist.
7
Standortverknüpfungen können auf Basis von IP oder SMTP erstellt werden. SMTP hat starke Einschränkungen bei der Replikation und wird nur selten verwendet. Sie sollten daher auf das IP-Protokoll setzen, über das von Active Directory alle Daten repliziert werden können.
9
8
Um eine neue Standortverknüpfung zu erstellen, klicken Sie mit der rechten Maustaste auf den Menüpunkt IP unterhalb des Menüs Inter-Site Transports (siehe Abbildung 3.9).
10
Abbildung 3.9: Erstellen einer neuen Standortverknüpfung
11 12 13 14 15
Wählen Sie aus dem Menü die Option Neue Standortverknüpfung aus. Den Menüpunkt Neue Standortverknüpfungsbrücke benötigen Sie an dieser Stelle nicht. 139
Serverrollen, Verzeichnisse und Dienste
Standortverknüpfungsbrücken werden verwendet, wenn zwischen zwei Standorten keine physische Verbindung besteht, aber beide über einen dritten Standort angebunden sind. Standortverknüpfungsbrücken werden automatisch erstellt. Sie müssen diese nur dann manuell erstellen, wenn Sie den Automatismus deaktivieren. Diese automatische Erstellung können Sie deaktivieren, wenn Sie die Eigenschaften des Menüpunktes IP unterhalb des Menüs Inter-Site Transports aufrufen und die Option Brücke zwischen allen Standortverknüpfungen herstellen deaktivieren (siehe Abbildung 3.10). Abbildung 3.10: Automatische Erstellung von Standortverknüpfungsbrücken
Sie sollten die automatische Erstellung von Standortverknüpfungsbrücken nicht deaktivieren. INFO
Haben Sie die Erstellung einer neuen Standortverknüpfung gewählt, erscheint das Fenster, in dem Sie die Bezeichnung der Standortverknüpfung sowie die Standorte eingeben (siehe Abbildung 3.11). Wählen Sie den Namen der Standortverknüpfung so, dass bereits durch die Bezeichnung der Standortverknüpfung darauf geschlossen werden kann, welche Standorte miteinander verbunden sind, zum Beispiel Berlin <> Stuttgart. In diesem Fenster können Sie auswählen, welche Standorte mit dieser Standortverknüpfung verbunden werden. Ein Standort kann Mitglied mehrerer Standortverknüpfungen sein. Die Replikation findet immer über die Standortverknüpfung statt, deren konfigurierte Kosten am geringsten sind. Haben Sie den Namen der neuen Standortverknüpfung und deren Mitglieder festgelegt, können Sie mit OK die Erstellung abschließen.
140
Active Directory-Standorte und Exchange Server 2007
Abbildung 3.11: Erstellen einer neuen Standortverknüpfung
1 2
3 4 5 6 Klicken Sie das Protokoll IP an, werden auf der rechten Seite alle erstellten Standortverknüpfungen angezeigt (siehe Abbildung 3.12).
7 Abbildung 3.12: Anzeigen der Standortverknüpfungen
8 9 10 11
Haben Sie die Standortverknüpfung erstellt, können Sie die Eigenschaften der Verknüpfung im Snap-In Active Directory-Standorte und -Dienste anpassen.
12
Rufen Sie die Eigenschaften einer Standortverknüpfung auf, können Sie einige Optionen ändern (siehe Abbildung 3.13). Auf der Registerkarte Allgemein können Sie zunächst festlegen, in welchem Intervall die Informationen zwischen den Standorten repliziert werden sollen. Standardmäßig ist die Replikation auf alle drei Stunden sowie die Kosten sind auf 100 eingestellt. Die Active Directory-Replikation verwendet immer die Standortverknüpfungen, deren Kosten bei der Verbindung am günstigsten sind.
13 14
Klicken Sie auf die Schaltfläche Zeitplan ändern, können Sie festlegen, zu welchen Zeiten die Replikation über diese Standortverknüpfung möglich ist. Sie können zum Beispiel für Niederlassungen mit schmalbandiger Verbindung die Replikation nur außerhalb der Geschäftszeiten oder am Wochenende zulassen (siehe Abbildung 3.14). Die Replikationsdaten des Active Directory werden zwischen verschiedenen Standorten komprimiert.
15
141
Serverrollen, Verzeichnisse und Dienste
Abbildung 3.13: Eigenschaften einer Standortverknüpfung
Abbildung 3.14: Konfiguration der Active DirectoryReplikation
3.2.2
Zuweisen der Domänencontroller zu den Standorten
Haben Sie die Routingtopologie erstellt, werden neu installierte Domänencontroller durch ihre IP-Adresse automatisch dem richtigen Standort zugewiesen. Bereits installierte Domänencontroller müssen Sie jedoch manuell an den richtigen Standort verschieben. Klicken Sie dazu den Server im Snap-In Active DirectoryStandorte und -Dienste mit der rechten Maustaste an, und wählen Sie aus dem Kontextmenü die Option Verschieben aus. Dann werden Ihnen alle Standorte angezeigt, und Sie können den neuen Standort des Domänencontrollers auswählen (siehe Abbildung 3.15).
142
Active Directory-Standorte und Exchange Server 2007
Haben Sie den Domänencontroller an einen anderen Standort verschoben, sollten Sie den Server neu starten. Sie können einen Domänencontroller auch mit Drag&Drop an einen anderen Standort verschieben. Achten Sie vor dem Verschieben des Domänencontrollers darauf, dass die IP-Einstellungen des Servers zu den zugewiesenen IP-Subnetzen des neuen Standortes passen.
1 Abbildung 3.15: Verschieben eines Domänencontrollers an einen anderen Standort
2
3 4 5 6
3.2.3
Der Knowledge Consistency Checker (KCC) 7
Haben Sie die Routingtopologie wie beschrieben erstellt, kann der KCC die Verbindung der Domänencontroller automatisch herstellen. Der KCC konfiguriert auf Basis der konfigurierten Standorte, der Standortverknüpfungen und von deren Zeitplänen und Kosten sowie den enthaltenen Domänencontrollern automatisch die Active Directory-Replikation.
8
Der KCC läuft vollkommen automatisch auf jedem Domänencontroller der Gesamtstruktur. Sind zwei Standorte nicht durch Standortverknüpfungen verbunden, erstellt er automatisch Standortverknüpfungsbrücken, wenn eine Verbindung über einen dritten Standort hergestellt werden kann.
9 10
Der KCC verbindet nicht jeden Domänencontroller mit jedem anderen, sondern erstellt eine intelligente Topologie. Er überprüft die vorhandenen Verbindungen alle 15 Minuten auf ihre Funktionalität und ändert bei Bedarf automatisch die Replikationstopologie.
11
Innerhalb eines Standortes erstellt der KCC möglichst eine Ringtopologie, wobei zwischen zwei unterschiedlichen Domänencontrollern maximal drei andere Domänencontroller stehen sollten.
12
Zwischen verschiedenen Standorten werden die Active Directory-Daten nicht von allen Domänencontrollern auf die anderen Domänencontroller der Standorte übertragen, sondern immer jeweils nur von einem Domänencontroller. Dieser Domänencontroller, auch Brückenkopfserver (Bridgeheadserver) genannt, repliziert sich mit den Bridgeheadservern der anderen Standorte automatisch. Der KCC legt automatisch fest, welche Domänencontroller in einer Niederlassung zum Bridgeheadserver konfiguriert werden, Sie müssen keine Eingaben oder Maßnahmen vornehmen.
13 14 15
Die Auswahl der Bridgeheadserver in einem Standort übernimmt der Intersite Topology Generator (ISTG), ein Dienst, der zum KCC gehört. Der KCC wiederum legt für jeden Standort fest, welcher Domänencontroller der ISTG sein soll.
143
Serverrollen, Verzeichnisse und Dienste
Klicken Sie einen Standort im Snap-In Active Directory-Standorte und -Dienste an, wird auf der rechten Seite der Menüpunkt NTDS Site Settings angezeigt. Rufen Sie die Eigenschaften dieses Menüpunktes auf, wird Ihnen im Bereich Standortübergreifende Topologie erstellen der derzeitige ISTG angezeigt (siehe Abbildung 3.16). Abbildung 3.16: Anzeigen des ISTG eines Standortes
Standardmäßig überprüft der KCC automatisch alle 15 Minuten die Funktionalität der Routingtopologie. Haben Sie Änderungen an der Routingtopologie durchgeführt, besteht die Möglichkeit, die Routingtopologie sofort erstellen zu lassen. Am besten kann die Routingtopologie vom derzeitigen ISTG-Rolleninhaber aus überprüft werden. Gehen Sie dazu folgendermaßen vor:
1. 2. 3. 4.
Öffnen Sie das Snap-In Active Directory-Standorte und -Dienste. Navigieren Sie zu dem Standort, von dem aus Sie die Überprüfung starten wollen. Klicken Sie auf das Pluszeichen des derzeitigen ISTG-Rolleninhabers des Standortes. Klicken Sie mit der rechten Maustaste auf den Menüpunkt NTDS-Settings und wählen aus dem Menü Alle Aufgaben/Replikationstopologie überprüfen (siehe Abbildung 3.17).
Die Überprüfung dauert einige Zeit, abhängig von der Anzahl der Standorte und Domänencontroller. Alle Verbindungen werden überprüft und gegebenenfalls neu erstellt. Sie erhalten eine entsprechende Meldung (siehe Abbildung 3.18).
144
Active Directory-Standorte und Exchange Server 2007
Abbildung 3.17: Manuelles Starten der Routingtopologie
1 2
3 4 Abbildung 3.18: Meldung der manuellen Überprüfung der Replikation
5 6
3.2.4
Starten der manuellen Replikation
7
Sie können die Replikation zwischen zwei Domänencontrollern jederzeit manuell starten. Die Verbindungen, die der KCC erstellt hat, werden als angezeigt (siehe Abbildung 3.19).
8
Klicken Sie eine solche Verbindung mit der rechten Maustaste an, können Sie die Replikation zu diesem Server mit der Option Jetzt replizieren sofort ausführen.
9 Abbildung 3.19: Manuelle Replikation der Active Directory-Verbindungen
10 11 12 13 14
Starten Sie die Replikation zu einem Domänencontroller, der in einem anderen Standort sitzt, wird die Replikation allerdings nicht sofort durchgeführt, sondern erst zum nächsten Zeitpunkt, den der Zeitplan zulässt.
15
Bevor die Daten repliziert werden, stellt der Domänencontroller zunächst sicher, ob er eine Verbindung zu dem Domänencontroller herstellen kann, zu dem die Daten repliziert werden. Kann mit dem Replikationspartner erfolgreich kommuniziert werden, erhalten Sie eine entsprechende Erfolgsmeldung (siehe Abbildung 3.20). 145
Serverrollen, Verzeichnisse und Dienste
Abbildung 3.20: Erfolgreiche Replikation
Kann der Replikationspartner nicht erreicht werden, erhalten Sie eine Fehlermeldung.
3.3
Systemdienste von Exchange Server 2007
Bei Exchange Server 2007 gibt es einige neue Dienste, während Dienste von Exchange 2000 und 2003 weggefallen sind. Im folgenden Abschnitt gehe ich ausführlicher auf die einzelnen Systemdienste von Exchange Server 2007 ein. Sie finden die Dienste am schnellsten über Start/Ausführen/services.msc (siehe Abbildung 3.21). Abbildung 3.21: Anzeigen der Systemdienste von Exchange Server 2007
Abhängig von den installierten Rollen werden nicht immer alle Dienste installiert oder gestartet. Im folgenden Abschnitt gehe ich auch darauf ein, welche Dienste auf welchen Serverrollen gestartet sein müssen. ■ ■
146
Microsoft Exchange-Antispamaktualisierung – Dieser Dienst ist für den Download der Antispam-Definitionen notwendig (siehe Kapitel 13). Microsoft Exchange Active Directory-Topologiedienst – Da Exchange Server 2007 stärker mit den Active Directory-Standorten zusammenarbeitet als seine Vorgängerversionen, wurde ein neuer Dienst benötigt, der für die Synchronisierung der Daten mit dem Active Directory zuständig ist. Dieser Dienst hat keine Abhängigkeiten und läuft auf allen Servern mit den Rollen Mailbox, ClientAccess, Hub-Transport und Unified Messaging.
Systemdienste von Exchange Server 2007
■
■
■
■
■
■
■
■ ■
Microsoft Exchange EdgeSync – Dieser Dienst dient zur Synchronisation von Daten mit eventuell vorhandenen Edge-Transport-Servern. Dieser Dienst spielt im Bereich des Spamschutzes eine Rolle, da hierüber auch die Daten der Empfänger mit Outlook synchronisiert werden, welche die vertrauten Absender betreffen. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig und auch für die Synchronisierung von ADAMDaten per LDAP zwischen Edge-Transport-Servern und Hub-Transport-Servern zuständig. Der Dienst läuft ausschließlich auf Servern mit der Rolle Hub-Transport. Microsoft Exchange-Dateiverteilung – Dieser Dienst läuft auf Servern mit der Client-Access-Server-Rolle und ist dafür zuständig, den Inhalt des OfflineAdressbuches von dem Exchange Server zu replizieren, der für die Erstellung des Offline-Adressbuches zuständig ist. Der Dienst läuft auf Servern mit den Rollen Client-Access und Unified Messaging. Microsoft Exchange IMAP4 und Microsoft Exchange POP3 – Diese Dienste steuern den Zugriff von Benutzern über das POP3- oder IMAP-Protokoll auf den Servern. Outlook verwendet zum Zugriff MAPI und liest demnach direkt den Informationsspeicher. Sollen Anwender auch per IMAP oder POP3 auf Ihre Postfächer zugreifen können (zum Beispiel über das Internet), werden diese beiden Dienste benötigt. Diese Dienste werden ausschließlich auf Client-Access-Servern (CAS) benötigt. Microsoft Exchange Mailübergabe – Dieser Dienst ist dafür zuständig, E-Mails von Mailbox-Servern zu Hub-Transport-Servern zu transportieren. Hub-Transport-Server transportieren dann die E-Mails zu den jeweiligen Hub-TransportServern im Active Directory-Standort des Empfängers. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig. Der Dienst läuft auf Servern mit der Rolle Mailbox. Microsoft Exchange-Postfach-Assistenten – Dieser Dienst stellt verschiedene Funktionen für Kalender und die Planung von Ressourcen für Besprechungsanfragen bereit. Er wird auch für den Abwesenheits-Assistenten benötigt. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig. Der Dienst läuft auf Servern mit der Rolle Mailbox. Microsoft Exchange Replikationsdienst – Dieser Dienst wird für die fortlaufende lokale Sicherung (Local Continuous Replication, LCR) benötigt. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig. Der Dienst läuft auf Servern mit der Rolle Mailbox. Ist dieser Dienst nicht gestartet, werden keine Daten mehr für LCR expliziert (siehe Kapitel 6). Microsoft Search (Exchange) – Dieser Dienst verwaltet die Indizierung auf dem Server sowie die Suche nach E-Mails. Verwenden Sie keine Indizierung, benötigen Sie diesen Dienst nicht. Haben Sie jedoch die Indizierung einzelner Informationsspeicher aktiviert, steht der Index lediglich dann zur Verfügung, wenn dieser Dienst gestartet ist. Der Dienst läuft auf Servern mit der Rolle Mailbox. Microsoft Exchange-Suchindizierung – Dieser Dienst ist für die Indizierung der Postfachspeicherdatenbanken zuständig. Microsoft Exchange-Transport – Dieser Dienst stellt den SMTP-Server des Exchange Servers zur Verfügung und ist für den Transport-Stack des Servers zuständig. Der Dienst läuft auf Servern der Rolle Hub-Transport und EdgeTransport. Beenden Sie den Dienst, ist der Server über Port 25 nicht mehr erreichbar.
1 2
3 4 5 6 7 8 9 10 11 12 13 14 15
147
Serverrollen, Verzeichnisse und Dienste
■
■
■
■
■
■
■
■
■
Microsoft Exchange Transportprotokollsuche – Dieser Dienst wird für die Nachrichtenverfolgung (Message Tracking) und das Durchsuchen der Protokolle für den Nachrichtenversand zuständig (nicht verwechseln mit den Transaktionsprotokollen der Datenbank). Der Dienst läuft auf Servern mit den Rollen Mailbox, Hub-Transport und Edge-Transport. Microsoft Exchange-Diensthost – Dieser Dienst ist für das virtuelle RPC-Verzeichnis im IIS zuständig und damit für die Outlook Anywhere-Funktionalität (RPC über HTTP) von Exchange Server 2007 (siehe Kapitel 9). Der Dienst läuft auf Servern mit den Rollen Mailbox und Client-Access. Microsoft Exchange-Informationsspeicher – Der Informationsspeicher ist für die Verbindung zu den Exchange-Datenbanken zuständig. Er ermöglicht den Benutzern Zugriff auf den Postfachspeicher und den Speicher für die öffentlichen Ordner. Ohne diesen Dienst ist kein Zugriff auf die Postfächer der Benutzer möglich. Er wird nur auf Mailbox-Servern benötigt. Microsoft Exchange-Systemaufsicht – Dieser Dienst ist für die Überwachung und Verwaltung von Exchange Server 2007 zuständig. Außerdem koordiniert dieser Dienst die Active Directory-Abfragen der verschiedenen Systemdienste von Exchange Server 2007. Der Dienst wird auf Mailbox-Servern benötigt. Microsoft Exchange-Überwachung – Dieser Dienst stellt den RPC-Server für die in Kapitel 2 beschriebenen CMDlets zur Verfügung, die für die Diagnose verwendet werden. Dieser Dienst läuft auf allen Serverrollen. Microsoft Exchange ADAM – Dieser Dienst ist auf Edge-Transport-Servern für die Synchronisierung der Active Directory-Daten mit dem ADAM auf dem EdgeTransport-Server zuständig. Dieser Dienst verwaltet die ADAM-Instanz, die während der Installation eines Edge-Transport-Servers automatisch angelegt wird. Microsoft Exchange Credential Service – Dieser Dienst ist für die Anmeldedaten zuständig, die zwischen ADAM und den Edge-Transport-Servern synchronisiert werden müssen. Er läuft nur auf Edge-Transport-Servern. Microsoft Exchange Speech Engine – Dieser Dienst wird auf Unified-MessagingServern benötigt. Er ist für die Verwendung der Outlook Voice Access-Funktion (OVA) notwendig. Microsoft Exchange-Unified Messaging – Dieser Dienst stellt die Unified-Messaging-Funktionen bereit. Er routet eingehende Faxe und Sprachnachrichten in die Postfächer der Anwender. Der Dienst läuft nur auf Unified-Messaging-Servern und ist von den beiden Diensten Microsoft Exchange Active Directory Topologiedienst und Microsoft Exchange Speech Engine abhängig.
3.4
Verzeichnisstruktur von Exchange Server 2007
Auch wenn die verschiedenen Verzeichnisse von Exchange Server 2007 nicht ständig zur Verwaltung benötigt werden, sollten Administratoren zumindest oberflächlich die Funktion der einzelnen Unterordner im Exchange Server 2007-Installationsverzeichnis kennen. Ich komme in den einzelnen Kapiteln dieses Buches noch auf das eine oder andere Verzeichnis zu sprechen. Im folgenden Abschnitt gehe ich auf die wichtigsten Verzeichnisse ein. Standardmäßig wird Exchange Server 2007 im Verzeichnis C:\Programme\Microsoft\Exchange Server installiert. Sie können das Installationsverzeichnis jedoch frei 148
Verzeichnisstruktur von Exchange Server 2007
wählen. Unabhängig vom Installationsverzeichnis gibt es Unterordner mit verschiedenen Funktionen. Die Verzeichnisstruktur wurde im Vergleich zu Exchange 2000/2003 deutlich verändert (siehe Abbildung 3.22). Abbildung 3.22: Exchange Server 2007-Verzeichnisstruktur
1 2
3 4
■
■
5
\bin – In diesem Verzeichnis werden die Verwaltungsprogramme und Zusatzprogramme von Exchange Server 2007 gespeichert. Hier finden Sie die ausführenden Dateien und wichtigsten Programme sowie die Systemdateien von Exchange Server 2007. \ClientAccess – In diesem Verzeichnis befindet sich die Konfiguration der ClientAccess-Rolle eines Exchange Servers. Dieses Verzeichnis spielt nur auf ClientAccess-Servern eine Rolle. In diesem Verzeichnis befinden sich zum Beispiel die notwendigen Ordner für die Autodiscover-Funktion von Outlook 2007 und die Verzeichnisse OWA, Exchweb sowie POPImap und Sync (siehe Abbildung 3.23). Diese Verzeichnisse enthalten dann wiederum die Installations- und Konfigurationsdateien der entsprechenden Funktion.
6 7 8 Abbildung 3.23: Verzeichnis ClientAccess auf ClientAccess-Servern
9 10 11
■
■
12
\Logging – In diesem Verzeichnis befinden sich verschiedene Logdateien von Exchange Server 2007, allerdings nicht die Transaktionsprotokolle der Datenbank (siehe Kapitel 6). Die Transaktionsprotokolle werden im Verzeichnis Mailbox abgelegt. \Mailbox – Dieses Verzeichnis enthält alle wichtigen Dateien, die zur ExchangeDatenbank gehören. Dieses Verzeichnis spielt hauptsächlich auf Mailbox-Servern eine Rolle. In diesem Verzeichnis liegen die Transaktionsprotokolle und die restlichen Dateien der Exchange-Datenbanken (siehe Abbildung 3.24). Hier finden Sie auch die *.dll-Dateien für die Erstellung von E-Mail-Adressen. Dort werden auch die Daten des Offline-Adressbuches gespeichert. In diesem Verzeichnis liegen weiterhin die Daten und Konfigurationen der öffentlichen Ordner.
13 14 15
149
Serverrollen, Verzeichnisse und Dienste
Abbildung 3.24: Mailbox-Verzeichnis auf MailboxServern
■
■ ■
Abbildung 3.25: XML-Dateien für die Konfiguration von Exchange Server 2007
150
\Public – In diesem Verzeichnis liegen keine Daten von öffentlichen Ordnern, sondern die XML-Dateien und Treiber, die von Hub-Transport- und Edge-Transport-Servern benötigt werden, um E-Mails zu versenden. Aus diesem Grund spielt dieses Verzeichnis nur auf Hub-Transport- und Edge-Transport-Servern eine Rolle. \Scripts – Dieses Verzeichnis enthält die Skripte, welche die Exchange-Verwaltungsshell für automatisierte Aufgaben verwendet. \Setup – Dieses Verzeichnis enthält die beiden Unterordner Data und Perf. Diese Ordner enthalten wiederum notwendige XML-Dateien, die für die Konfiguration von Exchange Server 2007 benötigt werden.
Verzeichnisstruktur von Exchange Server 2007
■
■
TransportRoles – Dieses Verzeichnis enthält die Unterordner Agent, data, Logs, Pickup, Replay und Shared. Die beiden Verzeichnisse Pickup und Shared werden für den E-Mail-Versand benötigt. Alle Logdateien, die den E-Mail-Fluss von Hub-Transport- oder Edge-Transport-Servern betreffen, werden im Verzeichnis Logs gespeichert. Im Verzeichnis Data werden die Daten der IP-Filter-Datenbank und der Warteschlangen (siehe Kapitel 5 und 13) gespeichert. Ich gehe auf das Verzeichnis am Ende dieses Abschnitts noch ausführlicher ein, da gerade hier ein zentraler Punkt für den Nachrichtenfluss in Exchange Server 2007 liegt. Das Verzeichnis zur Verwaltung der Warteschlangen wird in Kapitel 5 besprochen, die Nachrichtenfilterung in Kapitel 13. Unified Messaging – Diese Daten enthalten die Daten für die Konfiguration der Unified-Messaging-Rolle, der Spracherkennung und einige Skripte. Hier werden auch die Sprachnachrichten abgespeichert.
1 2
3 4 Abbildung 3.26: Verzeichnis TransportRoles in Exchange Server 2007
5 6 7 8
Die Verzeichnisse Pickup und Replay für den Nachrichtenfluss verwalten Die beiden wichtigsten Verzeichnisse unterhalb des Exchange-Verzeichnisses TransportRoles sind Pickup und Replay.
9
Das Pickup-Verzeichnis für selbst erstellte E-Mails verwenden
10
Legen Sie speziell formatierte E-Mail-Nachrichten als Dateien im Pickup-Verzeichnis ab, werden diese durch Exchange Server 2007 automatisch zugestellt. Diese Funktion können vor allem Administratoren zu Testzwecken, aber auch Applikationen verwenden, die E-Mail-Nachrichten über Exchange versenden wollen. Die Nachrichten werden als *.eml-Datei in das Pickup-Verzeichnis kopiert. Nach dem Kopiervorgang werden folgende Prozesse abgewickelt:
1.
2.
11 12
Exchange Server 2007 überprüft alle fünf Sekunden, ob sich im Pickup-Verzeichnis eine *.eml-Datei befindet. Dieses Intervall kann nicht verändert werden. Standardmäßig kann Exchange bis zu 100 Nachrichten pro Minute aus diesem Verzeichnis verwalten. Sie können diesen Grenzwert in der ExchangeVerwaltungsshell über den Befehl Set-TransportServer anpassen. Im Anschluss überprüft Exchange, ob die Grenzwerte für Nachrichten in diesem Verzeichnis eingehalten worden sind, zum Beispiel maximale Empfänger und Größe des E-Mail-Headers. Auch diese Grenzwerte können über den Befehl SetTransportServer steuern.
13 14 15
151
Serverrollen, Verzeichnisse und Dienste
3. Als Nächstes wird die aktuell verarbeitete *.eml-Datei in eine *.tmp-Datei
4.
umbenannt. Teilweise wird den Namen auch noch die aktuelle Zeit und das Datum angehängt, wenn bereits eine identische *.tmp-Datei existiert. Die Datei kann an dieser Stelle nicht mehr manuell gelöscht werden, sie wird durch das System gesperrt. Als Nächstes wird die Nachricht versendet und die *.tmp-Datei gelöscht. Wird der Dienst Microsoft Exchange-Transport während eines solchen Vorgangs neu gestartet, werden alle *.tmp-Dateien wieder in *.eml-Dateien umbenannt, und der Prozess beginnt von vorne. Dieser Effekt kann in doppelt zugestellten E-Mail-Nachrichten resultieren.
Damit die Nachrichten über das Pickup-Verzeichnis zugestellt werden können, müssen die *.eml-Dateien entsprechende Voraussetzungen erfüllen: ■ ■ ■ ■ ■
Die Nachricht muss als Textdatei dem SMTP-Format entsprechen (siehe Listing 3.1). Die Datei muss zwingend die Endung *.eml haben. Es muss mindestens ein Absender im from:-Bereich der Datei existieren (siehe auch Kapitel 5). Es muss mindestens ein Empfänger im To:-, CC:- oder BCC:-Bereich hinterlegt sein. Es muss eine Leerzeile zwischen Header und E-Mail-Body (dem Text der E-Mail) existieren.
Beispiel für eine Nachricht im Pickup-Verzeichnis: Listing 3.1: Beispiel einer *.eml-Datei zum Versenden über das Pickup-Verzeichnis CODE
Auch MIME-Nachrichten können im Verzeichnis abgelegt werden (siehe Listing 3.2). Diese Nachrichten werden dann allerdings eher von Applikationen erstellt, da sich diese nicht für Testzwecke eignen. Was ist MIME? In den Anfangszeiten des Internets bestand eine E-Mail nur aus einfachem Text im ASCII-Format. In der Zwischenzeit ist aber das Internet immer mehr gewachsen, und der Wunsch, Texte mit Sonderzeichen, Umlauten usw. zu verschicken, kam immer mehr auf. Auch möchte man sich nicht auf das Versenden von Text beschränken, sondern auch Grafiken, Audiofiles oder binäre Dateien versenden können. Für genau diese Zwecke wurde die MIME(Multipurpose Internet Mail Extension)-Spezifikation festgelegt. Die MIME-Spezifikation ergänzt den vorhandenen Standard um erweiterte Strukturen im Nachrichtentext und mit einer Definition zur Codierung von ASCIIfremden Nachrichten. MIME ist ein Protokoll, das ursprünglich dazu gedacht war, per E-Mail verschickte Dateien anhand ihrer Dateierweiterung zu erkennen und vor dem Verschicken mittels eines Headers zu kennzeichnen, um sie dann beim Empfänger mit der richtigen Software darzustellen oder wiederzugeben.
152
Verzeichnisstruktur von Exchange Server 2007
Beispiel einer MIME-Datei im Pickup-Verzeichnis: Listing 3.2: Beispiel einer MIME-Datei To: [email protected] From: [email protected] Subject: Message subject MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 7bit
cell 1
cell 2
cell 3
cell 4
1
CODE
2
3 4
Kann eine Nachricht aus dem Pickup-Verzeichnis nicht zugestellt werden, bleibt die *.eml-Datei im Verzeichnis erhalten, und es werden entsprechende Meldungen in der Ereignisanzeige im Anwendungsprotokoll protokolliert.
5
Die Funktion des Replay-Verzeichnisses Im Replay-Verzeichnis werden E-Mails abgelegt, die von Connectoren von Drittherstellern kommen oder in Exchange Server 2007 importiert wurden, um sie über den Server zu versenden. Grundsätzlich bietet aber das Replay-Verzeichnis die gleichen Funktionen, und auch der Prozess für das Versenden von E-Mails ist identisch zum Pickup-Verzeichnis.
6 7 8 9 10 11 12 13 14 15
153
Inhalt 1 2 3
4 5
4
Installation und Anpassung
6
In Kapitel 2 habe ich Ihnen bereits gezeigt, wie Sie Exchange Server 2007 in einer Testumgebung installieren. In Kapitel 4 gehe ich ausführlicher auf die Installation mit allen dazugehörigen Aufgaben und Aktionen ein. Da ein Edge-Transport-Server nur getrennt von anderen Rollen installiert werden kann und bei der Installation auch die Konfiguration von ADAM durchgeführt werden muss, fasse ich die Installation und die Konfiguration eines Edge-Transport-Servers in Kapitel 5 zu einem eigenen Abschnitt zusammen.
7 8 9
4.1
10
TIPP
Voraussetzungen für die Installation
11
Bevor Sie in einer Gesamtstruktur Exchange Server 2007 installieren, sollten Sie natürlich zunächst sicherstellen, dass die Grundvoraussetzungen der Gesamtstruktur und der Domäne für die Installation von Exchange Server 2007 getroffen wurden. Im folgenden Abschnitt gehe ich ausführlich auf die einzelnen Voraussetzungen ein und wie Sie diese vor der Installation abprüfen und sicherstellen können. Durch die gemeinsame Nutzung des Active Directory von Windows Server 2003/2008 und Exchange Server 2007 definiert die Grenze der Active Directory-Gesamtstruktur (Forest) die Exchange Server 2007-Organisation. Es ist nicht möglich, dass eine Active Directory-Gesamtstruktur (Forest) mehrere unterschiedliche Exchange Server 2007Organisationen oder eine Exchange Server 2007-Organisation mehrere Gesamtstrukturen (Forests) umfasst.
12 13 14
INFO
15
155
Index
Lesen Sie sich vor der Installation auch die Installationsanleitung zum Service Pack 1 für Exchange Server 2007 im Kapitel 2 durch. Die Anleitungen für die Testumgebung gelten natürlich auch für den produktiven Einsatz.
Installation und Anpassung
Voraussetzungen an die Infrastruktur ■ Auf dem Domänencontroller, der die Funktion des Schemamasters verwaltet (siehe nächster Abschnitt), muss mindestens Windows Server 2003 mit SP1 installiert sein. ■ An jedem Standort im Active Directory muss ein globaler Katalogserver installiert sein. Dieser Server muss außerdem mit Windows Server 2003 SP1 installiert sein. ■ Jede Domäne, in der ein Exchange Server 2007 installiert wird oder in der sich Exchange Server 2007-Empfänger befinden, muss sich mindestens im Betriebsmodus Windows 2000 pur befinden. ■ Setzen Sie im Unternehmen mehrere Gesamtstrukturen ein und wollen Sie Exchange Server 2007 mit erweiterten Möglichkeiten nutzen, müssen Sie zwischen den Gesamtstrukturen gesamtstrukturübergreifende Vertrauensstellungen einrichten. Delegieren Sie zum Beispiel Berechtigungen über Gesamtstrukturen hinweg oder wollen Sie die Frei-/Gebucht-Zeiten replizieren, müssen Sie die Gesamtstrukturen miteinander verbinden. ■ Es dürfen keinerlei Exchange 5.5-Server mehr in der Organisation vorhanden sein, und die Exchange 2000- oder 2003-Organisation muss sich im einheitlichen Modus befinden. Voraussetzungen an den Server ■ Auf dem Server darf kein NNTP und kein SMTP installiert sein, diese Funktionen werden durch Exchange Server 2007 nicht mehr benötigt, da der Server diese selbst mitbringt. ■ Auf dem Server muss die MMC 3.0 installiert sein (bei Windows Server 2003 R2 integriert, für andere Versionen kostenlos zum Download bei Microsoft verfügbar). ■ Auf dem Server muss das .NET Framework 2.0 installiert sein. ■ Auf dem Server muss die Windows PowerShell installiert sein (wird für Exchange-Verwaltungsshell benötigt). Installieren Sie aber immer die aktuelle Version, die Exchange Server 2007 unterstützt. ■ Installieren Sie Exchange Server 2007 auf einem Server mit der Windows Server 2003 x64-Edition, sollten Sie prüfen, ob der Hotfix von der Internetseite http://www.microsoft.com/downloads/details.aspx?familyid=CC8EBD67-0C404362-A5E9-3604D9A34F25&displaylang=en installiert worden ist. ■ Wird unter Windows Server 2008 installiert, muss die PowerShell und die Rolle Webserver (IIS) mit den Unterdiensten installiert werden, die bereits in Kapitel 2 besprochen wurden. Auf folgenden Betriebssystemen kann Exchange Server 2007 installiert werden. Alle anderen Betriebssysteme werden zur Installation nicht unterstützt, auch nicht in Testumgebungen. Wollen Sie für Mailbox-Server einen Cluster installieren, benötigen Sie die jeweilige Enterprise Edition von Windows Server 2003/2008, da nur diese Cluster unterstützt: ■ ■ ■ ■
156
Windows Server 2003 SP1, Standard Edition Windows Server 2003 SP1, Standard Edition, mit Multilingual User Interface Pack (MUI) Windows Server 2003 SP1, Enterprise Edition Windows Server 2003 SP1, Enterprise Edition, mit MUI
Voraussetzungen für die Installation
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
Windows Server 2003 R2, Standard Edition Windows Server 2003 R2, Standard Edition, mit MUI Windows Server 2003 R2, Enterprise Edition Windows Server 2003 R2, Enterprise Edition mit MUI Windows Server 2003, Standard x64 Edition Windows Server 2003, Standard x64 Edition, mit MUI Windows Server 2003, Enterprise x64 Edition Windows Server 2003, Enterprise x64 Edition, mit MUI Windows Server 2003, R2 Standard x64 Edition Windows Server 2003, R2 Standard x64 Edition, mit MUI Windows Server 2003, R2 Enterprise x64 Edition Windows Server 2003, R2 Enterprise x64 Edition mit MUI Windows Server 2003 SP2, Standard x64 Edition Windows Server 2003 SP2, Standard x64 Edition, mit MUI Windows Server 2003 SP2, Enterprise x64 Edition Windows Server 2003 SP2, Enterprise x64 Edition, mit MUI Windows Server 2008 Standard Edition (32-Bit und 64-Bit) Windows Server 2008 Enterprise Edition(32-Bit und 64-Bit)
Die Exchange Management-Tools (Exchange-Verwaltungskonsole, Exchange-Verwaltungsshell, Exchange-Hilfe, Exchange Best Practices Analyzer Tool) können auch auf einem 32-Bit-Computer unter Windows Server 2003 SP1, Standard Edition oder Enterprise Edition, Microsoft Windows Server 2003 SP2 oder Windows Server 2008 in der Standard Edition oder Enterprise Edition oder Windows XP SP2 installiert werden.
1 2 3
4 5 6 7 INFO
8 9
Voraussetzungen für die Installation der einzelnen Serverrollen Damit Sie die einzelnen Serverrollen auf einem Server installieren können, müssen verschiedene Applikationen installiert werden, ohne die eine Installation der Rolle nicht möglich ist. Für die typische Installation unter Windows Server 2008 wird vor allem der Webserver (IIS) mit den Unterdiensten benötigt, die in Kapitel 2 beschrieben werden.
10 11
Voraussetzungen für Mailbox-Server Damit Sie auf einem Server die Mailbox-Serverrolle installieren können, müssen zusätzlich zu den bereits beschriebenen Voraussetzungen noch folgende Komponenten der Internetinformationsdienste installiert sein. ■ ■ ■
Sie können diese Funktionen einfach über Systemsteuerung/Software/Hinzufügen von Windows-Komponenten/Anwendungsserver installieren: Klicken Sie auf die Option Internetinformationsdienste (IIS), und belassen Sie die Standardeinstellungen.
15
157
Installation und Anpassung
Zusätzlich sollten Sie auf Windows Server 2003 x64-Editionen den Hotfix von der Internetseite http://support.microsoft.com/?kbid=904639 installieren. TIPP
Abbildung 4.1: Installation von Komponenten des IIS
Voraussetzungen für Client-Access-Server Für die Funktion Client-Access-Server werden folgende Komponenten benötigt: ■ ■ ■
WWW-Dienst RPC-über-HTTP-Proxy (für Outlook Anywhere, siehe Kapitel 9) ASP.NET (über Anwendungsserver installieren)
Die Funktion RPC-über HTTP-Proxy können Sie über die beschriebene Softwareinstallation im Menü Netzwerkdienste installieren. Auf einem 64-Bit-Server steht ASP.NET nicht mehr zur Auswahl. Diese Funktion muss daher nicht ausgewählt werden, die Komponenten werden automatisch integriert. Unified-Messaging-Server Installieren Sie die Unified-Messaging-Rolle auf einem Exchange Server, wird zusätzlich noch der Microsoft Speech Service (Sprachdienst) installiert. Diese Installation erfolgt automatisch. Allerdings müssen Sie für die Installation der UnifiedMessaging-Rolle noch die beiden folgenden Komponenten installieren (siehe Kapitel 10): ■ ■ ■
158
Microsoft Windows Media Encoder (siehe http://go.microsoft.com/fwlink/?LinkId= 67406) Microsoft Windows Media Audio Voice Codec (siehe http://go.microsoft.com/ fwlink/?LinkId=67407) Microsoft Core XML Services (MSXML) 6.0 (http://go.microsoft.com/fwlink/ ?linkid=70796)
Voraussetzungen für die Installation
Abbildung 4.2: Installieren des RPC-über-HTTPProxy
1 2 3
4 5 6 7
Die Installation der Unified-Messaging-Rolle in einer virtuellen Umgebung wird nicht unterstützt. INFO
Hub-Transport-Server
8
Diese Serverrolle gehört zu den standardmäßigen Serverrollen und hat keinerlei weitere Voraussetzungen. Es dürfen allerdings kein NNTP- und kein SMTP-Dienst installiert werden, da dieser bei Exchange Server 2007 nicht mehr durch das Betriebssystem zur Verfügung gestellt wird, sondern direkt durch Exchange.
9
Edge-Transport-Server
10
Edge-Transport-Server können nicht mit anderen Rollen zusammen installiert werden, und es darf kein NNTP- und SMTP-Dienst installiert sein.
11
Auf dem Server muss ADAM (Active Directory Application Mode) installiert werden. ADAM wird zwar während der Installation automatisch eingerichtet, aber nicht installiert. Die Installation von ADAM kann bei Windows Server 2003 R2 über Systemsteuerung/Software/Windows-Komponenten/Active Directory-Dienste/Active Directory-Anwendungsmodus (ADAM) erfolgen (siehe Abbildung 4.3).
12
Setzen Sie Windows Server 2003 SP1 ohne R2 ein, müssen Sie ADAM aus dem Internet herunterladen. Sie können ADAM im Internet auf der Seite http://www.microsoft. com/downloads/details.aspx?displaylang=de&FamilyID=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4 herunterladen. Alternativ können Sie auch nach ADAM auf der Microsoft-Homepage suchen.
13
Sie müssen keinerlei Konfigurationen vornehmen oder etwas einrichten; das Programm muss nur installiert werden, der Rest wird durch das Exchange-Setup-Programm übernommen.
15
14
159
Installation und Anpassung
Abbildung 4.3: Installation von ADAM für Edge Server
4.1.1
Verwalten der Betriebsmasterrollen von Domänencontrollern
Auf dem Domänencontroller, der die Funktion des Schemamasters verwaltet, muss mindestens Windows Server 2003 mit SP1 installiert sein. Generell sollten Sie sich mit den einzelnen Betriebsmasterrollen auseinandersetzen, da diese auch für die Zusammenarbeit mit Exchange Server 2007 eine erhebliche Rolle spielen. Die Betriebsmasterrollen sowie deren Verwaltung ist bei Windows Server 2008 identisch zu Windows Server 2003, daher gehen wir nicht ausführlich auf beide Betriebssysteme ein. Für Administratoren, die ein Active Directory mit mehreren Domänen, Standorten oder Strukturen verwalten müssen, ist es wichtig, auch über das Domänencontrollermodell von Active Directory Bescheid zu wissen. Im Active Directory gibt es kein PDC-/BDC-Modell mehr, bei dem Änderungen nur am PDC vorgenommen werden können und diese zu den BDCs repliziert werden. In einem Active Directory sind alle Domänencontroller gleichberechtigt. Auf jedem Domänencontroller können Änderungen vorgenommen werden, die daraufhin zu den anderen Domänencontrollern repliziert werden. Allerdings gibt es fünf unterschiedliche Rollen, die ein Domänencontroller annehmen kann:
Die verschiedenen Rollen, also PDC-Emulator, Infrastrukturmaster, RID-Master, Schemamaster und Domänennamenmaster, werden als Flexible Single Master Opera-
160
Voraussetzungen für die Installation
tions (FSMOs) bezeichnet. Jede dieser Rollen ist entweder einmalig pro Domäne (PDC-Emulator, Infrastrukturmaster, RID-Master) oder sogar einmalig pro Gesamtstruktur (Schemamaster, Domänennamenmaster). Fällt eine dieser Rollen aus, gibt es im Active Directory Fehlfunktionen, die recht schnell behoben werden müssen, da ansonsten der produktive Betrieb beeinflusst wird.
1
Schon aus der Bezeichnung Flexible geht hervor, dass diese Rollen zwar einzelnen Domänencontrollern zugewiesen werden, aber auch recht flexibel verschoben werden können.
2 3
PDC-Emulator Die Rolle des PDC-Emulators gibt es in jeder Domäne des Active Directory einmal. Der erste installierte Domänencontroller einer Active Directory-Domäne bekommt diese Rolle automatisch zugewiesen. ■
■
■ ■ ■
4
Der PDC-Emulator ist in einem Active Directory dafür zuständig, die Replikation zu eventuell vorhandenen Windows NT 4.0-BDCs zu steuern, solange sich die Domäne im Mischbetrieb befindet. Außerdem ist er für die Anwendung und Verwaltung der Gruppenrichtlinien zuständig. Steht der Domänencontroller, der diese Rolle hat, nicht mehr zur Verfügung, werden Gruppenrichtlinien fehlerhaft angewendet und können so gut wie nicht mehr verwaltet werden, da spezielle Verwaltungskonsolen, wie die Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console, GPMC), gezielt die Verbindung zum PDC-Emulator aufbauen. Der PDC-Emulator ist darüber hinaus für Kennwortänderungen bei Benutzern verantwortlich. Er steuert auch die externen Vertrauensstellungen einer Domäne. Außerdem ist der PDC-Emulator der Zeitserver einer Domäne.
5 6 7 8 9
Alle hier beschriebenen Funktionen sind gestört, wenn der PDC-Emulator nicht mehr zur Verfügung steht.
10
Zeitserver – W32Time In einem Active Directory synchronisieren alle Arbeitsstationen und Mitgliedsserver ihre Zeit mit den Domänencontrollern. Alle Domänencontroller einer Domäne synchronisieren ihre Zeit mit dem PDC-Emulator.
11
Setzen Sie mehrere Strukturen und untergeordnete Domänen ein, dann synchronisieren die PDC-Emulatoren der einzelnen Domänen ihre Zeit mit dem PDC-Emulator der jeweils übergeordneten Domäne.
12
Der oberste Zeitserver in einer Gesamtstruktur ist der PDC-Emulator der Stamm(Root)Domäne, mit dem die einzelnen PDC-Emulatoren der anderen Strukturen die Zeit synchronisieren.
13
Die Zeitsynchronisation in einem Active Directory ist sehr wichtig für die Kommunikation und die Sicherheit, auch für Exchange Server 2007. In einem Active Directory wird hauptsächlich mit dem Kerberos-Protokoll für die Authentifizierung gearbeitet. Dieses Protokoll ist extrem davon abhängig, dass die Uhren auf den Mitgliedsrechnern und Domänencontrollern synchron laufen. Sobald die Uhren mehr als fünf Minuten voneinander abweichen, kann es zu Problemen bei der Authentifizierung kommen. Aus diesem Grund ist die Rolle des PDC-Emulators wichtig, wenn nicht sogar die wichtigste.
14 15
161
Installation und Anpassung
Windows Server 2003/2008 verwendet für die Synchronisation der Uhren das NTPProtokoll (Network Time Protocol). Dieses Protokoll kommuniziert mittels des UDPPorts 123. Anzeigen des PDC-Emulators Wollen Sie überprüfen, welcher Domänencontroller die Rolle des PDC-Emulators in Ihrer Domäne verwaltet, öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. Klicken Sie mit der rechten Maustaste auf die Domäne im Snap-In, und wählen Sie aus dem Kontextmenü die Option Betriebsmaster aus (siehe Abbildung 4.4). Abbildung 4.4: Anzeigen der Betriebsmaster einer Domäne
Es öffnet sich ein neues Fenster. Klicken Sie auf die Registerkarte PDC. Hier wird Ihnen der aktuelle PDC-Emulator der Domäne angezeigt (siehe Abbildung 4.5). Abbildung 4.5: Anzeigen des PDCEmulators einer Domäne
Sie können sich den aktuellen PDC-Emulator auch mithilfe des Befehls dsquery server -hasfsmo pdc in der Befehlszeile anzeigen lassen (siehe Abbildung 4.6). Abbildung 4.6: Anzeigen des PDCEmulators in der Befehlszeile
162
Voraussetzungen für die Installation
RID-Master Auch die Rolle des RID-Masters erhält der erste installierte Domänencontroller einer Domäne automatisch. Den RID-Master gibt es einmal in jeder Domäne einer Gesamtstruktur.
1
Die Aufgabe des RID-Masters ist es, den anderen Domänencontrollern eine Domäne Relative Identifiers (RIDs) zuzuweisen.
2
Wird ein neues Objekt in der Domäne erstellt, also ein Computerkonto, ein Benutzer oder eine Gruppe, wird diesem Objekt eine eindeutige Sicherheits-ID (SID) zugewiesen. Diese SID erstellt der Domänencontroller aus einer domänenspezifischen SID in Verbindung mit einer RID aus seinem RID-Pool.
3
Ist der RID-Pool eines Domänencontrollers aufgebraucht, werden ihm vom RID-Master neue RIDs zugewiesen. Steht der RID-Master nicht mehr zur Verfügung und bekommen die Domänencontroller damit keine RIDs mehr, können keine neuen Objekte mehr in dieser Domäne erstellt werden, bis der RID-Master wieder einem Domänencontroller zur Verfügung gestellt wird.
4 5
Jeder Domänencontroller erhält zunächst einen Pool von 500 RIDs. Stehen nur noch 100 RIDs zur Verfügung, fordert er neue RIDs vom RID-Master an. Steht der RIDMaster nicht mehr zur Verfügung, können also pro Domänencontroller der Domäne immerhin noch bis zu 100 neue Objekte erstellt werden, was für die meisten Organisationen ausreichen wird.
6 7
Um den Domänencontroller anzuzeigen, der die Rolle des RID-Masters verwaltet, öffnen Sie wieder das Snap-In Active Directory-Benutzer und -Computer, klicken mit der rechten Maustaste auf die Domäne und wählen aus dem Kontextmenü Betriebsmaster aus (siehe Abbildung 4.7).
8 Abbildung 4.7: Anzeigen des RID-Masters einer Domäne
9 10 11 12 13 14 15
Wechseln Sie auf die Registerkarte RID. Dort wird Ihnen der RID-Master dieser Domäne angezeigt (siehe Abbildung 4.7).
163
Installation und Anpassung
Sie können sich den RID-Master auch mit dem Befehl dsquery server -hasfsmo rid in der Befehlszeile anzeigen lassen (siehe Abbildung 4.8). Abbildung 4.8: Anzeigen des RID-Masters einer Domäne
Außerdem können Sie sich die erfolgreiche Verbindung und den Status des RIDPools anzeigen lassen. Dazu benötigen Sie das Befehlszeilenprogramm dcdiag.exe aus den Support-Tools. Haben Sie die Support-Tools von der Windows Server 2003-CD installiert, können Sie in der Befehlszeile den Befehl dcdiag /v /test:ridmanager eingeben. Bei Windows Server 2008 sind diese Tools bereits standardmäßig integriert. Suchen Sie dann den Bereich Starting Test RidManager (siehe Listing 4.1). Hier sehen Sie, ob der Domänencontroller eine Verbindung zum RID-Master fehlerfrei aufbauen kann. Listing 4.1: Testen des RID-Masters CODE
Domain Controller Diagnosis Performing initial setup: * Verifying that the local machine dc01, is a DC. * Connecting to directory service on server dc01. * Collecting site info. * Identifying all servers. * Identifying all NC cross-refs. * Found 3 DC(s). Testing 1 of them. Done gathering initial info. Doing initial required tests Testing server: Standardname-des-ersten-Standorts\DC01 Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory RPC Services Check ......................... DC01 passed test Connectivity Doing primary tests Testing server: Standardname-des-ersten-Standorts\DC01 Test omitted by user request: Replications Test omitted by user request: Topology Test omitted by user request: CutoffServers Test omitted by user request: NCSecDesc Test omitted by user request: NetLogons Test omitted by user request: Advertising Test omitted by user request: KnowsOfRoleHolders Starting test: RidManager * Available RID Pool for the Domain is 2103 to 1073741823 * dc01.contoso.com is the RID Master * DsBind with RID Master was successful * rIDAllocationPool is 1103 to 1602 * rIDPreviousAllocationPool is 1103 to 1602 * rIDNextRID: 1106 ......................... DC01 passed test RidManager Test omitted by user request: MachineAccount
Tritt an dieser Stelle ein Fehler auf, sollten Sie am besten den RID-Master auf einen anderen Server transferieren oder verschieben. 164
Voraussetzungen für die Installation
Infrastrukturmaster Auch den Infrastrukturmaster gibt es in jeder Domäne einer Gesamtstruktur einmal. Diese Rolle erhält ebenfalls wieder der erste installierte Domänencontroller einer Active Directory-Domäne.
1
In einer Gesamtstruktur mit nur einer Domäne spielt dieser Betriebsmaster keine Rolle. Seine Bedeutung steigt jedoch beim Einsatz mehrerer Domänen oder Strukturen.
2
Er hat in einer Domäne die Aufgabe, die Berechtigungen für die Benutzer zu steuern, die aus unterschiedlichen Domänen kommen. Da die Berechtigungsanfragen sonst sehr lange dauern würden, wenn zum Beispiel in den Berechtigungen einer Ressource Benutzerkonten oder Gruppen aus unterschiedlichen Domänen gesetzt sind, dient der Infrastrukturmaster einer Domäne sozusagen als Cache für diese Zugriffe, um die Abfrage der Berechtigungen zu beschleunigen.
3
4
Er wird außerdem für die Auflösung von Verteilergruppen verwendet, wenn Sie Exchange einsetzen, da auch an dieser Stelle eine Gruppe Mitglieder aus verschiedenen Domänen der Gesamtstruktur enthalten kann.
5
Um sich den Infrastrukturmaster anzeigen zu lassen, öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.
6
Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie die Option Betriebsmaster aus. Wechseln Sie auf die Registerkarte Infrastruktur (siehe Abbildung 4.9).
7 Abbildung 4.9: Anzeigen des Infrastrukturmasters einer Domäne
8 9 10 11 12
Auch den Infrastrukturmaster können Sie sich in der Befehlszeile anzeigen lassen. Verwenden Sie dazu den Befehl dsquery server -hasfsmo infr (siehe Abbildung 4.10). Abbildung 4.10: Anzeigen des Infrastrukturmasters in der Befehlszeile
Schemamaster
13 14 15
Die Struktur eines Verzeichnisses, wie das Active Directory eines ist, wird Schema genannt. Im Schema ist genau definiert, welche Informationen auf welche Art gespeichert werden sollen.
165
Installation und Anpassung
Das Active Directory speichert die Daten, und das Schema definiert, wie sie gespeichert werden. Der Aufbau des Schemas ist recht einfach. Es gibt Objekte und Attribute. Die Attribute sind Objekten zugeordnet. Jeder Verzeichniseintrag ist ein Objekt. Beim Active Directory sind Objekte also Benutzer, Computer, Freigaben oder Drucker. Das Active Directory verfügt über ein erweiterbares Schema. Dieses gibt die Möglichkeit, zusätzliche Informationen im Verzeichnis flexibel zu speichern. Durch das erweiterbare Schema lassen sich jederzeit zusätzliche Objekteigenschaften hinzufügen. Diese Funktion wird beispielweise von Exchange Server 2007 genutzt. Alle notwendigen Informationen zu einem E-Mail-Postfach werden im Active Directory abgelegt. Bei der Installation von Exchange 2007 wird das Schema des Active Directory um die notwendigen Attribute und Klassen erweitert. Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Nur auf diesem Schemamaster können Änderungen am Schema vorgenommen werden. Steht der Schemamaster nicht mehr zur Verfügung, können auch keine Erweiterungen des Schemas stattfinden, und die Installation von Exchange Server 2007 schlägt fehl. Der erste installierte Domänencontroller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters. Alle Änderungen des Schemas werden ausschließlich auf dem Schemamaster durchgeführt. Der Schemamaster hat ansonsten keine Auswirkungen auf den laufenden Betrieb. Solange das Schema nicht durch eine spezielle Applikation, wie zum Beispiel die Installation von Exchange 2007 oder die Erweiterung des Active Directory auf Windows Server 2003 R2/2008, erweitert wird, spielt dieser Betriebsmaster keine Rolle. Schemamaster anzeigen Damit der Schemamaster angezeigt werden kann, müssen Sie zunächst das Snap-In registrieren, welches das Schema anzeigt. Aus Sicherheitsgründen wird dieses SnapIn zwar installiert, jedoch nicht angezeigt. Geben Sie über Start/Ausführen den Befehl regsvr32 schmmgmt.dll ein. Sie erhalten daraufhin die Information, dass die DLL im System erfolgreich registriert wurde (siehe Abbildung 4.11). Abbildung 4.11: Registrieren der notwendigen DLL für die Anzeige der Schemaverwaltung
166
Voraussetzungen für die Installation
Im Anschluss können Sie das Snap-In Active Directory-Schema in eine MMC über Datei/Snap-In hinzufügen integrieren (siehe Abbildung 4.12). Wurde dieses Snap-In integriert, können Sie das Schema verwalten und sich auch den Betriebsmaster anzeigen lassen.
1 Abbildung 4.12: Hinzufügen des Snap-Ins Active Directory-Schema zu einer MMC
2 3
4 5 6 7 Klicken Sie mit der rechten Maustaste auf das Menü Active Directory-Schema, und wählen Sie aus dem Kontextmenü die Option Betriebsmaster aus (siehe Abbildung 4.13).
8
Abbildung 4.13: Anzeigen des Schemamasters einer Gesamtstruktur
9 10 11 12 13
Dann öffnet sich ein neues Fenster, in dem der Betriebsmaster angezeigt wird. Sie können mithilfe dieses Fensters später den Betriebsmaster auch auf einen anderen Domänencontroller verschieben.
14
Auch den Schemamaster können Sie sich in der Befehlszeile anzeigen lassen. Geben Sie dazu den Befehl dsquery server -hasfsmo schema (siehe Abbildung 4.15) ein.
15
167
Installation und Anpassung
Abbildung 4.14: Anzeigen des Schemamasters einer Gesamtstruktur
Abbildung 4.15: Anzeigen des Schemamasters in der Befehlszeile
Domänennamenmaster Der Domänennamenmaster ist für die Erweiterung der Gesamtstruktur um neue Domänen oder Strukturen verantwortlich. In jeder Gesamtstruktur gibt es einen Domänennamenmaster. Diese Rolle wird automatisch dem ersten installierten Domänencontroller einer neuen Gesamtstruktur zugewiesen. Immer wenn ein Server zum Domänencontroller hochgestuft wird und eine neue Domäne erstellt werden soll, wird eine Verbindung zum Domänennamenmaster aufgebaut. Steht der Master nicht zur Verfügung oder kann keine Verbindung aufgebaut werden, besteht auch nicht die Möglichkeit, eine neue Domäne zur Gesamtstruktur hinzuzufügen. Der Domänennamenmaster hat im produktiven Betrieb einer Domäne oder der Gesamtstruktur keine Aufgabe. Er wird nur benötigt, wenn eine neue Domäne in der Gesamtstruktur erstellt werden soll. Um sich den Domänennamenmaster anzeigen zu lassen, benötigen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. Klicken Sie mit der rechten Maustaste direkt auf das Snap-In, und wählen Sie die Option Betriebsmaster (siehe Abbildung 4.16). Abbildung 4.16: Anzeigen des Domänennamenmasters
168
Voraussetzungen für die Installation
Danach öffnet sich ein neues Fenster, in dem der Domänennamenmaster dieser Gesamtstruktur angezeigt wird (siehe Abbildung 4.17). Abbildung 4.17: Domänennamenmaster der Gesamtstruktur
1 2 3
4 5
Anzeigen aller FSMO-Rollen Um sich einen Überblick über alle Betriebsmaster einer Gesamtstruktur zu verschaffen, können Sie den Befehl netdom query fsmo in der Befehlszeile eingeben (siehe Abbildung 4.18).
6
Ihnen werden dann alle Rollen dieser Domäne und der Gesamtstruktur angezeigt. Dadurch können Sie recht schnell überprüfen, ob die Verteilung der Rollen so vorgenommen wurde, wie sie von Microsoft empfohlen wird.
7
Abbildung 4.18: Anzeigen der FSMO-Rollen einer Domäne
8 9 10 11 12
Empfohlene Verteilung der FSMO-Rollen 13
Standardmäßig besitzt der erste installierte Domänencontroller einer Gesamtstruktur alle fünf FSMO-Rollen seiner Domäne und der Gesamtstruktur. Jeder erste Domänencontroller weiterer Domänen verwaltet die drei Betriebsmasterrollen seiner Domäne (PDC-Emulator, RID-Master, Infrastrukturmaster).
14
Vor allem in größeren Active Directorys empfiehlt Microsoft jedoch die Verteilung der Rollen auf verschiedenen Domänencontrollern. Zur optimalen Verteilung der FSMO-Rollen gibt es folgende Empfehlungen:
15
169
Installation und Anpassung
■
■ ■
Der Infrastrukturmaster sollte nicht auf einem globalen Katalog liegen, da ansonsten Probleme bei der Auflösung von Gruppen, die Mitglieder aus verschiedenen Domänen haben, auftreten können. Bei Unternehmen mit nur einer Domäne müssen Sie diese Richtlinie nicht beachten. Domänennamenmaster und Schemamaster sollten auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist. PDC-Emulator und RID-Master kommunizieren viel miteinander und sollten daher auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.
4.1.2
Der globale Katalog
An jedem Standort im Active Directory muss ein globaler Katalogserver installiert sein. Dieser Server muss außerdem mit Windows Server 2003 SP1 installiert sein oder Windows Server 2008. Der globale Katalog ist eine weitere Rolle, die ein Domänencontroller einnehmen kann. Im Gegensatz zu den beschriebenen FSMO-Rollen kann (und sollte auch) die Funktion des globalen Katalogs mehreren Domänencontrollern zugewiesen werden. Dem globalen Katalog kommt in einer Active Directory-Domäne eine besondere Bedeutung zu. Er enthält einen Index aller Domänen einer Gesamtstruktur. Aus diesem Grund wird er von Serverdiensten wie Exchange Server 2007 und Suchanfragen verwendet, wenn Objekte aus anderen Domänen Zugriff auf eine Ressource der lokalen Domäne enthalten. Der globale Katalog spielt darüber hinaus eine wesentliche Rolle bei der Anmeldung von Benutzern. Steht er in einer Domäne nicht mehr zur Verfügung, können sich keine Benutzer mehr anmelden, wenn keine speziellen Vorbereitungen getroffen worden sind. Ein Domänencontroller mit der Funktion des globalen Katalogs repliziert sich nicht nur mit den Domänencontrollern seiner Domäne, sondern enthält eine Teilmenge aller Domänen in der Gesamtstruktur. Der erste installierte Domänencontroller einer Gesamtstruktur ist automatisch ein globaler Katalog. Alle weiteren globalen Kataloge müssen hingegen manuell hinzugefügt werden. In jedem Standort Ihres Active Directory sollte es mindestens einen, besser zwei Domänencontroller geben, die diese Rolle einnehmen. Der globale Katalog dient auch zur Auflösung universaler Gruppen. Sie sollten aber nicht alle Domänencontroller zu globalen Katalogen machen, da dadurch der Replikationsverkehr zu diesen Domänencontrollern stark zunimmt. In jedem Standort sollten zwei bis drei Domänencontroller diese Aufgabe übernehmen:
1. 2.
3.
Um einen Domänencontroller als globalen Katalog zu konfigurieren, benötigen Sie das Snap-In Active Directory-Standorte- und -Dienste. Öffnen Sie dieses Snap-In, und rufen Sie die Eigenschaften der Option NTDS-Settings über Sites/Name des Standortes/Servers/Servername auf (siehe Abbildung 4.19). Auf der Registerkarte Allgemein setzen Sie den Haken bei der Option Globaler Katalog.
Haben Sie diese Konfiguration vorgenommen, repliziert sich der Server zukünftig mit weiteren Domänencontrollern und enthält nicht nur Informationen seiner Domäne, sondern einen Index der Gesamtstruktur.
170
Voraussetzungen für die Installation
Abbildung 4.19: Konfigurieren eines globalen Katalogs
1 2 3
4 5
4.1.3
Betriebsmodi eines Active Directory 6
Jede Domäne, in der ein Exchange Server 2007 installiert wird oder in der sich Exchange Server 2007-Empfänger befinden, muss sich mindestens im Betriebsmodus Windows 2000 pur befinden.
7
Ein Active Directory kann unter verschiedenen Betriebsmodi betrieben werden. Standardmäßig befindet sind das Active Directory nach der Installation im gemischten Modus. In diesem Modus können neben den Windows Server 2003-Domänencontrollern parallel auch noch Windows NT 4.0-Domänencontroller betrieben werden. Allerdings können in diesem Fall nicht alle Funktionen und Möglichkeiten des Active Directory verwendet werden. Im Active Directory werden zwei verschiedene Ebenen der Betriebsmodi unterschieden:
1. 2.
8 9
Betriebsmodus der einzelnen Domänen in der Gesamtstruktur Betriebsmodus der Gesamtstruktur
10
Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen:
11
■
12
■
Windows 2000 gemischt – In diesem Modus können an der Domäne neben Windows 2000 und Windows Server 2003 auch Domänencontroller unter Windows NT 4.0 teilnehmen. Dieser Modus ist nach der Installation von Active Directory automatisch aktiviert. Windows 2000 pur – In diesem Modus können nur noch Windows 2000- und Windows Server 2003-Domänencontroller die Domäne verwalten. Es dürfen aber weiterhin Windows NT 4.0-Server als Mitglied betrieben werden. Ab diesem Modus können universelle Gruppen erstellt werden, und die SID-History wird unterstützt. Bei der SID-History können den Benutzerkonten mehrere SIDs aus anderen Domänen zugeordnet werden, zum Beispiel bei der Migration von Windows NT 4.0 zu Windows Server 2003 mit dem ADMT 3.0. Sicherheitsgruppen können in diesem Modus zu Verteilergruppen umfunktioniert werden. Ab diesem Modus kann auch Exchange Server 2007 in der Domäne installiert werden.
13 14 15
171
Installation und Anpassung
■
Windows Server 2003 – Ab diesem Modus können Domänen in der Gesamtstruktur umbenannt und umstrukturiert werden. Es können gesamtstrukturübergreifende Vertrauensstellungen erstellt werden.
Der Betriebsmodus Windows Server 2008 wurde bereits in Kapitel 2 behandelt. Sofern in einer Gesamtstruktur keine Windows 2000- oder Windows NT 4.0-Domänencontroller unterstützt werden müssen, sollten Sie so schnell wie möglich die Funktionsebene der Domänen und der Gesamtstruktur auf den Windows Server 2003-Modus hochsetzen. Sie haben dadurch keinerlei Nachteile, eröffnen sich aber erst dann die vollständigen Möglichkeiten von Active Directory. Um die Funktionsebene einer Domäne hochzusetzen, klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Domäne und wählen die Option Domänenfunktionsebene heraufstufen (siehe Abbildung 4.20). Abbildung 4.20: Heraufstufen der Domänenfunktionsebene
Im anschließenden Fenster können Sie den Modus auswählen, den Sie aktivieren wollen (siehe Abbildung 4.21). Sie erhalten eine Warnung, dass die Umstellung des Modus nicht mehr rückgängig gemacht werden kann. Bestätigen Sie diese Meldung, wird die Funktionsebene heraufgestuft. Es ist nicht notwendig, die Domänencontroller neu zu starten. Allerdings wird diese Umstellung erst mit der Active Directory-Replikation auf alle Domänencontroller verteilt. Abbildung 4.21: Heraufstufen der Domänenfunktionsebene
Die Funktionsebene der Gesamtstruktur können Sie mithilfe des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen heraufstufen. 172
Voraussetzungen für die Installation
Klicken Sie mit der rechten Maustaste auf das Menü Active Directory-Domänen und -Vertrauensstellungen, und wählen Sie die Option Gesamtstrukturfunktionsebene heraufstufen (siehe Abbildung 4.22). Abbildung 4.22: Heraufstufen der Gesamtstrukturfunktionsebene
1 2 3
4 Sie können die Gesamtstrukturfunktionsebene erst heraufstufen, wenn die Domänenfunktionsebenen aller Domänen der Gesamtstruktur heraufgestuft wurden.
5 INFO
Auch nach der erfolgreichen Heraufstufung der Gesamtstruktur ist es nicht notwendig, die Domänencontroller neu zu starten. Die Änderungen werden auf alle Domänencontroller der Gesamtstruktur repliziert.
6
Nach der Heraufstufung stehen die neuen Funktionen wie SID-History, universale Gruppen und gesamtstrukturübergreifende Vertrauensstellungen zur Verfügung.
7
4.1.4
8
Vertrauensstellungen im Active Directory
Die transitiven Vertrauensstellungen zwischen den einzelnen Domänen im Active Directory werden automatisch eingerichtet. Innerhalb von zwei Gesamtstrukturen können seit Windows Server 2003 auch sogenannte Gesamtstrukturübergreifende Vertrauensstellungen eingerichtet werden, um mehrere Gesamtstrukturen miteinander zu verbinden. Setzen Sie im Unternehmen mehrere Gesamtstrukturen ein und wollen Sie Exchange Server 2007 mit erweiterten Möglichkeiten nutzen, müssen Sie zwischen den Gesamtstrukturen Gesamtstrukturübergreifende Vertrauensstellungen einrichten. Delegieren Sie zum Beispiel Berechtigungen über Gesamtstrukturen hinweg oder wollen die Frei-/Gebucht-Zeiten replizieren, müssen Sie die Gesamtstrukturen miteinander verbinden.
9 10 11
In Active Directory gibt es unidirektionale und bidirektionale Vertrauensstellungen. Nicht in jedem Fall sind bidirektionale Vertrauensstellungen sinnvoll. Vor allem aus Gründen der Sicherheit sollte bei manuellen Vertrauensstellungen im Active Directory immer mit den möglichst sichersten Einstellungen gearbeitet werden. Die Richtung der Vertrauensstellungen sollte daher gut überlegt sein.
12 13
Im Active Directory gibt es, wie bereits unter NT, die vertrauten (trusted) Domänen und die vertrauenden (trusting) Domänen.
14
Innerhalb einer Vertrauensstellung enthält die vertrauende (trusting) Domäne die Ressourcen, auf die von der vertrauten (trusted) Domäne durch Anwender zugegriffen wird. Bei der Einrichtung der Vertrauensstellung wird daher eine Vertrauensstellung von der vertrauenden (trusting) Domäne zur vertrauten (trusted) Domäne eingerichtet. Die Anwender der vertrauten (trusted) Domäne dürfen auf Ressourcen innerhalb der vertrauenden (trusting) Domäne zugreifen (siehe Abbildung 4.23).
15
173
Installation und Anpassung
Abbildung 4.23: Vertrauensstellungen im Active Directory
Liegen in einer vertrauenden (trusting) Domäne Benutzerkonten, können diese bei einer unidirektionalen Vertrauensstellung nicht auf Ressourcen in der vertrauten (trusted) Domäne zugreifen. In diesem Fall müsste aus der unidirektionalen eine bidirektionale Vertrauensstellung gemacht werden, bei der beide beteiligten Domänen sowohl eine vertrauende (trusting) als auch eine vertraute (trusted) Domäne sind. Im Active Directory gibt es unterschiedliche Typen von Vertrauensstellungen. Manche Vertrauensstellungen werden automatisch eingerichtet, andere müssen nachträglich manuell eingerichtet werden. Beim Heraufstufen von Domänencontrollern und der damit verbundenen Erschaffung von neuen Domänen in einem Active Directory werden einige Vertrauensstellungen automatisch eingerichtet: ■ ■
Vertrauensstellungen zwischen übergeordneten und untergeordneten Domänen der gleichen Struktur (gleicher Namensraum) Vertrauensstellungen zwischen Root-Domänen von verschiedenen Strukturen innerhalb einer Gesamtstruktur
Legen Sie unterhalb einer Domäne im Active Directory eine weitere Domäne an, zum Beispiel die Domäne de.contoso.com unterhalb von contoso.com, wird automatisch eine bidirektionale Vertrauensstellung zwischen den beiden Domänen eingerichtet. Die übergeordnete Domäne wird auch als Parent-Domäne bezeichnet, die untergeordnete Domäne als Child-Domäne. In diesem Beispiel können sowohl Anwender aus der Domäne de.contoso.com auf Ressourcen in der Domäne contoso.com zugreifen als auch Anwender der Domäne contoso.com auf Ressourcen in der Domäne de.contoso.com. Auch der gemeinsame Zugriff auf Exchange-Postfächer funktioniert, allerdings muss dazu die Domäne, in der kein Exchange Server steht, auf Exchange Server 2007 vorbereitet werden. Sie finden die Vertrauensstellung einer Domäne im Snap-In Active Directory-Domänen und -Vertrauensstellungen, wenn Sie die Eigenschaften einer Domäne aufrufen und dann auf die Registerkarte Vertrauensstellungen wechseln (siehe Abbildung 4.24).
174
Voraussetzungen für die Installation
Abbildung 4.24: Verwalten von Vertrauensstellungen im Active Directory
1 2 3
4 5 6 Ist in einem Active Directory eine Gesamtstruktur mit mehreren Strukturen vorhanden, wird zwischen den Root-Domänen der jeweiligen Struktur ebenfalls automatisch eine Vertrauensstellung eingerichtet. Diese Vertrauensstellungen werden auch als Strukturstamm-Vertrauensstellungen bezeichnet.
7 8
Starten Sie den Assistenten zum Aufrufen neuer Vertrauensstellungen mit der Schaltfläche Neue Vertrauensstellung, haben Sie die Auswahl zwischen vier verschiedenen Arten von Vertrauensstellungen, die Sie einrichten können. Ich gehe in diesem Kapitel nur auf die gesamtstrukturübergreifenden Vertrauensstellungen ein, da Sie die anderen Varianten für die Installation von Exchange Server 2007 nicht berücksichtigen müssen. Im Active Directory gibt es folgende Vertrauensstellungen: ■ ■ ■ ■
9 10
Externe Vertrauensstellung zu einer einzelnen Domäne innerhalb einer anderen Gesamtstruktur oder einer Windows NT 4.0-Domäne Gesamtstrukturübergreifende Vertrauensstellung (wichtig für Exchange Server 2007 beim Einsatz mehrerer Gesamtstrukturen im Unternehmen) Vertrauensstellung zu einem Nicht-Windows-Kerberosverbund Abkürzende Vertrauensstellung zu einer Domäne innerhalb der gleichen Gesamtstruktur (sogenannter Shortcut Trust)
11 12 13
Gesamtstrukturübergreifende Vertrauensstellungen Bei der Zusammenlegung von mehreren Unternehmen, die alle über eine eigene Gesamtstruktur verfügen, kann es sinnvoll sein, dass sich die Vertrauensstellungen über gesamtstrukturübergreifende Vertrauensstellungen gegenseitig vertrauen. Diese Vertrauensstellungen sind im Gegensatz zu externen Vertrauensstellungen vollkommen transitiv. Bei der Verbindung von zwei Gesamtstrukturen über gesamtstrukturübergreifende Vertrauensstellungen vertrauen alle Domänen der beiden Gesamtstrukturen sich gegenseitig.
14 15
175
Installation und Anpassung
Gesamtstrukturübergreifende Vertrauensstellungen werden ausschließlich zwischen den beiden Root-Domänen der Gesamtstrukturen erstellt. Die daraus folgenden transitiven Vertrauensstellungen folgen dem Pfad der Vertrauensstellungen wie bei verschiedenen Strukturen innerhalb einer Gesamtstruktur. Gesamtstrukturübergreifende Vertrauensstellungen sind immer transitiv. Sie müssen aber nicht zwingend bidirektional sein. Windows Server 2003 unterstützt auch unidirektionale gesamtstrukturübergreifende Vertrauensstellungen. Erstellen Sie eine unidirektionale Vertrauensstellung zwischen zwei Gesamtstrukturen, verhält sich die Berechtigung wie beim Erstellen anderer Vertrauensstellungen. Der Unterschied besteht darin, dass die Anwender der eingehenden Vertrauensstellung, also der vertrauten (trusted) Gesamtstruktur, auf die Ressourcen der vertrauenden Gesamtstruktur zugreifen können. Es ist gleichgültig, in welcher Domäne der vertrauten Gesamtstruktur die Konten der Anwender liegen, und es ist auch gleichgültig, in welcher Domäne die Ressourcen in der vertrauenden Gesamtstruktur liegen. Alle Anwender aller Domänen der vertrauten Gesamtstruktur dürfen auf alle Ressourcen in allen Domänen der vertrauenden Gesamtstruktur zugreifen, wenn sie entsprechende Berechtigungen erhalten. Voraussetzungen für gesamtstrukturübergreifende Vertrauensstellungen Damit Sie gesamtstrukturübergreifende Vertrauensstellungen einrichten können, müssen Sie zuvor einige Voraussetzungen schaffen: ■ ■ ■
Gesamtstrukturübergreifende Vertrauensstellungen werden nur in Windows Server 2003-Gesamtstrukturen unterstützt. Stellen Sie sicher, dass sich die Domänenfunktionsebene und die Gesamtstrukturfunktionsebene im einheitlichen Windows Server 2003-Modus befinden. Stellen Sie sicher, dass die Namensauflösung zwischen den Gesamtstrukturen funktioniert. Stellen Sie domänenspezifische Weiterleitungen her, und überprüfen Sie, ob die Domänencontroller der beiden Gesamtstrukturen sich untereinander per DNS auflösen können. Alternativ können Sie einen DNS-Server erstellen, der für die Zonen beider Gesamtstrukturen zuständig ist.
Erstellen einer gesamtstrukturübergreifenden Vertrauensstellung Eine gesamtstrukturübergreifende Vertrauensstellung erstellen Sie auf dem gleichen Weg wie eine externe Vertrauensstellung. Wollen Sie beim Namen der Domäne, zu der Sie eine Vertrauensstellung aufbauen, statt eines NetBIOS- einen DNS-Namen eingeben, überprüft der Assistent, ob es sich bei dieser Domäne um die RootDomäne einer eigenen Gesamtstruktur handelt. Trifft dies zu, bietet der Assistent als Option die Auswahl an, ob Sie eine externe Vertrauensstellung oder eine Gesamtstrukturvertrauensstellung erstellen wollen. Wollen Sie eine gesamtstrukturübergreifende Vertrauensstellung einrichten, welche die Domänen der beiden Gesamtstrukturen transitiv verbindet, wählen Sie die Option Gesamtstrukturvertrauensstellung aus (siehe Abbildung 4.25) und klicken auf Weiter. Im nächsten Schritt legen Sie, wie bei der externen Vertrauensstellung, fest, ob es sich um eine bidirektionale oder eine unidirektionale Vertrauensstellung handelt. Auf der nächsten Seite des Assistenten können Sie festlegen, ob Sie die Vertrauensstellung in der anderen Domäne gleich mit anlegen lassen wollen. Dazu benötigen Sie allerdings Domänenadministratorrechte in der Root-Domäne der anderen Gesamtstruktur. 176
Voraussetzungen für die Installation
Abbildung 4.25: Erstellen einer Gesamtstrukturvertrauensstellung
1 2 3
4 5
Wählen Sie die Option, dass Sie auch in der anderen Domäne die Vertrauensstellung einrichten lassen wollen, erscheint im nächsten Fenster ein Authentifizierungsdialog, mit dessen Hilfe Sie sich an der anderen Gesamtstruktur anmelden können. Nach der erfolgreichen Eingabe der Authentifizierung erscheint das nächste Fenster des Assistenten. Hier können Sie, wie bei der externen Vertrauensstellung auch, auswählen, ob Sie die Authentifizierung automatisch für die komplette Gesamtstruktur zulassen oder ob Sie einzelne Berechtigungen für die einzelnen Server manuell vergeben wollen. Diese Auswahl können Sie sowohl für die ausgehende als auch für die eingehende Vertrauensstellung treffen.
6
Setzen Sie mehrere Namensräume und Strukturen in den einzelnen Gesamtstrukturen ein, werden Sie unter Umständen noch gefragt, welche Benutzernamen zur lokalen Gesamtstruktur gehören. Belassen Sie in diesem Fall alle Optionen aktiviert. Wollen Sie allerdings nicht allen Strukturen die Authentifizierung in der anderen Gesamtstruktur erlauben, können Sie einzelne Strukturen aus dem Routing herausnehmen. Das DNS-Suffix-Routing lässt sich jederzeit über die Eigenschaften der Vertrauensstellung ändern. Sie können in den Eigenschaften einer gesamtstrukturübergreifenden Vertrauensstellung mithilfe der Registerkarte Namenssuffixrouting festlegen, welche Namensräume der einzelnen Gesamtstrukturen in der anderen Gesamtstruktur verfügbar sein sollen. Melden sich Anwender mit ihrem eindeutigen UPN-Namen an einer Ressource in der anderen Gesamtstruktur an, erkennt die Vertrauensstellung, dass dieser Namensraum zu der vertrauten Gesamtstruktur gehört.
9
7 8
10 11 12 13
Damit das Namenssuffixrouting und die komplette gesamtstrukturübergreifende Vertrauensstellung fehlerfrei funktionieren, sollten in beiden Gesamtstrukturen sowohl die DNS-Namen als auch die NetBIOS-Namen der Domänen eindeutig sein. Sind in den beiden Gesamtstrukturen eine oder mehrere Domänen identisch bezeichnet, werden sie vom Namenssuffixrouting ausgeschlossen. Die Vertrauensstellung kann dennoch ohne Probleme eingerichtet werden.
14 15
177
Installation und Anpassung
4.2
Vorbereiten der Gesamtstruktur und der Windows-Domänen für Exchange Server 2007
Setzen Sie im Unternehmen mehrere Domänen oder sogar Gesamtstrukturen ein, reicht es nicht aus, nur das Installationsprogramm zu starten, sondern Sie müssen einige Vorbereitungen treffen, bevor der erste Exchange Server installiert werden kann. Bevor Sie die Domäne und die Gesamtstrukturen auf Exchange Server 2007 vorbereiten, müssen Sie zunächst die Voraussetzungen schaffen, die im Abschnitt 4.1 dieses Kapitels besprochen werden.
4.2.1
Die wichtigsten Administratorkonten im Active Directory
Im Active Directory gibt es verschiedene Administratorengruppen, die über unterschiedliche Berechtigungen verfügen. Nur wenn ein Konto Mitglied in allen wichtigen Administratorgruppen ist, verfügt es über umfassende Rechte im Active Directory. Bereiten Sie Ihre Gesamtstruktur und Domänen für Exchange Server 2007 vor, müssen Sie die Bedeutung der einzelnen Administratoren kennen. Diese Gruppen befinden sich im Container Users des Snap-Ins Active DirectoryBenutzer und -Computer (siehe Abbildung 4.26). Abbildung 4.26: Administratorkonten im Active Directory
■
178
Domänen-Admins enthalten die Administratoren, welche die lokale Domäne verwalten und umfassende Rechte in dieser Domäne haben. Ein Administrator ist jeweils nur für eine Domäne zuständig. Legen Sie mehrere Domänen in einer Gesamtstruktur an, gibt es mehrere Benutzerkonten Administrator, die jeweils zu einer Domäne gehören und nur in dieser einen Domäne volle administrative Berechtigungen besitzen.
Gesamtstruktur und Domänen für Exchange Server 2007 vorbereiten
■
■
Organisations-Admins sind eine spezielle Gruppe von Administratoren, die Berechtigungen für alle Domänen im Active Directory besitzen. Sie haben auf Ebene der Gesamtstruktur die meisten Rechte, aber in einzelnen Domänen haben die Domänen-Admins mehr Rechte. Organisations-Admins gibt es nur in der Root-Domäne. Schema-Admins sind eine der kritischsten Gruppen überhaupt. Mitglieder dieser Gruppe dürfen Veränderungen am Schema des Active Directory vornehmen. Produkte, die das Schema des Active Directory erweitern, wie zum Beispiel Exchange 2007, können nur installiert werden, wenn der installierende Administrator Mitglied in dieser Gruppe ist.
1 2 3
Das Konto Administrator in der ersten installierten Domäne einer Gesamtstruktur ist das wichtigste und kritischste Konto im gesamten System. Es erlaubt den administrativen Zugriff auf alle wichtigen Systemfunktionen und ist Mitglied aller beschriebenen Administratorengruppen.
4
Einige der Gruppen sind nur in der ersten Domäne, die in der Gesamtstruktur eingerichtet wurde, definiert. Andere Gruppen werden erst nach der Installation bestimmter Dienste, wie DNS und DHCP, auf Domänencontrollern erstellt. Sie werden nicht erstellt, wenn DNS und DHCP auf alleinstehenden Servern installiert werden. Vor allem in Gesamtstrukturen sind diese Standardgruppen in der Root-Domäne besonders wichtig: ■
■
■
■
■
■
5 6
DHCP-Administratoren dürfen DHCP-Server in der Domäne verwalten. Die Gruppe wird nach der Installation des ersten DHCP-Servers auf einem Domänencontroller der Domäne erstellt. DHCP-Benutzer enthält Benutzerkonten, die lesend auf die Informationen des DHCP-Dienstes zugreifen, aber keine Änderungen vornehmen dürfen. Diese Gruppe ist nur für Administratoren und Operatoren, nicht für normale Benutzer oder Computer relevant. Computer, die DHCP-Adressen anfordern, müssen darin nicht aufgenommen werden. Die Gruppe DnsAdmins enthält die Administratoren für DNS-Server. Dieser Gruppe sind keine Benutzer zugeordnet. Sie kann verwendet werden, um die Administration von DNS-Servern zu delegieren. Das ist vor allem dann von Bedeutung, wenn die DNS-Infrastruktur eines Unternehmens von Administratoren verwaltet wird, die nicht für die Active Directory-Umgebung zuständig sind. Diese Gruppe wird erst angelegt, wenn ein DNS-Server auf einem Domänencontroller erstellt wurde, der seine Informationen im Active Directory verwaltet. In der Gruppe DnsUpdateProxy befinden sich Computer, die als Proxy für die dynamische Aktualisierung von DNS-Einträgen fungieren können. Diese Gruppe steht nur zur Verfügung, wenn ein Domänencontroller angelegt wird. In diese Gruppe können Sie zum Beispiel DHCP-Server aufnehmen, die dynamische DNS-Einträge für die Clients auf den DNS-Servern erstellen sollen. Die Gruppe Richtlinien-Ersteller-Besitzer umfasst die Anwender, die Gruppenrichtlinien für die Domäne erstellen dürfen. Das können Administratoren sein, die sich nur um diese Aufgabe in der Gesamtstruktur kümmern. Die Gruppe WINS-Benutzer wird angelegt, wenn es einen WINS-Server auf einem der Domänencontroller gibt. In ihr befinden sich die Benutzer, die nur Leserechte auf die WINS-Datenbank haben.
7 8 9 10 11 12 13 14 15
179
Installation und Anpassung
Die Gruppen DnsUpdateProxy, Organisations-Admins, Schema-Admins und DnsAdmins werden in der ersten Domäne, die in einer Gesamtstruktur eingerichtet wird, definiert. Das ist gleichzeitig die oberste Domäne der ersten Struktur der Gesamtstruktur. Einer Gruppe können Benutzer und Benutzergruppen aus unterschiedlichen Domänen der Struktur hinzugefügt werden.
4.2.2
Migration – Installation in eine Exchange 2000/2003-Organisation
Wollen Sie einen Exchange Server 2007 in eine bestehende Exchange 2000- oder 2003Organisation installieren, müssen Sie das Exchange Server 2007-Installationsprogramm zunächst mit der Option setup /PrepareLegacyExchangePermissions starten. Dieser Befehl erteilt dem Recipient Update Service (Empfängeraktualisierungsdienst, RUS) von Exchange Server 2000/2003 entsprechende Rechte für Exchange Server 2007, da hier der entsprechende Prozess anders funktioniert. Unter Exchange Server 2007 gibt es eine eigene Administratorrolle für die Anbindung neuer Exchange-Empfängern. Mitglieder dieser Gruppe dürfen ausschließlich die E-Mail-Eigenschaften von Anwendern anpassen (siehe Kapitel 12). Sie müssen diesen Befehl in jeder Domäne ausführen, in der sich Exchange 2000/2003-Server befinden oder Empfänger, die Postfächer auf Exchange 2000/2003-Servern haben. Wird dieser Befehl nicht erfolgreich ausgeführt, kann der RUS keine neuen Empfänger an Exchange anbinden, da er nicht die Berechtigungen dieser neuen Admin-Rolle hat. Wie Sie die manuelle Active Directory-Replikation anstoßen, habe ich Ihnen bereits in Kapitel 3 gezeigt, die entsprechende Diagnose wird in Kapitel 16 besprochen. Damit dieser Befehl ausgeführt werden kann, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Organisations-Administratoren (Enterprise-Admins) ist. Außerdem muss der Server, auf dem Sie diesen Befehl ausführen, eine Verbindung zu allen Domänen der Gesamtstruktur aufbauen können. Wurde der Befehl erfolgreich ausgeführt, sollten Sie vor weiteren Schritten die Replikation der Exchange Server und Domänencontroller abwarten.
4.2.3
Vorbereiten des Active Directory-Schemas
Bevor Sie einen Exchange Server 2007 in einem Active Directory installieren können, muss dieses Active Directory um zahlreiche Klassen und Attribute erweitert werden. Einige dieser Attribute sind zum Beispiel die Exchange-Eigenschaften Ihrer Benutzer. Haben Sie jedoch mehrere Domänen an mehreren Standorten installiert, sollten Sie die Schemavorbereitung vor der Installation eines Exchange Servers durchführen. Da die Schemaerweiterungen erst noch auf alle Domänencontroller repliziert werden müssen, kann dieser Vorgang etwas länger dauern. In einer Domäne, bei der den Domänencontrollern diese Erweiterungen noch nicht repliziert wurden, kann Exchange Server 2007 nicht installiert werden, bis die Replikation erfolgreich durchgeführt wurde. Um das Schema vorzubereiten, starten Sie das Exchange-Setup-Programm mit der Option setup /PrepareSchema. Nach der Eingabe des Befehls verbindet sich das Installationsprogramm mit dem Schemamaster der Gesamtstruktur und importiert die entsprechenden Daten in das Schema Ihrer Gesamtstruktur. Um diesen Befehl ausführen zu können, muss sich das Konto, mit dem Sie sich angemeldet haben, in den Gruppen Schema-Admins und Organisations-Admins befinden. 180
Gesamtstruktur und Domänen für Exchange Server 2007 vorbereiten
Sie müssen den Befehl setup /PrepareSchema auf einem Server durchführen, der sich in der gleichen Domäne und im gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur.
INFO
1
Haben Sie bei der Installation von Exchange Server 2007 in eine Exchange 2000/ 2003-Organisation vor der Ausführung von setup /PrepareSchema nicht die Domänen mit setup /PrepareLegacyExchangePermissions vorbereitet, wird dieser Befehl nachträglich automatisch gestartet.
2
In diesem Fall muss der Server, auf dem Sie setup /PrepareSchema starten, Verbindung zu allen Domänen in der Gesamtstruktur aufbauen können.
3
Probleme bei der Schemaerweiterung
4
Bei der Erweiterung des Schemas besteht unter Umständen die Möglichkeit, dass die Erweiterung in der Registry auf dem Schemamaster deaktiviert ist. Sollte das bei Ihnen der Fall sein, bricht die Schemaerweiterung ab.
5
In diesem Fall sollten Sie auf dem Schemamaster zu folgendem Registry-Key wechseln:
6
HKLM/System/CurrentControlSet/Services/NTDS/Parameters Weisen Sie den beiden DWORD-Werten Schema Update Allowed und Schema Delete Allowed den Wert 1 zu (siehe Abbildung 4.27). Warten Sie nach den Änderungen zehn bis 15 Minuten, bevor Sie die Schemaerweiterung erneut ausführen. Sie müssen dazu den Server nicht neu starten.
7 8 Abbildung 4.27: Aktivierung der Schemaerweiterung auf dem Schemamaster
9 10 11 12 13
4.2.4
Anlegen der Exchange-Objekte im Active Directory
14
Nach der Vorbereitung des Schemas müssen Sie noch den Befehl setup /PrepareAD ausführen, damit in der Gesamtstruktur Objekte für Exchange Server 2007 angelegt werden. Dieser Befehl legt zum Beispiel die notwendigen Sicherheitsgruppen für Exchange Server 2007 in der Stammdomäne (Root) der Gesamtstruktur an.
15
Um diesen Befehl ausführen zu können, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Organisations-Admins ist. Setzen Sie in der
181
Installation und Anpassung
Organisation Exchange 2000- oder 2003-Server ein, müssen Sie noch Mitglied der Exchange-Administratoren dieser Organisation sein. Sie müssen den Befehl auf einem Server durchführen, der sich in der gleichen Domäne und am gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur.
INFO
Haben Sie bei der Installation von Exchange Server 2007 in eine Exchange 2000/2003-Organisation vor der Ausführung von setup / PrepareAD die Domänen nicht mit setup /PrepareLegacyExchangePermissions vorbereitet, wird dieser Befehl nachträglich automatisch gestartet. In diesem Fall muss der Server, auf dem Sie setup / PrepareAD starten, Verbindung zu allen Domänen in der Gesamtstruktur aufbauen können. Haben Sie bei der Ausführung von setup / PrepareAD noch nicht setup /PrepareSchema ausgeführt, wird auch dieser Befehl nachträglich automatisch gestartet. Sie können die erfolgreiche Durchführung des Befehls überprüfen, indem Sie das Snap-In Active Directory-Benutzer und -Computer starten. Unterhalb der Domäne wurde automatisch eine neue OU mit der Bezeichnung Microsoft Exchange Security Groups angelegt, in der sich die notwendigen universellen Sicherheitsgruppen befinden, die Exchange Server 2007 benötigt (siehe Abbildung 4.28).
Abbildung 4.28: Neue universelle Sicherheitsgruppen für Exchange Server 2007
Die folgenden universellen Sicherheitsgruppen sollten sich in der OU befinden (siehe Kapitel 12): ■ ■ ■ ■ ■
Exchange Server 2007 auf Domänencontrollern installieren
INFO
182
Während der Installation von Exchange Server 2007 auf einem Server wird die Gruppe Exchange Organization Administrators automatisch in die lokale Administratorengruppe des Servers aufgenommen (siehe Abbildung 4.29). Da die lokale Administratorgruppe auf Domänencontrollern fast umfassende Berechtigungen in der Domäne hat, erhalten dadurch unter Umständen Exchange-Administratoren mehr Rechte, als sie haben sollen. Beachten Sie daher diesen Punkt bei der Planung und Installation.
Gesamtstruktur und Domänen für Exchange Server 2007 vorbereiten
Abbildung 4.29: Lokale Administratorgruppe auf einem Exchange Server
1 2 3
4 5 6
4.2.5
Vorbereiten der Domänen in der Gesamtstruktur
7
Als Nächstes müssen noch die einzelnen Domänen in der Gesamtstruktur für die Installation von Exchange Server 2007 vorbereitet werden. Führen Sie das Exchange Server 2007-Setup-Programm mit einer der folgenden Optionen aus: ■
■ ■
8
setup /PrepareDomain – Führen Sie diesen Befehl aus, wird nur die Domäne vorbereitet, in der sich der Server befindet, auf dem Sie den Befehl starten. Sie müssen diesen Befehl nicht in der jeder Domäne ausführen, in der Sie auch setup / PrepareAD durchgeführt haben, da hier die Domäne schon vorbereitet wurde. setup /PrepareDomain: – Mit diesem Befehl können Sie – remote – einzelne Domänen vorbereiten. setup /PrepareAllDomains – Bereitet alle Domänen in der Gesamtstruktur für Exchange Server 2007 vor. Führen Sie diesen Befehl aus, erhalten Sie unter Umständen eine Fehlermeldung bei Domänen, die sich an anderen Active Directory-Standorten befinden, wenn zum Beispiel die Replikation noch nicht abgeschlossen worden ist. Führen Sie in diesem Fall eine manuelle Replikation durch, oder warten Sie, bis die Replikation abgeschlossen worden ist. Starten Sie den Befehl dann noch einmal.
9 10 11 12 13
Damit Sie diese Befehle ausführen können, müssen Sie Mitglied der Gruppe Organisations-Admins sein sowie Mitglied der Gruppe Domänen-Admins in jeder Domäne, die Sie vorbereiten.
14
Sie können die Ausführung dieses Befehls überprüfen, indem Sie im Snap-In Active Directory-Benutzer und -Computer (Start/Ausführen/dsa.msc) in der OU Microsoft Exchange System Objects eine neue globale Sicherheitsgruppe Exchange Install Domain Servers finden (siehe Abbildung 4.30).
15
183
Installation und Anpassung
Abbildung 4.30: Überprüfen der Domänenvorbereitung
Die OU Microsoft Exchange System Objects wird aber nur angezeigt, wenn Sie über das Menü Ansicht die erweiterten Funktionen aktiviert haben (siehe Abbildung 4.31). Diese Gruppe wird benötigt, wenn Sie Exchange Server 2007 in einem anderen Active Directory-Standort installieren, an dem sich die Stammdomäne der Gesamtstruktur befindet. Durch diese Gruppe werden Fehlermeldungen während der Installation vermieden, die durch langsame Replikation erscheinen können. Die Gruppe Exchange Install Domain Servers ist Mitglied der Gruppe Exchange Servers in der Stammdomäne der Gesamtstruktur. Abbildung 4.31: Aktivieren der erweiterten Funktionen
4.3
Typische Installation von Exchange Server 2007
Installieren Sie Exchange Server 2007 in einer neuen Active Directory-Gesamtstruktur, werden normalerweise die Rollen Mailbox, Hub-Transport und Client-Access installiert. Microsoft empfiehlt, an jedem Active Directory-Standort mindestens einen Exchange Server mit diesen Rollen zu installieren, damit der Mail-Verkehr und die Anbindung der Clients problemlos funktionieren. Führen Sie eine typische Installation durch, ist es später möglich, zusätzliche Rollen zu installieren. Ich komme in diesem Kapitel noch ausführlicher auf diesen Punkt zurück. Installieren Sie im Unternehmen nur einen Exchange –Server, und setzen Sie nur eine Domäne ein, sind unter Umständen die notwendigen Vorbereitungen etwas reduziert bzw. werden automatisch durch das Setup-Programm übernommen. Installieren Sie den ersten Exchange Server 2007 in Ihrer Domäne, ohne Vorbereitungen getroffen zu haben, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Schema-Administratoren ist.
184
Typische Installation von Exchange Server 2007
Um den ersten Exchange Server 2007 in einer Organisation zu installieren, benötigen Sie die Rechte der Gruppe Organisations-Admins. Wurde das Schema bereits vorbereitet und befinden sich Exchange 2007-Server in der Organisation, müssen Administratoren, die zusätzliche Exchange Server installieren, nur Mitglied in der Gruppe Exchange Organizations Administrators sein.
INFO
1
Außerdem muss sichergestellt sein, dass sich das Benutzerkonto in der lokalen Administratorgruppe des Servers befindet, auf dem Sie Exchange Server 2007 installieren.
2
Der weitere Ablauf der Installation entspricht der Installation der Testumgebung aus Kapitel 2.
3 Abbildung 4.32: Typische Installation von Exchange Server 2007
4 5 6 7 8 9 10 11
Wählen Sie die typische Installation aus, werden die Unified-Messaging-Rolle (siehe Kapitel 10), Edge-Transport-Server (siehe Kapitel 5) sowie die Unterstützung für Cluster (siehe Kapitel 14) nicht installiert.
12
Auf der Seite mit den Clienteinstellungen (siehe Abbildung 4.33) können Sie auswählen, ob im Unternehmen noch Outlook 2003 eingesetzt wird oder ausschließlich Outlook 2007. Setzen Sie noch Clients mit Outlook 2003 ein, sollten Sie in dem Feld Ja auswählen.
13 14 15
185
Installation und Anpassung
Abbildung 4.33: Auswahl der Clienteinstellungen
Wählen Sie Ja aus, erstellt das Exchange-Setup eine öffentliche Ordner-Datenbank. Wählen Sie Nein aus, wird diese Datenbank nicht erstellt, da öffentliche Ordner unter Outlook 2007/Exchange 2007 eigentlich nur optional sind. Bei dieser Auswahl handelt es sich aber nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen, diese funktioniert dann wie gewohnt (siehe Kapitel 7). Andere Auswirkungen hat dieses Fenster nicht.
4.4
Angepasste Installation (Unified Messaging, Edge-TransportServer und Cluster)
Wählen Sie auf dem Fenster zur Auswahl der Installationsmethode Benutzerdefinierte Installation von Microsoft Exchange Server 2007 aus, stehen Ihnen weitere Optionen zur Verfügung. Über diesen Weg können Sie zum Beispiel die Unified´-Messaging- und Edge-Transport-Serverrolle auswählen (siehe Kapitel 5 und 10). Auch die alleinige Installation der Verwaltungstools erfolgt über diese Auswahl (siehe Abbildung 4.34). Wollen Sie einen Cluster für die Mailbox-Serverrolle erstellen, erfolgt die Installation ebenfalls über diese Auswahl. Zu der Clusterinstallation komme ich ausführlich in Kapitel 14.
186
Unbeaufsichtigte Installation über die Befehlszeile
Abbildung 4.34: Benutzerdefinierte Installation von Exchange Server 2007
1 2 3
4 5 6 7 Wählen Sie die Edge-Transport-Funktion aus, darf der Server kein Mitglied der Gesamtstruktur sein, und es darf keine andere Exchange Server-Funktion auf dem Server installiert worden sein.
8 INFO
9
Lassen Sie die Verwaltungstools installieren, werden auf dem PC oder Server nur die Exchange-Verwaltungskonsole und die Exchange-Verwaltungsshell installiert.
10
Wählen Sie die Hub-Transport-Funktion aus und werden in der Organisation noch Exchange 2000/2003-Server betrieben, erscheint ein weiteres Fenster, auf dem Sie einen Exchange 2000/2003-Bridgeheadserver auswählen können, zu dem ein Routinggruppen-Connector aufgebaut wird. In Exchange 2007 gibt es zwar keine Routinggruppen oder administrativen Gruppen mehr, diese werden aber aus Kompatibilitätsgründen weiter unterstützt. Exchange 2007 nutzt für den E-Mail-Fluss die Active Directory-Struktur, benötigt aber Zugang zu den vorhandenen Routinggruppen, vor allem da dies die Hauptaufgabe eines Hub-Transport-Servers ist (siehe Kapitel 5).
11 12 13
4.5
Unbeaufsichtigte Installation über die Befehlszeile
14
Wie bereits in Kapitel 1 erwähnt, lässt sich Exchange Server 2007 auch über die Befehlszeile automatisiert installieren. Starten Sie in der Befehlszeile das Installationsprogramm setup.exe mit der Option /?, erhalten Sie eine ausführliche Liste, welche Optionen das Installationsprogramm noch unterstützt. Sie können die einzelnen Rollen über die Befehlszeile mitgeben, die Vorbereitung des Schemas (früher forest-
15
187
Installation und Anpassung
prep) und alle weiteren Optionen, die auch über die grafische Oberfläche zur Verfügung stehen. Wollen Sie Exchange Server 2007 unbeaufsichtigt installieren, geht das nur über die Befehlszeile. Die Installation über die Befehlszeile erfolgt über das Setup-Programm setup.com auf der Installations-CD/-DVD. Ihnen stehen einige Optionen zur Verfügung, über die Sie die Installation automatisieren können. Diese Optionen können auch miteinander kombiniert werden: ■
■
/mode:<Setupvariante> (es kann auch nur /m <Setupvariante> verwendet werden): Als <Setupvariante> können Sie Install, Upgrade, Uninstall oder RecoverServer verwenden (siehe auch Kapitel 11). Wählen Sie diese Option nicht aus, wird das Standardverhalten Install verwendet. Die Setup-Variante Upgrade kann nur für Vorversionen von Exchange 2007 verwendet werden, nicht für Updates von Exchange 2000/2003. Die Variante RecoverServer wird zur Serverwiederherstellung verwendet (siehe Kapitel 11). /roles:<Serverrollen> (oder auch /r:<Serverrollen>): Über diese Option können Sie auswählen, welche Serverrollen auf dem Server installiert werden. Sie können aus folgenden Rollen auswählen. Wollen Sie mehrere Rollen installieren, können Sie diese durch Komma trennen: ■ ClientAccess (oder CA oder C) ■
EdgeTransport (oder ET oder E)
■
HubTransport (oder HT oder H)
■
Mailbox (oder MB oder M)
■
UnifiedMessaging (oder UM oder U)
■
ManagementTools (oder MT oder T)
Wollen Sie auf einem Server zum Beispiel Client-Access und Mailbox installieren, geben Sie den Befehl Setup /roles:ClientAccess,Mailbox oder Setup /r:C,M ein (siehe Abbildung 4.35). Abbildung 4.35: Unbeaufsichtigte Installation von Exchange 2007
Die nachfolgenden Optionen sind optional und müssen nicht zwingend vorgegeben werden. Werden diese Optionen nicht mitgegeben, verwendet das Installationsprogramm die jeweilige Standardeinstellung.
188
Unbeaufsichtigte Installation über die Befehlszeile
■
■
■
■
■
■
■
■
■
■
/OrganizationName: – Diese Option wird nur benötigt, wenn Sie den ersten Exchange Server in einer Organisation installieren. Bei zusätzlichen Servern können Sie diese Option nicht verwenden. /TargetDir: – Hier können Sie ein Installationsverzeichnis auswählen, wenn Sie mit dem Standardpfad C:\Programme\Microsoft\Exchange Server nicht einverstanden sind. /UpdatesDir: – Hier können Sie ein Verzeichnis ausgeben, aus dem das Installationsprogramm Aktualisierungen für Exchange Server 2007 beziehen kann. Bei den Update-Dateien muss es sich entweder um eine Update.exe oder um *.msp-Dateien handeln. Diese Funktion macht erst dann Sinn, wenn Updates oder Service Packs für Exchange Server 2007 verfügbar sind. /DomainControler – Hier können Sie einen Domänencontroller mitgeben, den das Setup-Programm für die benötigte Verbindung zum Active Directory benötigt. /AnswerFile – Mit dieser Option können Sie den Pfad und die Bezeichnung einer Antwortdatei mitgeben. In dieser Datei können Sie verschiedene, erweiterte Optionen mitgeben, die Sie auch als Option für die Installation über die Befehlszeile mitgeben können. Die erlaubten Optionen in der Datei sind zum Beispiel EnableErrorReporting, NoSelfSignedCertificates, AdamLdapPort und AdamSslPort. /DoNotStartTransport – Verwenden Sie diese Option, wird nach der erfolgreichen Installation der Dienst Microsoft Exchange Transport zunächst nicht gestartet. Dieser Dienst ist für das Versenden von E-Mails vom Server verantwortlich und stellt den SMTP-Server von Exchange zur Verfügung. Beenden Sie den Dienst, ist der Server über Port 25 nicht mehr erreichbar. Dieser Dienst wird vor allem auf Hub-Transport- oder Edge-Transport-Servern benötigt. Wollen Sie nach der Installation auf einem Server noch Konfigurationen vornehmen, bevor E-Mails über diesen Server versendet werden, macht diese Option Sinn. /EnableLegacyOutlook – Bei dieser Option wird die Unterstützung für Outlook 2003 aktiviert. Wählen Sie diese Option aus, erstellt das Exchange-Setup eine öffentliche Ordner-Datenbank. Wählen Sie diese nicht aus, wird diese Datenbank nicht erstellt, da öffentliche Ordner unter Outlook 2007/Exchange 2007 eigentlich nur optional sind. Bei dieser Auswahl handelt es sich aber nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen, die dann wie gewohnt funktioniert. Andere Auswirkungen hat dieses Fenster nicht. /LegacyRoutingServer – Mit dieser Option wählen Sie bei Bedarf den Exchange 2000/2003-Server aus, zu dem der installierte Exchange Server 2007 E-Mails schicken soll und der als Bridgeheadserver für den Routinggruppen-Connector verwendet werden soll. Diese Option wird nur bei Koexistenz von Exchange Server 2007 mit Exchange 2000/2003 benötigt. /EnableErrorReporting – Bei dieser Option wird die Fehlerberichterstattung zu Microsoft aktiviert. Diese macht selten Sinn und wird normalerweise nicht benötigt. /NoSelfSignedCertificates – Exchange Server 2007 installiert für die Verwendung von SSL für OWA, Outlook Anywhere (RPC über HTTP), Exchange ActiveSync etc. eigene Zertifikate. Setzen Sie bereits eine Zertifikatsstelle ein und wollen Sie nicht die vorgefertigten Zertifikate verwenden, können Sie diese Option wählen. Diese Themen werden sehr ausführlich in Kapitel 9 behandelt.
1 2 3
4 5 6 7 8 9 10 11 12 13 14 15
189
Installation und Anpassung
■
■ ■
■ ■
■
■
■
■ ■ ■
■ ■ ■
■ ■
190
/AdamLdapPort – Diese Option wird verwendet, um auf Edge-Transport-Servern den LDAP-Port für die ADAM-Instanz festzulegen. Sie wird nur auf Edge-Transport-Servern unterstützt. /AdamSslPort – Hier legen Sie den SSL-Port für die ADAM-Instanz auf Edge-Servern fest. /AddUmLanguagePack: – Hierüber installieren Sie Sprachdateien (Language Packs) für Unified-Messaging-Funktionen, wie zum Beispiel Outlook Voice Access (siehe Kapitel 9 und 10). /RemoveUmLanguagePack:< UM Language Pack Bezeichnung> – Hierüber können Sie Language Packs für Unified Messaging deinstallieren. /NewProvisionedServer (oder /nprs) – Mit dieser Option wird ein PlatzhalterComputerkonto im Active Directory erstellt, auf deren Basis Sie Berechtigungen für die Installation eines neuen Servers delegieren können. So können andere Anwender auf diesem Server Exchange Server 2007 installieren, ohne weitreichendere Rechte bekommen zu müssen. /RemoveProvisionedServer (oder /rprs) – Verwenden Sie diese Option, wird das mit /nprs erstellte Platzhalter-Computerkonto entfernt. Diese Option kann nur verwendet werden, wenn auf dem Platzhalterkonto noch kein Exchange Server 2007 installiert worden ist. /ForeignForestFQDN – Mit dieser Option werden die Microsoft Exchange-Sicherheitsgruppen in einer anderen Gesamtstruktur erstellt, zusätzlich zu den Sicherheitsgruppen in der lokalen Gesamtstruktur. Unterhalb der Domäne wurde automatisch eine neue OU mit der Bezeichnung Microsoft Exchange Security Groups angelegt, in der sich die notwendigen universellen Sicherheitsgruppen befinden, die Exchange Server 2007 benötigt. Folgende universellen Sicherheitsgruppen sollten sich in der OU befinden: Exchange Organization Administrators, Exchange Recipient Administrators, Exchange View-Only Administrators, Exchange Servers, ExchangeLegacyInterop. /ServerAdmin – Mit dieser Option legen Sie das Benutzerkonto fest, das Berechtigungen für das Computerobjekt hat, das Sie mit /NewProvisionedServer (oder /nprs) festgelegt haben. /NewCms – Mit dieser Option erstellen Sie einen neuen Mailbox-Cluster (siehe Kapitel 14). Sie müssen diese Option zusammen mit /CMSName verwenden. /RemoveCms – Mit dieser Option entfernen Sie einen Mailbox-Cluster. Sie müssen diese Option zusammen mit /CMSName verwenden (siehe Kapitel 14). /RecoverCms – Mit dieser Option können Sie einen Mailbox-Cluster wiederherstellen. Sie müssen diese Option zusammen mit /CMSName verwenden (siehe Kapitel 14). /CMSName: (oder /cn) – Mit dieser Option legen Sie den Namen des Mailbox-Cluster-Servers fest (siehe Kapitel 14). /CMSIPAddress: (oder /cip) – Diese Option legt die IP-Adresse des Clusters fest (siehe Kapitel 14). /CMSSharedStorage – Mit dieser Option legen Sie fest, dass der Clusterknoten, den Sie gerade installieren, den gemeinsamen Datenträger des Clusters verwendet. Wird die Option nicht gesetzt, verwendet der Knoten den gemeinsamen Datenträger nicht (siehe Kapitel 14). /CMSDataPath: – Hierüber wird der Pfad zum gemeinsamen Datenträger festgelegt (siehe Kapitel 14). /? – Über diese Option werden alle verfügbaren Optionen angezeigt.
Unbeaufsichtigte Installation über die Befehlszeile
Abbildung 4.36: Ausführliche Information über die unterstützten Optionen des Installationsprogramms von Exchange 2007
1 2 3
4 5 6 7 8 9 Starten Sie die Installation über die Befehlszeile, werden auch die Statusinformationen der Installation in der Befehlszeile ausgegeben; es startet keine grafische Oberfläche (siehe Abbildung 4.37).
10 Abbildung 4.37: Installation über die Befehlszeile durchführen
11 12 13 14 15
191
Installation und Anpassung
4.6
Nachträgliche Installation des Service Pack 1
Wurde auf einem Server unter Windows Server 2003 bereits Exchange Server 2007 installiert, kann mit den Installationsdateien des Service Pack 1 diese bestehende Version auf Exchange Server 2007 SP1 aktualisiert werden. Achten Sie darauf, dass vorher auf dem Server das Service Pack 2 für Windows Server 2003 installiert werden muss. Neben einer komplett neuen Serverinstallation mit den Installationsdateien des Service Packs können natürlich auch weiterhin bestehende Server aktualisiert werden. Zur Aktualisierung wird das Download-Paket entpackt und das Setup-Programm gestartet. Anschließend kann über das Menü die Aktualisierung durchgeführt werden. Mit dem Befehl setup /mode:upgrade wird die Aktualisierung über die Befehlszeile gestartet.
TIPP
Microsoft empfiehlt beim Einsatz mehrerer Exchange Server im Unternehmen erst Client-Access-Server, dann Unified-Messaging-Server, Hub-Transport-Server und Edge-Transport-Server zu aktualisieren. Erst ganz zum Schluss sollten Server mit der Mailbox-Server-Rolle aktualisiert werden. Außerdem empfiehlt Microsoft erst die Aktualisierung von Client-Access-Servern für den Zugriff über das Internet, zum Beispiel für Outlook Web Access oder Outlook Anywhere. Erst dann sollten die ClientAccess-Server, die für den internen Gebrauch dienen, auf das Service Pack aktualisiert werden. Werden Mailbox-Server vor den Hub-Transport-Servern aktualisiert, kann der E-Mail-Fluss zwischen den Servern zum Erliegen kommen.
Abbildung 4.38: Ein bestehender Exchange Server kann leicht auf Exchange Server 2007 SP 1 aktualisiert werden.
4.6.1
Was muss beim Einsatz von Service Pack 1 für Exchange Server 2007 beachtet werden?
Im folgenden Abschnitt gehe ich darauf ein, was sich bei der Verwaltung von Exchange nach der Installation des Service Packs im Bereich des Hinzufügens oder Entfernens von Serverrollen ändert.
192
Nachträgliche Installation des Service Pack 1
Ein Windows Server 2003-System mit Exchange Server 2007 kann nicht auf Windows Server 2008 aktualisiert werden, auch wenn das Service Pack 1 für Exchange Server 2007 installiert wird. Soll Exchange Server 2007 unter Windows Server 2008 betrieben werden, muss die Installation direkt über die SP 1-Installationsdateien erfolgen, ohne dass auf dem Server vorher Exchange installiert war. Im schlimmsten Fall bedeutet das die Neuinstallation eines Servers.
HALT
1 2
Das Service Pack kann nach einer Installation nicht mehr von einem Server entfernt werden. Eine Deinstallation ist nur dann möglich, wenn Exchange Server 2007 komplett von einem Server entfernt wird. Natürlich werden durch eine Installation des Service Packs alle Serverfunktionen auf dem Server aktualisiert. Es ist nicht möglich, nur einzelne Serverfunktionen von Exchange Server 2007 zu aktualisieren und andere nicht. Wurde auf einem Server das Service Pack 1 für Exchange Server 2007 installiert, müssen zur zusätzlichen Installation von weiteren Serverfunktionen die Exchange Server 2007 SP 1-Installationsdateien verwendet werden.
3
4 5
HALT
Werden im Unternehmen Edge-Transport-Server eingesetzt, müssen alle an einem Abonnement beteiligten Server innerhalb von 15 Tagen auf das Service Pack 1 aktualisiert werden, besser früher. Spätestens nach 30 Tagen stellen die Edge-TransportServer ansonsten ihre Funktion ein. Es ist für die Stabilität des E-Mail-Systems extrem wichtig, dass die Serverversion aller Server in der Organisation identisch ist. Das gilt vor allem bei den grundlegenden Änderungen durch die Installation des Service Packs. Durch das Service Pack werden Einstellungen in der Authentifizierung für Edge-Abonnements geändert. Aus diesem Grund muss die Version übereinstimmen, da zwischen den Servern ansonsten Anfragen verweigert werden, weil die Authentifizierung nicht mehr stattfinden kann.
6 7 8 9
Mit dem SP1 wird die Begrenzung eines Sendeconnectors auf einen einzelnen Active Directory-Standort durch das Hinzufügen des IsScopedConnector-Parameters in Exchange-Verwaltungsshell-Cmdlets und das Kontrollkästchen Begrenzter Sendeconnector in der Exchange-Verwaltungskonsole vereinfacht. Wenn ein Sendeconnector begrenzt wird, berücksichtigen nur die Hub-Transport-Server, die sich am selben Active Directory-Standort wie die Quellserver des Sendeconnectors befinden, diesen Sendeconnector bei Routingentscheidungen.
10 11
Wird im Unternehmen Microsoft Forefront Security für Exchange Server 2007 eingesetzt, muss vor der Installation des Service Packs sichergestellt werden, dass die eingesetzte Version von Forefront Security das Service Pack unterstützt. Das ist nämlich nur bei den ganz aktuellen Versionen der Fall.
12 13
Durch die Aktualisierung auf Exchange 2007 SP1 werden die Protokollierungseinstellungen der Protokolle POP3 und IMAP4 auf die Standardeinstellungen zurückgesetzt und damit deaktiviert. Diese Einstellungen sollten daher nachträglich noch überprüft werden.
14
Bei Neuinstallationen mit Exchange 2007 SP1 können in Outlook Anywhere Authentifizierungsmethoden ausgewählt werden, die für das virtuelle Verzeichnis /rpc im Internetinformationsdienst (IIS) aktiviert werden. Das ermöglicht, dass Sie die Authentifizierungsmethode für das virtuelle Verzeichnis /rpc in IIS auf Standard-
15
193
Installation und Anpassung
oder auf NTLM-Authentifizierung oder auf beide Authentifizierungsmethoden konfigurieren können. Ohne das Service Pack sind die Standardauthentifizierung und die NTLM-Authentifizierung für das virtuelle Verzeichnis /rpc immer aktiviert, auch wenn Outlook 2007 nur eine Authentifizierungsmethode verwendet. Außerdem ist es ohne das Service Pack nicht möglich, nur eine Authentifizierungsmethode zu konfigurieren, weil Exchange die beiden Funktionen Standard- und NTLM-Authentifizierung alle 15 Minuten automatisch konfiguriert. Durch diese neue Möglichkeit empfiehlt Microsoft, nur noch die Authentifizierungsoption zu aktivieren, die von den Clients unterstützt wird. Dabei hilft auch das CMDlet Set-OutlookAnywhere mit der Option IISAuthenticationMethods. Exchange 2007 SP1 enthält nicht die Suchfilter von Microsoft Office 2007. Aus diesem Grund kann Exchange 2007 auch nach der Installation des SP1 keine Office 2007-Anlagen in Postfächern indizieren. Die Office 2007-Suchfilter können aber nachträglich installiert werden. Dieser Vorgang wird im Knowledge-Base-Artikel auf der Seite http://support.microsoft.com/?kbid=944516 ausführlich erläutert. Auf Mailbox-Servern unter Windows Server 2008 muss der WMI-Dienst (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) manuell der Ausnahmeliste in der Firewall hinzugefügt werden. Ansonsten ist es nicht möglich, Postfachspeicher über das Netzwerk auf dem Server zu erstellen. Auch die Verwaltung des Servers ist dann nur schwer möglich. Im Gegensatz zu Windows Server 2003 ist die Firewall in Windows Server 2008 immer automatisch aktiviert. Allerdings sollte dieser Vorgang erst nach der Installation durchgeführt werden.
TIPP
Die Remotestreaming-Funktion in der Datensicherung von Exchange Server 2007 unter Windows Server 2003 wird durch die Installation des Service Pack 1 deaktiviert. Dadurch können Exchange Server mit dieser Sicherungsfunktion nicht mehr über das Netzwerk gesichert werden. Um diese Funktion nach der Installation von SP1 zu aktivieren, muss der DWORD-Wert Enable Remote Streaming Backup im Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ ParametersSystem auf 1 geändert werden. Beim Standardwert 0 ist die Funktion deaktiviert. Die Funktion wird für allem für das Seeding bei der Cluster Continuous Replication eingesetzt. Auch manche Datensicherungslösungen von Drittherstellern verwenden diese Funktion. Nach der Installation sollten daher die Einstellungen überprüft werden. Diese Möglichkeit besteht unter Windows Server 2008 nicht mehr, da hier diese Funktion bereits vom Betriebssystem nicht mehr unterstützt wird. Soll die neue Methode Standby Continous Replication (SCR) des Service Packs verwendet werden, muss auf allen beteiligten Exchange Servern am Standort das gleiche Betriebssystem installiert werden. SCR unterstützt Windows Server 2003, Windows Server 2003 R2 und Windows Server 2003, aber keine Mischkonfiguration. Bei Servern mit der Unified-Messaging-Funktion müssen vor der Installation des Service Packs erst alle nachträglich installierten Sprachpakete entfernt werden. Nach dem Entfernen kann das Service Pack 1 installiert werden. Durch die Installation von SP1 wird für die Sprache des Exchange Servers automatisch das entsprechende Sprachpaket installiert, Wahlpläne müssen aber weiterhin manuell konfiguriert werden. Außerdem darf auf dem Server keine andere Funktion als Unified Messaging installiert werden. Wurden auf dem Server manuell die Konfigurationsdateien Globcfg.xml und UMRecyclerConfig.xml von Unified Messaging angepasst, werden diese
194
Exchange Server 2007 entfernen und anpassen
durch die Installation des Service Packs auf den Standard zurückgesetzt. Aus diesem Grund ist es empfehlenswert, die Daten vorher zu kopieren. Standardmäßig befinden sich die beiden Dateien im Verzeichnis C:\Programme\Microsoft\Exchange Server\bin. Generell ist es ohnehin empfehlenswert, vor der Installation des Service Packs eine komplette Sicherung des Servers durchzuführen. Der Parameter RecordingIdleTimeout legt die Anzahl der Sekunden fest, in denen beim Aufzeichnen einer Sprachnachricht geschwiegen werden darf, bevor das Telefonat durch den Server beendet wird. Der Standardwert für den Parameter beträgt fünf Sekunden. Ohne das SP1 kann der Wert zwischen zwei und 16 Sekunden manuell angepasst werden. Nach der Installation von SP1 beträgt der Wert für diesen Parameter zwei bis zehn Sekunden. Wurde dieser auf einen höheren Wert gesetzt, startet der Systemdienst für Unified Messaging nicht mehr. In diesem Fall muss der Schwellenwert auf unter zehn Sekunden gesetzt werden. Die Einstellung wird mit dem CMDLet Set-UMDialplan vorgenommen.
4.7
1 2 HALT
3
4 5
Exchange Server 2007 entfernen und anpassen
6
Unter manchen Umständen möchten Sie von einzelnen Servern Serverrollen wieder entfernen oder welche hinzufügen. Serverrollen können nur mit Benutzerkonten entfernt werden, die sich in der Exchange Organization Administrators-Gruppe befinden. Außerdem muss das Benutzerkonto Mitglied in der lokalen Administratorgruppe sein. Stellen Sie auf jeden Fall zunächst sicher, ob die Serverrolle, die Sie entfernen, entweder nicht mehr benötigt oder auf einem anderen Server zur Verfügung gestellt wird. Vor allem beim Entfernen von Mailbox-Servern sollten Sie darauf achten, die Postfächer und eventuell vorhandene öffentliche Ordner auf andere Server zu verschieben. Entfernen Sie auf einem Server die Mailbox-Rolle, müssen Sie die Datenbankdatei (*.edb) manuell löschen. Auch die Transaktionsprotokolldateien (*.log) müssen manuell gelöscht werden. Die Mailbox-Rolle lässt sich erst erneut installieren, wenn die *.edb-Dateien und *.log-Dateien einer vorherigen Installation entfernt wurden.
7 8 9 10 TIPP
11
4.7.1
Entfernen über die grafische Oberfläche
Um eine Rolle von einem Server zu entfernen, gehen Sie folgendermaßen vor:
12
1. Melden Sie sich an dem Server an, von dem Sie die Rolle entfernen wollen. 2. Gehen Sie in die Systemsteuerung, und klicken Sie auf Software. 3. Wählen Sie Microsoft Exchange Server 2007 aus, und klicken Sie auf Entfernen
4.
13
(siehe Abbildung 4.39). Klicken Sie auf Ändern, können Sie zusätzliche Serverrollen installieren, aber keine entfernen. Anschließend startet die Exchange-Installation im Wartungsmodus.
14 15
195
Installation und Anpassung
Abbildung 4.39: Anpassen der Exchange Server 2007-Installation
5. Klicken Sie im Startfenster des Wartungsmodus zunächst auf Weiter. Abbildung 4.40: Starten des ExchangeWartungsmodus
6. Auf dem nächsten Fenster werden alle installierten Serverrollen angezeigt und auch aktiviert. Entfernen Sie den Haken bei der Serverrolle, die vom Server entfernt werden soll (siehe Abbildung 4.41). Standardmäßig ist immer bei allen Serverrollen der Haken gesetzt, damit nicht versehentlich eine Serverrolle entfernt wird.
INFO
196
Entfernen Sie bei allen Serverrollen die Haken, wird Exchange Server 2007 komplett von diesem Server entfernt. In diesem Fall werden auch die dazugehörigen Active Directory-Objekte des Exchange Servers entfernt. Achten Sie darauf, dass Sie in diesem Fall mit einem Benutzerkonto arbeiten müssen, das sich in der Gruppe Organisations-Admins befindet.
Exchange Server 2007 entfernen und anpassen
Abbildung 4.41: Auswählen der zu entfernenden Serverrollen
1 2 3
4 5 6 7 7.
Haben Sie die Auswahl getroffen, wird auf der nächsten Seite des Assistenten überprüft, ob die Rolle gefahrlos vom Server entfernt werden kann. 8. Schließen Sie den Assistenten mit Deinstallieren ab, um die Rolle vom Server zu entfernen (siehe Abbildung 4.42).
8
Abbildung 4.42: Deinstallieren einer Serverrolle
9 10 11 12 13 14 15
197
Installation und Anpassung
4.7.2
Exchange oder Rollen über die Befehlszeile entfernen
Es besteht auch die Möglichkeit, Serverrollen über die Befehlszeilen zu entfernen. Dazu wird das Installationsprogramm setup.com verwendet. Gehen Sie dazu folgendermaßen vor:
1. 2. 3. 4.
INFO
Melden Sie sich am Server an, auf dem Sie die Rolle entfernen wollen. Navigieren Sie zum Verzeichnis mit den Exchange Server 2007-Installationsdateien, oder legen Sie die Installations-DVD ein. Starten Sie eine Befehlszeile, und wechseln Sie zum Verzeichnis der Installationsdateien. Geben Sie in der Befehlszeile den Befehl setup.com /mode:uninstall /role: ein. Sie können mehrere Rollen gleichzeitig entfernen, wenn Sie die Rollen durch Komma trennen. Die Rollen sind: ■
ClientAccess (oder CA oder C)
■
EdgeTransport (oder ET oder E)
■
HubTransport (oder HT oder H)
■
Mailbox (oder MB oder M)
■
UnifiedMessaging (oder UM oder U)
■
ManagementTools (oder MT oder T)
Geben Sie nur den Befehl setup.com /mode:uninstall ein, also keine speziellen Rollen, wird Exchange komplett vom Server entfernt. Datenbankdateien von Mailbox-Servern müssen allerdings auch bei diesem Vorgang manuell entfernt werden.
Abbildung 4.43: Entfernen einer Serverrolle in der Befehlszeile
HALT
198
Im Gegensatz zur grafischen Oberfläche erscheint beim Entfernen von Serverrollen über die Befehlszeile keine weitere Meldung. Die Deinstallation wird nach der Eingabe des Befehls sofort durchgeführt (siehe Abbildung 4.43).
Exchange Server 2007 entfernen und anpassen
4.7.3
Exchange-Installation anpassen
Sie können die Exchange-Installation auf einem Server in folgenden Bereichen anpassen: ■ ■ ■
1
Sie können Serverrollen hinzufügen. Sie können die aktiven Knoten im Cluster festlegen (siehe Kapitel 14). Sie können Serverrollen oder den kompletten Exchange Server entfernen.
2
Bevor Sie eine Exchange-Installation anpassen, sollten Sie einige Punkte sicherstellen: ■ ■
■
3
Damit der Nachrichtenfluss gewährleistet ist, sollten an jedem Active DirectoryStandort ein Mailbox-Server und ein Hub-Transport-Server installiert werden. Die Rollen Mailbox, Hub-Transport, Client-Access und Unified Messaging können ohne Weiteres auf einem Server oder auf getrennten Servern installiert werden. Passen Sie die Exchange-Installation an, sollten Sie möglichst immer mit Rechten der Gruppen Organisations-Admins der Gesamtstruktur und DomänenAdmins der entsprechenden Domäne arbeiten.
4 5
Gehen Sie zur Anpassung der Exchange-Installation folgendermaßen vor:
6
1. Melden Sie sich an dem Server an, von dem Sie die Rolle entfernen wollen. 2. Gehen Sie in die Systemsteuerung, und klicken Sie auf Software. 3. Wählen Sie Microsoft Exchange Server 2007 aus. Klicken Sie auf Ändern, können
7
4.
Sie zusätzliche Serverrollen installieren, aber keine entfernen. Im Anschluss startet die Exchange-Installation im Wartungsmodus.
8 Abbildung 4.44: Anpassen der Exchange Server 2007-Installation
9 10 11 12 13
5. Klicken Sie im Startfenster des Wartungsmodus zunächst auf Weiter. 6. Setzen Sie den Haken bei der Rolle, die Sie installieren wollen. Bei bereits instal7.
14
lierten Rollen ist der Haken schon gesetzt, er kann aber nicht entfernt werden. Klicken Sie im Anschluss auf die Schaltfläche Installieren, um die Rolle dem Server hinzuzufügen.
15
199
Installation und Anpassung
Abbildung 4.45: Zusätzliche Installation von Serverrollen
4.8
Überprüfen und Fehlerdiagnose der Exchange Server 2007-Installation
Bereits im Kapitel 3 bin ich darauf eingegangen, welche Systemdienste durch die Installation auf dem Server integriert werden. Im folgenden Abschnitt gehe ich etwas ausführlicher darauf ein, wie Sie sicherstellen können, ob die Installation von Exchange Server 2007 erfolgreich abgeschlossen worden ist. Sie sollten nach jeder Serverinstallation ausführlich testen, ob die Installation erfolgreich abgeschlossen ist, um die Stabilität des Systems sicherzustellen. Diese Überprüfung soll nur eine erste Diagnose darstellen, keinen umfassenden Prozess zur Fehlersuche. Bei komplexen Serverprodukten wie Exchange Server 2007 ist es für Administratoren wichtig zu wissen, an welchen Stellen sie auf die Schnelle nachprüfen können, ob der Server ordnungsgemäß installiert worden ist.
4.8.1
Verifizieren der Exchange Server-Installation
Vor allem durch das Überprüfen der Logdateien, der Systemdienste und der installierten Verzeichnisse lässt sich schnell sicherstellen, dass Exchange Server 2007 stabil funktioniert. Überprüfen der Exchange-Verwaltungskonsole Um die Installation zu verifizieren, starten Sie zunächst auf dem neuen Exchange Server die Exchange-Verwaltungskonsole. Überprüfen Sie, ob die Verknüpfung der Konsole und auch der Exchange-Verwaltungsshell angelegt worden ist.
200
Überprüfen und Fehlerdiagnose der Exchange Server 2007-Installation
Öffnet sich diese Konsole ohne Fehler, haben Sie den ersten Schritt der Diagnose hinter sich, da bereits an dieser Stelle Probleme auftreten könnten. Klicken Sie auf den Menüpunkt Serverkonfiguration, werden alle Exchange Server der Organisation angezeigt. Befindet sich hier der neue Exchange Server, wurde er immerhin schon in die Organisation integriert.
1 Abbildung 4.46: Überprüfen der installierten Exchange Server der Organisation
2 3
4 5 Überprüfen in der Exchange-Verwaltungsshell Im ersten Schritt sollten Sie sich in der Exchange-Verwaltungsshell die installierten Serverrollen auf dem Server anzeigen lassen. Starten Sie dazu die Shell, und geben Sie den Befehl get-exchangeserver ein. Im Anschluss werden Ihnen alle installierten Rollen und Exchange –Server der Organisation angezeigt (siehe Abbildung 4.47). Hier sollten möglichst keine Fehlermeldungen erscheinen.
6 7 8 Abbildung 4.47: Anzeigen der installierten Exchange Server und Rollen
9 10
Überprüfen der Systemdienste Der nächste Schritt besteht darin, dass Sie die Systemdienste überprüfen, die auf dem Server installiert worden sind (siehe Kapitel 3). Achten Sie vor allem darauf, dass die Dienste mit dem Starttyp Automatisch auch gestartet worden sind. Wurden alle installierten und auf automatisch gesetzten Dienste gestartet, ist das ein wichtiger Schritt bei der Diagnose.
11 12 13
Überprüfen der Ereignisanzeige Der nächste Schritt besteht darin, dass Sie in der Ereignisanzeige im Protokoll Anwendung überprüfen, ob die Exchange-Dienste irgendwelche Fehler protokollieren (siehe Abbildung 4.49). Nach der Installation sollten Sie das Ereignisprotokoll kontrollieren und dann löschen. Starten Sie den Server neu, und überprüfen Sie dann noch einmal die Ereignisanzeige. Nach dem Neustart sollten ebenfalls möglichst keine Einträge vorhanden sein. Falls Sie Einträge finden, beseitigen Sie die Fehler. Alle Einträge von Exchange Server 2007 werden ausschließlich im Anwendungsprotokoll aufgezeichnet.
14 15
201
Installation und Anpassung
Abbildung 4.48: Überprüfen der Ereignisanzeige nach der Installation
Überprüfen mit dem Exchange Best Practices Analyzer (ExBPA) Der ExBPA musste bei den Vorgängerversionen von Exchange Server 2007 noch gesondert heruntergeladen und installiert werden. Bei Exchange Server 2007 gehört er zum Lieferumfang (siehe Kapitel 16). Mit dem ExBPA können Sie Exchange Server auf Installations- und Konfigurationsfehler untersuchen. Microsoft hat dazu in dem ExBPA zahlreiche Regeln hinterlegt, welche die häufigsten Installationsfehler aufdecken. Diese Regeln können aus dem Internet bei Bedarf aktualisiert werden. Sie finden den ExBPA über den Menüpunkt Toolbox in der Exchange-Verwaltungskonsole. Die ausführliche Beschreibung des Tools finden Sie in Kapitel 16. Abbildung 4.49: Der Exchange Best Practices Analyzer in Exchange Server 2007
202
Überprüfen und Fehlerdiagnose der Exchange Server 2007-Installation
Im ersten Schritt müssen Sie einen Domänencontroller eingeben, mit dem sich der ExBPA verbinden kann, um notwendige Informationen Ihrer Exchange-Organisation aus dem Active Directory auszulesen. Starten Sie den ExBPA und sind Sie mit einem Benutzer angemeldet, der nicht über genügend Rechte in der Exchange-Organisation verfügt, können Sie in den erweiterten Anmeldeoptionen einen Benutzer eingeben, die der ExBPA zur Verbindungsaufnahme mit dem Active Directory und den Exchange Servern nutzt.
1 2
Wählen Sie die Option zur Überprüfung des Systems aus, und lassen Sie die Exchange Server scannen, unterbreitet Ihnen der Assistent Vorschläge zur Optimierung des Systems. Der Scanvorgang kann mehrere Minuten bis Stunden dauern, abhängig von der Anzahl der Exchange Server und deren Anbindung untereinander.
3 Abbildung 4.50: Anzeigen des Health Check-Berichts mit Hinweisen zur Optimierung
4 5 6 7 8 9 10 11
Beachten Sie, dass bei der Überprüfung einer Exchange-Organisation über mehrere WAN-Leitungen hinweg durchaus eine mehr oder weniger starke Belastung der Leitungen stattfindet und der Test auch mal eine Stunde oder länger dauern kann, da die Daten in einer langsamen WAN-Leitung erst übertragen sein wollen, bevor der ExBPA mit der Analyse fortfahren kann.
12 13
4.8.2
Fehlerbehebung während der Installation
Installieren Sie Exchange Server 2007 auf einem Server, auf dem bereits eine vorherige Installation von Exchange installiert war, kann es sein, dass die Installationsroutine mit einem Fehler abbricht, weil noch Dateien vorhanden sind, die nicht durch eine Deinstallation gelöscht wurden. Entfernen Sie diese Dateien manuell, und starten Sie die Installationsroutine neu.
14 15
Tritt während des Setups irgendeine Meldung auf, die auf ein Problem mit dem WMI-Dienst hinweist, überprüfen Sie in der Systemsteuerung in den Diensten, ob der Dienst Windows-Verwaltungsinstrumentationsdienst aktiviert und gestartet ist. 203
Installation und Anpassung
Überprüfen der Setup-Logdateien Die Installationsroutine von Exchange Server 2007 führt eine eigene Logdatei, in der alle Informationen der Installation gespeichert werden. Diese Datei trägt die Bezeichnung ExchangeSetup.log und wird im Verzeichnis C:\ExchangeSetupLogs abgelegt. Hier werden alle Informationen abgelegt, die während der Installation anfallen. Zusätzlich gibt es aus Kompatibilitätsgründen noch die Datei Exchange Server Setup Progress.log, die auch unter Exchange 2000/2003 verwendet wurde. Untersuchen Sie Probleme während der Installation von Exchange Server 2007, sollten Sie jedoch die Datei ExchangeSetup.log verwenden, da diese Datei mehr Informationen enthält, nach denen Sie auch im Internet suchen können, wenn Probleme auftreten. Treten Probleme während der Installation auf, haben Sie die größte Chance, in dieser Logdatei den Fehler zu finden. Geben Sie den entsprechenden Fehler in Google ein, finden Sie bereits ausführliche Hilfen zum Problem. Die Logdateien der Exchange Server 2007-Installation liegen im Textformat vor und können von jedem Texteditor gelesen werden. Normalerweise werden diese Protokolldateien nur im Fehlerfall benötigt. In der Datei ExchangeSetup.msilog werden die Informationen gespeichert, die der Windows Installer während der Extraktion der Exchange Server-Installationsdateien protokolliert.
4.9
Aufgaben nach der Installation
In vielen Umgebungen kann es passieren, dass das Herunterfahren eines Exchange 2007-Servers, vor allem wenn Exchange auf einem Domänencontroller installiert wurde, extrem lange dauert. Da viele Administratoren die Geduld verlieren, wird das eine oder andere Mal der Exchange Server einfach neu gestartet. Schalten Sie einen Exchange Server einfach aus, kann es durchaus vorkommen, dass die Datenbank zerstört wird (siehe Kapitel 6 und 11). Exchange 2007 ist zwar ein stabiles System, aber die ESE-Datenbank ist eine ESE-Datenbank, und die kann nun mal recht leicht kaputtgehen. Wer nachts schon Stunden mit eseutil verbracht hat, weiß, was ich meine (siehe Kapitel 6). Meine Empfehlung an dieser Stelle lautet daher, niemals einen Exchange Server einfach auszuschalten. Das langsame Herunterfahren kommt bei Servern mit Exchange und Domänencontroller-Funktonalität auf einem Server daher, dass die Active Directory-Dienste vor den Exchange-Diensten beendet werden. So kann Exchange beim Herunterfahren nicht mehr auf das Active Directory zugreifen und wartet bis zum Time-out (30 Minuten), bevor die Dienste vom Betriebssystem gekillt werden. Um diesen Fehler zu vermeiden, haben Sie zwei Möglichkeiten: ■
■
Entweder Sie beenden vor jedem Herunterfahren des Servers manuell die Dienste, oder Sie bauen sich eine Batchdatei. In dieser Batchdatei können Sie manuell die Dienste beenden lassen und dann mit dem Shutdown-Tool den Server herunterfahren. Alternativ können Sie folgenden Registry-Key abändern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WaitToKillServiceTimeout
Standardmäßig steht dieser Wert auf 60 000 (Millisekunden). Wollen Sie, dass die Exchange-Dienste vor dieser Zeit gekillt werden, können Sie den Wert auf eine beliebige Größe verringern. 204
Überlegungen und Aufgaben bei der Migration zu Exchange Server 2007
4.10
Überlegungen und Aufgaben bei der Migration zu Exchange Server 2007
Bei der Migration von Exchange 5.5 auf 2000/2003 konnten Sie sowohl ein InplaceUpdate als auch eine Migration auf einen neuen Server durchführen. Das ist bei Exchange Server 2007 nicht mehr möglich. Exchange Server 2007 sollte produktiv nur als 64-Bit-Version eingesetzt werden, während Exchange Server 2000/2003 32Bit-Programme sind. Eine direkte Aktualisierung ist aus diesem Grund technisch nicht möglich. Es ist kein Problem, einen Server mit Exchange Server 2007 in eine bestehende Exchange Server 2000/2003-Organisation zu integrieren und die Daten im Anschluss zu übernehmen. Allerdings besteht keine Möglichkeit, Exchange 5.5 in einer Exchange Server 2007-Organisation zu betreiben. Bei der Integration in eine solche Organisation sind nur die Bereiche zu beachten, die bei einer Neuinstallation eine Rolle spielen, einschließlich der Vorbereitungen für das Schema, die Gesamtstruktur und die Domänen im Netzwerk. Exchange Server 2007 kann die Connectoren von Exchange Server 2003 für den Mailversand verwenden. Vor allem Exchange Server 2003 und Exchange Server 2007 machen in einer Organisation keinerlei Probleme beim parallelen Betrieb. Postfächer können zwischen den Servern verschoben, das Adressbuch und die Connectoren können verwendet werden. In einer reinen Exchange 2007-Umgebung ohne Exchange 2003 können Sie allerdings nachträglich kein Exchange 2003 mehr nachinstallieren.
1
Für die Migration zu Exchange Server 2007 bleibt daher nur der Weg, einen neuen Server in der gleichen Organisation zusätzlich zu installieren und dann die Inhalte (Postfächer und öffentliche Ordner) zu verschieben sowie die Connectoren neu zu erstellen.
7
2 3
4 5 6
8
Bei der Aktualisierung ist zu beachten, dass ein Exchange 2003-Front-End-Server keinen Exchange 2007-Mailboxserver bedienen kann. Bauen Sie daher eine parallele Struktur auf, müssen Sie erst die Exchange-Front-End-Server zu Exchange Server 2007-Client-Access-Servern aktualisieren. Exchange 2007-Client-Acess-Server haben keine Probleme mit Exchange Server 2003-Postfachservern.
9 10
Bevor Sie den ersten Mailboxserver installieren, müssen Sie auf jeden Fall eine HubTransport-Rolle im gleichen Active Directory-Standort installieren. Danach können Sie sich bei Bedarf an Edge-Transport und Unified Messaging machen. Für Exchange Server 2000/2003 verhalten sich Server mit Exchange Server 2007 wie eine eigene Routinggruppe. Zum E-Mail-Verkehr zwischen Exchange Server 2003 und Exchange Server 2007 wird daher ein Routinggruppen-Connector eingerichtet. Alle Exchange Server 2007-Systeme werden in einer gemeinsamen Routinggruppe angeordnet, auch wenn sich diese in verschiedenen Standorten befinden. Außerdem wird für die Exchange Server 2007-Systeme eine eigene administrative Gruppe in der Exchange Server 2003-Organisation angelegt.
11 12
INFO
13 14 15
205
Installation und Anpassung
Abbildung 4.51: Zur Anbindung an eine ExchangeOrganisation muss ein Exchange Server 2003 ausgewählt werden.
Nachrichtenrouting beim gemeinsamen Einsatz von Exchange Server 2003 und Exchange Server 2007 Werden im Unternehmen mehrere Routinggruppen betrieben, muss die Link-StateFunktion von Exchange Server 2003 deaktiviert werden. In Exchange Server 2003 berechnen die Verbindungsinformationen den kompletten Weg der E-Mail über alle Connectoren voraus, um sicherzustellen, dass diese auch zugestellt wird. Die Verbindungsinformationen enthalten daher in jeder Routinggruppe die Informationen über jeden Connector der anderen Routinggruppen und deren Kosten. Exchange Server 2003 überprüft daher nicht nur, ob eine E-Mail zugestellt werden kann, sondern verwendet dabei auch die Connectoren mit den niedrigsten Kosten. In jeder Routinggruppe gibt es einen Routinggruppenmaster. Der Master verwaltet für die Routinggruppe die Verbindungsinformationen und gibt sie an die Routinggruppenmaster der anderen Routinggruppen weiter. Fällt der Routinggruppenmaster einer Routinggruppe aus, können aus dieser Routinggruppe keine E-Mails mehr zugestellt werden. Die Replikation der Verbindungsinformationen zwischen Exchange Servern derselben Routinggruppe wird über den TCP-Port 691 übertragen. Zwischen den Bridgeheadservern von Routinggruppen wird der SMTP-Port 25 verwendet. Die Übermittlung der Verbindungsinformationen erfolgt dabei mithilfe des SMTPBefehls X-Link2State. Wenn eine Verbindung ausfällt, das heißt, ein Connector in der Exchange-Organisation nicht mehr zur Verfügung steht, wird folgender Vorgang ausgelöst:
1. 2.
206
Der Bridgeheadserver einer Routinggruppe informiert seinen Routinggruppenmaster nach spätestens fünf Minuten über den Port 691 über den Ausfall. Der Routinggruppenmaster aktualisiert seine Verbindungstabelle und gibt seinerseits die Informationen an alle Exchange Server der Routinggruppe über den Port 691 weiter.
Überlegungen und Aufgaben bei der Migration zu Exchange Server 2007
3. Die Bridgeheadserver der Routinggruppe geben diese Informationen an alle
4.
Bridgeheadserver der anderen Routinggruppen weiter, mit denen sie verbunden sind. Die Informationen werden über den SMTP-Port 25 mit dem SMTP-Befehl X-Link2State weitergegeben. In der Remote-Routinggruppe laufen diese Vorgänge dann wieder von vorne ab. So ist sichergestellt, dass in möglichst kurzer Zeit alle Exchange Server der Organisation über den inaktiven Connector informiert sind.
1 2
Da Exchange Server 2007 die Replikation über die Active Directory-Standorte abwickelt und X-Link-State nicht mehr kennt, kann es zu E-Mail-Schleifen kommen. Aus diesem Grund sollte nach der Installation von Exchange Server 2007 in einer Exchange Server 2003-Organisation diese Funktion auf allen Exchange 2003-Servern deaktiviert werden. Dieser Vorgang erfolgt über die Registry. Wechseln Sie zum Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RESvc\Parameters. Erstellen Sie einen neuen DWORD-Eintrag mit dem Wert SuppressStateChanges. Geben Sie dem DWORD-Wert den Wert 1. Mehr zu dieser Funktion erfahren Sie auf der Seite http://technet.microsoft.com/en-us/library/aa998746(EXCHG.65).aspx. Starten Sie nach der Erstellung des Wertes am besten die Exchange Server einmal neu, damit die Änderungen übernommen werden.
3
4 5 6
Sollten in einer gemischten Exchange 2003/2007-Umgebung Probleme mit dem E-Mail-Fluss auftauchen, liegt es unter Umständen an den Berechtigungen des Empfangsconnectors auf dem Exchange 2007-Server. Die Eigenschaften des Connectors werden über den Menüpunkt Serverkonfiguration/Hub-Transport aufgerufen. Aktivieren Sie in den Eigenschaften des Connectors auf der Registerkarte Berechtigungsgruppen den Zugriff für Anonyme Benutzer.
TIPP
7 8
Zum Versenden von E-Mails werden Sendeconnectoren verwendet. Exchange Server 2003 kann die Sendeconnectoren von Exchange Server 2007 verwenden. Die Konfiguration dieser Connectoren wird in einem eigenen Kapitel besprochen. Wurde ein Sendeconnector unter Exchange Server 2007 erstellt, können die Connectoren unter Exchange Server 2003 gelöscht werden. Im Exchange System-Manager von Exchange Server 2003 werden die Connectoren von Exchange Server 2007 angezeigt, sollten aber nicht bearbeitet werden.
9 10 11
Nachdem alle Daten und Connectoren auf Exchange Server 2007 umgestellt wurden, sollten die Routinggruppen-Connectoren gelöscht werden. Das kann zum Beispiel mit dem Befehl get-routinggroupconnector | remove-routinggroupconnector erfolgen.
12
Öffentliche Ordner-Replikation zwischen Exchange Server 2003 und 2007 Die Replikation der öffentlichen Ordner auf die Exchange 2007-Server kann im Exchange System-Manager von Exchange Server 2003 eingestellt werden. Exchange Server 2007 wird dabei genauso behandelt wie jeder Exchange 2003-Server.
13 14
Postfächer verschieben Das Verschieben der Postfächer von den Exchange 2003-Servern zu Exchange Server 2007 sollte nicht im Exchange System-Manager von Exchange 2003, sondern in der Exchange-Verwaltungskonsole von Exchange Server 2007 durchgeführt werden. Auch dieser Vorgang wird in einem eigenen Kapitel besprochen. Nach dem Verschieben der Postfächer sollten auch die E-Mail-Adressenrichtlinien auf Korrektheit überprüft werden. Das Offline-Adressbuch verschieben Sie am besten mit dem
15
207
Installation und Anpassung
Befehl get-offlineaddressbook|move-offlineaddressbook-server <Exchange 2007-Server>. Überprüfen Sie jetzt auch die Adresslisten. Diese sollten jetzt von Exchange Server 2007 gesteuert und verwaltet werden. Die Eigenschaften werden in der Exchange-Verwaltungskonsole verwaltet.
208
Inhalt 1 2 3 4
5
Hub-Transport, Edge-Transport und Nachrichtenrouting
6 7 8
Haben Sie Exchange Server 2007 installiert und angepasst, bestehen die weiteren Aufgaben darin, den E-Mail-Fluss von Exchange Server 2007 zu konfigurieren. In diesem Kapitel gehe ich die notwendigen Konfigurations- und Verwaltungsaufgaben durch, die zum Transportieren von E-Mails gehören. Exchange Server 2007 nutzt für den Versand von E-Mails ins Internet sowie zwischen verschiedenen Active Directory-Standorten das SMTP-Protokoll. Dieser Nachrichtenfluss wird ausschließlich von den beiden Exchange Serverrollen Hub-Transport-Server und Edge-TransportServer verwendet, die beide in diesem Kapitel ausführlich behandelt werden. Für die Kommunikation zwischen Hub-Transport-Server und Mailboxserver wird MAPI verwendet.
9 10 11
Auch Exchange Server 2007 kann, wie seine Vorgänger, keine E-Mails per POP3 abholen, sondern unterstützt ausschließlich nur SMTP. Der Small Business Server hat zwar einen integrierten POP3-Connector, dieser ist aber nicht für Exchange verfügbar. Ein großer Nachteil des POP3-Connectors in Small Business Server 2003 R2 ist, dass der Connector nur einzelne Postfächer abrufen kann und die E-Mails direkt in ein Exchange-Postfach zustellen will. Viele Unternehmen haben jedoch für ihre Mitarbeiter keine einzelnen POP3-Postfächer, sondern ein Sammel-POP3-Postfach, in dem alle E-Mails des Unternehmens zugestellt werden. Ein POP3-Connector holt dann die E-Mails aus dem Postfach ab und stellt diese dem Exchange Server zu, der wiederum die E-Mails auf Basis der E-Mail-Adressen verteilt. Das Abholen von E-Mails per POP3 kann allerdings nur für sehr kleine Unternehmen empfohlen werden. Größere Unternehmen sollten auf SMTP setzen.
12 13 14 15
209
Index
5
Hub-Transport, Edge-Transport und Nachrichtenrouting
TIPP
Haben Sie viele Benutzer, empfehle ich Ihnen, das externe Programm POPBeamer von der Internetseite http://www.dataenter.co.at zu verwenden. Das Programm ist extrem günstig, sehr zuverlässig und kann Sammelpostfächer abholen. Ich habe den POPBeamer mittlerweile bei zahlreichen Unternehmen im Einsatz, die alle sehr zufrieden mit dem Produkt sind. Sie können sich das Programm von der besagten Seite herunterladen und 30 Tage ohne Funktionseinschränkung testen. Das Programm kann direkt online gekauft werden. Schalten Sie das Programm auf jeden Fall vor Ablauf der 30 Tage frei, da ansonsten E-Mails beim Zustellen gelöscht werden können. Die Einrichtung ist sehr einfach, das Programm kann als Systemdienst laufen und bietet gute Überwachungsmöglichkeiten.
5.1
Festlegen und Konfiguration der E-Mail-Domänen
Der erste Schritt bei der Konfiguration des E-Mail-Flusses besteht darin, dass Sie festlegen, welche E-Mail-Domänen die Exchange Server entgegennehmen und welche über die diversen Connectoren nach extern versendet werden. Bevor Sie irgendwelche Connectoren erstellen oder Empfängerrichtlinien konfigurieren, müssen Sie die SMTP-Namensräume festlegen, welche die Exchange Server Ihrer Organisation entgegennehmen. Diese Domänen werden akzeptierte Domänen genannt. Standardmäßig wird während der Installation als erste SMTP-Domäne der FQDN der Active Directory-Gesamtstruktur festgelegt. Diese wird als akzeptierte Domäne in den Empfängerrichtlinien eingetragen. Hierbei handelt es sich allerdings nur in Ausnahmefällen auch um die E-Mail-Domäne des Unternehmens, daher müssen Sie hier zunächst Anpassungen vornehmen. Für akzeptierte Domänen ist der Exchange Server teilweise autorisierend zuständig, das heißt, die E-Mails bleiben innerhalb der Exchange-Organisation. Alle anderen Domänen werden durch entsprechende SMTP-Connectoren nach extern verschickt. Es müssen aber nicht zwingend alle akzeptierten Domänen auch autorisierende Domänen sein. In diesem Fall wird die akzeptierte Domäne von den Exchange Servern angenommen, kann aber wieder nach extern geschickt werden, bleibt also nicht zwingend in der Exchange-Organisation. Sie müssen auf jeden Fall alle Domänen eintragen, welche die Exchange Server Ihrer Organisation annehmen und zustellen sollen, unabhängig davon, ob die Zustellung nach intern erfolgt oder wieder weiterverschickt wird (Relay).
INFO
Da Edge-Transport-Server keine Verbindung zur Gesamtstruktur und auch keine direkte Verbindung zu den anderen Exchange Servern haben, müssen Sie akzeptierte und autorisierende Domänen sowohl auf Exchange Server in der Organisation als auch auf den Edge-Transport-Servern konfigurieren. Es besteht allerdings die Möglichkeit, die akzeptierten Domänen auf Hub-Transport-Servern zu Edge-Transport-Servern zu synchronisieren. Diese Möglichkeiten werden im Abschnitt über Edge-Transport-Server ausführlich besprochen. Akzeptierte Domänen werden auf Exchange Servern mit der Hub-Transport-Rolle konfiguriert und verwaltet. Um die als Standard akzeptierte Domäne zu ändern, legen Sie am besten eine neue akzeptierte Domäne an und diese dann als neuen Standard über die Exchange-Verwaltungsshell fest.
210
Festlegen und Konfiguration der E-Mail-Domänen
Löschen Sie eine akzeptierte Domäne, die in den Empfängerrichtlinien von Exchange Server 2007 verwendet wird, verliert diese Richtlinie ihre Gültigkeit. E-Mails zu Adressen innerhalb dieser Domäne werden nicht mehr zugestellt.
5.1.1
1
Konfigurieren der akzeptierten Domänen
Um eine neue autorisierende Domäne für die Exchange-Organisation zu erstellen, gehen Sie folgendermaßen vor:
2
1. Starten Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zum Menüpunkt Organisationskonfiguration/Hub-Transport. 3. Klicken Sie auf die Registerkarte Akzeptierte Domänen. Hier sehen Sie die stan-
3
4.
dardmäßig akzeptierte Domäne, also nach der Installation der FQDN der Gesamtstruktur. Klicken Sie mit der rechten Maustaste in das Fenster, und wählen Sie Neue akzeptierte Domäne. Alternativ können Sie diese Aktion auch im Aktionsbereich der MMC starten (siehe Abbildung 5.1).
4
5 Abbildung 5.1: Erstellen einer neuen akzeptierten Domäne
6 7 8 9 10
5. Im Anschluss startet der Assistent zum Erstellen neuer akzeptierter Domänen 6.
(siehe Abbildung 5.2). Hier legen Sie zunächst die Bezeichnung der Domäne sowie die Domäne selbst fest. Wählen Sie aus, welchen Typ die neue akzeptierte Domäne haben soll. Hier können Sie zwischen drei verschiedenen Typen auswählen: ■ Autorisierende Domäne: E-Mails, die zu autorisierenden Domänen gesendet werden, müssen innerhalb der Organisation zugestellt werden können, das heißt, einem Active Directory-Benutzerkonto in der Gesamtstruktur muss diese E-Mail-Adresse zugeordnet werden, ansonsten ist die E-Mail nicht zustellbar. Sie können bei der akzeptierten Domäne auch mit Platzhaltern arbeiten, um auch Unterdomänen automatisch zu konfigurieren. Geben Sie zum Beispiel *.contoso.com ein, werden auch alle Unterdomänen von contoso.com als akzeptierte Domänen konfiguriert.
Wollen Sie einzelne E-Mail-Domänen in den Empfängerrichtlinien verwenden, um E-Mail-Adressen zuzuweisen, dürfen Sie nicht mit Platzhaltern arbeiten, sondern müssen die einzelnen untergeordneten Domänen manuell eintragen.
11 12 13 14 15 TIPP
211
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.2: Festlegen von neuen akzeptierten Domänen
■
INFO
Durch die gemeinsame Nutzung des Active Directory von Windows Server 2003 und Exchange Server 2007 definiert die Grenze der Active Directory-Gesamtstruktur (Forest) die Exchange Server 2007-Organisation. Es ist nicht möglich, dass eine Active Directory-Gesamtstruktur (Forest) mehrere unterschiedliche Exchange Server 2007Organisationen oder eine Exchange Server 2007-Organisation mehrere Gesamtstrukturen (Forests) umfasst. ■
212
Interne Relaydomäne: Auch bei dieser Auswahl bleibt die E-Mail innerhalb des Unternehmens und kann zwischen fest definierten Gesamtstrukturen versendet werden. Die E-Mail-Adresse muss nicht zwingend in der Gesamtstruktur des Exchange Servers vorhanden sein, sondern kann auch in einer anderen Gesamtstruktur festgelegt werden, die aber zu Ihrem Unternehmen gehört. In diesem Fall wird die E-Mail aus der Organisation per SMTP zu einem anderen E-Mail-Server versendet. So liegen die Adressen der Empfänger als Kontakte im globalen Adressbuch. Die Synchronisierung von Exchange-Daten zwischen verschiedenen Gesamtstrukturen kann zum Beispiel über den Microsoft Identity Integration Server (MIIS) erfolgen, der im letzten Abschnitt dieses Kapitels kurz besprochen wird.
Externe Relaydomäne: Bei dieser Auswahl wird die E-Mail angenommen und nach extern über einen Connector versendet. Über diese Domäne haben Sie ansonsten keinerlei Kontrolle, Ihr Server funktioniert in diesem Fall ausschließlich als Relay. Dieser Domänentyp wird nur in Ausnahmefällen eingesetzt, da in Unternehmen Relaying nach extern nicht erwünscht ist.
Festlegen und Konfiguration der E-Mail-Domänen
7.
Haben Sie Ihre Auswahl getroffen, können Sie die Erstellung der Domäne über die Schaltfläche Neu fertigstellen. Im Anschluss wird die Domäne als neue akzeptierte Domäne mit dem entsprechenden Typ in der Exchange-Verwaltungskonsole angezeigt (siehe Abbildung 5.3).
1 Abbildung 5.3: Anzeigen einer neuen akzeptierten Domäne
2 3 4
5 6 Sie können den Typ einer akzeptierten E-Mail-Domäne jederzeit ändern, wenn Sie diese in der Exchange-Verwaltungskonsole doppelklicken. Sie können alle akzeptierten E-Mail-Domänen mit (Entf) löschen außer der Standarddomäne. Die Standarddomäne ist automatisch die Domäne, die bei der Installation erstellt wurde. Wollen Sie diese ändern, legen Sie am besten eine neue autorisierende Domäne fest und machen diese zur Standarddomäne (siehe nächster Abschnitt). Danach können Sie die bei der Installation angelegte Standarddomäne löschen.
7 8
Erstellen und konfigurieren von neuen akzeptierten Domänen in der Exchange-Verwaltungsshell Um eine neue akzeptierte Domäne zu erstellen, verwenden Sie den Befehl NewAcceptedDomain aus der Exchange-Verwaltungsshell. Um zum Beispiel die Domäne contoso.fr als Contoso Frankreich anzulegen, allerdings nicht als Standarddomäne, geben Sie den Befehl New-AcceptedDomain -Name Contoso Frankreich -DomainName contoso.fr -DomainType Authoritative ein (siehe Abbildung 5.4). Sie können die neu erstellte Domäne in der Exchange-Verwaltungskonsole anzeigen, wenn Sie (F5) drücken, um die Ansicht zu aktualisieren.
9 10 11
Abbildung 5.4: Anlegen einer neuen akzeptierten Domäne in der Exchange-Verwaltungsshell
12 13 14 15
213
Hub-Transport, Edge-Transport und Nachrichtenrouting
Alternativ können Sie als DomainTyp noch die Werte InternalRelay und ExternalRelay verwenden. Auch hier können Sie mit * als Platzhalter arbeiten, um auch untergeordnete Domänen einzuschließen. Festlegen der Standarddomäne mit Set-AcceptedDomain Den Typ einer akzeptierten E-Mail-Domäne passen Sie mit dem Befehl Set-AcceptedDomain an. Mit diesem Befehl können Sie auch die Standarddomäne ändern. Wollen Sie zum Beispiel die akzeptierte Domäne Contoso Frankreich zur Standarddomäne machen, geben Sie den Befehl Set-AcceptedDomain -Identity Contoso Frankreich -DomainType Authoritative -MakeDefault $true ein (siehe Abbildung 5.5). Abbildung 5.5: Ändern der Standarddomäne in der ExchangeVerwaltungsshell
Ändern Sie die Standarddomäne, erhalten Sie von der Exchange-Verwaltungsshell keine Rückmeldung.
5.1.2
Verwalten von Remotedomänen
Neben den akzeptierten Domänen können Sie in der Exchange-Verwaltungskonsole unter Organisationskonfiguration/Hub-Transport auf der Registerkarte Remotedomäne auch Einstellungen für Remotedomänen festlegen. Während akzeptierte Domänen festlegen, welche E-Mails die Exchange Server in der Organisation annehmen, legen die Remotedomänen fest, welche Nachrichten von intern nach extern gesendet werden können. Sie können für unterschiedliche Domänen verschiedene Einstellungen vornehmen. Standardmäßig wird während der Installation bereits die Remotedomäne * angelegt (siehe Abbildung 5.6). Durch diese Einstellung werden alle abgesendeten E-Mails mit den hier verwendeten Einstellungen verschickt. Abbildung 5.6: Verwalten von Remotedomänen in der ExchangeVerwaltungskonsole
Klicken Sie diese Domäne mit der rechten Maustaste an, können Sie die Eigenschaften aufrufen (siehe Abbildung 5.7). Hier stehen Ihnen zur organisationsweiten Konfiguration zwei Registerkarten zur Verfügung. Alle Einstellungen, die Sie auf diesen Registerkarten vornehmen, gelten für alle Exchange Server in Ihrer Organisation.
214
Festlegen und Konfiguration der E-Mail-Domänen
Auf der Registerkarte Allgemein legen Sie fest, wie mit Abwesenheitsassistenten und -E-Mails verfahren werden soll (siehe Abbildung 5.7). Abbildung 5.7: Allgemeine Einstellungen für Abwesenheitsnachrichten
1 2 3 4
5 6 7 8 Die Einstellungen, die Sie hier vornehmen, gelten für alle externen E-Mails und alle externen Domänen. Sie können natürlich für andere Domänen eigene Remotedomänen erstellen und entsprechende Einstellungen vornehmen. Zur Steuerung von Abwesenheitsnachrichten stehen Ihnen folgende Optionen zur Verfügung: ■
■
■
■
9
Nichts zulassen: Aktivieren Sie diese Option, werden keinerlei Abwesenheitsnachrichten von Ihren Empfängern zu dieser Domäne geschickt, auch wenn die Empfänger in Ihrer Organisation diese Option aktiviert haben. Die Einstellungen für die Exchange-Organisation überschreiben immer alle anderen Einstellungen. Nur externe Abwesenheit zulassen: Diese Einstellung ist standardmäßig gesetzt. Aktivieren Sie diese Einstellung, werden die Abwesenheitsnachrichten an diese Domäne geschickt, die in Outlook 2007 als extern definiert wurde (siehe Abbildung 5.8). Diese Funktion unterstützt nur Outlook 2007-Clients auf einem Exchange Server 2007. Exchange Server 2003 und die Vorgänger von Outlook 2007 einschließlich Outlook 2003 kennen nur eine Art von Abwesenheitsnachrichten. Aktivieren Sie daher diese Option, werden keine Abwesenheitsnachrichten von Outlook 2000/XP/2003-Clients nach extern versendet. Externe Abwesenheit und Festlegen der Abwesenheit über Outlook 2003…: Diese Option hat für Outlook 2007-Clients die gleiche Auswirkung wie die Funktion Nur externe Abwesenheit zulassen. Zusätzlich werden Abwesenheitsnachrichten von Outlook-Clients vor Outlook 2007 ebenfalls durchgelassen. Interne Abwesenheit und festlegen…: Bei dieser Option werden schließlich alle Arten der Abwesenheitsnachrichten nach extern zugelassen.
10 11 12 13 14 15
215
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.8: Erstellen von Abwesenheitsnachrichten in Outlook 2007
Auf der Registerkarte Nachrichtenformat können Sie weitere Einstellungen vornehmen, die automatisch generierte E-Mails und den allgemeinen E-Mail-Fluss in Ihrer Organisation betreffen (siehe Abbildung 5.9). Abbildung 5.9: Registerkarte Nachrichtenformat in den Eigenschaften einer Remotedomäne
Alle Einstellungen, die Sie hier vornehmen, betreffen E-Mails, die zu dieser Domäne gesendet werden, nicht von dieser kommen. Über diese Registerkarte können Sie zum Beispiel generell E-Mails blocken lassen, die durch Regeln oder automatische Weiterleitungen erstellt wurden und an die besagte Domäne geschickt werden sol216
Allgemeine Informationen zum E-Mail-Routing in Exchange Server 2007
len. Hier können Sie auch generell die Übermittlungsberichte ausschalten, die zu Remote-Empfängern gesendet werden. Auch automatische Zeilenumbrüche können Sie hier einfügen, wenn zum Beispiel ein bestimmter Kunde E-Mails mit bestimmtem Format erwartet.
1
Setzen Sie die Option TNEF senden, wenn die Empfänger in der Remotedomäne keine RTF-Nachrichten (Rich Text Format) lesen können. Exchange Server 2007 unterstützt MAPI-kompatible Clients und RTF-Formate. Hier können Sie einstellen, ob das Remote-System ebenfalls diese Funktionen unterstützt.
2
Normalerweise werden eher selten zusätzliche Remotedomänen erstellt, sondern meistens wird nur mit dem Platzhalter * für alle Internetdomänen gearbeitet, die nach extern gesendet werden sollen.
5.2
3 4
Allgemeine Informationen zum E-MailRouting in Exchange Server 2007
5
Unter Exchange Server 2007 wurde die Routingtopologie komplett überarbeitet. Es gibt weder administrative Gruppen noch Routinggruppen, sondern das komplette Routing wird über die Active Directory-Standorte durchgeführt. Allerdings ist Exchange Server 2007 weiterhin kompatibel zu den Routinggruppen der Vorgängerversionen Exchange 2000/2003. Nur wenn Exchange Server 2007 in eine Exchange Server 2000/2003-Organisation installiert wird, werden Routinggruppen-Connectoren zwischen den Exchange Server 2003-Systemen und Exchange Server 2007 eingerichtet.
6 7 8
E-Mails werden jetzt auf Basis der Replikationsverbindungen zwischen Active Directory-Standorten zugestellt, dazu werden bei der Installation von Exchange Server 2007 automatisch Connectoren erstellt, welche die verschiedenen Active DirectoryStandorte miteinander verbinden. Exchange-Admins können sich zukünftig daher das Anlegen von Routinggruppen oder Routinggruppen-Connectoren sparen. Bei nur zwei Standorten, an denen jeweils ein Exchange Server steht, müssen daher keine weiteren Aktionen durchgeführt werden, außer der Definition von Standorten im Active Directory (siehe Kapitel 3). Exchange Server 2007 versucht zuerst, eine E-Mail immer direkt zu einem Standort zu übermitteln. Sofern das möglich ist, werden andere Standorte nicht in das Routingkonzept einbezogen.
9 10 11
Haben Sie zum Beispiel drei Active Directory-Standorte A, B und C, und ein Anwender, dessen Postfach auf einem Exchange Server in A steht, sendet einem Anwender in C eine E-Mail, versucht Exchange Server 2007, die E-Mail direkt an Standort C zu übermitteln, ohne den Weg über B zu gehen. Sind in der E-Mail aber auch Empfänger eingetragen, deren Postfach auf einem Server am Standort B liegen, wird die Mail an Standort B und dann zu C übertragen.
12 13
Fällt eine Leitung zu einem Standort aus, überträgt Exchange die E-Mail bis zum nächsten Exchange Server, der dem Standort am nächsten liegt. Auf diesem Server wird die E-Mail gespeichert, bis die Leitung zum Empfangsserver wieder zur Verfügung steht. Unter Exchange Server 2003 wurde der komplette Weg der E-Mail berechnet und diese bei Ausfall einer Teilstrecke auf dem Quellserver belassen. Exchange Server 2007 stellt die E-Mail auch auf Teilstrecken zu, da bei der Wiederherstellung der kompletten Strecke dadurch die Wahrscheinlichkeit steigt, dass die E-Mail vollends zugestellt wird.
14 15
217
Hub-Transport, Edge-Transport und Nachrichtenrouting
Natürlich unterstützt Exchange Server 2007, wie auch das Active Directory, Redundanzen. Die E-Mail wird auf dem günstigsten Weg zugestellt, der als Connector zur Verfügung steht. Beim Ausfall einer Strecke versucht Exchange automatisch die Zustellung über einen alternativen Weg.
INFO
In Exchange Server 2007 empfiehlt Microsoft ausdrücklich nicht mehr, dass ein FrontEnd-Server, jetzt Client-Access-Server genannt, in der DMZ betrieben wird. Optimal ist es, wenn diese Server im internen Netzwerk betrieben und über einen ISA-Server im Internet zur Verfügung gestellt werden. Die Authentifizierung wird so am ISA-Server durchgeführt und kann die Verbindung zu den internen Servern herstellen. Dazu kann der ISA-Server problemlos hinter einer Firewall positioniert werden. Ausnahme bilden Edge-Transport-Server, die für den Einsatz in einer DMZ optimiert sind.
5.3
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
Alle E-Mails, auch interne Mails zwischen verschiedenen Mailboxservern, werden immer über einen Hub-Transport-Server geleitet. Das hat den Vorteil, dass hinterlegte Transportregeln auf den Hub-Transport-Servern immer auf alle E-Mails angewendet werden. Außerdem muss an jedem Active Directory-Standort, an dem ein Mailboxserver betrieben wird, auch ein Hub-Transport-Server installiert sein. Haben Sie die akzeptierten und autorisierten E-Mail-Domänen festgelegt, können Sie Connectoren erstellen, um den Nachrichtenfluss Ihrer Exchange-Organisation zu steuern. Die Basis der Connectoren sind allerdings zunächst die akzeptierten Domänen und deren Domänentyp, der aus diesem Grund zunächst angelegt werden muss. Unter Exchange Server 2007 gibt es hauptsächlich Sende- und Empfangsconnectoren. Diese müssen auf den verschiedenen Hub-Transport-Servern konfiguriert werden, damit der Nachrichtenfluss funktioniert.
INFO
Sie müssen keinerlei Connectoren erstellen oder konfigurieren, um den Nachrichtenfluss zwischen Hub-Transport-Servern innerhalb des Unternehmens zu steuern. Während der Installation von Exchange Server 2007 werden automatisch Connectoren erstellt, die den Transport zwischen Hub-Transport-Servern steuern. Diese Connectoren basieren auf den Standorten des Active Directory (siehe Kapitel 3).
5.3.1
Sendeconnectoren
Sendeconnectoren werden in der Exchange-Verwaltungskonsole über den Menüpunkt Organisationskonfiguration/Hub-Transport auf der Registerkarte Sendeconnectors erstellt und verwaltet. Sie können mit der rechten Maustaste ins Fenster klicken und aus dem Menü die Option Neuer Sendeconnector auswählen (siehe Abbildung 5.10). Alternativ können Sie auch den entsprechenden Befehl aus dem Aktionsbereich der MMC auswählen.
218
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
Abbildung 5.10: Erstellen eines neuen Sendeconnectors in der ExchangeVerwaltungskonsole
1 2 3 4
Sendeconnectoren werden im Active Directory als Konfigurationsobjekt abgespeichert. Erhält ein Hub-Transport-Server eine E-Mail, überprüft er im Active Directory, welcher Sendeconnector für die E-Mail-Domäne zuständig ist, und sendet die E-Mail entsprechend zu. Dazu werden im Connector die Hub-Transport-Server angegeben, welche die E-Mails zustellen können. Sind für einen Sendeconnector mehrere Server zuständig, verteilt der Connector die E-Mails lastabhängig.
5 6
Durch diese Konfiguration erhalten Sie eine Ausfallsicherheit, da die E-Mail erst zugestellt wird, wenn der empfangende Hub-Transport-Server auch zur Verfügung steht. Diese Ausfallsicherheit gilt aber nur für die Server, die für einen einzelnen Connector konfiguriert sind. Legen Sie mehrere Connectoren für den gleichen Adressraum an, wird diese Lastverteilung außer Funktion gesetzt. Sendeconnectoren stellen logische Gateways dar, um den Nachrichtenfluss innerhalb und nach/von außerhalb der Organisation zu steuern.
7 8 9
Erstellen von neuen Sendeconnectoren Standardmäßig werden bei der Installation keine Sendeconnectoren erstellt. Wenn Sie beabsichtigen, Edge-Transport-Server einzusetzen, können Sie die Funktion Edge-Abonnement verwenden (siehe Abschnitt über Edge-Transport-Server). Verbinden Sie Edge-Transport-Server mit der Exchange-Organisation, müssen Sie keine Sendeconnectoren erstellen, diese werden im Rahmen der Einrichtung des EdgeAbonnements automatisch erstellt.
10 11
Setzen Sie keine Edge-Transport-Server ein, müssen Sie Sendeconnectoren manuell erstellen und konfigurieren. Sie benötigen im Unternehmen mindestens einen Sendeconnector, auf dem hinterlegt ist, welche E-Mail-Domänen über welche HubTransport- bzw. Edge-Transport-Server ins Internet versendet werden. Sie müssen keine Sendeconnectoren zwischen den Hub-Transport-Servern Ihrer Organisation untereinander erstellen oder zwischen den Hub-Transport-Servern und den Edge-Transport-Servern, da diese automatisch erstellt und eingerichtet werden.
12 13 14
INFO
Haben Sie, wie beschrieben, den Assistenten zur Erstellung eines neuen Sendeconnectors aufgerufen, legen Sie auf der ersten Seite zunächst einen Namen fest (siehe Abbildung 5.11).
15
219
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.11: Erstellen eines neuen Sendeconnectors
Hier legen Sie auch die Verwendung des Connectors fest. Durch die Auswahl des Verwendungstyps legen Sie die Authentifizierung für den Connector fest. Sie müssen allerdings nicht zwingend einen Verwendungstyp auswählen, sondern können die Auswahl auch auf Benutzerdefiniert belassen. ■
■
Intern: Erstellen Sie einen Sendeconnector für den internen Versand Ihrer Organisation oder einen Sendeconnector zwischen verschiedenen Gesamtstrukturen innerhalb Ihres Unternehmens, wählen Sie als Verwendungstyp Intern aus. Legacy: Diesen Verwendungstyp wählen Sie aus, wenn Sie einen Sendeconnector zu Exchange 2000/2003-Servern außerhalb Ihrer Organisation, aber innerhalb Ihres Unternehmens erstellen wollen.
Auf der nächsten Seite des Assistenten legen Sie den Adressraum fest, der über diesen Connector versendet werden soll (siehe Abbildung 5.12). Wollen Sie alle E-MailDomänen über diesen Connector versenden, wählen Sie als Domäne den Platzhalter * aus. Alternativ können Sie auch einen eigenen Connector für einzelne E-MailDomänen erstellen. Exchange verwendet möglichst immer den Connector mit der hinterlegten E-MailDomäne zum Versenden und erst dann Connectoren mit dem Platzhalter. Auf der nächsten Seite legen Sie fest, wohin die E-Mails gesendet werden sollen, die über diesen Connector verschickt werden. Sie können an dieser Stelle entweder eine IP-Adresse, einen FQDN oder die Auflösung über MX-Einträge verwenden (siehe Abbildung 5.13).
220
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
Abbildung 5.12: Festlegen des Adressraums eines Sendeconnectors
1 2 3 4
5 6 7 Abbildung 5.13: Festlegen des Smarthosts für das Versenden der E-Mails über einen Connector
8 9 10 11 12 13 14 15
Wählen Sie die direkte Zustellung, müssen Sie zuvor sicherstellen, dass Ihr Exchange Server Internetadressen mit DNS auflösen kann (siehe Kapitel 15). Sie müssen dazu Ihre internen DNS-Server so konfigurieren, dass Internetadressen auf221
Hub-Transport, Edge-Transport und Nachrichtenrouting
gelöst werden können. Die direkte Zustellung bietet sich eigentlich nur für größere Firmen an. Das Problem ist, dass viele E-Mail-Server im Internet nicht von allen Servern E-Mails annehmen, sondern nur von großen und bekannten Providern. Haben Sie keine statische IP-Adresse im Internet, sondern arbeiten Sie mit einer dynamischen, werden Sie mit vielen E-Mail-Servern Schwierigkeiten haben. Wählen Sie zur Sicherheit die Zustellung zu Ihrem Provider aus. Dieser sendet die E-Mails weiter. Die notwendigen Daten erhalten Sie von Ihrem Provider. Auf der nächsten Seite des Assistenten geben Sie die Authentifizierung ein, mit der sich der Connector beim empfangenden Server authentifizieren soll. Auch hierzu erhalten Sie die entsprechenden Daten normalerweise von Ihrem Provider. Versenden Sie E-Mails ins Internet, wird normalerweise die Standardauthentifizierung verwendet, bei der allerdings Benutzernamen und Kennwort in Klartext über das Netzwerk versendet werden. Abbildung 5.14: Konfiguration der Authentifizierung
Unterstützt der empfangende E-Mail-Server TLS, können Sie die Option Standardauthentifizierung über TLS aktivieren. In diesem Fall wird die Authentifizierung verschlüsselt. Allerdings unterstützen nicht alle E-Mail-Server standardmäßig TLS. Bei der TLS-Verschlüsselung handelt es sich um eine besondere Art der SSL-Verbindung. Diese ist die sicherste Form der Übertragung. Es muss allerdings gewährleistet sein, dass der Empfänger diese Option unterstützt. Beachten Sie auch, dass diese Verschlüsselung zusätzlich Performance kostet. Im Gegensatz zur normalen Übertragung ist es bei TLS nicht mehr möglich, den Datenverkehr zwischen zwei SMTPServern abzuhören. Benötigt der empfangende E-Mail-Server keine Authentifizierung, können Sie die Einstellung auf Keiner belassen. Zusätzlich haben Sie an dieser Stelle noch zwei weitere Möglichkeiten zur Authentifizierung:
222
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
■ ■
Exchange Server-Authentifizierung: Bei dieser Art der Authentifizierung wird eine Exchange-interne Authentifizierung wie TLS oder Kerberos verwendet. Extern gesichert: Bei dieser Einstellung, können Sie zum Beispiel IPSec oder ein VPN für die Verbindung verwenden. Bevor der Connector nach einem Verbindungsaufbau E-Mails zu senden versucht, wird auf die Authentifizierung gewartet. Diese wird allerdings nicht durch den Exchange Server gesteuert.
1 2
Auf der nächsten Seite legen Sie die Hub-Transport-Server in der Organisation fest, über welche E-Mails versendet werden, die diesen Connector verwenden (siehe Abbildung 5.15). Abbildung 5.15: Auswählen der Quellserver
3 4
5 6 7 8 9 10 11
Wählen Sie an dieser Stelle mehrere Server aus, verteilt der Connector das Versenden der E-Mails auf Basis der Last der Server. Ist ein Server nicht verfügbar, verwendet der Connector einen anderen hinterlegten Quellserver. Unter Exchange Server 2003 wurde diese Art von Servern noch Bridgeheadserver genannt.
12
Im Anschluss erhalten Sie eine Zusammenfassung und können über die Schaltfläche Neu den Connector erstellen lassen.
13
Als Nächstes können Sie die Erstellung mit Fertig stellen abschließen. Im Fenster wird der entsprechende Befehl zur Erstellung des Connectors über die ExchangeVerwaltungsshell angezeigt (siehe Abbildung 5.16).
14 15
223
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.16: Fertigstellung eines neuen Sendeconnectors
Der Connector wird im Anschluss in der Exchange-Verwaltungskonsole angezeigt. Klicken Sie diesen doppelt oder rufen Sie dessen Eigenschaften mit der rechten Maustaste auf, können Sie alle konfigurierten Einstellungen nachträglich anpassen (siehe Abbildung 5.17). Abbildung 5.17: Anzeigen und Verwalten von Sendeconnectoren
INFO
224
Microsoft empfiehlt, das Versenden von E-Mails über das Internet nicht direkt über Hub-Transport-Server durchzuführen, sondern am besten Edge-Transport-Server zu verwenden. Unternehmen, die nur einen oder zwei Exchange Server einsetzen, können E-Mails aber auch direkt über einen Hub-Transport-Server ins Internet versenden. Legen Sie dazu einfach einen Sendeconnector an, der den entsprechenden Hub-Transport-Server als Quellserver verwendet.
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
5.3.2
Empfangsconnectoren
Diese Connectoren werden nicht auf Organisationsebene erstellt, sondern direkt für einzelne Exchange Server auf Serverebene. Diese Connectoren bilden auf Exchange Servern den SMTP-Endpunkt, zu dem andere Server Verbindung aufbauen. Ohne einen Empfangsconnector kann ein Exchange 2007-Transport-Server (Hub-Transport oder Edge-Transport) keinerlei E-Mails empfangen.
1 2
Sie finden die Konfiguration von Empfangsconnectoren in der Exchange-Verwaltungskonsole über Serverkonfiguration/Hub-Transport. Die angelegten Empfangsconnectoren werden im Ergebnisfenster der Konsole im unteren Bereich angezeigt. Klicken Sie mit der rechten Maustaste in den Bereich, können Sie über den Menüpunkt Neuer Empfangsconnector einen neuen Connector erstellen. Alternativ können Sie diesen Befehl auch über den Aktionsbereich starten (siehe Abbildung 5.18).
3 4 Abbildung 5.18: Erstellen und Verwalten von Empfangsconnectoren
5 6 7 8 9
Wie Sie in Abbildung 5.18 sehen können, werden bereits nach der Installation zwei standardmäßige Empfangsconnectoren für jeden Exchange Server angelegt, allerdings keine Sendeconnectoren. Für beide Standardconnectoren ist keine Konfiguration erforderlich, da beide bereits korrekt eingestellt sind: ■
■
10
Client <Servername>: Dieser Connector dient dem Verbindungsaufbau von Nicht-MAPI-Clients, zum Beispiel der Verbindung über POP3 oder IMAP4. Der Connector nimmt über jede Netzwerkverbindung von allen IP-Adressen entsprechende Anfragen entgegen. Er antwortet auf den Port 587 auf die Anfrage von Nicht-MAPI-Clients. Default <Servername>: Dieser Connector nimmt Nachrichten von anderen Hub-Transport- oder Edge-Transport-Servern der Organisation auf Port 25 entgegen. Er akzeptiert ebenfalls Verbindungen von allen IP-Adressen.
Empfangsconnectoren werden im Active Directory als untergeordnetes Objekt für die einzelnen Server gespeichert, während Sendeconnectoren als Konfigurationsobjekt übergeordnet zu allen Exchange Servern gespeichert werden. Auf Edge-TransportServern werden Empfangsconnectoren im Active Directory Application Mode (ADAM) gespeichert. Sie können sich die Daten der Connectoren mit ADSI-Edit anzeigen lassen.
11 12 13 14
INFO
15
Starten Sie den Assistenten für die Erstellung eines neuen Empfangsconnectors, haben Sie ähnliche Auswahlmöglichkeiten wie bei der Erstellung eines Sendeconnectors. 225
Hub-Transport, Edge-Transport und Nachrichtenrouting
Empfangsconnectoren müssen allerdings sehr selten erstellt werden, da sie bereits automatisch während der Installation konfiguriert werden. Wenn Sie, wie beschrieben, den Assistenten starten, müssen Sie auf der ersten Seite zunächst den Namen und den Verwendungszweck festlegen (siehe Abbildung 5.19). Abbildung 5.19: Erstellen eines neuen Empfangsconnectors
Beim Verwendungszweck können Sie zwischen vier Punkten auswählen, die hauptsächlich für die Konfiguration der Authentifizierung benötigt werden: ■
■
■
■
Benutzerdefiniert: Es ist nicht zwingend notwendig, die Authentifizierung bereits bei der Erstellung festzulegen, wenn Sie einen neuen Connector für bestimmte Szenarien erstellen. In diesem Fall können Sie die Option Benutzerdefiniert verwenden. Internet: Wählen Sie diese Option aus, kann der Connector Nachrichten aus dem Internet empfangen. Dazu wird die Authentifizierung deaktiviert, sodass der Exchange Server auch anonyme Verbindungen entgegennimmt. Intern: Erstellen Sie einen Empfangsconnector für den internen Versand Ihrer Organisation oder einen Empfangsconnector zwischen verschiedenen Gesamtstrukturen innerhalb Ihres Unternehmens, wählen Sie als Verwendungstyp Intern aus. Legacy: Diesen Verwendungstyp wählen Sie aus, wenn Sie einen Empfangsconnector zu Exchange 2000/2003-Servern außerhalb Ihrer Organisation, aber innerhalb Ihres Unternehmens erstellen wollen.
Auf der nächsten Seite geben Sie die IP-Adressen des Servers an, bei denen er auf eine Verbindung warten soll. Standardmäßig hört der Connector auf Port 25 alle verbundenen IP-Adressen (siehe Abbildung 5.20).
226
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
Abbildung 5.20: Festlegen des IPAdressbereichs eines Connectors
1 2 3 4
5 6 7 Jeder Empfangsconnector benötigt eine eigene IP-Adresse, auf die er hören kann. Standardmäßig hören die bereits angelegten Empfangsconnectoren auf alle verfügbaren IP-Adressen des Servers. Legen Sie einen neuen Connector an, sollten Sie daher auch bei den bereits vorhandenen Connectoren einstellen, dass diese auf fest definierte IP-Adressen hören, nicht auf alle.
8
INFO
9 Abbildung 5.21: Fertigstellung eines Empfangsconnectors
10 11 12 13 14 15
227
Hub-Transport, Edge-Transport und Nachrichtenrouting
Im Anschluss erhalten Sie eine Zusammenfassung und können über die Schaltfläche Neu den Connector erstellen lassen. Danach können Sie die Erstellung mit Fertig stellen abschließen. Im Fenster wird der entsprechende Befehl zur Erstellung des Connectors über die Exchange-Verwaltungsshell angezeigt (siehe Abbildung 5.21).
5.3.3
Direkte Verbindung von Hub-Transport-Servern mit dem Internet
Auch wenn es Microsoft nicht empfiehlt, ist es für manche Unternehmen sicherlich sinnvoll, einen Hub-Transport-Server direkt mit dem Internet zu verbinden. In diesem Fall muss ein Sendeconnector erstellt werden, der direkt eine Verbindung zum Internet aufbauen kann. Gehen Sie bei der Erstellung eines Sendeconnectors für die Internetanbindung eines Hub-Transport-Servers genauso vor wie beschrieben. Geben Sie als Adressraum den Platzhalter * ein, damit dieser Connector alle E-Mails ins Internet versenden kann, für die es noch keinen anderen Connector gibt. Schließen Sie die Erstellung des Connectors ab. Verwenden Sie als Bezeichnung für diesen Connector am besten einen Namen, der darauf schließen lässt, dass dieser Sendeconnector für das Senden von E-Mails ins Internet zuständig ist. Damit ein Hub-Transport-Server über das Internet erreichbar ist (wenn Sie keinen ISA-Server oder ein anderes SMTP-Gateway verwenden, siehe Kapitel 15), sollten Sie einen neuen Empfangsconnector erstellen und diesem als Verwendungstyp Internet zuweisen (siehe Abschnitt über das Anpassen der Berechtigungen für Connectoren mit ADSI-Edit). Achten Sie darauf, diesem Connector eine eindeutige IP-Adresse zuzuweisen. Auch bei den bereits angelegten Connectoren sollten Sie den IP-Bereich anpassen, damit keine Überschneidungen entstehen. Abbildung 5.22: Anpassen von Empfangsconnectoren auf eine festgelegte IP-Adresse
Erstellen Sie einen Empfangsconnector mit dem Verwendungstyp Internet, lässt dieser auch anonyme Verbindungen zu. Aus diesem Grund sollten Sie möglichst die Verbindung von Internet und internen E-Mails voneinander trennen. Am besten ist es sogar, wenn Sie für die Internetanbindung eine eigene Netzwerkkarte mit eigener IP-Adresse in den Server einbauen und diese IP-Adresse für den Empfangsconnector für Internetmails verwenden. 228
Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren
Klicken Sie einen Empfangsconnector doppelt an, können Sie auf der Registerkarte Allgemein die Anzeige des FQDN anpassen, die angezeigt wird, wenn zum Server eine Verbindung per SMTP aufgebaut wird, nachdem sich der sendende Server mit ehlo oder helo gemeldet hat (siehe Abbildung 5.23).
1 Abbildung 5.23: Konfiguration des FQDN eines Servers
2 3 4
5 6 7 Sie können diese Konfiguration über Telnet testen (siehe nächster Abschnitt). Abbildung 5.24: Verbindungsaufbau zu einem Exchange Server über Telnet
8 9 10 11 12 13 14
Aktivieren und Deaktivieren von Connectoren Damit ein Connector verwendet werden kann, muss dieser aktiviert werden. Nach der Erstellung eines Connectors ist dieser immer aktiviert. Wollen Sie für Wartungsarbeiten den E-Mail-Verkehr über einen Connector zeitweise deaktivieren, können Sie den kompletten Connector in der Konsole deaktivieren.
15
Ein deaktivierter Connector kann jederzeit wieder aktiviert werden, sodass er für den E-Mail-Verkehr wieder zur Verfügung steht. Die Konfiguration des Connectors 229
Hub-Transport, Edge-Transport und Nachrichtenrouting
geht während der Deaktivierung nicht verloren. Sie deaktivieren einen Connector, indem Sie diesen mit der rechten Maustaste in der Exchange-Verwaltungskonsole anklicken und die Option Deaktivieren auswählen (siehe Abbildung 5.25). Abbildung 5.25: Deaktivieren eines Connectors
Haben Sie einen Connector deaktiviert, wird der deaktivierte Status auch in der Exchange-Verwaltungskonsole angezeigt (siehe Abbildung 5.26). Auf dem gleichen Weg können Sie einen Connector auch wieder aktivieren. Abbildung 5.26: Anzeigen des Status eines Connectors
Anpassen der standardmäßigen SMTP-Meldung eines Exchange Servers (SMTP-Banner) Bauen Sie mit Telnet eine Verbindung zum SMTP-Server auf, wird eine standardmäßige Meldung angezeigt (siehe Abbildung 5.27). Abbildung 5.27: Standardmäßige Meldung des SMTP-Servers
Auch wenn sich andere SMTP Server mit dem Exchange Server verbinden, wird diese Meldung angezeigt. Diese Meldung wird vom Empfangsconnector in Verbindung mit dem Dienst Microsoft Exchange-Transport erzeugt. Sie können unter Exchange Server 2007 diese Standardmeldung abändern. Vor allem bei Servern, die im Internet verfügbar sind, kann es sinnvoll sein, diese Meldung anzupassen, damit zum Beispiel einem Angreifer nicht gleich automatisch mitgeteilt wird, dass es sich bei diesem Server um einen Exchange Server handelt. Sie können diese Konfiguration in der Exchange-Verwaltungsshell anpassen. Zur Konfiguration des SMTP-Banners wird der Befehl Set-ReceiveConnector oder NewReceiveConnector verwendet. Ein SMTP-Banner muss immer mit der Bezeichnung 220 beginnen, da dies in der RFC 2821 für SMTP-Server festgelegt wird. Auch wenn Sie einen benutzerdefinierten SMTP-Banner erstellen, müssen Sie diesen Banner daher mit 220 beginnen lassen. 230
Einrichten von Edge-Transport-Servern
Um den Banner zu ändern, verwenden Sie in der Exchange-Verwaltungsshell den Befehl Set-ReceiveConnector -Banner <220 BannerText>. Um dem Empfangsconnector Internet das SMTP-Banner 220 Contoso Internetgateway zuzuweisen, verwenden Sie zum Beispiel den Befehl Set-ReceiveConnector Internet -Banner 220 Contoso Internetgateway (siehe Abbildung 5.28).
1
Haben Sie den Befehl eingegeben und bestätigt, erhalten Sie allerdings keine weitere Warnmeldung, sondern der Befehl wird umgesetzt.
2 Abbildung 5.28: Ändern des SMTP-Banners
3 4
Im Anschluss können Sie das SMTP-Banner in der Befehlszeile über Telnet <Servername oder IP> 25 anzeigen lassen (siehe Abbildung 5.29). Abbildung 5.29: Anzeigen des geänderten SMTP-Banners
5 6
5.4
7
Einrichten von Edge-Transport-Servern unter Windows Server 2003/2008 mit Exchange Server 2007 SP1
8
Edge-Transport-Server dienen als Schnittstelle der Exchange-Organisation zum Internet. Diese Funktion kann nicht mit anderen Rollen zusammen installiert werden, und es darf kein NNTP- und SMTP-Dienst installiert sein. Achten Sie bei der nachträglichen Aktualisierung eines Windows Servers 2003 auf Exchange Server 2007 SP1 auf die Anmerkungen zur Installation in Kapitel 4.
5.4.1
9 10
Erste Schritte zur Installation eines Edge-Transport-Servers
11
Ein Edge-Transport-Server muss nicht Mitglied einer Windows-Domäne sein. Sie sollten aber dennoch den FQDN des Servers so festlegen, dass dieser die gleiche DNSDomäne hat wie die Domäne, in der sich die Hub-Transport-Server befinden. Außerdem müssen Sie sicherstellen, dass der eingetragene DNS-Server in den IP-Einstellungen des Edge-Transport-Servers während der Installation erreichbar ist. Sie können dazu entweder den internen DNS-Server verwenden oder in der DMZ einen eigenen DNS-Server betreiben. Der beste Weg ist jedoch, dass der Edge-Transport-Server die internen DNS-Server verwenden kann, die auch die Active Directory-Domänen verwalten.
12 13 14
Kann der konfigurierte DNS-Server während der Installation nicht erreicht werden, spielt das zunächst keine Rolle. Für die Synchronisierung der notwendigen Daten für den Edge-Transport-Server mit dem Active Directory sollten Sie jedoch sicherstellen, dass bei der Einrichtung idealerweise eine Verbindung vom DNS-Server der Active Directory-Domäne hergestellt werden kann, damit die Namensauflösung problemlos funktioniert.
15
231
Hub-Transport, Edge-Transport und Nachrichtenrouting
Der nächste Schritt zur Installation eines Edge-Transport-Servers besteht darin, dass Sie auf dem Server das .NET Framework 2.0 installieren. Sie können bei installiertem Windows Server 2003 R2 diese Komponente über Systemsteuerung/Programme ändern oder entfernen/Windows-Komponenten hinzufügen installieren. Wählen Sie die Komponente Microsoft .NET Framework 2.0 aus. Sie müssen zur Installation die zweite CD der Windows Server 2003 R2-Installationsmedien einlegen. Verwenden Sie als Testumgebung Windows Server 2003 mit SP1 oder SP2, müssen Sie das .NET Framework aus dem Internet herunterladen. Abbildung 5.30: Installation des .NET Frameworks 2.0
Soll die Rolle auf einem Windows Server 2008-System installiert werden, kann das .NET Framework 3.0 als Feature über den Server-Manager hinzugefügt werden. Auf dem Server muss ADAM (Active Directory Application Mode) installiert werden. ADAM wird zwar während der Installation automatisch eingerichtet, aber nicht installiert. ADAM kann bei Windows Server 2003 R2 über Systemsteuerung/Software/Windows-Komponenten/Active Directory-Dienste/Active Directory-Anwendungsmodus (ADAM) installiert werden (siehe Abbildung 5.31). Bei Windows Server 2008 heißt ADAM Active Directory Lightweight Directory Services (ADLDS) und kann als Serverrolle hinzugefügt werden. Setzen Sie Windows Server 2003 SP1 oder SP2 ein, müssen Sie ADAM aus dem Internet herunterladen. Sie können ADAM im Internet von der Seite http://www.microsoft. com/downloads/details.aspx?displaylang=de&FamilyID=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4 herunterladen. Alternativ können Sie auch nach ADAM auf der Microsoft Homepage suchen. Sie müssen keinerlei Konfigurationen vornehmen: ADAM beziehungsweise ADLDS muss nur installiert werden, der Rest wird durch das Exchange-Setup-Programm übernommen.
232
Einrichten von Edge-Transport-Servern
Als Nächstes müssen Sie die MMC 3.0 installieren, wenn Sie als Testserver nicht Windows Server 2003 R2 oder Windows Server 2008 verwenden. Beim Einsatz von Windows Server 2003 R2 wurde diese Komponente bereits installiert. Setzen Sie Windows Server 2003 mit SP1 ein, müssen Sie die MMC bei Microsoft herunterladen, sie wird kostenlos zur Verfügung gestellt. Sie finden die Konsole über http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=4C84F80B908D-4B5D-8AA8-27B962566D9F.
1 2 Abbildung 5.31: Installation von ADAM für EdgeTransport-Server
3 4
5 6 7 8 9 10
Der nächste Schritt besteht darin, dass Sie das Installationsprogramm von Exchange Server 2007 aufrufen. Auf dem Startbildschirm sehen Sie, welche Komponenten bereits installiert wurden und welche noch installiert werden müssen. Die bereits installierten Komponenten sind deaktiviert.
11
Der Schritt 3 für die Vorbereitungen zur Installation von Exchange Server 2007 besteht darin, dass Sie die Microsoft PowerShell installieren. Sie können die Datei auch über den Link http://go.microsoft.com/fwlink/?linkid=64456 herunterladen. Bei Windows Server 2008 kann die PowerShell als Feature hinzugefügt werden. Bei der Installation eines Edge-Transport-Servers unter Windows Server 2008 muss die Installation direkt über die Installationsdateien von Exchange Server 2007 SP1 erfolgen.
5.4.2
12 13 14
Installation von Exchange Server 2007 mit SP1 auf dem Edge-Transport-Server
15
Die einzelnen Seiten der Exchange-Installation sind identisch mit der Installation von herkömmlichen Servern. Auf der Seite zur Auswahl der Installationsmethode müssen Sie bei der Installation eines Edge-Transport-Servers allerdings die benutzerdefinierte Installation auswählen (siehe Abbildung 5.32).
233
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.32: Auswahl der benutzerdefinierten Installation
Auf der nächsten Seite des Assistenten markieren Sie lediglich die Installation der Edge-Transport-Funktion aus und klicken auf Weiter. Die Verwaltungstools für Exchange Server 2007 werden automatisch mit ausgewählt (siehe Abbildung 5.33). Abbildung 5.33: Installation der Edge-TransportFunktion
234
Einrichten von Edge-Transport-Servern
Im Anschluss überprüft der Installationsassistent, ob auf dem Server die Edge-Transport-Funktion installiert werden kann (siehe Abbildung 5.34). Kann der konfigurierte DNS-Server während der Installation nicht erreicht werden, spielt das zunächst keine Rolle. Für die Synchronisierung der notwendigen Daten für den Edge Transport-Server sollten Sie jedoch sicherstellen, dass bei der Einrichtung idealerweise eine Verbindung vom DNS-Server der Active Directory-Domäne hergestellt werden kann, damit die Namensauflösung problemlos funktioniert. Über die Schaltfläche Installieren wird die Installation der Edge-Transport-Funktion auf dem Server gestartet.
1 2
Abbildung 5.34: Überprüfen der Voraussetzungen
3 4
5 6 7 8 9 10 Im Anschluss beginnt der Server mit der Installation. Ist diese abgeschlossen, können Sie mit der Einrichtung beginnen. Spätestens zu diesem Zeitpunkt muss der Edge-Transport-Server in der Lage sein, die Namen der internen Exchange Server aufzulösen und eine Verbindung aufzubauen, damit die notwendigen Daten synchronisiert werden können.
11 12
Ist die Installation erfolgreich abgeschlossen, erhalten Sie eine Meldung und können das Fenster schließen. Nach der Installation erfolgt die Einrichtung der Edge-Transport-Funktion.
13
Ist die Installation abgeschlossen, startet automatisch die Exchange-Verwaltungskonsole. Sehen Sie sich die neue Oberfläche an, stellen Sie fest, dass die Konsole deutlich weniger Funktionen enthält als die der anderen Server. Dafür können Sie in der Exchange-Verwaltungskonsole auf einem Edge-Transport-Server auch Funktionen im Bereich Spamschutz einstellen, die standardmäßig auf Hub-Transport-Servern nicht zur Verfügung stehen und erst nachträglich installiert werden müssen (siehe Kapitel 13).
14 15
235
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.35: Erfolgreiche Installation der EdgeTransport Funktion
Da ein Edge-Transport-Server keine Postfächer verwalten muss, sondern lediglich für das Senden und Empfangen von E-Mails zuständig ist, werden in der ExchangeVerwaltungskonsole auch nur die Bereiche angezeigt, die Sie auf dieser Art Server benötigen (siehe Abbildung 5.36). Abbildung 5.36: Exchange-Verwaltungskonsole auf einem Edge-Transport-Server
5.4.3
Edge-Transport-Server in der Exchange-Organisation abonnieren
Der Edge-Transport-Server ist weder Bestandteil der Active Directory-Domäne noch der Exchange-Organisation. Damit der E-Mail-Fluss zwischen Internet und EdgeTransport-Server, Hub-Transport-Server und Mailboxservern funktioniert, müssen Sie als Nächstes den Edge-Transport-Server mit der Organisation verbinden. Micro236
Einrichten von Edge-Transport-Servern
soft spricht bei diesem Vorgang von abonnieren (Subscribe). Der Server wird dazu nicht mit der Organisation verbunden, sondern tauscht mit den Hub-Transport-Servern und den Domänencontrollern Daten aus. Die notwendigen Daten werden auf dem Edge-Transport-Server in ADAM beziehungsweise ADLDS gespeichert und mithilfe des Systemdienstes Microsoft Exchange EdgeSync synchronisiert. Dieser Dienst spielt auch im Bereich des Spamschutzes eine Rolle, da hierüber auch die Daten der Empfänger synchronisiert werden, welche die vertrauten Absender betreffen. Er ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig (siehe Kapitel 3) und ist auch für die Synchronisierung von ADAM-Daten per LDAP zwischen Edge-Transport-Servern und Hub-Transport-Servern zuständig. Der Dienst läuft ausschließlich auf Servern mit der Rolle Hub-Transport, da nur diese Server mit Edge-Transport-Servern Daten austauschen.
1 2 3 4
Diese Synchronisation der Daten findet aber erst nach der Abonnierung des EdgeTransport-Servers statt. Dabei wird ein Hub-Transport-Server verwendet, der sich am gleichen Active Directory-Standort befindet, an dem der Edge-Transport-Server abonniert wurde.
5
Die Synchronisierung findet ausschließlich vom Hub-Transport-Server zum EdgeTransport-Server statt (nicht in umgekehrter Richtung). Dabei werden nach dem Dienststart die Konfigurationsdaten der Connectoren und des Abonnements stündlich synchronisiert. Benutzerdaten werden alle vier Stunden synchronisiert, also zum Beispiel auch neue Empfänger und die vertrauten Absender der Empfänger. Dieser Zeitplan kann nicht angepasst werden. Am Ende dieses Abschnitts zur Einrichtung von Edge-Transport-Servern zeige ich Ihnen, wie Sie die Synchronisierung auch manuell in der Exchange-Verwaltungsshell anstoßen können.
6 7 8
Von Edge-Transport-Servern werden zwar E-Mails aus dem Internet zu den HubTransport-Servern gesendet, allerdings werden keinerlei sonstige Daten synchronisiert. Durch die Abonnierung eines Edge-Transport-Servers werden von dem Dienst Microsoft EdgeSync folgende Connectoren auf dem Edge-Transport-Server erstellt:
9
1.
10
2.
3.
ein dedizierter Sendeconnector von den Hub-Transport-Servern der Gesamtstruktur zum Edge-Transport-Server, ein Sendeconnector vom Edge-Transport-Server zu den Hub-Transport-Servern an dem Active Directory-Standort, für den Sie den Edge-Transport-Server abonniert haben, ein Sendeconnector vom Edge-Transport-Server zum Internet.
11 12
Durch die Synchronisierung mit dem Edge-Transport-Server werden folgende Daten ausgetauscht und in ADAM/ADLDS auf dem Edge-Transport-Server gespeichert: ■ ■ ■ ■ ■
13
Konfiguration der Sendeconnectoren akzeptierte Domänen Remote-Domänen Liste der vertrauten Absender für den Spamschutz Empfänger der Organisation
14 15
237
Hub-Transport, Edge-Transport und Nachrichtenrouting
Die Abonnierung von Edge-Transport-Servern läuft in vier Schritten ab:
1. Sie erstellen eine spezielle Abonnierungsdatei. 2. Sie kopieren und importieren die Datei auf einen Hub-Transport-Server. 3. Sie überprüfen die erfolgreiche Synchronisierung durch die Überprüfung von Ereignismeldungen des Dienstes Microsoft EdgeSync auf dem Hub-TransportServer.
4. Sie löschen aus Gründen des Datenschutzes die Importdatei, da diese nach der Synchronisierung nicht mehr benötigt wird.
Vorbereitungen für die Abonnierung Bevor Sie die Abonnierung einrichten, sollten Sie sicherstellen, dass die Firewall, welche die DMZ vom internen Netzwerk trennt, die notwendigen Ports durchlässt: ■
Für die Kommunikation zwischen Hub-Transport-Server und Edge-TransportServer wird die Kommunikation der LDAP über den Port TCP 50389 benötigt.
■
Verwenden Sie Secure LDAP, benötigen Sie den Port TCP 50636.
■
Leiten Sie die DNS-Abfrage vom Edge-Transport-Server zu den internen DNSServern weiter, muss zusätzlich der Port TCP 53 geöffnet sein. Diese Auflösung ist sinnvoll, da dadurch der Edge-Transport-Server die Servernamen im internen Netzwerk und externe DNS-Namen im Internet auflösen kann, sofern auf den internen DNS-Servern entsprechende Weiterleitungen eingerichtet wurden (siehe Kapitel 15).
Bevor Sie die Abonnierung einrichten, sollten Sie auf den Hub-Transport-Servern die akzeptierten Domänen, das gewünschte Relaying sowie alle anderen Einstellungen und Connectoren eingerichtet haben, die Sie sonst noch benötigen.
Erstellen der Exportdatei für die Edge-Transport-Server-Abonnierung Haben Sie alle Vorbereitungen getroffen, müssen Sie als Nächstes auf dem EdgeTransport-Server die Datei erstellen, mit der Sie die Abonnierung auf dem HubTransport-Server durchführen. Diese Datei wird für den Import benötigt, damit der Dienst Microsoft EdgeSync die notwendigen Informationen und Daten erhält. In dieser Datei sind auch die notwendigen Authentifizierungsinformationen für die Synchronisierung zwischen Active Directory und ADAM enthalten. Damit Sie die Exportdatei erstellen können, müssen Sie sich am Edge-Transport-Server mit einem lokalen Administratorkonto anmelden. Die Exportdatei wird im XMLFormat erstellt. Starten Sie zunächst auf dem Edge-Transport-Server die ExchangeVerwaltungsshell, da die Exportdatei nur über die Befehlszeile erstellt werden kann. Geben Sie den Befehl new-edgesubscription –filename C:\EdgeSubscriptionInfo.XML ein. Sie müssen die Erstellung noch bestätigen. Im Anschluss wird die Datei erstellt (siehe Abbildung 5.37). Als Nächstes müssen Sie die Datei auf einem Hub-Transport-Server des Active Directory-Standorts, an dem sich der Edge-Transport-Server befindet, wieder importieren. Die Datei ist nur wenige KB groß.
238
Einrichten von Edge-Transport-Servern
Abbildung 5.37: Erstellen einer Exportdatei auf dem Edge-TransportServer
1 2 3 4
Importieren der Export-Datei auf den Hub-Transport-Server
5
Haben Sie die Datei kopiert, können Sie auf dem Hub-Transport-Server mit dem Import beginnen und den Edge-Transport-Server abonnieren. Durch diesen Vorgang wird der Edge-Transport-Server mit dem Active Directory-Standort verbunden, wo sich der Hub-Transport-Server befindet, auf dem Sie das Abonnement einrichten.
6 Abbildung 5.38: Erstellen eines neuen EdgeAbonnements
7 8 9 10
1.
Um das Abonnement zu erstellen, verwenden Sie am besten die Exchange-Verwaltungskonsole. Navigieren Sie zum Menü Organisationskonfiguration/HubTransport.
2.
Klicken Sie im Aktionsbereich auf den Menüpunkt Neues Edge-Abonnement (siehe Abbildung 5.38).
11 12
3. Im Anschluss startet der Assistent, mit dessen Hilfe Sie ein Edge-Abonnement
13
einrichten können (siehe Abbildung 5.39).
4. Wählen Sie anschließend den Active Directory-Standort aus, für den Sie den 14
Edge-Transport-Server abonnieren wollen. An dem Standort muss sich mindestens ein Hub-Transport-Server befinden.
5. Als Nächstes wählen Sie die zuvor auf den Server kopierte Edge-Export-Datei
15
aus und klicken dann auf Neu (siehe Abbildung 5.39).
239
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.39: Erstellen eines neuen EdgeAbonnements
6. Im Anschluss beginnt der Assistent mit der Einrichtung, und Sie können diese mit der Schaltfläche Fertig stellen abschließen. In diesem Fenster wird auch angezeigt, ob die Erstellung erfolgreich war. Außerdem sehen Sie in diesem Fenster wieder den entsprechenden Befehl für die Exchange-Verwaltungsshell (siehe Abbildung 5.40). Abbildung 5.40: Abschließen des Edge-Abonnements
240
Einrichten von Edge-Transport-Servern
Das Abonnement und der damit verbundene Active Directory-Standort werden in der Exchange-Verwaltungskonsole unter Organisationskonfiguration/Hub-Transport/Registerkarte Edge-Abonnements angezeigt (siehe Abbildung 5.41). Abbildung 5.41: Anzeigen eines Edge-Abonnements in der ExchangeVerwaltungskonsole
1 2 3 4
Überprüfen und Verwalten des Edge-Abonnements
5
Grundsätzlich ist keine Verwaltung von Edge-Abonnements notwendig, da die Synchronisierung der Daten automatisch durchgeführt wird und der Zeitplan der Synchronisierung nicht angepasst werden kann.
6
Konfigurationsdaten werden zwischen Active Directory und ADAM/ADLDS stündlich synchronisiert, Benutzerdaten alle vier Stunden. Alle Edge-Abonnements aller Active Directory-Standorte werden in der Exchange-Verwaltungskonsole auf der Registerkarte Edge-Abonnements angezeigt. Sie finden diese Registerkarte, wie bereits beschrieben, über Organisationskonfiguration/Hub-Transport.
7 8
Erzwingen und Überprüfen der Synchronisierung Sie können die Synchronisierung jederzeit manuell in der Exchange-Verwaltungsshell anstoßen. Öffnen Sie dazu auf dem Hub-Transport-Server in dem Active DirectoryStandort, an dem Sie das Abonnement erstellt haben, die Exchange-Verwaltungsshell.
9
Geben Sie den Befehl start-edgesynchronization ein. Im Anschluss startet der Dienst Microsoft EdgeSync die Synchronisierung und gibt die erfolgreiche Synchronisierung aus (siehe Abbildung 5.42).
10
Abbildung 5.42: Erfolgreiche Synchronisierung von Microsoft EdgeSync
11 12 13 14 15
Unter manchen Umständen erhalten Sie direkt nach der Einrichtung eine Fehlermeldung, dass keine Verbindung zum LDAP-Server hergestellt werden kann. Warten Sie 241
Hub-Transport, Edge-Transport und Nachrichtenrouting
in diesem Fall noch etwas, bevor Sie den Befehl eingeben, damit die beiden Server Ihre entsprechenden Daten aktualisieren können. Sie können den Befehl so oft starten, wie Sie wollen. Nach meiner Erfahrung ist es auch sehr hilfreich, wenn Sie auf dem Edge-Transport-Server die DNS-Server der Active Directory-Domäne als bevorzugte DNS-Server verwenden und sicherstellen, dass der Edge-Transport-Server die beteiligten Server im internen Netzwerk auflösen kann. Da der Edge-Transport-Server kein Mitglied einer Domäne ist, ist es auch sinnvoll, wenn Sie das Administratorkonto, mit dem Sie den Edge-Transport-Server verwalten, genauso benennen wie das entsprechende Konto in der Domäne und auch das gleiche Kennwort verwenden. In jedem Fall ist die erfolgreiche Einrichtung eines Edge-Abonnements erst dann abgeschlossen, wenn die manuelle Synchronisierung erfolgreich durchgeführt wurde und in der Ereignisanzeige des Servers im Anwendungsprotokoll die Synchronisierung keine Fehler mehr bringt (siehe Abbildung 5.43). Abbildung 5.43: Überprüfen der Ereignisanzeige zur Sicherstellung der Synchronisierung
Löschen eines Edge-Abonnements Benötigen Sie ein Edge-Abonnement nicht mehr, können Sie es an dieser Stelle entweder über das Kontextmenü oder durch Klicken auf (Entf) löschen. Überprüfen des neuen Edge-Abonnement-Sendeconnectors Durch die Einrichtung des Edge-Abonnements wird auch automatisch ein neuer Sendeconnector eingerichtet, der für das Versenden von E-Mails ins Internet zuständig ist. Sie können die Einstellungen des Connectors ohne Weiteres anpassen, diese werden automatisch durch Microsoft EdgeSync zum Edge-Transport-Server synchronisiert (siehe Abbildung 5.44). Dieser Connector verwendet als Quellserver (unter Exchange Server 2003 noch Bridgehead genannt) den Edge-Transport-Server sowie das Versenden per MX, jedoch keinen Smarthost.
242
Einrichten von Edge-Transport-Servern
Abbildung 5.44: Automatisch eingerichteter Sendeconnector durch das Edge-Abonnement
1 2 3 4
5 Neue Connectoren auf dem Edge-Transport-Server verwalten Zusätzlich wurden durch das Abonnement auf dem Edge-Transport-Server neue Sendeconnectoren sowie ein neuer Empfangsconnector erstellt (siehe Abbildung 5.45). Auch für diese Connectoren müssen Sie grundsätzlich keine Änderungen vornehmen.
6 7 Abbildung 5.45: Neuer Sendeconnector auf dem Edge-TransportServer
8 9 10 11
Sie können aber bei Bedarf ohne Weiteres die Konfiguration anpassen, sofern Sie eine andere Infrastruktur einsetzen, welche die Standardeinstellungen der Connectoren nicht unterstützt.
12 Abbildung 5.46: Neuer Empfangsconnector auf dem Edge-TransportServer
13 14 15
243
Hub-Transport, Edge-Transport und Nachrichtenrouting
5.5
Allgemeine Einstellungen für Exchange-Transport-Server
Neben den Einstellungen für Sende- und Empfangsconnectoren auf Hub-TransportServern und Edge-Transport-Servern können Sie in der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell auch Einstellungen vornehmen, welche die allgemeine Konfiguration von beiden Exchange-Transport-Servern betreffen. In der Exchange-Verwaltungsshell verwenden Sie den Befehl get-transportserver,, um die Konfiguration der Transport-Server in der Organisation anzuzeigen (siehe Abbildung 5.47). Abbildung 5.47: Anzeigen der Transport-Server-Konfiguration mit gettransportserver in der ExchangeVerwaltungsshell
Über den Befehl set-transportserver können Sie Konfigurationen der Transport-Server in der Exchange-Verwaltungsshell anpassen. Die Anpassung in der ExchangeVerwaltungskonsole ist allerdings wesentlich bequemer. Neben den ganzen Einstellungen für die Connectoren finden Sie in der Exchange-Verwaltungskonsole über den Menüpunkt Serverkonfiguration/Hub-Transport die ganzen Hub-Transport-Server der Organisation. Klicken Sie im Ergebnisbereich der Konsole in der oberen Hälfte mit der rechten Maustaste auf den Server, dessen Konfiguration Sie überprüfen wollen, und wählen Sie Eigenschaften aus (siehe Abbildung 5.48). Abbildung 5.48: Aufrufen der Transport-ServerEigenschaften
Es öffnet sich ein neues Fenster, auf dem Sie einige Einstellungen für den TransportServer anpassen oder überprüfen können (siehe Abbildung 5.49). Ihnen stehen zur Verwaltung vier Registerkarten zur Verfügung: ■ ■ ■ ■
Allgemeine Einstellungen für Exchange-Transport-Server
Auf der Registerkarte Allgemein finden Sie Informationen über Edition, Produkt-ID und die installierten Rollen auf dem Server. Hier sehen Sie auch, welche Domänencontroller für die Verbindung zum Active Directory verwendet werden, können diese aber nicht ändern. Außerdem sehen Sie hier den Zeitpunkt der letzten Änderung der Konfiguration dieses Servers.
1 Abbildung 5.49: Registerkarte Allgemein der Transport-ServerEigenschaften
2 3 4
5 6 7 8 9 Auf den Registerkarten Externe DNS-Lookups und Interne DNS-Lookups (siehe Abbildung 5.50) können Sie unabhängig von der DNS-Konfiguration der Netzwerkkarten spezielle DNS-Server eintragen, die für die interne und externe Namensauflösung für E-Mails verwendet werden. Sie sollten aber idealerweise die Namensauflösung direkt über die DNS-Einstellungen der Netzwerkkarte durchführen.
10 11
In Kapitel 15 gehe ich ausführlicher auf die Anbindung von Exchange Server 2007 an das Internet ein, auch zusammen mit der Konfiguration eines ISA-Servers 2004/2006 für die DNS-Auflösung im Internet. Die DNS-Namensauflösung im Netzwerk ist für den erfolgreichen Betrieb von Exchange Server 2007 extrem wichtig.
12
Da nicht nur der Nachrichtenfluss, sondern auch die Clientanbindung und die Anbindung an das Active Directory von DNS abhängen, sollten Sie sich ausführlich mit diesem Thema auseinandersetzen. In Kapitel 2 bin ich bereits auf DNS-Grundlagen eingegangen, in Kapitel 18 beschäftige ich mich ausführlicher mit der DNSThematik in Gesamtstrukturen mit mehreren Strukturen und Domänen.
13 14
Die beiden Registerkarten Externe DNS-Lookups und Interne DNS-Lookups sehen identisch aus. Sie können entweder zur Namensauflösung alle eingebauten Netzwerkkarten verwenden (diese Einstellung ist Standard) oder eine einzelne Karte auswählen, wenn mehrere verbaut sind. Außerdem können Sie über die Option Diese DNS-Server verwenden andere DNS-Server für die Namensauflösung eintragen, als das Betriebssystem verwendet.
15
245
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.50: Benutzerdefinierte Einstellungen für die DNS-Namensauflösung von Exchange Server 2007
Auf der Registerkarte Grenzwerte stellen Sie für verschiedene Funktionen des Nachrichtenflusses Zeitgrenzen ein, die ausschließlich die Verarbeitung von Nachrichten betreffen (siehe Abbildung 5.51). Auf dieser Registerkarte stellen Sie keine Grenzwerte für die Benutzer Ihrer Exchange-Organisation ein. Diese Grenzwerte werden in Kapitel 6 besprochen. Hauptsächlich geht es bei diesen Grenzwerten um die Wiederholungsversuche, die der Exchange Server bei erfolglosem Nachrichtenfluss starten kann, um die Nachricht doch noch zuzustellen. Die einzelnen Optionen sind selbsterklärend. Normalerweise müssen Sie hier keine Änderungen vornehmen. Abbildung 5.51: Einstellen von Grenzwerten
246
Exchange-Nachrichtentransport- und Transportberechtigungen
5.6
Exchange-Nachrichtentransport- und Transportberechtigungen
Durch die neuen Serverrollen von Exchange Server 2007 hat Microsoft auch einige Änderungen im Bereich des Nachrichtentransports vorgenommen. Im folgenden Abschnitt gehe ich ausführlicher auf das neue Berechtigungs- und Transportmodell im Nachrichtenfluss ein. Nachrichten zwischen Hub-Transport-Servern und Mailboxservern werden mit dem MAPI-Protokoll zugestellt. Der Nachrichtenfluss zwischen Hub-Transport-Servern wird mit dem SMTP-Protokoll durchgeführt. Beide Protokolle werden durch den Dienst Microsoft Exchange-Transport zur Verfügung gestellt. Ist dieser Dienst nicht gestartet, kann keine Kommunikation zwischen den Servern stattfinden. Beim Verbindungsaufbau wird überprüft, ob der sendende Server eine Verbindung zum empfangenden Server aufbauen darf.
1 2 3
INFO
4
5
Zwischen den verschiedenen Sende- und Empfangsconnectoren spielt die Authentifizierung eine wesentliche Rolle. Wird die Authentifizierung für einen Connector deaktiviert, werden Nachrichten anonym zugestellt.
6
Alle Exchange Server in einer Organisation, also einer gemeinsamen Gesamtstruktur, haben eine Vertrauensstellung, sodass eine sichere E-Mail-Kommunikation zwischen den Exchange Servern in der Gesamtstruktur stattfinden kann.
5.6.1
7
Authentifizierte Sitzungen und authentifizierte Nachrichten
8
Ein zentrales Konzept in der Nachrichtensicherheit von Exchange Server 2007 sind authentifizierte Sitzungen und authentifizierte Nachrichten. Eine Nachricht kann mit Metadaten gestempelt sein, in denen hinterlegt ist, ob die Nachricht authentifiziert oder anonym ist.
9 10
Der empfangende Server überprüft, ob die Nachricht authentifiziert erstellt wurde und ob dem sendenden Server vertraut werden kann. Vertraut der empfangende Server dem sendenden Server, sind also beide in der gleichen Gesamtstruktur, wird der authentifizierte Stempel der Nachricht belassen. Vertraut der empfangende Server dem sendenden Server nicht, wird die Nachricht für den Weitertransport als anonym klassifiziert.
11 12
Zwischen den Hub-Transport-Servern einer Organisation werden Nachrichten durch die Vertrauensstellungen immer authentifiziert weitergereicht. Zwischen EdgeTransport-Servern und E-Mail-Server im Internet werden Nachrichten natürlich als anonym klassifiziert, auch wenn diese von anderen Exchange Servern stammen. Die Nachrichten werden zwar von Edge-Transport-Servern zu Hub-Transport-Servern authentifiziert gesendet, haben aber dennoch eine anonyme Klassifizierung.
13 14
Die Authentifizierung zwischen Exchange Servern kann über die Windows-Authentifizierung bei der Verwendung von MAPI durchgeführt werden. Alternativ besteht die Möglichkeit, den SMTP-Befehl AUTH zu verwenden, bei dem Sie mit Standardauthentifizierung, NTLM oder Kerberos arbeiten können. Weitere Möglichkeiten sind X.509-Zertifikate für die Verwendung von Transport Layer Security (TLS). Auch die Möglichkeit, die Verbindung über IPsec mithilfe dedizierter Empfangs- und Sendeconnectoren herzustellen, besteht.
15
247
Hub-Transport, Edge-Transport und Nachrichtenrouting
Für Connectoren gibt es Discretionary Access Control Lists (DACL), welche die Berechtigungen für sendende Server steuern. Nach dem Verbindungsaufbau zu einem Empfangsconnector wird die Sitzung zunächst als anonym deklariert, und die entsprechenden Berechtigungen werden verwendet. Authentifiziert sich der sendende Server, erhält er die Berechtigungen für authentifizierte Sitzungen.
Authentifizierungseinstellungen für Empfangsconnectoren Bei der Authentifizierung ist das Zusammenspiel zwischen Sende- und Empfangsconnector extrem wichtig. Auf dem Empfangsconnector wird eingestellt, mit welchen Authentifizierungsoptionen sich der Sendeconnector authentifizieren darf (siehe Abbildung 5.52). Sie finden diese Einstellungen in der Exchange-Verwaltungskonsole über den Menüpunkt Serverkonfiguration/Hub-Transport in den Eigenschaften des Empfangsconnectors auf der Registerkarte Authentifizierung. Der HubTransport-Server nimmt nur Authentifizierungen entgegen, die auf den entsprechenden Empfangsconnectoren auf der Registerkarte Authentifizierung gestattet werden. Abbildung 5.52: Authentifizierungseinstellungen für Empfangsconnectoren
Authentifizierungseinstellungen für Sendeconnectoren In den Eigenschaften eines Sendeconnectors können Sie wiederum die Authentifizierung konfigurieren, die verwendet wird, wenn sich der Server mit seinem Smarthost verbindet. Beim direkten Versenden von E-Mails findet keine Authentifizierung statt, da hier die E-Mails auf Basis von DNS und MX-Einträgen versendet werden, eine Authentifizierung ist in diesem Fall nicht möglich.
1. 2.
3. 4.
248
Senden Sie E-Mails über einen Sendeconnector zu einem Smarthost, können Sie in den Eigenschaften des Connectors diese Optionen einstellen: Sie finden die Eigenschaften in der Exchange-Verwaltungskonsole über das Menü Serverkonfiguration/Hub-Transport durch Doppelklick auf den Connector auf der Registerkarte Netzwerk. Hier können Sie die Option Alle Nachrichten über folgende Smarthosts weiterleiten aktivieren. Über die Schaltfläche Ändern können Sie die verschiedenen Authentifizierungsoptionen konfigurieren (siehe Abbildung 5.53). Ihnen stehen dazu folgende Optionen zur Verfügung:
Exchange-Nachrichtentransport- und Transportberechtigungen
■
Keine – Bei dieser Option werden die E-Mails anonym versendet, es findet keine Authentifizierung statt.
■
Standardauthentifizierung – Bei dieser Option können Sie einen Benutzernamen und ein Kennwort eingeben, mit dem Sie sich am empfangenden Server, dem Smarthost, authentifizieren. Diese Option wird häufig für den Internetverkehr verwendet. Bei dieser Art der Authentifizierung verwendet der Connector die beiden SMTP-Befehle AUTH und LOGIN zur Authentifizierung, Benutzernamen und Kennwort werden allerdings in Klartext übermittelt.
1 2 Abbildung 5.53: Authentifizierungseinstellungen für Sendeconnectoren
3 4
5 6 7 8 9 ■
Unterstützt der empfangende E-Mail-Server TLS, können Sie die Option Standardauthentifizierung über TLS aktivieren. In diesem Fall wird die Authentifizierung verschlüsselt. Allerdings unterstützen nicht alle E-MailServer standardmäßig TLS. Bei der TLS-Verschlüsselung handelt es sich um eine besondere Art der SSL-Verbindung. Diese ist die sicherste Form der Übertragung. Es muss allerdings gewährleistet sein, dass der Empfänger diese Option unterstützt. Beachten Sie auch, dass diese Verschlüsselung zusätzlich Performance kostet. Im Gegensatz zur normalen Übertragung ist es bei TLS nicht mehr möglich, den Datenverkehr zwischen zwei SMTP-Servern abzuhören. Bevor die Authentifizierung stattfindet, wird in diesem Fall eine TLS-Sitzung aufgebaut. Dazu muss der sendende Server eine Validierung des X.509-Zertifikates des empfangenden Servers durchführen. Dazu wird im Rahmen der TLS-Sitzung das Zertifikat zum sendenden Server übertragen. Ist die Validierung erfolgreich, kann sich der sendende Server mit dem SMTP-Befehl AUTH am empfangenden Server authentifizieren. Optional ist auch die Möglichkeit, dass der empfangende Server vom sendenden Server ebenfalls ein Zertifikat erhält, das er validieren muss, bevor E-Mails gesendet werden. TLS zwischen Exchange Servern kann daher erst verwendet werden, wenn auf den Servern ein X.509-Zertifikat installiert wurde. Dieses Zertifikat kann von einer Zertifizierungsstelle im Internet oder von einer eigenen Stammzertifizierungsstelle stammen. Verwenden Sie
10 11 12 13 14 15
249
Hub-Transport, Edge-Transport und Nachrichtenrouting
TLS zwischen Hub-Transport-Servern und Edge-Transport-Servern, wird während der Abonnierung des Edge-Transport-Servers (siehe Abschnitt über Edge-Transport-Server) dessen Zertifikat in das Active Directory übertragen, in dem sich der Hub-Transport-Server befindet. Umgekehrt sorgt der Dienst Microsoft Exchange EdgeSync dafür, dass das Zertifikat der HubTransport-Server in Active Directory Application Mode (ADAM) des EdgeTransport-Servers repliziert wird. ■
Exchange Server-Authentifizierung – Diese Authentifizierung wird beim Verbindungsaufbau zu älteren Exchange Servern verwendet. In diesem Fall werden die Befehle EXPS und GSSAPI verwendet. Beim Verbindungsaufbau mit dieser Authentifizierung zu anderen Exchange 2007-Servern wird in diesem Fall X-ANONYMOUSTLS verwendet.
■
Extern gesichert – Bei dieser Option wird auf Authentifizierung eines externen Mechanismus gewartet, bevor Nachrichten gesendet werden, zum Beispiel IPSec oder ein VPN.
5.6.2
Exchange Server 2007-Transportberechtigungen
Exchange Server 2007 verwendet das Windows-Sicherheitsmodell für die Authentifizierung von SMTP-Sitzungen. Beim Verbindungsaufbau erhält eine SMTP-Sitzung zunächst einen gewissen Satz Berechtigungen. Nach einer erfolgreichen Authentifizierung werden die Berechtigungen der Sitzung erweitert. Die Berechtigungen sind direkt auf das Objekt des Connectors im Active Directory oder bei Edge-TransportServern in ADAM gesetzt.
Berechtigungsgruppen für Empfangsconnectoren Für Empfangsconnectoren gibt es spezielle Berechtigungsgruppen. Diese Gruppen stehen für einen bestimmten Satz an Berechtigungen, die für einen Empfangsconnector gesetzt werden können. Durch diese Gruppen kann die Verwaltung von Berechtigungen für Empfangsconnectoren erheblich einfacher durchgeführt werden als durch das Setzen einzelner Berechtigungen. Es ist nicht möglich, zusätzliche Gruppen zu erstellen, die vorhandenen Berechtigungsgruppen für Exchange Server 2007 sind vordefiniert. Tabelle 5.1: Berechtigungsgruppen in Exchange Server 2007
250
Name der Berechtigungsgruppe
Sicherheitsprinzipal
Berechtigungen auf Edge-TransportServern
Berechtigungen auf Hub-Transport-Servern
Anonymous
Anonyme Benutzer
Übertragen von Nachrichten zum Server Annehmen aller Absender Eingehende Routing-Header akzeptieren
Übertragen von Nachrichten zum Server Annehmen aller Absender Eingehende RoutingHeader akzeptieren
ExchangeUsers
Authentifizierte Benutzer
-
Übertragen von Nachrichten zum Server Für jeden Empfänger annehmen Antispam-Filter umgehen
Exchange-Nachrichtentransport- und Transportberechtigungen
Name der Berechtigungsgruppe
Sicherheitsprinzipal
Berechtigungen auf Edge-TransportServern
Berechtigungen auf Hub-Transport-Servern
ExchangeLegacyServers
Exchange 2000/2003-Server
-
Übertragen von Nachrichten zum Server Für jeden Empfänger annehmen Antispam-Filter umgehen Akzeptiert jeden Absender Akzeptiert Absender auf autorisierenden Domänen Umgeht die Grenzwerte für die Nachrichtengröße
Exchange Servers
Partner
Exchange 2007-Server
Partner Serverkonto
1 2 3 4
5
Alle Berechtigungen für den Alle Berechtigungen E-Mail-Empfang für den E-MailEmpfang
6
Übertragen von Nachrichten zum Server
7
Übertragen von Nachrichten zum Server
8
Anpassen der Berechtigungen für Connectoren mit ADSI-Edit Es gibt zwar auch Wege, die Berechtigungen über die Exchange-Verwaltungsshell zu setzen (Get-AdPermission, Remove-AdPermission), aber besser und effizienter ist das Setzen von Berechtigungen über ADSI-Edit. Dieses Tool gehört zu den SupportTools, die Sie auf der Windows Server 2003-CD im Verzeichnis \support finden. Sie sollten die Tools auf jedem Windows-Server installieren, da hier wichtige Tools für die Verwaltung von Servern enthalten sind. Sie installieren die Tools am besten durch Doppelklick auf suptools.msi. Im Anschluss können Sie ADSI-Edit über Start/Ausführen/adsiedit.msc starten.
9 10 11
Berechtigungen für Empfangsconnectoren konfigurieren Um die Berechtigungen anzupassen, navigieren Sie in ADSI-Edit zum Bereich:
12
Configuration/Configuration,DC=/Services/Microsoft Exchange/ /CN=Administrative Groups/CN=Exchange Administrative Group (FYDIBOH….)/CN=Servers/<Servername>/Protocols/ CN=SMTP Receive Connectors.
13
Auf der rechten Seite werden alle Connectoren angezeigt (siehe Abbildung 5.54). Rufen Sie die Eigenschaften des entsprechenden Connectors auf, und wechseln Sie auf die Registerkarte Sicherheit. Hier finden Sie alle Gruppen und deren Rechte für den Connector. An dieser Stelle können Sie auch Anpassungen an den Rechten vornehmen.
14 15
Sie können sich beispielsweise die Berechtigungen für die Gruppe AnonymousAnmeldung für Internet-Empfangsconnectoren und interne Connectoren anschauen. Sie werden feststellen, dass bei Internet-Connectoren das Senden von E-Mails auch anonymen Benutzern erlaubt ist, bei internen dagegen nicht. 251
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.54: Konfiguration der Berechtigungen für Empfangsconnectoren mit ADSI-Edit
Berechtigungen für Sendeconnectoren konfigurieren Um die Berechtigungen für Sendeconnectoren anzupassen, navigieren Sie in ADSIEdit zum Bereich: Configuration/Configuration,DC=/Services/Microsoft Exchange/ /CN=Administrative Groups/CN=Exchange Administrative Group (FYDIBOH….)/CN=Routing Groups/CN=Routing Group (DWBGZ….)/CN=Connections. Auch hier können Sie die Eigenschaften des entsprechenden Connectors aufrufen und auf der Registerkarte Sicherheit die entsprechenden Berechtigungen überprüfen oder konfigurieren (siehe Abbildung 5.55). Abbildung 5.55: Berechtigungen von Sendeconnectoren konfigurieren
252
Connectoren zwischen Exchange-Organisationen
5.6.3
Fehlerbehebung bei Verbindungen
Unter Exchange Server 2007 kann es durchaus passieren, dass Verbindungen nicht aufgebaut werden können, weil die entsprechenden Berechtigungen nicht korrekt gesetzt sind. Im folgenden Abschnitt gehe ich die wichtigsten Fehlermeldungen sowie deren potenzielle Lösung durch: ■
■
■
■
■
■
1
530 5.7.1 Client was not authenticated: Bei diesem Fehler hat der Absender der Nachricht, der mit Mail from: festgelegt wird (siehe nächster Abschnitt), nicht das Recht, E-Mails zu diesem Server zu übertragen. Entweder müssen Sie die Authentifizierung konfigurieren oder dem Sender das Recht geben, Nachrichten zum entsprechenden Empfangsconnector zu senden. 535 5.7.3 Authentication unsuccessful: Taucht dieser Fehler auf, wurden falsche Authentifizierungsinformationen ausgetauscht. Überprüfen Sie, ob die Authentifizierungsdaten korrekt eingegeben wurden. 550 5.7.1 Client does not have permission to submit to this server: Bei diesem Fehler wurde die Authentifizierung zwar ordnungsgemäß durchgeführt, der Absender hat aber keine Rechte, E-Mails an diesen Server zu senden. 550 5.7.1 Client does not have permission to send as this server: Der Absender der E-Mail verwendet als Domäne eine autorisierende Domäne. Dieser Fehler tritt auf, wenn von außerhalb, zum Beispiel vom Internet, zu einem Edge-TransportServer eine E-Mail gesendet wird, die eine Domäne verwendet, für die Exchange autorisierend zuständig ist (siehe ersten Abschnitt in diesem Kapitel). 550 5.7.1 Client does not have permission to send on behalf of the from address: Diese Meldung besagt, dass der Absender im Auftrag einer Adresse senden will, die im Header hinterlegt ist. Soll diese Funktion unterstützt werden, benötigt der Client das Recht auf dem Exchange Server, dass er alle möglichen Absender verwenden darf. 550 5.7.1 Unable to Relay: In diesem Fall gehört die Domäne der E-Mail nicht zu den akzeptierten Domänen.
5.7
2 3 4
5 6 7 8 9 10
Connectoren zwischen ExchangeOrganisationen
11
Viele Unternehmen setzen mehrere Exchange-Organisationen ein, die auf mehrere Gesamtstrukturen verteilt sind. Jede Gesamtstruktur kann immer nur eine ExchangeOrganisation enthalten, und jede Exchange-Organisation kann sich nur über eine Gesamtstruktur erstrecken. Setzen Sie im Unternehmen mehrere Gesamtstrukturen ein, kommen Sie um mehrere Exchange-Organisationen nicht herum und müssen diese auch getrennt voneinander verwalten sowie den Nachrichtenfluss einrichten.
12 13
Die Synchronisierung der Adressbücher von unterschiedlichen Exchange-Organisationen führen Sie am besten mit dem Microsoft Identity Integration Server (MIIS) durch. Im letzen Abschnitt dieses Kapitels gehe ich auf diesen Server ein, für den es auch eine kostenlose Version gibt, um Adressbücher von verschiedenen ExchangeOrganisationen zu synchronisieren.
14 15
In diesem Abschnitt gehe ich auf Connectoren zwischen Exchange Server 2007Organisationen sowie auf Connectoren zwischen einer Exchange Server 2007- und Exchange Server 2003-Organisation ein.
253
Hub-Transport, Edge-Transport und Nachrichtenrouting
5.7.1
Connectoren zwischen Exchange Server 2007Organisationen
Wollen Sie zwei Exchange Server 2007-Organisationen miteinander verbinden, erstellen Sie Connectoren zwischen jeweils einem Hub-Transport-Server der einen oder einem Hub-Transport-Server der anderen Organisation/Gesamtstruktur. Verwenden Sie die Standardauthentifizierung, können Sie diese Kommunikation mit TLS verschlüsseln lassen. Für die Authentifizierung der Connectoren zwischen den beiden Organisationen sollten Sie in beiden Gesamtstrukturen jeweils einen Benutzer anlegen, den Sie für die Authentifizierung verwenden können. Verwenden Sie TLS zur Verschlüsselung, müssen Sie sicherstellen, dass die Server jeweils ein X.509-Zertifikat zugewiesen bekommen, das den FQDN des Empfangsconnectors enthält. Tragen Sie die externe Authentifizierung am Connector ein (siehe Abbildung 5.56), müssen Sie sicherstellen, dass zwischen den beiden Connectoren eine gesicherte Verbindung erstellt wird (entweder IPSec oder VPN). Erstellen Sie in den beiden Organisationen auf jeweils einem Hub-Transport-Server einen Sendeconnector, der als Quellserver einen oder mehrere Hub-Transport-Server in seiner Organisation verwendet. Als Smarthost verwenden Sie einen HubTransport-Server der anderen Organisation, und als Adressraum geben Sie die Domäne an, die zwischen den Organisationen weitergeleitet wird. Beispiel: Eine Organisation ist Bestandteil der Gesamtstruktur contoso.com, die andere Organisation in der Gesamtstruktur microsoft.com. Als Authentifizierungsmechanismus wird in diesem Beispiel die Standardauthentifizierung verwendet (Basic Authentication). Zunächst zeige ich Ihnen die Maßnahmen, die in der Gesamtstruktur contoso.com notwendig sind:
1.
Abbildung 5.56: Erstellen eines neuen Sendeconnectors
254
Der erste Schritt besteht darin, einen Sendeconnector in der Gesamtstruktur contoso.com zu erstellen. Öffnen Sie dazu die Exchange-Verwaltungskonsole, und navigieren Sie zu Organisationskonfiguration/Hub-Transport. Klicken Sie im Aktionsbereich auf Neuer Sendeconnector (siehe Abbildung 5.56).
Connectoren zwischen Exchange-Organisationen
2.
Geben Sie einen eindeutigen Namen für den Connector ein, der klarstellt, dass dieser für eine Verbindung zu einer anderen Exchange-Organisation in Ihrem Unternehmen zuständig ist. Wählen Sie als Verwendungszweck Intern aus (siehe Abbildung 5.57).
1 Abbildung 5.57: Erstellen eines gesamtstrukturübergreifenden Connectors
2 3 4
5 6 7 8 9
3. Auf der nächsten Seite legen Sie den Adressraum fest, der die E-Mail-Domäne
4.
der anderen Gesamtstruktur umfasst. Klicken Sie auf Hinzufügen, und geben Sie den Adressraum ein. Bestätigen Sie Ihre Eingabe (siehe Abbildung 5.58). Verwenden Sie den Platzhalter *, schickt der Connector an alle Domänen E-Mails, die er nicht selbst verwaltet. Konfigurieren Sie einen weiteren Connector, der zum Beispiel für die Domäne microsoft.com zuständig ist, werden alle E-Mails an die Domäne microsoft.com über den neuen Connector zugestellt, auch wenn Sie einen Connector mit dem Platzhalter * definiert haben. Exchange prüft, ob es für eine Internetdomäne einen eigenen Connector gibt, und verwendet diesen. Auf der nächsten Seite des Assistenten legen Sie den Smarthost fest, zu dem die Mails gesendet werden sollen. Hier tragen Sie den FQDN des Hub-TransportServers ein, zu dem Sie die Mails senden wollen. Falls Sie TLS verwenden, dürfen Sie hier nicht die IP-Adresse eintragen, sondern müssen zwingend den FQDN verwenden. Achten Sie in diesem Fall auch auf die korrekte Konfiguration der Namensauflösung (siehe Kapitel 18).
10 11 12 13 14 15
255
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.58: Festlegen des Adressraums für den gesamtstrukturübergreifenden Connector
Abbildung 5.59: Konfiguration des Smarthosts
256
Connectoren zwischen Exchange-Organisationen
5. Auf der nächsten Seite konfigurieren Sie die Authentifizierung für den Connector. Aktivieren Sie hier zunächst die Standardauthentifizierung und die Option Standardauthentifizierung über TLS. Geben Sie im Anschluss den Benutzernamen des Benutzerkontos ein, das Sie zuvor angelegt haben. Sie können hier auch mit dem UPN arbeiten (zum Beispiel [email protected] statt microsoft\connect). 6. Auf der nächsten Seite legen Sie den Hub-Transport-Server in Ihrer Organisation fest, über den die E-Mails zur anderen Organisation gesendet werden sollen. 7. Schließen Sie die Erstellung des Connectors ab, wie weiter vorne in diesem Kapitel bereits beschrieben. 8. Testen Sie den Connecor. Sollten Schwierigkeiten beim Versenden auftreten, geben Sie über ADSI-Edit der Gruppe Anonymous-Anmeldung mehr Rechte; zunächst reichen Leserechte aus. 9. Gehen Sie in der anderen Organisation analog vor.
1 2 3 4 Abbildung 5.60: Konfiguration der Authentifizierung für den Smarthost
5 6 7 8 9 10 11 12
Gesamtstrukturübergreifende Connectoren mit externer Sicherheit Wollen Sie einen Sendeconnector erstellen, der keine eigene Authentifizierung verwendet, sondern auf einer externen Sicherheitsfunktion wie IPSec oder VPN aufbaut, gehen Sie grundsätzlich so vor, wie zuvor beschrieben. Allerdings müssen Sie die Authentifizierung für den Smarthost anders wählen (siehe Abbildung 5.61). Hier aktivieren Sie die Option Extern gesichert (zum Beispiel mit IPSec).
13 14 15
Die weitere Einrichtung des Sendeconnectors ist identisch mit der Standardauthentifizierung mit oder ohne TLS.
257
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.61: Smarthost-Authentifizierung bei externer Sicherheit
Arbeiten Sie mit der externen Sicherheit, müssen Sie allerdings auf dem empfangenden Hub-Transport-Server einen dedizierten Empfangsconnector erstellen, der die EMails von diesem Sendeconnector entgegennimmt. Gehen Sie dazu folgendermaßen vor:
1. 2.
Starten Sie auf einem Exchange Server in der Organisation des empfangenden Hub-Transport-Servers die Exchange-Verwaltungskonsole. Navigieren Sie zu Serverkonfiguration/Hub-Transport, und klicken Sie auf Neuer Empfangsconnector im Aktionsbereich (siehe Abbildung 5.62).
Abbildung 5.62: Erstellen eines neuen Empfangsconnectors
3. Legen Sie auf der ersten Seite einen passenden Namen fest, und verwenden Sie als Verwendungszweck Intern (siehe Abbildung 5.63).
258
Connectoren zwischen Exchange-Organisationen
Abbildung 5.63: Erstellen eines neuen Empfangsconnectors
1 2 3 4
5 6 7 4. Auf der nächsten Seite legen Sie die Remote-Netzwerkeinstellungen fest. Löschen Sie hier die vorhandenen Einträge, und fügen Sie die IP-Adresse des sendenden Hub-Transport-Servers ein (siehe Abbildung 5.64). Hier können Sie keine Namen verwenden, sondern lediglich einzelne IP-Adressen oder IPAdressbereiche.
8 9 Abbildung 5.64: Konfiguration der Remote-Netzwerkeinstellungen
10 11 12 13 14 15
259
Hub-Transport, Edge-Transport und Nachrichtenrouting
5. Schließen Sie die Erstellung des Connectors ab. Sie können die Authentifizierung für diesen Connector jederzeit in den Eigenschaften abändern sowie die Berechtigungen über ADSI-Edit steuern.
5.7.2
Connectoren zwischen Exchange Server 2007- und Exchange Server 2003-Organisationen
Wollen Sie eine Exchange Server 2007-Organisation mit einer Exchange Server 2003Organisation verbinden, müssen Sie ebenfalls dedizierte Connectoren für die Kommunikation erstellen. Zusätzlich sind weitere Maßnahmen notwendig, damit die entsprechenden Berechtigungen funktionieren und der Nachrichtenfluss aufgebaut werden kann. Gehen Sie folgendermaßen vor:
1.
2.
Erstellen Sie in der Gesamtstruktur, in der sich die Exchange Server 2003-Organisation befindet, ein neues Benutzerkonto. Nehmen Sie dieses Konto in die Gruppe Exchange Domain Servers in der Domäne auf, in der sich der Exchange Server 2003-Smarthost befindet, zu dem Sie die E-Mails senden wollen. Durch diese Gruppenaufnahme erhält der Benutzer hohe Berechtigungen in der Exchange Server 2003-Organisation, arbeiten Sie daher mit sicheren Kennwörtern. In dieser Gruppe werden alle Exchange Server der Domäne aufgenommen. Diese Gruppe darf keinesfalls aus dem Container Users verschoben werden, da ansonsten der Recipient Update Service unter Exchange Server 2003 die Benutzer dieser Domäne nicht mehr an Exchange anbindet. Außerdem gibt es noch die Gruppe Exchange Enterprise Servers in einer Exchange Server 2003-Organisation. Diese Gruppe enthält alle Exchange Domain Server-Gruppen aller Domänen des Active Directory. Die Aufnahme dieser Gruppen erfolgt ständig dynamisch durch den Recipient Update Service. Legen Sie in der Exchange Server 2007-Gesamtstruktur ein neues Benutzerkonto an. Nehmen Sie dieses Benutzerkonto in der Exchange Server 2007-Gesamtstruktur in die Sicherheitsgruppe Exchange2003Interop auf.
Abbildung 5.65: Sicherheitsgruppe in der Exchange Server 2007-Organisation
3. Erstellen Sie einen neuen Sendeconnector wie bereits beschrieben. Legen Sie als
4.
260
Verwendungszweck Legacy fest. Tragen Sie als Smarthost den Bridgeheadserver der Exchange Server 2003-Organisation ein. Ändern Sie die Authentifizierung auf Standardauthentifizierung, und hinterlegen Sie den Anmeldenamen sowie das Kennwort für den Anwender in der Exchange Server 2003-Organisation. Im Anschluss erstellen Sie auf dem Bridgehead-Server in der Exchange Server 2003-Organisation einen SMTP-Connector, der als Smarthost den Hub-Transport-Server in der Exchange Server 2007-Organisation verwendet.
Praxisworkshop: Relaying für Applikationsserver erlauben
5. Geben Sie im Adressraum des SMTP-Connectors die E-Mail-Domäne ein, die Sie
6.
zur Exchange Server 2007-Organisation weiterleiten wollen. Hinterlegen Sie Authentifizierungsinformationen des Anwenders, den Sie in der Exchange Server 2007-Organisation angelegt haben. Arbeiten Sie neben der Standardauthentifizierung mit TLS, müssen Sie in den Eigenschaften des virtuellen SMTP-Servers unter Exchange Server 2003 ein Zertifikat hinterlegen.
5.8
1 2
Praxisworkshop: Relaying für Applikationsserver erlauben
3
In vielen Unternehmen gibt es Server, zum Beispiel ERP-, CRM- oder auch SharePointServer, die für ihre Funktionen einen E-Mail-Server auf SMTP-Basis ansprechen müssen, um E-Mails zu senden. Was früher ohne Probleme möglich war, ist spätestens seit Exchange Server 2007 vor allem für ungeübte Administratoren eine echte Herausforderung. In diesem Abschnitt gehe ich daher ausführlicher darauf ein, wie Sie für einzelne Server das Relaying über einen Exchange Server 2007 erlauben können.
4
5
Funktioniert die E-Mail-Funktion Ihres Applikationsservers nicht, testen Sie die weiter hinten im Kapitel beschriebene Möglichkeit, per Telnet E-Mails zu senden. Ist das Relaying für den Server deaktiviert, erhalten Sie die Meldung 550 5.7.1 Unable to relay. Die Lösung dieses Problems sollte sein, dem Server das Relaying zu erlauben, aber anderen Servern nicht, auch wenn diese nicht mit dem Internet verbunden sind. Die Relay-Einschränkungen einer Exchange-Organisation sollten so restriktiv wie möglich sein.
6 7 8
Der optimale Weg, über einen Exchange Server E-Mails zu senden, ist, dass sich interne Server authentifizieren. In diesem Fall nimmt ein Exchange Server 2007 mit seinem Empfangsconnector schon mal mehr E-Mails an als ohne Authentifizierung.
5.8.1
9
Einrichten eines Empfangsconnectors für einen internen Applikationsserver
10
Ist es Ihrer Applikation nicht möglich, sich am Exchange Server anzumelden, ist der beste Weg, einen eigenen Empfangsconnector zu erstellen, der Ihren Servern das Relaying erlaubt.
1.
2.
3.
11
Um einen Empfangsconnector für Ihren Applikationsserver zu erstellen, klicken Sie mit der rechten Maustaste im Ergebnisbereich im Menü Serverkonfiguration/Hub-Transport/<Servername>, und wählen Sie die Option Neuer Empfangsconnector (siehe Abbildung 5.66). Geben Sie dem Connector einen passenden Namen, und lassen Sie auf dem Startfenster die vorgesehene Verwendung auf Benutzerdefiniert (siehe Abbildung 5.67). Auf der nächsten Seite Lokale Netzwerkeinstellungen können Sie alle Einstellungen belassen, wie sie sind. Hier legen Sie fest, auf welchen IP-Adressen der HubTransport-Server auf neue E-Mails für den Connector hört.
12 13 14 15
261
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.66: Erstellen eines neuen Empfangsconnectors
Abbildung 5.67: Assistent zum Erstellen eines neuen Empfangsconnectors
4. Auf der nächsten Seite Remote-Netzwerkeinstellungen fügen Sie die IP-Adressen der internen Server hinzu, denen Sie das Relaying erlauben wollen. Halten Sie den Bereich so klein wie möglich, und verwenden Sie am besten nur die IP-Adressen der Server, denen Sie das Relaying erlauben wollen (siehe Abbildung 5.68). Löschen Sie alle anderen Bereiche aus dem Connector. Haben Sie die IP-Adressen hinterlegt, können Sie mit Weiter auf die nächste Seite gehen.
262
Praxisworkshop: Relaying für Applikationsserver erlauben
Abbildung 5.68: Konfiguration der Remote-Netzwerkeinstellungen
1 2 3 4
5 6 7 5. Schließen Sie die Erstellung des Connectors ab. Anschließend wird der Connec-
8
tor in der Exchange-Verwaltungskonsole angezeigt. Konfiguration des neuen Empfangsconnectors Um die notwendige Konfiguration abzuschließen, rufen Sie die Eigenschaften des neuen Empfangsconnectors auf (siehe Abbildung 5.69). Wechseln Sie zunächst zur Registerkarte Berechtigungsgruppen, und setzen Sie den Haken bei der Option Exchange Server.
9 10
Wechseln Sie als Nächstes auf die Registerkarte Authentifizierung (siehe Abbildung 5.70). Aktivieren Sie die Option Extern gesichert (zum Beispiel mit IPSec). Bestätigen Sie die Eingaben, und testen Sie, ob die konfigurierten Applikationsserver jetzt über Exchange E-Mails senden dürfen.
11
Weitere Optionen für die Konfiguration von Relaying Bei einem anderen Weg, dieses Problem zu lösen, erlauben Sie anonymen Benutzern das Relaying über den erstellten Connector. Weil Sie bei der Erstellung des Connectors nur den IP-Adressen Zugriff gewährt haben, die relayen dürfen, wird auch nur diesen IP-Adressen der Zugriff gewährt. Da sich die Applikationsserver beziehungsweise die installierten Applikationen nicht an Exchange authentifizieren können (sonst müssten Sie gar keinen neuen Empfangsconnector erstellen, siehe zu Beginn dieses Praxisworkshops), werden diese Applikationen als anonym angesehen:
12
Rufen Sie daher zunächst die Eigenschaften des neuen Empfangsconnectors auf, und wechseln Sie auf die Registerkarte Berechtigungsgruppen (siehe Abbildung 5.70). Aktivieren Sie die Option Anonyme Benutzer.
15
13 14
263
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.69: Konfiguration der Berechtigungsgruppen für einen Empfangsconnector
Abbildung 5.70: Aktivieren von Relaying für anonyme Benutzer
Durch diese Konfiguration nimmt der Connector von den konfigurierten IP-Adressen zwar anonyme Verbindungen entgegen, allerdings erlaubt er noch nicht das Relaying von diesen Servern. Damit er E-Mails entgegennimmt, müssen Sie zunächst die Exchange-Verwaltungsshell öffnen. Geben Sie den Befehl …
264
Warteschlangen (Queues)
Get-ReceiveConnector | Add-ADPermission -User Anonymous-Anmeldung« -ExtendedRights ms-Exch-SMTP-Accept-Any-Recipient« … ein (siehe Abbildung 5.71). Auf englischen Servern verwenden Sie den Befehl Get-ReceiveConnector | Add-ADPermission -User Anonymous Logon« -ExtendedRights ms-Exch-SMTP-Accept-Any-Recipient«.
1
Abbildung 5.71: Aktivieren von Relaying für anonyme Benutzer
2 3 4
5
Bei dieser Art der Berechtigung werden die E-Mails allerdings noch über die Transportregeln, zum Beispiel auch Antispam, geschickt.
5.9
6
Warteschlangen (Queues)
Ein weiterer wichtiger Bereich, auch für die Überwachung eines Exchange Servers, ist die Verwaltung der Warteschlangen und des Nachrichten-Trackings. Zu den regelmäßigen Tätigkeiten eines Exchange-Administrators gehört die Überwachung der Warteschlangen seines Servers. Alle ein- und ausgehenden E-Mails werden in die einzelnen Warteschlangen gestellt, bevor sie zugestellt werden. Sie können mithilfe der Warteschlangen sehr schnell feststellen, ob Probleme beim Versenden von E-Mails auftreten oder nicht. Mithilfe der Warteschlangen können Sie zudem den E-Mail-Verkehr eines Exchange Servers nach außerhalb, auf andere Exchange Server oder ins Internet stoppen, ohne die Benutzer zu beeinträchtigen.
7 8 9
In Exchange Server 2007 werden die Daten der Warteschlangen in einer ESE-Datenbank gespeichert (genauso wie die E-Mail-Datenbanken, siehe Kapitel 6). Die Verwaltung von Warteschlangen wurde in Exchange Server 2007 im Vergleich zu seinen Vorgängern deutlich überarbeitet.
5.9.1
10 11
Erster Einblick in die Warteschlangenanzeige 12
Für den Nachrichtenfluss in der Organisation sind nur die beiden Rollen Hub-Transport-Server und Edge-Transport-Server zuständig. Aus diesem Grund werden die Warteschlangen der Exchange-Organisation auch auf diesen Servern verwaltet.
13
Die Warteschlangen verwalten Sie am besten über die Exchange-Verwaltungskonsole. Die Verwaltung findet über das Menü Toolbox/Warteschlangenanzeige statt (siehe Abbildung 5.72).
14
Sie können sich in der Warteschlangenanzeige mit allen Hub-Transport- und EdgeTransport-Servern in Ihrem Unternehmen verbinden und sich alle Warteschlangen an zentraler Stelle anzeigen lassen.
15
Die Warteschlangenanzeige in Exchange Server 2007 zeigt nicht mehr alle Warteschlangen an, sondern nur die, in denen Nachrichten enthalten sind, die zugestellt werden müssen. Die einzige Ausnahme ist die Standardwarteschlange Übermittlung. 265
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.72: Verwaltung der Warteschlangen mithilfe des Queue Viewers in der Exchange-Verwaltungskonsole
Abbildung 5.73: Verwaltung der Warteschlangen in Exchange Server 2007 in der Warteschlangenanzeige
Über den Link Verbindung mit dem Server herstellen können Sie eine Verbindung zu jedem beliebigen Hub-Transport- oder Edge-Transport-Server (wenn ein Abonnement existiert) herstellen (siehe Abbildung 5.74). Abbildung 5.74: Verbindungsaufbau mit einem anderen Transport-Server in der Warteschlangenanzeige
266
Warteschlangen (Queues)
Über das Menü Ansicht können Sie verschiedene Einstellungen in der Warteschlangenanzeige anpassen, zum Beispiel auch die Optionen oder welche Registerkarten angezeigt werden sollen (siehe Abbildung 5.75). Abbildung 5.75: Konfiguration der Warteschlangenanzeige
1 2 3 4
Über die Schaltfläche Filter erstellen können Sie die Warteschlangen und Nachrichten nach speziellen Kriterien anzeigen lassen (siehe Abbildung 5.76). Abbildung 5.76: Erstellen von Filtern für die Ansicht der Warteschlangen
5 6 7
Vor allem auf Servern mit starkem Nachrichtenfluss kann es sehr hilfreich sein, wenn Sie nach bestimmten Warteschlangen oder Nachrichten suchen können.
8 Abbildung 5.77: Erstellen eines Filters für den Queue Viewer
9 10 11
Neben der Warteschlangenanzeige in der Exchange-Verwaltungskonsole können Sie sich die Warteschlangen auch in der Exchange-Verwaltungsshell anzeigen lassen. Über den Befehl get-queue werden Ihnen alle aktuellen Warteschlangen auf dem lokalen Server angezeigt (siehe Abbildung 5.78).
12
Abbildung 5.78: Anzeigen von Warteschlangen in der ExchangeVerwaltungsshell
13 14 15
Über den Befehl get-queue |format-list (das Pipe: | erhalten Sie über die Tastenkombination (Alt_Gr) + (>) erhalten Sie eine ausführlichere, formatierte Liste der Warteschlangen (siehe Abbildung 5.79). 267
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.79: Formatierte Liste der Warteschlangen in der ExchangeVerwaltungsshell
5.9.2
Warteschlangentypen in Exchange Server 2007
Abhängig vom Nachrichtenrouting werden E-Mails zunächst in bestimmten Warteschlangen gespeichert, bevor sie zugestellt werden können. Exchange Server 2007 stellt dazu verschiedene Arten von Warteschlangen zur Verfügung.
Submission Queue In diese Warteschlange werden alle eingehenden Nachrichten zuerst abgelegt, die vom Categorizer zunächst klassifiziert werden müssen. Der Categorizer legt fest, wohin eine Nachricht zugestellt und ob diese intern verbleibt oder ins Internet versendet werden soll. Der Categorizer liest zum Beispiel auch aus Verteilerlisten die einzelnen Empfänger aus, damit die Nachrichten zugestellt werden können. In dieser Warteschlange landen daher alle E-Mails, die durch SMTP oder das Pickup-Verzeichnis (siehe Kapitel 3) zugestellt werden. Diese Warteschlange gibt es auf jedem Transport-Server (Hub-Transport oder Edge-Transport) nur einmal. Erst wenn der Categorizer die Nachricht klassifiziert hat, wird sie in die entsprechende Zustellungswarteschlange gestellt.
Mailbox Delivery Queue In diese Warteschlange werden E-Mails gestellt, die von Hub-Transport-Servern per gesicherter RPC-Verbindung über MAPI zu Mailboxservern zugestellt werden sollen. Diese Warteschlange gibt es nur auf Hub-Transport-Servern. Sie enthält auch nur die Nachrichten, die zu Mailboxservern am gleichen Standort wie der entsprechende Hub-Transport-Server zugestellt werden sollen. Auf einem Hub-Transport-Server können mehrere Mailbox Delivery Queues existieren.
268
Warteschlangen (Queues)
Remote Delivery Queue In dieser Warteschlange werden E-Mails gespeichert, die auf andere Server per SMTP übertragen werden sollen. Aus diesem Grund können diese Warteschlangen sowohl auf Hub-Transport-Servern als auch auf Edge-Transport-Servern mehrmals existieren. In jeder einzelnen Remote Delivery Queue werden die Nachrichten gespeichert, die zum gleichen Server übertragen werden müssen. Auf Hub-Transport-Servern enthält diese Warteschlange E-Mails, die zu anderen Servern in anderen Active Directory-Standorten zugestellt werden sollen. Bei Edge-TransportServern handelt es sich um Nachrichten, die an andere Domänen, zum Beispiel ins Internet, zugestellt werden sollen. Diese Warteschlangen werden dynamisch erstellt und automatisch drei Minuten nach dem Zustellen der letzten E-Mail aus der Warteschlange wieder gelöscht.
1 2 3
Abbildung 5.80: Remote Delivery Queues in Exchange Server 2007
4
5 6 7 8
Poison Message Queue
9
In diese Warteschlange werden Nachrichten gespeichert, die Exchange Server 2007 nach einem Serverabsturz als gefährlich für das System klassifiziert. Diese Warteschlange sollte immer leer sein. Ist das der Fall, wird die Warteschlange nicht angezeigt, wenn Sie die Warteschlangenanzeige öffnen.
10
Unreachable Queue
11
In dieser Warteschlange werden alle Nachrichten gespeichert, die nicht zugestellt werden können. Diese Warteschlange gibt es auf Hub-Transport- und Edge-Transport-Servern immer nur einmal.
5.9.3
12
Verwalten von Warteschlangen 13
Sie können Warteschlangen überwachen oder direkt in den Nachrichtenfluss eingreifen. Dazu stehen Ihnen verschiedene Möglichkeiten zur Verfügung (siehe Abbildung 5.81): ■
14
Warteschlangen anhalten: Klicken Sie mit der rechten Maustaste auf eine Warteschlange, können Sie aus dem Menü Anhalten auswählen. In diesem Fall können zwar die Anwender weiterhin E-Mails schreiben, die zur Warteschlange auch zugestellt werden, allerdings verlassen keine Mails mehr den Server, sondern bleiben in der Warteschlange erhalten.
15
269
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.81: Anhalten einer Warteschlange
Angehaltene Warteschlangen werden mit einem eigenen Symbol in der Warteschlangenanzeige aufgeführt (siehe Abbildung 5.82). Abbildung 5.82: Angehaltene Warteschlange im Exchange Queue Viewer
■
Warteschlangen fortsetzen: Klicken Sie mit der rechten Maustaste auf eine angehaltene Warteschlange, können Sie diese über den Menüpunkt Fortsetzen wieder aktivieren (siehe Abbildung 5.83). In diesem Fall werden alle enthaltenen Nachrichten sofort zugestellt.
■
Warteschlangen wiederholen: Kann eine Nachricht aus der Warteschlange nicht zugestellt werden, wird nach einiger Zeit automatisch eine Wiederholung gestartet. Über das Kontextmenü oder den Aktionsbereich einer Warteschlange können Sie den Befehl Wiederholen auswählen. In diesem Fall wird die Zustellung der Nachricht sofort durchgeführt, auch wenn der Zeitplan noch keine Wiederholung vorsieht (siehe Abbildung 5.84).
Abbildung 5.83: Fortsetzen von angehaltenen Warteschlangen
270
Warteschlangen (Queues)
Abbildung 5.84: Wiederholen des Sendens von Nachrichten
1 2 3 4 ■
Nachrichten entfernen (mit Unzustellbarkeitsbericht): Wählen Sie diesen Menüpunkt im Kontextmenü oder dem Aktionsbereich aus, wird die Nachricht gelöscht, und der Absender erhält einen Unzustellbarkeitsbericht, er erfährt also, dass seine E-Mail nicht zugestellt werden konnte (siehe Abbildung 5.85).
5 6 Abbildung 5.85: Anzeigen eines Unzustellbarkeitsberichts nach dem Löschen
7 8 9 10 11 12 13
■
Nachrichten entfernen (ohne das Senden von Unzustellbarkeitsbericht): Wählen Sie diesen Menüpunkt aus, wird die Nachricht gelöscht, aber die Absender der E-Mails erhalten keinerlei Benachrichtigungen darüber. Sie erkennen bereits an der Anzeige der Warteschlangen, welchen Status diese haben. Schon allein durch diesen schnellen Überblick sehen Sie, ob der Nachrichtenfluss in Ihrer Exchange-Organisation funktioniert (siehe Abbildung 5.86).
14 15
271
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.86: Status von Warteschlangen im Queue Viewer überwachen
■
Fehlerfreier Status einer Warteschlange: Befindet sich der Status einer Warteschlange im normalen Zustand und können Nachrichten aus dieser Warteschlange ohne Probleme zugestellt werden, wird diese als aktiv gekennzeichnet (siehe Abbildung 5.87). Konnten E-Mails aus dieser Warteschlange fehlerfrei zugestellt werden und befinden sich keine E-Mails mehr in dieser Warteschlange, wird diese als fehlerfrei gekennzeichnet.
■
Können E-Mails aus einer Warteschlange nicht zugestellt werden, erhält diese nach einiger Zeit den Status Fehler. Entgegen der sonstigen Kennzeichnung von Microsoft ist die Ansicht dieses Status etwas verwirrend, da er blau hervorgehoben wird (siehe Abbildung 5.88). Befindet sich eine Warteschlange in diesem Zustand, kann eine Nachricht nicht zugestellt werden. Exchange versucht, diese E-Mails dennoch zuzustellen, da eventuell nur ein temporäres Verbindungsproblem vorliegt. Befindet sich eine Warteschlange in diesem Status, sollten Sie jedoch in jedem Fall überprüfen, welches Problem vorliegt. Werden Nachrichten nicht zugestellt, liegt eventuell ein Problem mit der Namensauflösung vor. Zunächst sollten Sie testen, ob das Problem nur temporär ist, und die Warteschlange erneut zur Verbindung zwingen. Klicken Sie dazu mit der rechten Maustaste auf diese Warteschlange, und wählen Sie aus dem Menü Wiederholen.
Abbildung 5.87: Aktive und bereite Warteschlange
Abbildung 5.88: Anzeigen von Warteschlangen mit Problemen bei der Zustellung
Klicken Sie auf eine Warteschlange doppelt, können Sie sich den Inhalt der Warteschlange anzeigen lassen. Klicken Sie einzelne E-Mails in den Warteschlangen mit der rechten Maustaste an, können Sie auch hier verschiedene Aktionen durchführen, die analog zur Warteschlange sind, aber nur die ausgewählten E-Mails betreffen (siehe Abbildung 5.89). Über die Eigenschaften einer Nachricht erhalten Sie ausführliche Informationen, zum Beispiel auch den SCL-Wert (siehe Kapitel 13). Über den Befehl get-message können Sie sich die Nachrichten in den Warteschlangen eines Servers in der Exchange-Verwaltungsshell anzeigen lassen (siehe Abbildung 5.90).
272
Warteschlangen (Queues)
Abbildung 5.89: Verwalten von Nachrichten in den Warteschlangen
1 2 3 4 Abbildung 5.90: Anzeigen der Nachrichten in den Warteschlangen eines Servers
5 6 7
Sie können sich eine ausführlichere, formatierte Liste der Nachrichten in den Warteschlangen über den Befehl get-message |format-list anzeigen lassen (siehe Abbildung 5.91).
8 Abbildung 5.91: Anzeigen einer formatierten Liste der E-Mails in den Warteschlangen
9 10 11 12
5.9.4
Verwalten der Warteschlangen-Datenbank 13
Die ESE-Datenbank (siehe Kapitel 6) der Warteschlangen wird standardmäßig im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\data\Queue gespeichert (siehe Abbildung 5.92).
14
Wie bei allen ESE-Datenbanken werden Aktionen zunächst in den Transaktionsprotokollen (siehe Kapitel 6), im Arbeitsspeicher und dann erst auf Platte abgelegt. Die Warteschlangen-Datenbank verwendet die Umlaufprotokollierung (siehe ebenfalls Kapitel 6). Aus diesem Grund kann die Datenbank nicht ohne Weiteres zur Wiederherstellung von E-Mails verwendet werden. Im Verzeichnis der WarteschlangenDatenbank gibt es verschiedene Dateien, die beim Versenden von E-Mails über Exchange Server 2007 eine erhebliche Rolle spielen:
15
273
Hub-Transport, Edge-Transport und Nachrichtenrouting
■ ■
Mail.que – Diese Datei enthält die Datenbank der Warteschlangen. Temp.edb – Diese temporäre Datenbank dient zur Verifizierung des Schemas der Warteschlangen-Datenbank und wird beim Starten des Servers benötigt.
Abbildung 5.92: Verzeichnis der WarteschlangenDatenbank in Exchange Server 2007
■
■
■
Abbildung 5.93: Anzeigen der Eigenschaft einer Nachricht im Queue Viewer
274
Trn*.log – Bei dieser Datei handelt es sich um das Transaktionsprotokoll der Datenbank. Bei aktiveren Servern werden mehrere Transaktionsprotokolle angelegt, sobald die Datei ihre maximale Größe hat. Die Datei trn.log ist aber immer die aktive Transaktionsprotokolldatei; die anderen Dateien sind Archive, die bereits in die Datenbank mail.que geschrieben worden sind. Trch.chk – Bei dieser Datei handelt es sich um die Checkpoint-Datei. Sie enthält die Informationen darüber, welche Transaktionen bereits in die Datenbank geschrieben wurden (siehe Kapitel 6). Trnres00001.jrs und trnres00002.jrs – Bei diesen beiden Dateien handelt es sich um Platzhalter für die Transaktionsprotokolldateien. Sie werden nur verwendet, wenn der Festplattenplatz nicht mehr ausreicht, um neue Transaktionsprotokolldateien anzulegen.
Nachrichtenverfolgung (Message Tracking)
5.10
Nachrichtenverfolgung (Message Tracking)
Die Nachrichtenverfolgung gehört zu den wichtigsten Werkzeugen bei der Diagnose und Überwachung Ihrer Exchange-Organisation. Sie können sich mithilfe der Nachrichtenverfolgung die zugestellten E-Mails und deren Informationen anzeigen lassen. Die Nachrichtenverfolgung greift auf Protokolldateien zu, in denen das Versenden der Nachrichten protokolliert wird. Diese Protokolldateien finden Sie nur auf HubTransport-, Edge-Transport- und Mailboxservern. Auf Client-Access- und UnifiedMessaging-Servern werden keine Protokolldateien für die Nachrichtenverfolgung gespeichert.
1
5.10.1
4
2 3
Verwalten der Protokolldateien
Standardmäßig finden Sie die Protokolldateien für die Nachrichtenverfolgung im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking (siehe Abbildung 5.94).
5 Abbildung 5.94: Protokolldateien für die Nachrichtenverfolgung
6 7 8 9
Die Bezeichnung der Protokolldateien ist auf Servern mit unterschiedlichen Exchange-Rollen verschieden gewählt. Auf Hub-Transport- und Edge-Transport-Servern sind die Protokolldateien nach dem Format MSGTRKyyyymmdd.log bezeichnet, auf Mailboxservern nach dem Format MSGTRKMyyyymmdd.log. Hat eine Protokolldatei ihre maximale Größe erreicht, wird eine neue Datei angelegt, und es findet eine Durchnummerierung statt.
10 11
Die Protokolldateien werden im Textformat abgespeichert. Die einzelnen Werte sind durch Komma voneinander getrennt (CSV). Jede Protokolldatei hat einen eigenständigen Header, der verschiedene Informationen enthält (siehe Abbildung 5.95): ■ ■ ■ ■ ■
12
#Software – Hier wird protokolliert, durch welche Anwendung die Datei erstellt wurde, in diesem Fall Microsoft Exchange Server. #Version – Hier sehen Sie die Version der Anwendung, die das Protokoll erstellt hat. Bei Exchange Server 2007 ist das 8.0.0.0. #Log-Type – Hier sehen Sie, um welche Art von Protokolldatei es sich handelt. Es handelt sich normalerweise um Message Tracking Log. #Date – Hier werden die UTC-Zeit und das Datum festgehalten, an dem das Protokoll erstellt wurde. #Fields – Ab diesem Bereich kommen die kommagetrennten Werte der Protokolldatei, die für die Nachrichtenverfolgung verwendet werden.
13 14 15
275
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.95: Anzeigen von Protokolldateien und Überprüfen des Headers
In den Protokolldateien wird nicht der Text der E-Mails gespeichert, sondern nur der Betreff sowie der Zeitpunkt des Sendens und der Zustellung.
5.10.2 Konfiguration der Nachrichtenverfolgung Im Gegensatz zu seinen Vorgängern ist bei Exchange Server 2007 die Nachrichtenverfolgung auf allen Servern mit den Rollen Hub-Transport, Edge-Transport und Mailbox bereits standardmäßig aktiviert.
INFO
Um die Einstellungen der Nachrichtenverfolgung anzupassen, müssen Sie die Exchange-Verwaltungsshell verwenden. Die Nachrichtenverfolgung kann nicht in der Exchange-Verwaltungskonsole konfiguriert werden. Zur Konfiguration der Nachrichtenverfolgung werden die beiden Befehle set-mailboxserver und set-transportserver verwendet.
Aktivieren und Deaktivieren der Nachrichtenverfolgung Sie können über die Exchange-Verwaltungsshell die Nachrichtenverfolgung auf einzelnen Servern deaktivieren, wenn diese nicht gewünscht ist. Auf dem gleichen Weg können Sie die Nachrichtenverfolgung auch wieder aktivieren. ■
■
Um die Nachrichtenverfolgung auf Transport-Servern zu deaktivieren, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogEnabled:$false (siehe Abbildung 5.96). Über den Befehl set-transportserver <Servername> -MessageTrackingLogEnabled:$true aktivieren Sie die Nachrichtenverfolgung auf Transport-Servern wieder (siehe Abbildung 5.96).
Abbildung 5.96: Deaktivieren und Aktivieren der Nachrichtenverfolgung
Auf Mailboxservern können Sie die Nachrichtenverfolgung über die folgenden beiden Befehle aktivieren oder deaktivieren:
276
Nachrichtenverfolgung (Message Tracking)
■
■
Um die Nachrichtenverfolgung auf Mailboxservern zu deaktivieren, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogEnabled: $false (siehe Abbildung 5.97). Über den Befehl set-mailboxserver <Servername> -MessageTrackingLogEnabled: $true aktivieren Sie die Nachrichtenverfolgung auf Mailboxservern wieder (siehe Abbildung 5.97).
1 2
Ändern des Speicherorts für die Protokolldateien der Nachrichtenverfolgung Standardmäßig finden Sie die Protokolldateien für die Nachrichtenverfolgung im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\Message Tracking.
3 4
Viele Unternehmen wollen die Protokolldateien für die Nachrichtenverfolgung an einen anderen Speicherort verlegen. Achten Sie beim Ändern des Speicherorts aber darauf, dass Sie die Protokolldateien lokal speichern lassen, nicht auf einer Netzwerkfreigabe.
INFO
5 6
Auf einem Cluster sollten Sie die Protokolldateien auf dem gemeinsamen Datenträger ablegen, damit auch beim Ausfall eines Knotens und bei dem darauffolgenden Failover die Nachrichtenverfolgung weiterhin zur Verfügung steht.
7 Um den Speicherort der Protokolldateien auf einem Transport-Server anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogPath (siehe Abbildung 5.97).
8 Abbildung 5.97: Anpassen des Speicherorts für Protokolldateien
10
Die Anführungszeichen benötigen Sie grundsätzlich nur, wenn der Pfad Leerzeichen enthält. Sie müssen das Verzeichnis vorher nicht anlegen, der Befehl erstellt selbst das Verzeichnis. Allerdings werden die bereits angelegten Protokolldateien nicht kopiert, sie bleiben in Ihrem ursprünglichen Verzeichnis.
11
Auf Mailboxservern verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogPath .
12
Überprüfen Sie nach dem Ändern des Speicherorts die Berechtigungen für das Verzeichnis der Protokolldateien. Die notwendigen Berechtigungen werden durch den Befehl nicht gesetzt, sondern müssen manuell angepasst werden. Sie sollten ausschließlich folgende Berechtigungen auf den Speicherort der Protokolldateien festlegen (siehe Abbildung 5.98): ■ ■ ■
9
13 14
Administrator – Vollzugriff System – Vollzugriff Netzwerkdienst – Lesen, Schreiben, Unterordner und Dateien löschen. Vor allem die Berechtigungen des Netzwerkdienstes sind wichtig, da der Systemdienst Microsoft Exchange-Transport die Berechtigungen des Netzwerkdienstes dazu verwendet, Protokolldateien anzulegen.
15
277
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.98: Anpassen der Berechtigungen für die Nachrichtenverfolgung
Anpassen der maximalen Größe einer Protokolldatei Standardmäßig darf die Protokolldatei für die Nachrichtenverfolgung eine Größe von etwa 10 MB erreichen. Wird diese Größe erreicht, legt Exchange automatisch eine neue Protokolldatei an. Allerdings werden nur so lange neue Protokolldateien angelegt, bis die entsprechenden Voraussetzungen nicht mehr erfüllt sind: ■
■
Die Größe des Verzeichnisses für die Protokolldateien hat den Grenzwert erreicht. Wie Sie den Grenzwert festlegen, zeige ich Ihnen im nächsten Abschnitt. Die Protokolldatei hat ihr maximales Alter erreicht. Hat eine Protokolldatei ihr maximales Alter erreicht, wird sie durch die Umlaufprotokollierung automatisch gelöscht. Ich zeige Ihnen im übernächsten Abschnitt, wie Sie das maximale Alter der Protokolldatei festlegen.
Um die maximale Größe auf Hub-Transport-Servern oder Edge-Transport-Servern anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogMaxFileSize MB (siehe Abbildung 5.99). Abbildung 5.99: Ändern der maximalen Größe der Protokolldatei für die Nachrichtenverfolgung
Um die maximale Größe auf Mailboxservern anzupassen, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxFileSize MB (siehe Abbildung 5.100). Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden:
278
Nachrichtenverfolgung (Message Tracking)
■ ■ ■ ■
B (Bytes) KB (Kilobytes) GB (Gigabytes) TB (Terabytes)
1
Festlegen der maximalen Größe des Verzeichnisses für die Nachrichtenverfolgung
2
Standardmäßig darf das Verzeichnis der Protokolldateien eine Größe von 250 MB erreichen. Wird dieser Grenzwert erreicht, löscht Exchange automatisch die älteste Protokolldatei im Verzeichnis. Zur maximalen Größe des Verzeichnisses werden alle Protokolldaten hinzugezogen, die das gleiche Präfix haben.
3
Die Protokolldateien auf Hub-Transport- und Edge-Transport-Servern haben das Präfix MSGTRK…Auf Mailboxservern wird das Format MSGTRKM…verwendet. Die Größenbeschränkung, die Sie festlegen, gilt daher immer nur für ein Präfix. Um die Gesamtgröße festzulegen, müssen Sie die beiden Grenzwerte addieren, wenn Sie auf einem Server die Hub-Transport- und Mailboxserver-Rolle installiert haben.
4
5
Um den Grenzwert für das Verzeichnis festzulegen, verwenden Sie den Befehl settransportserver <Servername> -MessageTrackingLogMaxDirectorySize (siehe Abbildung 5.100).
6 Abbildung 5.100: Festlegen der maximalen Größe des Verzeichnisses für die Protokolldateien
Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden: ■ ■ ■ ■
7 8 9
B (Bytes) KB (Kilobytes) GB (Gigabytes) TB (Terabytes)
10
Auf Mailboxservern können Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxDirectorySize verwenden.
11
Festlegen des maximalen Alters der Protokolldateien
12
Neben der maximalen Größe des Verzeichnisses für die Protokolldateien können Sie in der Exchange-Verwaltungsshell auch das maximale Alter von Protokolldateien konfigurieren. Ist dieses Alter erreicht, werden die entsprechenden Protokolldateien gelöscht, wenn im Verzeichnis kein Platz mehr für neue Protokolldateien zur Verfügung steht. Der Standardwert für das maximale Alter sind 30 Tage.
13 14
Um das maximal Alter anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogMaxAge (siehe Abbildung 5.101). Abbildung 5.101: Festlegen des maximalen Alters für Protokolldateien
279
15
Hub-Transport, Edge-Transport und Nachrichtenrouting
Um das maximale Alter der Protokolldateien auf Mailboxservern anzupassen, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxAge . Das Format für das Alter geben Sie nach der Syntax TT.HH:MM:SS ein.
TIPP
Legen Sie als Syntax für Stunden, Minuten und Sekunden 00:00:00 fest, wird verhindert, dass Protokolldateien automatisch beim Erreichen ihres maximalen Alters gelöscht werden. In diesem Fall werden diese Dateien erst gelöscht, wenn der Grenzwert für die Größe des Verzeichnisses erreicht wird.
Protokollierung des Nachrichtenbetreffs In der Nachrichtenverfolgung ist es nicht möglich, den Text der E-Mails zu protokollieren, aber Sie sollten den Betreff der Nachrichten protokollieren lassen. Nur in diesem Fall können Sie das Zustellen von Nachrichten über die Nachrichtenverfolgung verifizieren. Standardmäßig wird der Nachrichtenbetreff in der Nachrichtenverfolgung protokolliert. Sie können diese Funktion aber auf einzelnen Servern deaktivieren oder im Bedarfsfall wieder aktivieren. Verwenden Sie zur Deaktivierung der Protokollierung des Nachrichtenbetreffs den Befehl set-transportserver <Servername> -MessageTrackingLogSubjectLoggingEnabled $true (zum Aktivieren) oder $false (zum Deaktivieren, siehe Abbildung 5.102). Abbildung 5.102: Deaktivieren und Aktivieren der Protokollierung des Nachrichtenbetreffs
Verwenden Sie zur Deaktivierung der Protokollierung des Nachrichtenbetreffs auf Mailboxservern den Befehl set-mailboxerver <Servername> -MessageTrackingLogSubjectLoggingEnabled $true (zum Aktivieren) oder $false (zum Deaktivieren).
5.10.3 Verwenden der Nachrichtenverfolgung Im Gegensatz zur Konfiguration können Sie die Auswertung der Nachrichtenverfolgung auch in der Exchange-Verwaltungskonsole durchführen. Die Nachrichtenverfolgung finden Sie in der Exchange-Verwaltungskonsole über das Menü Toolbox/Nachrichtenverfolgung (siehe Abbildung 5.103). Die Oberfläche der Nachrichtenverfolgung wurde im Vergleich zu Exchange Server 2007 angepasst. Sie können Nachrichten auf Basis verschiedener Filter nachverfolgen. Sie müssen mindestens ein Kriterium eingeben, nach dem Sie suchen wollen. Sie können hier die verschiedenen Kriterien auch kombinieren. Bei Servern mit hohem E-Mail-Fluss bietet es sich an, die Suchkriterien so eng wie möglich zu wählen. Haben Sie alle gewünschten Kriterien eingegeben, können Sie die Nachrichten suchen lassen. Es werden alle Nachrichten als Ergebnis zurückgegeben, die Ihren Kriterien entsprechen und innerhalb des Aufbewahrungszeitraums der Protokolldateien liegen.
280
Nachrichtenverfolgung (Message Tracking)
Abbildung 5.103: Starten der Nachrichtenverfolgung in der Exchange-Verwaltungskonsole
1 2 3 4
5 6
Wenn Sie eine Nachricht gefunden haben, können Sie zunächst entscheiden, ob Sie den E-Mail-Fluss dieser Nachricht weiterverfolgen oder deren Eigenschaften betrachten wollen. Rufen Sie die Eigenschaften der Nachricht auf, erhalten Sie Informationen über Absender und Empfänger der Nachricht. Zusätzlich bekommen Sie alle maßgeblichen Informationen der E-Mail wie Sendedatum, Server, Größe der Nachricht, Priorität und Verschlüsselung angezeigt. Außerdem erfahren Sie die interne ID der Nachricht, mit deren Hilfe Sie jederzeit speziell nach dieser Nachricht suchen können. Diese Nachrichten-ID (Message-ID) wird auch beim Transport der Nachricht zu anderen Mailsystemen nicht verändert und kann somit dort auch zur Suche nach der Nachricht verwendet werden.
7 8 9 Abbildung 5.104: Nachrichtenverfolgung in Exchange Server 2007
10 11 12 13 14 15
Sind Sie die Eigenschaften der Nachricht durchgegangen, aber Sie haben nicht alle Informationen erhalten, die Sie benötigen, können Sie den Weg der E-Mail-Nachricht 281
Hub-Transport, Edge-Transport und Nachrichtenrouting
durch Ihre Exchange-Organisation nachverfolgen. Exchange überprüft den gesamten Nachrichtenfluss dieser E-Mail sowie den Status der Nachrichten und zeigt das Ergebnis an. Exchange Server 2007 arbeitet hier wesentlich detaillierter als Exchange 2000/2003 und zeigt auch Nachrichten sowie deren Status in den verschiedenen Stufen des Kategorisierungsmoduls (Categorizer) an. Diese Informationen können sehr hilfreich sein, wenn Sie interne Probleme auf Ihrem Exchange Server vermuten.
5.11
SMTP- und Konnektivitätsprotokollierung
Zusätzlich zu der Nachrichtenverfolgung können Sie unter Exchange Server 2007 den Nachrichtenverkehr zwischen Sendeconnectoren und Empfangsconnectoren, der SMTP-basiert stattfindet, protokollieren lassen. Diese Protokollierung können Sie zur Fehlersuche zwischen Hub-Transport-Servern sowie zwischen Edge-Transport-Servern und Hub-Transport-Servern verwenden. Den Nachrichtenfluss zwischen HubTransport-Servern und Mailboxservern können Sie mit diesen Protokollen nicht erfassen, da hier für die Kommunikation kein SMTP, sondern MAPI verwendet wird und der Zugriff über eine abgesicherte RPC-Verbindung stattfindet. Standardmäßig ist die SMTP-Protokollierung für alle Connectoren deaktiviert und kann für einzelne Connectoren aktiviert werden. Die Konfiguration erfolgt dabei pro Server, die Aktivierung pro Connector. Da die SMTP-Protokollierung die Serverlast erhöht, sollten Sie diese nur für die Fehlersuche verwenden oder wenn Sie den SMTP-Verkehr für einzelne Connectoren protokollieren lassen wollen. Sie können die Protokollierung in der Exchange-Verwaltungskonsole und in der Exchange-Verwaltungsshell aktivieren. Eine ausführliche Konfiguration der Protokollierung führen Sie in der Exchange-Verwaltungsshell durch.
5.11.1
Allgemeine Informationen und Aktivierung der SMTP-Protokollierung
Die Protokolle der SMTP-Protokollierung werden in den beiden Verzeichnissen C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive und C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpSend abgelegt. Abbildung 5.105: Verzeichnisse für SMTP-Protokolle
Standardmäßig sind beide Verzeichnisse leer. Erst wenn Sie die Protokollierung für einzelne Connectoren aktivieren, werden in diesen Verzeichnissen Protokolle abgelegt. Die Syntax der Protokolle ist ähnlich zur Nachrichtenverfolgung. Die Protokolle der Sendeconnectoren erhalten das Präfix SEND. und Protokolle für Empfangsconnectoren erhalten das Präfix RECV. Auch ansonsten ähnelt der Aufbau der SMTPProtokolle stark den Protokollen der Nachrichtenverfolgung. 282
SMTP- und Konnektivitätsprotokollierung
Die SMTP-Protokolldateien enthalten folgende Informationen, die pro Protokollereignis festgeschrieben werden: ■ ■ ■ ■ ■ ■ ■
Datum und Zeit Bezeichnung des Connectors ID der SMTP-Sitzung durchlaufende Nummer der Ereignisse in einer einzelnen SMTP-Sitzung den lokalen Endpunkt der SMTP-Sitzung (normalerweise IP-Adresse und Port) die einzelnen Ereignisse wie Verbindung, Verbindung trennen, Übermitteln, Empfangen etc. detaillierte Informationen zu den einzelnen SMTP-Ereignissen
1 2 3
Jede SMTP-Sitzung erzeugt zahlreiche SMTP-Ereignisse, die protokolliert werden. Wollen Sie die Protokollierung für Sendeconnectoren auf Edge-Transport-Servern anpassen, sollten Sie die Konfigurationen auf einem Hub-Transport-Server vornehmen, der an einem Active Directory-Standort steht, der den Edge-Transport-Server abonniert hat. In diesem Fall werden die Konfigurationen durch den Dienst Microsoft EdgeSync auf den Edge-Transport-Server synchronisiert.
4
5
INFO
6 Aktivierung und Deaktivierung der Protokollierung für Empfangsconnectoren Öffnen Sie die Exchange-Verwaltungskonsole. Navigieren Sie zum Bereich Serverkonfiguration/Hub-Transport. Öffnen Sie im unteren Bereich die Registerkarte Empfangsconnectoren, und rufen Sie die Eigenschaften des entsprechenden Empfangsconnectors auf. Über das Drop-down-Menü Protokollierungsgrad können Sie die Protokollierung aktivieren oder deaktivieren (siehe Abbildung 5.106).
7 8 Abbildung 5.106: Aktivieren der Protokollierung für Empfangsconnectoren
9 10 11 12 13 14 15
283
Hub-Transport, Edge-Transport und Nachrichtenrouting
Aktivierung und Deaktivierung der Protokollierung für Sendeconnectoren Öffnen Sie die Exchange-Verwaltungskonsole. Navigieren Sie zum Bereich Organisationskonfiguration/Hub-Transport. Öffnen Sie die Registerkarte Sendeconnectoren, und rufen Sie die Eigenschaften des Connectors auf, für den Sie die Protokollierung aktivieren wollen. Über das Drop-down-Menü Protokollierungsgrad können Sie die Protokollierung aktivieren oder deaktivieren.
5.11.2
Konfiguration der SMTP-Protokollierung
Die detaillierte Konfiguration der SMTP-Protokollierung können Sie nicht in der Exchange-Verwaltungskonsole durchführen. Hierfür benötigen Sie wieder die Exchange-Verwaltungsshell.
Anpassen der maximalen Größe der Protokolldateien Die standardmäßige Größe der Protokolldateien beträgt 10 MB. Sie können die Größe allerdings in der Exchange-Verwaltungsshell anpassen. Alle Sendeconnectoren auf einem Server teilen sich eine Protokolldatei. Auch die Empfangsconnectoren auf einem Server verwenden die gleiche Protokolldatei. Um die maximale Größe für Empfangsconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -ReceiveProtocolLogMaxFileSize MB. Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden: ■ ■ ■ ■
B (Bytes) KB (Kilobytes) GB (Gigabytes) TB (Terabytes)
Um die maximale Größe für Sendeconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -SendProtocolLogMaxFileSize MB. Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden: ■ ■ ■ ■
B (Bytes) KB (Kilobytes) GB (Gigabytes) TB (Terabytes)
Festlegen der maximalen Größe des Verzeichnisses für die SMTP-Protokollierung Standardmäßig darf das Verzeichnis der Protokolldateien eine Größe von 250 MB erreichen. Wird dieser Grenzwert erreicht, löscht Exchange automatisch die älteste Protokolldatei im Verzeichnis. Um den Grenzwert für das Protokollverzeichnis der Sendeconnectoren festzulegen, verwenden Sie den Befehl set-transportserver <Servername> -SendProtocolLogMaxDirectorySize . Um den Grenzwert für das Protokollverzeichnis der Empfangsconnectoren festzulegen, verwenden Sie den Befehl set-transportserver <Servername> -ReceiveProtocolLogMaxDirectorySize . Außer der Größenordnung MB (die
284
SMTP- und Konnektivitätsprotokollierung
allerdings am häufigsten verwendet wird) können Sie auch folgende Einheiten verwenden: ■ ■ ■ ■
B (Bytes) KB (Kilobytes) GB (Gigabytes) TB (Terabytes)
1 2
Festlegen des maximalen Alters der Protokolldateien Neben der maximalen Größe des Verzeichnisses für die Protokolldateien können Sie in der Exchange-Verwaltungsshell auch das maximale Alter von Protokolldateien konfigurieren. Ist dieses Alter erreicht, werden die entsprechenden Protokolldateien gelöscht, wenn im Verzeichnis kein Platz mehr für neue Protokolldateien zur Verfügung steht. Der Standardwert für das maximale Alter sind 30 Tage.
3 4
Um das maximale Alter für die Protokolle der Sendeconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -SendProtocolLogMaxAge .
5
Um das maximale Alter für die Protokolle der Empfangsconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -ReceiveProtocolLogMaxAge .
6
Um das maximale Alter der Protokolldateien auf Mailboxservern anzupassen, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxAge .
7
Das Format für das Alter geben Sie nach der Syntax TT.HH:MM:SS ein. Legen Sie als Syntax für Stunden, Minuten und Sekunden 00:00:00 fest, wird verhindert, dass Protokolldateien automatisch beim Erreichen ihres maximalen Alters gelöscht werden. In diesem Fall werden diese Dateien erst gelöscht, wenn der Grenzwert für die Größe des Verzeichnisses erreicht wird.
8
5.11.3
10
9
Konfiguration der Konnektivitäts/Verbindungsprotokollierung
11
Die Protokolle der einzelnen SMTP-Verbindungen halten die Daten fest, die von Warteschlangen des Quellservers zum entsprechenden Ziel versendet werden. Die Aufgabe dieser Protokollierung ist es nicht, einzelne Nachrichten zu protokollieren, sondern nur Sendeinformationen festzuhalten. In dieser Protokollierung werden folgende Daten festgehalten: ■ ■ ■ ■ ■
12
Quell-Warteschlange Zielserver Informationen über die DNS-Auflösung Informationen über Verbindungsfehler Anzahl und Gesamtgröße der übermittelten Nachrichten
13 14
Die Verbindungsprotokollierung ist standardmäßig deaktiviert. Die Verbindungsprotokolle werden standardmäßig im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\Connectivity abgelegt. Sie können den Speicherort aber mit dem Befehl set-transportserver <Servername> –ConnectivityLogPath festlegen.
15
285
Hub-Transport, Edge-Transport und Nachrichtenrouting
■ ■
Über den Befehl set-transportserver <Servername> -ConnectivityLogLogEnabled: $true aktivieren Sie die Protokollierung. Über den Befehl set-transportserver <Servername> -ConnectivityLogLogEnabled: $false deaktivieren Sie die Protokollierung.
Die weiteren Einstellungen sind mit denen der Nachrichtenverfolgung weitgehend identisch mit dem Unterschied, dass Sie für die Befehle in der Exchange-Verwaltungsshell das Präfix ConnectivityLog verwenden.
5.11.4
Protokollierung der Routingtabelle
Exchange Server 2007 fertigt automatisch in regelmäßigen Abständen ein Snapshot der aktuellen Routingtabelle an. Dieses Protokoll wird nur auf Edge-Transportund Hub-Transport-Servern gepflegt. Standardmäßig werden diese Protokolle im Verzeichnis C:\Programme\Microsoft\ExchangeServer\TransportRoles\Logs\Routing gespeichert (siehe Abbildung 5.107). Abbildung 5.107: Anzeigen der Routingtabelle
Die Protokolle der Routingtabelle werden als XML-Dateien abgelegt. Die Protokollierung wird auch dann durchgeführt, wenn Exchange eine Änderung der Routingtopologie durchführt.
Kalkulation der Routingtopologie Exchange Server 2007 kalkuliert alle zwölf Stunden die Routingtopologie neu und legt einen entsprechenden Snapshot an. Dieser Zeitraum kann mit der Datei EdgeTransport.exe.config im Verzeichnis C:\Programme\Microsoft\Exchange Server\Bin angepasst werden. Verwenden Sie dazu die Option RoutingConfigReloadInterval. Nehmen Sie Änderungen vor, werden diese nach Neustart des Dienstes Microsoft Exchange-Transport übernommen. Der Dienst läuft auf allen Edge-Transport- und Hub-Transport-Servern. Die Datei EdgeTransport.exe verwendet automatisch die XML-Konfigurationsdatei EdgeTransport.exe.config aus dem gleichen Verzeichnis. Sie können die Parameter innerhalb dieser Datei bearbeiten. Im Listing 5.1 sehen Sie einen Beispielsinhalt einer Config-Datei. 286
SMTP- und Konnektivitätsprotokollierung
Listing 5.1: Inhalt der Datei EdgeTransport.exe.config
CODE
1 2 3 4
5 6 7 8 9
Um den Zeitraum für die Neuberechnung der Routingtabelle zu ändern, müssen Sie in die XML-Datei von EdgeTransport.exe.config eine neue Option einbauen. Öffnen Sie dazu die Datei mit dem Editor, und fügen Sie die Zeile im Bereich ein:
10 11
« />. Reduzieren Sie zum Beispiel das Intervall auf fünf Stunden, verwenden Sie den Befehl . Speichern Sie die Datei, und starten Sie den Dienst Microsoft Exchange-Transport neu.
5.11.5
12
Verwalten der Transport-Agenten-Protokollierung
13
Neben den bereits beschriebenen Protokollen gibt es für den Nachrichtentransport noch das Agent Logging. Diese Protokollierung umfasst hauptsächlich die Protokolle für einzelne Transport-Agenten. Hierbei handelt es sich hauptsächlich um die Protokolle des Spamschutzes (siehe Kapitel 13). Diese Protokollierung kann daher nur auf Edge-Transport- und Hub-Transport-Servern durchgeführt werden, wobei standardmäßig die Spamschutz-Transport-Agenten nur auf Edge-Transport-Servern aktiviert sind. Auf Hub-Transport-Servern müssen diese manuell nach der Installation aktiviert werden. In das Transport-Agent-Protokoll können nur folgende Agenten protokollieren:
14 15
287
Hub-Transport, Edge-Transport und Nachrichtenrouting
Die Protokollierung ist standardmäßig auf Hub-Transport- und Edge-Transport-Servern aktiviert. Die Logs werden im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\AgentLogs gespeichert.
5.12
SMTP für Fortgeschrittene
Verwalten Sie einen Exchange Server, sollten Sie sich ein wenig mit SMTP beschäftigen. Vermuten Sie Probleme beim Versenden oder Empfangen von E-Mails, können Sie mit Telnet hervorragend den Fluss von E-Mails in allen SMTP-E-Mail-Servern verfolgen. Es ist dabei vollkommen unerheblich, ob es sich um einen Exchange Server, einen Linux-Server oder eine Blackbox handelt, SMTP bleibt SMTP. Das Versenden einer E-Mail ist schlussendlich nichts anderes als der Verbindungsaufbau zum Port 25 des E-Mail-Servers. Testen Sie die SMTP-Anleitung auf den folgenden Seiten ruhig aus, Sie können hier kein System verbiegen, sondern emulieren lediglich das Versenden von E-Mails. Sie können zum Beispiel mit Telnet testen, ob ein bestimmter Server überhaupt E-Mails zum Remote-Server, beispielsweise über die Firewall hinweg, senden darf oder nicht, bevor Sie diesen Server in einem SMTP-Connector aktivieren. Wickeln Sie erfolgreich einen E-Mail-Versand über SMTP ab, können Sie schon fast sicher sein, dass der E-Mail-Fluss des Servers auch funktioniert. Die relevanten Vorschriften ergeben sich aus folgenden Dokumenten, die öffentlich im Internet zugänglich sind: ■ ■ ■
Request for Comments: 2821: Simple Mail Transfer Protocol Request for Comments: 1939: Post Office Protocol – Version 3 Request for Comments: 2822: Internet Message Format
Sie können diese und viele weitere Dokumente, welche die Funktionsweise des Internets definieren, zum Beispiel unter der Adresse http://www.rfc-editor.org einsehen. Um mit Telnet eine Verbindung zu einem E-Mail-Server aufzubauen, benötigen Sie irgendein Telnet-Programm. Für die Tests eines E-Mail-Servers reicht im Normalfall der Client aus, der mit Windows ausgeliefert wird. Unter Windows XP oder Windows Server 2003 und Vista ist das lokale Echo bereits standardmäßig aktiviert, unter Windows 2000 müssen Sie das erst einrichten.
HALT
288
Weder in Windows Vista noch Windows Server 2008 wird standardmäßig weder der Telnet-Client noch der Telnet-Server installiert. Unter Windows Vista wird diese Funktion in der Systemsteuerung über Programme/Programme und Funktionen/Windows-Funktionen ein- oder ausschalten aktiviert. Bei Windows Server 2008 werden Client beziehungsweise der dazugehörige Server über den Server-Manager als Feature hinzugefügt. Nach der Installation von Telnet-Server unter Windows Server 2008 muss der Systemdienst Telnet erst aktiviert und gestartet werden. Nachdem der Client und Server installiert sind, kann über Telnet gearbeitet werden.
SMTP für Fortgeschrittene
Wollen Sie das lokale Echo auf einem Client aktivieren, müssen Sie in der Kommandozeile zunächst Telnet aufrufen. Geben Sie dazu einfach telnet ein. Nach der Eingabe befinden Sie sich im Telnet-Fenster. Hier können Sie jetzt das lokale Echo für dieses Fenster aktivieren. Schließen Sie das Fenster wieder, ist das lokale Echo wieder deaktiviert und muss beim nächsten Mal wieder aktiviert werden. Geben Sie in der Telnet-Zeile set local_echo ein, und bestätigen Sie.
1 2
Die Aktivierung des lokalen Echos muss nur unter Windows 2000 durchgeführt werden, unter Windows XP, Vista und Windows Server 2003 ist das lokale Echo bei Telnet bereits standardmäßig aktiviert.
INFO
3
Als Nächstes müssen Sie Verbindung zu dem E-Mail-Server aufbauen. Arbeiten Sie mit Windows XP, Vista oder Windows Server 2003, können Sie in der Kommandozeile direkt mit telnet <Servername> 25 eine Verbindung zum gewünschten SMTPServer aufbauen. Sind Sie auf der Telnet-Oberfläche, können Sie den Befehl Open <Servername> 25 eingeben. Bestätigen Sie Ihre Eingabe, baut der Client die Verbindung zum gewünschten E-Mail-Server auf.
4
5 Abbildung 5.108: Verbindungsaufbau zum E-Mail-Server über Telnet
6 7
Um die Verbindung zu trennen, können Sie entweder die Befehlszeile schließen oder in der Telnet-Oberfläche quit eingeben.
8
Nach dem Verbindungsaufbau können Sie jetzt mit SMTP-Befehlen das Versenden einer E-Mail testen. Dieser Ablauf ist dabei nahezu identisch mit dem Versenden von E-Mails zwischen zwei E-Mail-Servern. Haben Sie die Verbindung aufgebaut, müssen Sie sich zuerst am SMTP-Server authentifizieren. Sind Sie auf der Suche nach einem Verbindungsproblem, haben Sie hier schon die erste Chance auf eine Fehlerbehebung. Bauen Sie zum Beispiel einen Verbindungstest mit einem E-Mail-Server im Internet auf, besteht die Möglichkeit, dass Sie sofort nach dem Verbindungsaufbau wieder getrennt werden. In einem solchen Fall wurde Ihnen vom Administrator des Remote-E-Mail-Servers kein Recht eingeräumt, mit dem Server Verbindung aufzunehmen. Sie können deshalb bereits hier mit der Fehlerbehebung ansetzen.
9 10 11
Um sich an einem E-Mail-Server zu authentifizieren, können Sie zwischen zwei Befehlen wählen. Der etwas ältere und mittlerweile weniger verbreitete Befehl lautet helo. Oft müssen Sie nach dem helo noch die Bezeichnung des Servers anhängen, von dem aus Sie die Verbindung aufbauen. Bauen Sie die Verbindung von einer Workstation aus auf, müssen Sie deren Namen eingeben (zum Beispiel helo pcthomas-xp).
12
Der neuere und immer mehr verbreitete Standard ist das Enhanced Helo mit dem Befehl ehlo. Melden Sie sich mit diesem Befehl an einem SMTP-Server an, weiß der Remote-Server, dass Sie die erweiterte SMTP-Sprache verwenden wollen, und begrüßt Sie nach der Eingabe mit den unterstützten Befehlen. Bei ehlo müssen Sie nur in den seltensten Fällen eine weitere Authentifizierung mit anhängen, es reichen der Befehl und die Bestätigung. Sind Sie an dieser Stelle und erscheint keine Fehlermeldung, sind Sie erfolgreich am SMTP-Server authentifiziert.
14
13
15
289
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.109: Authentifizierung an einem SMTPServer
Das Versenden einer E-Mail lässt sich grundsätzlich in zwei Teile unterteilen: das Senden des Envelopes (Umschlag) und das Senden des Message-Textes (Nachrichtentext). Der Nachrichtentext besteht selbst aus zwei Teilen, dem Header und dem Body der Nachricht. Die Angaben im Envelope sagen dem SMTP-Server, wohin er eine Nachricht schicken soll, diese Angabe allein ist für die Zustellung zuständig. Die Angabe im Header einer Nachricht hat lediglich dekorativen Charakter. Vergleichen können Sie diese Nachricht mit einem Brief, auf dessen Umschlag eine andere Adresse steht als im Briefkopf des Briefes selbst. Als Nächstes müssen Sie dem Remote-Server noch mitteilen, wer der Absender der E-Mail ist. Um dem Server mitzuteilen, wie der Absender heißt, verwenden Sie den Befehl Mail from:. Nach dem Doppelpunkt geben Sie ohne Leerzeichen den Absender an, zum Beispiel: mail from:[email protected] Machen Sie bei der Eingabe einen Fehler und der Remote-Server bestätigt den Absender nicht, geben Sie einfach den Befehl noch einmal ein. Hier kann es auch sein, dass Sie vom SMTP-Server getrennt werden, da Sie sich nicht authentifiziert haben. Auf diesem Weg können Sie auch Empfangsconnectoren für den Internetmail-Verkehr testen. Bei Empfangsconnectoren für den Internetmailempfang ist der anonyme Zugriff gestattet, bei normalen Empfangsconnectoren dagegen nicht. Im nächsten Schritt müssen Sie jetzt die Adresse des Empfängers eingeben, der die E-Mail erhalten soll. Hier müssen Sie die E-Mail-Adresse des Benutzers eingeben, nicht den Benutzernamen. Wollen Sie eine E-Mail einem Benutzer zustellen, der nicht von diesem E-Mail-Server verwaltet wird, da er zu einer anderen Domäne gehört, wird der Vorgang, den Sie hier durchführen, Relaying genannt. Das heißt, Sie schicken einem Benutzer mithilfe eines anderen E-Mail-Servers eine Nachricht. Da dies von vielen Spammern ausgenutzt wird, ist das Relaying bei vielen Servern deaktiviert, wenn der Benutzer nicht mit Benutzernamen oder IP-Adresse des Rechners am E-Mail-Server freigeschaltet ist. In einem solchen Fall erhalten Sie eine Fehlermeldung, wenn Sie die E-Mail abschicken wollen. Zum Testen sollten Sie deshalb immer zuerst Benutzer verwenden, die durch den Exchange Server verwaltet werden. Die Adresse des Empfängers geben Sie mit dem Befehl rcpt to: an, gefolgt von der E-Mail-Adresse. Führen Sie zum Beispiel den Test an der installierten Testumgebung durch, geben Sie rcpt to: ein. Nach der Eingabe wird Ihnen die Verifizierung des Absenders bestätigt.
290
SMTP für Fortgeschrittene
Abbildung 5.110: Festlegen der Absende- und Empfängeradresse
1 2 3 4
Als Nächstes müssen Sie jetzt einen Betreff, den Absender und den Empfänger (bilden zusammen den Header) sowie den Text der E-Mail eingeben. Meistens reicht für schnelle Tests der SMTP-Verbindung die Eingabe des E-Mail-Textes aus.
5
Geben Sie den Befehl data ein, und bestätigen Sie, um zur Eingabe des Betreffs und des E-Mail-Textes zu kommen. Geben Sie den Befehl ein und haben Sie bestätigt, erscheint eine Meldung des Remote-Servers, der Sie zur Eingabe auffordert. Haben Sie alle Eingaben für die E-Mail vorgenommen und den Text eingegeben, wird die E-Mail mit der Tastenfolge (Enter) (.) (Enter) abgeschickt. Diese Eingabe wird Ihnen auch in der Telnet-Session so angezeigt.
6 7
Wollen Sie einen Betreff für die E-Mail eingeben, geben Sie an der Eingabeaufforderung Subject: und ein Leerzeichen gefolgt von dem gewünschten Text ein. Sie müssen dabei den Text nicht in Anführungszeichen schreiben, auch wenn er Leerzeichen enthält. Bestätigen Sie den Betreff mit (Enter), erscheint keine weitere Meldung, und Sie können direkt mit der Eingabe des E-Mail-Bodys, das heißt des Textes, beginnen. Während der Eingabe des Textes können Sie ohne Probleme (Enter) verwenden, da erst die Kombination (Enter) (.) (Enter) zum Absenden der E-Mail führt. Haben Sie Ihre Eingabe beendet, geben Sie die oben erwähnte Tastenkombination ein. Die E-Mail wird jetzt vom Exchange Server angenommen und dem Empfänger zugestellt (siehe Abbildung 5.111).
8 9 10 Abbildung 5.111: Eingeben des E-Mail-Textes und des Betreffs
11 12 13 14 15
291
Hub-Transport, Edge-Transport und Nachrichtenrouting
Sie können jetzt weitere E-Mails verschicken oder die Verbindung mit dem RemoteServer mit quit beenden. Als Nächstes können Sie in Outlook oder Outlook Web Access überprüfen, ob die E-Mail zugestellt wurde. Verschicken Sie eine Testnachricht an einen fremden Mailserver, sollten Sie im Nachrichten-Body kurz erwähnen, dass Sie gerade einen Test durchführen, das zählt zum Knigge unter Administratorenkollegen. Abbildung 5.112: Anzeigen der TestE-Mail in Outlook
SMTP ist ein reines Push-Protokoll, das heißt, E-Mails, die mit SMTP zugestellt werden, können niemals abgeholt werden, sondern werden immer durch den sendenden Server verschickt.
5.12.1
Ansicht des Headers einer E-Mail
Durch das Versenden einer E-Mail über mehrere E-Mail-Server wird der Header der EMail ständig erweitert. In diesem Header werden die Informationen der verschiedenen E-Mail-Server angegeben, über die diese E-Mail gelaufen ist. Sie können diesen Header in Outlook anzeigen lassen und so sehr leicht feststellen, über welche E-MailServer diese E-Mail verschickt wurde. Um in Outlook 2007 den Header einer E-Mail anzusehen, öffnen Sie die E-Mail und klicken auf das kleine Symbol unten rechts neben dem Menüpunkt Optionen (siehe Abbildung 5.113). Es öffnet sich ein neues Fenster. Im Bereich Internetkopfzeilen sehen Sie den Header der E-Mail. In Outlook 2003 öffnen Sie dieses Fenster über Ansicht/Optionen, wenn Sie eine E-Mail geöffnet haben.
292
SMTP für Fortgeschrittene
Abbildung 5.113: Anzeigen des Headers (Internetkopfzeilen) von E-Mails
1 2 3 4
5 6
Anzeigen des E-Mail-Headers in Outlook Web Access In Outlook Web Access 2007 ist es jetzt auch möglich, E-Mail-Header in Outlook Web Access anzuzeigen, unter Exchange Server 2003 war das noch nicht der Fall. Um sich den E-Mail-Header anzeigen zu lassen, öffnen Sie die E-Mail in Outlook Web Access und klicken auf die Schaltfläche für die E-Mail-Details (siehe Abbildung 5.114).
7 8 Abbildung 5.114: Anzeigen der Details einer E-Mail
9 10 11 12 13 14 15
Haben Sie auf die Schaltfläche geklickt, wird der Header der E-Mail in einem neuen Popup angezeigt (siehe Abbildung 5.115). Hier finden Sie die gleichen Informationen wie in Outlook 2007. 293
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.115: Anzeigen eines E-Mail-Headers in OWA 2007
5.13
Verwalten des Address Rewriting Agents
Mit dem Address Rewriting Agent können jetzt auch unter Exchange relativ problemlos E-Mail-Adressen beim Empfangen oder Versenden in die Exchange-Organisation umgeschrieben werden. Viele Unternehmen verwenden diese Funktion in Verbindung mit anderen E-Mail-Servern, um die ausgehende oder aus Routingzwecken auch eingehende E-Mail-Domänen anzupassen. Der Address Rewriting Agent läuft ausschließlich auf Edge-Transport-Servern. Auch wenn Sie im Unternehmen mehrere E-Mail-Domänen einsetzen, können Sie am Übergangspunkt zum Internet eine Vereinheitlichung der E-Mail-Domäne durchführen. Diese Funktion kann natürlich auch umgekehrt sinnvoll sein, sodass Sie auch eingehende E-Mails umschreiben können. Bei Unternehmen mit mehreren Tochterunternehmen oder auch bei Unternehmenszusammenschlüssen kann diese Funktion enorm hilfreich sein, den internen E-MailFluss so einfach wie möglich abzubilden, aber dennoch nach extern eine einheitliche Domäne zu verwenden.
5.13.1
Aktivieren und Deaktivieren der Address Rewriting Agents
Damit die Address-Rewriting-Funktion genutzt werden kann, müssen Sie auf dem Edge-Transport-Server jeweils den Agent für das Address Rewriting eingehender E-Mails und ausgehender E-Mails aktivieren. Der Agent für ausgehende Nachrichten hat die Bezeichnung Address Rewriting Outbound Agent. Der Agent für eingehende Nachrichten hat die Bezeichnung Address Rewriting Inbound Agent. Erst wenn die beiden Agents aktiviert werden, können E-Mail-Adressen umgeschrieben werden. Um zu überprüfen, ob die Agenten für das Address Rewriting aktiviert oder deaktiviert sind, müssen Sie auf dem Edge-Transport-Server zunächst die Exchange-Verwaltungsshell öffnen. Geben Sie im Anschluss den Befehl get-transportagent ein. In der Konsole werden alle Agenten des Edge-Transport-Servers sowie deren Status angezeigt. Die meisten Agenten sind für den Spamschutz zuständig (siehe Kapitel 13). 294
Verwalten des Address Rewriting Agents
Abbildung 5.116: Überprüfen der Transport-Agenten auf einem EdgeTransport-Server
1 2 3 4
■
■ ■
Über den Befehl enable-transportagent -identity Address Rewriting Inbound Agent können Sie den Agent für eingehende Nachrichten aktivieren, wenn dieser nicht aktiviert ist. Über disable-transportagent -identity Address Rewriting Inbound Agent können Sie den Agenten deaktivieren (siehe Abbildung 5.117). Über get-transportagent können Sie sich den aktuellen Stand des Agenten nochmals anzeigen lassen, um zu überprüfen, ob die Aktion erfolgreich war.
5 6
Abbildung 5.117: Aktivieren und Deaktivieren eines Transport-Agenten
7 8 9 10 11 12
■
■ ■
Über den Befehl enable-transportagent -identity Address Rewriting Outbound Agent können Sie den Agenten für eingehende Nachrichten aktivieren, wenn er nicht aktiviert ist. Über disable-transportagent -identity Address Rewriting Outbound Agent können Sie den Agenten deaktivieren. Über get-transportagent können Sie sich den aktuellen Stand des Agenten nochmals anzeigen lassen, um zu überprüfen, ob die Aktion erfolgreich war.
13 14 15
Im nächsten Abschnitt zeige ich Ihnen, wie Sie in der Exchange-Verwaltungsshell mit dem Befehl New-AddressRewriteEntry neue Einträge zum Umschreiben erzeugen.
295
Hub-Transport, Edge-Transport und Nachrichtenrouting
Mithilfe des Befehls get-AddressRewriteEntry können Sie sich eine Liste der bereits erzeugten Einträge anzeigen lassen (siehe Abbildung 5.118). Abbildung 5.118: Anzeigen der Einträge für das Address Rewriting
Geben Sie den Befehl get-AddressRewriteEntry |format-list ein, erhalten Sie detaillierte Informationen über die erstellten Einträge (siehe Abbildung 5.119). Abbildung 5.119: Ausführliche Ansicht für Address Rewriting
5.13.2
Konfiguration der Address Rewriting Agents
Für die Verwendung der Address Rrewriting Agents sind drei Szenarien denkbar: ■
■
■
296
Umschreiben einzelner E-Mail-Adressen: Bei diesem Vorgang wird der Header einer einzelnen E-Mail umgeschrieben. So können Sie zum Beispiel E-Mails des Anwenders [email protected] zu [email protected] umschreiben lassen. Eingehende Nachrichten, zum Beispiel Antworten auf versendete E-Mails, werden dann wieder automatisch zu [email protected] umgeschrieben. Umschreiben einer einzelnen Subdomäne: Bei dieser Funktion werden automatisch alle E-Mails, die von einer einzelnen Domäne kommen und nach extern gesendet werden, umgeschrieben. So können Sie zum Beispiel die interne E-Mail-Domäne @de.contoso.com nach extern in @contoso.org umschreiben lassen. Eingehende Nachrichten werden dann wieder automatisch von @contoso.org zu @de.contoso.com umgeschrieben, damit diese intern zugestellt werden können. Umschreiben mehrerer Subdomänen: Diese Funktion verhält sich grundsätzlich ähnlich wie das Umschreiben einer einzelnen Subdomäne. Sie haben in diesem Fall aber mehrere Möglichkeiten:
Verwalten des Address Rewriting Agents
■
Umschreiben aller Subdomänen: Bei dieser Konfiguration werden ausnahmslos alle Subdomänen zu einer einzelnen externen Domäne umgeschrieben. Verwenden Sie zum Beispiel die internen E-Mail-Domänen de.contoso.com, fr.contoso.com und us.contoso.com.
■
Umschreiben einiger Subdomänen: In diesem Fall müssen Sie die einzelnen Subdomänen konfigurieren, deren E-Mails umgeschrieben werden sollen; die anderen Domänen sind davon nicht betroffen.
■
1 2
Umschreiben aller Subdomänen mit Ausnahmen: In diesem Fall müssen Sie die Subdomänen festlegen, die nicht umgeschrieben werden sollen.
3
Umschreiben einzelner E-Mail-Adressen Die Konfiguration zum Umschreiben einzelner E-Mail-Adressen erfolgt in der Exchange-Verwaltungsshell, eine Konfiguration mit der Exchange-Verwaltungskonsole ist nicht möglich.
4
5
Um einen neuen Eintrag für das Umschreiben zu erzeugen, verwenden Sie den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress (siehe Abbildung 5.120).
6 Abbildung 5.120: Konfiguration eines neuen Eintrags für Address Rewriting
7 8 9
Sie können natürlich nicht nur die E-Mail-Adresse vor dem @-Zeichen umschreiben, sondern auch die komplette E-Mail-Domäne.
10
Umschreiben einer einzelnen Subdomäne Auch die Erstellung eines Eintrags zum Umschreiben einer einzelnen Domäne wird in der Exchange-Verwaltungsshell durchgeführt. In diesem Fall erhalten alle ausgehenden E-Mails eine neue definierte Domäne. Kommen eingehende E-Mails mit der umgeschriebenen Domäne am Edge-Transport-Server an, wandelt dieser die E-Mails wieder in die interne Domäne um. Der ganze Vorgang ist für Anwender vollkommen transparent.
11 12
Sie können auf diesem Weg zum Beispiel alle E-Mails der Domäne de.contoso-einkauf.com zu northwindtraders.com umwandeln lassen. Kommen am Edge-Transport-Server E-Mails mit der Domäne northwindtraders.com an, werden diese automatisch zu de.contoso-einkauf.com umgeschrieben.
13 14
Um einen neuen Eintrag für das Umschreiben zu erzeugen, verwenden Sie den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress (siehe Abbildung 5.121).
15
297
Hub-Transport, Edge-Transport und Nachrichtenrouting
Umschreiben mehrerer Subdomänen Eine weitere Möglichkeit ist das Umschreiben aller Subdomänen zu einer einzelnen externen Domäne. Wie bereits beschrieben, haben Sie bei dieser Konfiguration mehrere Auswahlmöglichkeiten: ■ ■ ■
Umschreiben aller Subdomänen Umschreiben einiger Subdomänen Umschreiben aller Subdomänen mit Ausnahmen
Umschreiben aller Subdomänen Um alle Subdomänen einer bestimmten Domäne umzuschreiben, müssen Sie auch wieder einen neuen Eintrag für den Address Rewriting Agent erstellen. Um einen neuen Eintrag für das Umschreiben aller Subdomänen zu erzeugen, verwenden Sie den Befehl New-AddressRewriteEntry –name -internaladdress <*.interne E-Mail-Domäne> -externaladdress Outboundonly:$true (siehe Abbildung 5.122). Abbildung 5.122: Umschreiben ganzer untergeordneter Domänen
Die Option Outboundony:$true muss gesetzt werden, wenn mehrere Subdomänen zu einer einzelnen externen Domäne umgeschrieben werden sollen. In diesem Fall kann der Edge-Transport-Server bei eingehenden E-Mails natürlich nicht feststellen, welcher internen Domäne die Adresse zugeordnet ist. Umschreiben einzelner Subdomänen Wollen Sie einzelne Domänen umschreiben, verwenden Sie am besten den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress Outboundonly:$true. Legen Sie für jede einzelne Subdomäne, die Sie umschreiben wollen, einen eigenen Eintrag an. Umschreiben aller Subdomänen mit Ausnahmen Eine weitere Möglichkeit ist die Umleitung aller Domänen mit fest definierten Ausnahmen. In diesem Fall werden alle E-Mails umgeschrieben, außer von den Domänen, die Sie festlegen.
298
Transport- und Journalregeln für den Nachrichtenfluss erstellen
Verwenden Sie dazu den Befehl New-AddressRewriteEntry –name -internaladdress <*.interne E-Mail-Domäne> -externaladdress Outboundonly:$true –ExceptionAddress . Legen Sie für jede einzelne Subdomäne, die Sie umschreiben wollen, einen eigenen Eintrag an.
1
Bearbeiten und Löschen von Einträgen für das Address Rewriting
2
Wollen Sie einzelne Einträge bearbeiten, verwenden Sie den Befehl Set-AddressRewriteEntry: Wollen Sie die externe Domäne eines Eintrags ändern, verwenden Sie den Befehl Set-AddressRewriteEntry -ExternalAddress <externe Domäne, zu der Sie umschreiben wollen>. Wollen Sie die interne Domäne eines Eintrags ändern, verwenden Sie den Befehl Set-AddressRewriteEntry -ExternalAddress . Wollen Sie nachträglich den Parameter Outboundonly:$true setzen, verwenden Sie den Befehl Set-AddressRewriteEntry -Outboundonly:$true. Wollen Sie einem Eintrag für die Umleitung aller Subdomänen eine Ausnahme hinzufügen, verwenden Sie den Befehl Set-AddressRewriteEntry -ExceptionAddress . Wollen Sie die Bezeichnung eines Eintrags anpassen, verwenden Sie den Befehl Set-AddressRewriteEntry -name .
3
Generell sollten Sie sich überlegen, ob Sie einzelne Einträge nicht besser löschen und neu erstellen, anstatt sie zu bearbeiten.
8
■
■
■
■
■
4
5 6 7
Sie löschen einen Eintrag mit dem Befehl Remove-AddressRewriteEntry . Wollen Sie vor dem Löschen zunächst die Auswirkungen testen, können Sie den Befehl Remove-AddressRewriteEntry whatif verwenden.
9 10
5.14
Transport- und Journalregeln für den Nachrichtenfluss erstellen
11
Unter Exchange Server 2007 besteht jetzt auch die Möglichkeit, ähnlich wie in Outlook, Regeln zu erstellen, auf deren Basis Nachrichten speziell behandelt werden. Auf allen Hub-Transport-Servern in der Organisation läuft der Transportregel-Agent, auf Edge-Transport-Servern läuft der Edge-Regel-Agent.
12 13
5.14.1
Erstellen von neuen Transportregeln auf Hub-Transport-Servern
14
Sie finden die Konfiguration der Transportregeln in der Exchange-Verwaltungskonsole über das Menü Organisationskonfiguration/Hub-Transport im Ergebnisbereich auf der Registerkarte Transportregeln (siehe Abbildung 5.123).
15
Sie können neue Regeln erstellen, indem Sie mit der rechten Maustaste in den Ergebnisbereich klicken und aus dem Kontextmenü Neue Transportregel auswählen.
299
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.123: Erstellen einer neuen Transportregel
Im Anschluss startet der Assistent, mit dem Sie die neue Transportregel bequem erstellen können (siehe Abbildung 5.124). Auf der ersten Seite können Sie eine Bezeichnung sowie eine Beschreibung für die neue Regel festlegen. Abbildung 5.124: Assistent für das Erstellen einer neuen Transportregel
Auf der nächsten Seite des Assistenten legen Sie fest, für welche Nachrichten die Regel angewendet werden soll. Hier ist der Vorgang grundsätzlich identisch mit dem Anlegen von neuen Regeln in Outlook (siehe Abbildung 5.125). Sie können verschiedene Bedingungen auswählen, zum Beispiel den SCL-Wert (Spam Confidence Level, siehe Kapitel 13). Haben Sie eine Bedingung ausgewählt, können Sie im unteren Bereich noch den Wert für die Bedingung festlegen, zum Beispiel den speziellen SCL-Wert oder die Person, von der E-Mails speziell behandelt werden sollen. 300
Transport- und Journalregeln für den Nachrichtenfluss erstellen
Abbildung 5.125: Festlegen der Bedingung für die neue Regel
1 2 3 4
5 6 7 Auf der nächsten Seite wählen Sie die Aktion aus, die durchgeführt werden soll, wenn die Bedingung zutrifft. Sie können zum Beispiel dem Betreff eine spezielle Zeichenfolge anhängen lassen, sodass Anwender selbst Regeln für Spam-Nachrichten erstellen können (siehe Abbildung 5.126).
8 Abbildung 5.126: Festlegen der Aktion, die ausgeführt werden soll
9 10 11 12 13 14 15
301
Hub-Transport, Edge-Transport und Nachrichtenrouting
Auf der nächsten Seite können Sie festlegen, ob es für die Regel eine Ausnahme geben soll, also wann die festgelegte Aktion nicht durchgeführt werden soll (siehe Abbildung 5.127). Abbildung 5.127: Festlegen von Ausnahmen für eine Regel
Im Anschluss erhalten Sie eine Zusammenfassung Ihrer Eingaben und können die Regel über die Schaltfläche Neu erstellen lassen (siehe Abbildung 5.128). Abbildung 5.128: Erstellen einer neuen Regel
302
Transport- und Journalregeln für den Nachrichtenfluss erstellen
Auf der letzten Seite des Assistenten erhalten Sie das Ergebnis für die Erstellung der Regel. Außerdem sehen Sie hier den Befehl für die Erstellung der Regel über die Exchange-Verwaltungsshell. Wollen Sie mehrere Regeln erstellen, können Sie den Befehl in die Zwischenablage kopieren und auf dieser Basis eine Batchdatei erstellen.
1 Abbildung 5.129: Erstellte Transportregel mit dem entsprechenden Exchange-Verwaltungsshell-Befehl
2 3 4
5 6 7 8 9
Im Anschluss wird die Regel auf der Registerkarte Transportregeln angezeigt (siehe Abbildung 5.30). Klicken Sie eine Regel mit der rechten Maustaste an, können Sie verschiedene Aufgaben durchführen: ■ ■ ■ ■
10
Sie können die Regel über das Kontextmenü deaktivieren oder wieder aktivieren. Sie können die Regel löschen. Sie können die Regel bearbeiten. Sie können die Priorität der Regel ändern, diese also vor einer anderen Regel anwenden lassen.
11 12
Auf Edge-Transport-Servern können Sie ebenfalls Transportregeln erstellen. Die Erstellung ist identisch mit der Erstellung auf Hub-Transport-Servern. Sie finden die Registerkarte Transportregeln über das Menü Edge-Transport in der Exchange-Verwaltungskonsole (siehe Abbildung 5.131).
13 14 15
303
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.130: Nachträgliche Bearbeitung von Regeln
Abbildung 5.131: Verwalten von Transportregeln auf Edge-TransportServern
5.14.2 Journalregeln erstellen Eine weitere Möglichkeit unter Exchange Server 2007 ist das Erstellen eines Journals, also eines Nutzungsberichts für bestimmte Postfächer. Sie können neue Journaleinträge auf der Registerkarte Journale erstellen (siehe Abbildung 5.132). Um eine neue Journalregel zu erstellen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich oder wählen Neue Journalregel aus dem Aktionsbereich aus. Abbildung 5.132: Erstellen einer neuen Journalregel
304
Transport- und Journalregeln für den Nachrichtenfluss erstellen
Im Anschluss öffnet sich der Assistent, mit dem Sie neue Journalregeln erstellen lassen können. Zunächst wählen Sie den Namen der Regel aus sowie die E-MailAdresse, die den Journalbericht des überwachten Kontos erhalten soll (siehe Abbildung 5.133). Wählen Sie keinen speziellen Empfänger aus, werden die E-Mails aller Empfänger im Journal berücksichtigt.
1 Abbildung 5.133: Erstellen einer neuen Journalregel
2 3 4
5 6 7 8 9 Für das Journal können Sie verschiedene Bereiche auswählen, die erfasst werden sollen: ■ ■ ■
10
Global – Wählen Sie diese Option aus, werden im Journal alle E-Mails des überwachten Empfängers protokolliert. Intern – Bei dieser Auswahl werden nur interne E-Mails überwacht. Extern – Bei dieser E-Mail werden nur externe E-Mails überwacht, welche die Exchange-Organisation verlassen.
11 12
Klicken Sie auf die Schaltfläche Neu, wird die Journalregel erstellt. Sie erhalten eine Zusammenfassung der Journalregel. Außerdem wird auch hier der entsprechende Exchange-Verwaltungsshell-Befehl angezeigt, mit dem Sie den entsprechenden Befehl erzeugen können (siehe Abbildung 5.134).
13
Nach der Erstellung wird die Journalregel in der Exchange-Verwaltungskonsole angezeigt und kann jederzeit bearbeitet, deaktiviert oder gelöscht werden (siehe Abbildung 5.135).
14 15
305
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.134: Zusammenfassung einer neuen Journalregel
Abbildung 5.135: Verwalten von Journalregeln
5.15
E-Mail-Adressenrichtlinien
Empfängerrichtlinien dienen zur Verwaltung der E-Mail-Adressen der Empfänger in der Organisation. Ihre Anwender können erst dann E-Mails senden und empfangen, wenn ihnen eine E-Mail-Adresse auf Basis einer E-Mail-Adressen-Richtlinie zugewiesen worden ist. Standardmäßig baut Exchange Server 2007 die E-Mail-Adressen aus dem im Active Directory definierten Alias und der ersten Domäne auf, die Sie auf der Registerkarte Akzeptierte Domänen festgelegt haben. Sie können diesen Aufbau an Ihre Bedürfnisse anpassen und mit einer oder mehreren Richtlinien die Struktur der E-Mail-Adressen aller Empfänger Ihrer Organisation steuern.
306
E-Mail-Adressenrichtlinien
5.15.1
Erstellen und Verwalten von E-Mail-Adressenrichtlinien
Ein Exchange Server ist für alle E-Mail-Domänen zuständig, die in den akzeptierten Domänen definiert sind. In den E-Mail-Adressenrichtlinien können die Domänen für die Generierung von E-Mail-Adressen in der Organisation verwendet werden, die auf der Registerkarte Akzeptierte Domänen in der Exchange-Verwaltungskonsole unter Organisationskonfiguration/Hub-Transport festgelegt worden sind. Bevor Sie also EMail-Adressenrichtlinien definieren, müssen Sie zunächst die akzeptierten Domänen konfigurieren. Unter Exchange Server 2003 wurden beide Aufgaben zusammen noch in den Empfängerrichtlinien durchgeführt.
1 2 3
Für die Anwendung und Verteilung der E-Mail-Adressenrichtlinien sind Exchange Server mit der Hub-Transport-Rolle zuständig.
4 Abbildung 5.136: Verwalten von E-Mail-Adressenrichtlinien
5 6 7 8
Exchange Server 2007 legt während der Installation eine Richtlinie für E-Mail-Adressen an. Diese Richtlinie hat die Bezeichnung Default Policy. Sie können parallel mehrere Richtlinien definieren. Die Richtlinien lassen sich anhand von Prioritäten ordnen, wobei immer die erste zutreffende Richtlinie und deren Regeln für einen Benutzer angewendet werden. Die Default Policy hat immer die niedrigste Priorität und kann nicht gelöscht werden. Definieren Sie mehrere Richtlinien und passt für einen Benutzer keine dieser Richtlinien, wird immer die Default Policy angewendet.
9 10 11
Sollen alle Mitarbeiter der Organisation dieselbe Internetdomäne als E-Mail-Adresse erhalten, brauchen Sie nicht mehrere Richtlinien zu definieren. Sie benötigen lediglich dann eine zweite oder mehrere Richtlinien, wenn einige Empfänger Ihrer Organisation eine andere Domäne in ihrer E-Mail-Adresse erhalten sollen als andere. Um Einstellungen in der Richtlinie zu ändern, klicken Sie die Richtlinie einfach doppelt an. Es startet der Assistent zum Bearbeiten von E-Mail-Adressenrichtlinien (siehe Abbildung 5.137).
12 13
Auf der ersten Seite definieren Sie den Namen der Richtlinie sowie die Empfängertypen, für welche die Richtlinie zuständig sein soll. Die Default Policy ist für alle Empfängertypen in der Organisation zuständig. Alle Empfängertypen sind nicht nur Empfänger, sondern auch Kontakte, Verteilerlisten und öffentliche Ordner.
14
Auf der nächsten Seite legen Sie die Bedingung fest, nach der die Empfängertypen aus dem Active Directory ausgelesen werden sollen. Über die Schaltfläche Vorschau können Sie sich anzeigen lassen, für welche Objekte im Active Directory die Richtlinie angewendet wird (siehe Abbildung 5.138).
15
307
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.137: Bearbeiten einer E-Mail-Adressenrichtlinie
Hierbei werden die entsprechenden Felder ausgelesen, die Sie für Empfänger im Active Directory festgelegt haben. Sobald Sie ein Attribut festgelegt haben, müssen Sie im unteren Bereich des Fensters den Wert eingeben, nachdem die Empfänger gefiltert werden sollen. Sie können für einzelne Attribute mehrere Werte hinterlegen. Achten Sie darauf, dass Sie hier nicht mit Platzhaltern arbeiten können, sondern der Wert exakt mit dem Feld im Active Directory übereinstimmen muss. Abbildung 5.138: Festlegen der Bedingungen für eine Richtlinie
308
E-Mail-Adressenrichtlinien
Auf der nächsten Seite legen Sie fest, wie die E-Mail-Adressen Ihrer Empfänger generiert werden sollen. Hier können Sie definieren, welche Domäne an die Empfänger als Adressen propagiert werden soll. Sie können hier nur die E-Mail-Domänen auswählen, die Sie auf der Registerkarte Akzeptierte Domänen festgelegt haben (siehe Abbildung 5.139).
1 Abbildung 5.139: Festlegen der E-Mail-Adressen für die Richtlinie
2 3 4
5 6 7 8 9 Über die Schaltfläche Hinzufügen können Sie weitere Domänen hinzufügen sowie die Variablen, die zum Aufbau der Adresse vor der Domäne verwendet werden (siehe Abbildung 5.140). Werden hier nicht alle Domänen angezeigt, die Sie im Unternehmen einsetzen, müssen Sie diese zunächst auf der Registerkarte Akzeptierte Domänen anlegen.
10
Abbildung 5.140: Festlegen der E-Mail-Adressendomäne und des lokalen Teils der E-Mail-Adresse
11 12 13 14 15
309
Hub-Transport, Edge-Transport und Nachrichtenrouting
Um auch den E-Mail-Namen vor der Domäne automatisch generieren zu lassen, können Sie vor dem @-Zeichen mit Variablen arbeiten. Unter Exchange Server 2007 können Sie bequem auswählen, wie die E-Mail-Adresse aufgebaut sein soll, ohne direkt die Variablen zu kennen. Anschließend wird im Hauptfenster der Aufbau der E-Mail-Adresse mit Variablen angezeigt: ■ ■ ■ ■
Diese Variablen können Sie vor dem @-Zeichen angeben, um das gewünschte Ergebnis zu erzielen (siehe Abbildung 5.141). Dabei kommt es darauf an, dass Sie die Daten Ihrer Benutzer im Active Directory pflegen. Selbst wenn Benutzern bereits eine E-Mail-Adresse zugeteilt wurde, wird diese wieder modifiziert, wenn Sie in der Default Policy Änderungen vornehmen. Die oben genannten Variablen lesen die entsprechenden Felder im Active Directory aus und bilden aus ihnen die E-MailAdresse. Sie können zum Beispiel mithilfe der oben genannten Variablen Ihre E-Mail-Adressen nach dem Schema [email protected] automatisch für alle Benutzer generieren oder ändern lassen. An dieser Stelle können Sie auch selbst definierte SMTP-Adressen hinzufügen und mit den beschriebenen Variablen weitere Variationen von E-Mail-Adressen generieren. Ändern Sie zum Beispiel die Richtlinie nach dem Schema %3s%[email protected] ab, wird aus dem Namen Charlotte Joos die E-Mail-Adresse [email protected]. Dabei verwendet Exchange die ersten drei Buchstaben des Nachnamens und hängt den ersten Buchstaben des Vornamens an. Oft wird folgendes Prinzip eingesetzt: s%[email protected]. Dabei wird dann aus dem Namen Mario Kropik die Adresse [email protected]. Abbildung 5.141: Verwenden von Variablen für E-Mail-Adressen
310
E-Mail-Adressenrichtlinien
Sie können aus dem Namen Tamara Bergtold zum Beispiel folgende E-Mail-Adressen generieren lassen: ■ ■ ■ ■ ■ ■ ■
Sie können für Empfänger und auch innerhalb einer Richtlinie nur eine SMTPAdresse als Antwortadresse definieren. Klicken Sie dazu im Konfigurationsfenster für die E-Mail-Adresse auf die E-Mail-Adresse, die als Antwortadresse verwendet werden soll, und dann auf die Schaltfläche Als Antwortadresse verwenden. Empfänger können E-Mails zu allen E-Mail-Adressen empfangen, die Sie in einer Richtlinie definieren. Die E-Mail-Adresse, die als Antwortadresse definiert ist, verwenden die Clients zum Versenden von Nachrichten. Hier handelt es sich um die Hauptadresse Ihres Unternehmens.
4
5 6
Exchange greift auf die Benutzerfelder im Active Directory zurück, die für die Benutzer gepflegt wurden (siehe Abbildung 5.142). Abbildung 5.142: Aufbau der Daten aus dem Active Directory für das Generieren von E-Mail-Adressen
7 8 9 10 11
Auf der nächsten Seite des Assistenten legen Sie fest, wann die Richtlinie angewendet werden soll. Beachten Sie, dass Änderungen, die Sie vorgenommen haben, sofort aktiv und die E-Mail-Adressen Ihrer Benutzer angepasst werden. Die alten E-MailAdressen werden nicht gelöscht. Anwender können weiterhin E-Mails mit den alten E-Mail-Adressen empfangen.
12 13
Anschließend erhalten Sie noch einmal eine Zusammenfassung und können die Bearbeitung der Richtlinie abschließen.
14
Haben Sie die Bearbeitung der Richtlinie abgeschlossen, erhält diese den Status True in der Exchange-Verwaltungskonsole, was anzeigt, dass die Richtlinie für die konfigurierten Empfänger angewendet wird (siehe Abbildung 5.144).
15
311
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.143: Anpassen des Zeitplans für die Anwendung einer Richtlinie
Abbildung 5.144: Anzeigen des Status einer E-MailAdressenrichtlinie
Um eine neue Richtlinie zu erstellen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich der Exchange-Verwaltungskonsole und wählen Neuer/s E-MailAdressenrichtlinie (siehe Abbildung 5.145). Abbildung 5.145: Erstellen einer neuen E-MailAdressenrichtlinie
Sie können mehrere Richtlinien erstellen und diese Richtlinien in der von Ihnen gewünschten Reihenfolge sortieren. Um eine Richtlinie in der Priorität zu verschieben, müssen Sie diese mit der rechten Maustaste anklicken und aus dem Kontext312
E-Mail-Adressenrichtlinien
menü die Option Priorität ändern auswählen. Sie können die Richtlinie in diesem Menü nach oben oder nach unten verschieben (siehe Abbildung 5.146). Exchange wendet auf Empfänger immer die erste zutreffende Richtlinie an. Treffen auf einen Benutzer die Bedingungen mehrerer Richtlinien zu, wird die Richtlinie mit der höheren Priorität angewendet. Die Default Policy hat immer die niedrigste Priorität und wird angewendet, wenn keine der anderen Richtlinien zutreffende Bedingungen für einen Benutzer aufweist.
1 2 Abbildung 5.146: Ändern der Priorität von Richtlinien
3 4
5 6 Wählen Sie aus dem Kontextmenü den Befehl Übernehmen aus, startet der Assistent, über den Sie diese Richtlinie auf alle konfigurierten Empfänger anwenden lassen können (siehe Abbildung 5.147). Sie können Richtlinien sofort oder erst zu einem fest definierten Zeitpunkt anwenden. Bei entsprechender Anzahl von Empfängern kann es mehrere Stunden dauern, bis alle Empfänger mit den entsprechenden E-Mail-Adressen versorgt wurden.
7 8
Über das Kontextmenü können Sie erstellte Richtlinien auch wieder entfernen. Damit mindestens eine Richtlinie greift, kann die Default Policy nicht gelöscht werden.
9 Abbildung 5.147: Anwenden einer E-Mail-Adressenrichtlinie
10 11 12 13 14 15
313
Hub-Transport, Edge-Transport und Nachrichtenrouting
Die Antwortadresse, oft auch als primäre SMTP-Adresse bezeichnet, wird im SnapIn Active Directory-Benutzer und -Computer auf der Registerkarte Allgemein im Feld E-Mail angezeigt. Wird hier die richtige Adresse angezeigt, funktioniert die E-Mail-Adressenrichtlinie. Sie können in diesem Feld zwar Änderungen vornehmen, allerdings macht es keinen Sinn, hier manuell E-Mail-Adressen einzutragen, wenn Exchange noch keine eingetragen hat. Erst wenn dieses Feld automatisch gefüllt wird, wurde der Benutzer erfolgreich an Exchange angebunden (siehe Abbildung 5.148). Abbildung 5.148: Überprüfen der E-Mail-Adresse im Active Directory
INFO
314
Wie Sie in Abbildung 5.148 erkennen können, gibt es im Snap-In Active DirectoryBenutzer und -Computer keine Registerkarten mehr für die Verwaltung der ExchangeAttribute. Es gibt auch keine Exchange-Aufgaben mehr. Die komplette Benutzerverwaltung der Exchange-Attribute findet jetzt in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Postfach statt. Klicken Sie einen Benutzer doppelt, können Sie die einzelnen Exchange-Aufgaben durchführen.
E-Mail-Adressenrichtlinien
Abbildung 5.149: Empfängerverwaltung in Exchange Server 2007
1 2 3 4
5 5.15.2 Recipient Update Service
6
Unter Exchange Server 2003 wurden E-Mail-Adressen noch über den Empfängeraktualisierungsdienst – oder auch Recipient Update Service genannt – verteilt. Der Empfängeraktualisierungsdienst (Recipient Update Service, RUS) dient mithilfe der definierten Empfängerrichtlinien (Recipient Policies) unter Exchange Server 2003 dazu, Benutzer an Exchange anzubinden und sie mit E-Mail-Adressen zu versorgen. Der RUS ist eine der häufigsten Fehlerquellen bei Exchange 2003-Installationen und bedarf äußerster Aufmerksamkeit. Aus diesem Grund wurde der Dienst bei Exchange Server 2007 gestrichen. Der RUS verteilt die E-Mail-Adressen, die Sie in den Empfängerrichtlinien definieren, an die Benutzer. Er schreibt in das Benutzerobjekt im Active Directory. Ohne E-Mail-Adresse kann ein Benutzer weder E-Mails empfangen noch versenden.
7 8 9 10
Microsoft hat diesen Prozess unter Exchange Server 2007 deutlich überarbeitet. Sobald ein neues Benutzerkonto angelegt ist, erhält es automatisch sofort die notwendigen Exchange-Einstellungen, Sie müssen keine fünf Minuten auf die Anbindung warten. Ein Dienst wie der RUS, der nachträglich E-Mail-Adressen verteilt, wird dadurch nicht mehr benötigt. Die hauptsächliche Tätigkeit des RUS wurde jetzt direkt in das CMDlet der E-Mail-Adressen-Richtlinie integriert, er ist kein unabhängiger Prozess mehr.
11 12
Sobald eine Richtlinie angewendet wird, werden die Adressen verteilt; es ist kein asynchroner Prozess wie RUS mehr notwendig. Da es auf einem Exchange 2007-Server keinen RUS mehr als eigenständigen Dienst gibt, sollten Sie in einer gemischten Exchange 2003/2007-Organisation auf Seiten von Exchange Server 2003 in der Konfiguration des RUS keinen Exchange 2007-Server eintragen, da ansonsten RUS in der Organisation nicht mehr funktioniert.
13 14 INFO
15
In gemischten Exchange 2003/2007-Organisationen wird weiterhin der RUS benötigt, auch in Domänen, die nur Exchange 2007-Server enthalten. Allerdings darf der RUS nur Exchange 2003-Server verwenden.
315
Hub-Transport, Edge-Transport und Nachrichtenrouting
Setzen Sie in einer Umgebung den MIIS ein (siehe nächsten Abschnitt), erwartet dieser, dass angelegte Objekte durch den RUS gestempelt werden. Lassen Sie in diesem Fall in regelmäßigen Abständen die beiden CMDlets Update-EmailAddressPolicy und Update-AddressList durchlaufen, damit die MIIS-Objekte gestempelt werden.
5.16
Microsoft Identity Integration Server (MIIS)
Microsoft hat als wichtige Erweiterung zum Active Directory mit dem Microsoft Identity Integration Server (MIIS) einen Meta Directory-Dienst im Programm. Mithilfe des MIIS können Informationen aus verschiedenen Verzeichnissen synchronisiert werden. Die Basisfunktionen des MIIS werden als Identity Integration Feature Pack für Windows Server 2003 Enterprise Edition bereitgestellt. Allerdings wird nur die Integration verschiedener Verzeichnisse im Microsoft-Umfeld, nicht in einem heterogenen Umfeld, unterstützt. Der MIIS legt in den Organisationen durch Verzeichnissynchronisation mit E-Mail aktivierte Kontakte an. In jeder Gesamtstruktur und damit Exchange-Organisation werden daher die Empfänger der jeweils anderen Organisation als Kontakt angelegt und können in der GAL ausgewählt werden. Die kostenpflichtige Enterprise-Version kann verschiedene Verzeichnisse miteinander synchronisieren. Das Identity Integration Feature Pack for Windows Server Active Directory kann kostenlos bei Microsoft auf der Seite http://www.microsoft.com/ downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en heruntergeladen werden. Für viele Organisationen reichen unter Umständen die Funktionen der kostenlosen Version aus. Überprüfen Sie die Ansprüche, die Sie haben, und testen Sie, ob diese kostenlose Erweiterung die notwendigen Bedingungen erfüllt. Der MIIS kann Verzeichnisse auch zwischen verschiedenen Exchange-Versionen synchronisieren und setzt den einheitlichen Modus der Exchange-Organisation nicht voraus. Beim Einsatz des MIIS, egal in welcher Variante, müssen Sie bei der Planung der Exchange Server und Domänencontroller zusätzliche Themen beachten und ausführlich planen: ■
■
■
316
Der Server, auf dem Sie den MIIS installieren, muss mindestens einen Domänencontroller pro Domäne in jeder Gesamtstruktur ständig performant erreichen können, um die beiden Verzeichnisse zu synchronisieren. WAN-Verbindungen sind dazu kaum geeignet. Das Synchronisierungskonto des MIIS benötigt weit reichende Berechtigungen in beiden Gesamtstrukturen und den integrierten Domänen, die synchronisiert werden müssen. Das Konto muss in allen Domänen der beiden Gesamtstrukturen, die synchronisiert werden sollen, über Schreib- und Leserechte verfügen. In jeder Gesamtstruktur muss ein MIIS-Server installiert werden, der den Datenaustausch zu der jeweils anderen Organisation regelt.
Microsoft Identity Integration Server (MIIS)
Abbildung 5.150: Synchronisieren von zwei ExchangeOrganisationen über MIIS
1 2 3 4
5 6 7 8 9
5.16.1
Identity Integration Feature Pack
10
Diese Komponente kann für die Enterprise Edition zusätzlich geladen werden und ist eine Variante des MIIS 2003, die über weniger Agenten verfügt. Um das Identity Integration Feature Pack (IIFP) nutzen zu können, bedarf es eines Windows Server 2003 in der Enterprise Edition und eines SQL Server 2000 oder 2005, ebenfalls in der Enterprise Edition. Bei diesem muss darüber hinaus mindestens das Service Pack 3 eingespielt werden. Sind die Voraussetzungen erst einmal geschaffen, ist die Installation innerhalb weniger Minuten zu bewerkstelligen. Ohne einen installierten SQLServer bricht die Installationsroutine ab. Die Administration des Identity Integration Feature Packs erfolgt über den Identity Manager.
11 12 13
Installation des IIFP 14
Zunächst müssen Sie beim Starten der Installation einen SQL Server angeben, in dem die IIFP ihre Daten abspeichern können (siehe Abbildung 5.151).
15
317
Hub-Transport, Edge-Transport und Nachrichtenrouting
Abbildung 5.151: Angeben eines SQL Servers für die Installation des IIFP
Im Anschluss müssen Sie ein Benutzerkonto angeben, mit dem die IIFP Zugriff auf die Domäne haben (siehe Abbildung 5.152). Sie sollten bereits zuvor am besten einen speziellen Benutzer für die IIFP anlegen, der in der Gruppe Domänen-Admins und Organisations-Admins Mitglied ist. Abbildung 5.152: Dienstkonto des IIFP
Im Anschluss werden Sie noch darüber informiert, dass verschiedene Gruppen für die IIFP angelegt werden müssen. Sie sollten die Bezeichnung dieser Gruppen auf dem Standardnamen belassen. Nach dieser Eingabe beginnt die Installation. Unter Umständen werden Sie noch darüber informiert, dass der angegebene Benutzernamen und dessen Kennwort nicht sicher sind. Eine solche Meldung können Sie ignorieren. Nach der Installation müssen Sie sich am System neu anmelden.
318
Microsoft Identity Integration Server (MIIS)
Abbildung 5.153: Festlegen der Gruppen für die IIFP-Konfiguration
1 2 3 4
5 Ist die Installation abgeschlossen, werden die neuen Gruppen in der OU Users im Active Directory angezeigt (siehe Abbildung 5.154). Nur die Gruppe MIISAdmins enthält als Mitglied den Benutzer, unter dessen Konto die IFFP installiert wurden.
6 Abbildung 5.154: Anzeigen der Standardgruppen des IIFP
7 8 9 10 11
Zusätzlich wird durch die IIFP auf dem konfigurierten Server automatisch eine Datenbank angelegt, in der die Konfigurationsdaten gespeichert werden (siehe Abbildung 5.155).
12 Abbildung 5.155: Datenbank des IIFP auf dem SQL Server
13 14 15
319
Hub-Transport, Edge-Transport und Nachrichtenrouting
Verwaltung der IIFP Wie bereits beschrieben, findet die Verwaltung des IIFP im Identity Manager statt. Dort müssen Sie im ersten Schritt Management Agents konfigurieren. Durch den Konfigurationsprozess für die Agents führt ein Assistent, mit dessen Hilfe sich die verschiedenen Schritte relativ schnell bewerkstelligen lassen, soweit Sie mit den jeweils anderen Verzeichnissen vertraut sind (siehe Abbildung 5.156). Abbildung 5.156: Auswählen des Agenten für die Synchronisierung
Die IIFP können Daten zwischen Gesamtstrukturen, ADAM und die globale Adressliste ab Exchange 2000 synchronisieren. Im nächsten Schritt müssen Sie sich mit der Gesamtstruktur verbinden, in die Sie die IIFP installiert haben. Nur durch die administrative Verbindung zu der Gesamtstruktur und der zu synchronisierenden Domäne können Daten ausgetauscht werden. Wichtig ist für die Abbildung von Attributtypen und Objektklassen ein Verständnis für die unterschiedlichen Schemata von Verzeichnisdiensten. Die grundlegenden Regeln und Filter lassen sich mithilfe des Assistenten sehr einfach definieren. Der Assistent präsentiert sich in jeweils angepasster Form für die Datenquellen. Nach der Konfiguration von Agenten können Operationen definiert werden. So lassen sich zusätzliche Objektklassen und Attributtypen für das Meta Directory konfigurieren und Informationen in diesem über den Identity Manager suchen. Damit ist eine Grundkonfiguration des Meta Directorys für Administratoren, die sich mit Verzeichnisdiensten sehr gut auskennen, schnell möglich. Sobald weitere Funktionen benötigt werden, sind Entwicklungskenntnisse gefragt. Microsoft hat das Identity Integration Feature Pack mit seinem .NET Framework integriert. Damit können einerseits Visual Basic .NET und andererseits C# .NET für die Erstellung komplexerer Regeln verwendet werden. Darüber hinaus gibt es einen WMI-Provider für das System. Mit diesem können über WMI (Windows Management Instrumentation) Agenten gestartet und statistische Informationen zum Status des Servers abgefragt werden. Mit dem kostenlosen Identity Integration Feature Pack wird keine Schnittstelle zu Exchange 5.5-Servern oder zu Windows NT 4.0-Domänen angeboten. Wer diese benötigt, muss den MIIS 2003 lizenzieren. Unterstützt werden nur Exchange ab der Version 2000, das Active Directory und ADAM. Im Anschluss können Sie die Domäne und die OUs auswählen, deren Inhalt synchronisiert werden soll. Im Anschluss legen Sie noch die Objekttypen fest, die synchronisiert werden sollen. Danach bestimmen Sie, welche Attribute in die andere Gesamtstruktur synchronisiert werden sollen. Auf den restlichen Fenstern legen Sie Attribute fest sowie Regeln, die bestimmen, wie die Replikation durchgeführt werden kann.
TIPP
320
Die umfassende Behandlung des Identity Integration Feature Packages (IIFP) würde den Rahmen dieses Buches sprengen. Auf den IIFP-Seiten bei Microsoft finden Sie sowohl die Installationsdateien des IIFP als auch ausführliche Dokumente von Microsoft, die einzelne Einsatzszenarien genau beleuchten.
Microsoft Identity Integration Server (MIIS)
Abbildung 5.157: Verwalten des IIFP
1 2 3 4
5 6
Abbildung 5.158: Verbindungsaufbau mit der Gesamtstruktur zur Synchronisierung
7 8 9 10 11
5.16.2 Microsoft Identity Integration Server 2003 Resource Tool Kit 2.0
12
Setzen Sie das IIFP oder den MIIS ein, sollten Sie auch das Ressource Kit herunterladen. Sie finden das Resource Kit auf der Seite http://www.microsoft.com/downloads/ details.aspx?familyid=D3C7BD7A-E8D5-43CF-AD4D-4F1F0AE00D79&displaylang=en. Die Datei ist etwa 3 MB groß und enthält zahlreiche Tools für die Verwaltung des MIIS.
13 14
Die MIIS umfassend zu behandeln, würde ein ganzes Buch füllen. Auf der MicrosoftInternetseite der IIFP finden Sie folgende Programme, Tools und mehrere Hundert Seiten dicke Whitepapers: ■ ■ ■
15
Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory Microsoft Identity Integration Server 2003 Scenarios MIIS 2003 Design and Planning Collection 321
Hub-Transport, Edge-Transport und Nachrichtenrouting
■ ■ ■ ■
322
Microsoft Identity Integration Server 2003 Resource Tool Kit 2.0 Microsoft Identity Integration Server 2003 Technical Reference Microsoft Identity and Access Management Series MIIS 2003 Design Concepts
Inhalt 1 2 3 4 5
6
Mailbox-Server und Postfachdatenbanken
6 7
In diesem Kapitel gehe ich mit Ihnen ausführlich die Erstellung und Verwaltung von Speichergruppen und Postfachspeichern sowie Speichern für öffentliche Ordner durch. Um Ihren Exchange Server 2007 effizient administrieren zu können, sollten Sie Verständnis für die Speicherarchitektur von Exchange haben. Die Speicherarchitektur unterscheidet sich nicht sehr von der unter Exchange 2000/2003, aber deutlich von der unter Exchange 5.5. Das Wissen über die Speicherarchitektur von Exchange Server 2007 ist spätestens bei einem Wiederherstellungsvorgang oder der Verteilung von Benutzern auf den unterschiedlichen Exchange Servern Ihrer Organisation wichtig.
8 9 10
Einführung in die Datenbankstruktur von Exchange Server 2007
11
Exchange Server 2007 baut immer noch auf der Datenbanktechnologie von Exchange 2000/2003 auf. Der Server basiert auf der Joint-Engine-Technologie (JET). Auf deren Basis wurde die Extensible Storage Engine (ESE) von Exchange 2000/2003 und Exchange 2007 entwickelt.
12 13
Es gibt zwei Arten von Datenbanken, Postfachdatenbanken und öffentlichen Ordner-Datenbanken. Die Dateien der Datenbanken werden von Exchange auf dem jeweiligen Datenträger gespeichert. Diese Datei hat die Endung *.edb. Die Datenbankdateien sind nicht mehr in *.edb- und *.stm-Dateien aufgeteilt, sondern bestehen nur noch aus einer einzelnen *.edb-Datei pro Datenbank.
14
Insgesamt kann Exchange Server 2007 mehrere Milliarden Logdateien bearbeiten. Microsoft empfiehlt, maximal eine Datenbank pro Speichergruppe zu verwenden. Die Größe der Transaktionslogdateien beträgt nur noch 1 MByte. Dafür können bis zu 2 Billionen Logdateien pro Speichergruppe erstellt werden. Außerdem wurden die Datenbanken-Blockgrößen von 4 KB auf 8 KB vergrößert.
15
323
Index
6.1
Mailbox-Server und Postfachdatenbanken
Durch das Anlegen mehrerer Datenbanken können Sie die Konsistenz Ihrer verschiedenen Daten erhöhen. Selbst wenn eine Datenbank und deren Dateien beschädigt werden, können Benutzer, deren Postfächer sich in einer anderen Datenbank befinden, weiterhin problemlos arbeiten. Bei einem notwendigen Wiederherstellungsvorgang einer Datenbank wird die Arbeit der Benutzer, deren Postfächer auf andere Datenbanken verteilt sind, nur minimal beeinträchtigt. Dadurch ist auch die Dauer eines Wiederherstellungsvorgangs bei kleineren Datenbanken um einiges kürzer als bei größeren. Viele Administratoren werden dankbar für die neue Funktion Local Continuous Replication (LCR), im Deutschen: fortlaufende lokale Sicherung, sein. Mit dieser Funktion legt Exchange 2007 parallel zu seiner produktiven Datenbank ein Replikat an, das zum Beispiel bei einer Wiederherstellung genutzt werden kann. Fällt die Festplatte auf dem Server aus, auf dem die Exchange-Datenbank gespeichert wurde, kann ein Administrator ohne Zeit- und Datenverlust auf das Replikat umschalten. Die Anwender können ohne Ausfall und Datenverlust weiterarbeiten (siehe Abbildung 6.1). Diese Funktion wird in der Standard Edition und der Enterprise Edition unterstützt. Abbildung 6.1: Fortlaufende Datensicherung in Exchange Server 2007
Idealerweise sollte dazu das Replikat der Datenbank auf einem getrennten Datenträger abgelegt werden. Die Datensicherung von Exchange wird durch diese Funktion erheblich optimiert, aber nicht ersetzt. Innerhalb eines Clusters können Sie diese Funktion dazu verwenden, einen Cluster zu bauen, der über keinen gemeinsamen Datenspeicher verfügt (siehe Kapitel 14). Sie können zum Beispiel die Replikats-Datenbank von Cluster Continuous Replication (CCR) auf den passiven Knoten des Clusters in Echtzeit replizieren lassen. Fällt der aktive Knoten aus, kann der passive Knoten gestartet werden und stellt die repli-
324
Speichergruppen
zierte Datenbank in Echtzeit und ohne Datenverlust zur Verfügung. Dadurch wird die Datensicherung deutlich ausgeweitet, und die Kosten für Hochverfügbarkeit werden reduziert. Durch diese Funktion erhalten Sie eine 24-Stunden-Datensicherung. Die Exchange Server 2007 Enterprise Edition unterstützt bis zu 50 Speichergruppen, die wiederum bis zu 50 Postfachspeicher enthalten können. Die Exchange Server 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich noch immer einen gemeinsamen Satz von Transaktionsprotokollen.
1
In Exchange Server 2007 gibt es weder in der Standard Edition noch in der Enterprise Edition eine Begrenzung für die Größe des Postfachspeichers.
3
2
INFO
Unter Exchange Server 2003 (mit SP2) war die Größe der Datenbank in der Standard Edition noch auf 75 GB begrenzt.
4
6.2
5
Speichergruppen
Speichergruppen sind Sammlungen von Datenbanken. Dabei ist es egal, ob eine Speichergruppe mehrere Datenbanken für öffentliche Ordner oder Postfachdatenbanken enthält. Alle Datenbanken einer Speichergruppe nutzen einen gemeinsamen Satz Transaktionsprotokolle (siehe übernächster Abschnitt).
6 7
6.2.1
Allgemeine Informationen zu Speichergruppen
Mithilfe der Speichergruppen können Sie die Benutzer in verschiedene Datenbanken unterteilen. Fällt eine Speichergruppe aus, ist sichergestellt, dass Benutzer mit Postfächern in anderen Speichergruppen weiterhin uneingeschränkt arbeiten können. Wird die ausgefallene Speichergruppe wiederhergestellt, können die anderen Benutzer trotzdem weiterarbeiten. Der Recovery-Vorgang einer Speichergruppe beeinflusst andere Speichergruppen nicht (siehe Kapitel 11).
8
Durch die Aufteilung der Benutzer in verschiedene Postfachspeicher und Speichergruppen sind die einzelnen Datenbanken zudem deutlich kleiner als bei nur einer Speichergruppe. Dadurch dauern auch Recovery-Vorgänge nicht so lange wie bei einer einzelnen Speichergruppe, und die Benutzer der betroffenen Speichergruppe können schneller wieder auf ihr Postfach zugreifen.
10
Bei der Installation von Exchange Server 2007 werden automatisch Speichergruppen angelegt. Sie können jederzeit weitere Speichergruppen anlegen und Datenbanken erstellen. Beim Erstellen eines neuen Benutzerpostfachs können Sie auswählen, in welcher Speichergruppe und in welchem Postfachspeicher es erstellt werden soll.
12
6.2.2
9
11
13
Anlegen einer neuen Speichergruppe 14
Um eine neue Speichergruppe anzulegen, starten Sie am besten die Exchange-Verwaltungskonsole:
1.
Klicken Sie danach auf Serverkonfiguration/Postfach und dann in der Mitte der Konsole auf den Server, auf dem Sie eine neue Speichergruppe anlegen wollen (siehe Abbildung 6.2).
15
325
Mailbox-Server und Postfachdatenbanken
Abbildung 6.2: Verwalten von Speichergruppen in der ExchangeVerwaltungskonsole
2. 3.
Im unteren Bereich der Konsole sehen Sie die bereits vorhandenen Speichergruppen auf dem Server. Klicken Sie im unteren Bereich mit der rechten Maustaste, und wählen Sie aus dem Menü die Option Neue Speichergruppe aus.
Abbildung 6.3: Erstellen einer neuen Speichergruppe in Exchange 2007
4. Im Anschluss startet der Assistent für die Erstellung einer neuen Speichergruppe
5. 6.
326
(siehe Abbildung 6.4). Sie sehen zunächst im Feld Servername die Bezeichnung des Servers, auf dem die neue Speichergruppe erstellt wird. Im nächsten Feld Name der Speichergruppe geben Sie die Bezeichnung der neuen Speichergruppe an. In den nächsten beiden Feldern sehen Sie den Pfad zu den Transaktionsprotokolldateien sowie den Pfad für die Systemdateien der neuen Speichergruppen. Die wichtigste Systemdatei ist die *.chk-Datei, welche die Informationen ent-
Speichergruppen
hält, welche Transaktionen bereits in die Datenbank gespeichert wurden. Die notwendigen Verzeichnisse werden zwar automatisch angelegt, aber Sie können auch einen anderen Pfad verwenden. Abbildung 6.4: Erstellen einer neuen Speichergruppe
1 2 3 4 5
6 7 8 Fortlaufende lokale Sicherung
9
Sie können für einzelne Speichergruppen die Option Fortlaufende lokale Sicherung für diese Speichergruppe aktivieren:
10
In diesem Fall werden die beiden Felder Speicherort für Systemdateien der fortlaufenden lokalen Sicherung und Speicherort für Protokolldateien der fortlaufenden lokalen Sicherung aktiviert. Sie sollten das Replikat der Speichergruppe am besten auf einem getrennten Datenträger, idealerweise auch angeschlossen an einen anderen Datenträger-Controller speichern.
11
Aktivieren Sie für eine Speichergruppe diese Option, werden alle Schreibprozesse in die Exchange-Datenbank zusätzlich in das Replikat geschrieben. Administratoren, die in der Vergangenheit öfter Wiederherstellungen von Exchange-Datenbanken durchgeführt haben, werden über eine solche Funktion froh sein, da bei einem Ausfall eine schnelle Wiederherstellung erfolgen kann. Es sind keine komplizierten Wiederherstellungsvorgänge notwendig, sondern Sie können den Pfad in der Speichergruppe ganz einfach abändern und die Replikate verwenden. Die Mitarbeiter im Unternehmen können fast ohne Ausfall weiterarbeiten, und Sie können in Ruhe die produktive Datenbank wiederherstellen und den Replikationsprozess wieder auf dem normalen Weg herstellen. Ich komme in diesem Kapitel noch in einem eigenen Abschnitt auf die Verwaltung der fortlaufenden lokalen Datensicherung zu sprechen.
12 13 14 15
327
Mailbox-Server und Postfachdatenbanken
Abbildung 6.5: Einrichtung der fortlaufenden lokalen Datensicherung für eine Speichergruppe
Klicken Sie auf die Schaltfläche Neu, beginnt Exchange 2007 die Speichergruppe zu erstellen (siehe Abbildung 6.6). Abbildung 6.6: Exchange 2007 erstellt eine neue Speichergruppe.
328
Speichergruppen
Wurde die Speichergruppe erfolgreich erstellt, wird Ihnen die Erstellung im Abschlussfenster angezeigt. Zusätzlich sehen Sie in diesem Fenster, wie die Befehlszeile aussieht, über die Sie die Speichergruppe in der Exchange-Verwaltungsshell erstellen können (siehe Abbildung 6.7).
1
Klicken Sie auf Fertig stellen, wird der Assistent abgeschlossen und die Speichergruppe in der Exchange-Verwaltungskonsole angezeigt. Die Speichergruppe enthält allerdings noch keinerlei Postfachspeicher oder Speicher für öffentliche Ordner.
2 Abbildung 6.7: Abschluss der Erstellung und Anzeige des entsprechenden Befehlszeilenskriptes
3 4 5
6 7 8 9 10
6.2.3
Verwalten von Speichergruppen und Transaktionsprotokollen
11
Sie können die Eigenschaften einer Speichergruppe über die Exchange-Verwaltungskonsole aufrufen. Normalerweise werden Speichergruppen während der Installation angelegt und müssen nicht ständig konfiguriert werden.
12
Bereits beim Anlegen einer Speichergruppe müssen Sie festlegen, wo die Protokolle dieser Speichergruppe gespeichert werden sollen. Sie können diesen Speicherort zwar nachträglich ändern, aber dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit den Transaktionsprotokollen umgehen, bevor Sie eine Speichergruppe anlegen.
13 14
Exchange Server 2007 arbeitet mit sogenannten Transaktionsprotokolldateien. Alle Aktionen, welche die Benutzer durchführen und somit Änderungen in der Datenbank zur Folge haben, wie beispielsweise E-Mails schreiben, Termine planen, öffentliche Ordner erstellen und so weiter, müssen von Exchange gespeichert werden. Damit dieser Speichervorgang jederzeit konsistent und performant ist, arbeitet Exchange ähnlich wie ein SQL-Server. Jede Änderung und jede Aktion wird zunächst in eine Datei geschrieben. Von dieser Datei arbeitet Exchange dann Ände-
15
329
Mailbox-Server und Postfachdatenbanken
rung für Änderung ab und speichert sie in seiner Datenbank. Diese Dateien sind für den Betrieb eines Exchange Servers sowie die Datensicherung unerlässlich. Diese Dateien werden Transaktionsprotokolle genannt. Sobald eine Datei von Exchange geschrieben wurde, wird automatisch eine neue Transaktionsprotokolldatei angelegt. Datenbanken, die in derselben Speichergruppe angeordnet sind, verwenden jeweils dieselben Transaktionsprotokolle. Werden diese beschädigt, vor allem wenn die darin enthaltenen Änderungen noch nicht in der Datenbank gespeichert sind, werden alle Datenbanken dieser Speichergruppe beeinträchtigt beziehungsweise beschädigt. Sie können diese Dateien entweder im selben Verzeichnis oder im selben Datenträger der Datenbank aufbewahren oder einen getrennten Datenträger wählen. Microsoft empfiehlt, die Transaktionsprotokolldateien auf einem getrennten Festplattensystem zu speichern. Dies hat Stabilitäts- und Performancegründe. Durch die Arbeit mit Transaktionsprotokolldateien werden die Performance und die Stabilität von Exchange deutlich erhöht. Auch die Vorgänger von Exchange Server 2007 haben bereits mit diesen Protokollen gearbeitet.
INFO
Löschen Sie keinesfalls manuell Transaktionsprotokolle. Führen Sie eine OnlineSicherung Ihrer Datenbank mit einem Exchange-tauglichen Datensicherungsprogramm durch, werden diese Dateien gesichert und danach automatisch gelöscht, es ist kein manuelles Eingreifen notwendig. Selbst wenn Ihnen die Datenbankdatei (*.edb) verloren geht, können Ihre Exchange-Daten sehr einfach mit den Transaktionsprotokollen wiederhergestellt werden. Sie sollten von Beginn an Ihren Exchange Server online sichern. Versäumen Sie das, besteht die Möglichkeit, dass die Partition, in der die Transaktionsprotokolldateien gespeichert sind, überläuft. Kann Exchange keine neuen Transaktionsprotokolldateien anlegen, da kein Plattenplatz mehr vorhanden ist, stellt der Server seine Funktion ein, und kein Benutzer kann sich mehr mit dem System verbinden. Exchange legt aus diesem Grund zwei Reservetransaktionsprotokolle, E res00001.jrs und Eres00001.jrs, an. Sind diese jedoch ebenfalls voll geschrieben, steht Ihr Exchange Server still. Die erste Speichergruppe und deren Transaktionsprotokolle werden im Verzeichnis C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group gespeichert (siehe Abbildung 6.8).
Abbildung 6.8: Speicherort der ersten Speichergruppe
330
Speichergruppen
Ändern des Speicherorts einer Speichergruppe oder der Transaktionsprotokolle Um den Speicherort der Transaktionsprotokolle zu ändern, öffnen Sie zunächst die Exchange-Verwaltungskonsole. Navigieren Sie zum Bereich Serverkonfiguration/Postfach, und wählen Sie im oberen Bereich den Mailbox-Server aus, auf den Sie die Protokolle verschieben wollen.
1 2
Im unteren Bereich der Konsole klicken Sie die entsprechende Speichergruppe mit der rechten Maustaste an und wählen aus dem Menü Speichergruppenpfad verschieben aus (siehe Abbildung 6.9).
3 Abbildung 6.9: Verschieben einer Speichergruppe oder deren Transaktionsprotokolle
4 5
6 7 8
Im Anschluss startet der Assistent zum Verschieben der kompletten Speichergruppe oder nur der Transaktionsprotokolle (siehe Abbildung 6.10). Abbildung 6.10: Verschieben von Transaktionsprotokollen
9 10 11 12 13 14 15
331
Mailbox-Server und Postfachdatenbanken
Alle Datenbanken dieser Speichergruppe verwenden die gleichen Transaktionsprotokolle. Über die Schaltfläche Durchsuchen wählen Sie den neuen Speicherort der Dateien aus. Für die Änderung des Speicherorts der Transaktionsprotokolle werden alle Datenbanken dieser Speichergruppe offline geschaltet. Sie erhalten auf dem nächsten Fenster eine entsprechende Meldung, die Sie bestätigen müssen (siehe Abbildung 6.11). Die Postfächer von Datenbanken in anderen Speichergruppen sind hiervon nicht betroffen. Sie sollten die Transaktionsprotokolle entweder im selben Verzeichnis speichern wie die Datenbank oder ein eigenes Festplattensystem auswählen. Was sinnvoll ist, kommt auf Ihre Umgebung an. Nach meiner Erfahrung ist es auf alle Fälle sinnvoll, die Datenbank von den Systemdateien von Exchange zu trennen (bin-Verzeichnis, nicht die Systemdatei der Transaktionsprotokolle, in der die *.chk-Datei liegt) und die Transaktionsprotokolle im Verzeichnis der Datenbanken zu speichern. Bei großen Umgebungen mit hohem Mailverkehr ist ein eigenes Festplattensystem für die Transaktionsprotokolle auf alle Fälle sinnvoll. Abbildung 6.11: Warnmeldung beim Verschieben der Transaktionsprotokolle
Sie können auf dem Fenster zum Ändern des Speicherorts der Transaktionsprotokolle zwei verschiedene Speicherorte wählen. Der erste Eintrag Speicherort für Protokolldateien dient zum Speichern der tatsächlichen Transaktionsprotokolle, der zweite, der Speicherort für Systemdateien, dient zum Speichern der temporären Dateien und der Arbeitsdateien, die eine Speichergruppe zur Arbeit mit den Transaktionsprotokollen benötigt. Hier werden temporäre Dateien, wiederhergestellte Dateien sowie die Checkpoint-Datei der Speichergruppe gespeichert. Sie sollten beide Pfade auf demselben Datenträger speichern. Nochmals eine Unterscheidung zu treffen, macht keinen Sinn. Bei diesem Vorgang werden keine Datenbanken ver-
332
Speichergruppen
schoben. Datenbanken verschieben Sie über das Kontextmenü der entsprechenden Datenbank (wird noch in diesem Kapitel behandelt). Checkpoint-Datei (*.chk)
1
Die Checkpoint-Datei spielt für die Arbeit von Exchange mit den Transaktionsprotokollen und damit der Datenbank eine große Rolle. Jeder Satz Transaktionsprotokolle und jede Speichergruppe hat eine eigene Checkpoint-Datei. Diese Datei wird in dem Verzeichnis gespeichert, das Sie bei der Systempfad-Angabe gewählt haben. Die Datei hat die Endung *.chk (siehe Abbildung 6.12).
2
In dieser Datei hält Exchange fest, welche Änderungen aus den Transaktionsprotokollen bereits in die Datenbank geschrieben wurden. Geht diese Datei verloren, schreibt Exchange beim Starten des Servers alle Informationen, die in den Transaktionsprotokolldateien vorhanden sind, noch einmal in die Datenbank. Je nach Anzahl Ihrer Transaktionsprotokolle kann dieser Vorgang einige Minuten bis Stunden dauern. Dieser Vorgang wird auch Soft-Recovery bezeichnet und in Kapitel 11 ausführlich besprochen. Im Anschluss werden die Dateien zum neuen Speicherort verschoben.
3 4 5 Abbildung 6.12: Checkpoint-Datei einer Speichergruppe
6 7 8 9
Umlaufprotokollierung verwalten
10
Der Begriff Umlaufprotokollierung ist in der Exchange-Welt ein wichtiger Begriff. Umlaufprotokollierung heißt nichts anderes, als dass Exchange nicht ständig neue Transaktionsprotokolle anlegt, sondern nur mit einigen wenigen arbeitet und diese ständig im Turnus überschreibt. Exchange 5.5 hat standardmäßig noch mit der Umlaufprotokollierung gearbeitet. Exchange 2000/2003 arbeitet jedoch standardmäßig nicht mit der Umlaufprotokollierung, das gilt auch für Exchange Server 2007.
11 12
So, wie Sie bei Exchange 5.5 die Umlaufprotokollierung deaktivieren konnten, können Sie diese bei Exchange Server 2007 aktivieren. Durch die Aktivierung der Umlaufprotokollierung sparen Sie zwar im Idealfall Festplattenplatz, bei Problemen mit der Datenbank oder einem notwendigen Restore (siehe Kapitel 11) kann Exchange jedoch nur noch auf einen begrenzten Datenstamm zurückgreifen.
13
Sie können die Umlaufprotokollierung für jede Speichergruppe getrennt aktivieren oder deaktivieren. Sie sollten die Umlaufprotokollierung nur dann aktivieren, wenn Sie genau wissen, was Sie tun, und der Inhalt der Speichergruppe nicht sehr wichtig ist. Für Postfachdatenbanken sollte die Umlaufprotokollierung niemals aktiviert werden.
15
14
333
Mailbox-Server und Postfachdatenbanken
Um die Umlaufprotokollierung einer Speichergruppe zu aktivieren, rufen Sie über das Kontextmenü die Eigenschaften der Speichergruppe auf und setzen den Haken bei Umlaufprotokollierung aktivieren (siehe Abbildung 6.13). Abbildung 6.13: Konfiguration der Umlaufprotokollierung für eine Speichergruppe
Probleme mit schnell anwachsenden Transaktionsprotokollen Da alle Exchange-Vorgänge in den Transaktionsprotokollen gespeichert und diese wiederum nur durch das Datensicherungsprogramm gelöscht werden, besteht bei vielen Exchange-Organisationen das Problem, dass die Transaktionsprotokolle schnell anwachsen und so die Platten eines Servers schnell zum Überlaufen bringen. Loops Ein weit verbreitetes Problem sind Loop-Mails, also E-Mails, die zwischen verschiedenen Servern oder Postfächern aufgrund falsch konfigurierter Regeln oder fehlerhafter Empfängerrichtlinien hin und her geschickt werden. Da diese E-Mails teilweise in Sekundenbruchteilen hin- und hergeschickt werden, besteht schnell die Gefahr, dass die Anzahl der Transaktionsprotokolle extrem rasch anwachsen kann. Replikation öffentlicher Ordner Auch die Replikation Ihrer öffentlichen Ordner kann zu einem schnellen Anwachsen der Transaktionsprotokolle führen. Die Replikation der öffentlichen Ordner läuft über das Versenden von E-Mails zwischen den öffentlichen Ordner-Speichern. Offenes Relay Selbsterklärend ist natürlich, dass die Anzahl Ihrer Transaktionsprotokolle schnell anwächst, wenn Ihr Exchange Server als offenes Relay im Internet steht. Dadurch wird er von anderen Servern als Relay zum Versenden von Spam oder Viren verwendet. Stellen Sie sicher, dass nur speziell eingetragene Server Ihren Exchange als Relay verwenden dürfen und am besten nur welche in Ihrem internen Netzwerk (siehe Kapitel 5). 334
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
Virenscanner auf Dateisystemebene Bei Exchange Server 2007 gibt es zwar kein M-Laufwerk mehr (wie bei Exchange 2000 Server), aber trotzdem steht die Datenbank auch auf dem Dateisystem zur Verfügung. Installieren Sie auf einem Exchange Server einen Virenscanner auf Dateisystemebene (ein Postfachscanner macht hier keine Probleme), stellen Sie sicher, dass bei einem Scanvorgang nicht das Verzeichnis der Datenbanken gescannt wird.
1 2
Virenscanner verändern die gescannten Dateien und markieren sie als gescannt. Zusätzlich besteht das Problem, dass die Exchange-Datenbank durch einen solchen Vorgang zerstört werden kann. Vermeiden Sie also den Zugriff eines solchen Filescanners auf Dateiebene auf Ihre Exchange-Datenbank. Ein Virus kann sich in dieser Datei ohnehin nicht festsetzen, sondern nur innerhalb der Datenbank, die aber von Dateisystem-Scannern nicht durchsucht werden kann.
3 4
Entourage (Mac-Clients) Arbeiten Sie mit Mac-Clients, besteht die Möglichkeit, dass Benutzer mit Entourage versuchen, E-Mails zu senden, die größer sind, als es den definierten Richtlinien entspricht. In diesem Fall bleibt die E-Mail im Postausgang des Clients, aber die Transaktionsprotokolle wachsen dennoch an. Dieses Problem tritt allerdings sehr selten auf.
5
6
Exporte der Datenbank und Verschieben von Postfächern Lassen Sie eine große Anzahl von Postfächern exportieren oder verschieben, wird auch eine große Anzahl von Transaktionsprotokollen geschrieben. In diesem Fall sollten Sie vorher eventuell auf Umlaufprotokollierung schalten. Je größer die Anzahl von Postfächern ist, die Sie exportieren oder verschieben, je ungenauer können Sie wissen, wie groß die Anzahl der Protokolle wird. Eine Aktivierung der Umlaufprotokollierung beseitigt dieses Problem, erhöht aber auch die Gefahr eines Datenverlustes.
6.3
7 8 9
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
10
Bei der Verwendung der fortlaufenden lokalen Datensicherung (Local Continuous Replication, LCR) wird auf demselben Server eine Kopie einer Datenbank, ebenfalls mithilfe der Exchange-Transaktionsprotokolldateien, erstellt. Bei einem Fehler in der ursprünglichen Datenbank kann die Kopie online geschaltet und so die Ausfallzeit drastisch verkürzt werden. Der einzige Wermutstropfen ist, dass nur eine Datenbank pro Speichergruppe existieren darf, wenn LCR aktiviert wird. Das sollte in der Praxis aber kein Problem darstellen, da Microsoft sowieso die Verwendung von nur einer Datenbank pro Speichergruppe empfiehlt und selbst die Standard Edition von Exchange Server 2007 fünf Speichergruppen unterstützt.
11 12 13
Die neue Funktion der fortlaufenden Datensicherung (Local Continuous Replication, LCR) ist eine der wesentlichsten Neuerungen in Exchange Server 2007. Die Geschwindigkeit leidet nicht wesentlich darunter, aber die Datensicherheit wird erhöht. Werden die Datenbankdateien eines Servers beschädigt, können Administratoren ohne Datenverlust und ohne wesentlichen Zeitverlust auf die replizierte Kopie umschalten. Die Anwender können dadurch schnell und effizient weiterhin auf ihr Postfach zugreifen.
14 15
335
Mailbox-Server und Postfachdatenbanken
Die fortlaufende lokale Datensicherung kann bereits beim Anlegen einer Speichergruppe aktiviert werden. Achten Sie allerdings darauf, bereits bei der Planung des Servers einen eigenen Controller und Datenspeicher für die fortlaufende Datensicherung zu berücksichtigen. Speichern Sie die Daten mit dem gleichen Controller oder auf dem gleichen Datenträger wie die produktive Datenbank, belasten Sie das System mehr als notwendig, da jetzt ja alle Schreibarbeiten doppelt durchgeführt werden müssen. Aus Sicht der Ausfallsicherheit bringt die Speicherung mit dem gleichen Controller oder auf dem gleichen Datenträger nicht viel, da beim Ausfall einer dieser Komponenten auch die komplette Datensicherung ausfällt. Haben Sie allerdings keine Möglichkeit, zusätzliche Komponenten im Server zu integrieren, sollten Sie dennoch die fortlaufende Datensicherung aktivieren, erhalten dadurch aber nicht die gleiche Ausfallsicherheit wie beim Einsatz redundanter Technologien. In der Abbildung 6.14 zeige ich Ihnen die schematische Darstellung eines Servers, der für die neuen Funktionen der fortlaufenden Datensicherung ideal sein könnte und ein gutes Preis-Leistungs-Verhältnis hat. Natürlich ist auch die Anbindung an ein SAN denkbar sowie die Speicherung der Daten auf einem RAID-5- oder RAID-10System. Die Darstellung in der Abbildung soll nur ein Beispiel darstellen.
6.3.1
Empfehlungen für den Einsatz der fortlaufenden lokalen Datensicherung
Sie sollten auch bei der Planung Ihrer Speichergruppen und Postfach- und öffentlichen Ordner-Datenbanken den Einsatz der fortlaufenden Datensicherung mit einplanen. Sie sollten möglichst darauf achten, dass die Hardware, auf der Sie die fortlaufende Datensicherung speichern, über die gleiche Performance verfügt wie die Hardware der produktiven Datenbank. Microsoft empfiehlt darüber hinaus, einem Server 1 GB RAM mehr zur Verfügung zu stellen als beim Einsatz ohne LCR. Zusätzlich empfiehlt Microsoft, dass die Datenbank, für die Sie LCR aktivieren, maximal 100 GB groß sein soll. Aktivieren Sie für eine Datenbank kein LCR, lautet die Microsoft-Empfehlung für die maximale Größe 200 GB. Bei diesen Zahlen handelt es sich aber nur um Richtwerte, keine festgelegten Grenzwerte. Zusätzlich sollten Sie beim Einsatz der fortlaufenden Datensicherung noch auf einige wichtige Punkte achten: ■ ■
336
Aktivieren Sie die fortlaufende Datensicherung für eine Speichergruppe, darf diese Speichergruppe nur eine einzelne Datenbank enthalten. Sie können die fortlaufende Datensicherung für öffentliche Ordner-Datenbanken nur dann aktivieren, wenn es in der gesamten Organisation nur eine Datenbank für öffentliche Ordner gibt. Haben Sie auf mehreren Exchange Servern öffentliche Ordner-Datenbanken installiert, können Sie die existierenden öffentlichen Ordner durch die öffentliche Ordner-Replikation vor Datenverlust sichern. In diesem Fall wird aber für keine der öffentlichen Ordner-Datenbanken die fortlaufende Datensicherung unterstützt.
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
Abbildung 6.14: Beispielkonfiguration mit dem Einsatz für Replikationssicherung
1 2 3 4 5
6 7 ■
■
■
■
Idealerweise sollten Sie für den Speicherort der LCR-Daten keinen Laufwerksbuchstaben verwenden, sondern diesen nur als NTFS-Bereich mounten. In diesem Fall können Sie bei Ausfall der produktiven Datenbank dieser Partition den gleichen Laufwerksbuchstaben zuweisen wie der ausgefallenen produktiven Datenbank. Der Datenträger, auf dem Sie die LCR-Daten ablegen lassen, muss direkt mit dem Exchange Server verbunden sein. Netzwerkspeicher und Freigaben werden nicht unterstützt. Es spricht allerdings nichts gegen den Einsatz eines SAN oder NAS. Achten Sie darauf, dass Sie für die LCR-Daten den gleichen Plattenplatz benötigen wie für die produktive Datenbank und dass der Datenträger, auf dem Sie die Daten speichern, über genügend Festplattenplatz verfügt. Auch wenn Sie LCR einsetzen, wird dadurch nicht die Datensicherungsstrategie ersetzt. Sie müssen zwar nicht mehr so oft die Daten sichern, aber eine vernünftige Bandsicherung gehört zur Sicherung einer Exchange-Organisation dazu. Durch den Einsatz von LCR sind diese Daten die ersten Versuche zur Wiederherstellung nach einem Ausfall, da sie schneller zur Verfügung stehen als Bandsicherungen.
Wollen Sie eine produktive Datenbank von einer Bandsicherung wiederherstellen, sollten Sie erst LCR für die Speichergruppe deaktivieren. Sichern Sie dann die Datenbank zurück, und aktivieren Sie erst dann LCR wieder.
8 9 10 11 12 13 14 INFO
15
337
Mailbox-Server und Postfachdatenbanken
6.3.2
Einrichten und Verwalten der fortlaufenden Datensicherung
Nutzen Sie LCR für einen Mailbox-Server, müssen Sie beachten, dass zu den regelmäßigen Tätigkeiten noch einige neue Aufgaben dazukommen beziehungsweise durchgeführt werden müssen. Die fortlaufende Datensicherung (LCR) wird direkt über eine Speichergruppe aktiviert. Erstellen Sie unter einer LCR-aktivierten Speichergruppe eine Postfachdatenbank, wird diese automatisch in die LCR eingebunden. Eine LCRaktivierte Speichergruppe darf allerdings nur eine einzelne Datenbank enthalten. ■
■ ■
■
■
■ ■
Der Speicherplatz, auf dem die LCR-Daten gespeichert werden, muss konfiguriert, die Partitionen müssen verwaltet werden. Es ist zwar nicht notwendig, spezielle Sondereinstellungen vorzunehmen, aber die Daten sollten auf einem eigenständigen Datenträger liegen. Sie müssen LCR aktivieren und bei einer Wiederherstellung von Band zeitweise deaktivieren. Es ist zwar nicht notwendig, dass Sie die Replikation ständig überwachen, aber Sie sollten ab und zu sicherstellen, dass die Replikation noch läuft. Microsoft bietet für den Operations Manager 2005 ein Management Pack für Exchange Server 2007 an, das auch LCR überwachen kann. Sie können die Funktionalität auch durch das regelmäßige Überprüfen der Ereignisprotokolle sicherstellen. Die LCR-Funktionalität wird durch den Dienst Microsoft Exchange-Replikationsdienst gesteuert. Ist dieser Dienst nicht gestartet, werden keine Daten mehr repliziert. Neben der manuellen Überwachung können Sie auch ein Skript schreiben, das in der Exchange-Verwaltungsshell den Befehl get-storagegroupcopystatus ausführt. Hierüber erhalten Sie auch ausführliche Informationen. LCR kann nur für Speichergruppen aktiviert werden, die lediglich eine einzelne Datenbank enthalten. Wollen Sie Konfigurationsänderungen für eine Datenbank vornehmen, die in einer LCR-aktivierten Speichergruppe liegt, sollten Sie deren Bereitstellung aufheben, da in diesem Zustand keine Änderungen am Inhalt der Datenbank vorgenommen werden können, was eine Voraussetzung für die Bearbeitung einer LCR-aktivierten Datenbank ist. Die Datenbanken, für die LCR eingerichtet ist, müssen konfiguriert und überwacht werden. Die Dateien der LCR müssen exakt die gleichen Bezeichnungen haben wie die Dateien der produktiven Datenbank. Die Daten der LCR müssen auf Konsistenz und Aktualität geprüft werden. Beim Ausfall der produktiven Datenbank müssen Sie die LCR-Daten über die produktive und defekte Datenbank kopieren.
Aktivieren von LCR für eine existierende Speichergruppe Sie können LCR nicht nur für neue Speichergruppen aktivieren, sondern auch für bereits existierende Speichergruppen. Achten Sie vor der Aktivierung darauf, dass Sie die beschriebenen Vorbedingungen erfüllen, bevor Sie für eine Speichergruppe die fortlaufende Datensicherung aktivieren. Die LCR kann sowohl über die Exchange-Verwaltungskonsole als auch über die Exchange-Verwaltungsshell konfiguriert werden. Die Verwaltung über die Verwaltungskonsole ist natürlich einfacher. Zur Aktivierung von LCR starten Sie die Exchange-Verwaltungskonsole und navigieren zum Bereich Serverkonfiguration/Postfach.
338
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
Markieren Sie im Ergebnisbereich der Konsole in der oberen Hälfte den entsprechenden Mailbox-Server, und klicken Sie mit der rechten Maustaste auf die Speichergruppe, für die Sie LCR aktivieren wollen. Wählen Sie aus dem Kontextmenü die Option Fortlaufende lokale Replikation aktivieren aus, damit der Assistent für die Einrichtung von LCR startet(siehe Abbildung 6.15).
1
Abbildung 6.15: Aktivieren der fortlaufenden Datensicherung
2 3 4 5
6 7
Der Assistent ist wie alle anderen Assistenten in Exchange Server 2007 aufgebaut. Auf der ersten Seite wird die Bezeichnung der Speichergruppe angezeigt, für die Sie LCR aktivieren wollen. Zusätzlich sehen Sie, welche Datenbanken in der Speichergruppe enthalten sind (siehe Abbildung 6.16).
8 Abbildung 6.16: Aktivieren von LCR
9 10 11 12 13 14 15
339
Mailbox-Server und Postfachdatenbanken
Auf der nächsten Seite des Assistenten können Sie den Speicherort der Dateien für LCR festlegen. Achten Sie auch hier darauf, dass der Datenträger, auf dem Sie die Daten speichern, über genügend freien Festplattenplatz verfügt (siehe Abbildung 6.17). In diesem Verzeichnis werden die Logdateien und die Systemdateien für die fortlaufende Datensicherung gespeichert, aber nicht die Datenbankdatei. Den Speicherort der Datenbankdatei legen Sie in dem nächsten Fenster fest. Abbildung 6.17: Festlegen des Speicherorts für die LCR-Daten
Auf der nächsten Seite des Assistenten legen Sie fest, in welchem Verzeichnis die Datenbankdatei gespeichert werden soll, in welche die Transaktionsprotokolle der LCR eingespielt werden sollen. Bei dieser Datei handelt es sich quasi um die Sicherheitskopie in Echtzeit der Exchange-Datenbank (siehe Abbildung 6.18). Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung der Dateipfade, in denen die LCR-Daten gespeichert werden (siehe Abbildung 6.19). Klicken Sie auf die Schaltfläche Aktivieren, wird die fortlaufende Datensicherung aktiviert (siehe Abbildung 6.19). Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung der vorgenommenen Aufgaben und das Ergebnis der Aktivierung von LCR. Hier werden auch die entsprechenden Befehle für die Exchange-Verwaltungsshell angezeigt, über die Sie die fortlaufende Datensicherung aktivieren können (siehe Abbildung 6.20).
340
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
Abbildung 6.18: Auswahl des Speicherorts für die Datenbankdatei
1 2 3 4 5
6 7 Abbildung 6.19: Aktivieren der fortlaufenden Datensicherung
8 9 10 11 12 13 14 15
341
Mailbox-Server und Postfachdatenbanken
Abbildung 6.20: Fertigstellung der Einrichtung der fortlaufenden Datensicherung
Unter manchen Umständen erhalten Sie eine Fehlermeldung beim Abschließen der Konfiguration. Diese Meldung besagt, dass LCR zwar aktiviert wurde, aber die Datenbank noch nicht repliziert werden konnte. Dieser Vorgang wird Seeding genannt und in einem der nächsten Abschnitte besprochen. Sie müssen in diesem Fall keine weiteren Maßnahmen vornehmen, können das Seeding aber manuell durchführen, wie in diesem Kapitel noch ausführlich besprochen wird.
Überprüfen der fortlaufenden Datensicherung Nach der erfolgreichen Einrichtung wird in der Spalte Kopiestatus der Zustand der fortlaufenden Datensicherung für die entsprechende Speichergruppe angezeigt (siehe Abbildung 6.21). Hier sollte nach der Einrichtung Fehlerfrei angezeigt werden. Abbildung 6.21: Anzeigen des Status der fortlaufenden Datensicherung
Überprüfen Sie im Anschluss den Speicherort für die fortlaufende Datensicherung. Standardmäßig wird ein Ordner LocalCopies angelegt. Dieser enthält als Unterordner die entsprechenden Speichergruppen, für die Sie LCR aktiviert haben. 342
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
Abbildung 6.22: Anzeigen der Verzeichnisse für die lokale Datensicherung
1 2 3
Als Nächstes können Sie den Status der LCR über die Exchange-Verwaltungsshell abrufen. Geben Sie den Befehl get-storagegroupcopystatus ein (siehe Abbildung 6.23). Hier sehen Sie, ob die Einrichtung erfolgreich war, sowie den Zeitpunkt des letzten Abgleichs. Eine ausführlichere Liste erhalten Sie, wenn Sie den Befehl getstoragegroupcopystatus |fl eingeben.
4 5 Abbildung 6.23: Überprüfen der LCR über get-storagegroupcopystatus
6 7 8 9 10 11 12 13 14 15
343
Mailbox-Server und Postfachdatenbanken
Nach der Einrichtung der lokalen fortlaufenden Datensicherung können Sie den Status auch in den Eigenschaften der entsprechenden Speichergruppe aufrufen. Nach der Einrichtung finden Sie in den Eigenschaften auf der Registerkarte Fortlaufende lokale Replikation nähere Informationen (siehe Abbildung 6.24). Abbildung 6.24: Eigenschaften der lokalen fortlaufenden Sicherung
Nach der Einrichtung der lokalen fortlaufenden Datensicherung können Sie über das Kontextmenü der Speichergruppe die Replikation pausieren lassen oder die LCR komplett für die Speichergruppe wieder deaktivieren (siehe Abbildung 6.25). Abbildung 6.25: Pausieren und Deaktivieren der LCR über das Kontextmenü der Speichergruppe
344
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
Am Ende dieses Kapitels zeige ich Ihnen die verschiedenen Möglichkeiten, die das Befehlszeilentool Eseutil.exe zur Überprüfung und Fehlerbehebung von ExchangeDatenbanken bietet. Mit dem Tool können Sie auch den Status der fortlaufenden lokalen Datensicherung überprüfen.
INFO
1
Deaktivieren Sie die LCR für eine Speichergruppe, werden allerdings die Dateien der LCR nicht automatisch gelöscht, diese müssen manuell gelöscht werden.
2
Ändern des Speicherortes einer LCR-aktivierten Speichergruppe Aktivieren Sie die fortlaufende Datensicherung für eine Speichergruppe, können Sie dennoch den Speicherort der Transaktionsprotokolle nachträglich ändern. Allerdings müssen Sie in diesem Fall die fortlaufende Datensicherung kurzzeitig pausieren lassen. Wollen Sie eine Speichergruppe verschieben, für die Sie bereits LCR aktiviert haben, gehen Sie folgendermaßen vor:
3 4
1. Starten Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zu Serverkonfiguration/Postfach. 3. Markieren Sie im Ergebnisbereich den Exchange Server, auf dem die Speicher-
5
gruppe liegt, die Sie verschieben wollen.
6
4. Klicken Sie die Speichergruppe mit der rechten Maustaste an, und wählen Sie 5.
die Option Fortlaufende lokale Replikation anhalten (siehe Abbildung 6.25). Es erscheint ein neues Fenster, in dem Sie einen Kommentar eintragen können, warum Sie LCR für diese Speichergruppe gestoppt haben. Tragen Sie die entsprechende Info ein, und bestätigen Sie die Meldung (siehe Abbildung 6.26).
7 Abbildung 6.26: Anhalten der LCR einer Speichergruppe
8 9 10 11
6. Überprüfen Sie im Anschluss, ob der Status für LCR für diese Speichergruppe angehalten wurde (siehe Abbildung 6.27). Abbildung 6.27: Anzeigen des Kopiestatus einer Speichergruppe
12 13 14 15
345
Mailbox-Server und Postfachdatenbanken
7.
Klicken Sie erneut auf die Speichergruppe, und wählen Sie dieses Mal die Option Speichergruppenpfad verschieben aus. 8. Gehen Sie vor, wie bereits zuvor beschrieben, und verschieben Sie die Transaktionsprotokolle der Speichergruppe an den gewünschten Speicherort. 9. Nach dem erfolgreichen Verschiebevorgang müssen Sie LCR wieder starten. Klicken Sie dazu erneut mit der rechten Maustaste auf die Speichergruppe, und wählen Sie die Option Fortlaufende lokale Replikation wieder aufnehmen (siehe Abbildung 6.28). Abbildung 6.28: Fortsetzen von LCR für eine Speichergruppe
10. Nach kurzer Zeit muss der Kopiestatus der Speichergruppe wieder auf Fehlerfrei stehen (siehe Abbildung 6.29). Abbildung 6.29: Überprüfen des Kopiestatus nach dem Verschieben
INFO
Wollen Sie die Datenbank unterhalb der LCR-aktivierten Speichergruppe verschieben, müssen Sie für die Speichergruppe ebenfalls zunächst LCR pausieren lassen. Erst dann können Sie die Datenbankdateien verschieben.
Anlegen einer Datenbank unter einer LCR-aktivierten Speichergruppe Legen Sie unterhalb einer LCR-aktivierten Speichergruppe eine neue Datenbank an, wird diese ebenfalls LCR-aktiviert. Der Vorgang, bei dem die Kopie einer produktiven Datenbank unterhalb einer LCR-aktivierten Speichergruppe angelegt wird, 346
Verwenden der fortlaufenden lokalen Datensicherung (LCR)
nennt Microsoft auch Seeding (englisch für Platzierung). Sie können daher auch eine bereits existierende Datenbank in eine Speichergruppe verschieben, für die Sie LCR aktiviert haben, auch dieser Vorgang wird Seeding genannt. Bei diesem Vorgang wird vor der Einrichtung der eigentlichen Replikation eine Kopie der produktiven Datenbank erstellt.
1
Führen Sie zum Beispiel für die produktive Datenbank eine Offline-Defragmentation durch, sollten Sie nach der Defragmentation die LCR-Replikation beenden und die produktive Datenbank in das LCR-Verzeichnis kopieren. Danach können Sie die LCR-Replikation wieder starten. Bei diesem Vorgang wird die produktive Datenbank kopiert und zukünftig mit LCR in Echtzeit aktuell gehalten. Ich werde Ihnen den Vorgang noch in diesem Kapitel zeigen. Unter manchen Umständen wird der Kopiestatus der LCR-Sicherung in der Exchange-Verwaltungsshell als fehlerhaft angezeigt. Versuchen Sie in diesem Fall, LCR zu pausieren und wieder erneut zu starten. Nach einiger Zeit sollte der Zustand wieder zu Fehlerfrei wechseln.
2 3 4 INFO
5
Bleibt der Zustand fehlerhaft, deaktivieren Sie LCR, und löschen Sie das LCR-Verzeichnis der Speichergruppe. Erstellen Sie danach LCR neu. Erst wenn der Zustand als Fehlerfrei angezeigt wird, werden die Daten von der produktiven Datenbank repliziert.
6 7
Lassen Sie LCR für eine Speichergruppe pausieren oder deaktivieren, bekommen die Benutzer der Produktionsdatenbank normalerweise nichts davon mit. Abhängig von der Größe der Datenbank und der Performance des Servers kann natürlich die Performance des Servers etwas unter diesen Vorgängen leiden.
6.3.3
8
Wiederherstellen einer Datenbank aus der LCR-Sicherung
9
Ist Ihre produktive Datenbank korrupt und kann mit Eseutil.exe nicht mehr repariert werden (siehe letzter Abschnitt in diesem Kapitel), können Sie die kopierte Version der LCR-Sicherung dazu verwenden, um die Produktionsdatenbank wiederherzustellen. Bei diesem Vorgang wird die kopierte Version der Datenbank über die korrupte produktive Datenbank kopiert. Für diesen Vorgang benötigen Sie die Exchange-Verwaltungskonsole und die Exchange-Verwaltungsshell. Um Ihre produktive Datenbank mit der kopierten LCR-Version zu überschreiben, gehen Sie folgendermaßen vor:
10
1. 2.
3.
4.
11 12
Heben Sie die Bereitstellung der korrupten Produktionsdatenbank in der Exchange-Verwaltungskonsole auf. Überprüfen Sie zunächst die korrupte Datenbank mit Eseutil.exe (siehe letzter Abschnitt in diesem Kapitel). Sollte sich die Datenbank tatsächlich als korrupt herausstellen, macht es Sinn fortzufahren. Überprüfen Sie im Anschluss, ob die LCR-Kopie der Datenbank nicht korrupt ist. Sind die produktive und die LCR-kopierte Datenbank korrupt, macht das Ersetzen keinen Sinn. Kopieren Sie zur Sicherheit die Datenbankdatei der korrupten Datenbank an einen anderen Speicherort, um auf diese später im Notfall noch zugreifen zu können.
13 14 15
347
Mailbox-Server und Postfachdatenbanken
5. Im nächsten Schritt können Sie entweder die LCR-Kopie der Datenbank und
6.
deren Pfad zukünftig als aktiven Pfad für die Produktionsdatenbank definieren oder die Datenbankdatei der LCR-Kopie in den Produktionsdateipfad übernehmen. Welchen der beiden Wege Sie verwenden, ist Geschmackssache. Ich bevorzuge den Weg, die LCR-Kopie in den Pfad der Produktionsdatenbank zu kopieren, da dadurch auch der Pfad und die Konsistenz der Dateien transparenter sind. Dieser Weg ist auch der von Microsoft empfohlene. Um die Dateien aus der LCR-Kopie in den Pfad der produktiven Datenbank zu kopieren, geben Sie in der Exchange-Verwaltungsshell den Befehl restorestoragegroupcopy –identity:<Server>\<Speichergruppe> ein (siehe Abbildung 6.30).
Abbildung 6.30: Wiederherstellen einer Datenbank aus der LCR-Kopie
Wollen Sie den Pfad zur LCR-Kopie zukünftig als produktiven Pfad verwenden, geben Sie den Befehl restore-storagegroupcopy -identity:<Server>\<Speichergruppe> -replacelocations:$true ein.
7.
Haben Sie den Befehl eingetragen, beginnt das CMDlet mit der Umsetzung und kopiert die Dateien in den Produktionspfad. Der erfolgreiche Kopiervorgang wird in der Exchange-Verwaltungsshell angezeigt (siehe Abbildung 6.30). 8. Nach der erfolgreichen Kopie wird LCR für die Speichergruppe deaktiviert und muss erst wieder eingerichtet werden. Zuvor müssen Sie aber die Bereitstellung der Datenbank wiederherstellen.
6.4
Standby Continuous Replication
Die fortlaufende Stand-by-Replikation (Standby Continuous Replication, SCR) ist eine neue Funktion, die mit dem Service Pack 1 für Exchange Server 2007 eingeführt wird. Mit dieser Funktion werden die beiden Hochverfügbarkeitslösungen fortlaufende lokale Replikation (Local Continuous Replication, LCR) und fortlaufende Clusterreplikation (Cluster Continuous Replication, CCR) um eine dritte ergänzt. Die neue Funktion ist sowohl in der Standard Edition als auch der Enterprise Edition von Exchange Server 2007 enthalten.
6.4.1
SCR im Vergleich im LCR und CCR
LCR hat die Aufgabe, durch Replikation der Transaktionsprotokolle an einen lokalen Speicherort den Defekt einer Datenbank so auszugleichen, dass immer ein Replikat dieser Datenbank lokal vorgehalten wird. Fällt allerdings der komplette Exchange Server aus, hilft auch die LCR nicht weiter, da dann auch das Replikat nicht zur Ver-
348
Standby Continuous Replication
fügung steht. Bei der CCR werden die Transaktionsprotokolle über einen MicrosoftCluster auf den zweiten Knoten im Cluster übertragen. Jeder Knoten hat seine eigene Datenbank, die Transaktionsprotokolle werden vom aktiven zum passiven Knoten übertragen. Fällt die Datenbank des ersten produktiven Servers aus oder der ganze Server, kann der zweite Knoten übernehmen. Allerdings ist der Einsatz eines Clusters auch sehr kostenintensiv. Da LCR und CCR nur eine einzige zusätzliche Kopie jeder Datenbank bereitstellen, muss zwischen Standortsicherheit und Redundanz gewählt werden. In einem einzelnen Rechenzentrum den aktiven und den passiven Knoten einzusetzen, liefert Dienst- und Datenverfügbarkeit, aber keine Standortsicherheit, da bei Ausfall des kompletten Standorts auch alle Knoten ausfallen.
1 2 3
Bei der SCR werden die Transaktionsprotokolle und damit die Datenbank auf einen anderen Exchange Server am gleichen Standort repliziert oder an einem anderen Standort, wenn dieser mit einer breiten Leitung angebunden ist. Fällt der produktive Server aus, kann der Server mit dem Replikat online geschaltet werden und die Postfächer der Anwender übernehmen. SCR kann zum Beispiel auch mit CCR kombiniert werden. So kann zum Beispiel an einem Standort ein CCR-Cluster betrieben werden und an einem weiteren Standort noch ein CCR-Cluster. Die Datenbanken der Clusterknoten können durch SCR zwischen den Standorten repliziert werden, zum Beispiel zwischen den produktiven und dem Backup-Rechenzentrum. Auch wenn ein Rechenzentrum komplett ausfällt, gibt es eine komplette Replikation der Datenbank, die aktiv geschaltet werden kann.
4 5
6 7
Kleinere und mittlere Unternehmen können SCR dazu nutzen, Datenbank auf zwei produktiven Exchange Servern untereinander auszutauschen und bei Ausfall eines Servers schnell produktiv zu schalten.
8
6.4.2
Funktionsweise und Voraussetzungen für SCR
SCR arbeitet mit SCR-Quellen und SCR-Zielen. SCR-Quellen sind produktive Speichergruppen auf produktiven Exchange Servern. SCR-Ziele sind Speichergruppen, welche die Daten der produktiven Speichergruppe (der SCR-Quelle) erhalten, aber erst bei Ausfall der produktiven Datenbank produktiv geschaltet werden. Als SCRQuelle kann jede beliebige Speichergruppe verwendet werden, auch die Speichergruppe eines Einzelkopie-Clusters. SCR verwendet zur Replikation aber nicht den Clusterdienst, sondern einen herkömmlichen Exchange Server.
9 10 11
Jede SCR-Quelle kann auch mehrere SCR-Ziele haben, sodass auch mehrere Replikate einer produktiven Datenbank erstellt werden können. Dies ist ein großer Unterschied zu CCR und LCR, die beide jeweils nur ein Ziel unterstützen. Microsoft empfiehlt jedoch, nicht mehr als maximal vier Ziele pro SCR-Quelle zu verwenden. Sowohl auf der Quelle als auch auf allen Zielen muss das Service Pack 1 für Exchange Server 2007 installiert sein. Als Betriebssystem kann Windows Server 2003 oder Windows Server 2008 verwendet werden. Allerdings muss das Betriebssystem auf der SCR-Quelle und dem SCR-Ziel identisch sein. Auch wenn SCR in der Standard Edition und der Enterprise Edition von Exchange Server 2007 enthalten ist, wird zwingend die Enterprise Edition benötigt, wenn die Datenbank eines Einzelkopie- oder CCR-Clusters durch SCR abgesichert werden soll. Sollen nur Datenbanken auf alleinstehenden Exchange Servern repliziert werden, reicht auch die Exchange Server 2007 Standard Edition aus. Die Enterprise Edition unterstützt die Replikation von maximal 50 Speichergruppen, die Standard Edition nur fünf Speichergruppen.
12 13 14 15
349
Mailbox-Server und Postfachdatenbanken
Quell- und Zielcomputer müssen Mitglied der gleichen Active Directory-Domäne sein, dürfen aber auch an verschiedenen Active Directory-Standorten betrieben werden. Die Verzeichnisstrukturen müssen auf allen beteiligten Servern identisch sein. Wird ein Server als SCR-Ziel konfiguriert, kann auf diesem Server kein LCR verwendet werden. SCR repliziert den Inhalt der Datenbank genau wie LCR und CCR über die Transaktionsprotokolle. Sobald ein solches Protokoll geschlossen wird, übernimmt das SCR-Ziel dieses Protokoll und integriert es in seine Backup-Datenbank. Im Gegensatz zur CCR und LCR dauert dieser Vorgang aber etwas länger und kann auch angepasst werden. Beispielsweise könnte eine Verzögerung im Fall einer logischen Beschädigung einer aktiven Datenbank die logische Beschädigung der SCRZieldatenbank verhindern. Die Wiedergabeverzögerung wird mit der Option ReplayLagTime konfiguriert. Diese Option legt fest, wie lange der Exchange-Replikationsdienst warten soll, bevor Protokolldateien wiedergegeben werden, die auf den SCR-Zielcomputer kopiert wurden. Die Verzögerungszeit wird im Format Tage.Stunden:Minuten:Sekunden festgelegt, die Standardeinstellung beträgt 24 Stunden. Die maximal zulässige Einstellung beträgt sieben Tage. Die Minimaleinstellung liegt bei null Sekunden. Die Einstellung dieses Minimalwerts hat zur Folge, dass die Verzögerung deaktiviert wird. Zusätzlich verwendet Exchange eine feste Verzögerung von 50 Protokolldateien. Hierbei handelt es sich um eine zusätzliche Absicherung, wenn eine Speichergruppe durch Seeding erneut eingerichtet werden muss, wenn zum Beispiel bei einer SCR-Quelle, die eine fortlaufende Replikation verwendet, wie CCR, ein Failover eintritt und eine oder mehrere Speichergruppen über das CMDlet Reset-StorageGroupCopy online geschaltet werden. Bei Seeding handelt es sich um den Prozess, den Exchange dazu verwendet, um eine Online-Kopie der SCR-Quelle auf dem SCR-Ziel zu erstellen. Normalerweise wird bei Exchange eine Protokolldatei nur dann gelöscht, wenn sie gesichert und in der Kopie der Datenbank wiedergegeben wurde. Bei der Verwendung von SCR ändert sich das. Da SCR mehrere Datenbankkopien ermöglicht, können Protokolldateien auf der SCR-Quelle abgeschnitten werden, sobald diese von allen SCR-Zielcomputern geprüft wurden. Mit dem Abschneiden der Protokolldateien auf dem SCR-Quellserver wird also nicht gewartet, bis alle Protokolle in allen SCR-Zielen wiedergegeben wurden, weil SCR-Zielkopien mit langen Protokollwiedergabe-Verzögerungszeiten konfiguriert werden können. Beim Einsatz von SCR wird alle drei Minuten ermittelt, ob Protokolldateien abgeschnitten werden müssen. Beim parallelen Einsatz von SCR, LCR und CCR wird eine Protokolldatei auf dem SCR-Ziel abgeschnitten, wenn die folgenden Kriterien erfüllt sind: ■ ■ ■
Die Protokolldatei wurde gesichert. Die Sequenz der Protokolldateigenerierung liegt unter dem ProtokolldateiKontrollpunkt für die Speichergruppe. Alle SCR-Ziele haben die Protokolldatei geprüft.
Wird für eine Speichergruppe SCR aktiviert, darf diese nur eine Datenbank enthalten, das gilt auch für LCR und CCR. Wird in der Organisation mehr als ein Server mit einer Datenbank für öffentliche Ordner betrieben, können diese nicht über SCR abgesichert werden. Stattdessen wird besser die interne Replikation der öffentlichen Ordner verwendet.
350
Standby Continuous Replication
6.4.3
Konfigurieren von SCR
SCR wird in der Exchange-Verwaltungsshell über Enable-StorageGroupCopy aktiviert. Dieser Befehl wurde bei der Installation von Service Pack 1 für Exchange Server 2007 entsprechend erweitert. Mit der Option SeedingPostponed wird das automatische Seeding des SCR-Ziels direkt bei der Einrichtung übersprungen, Das kann zum Beispiel sinnvoll sein, wenn die produktive Datenbank sehr groß ist und der produktive Server zu den Hauptgeschäftszeiten nicht belastet werden soll. Mit dem CMDlet Update-StorageGroupCopy wird ein manuelles Seeding des SCR-Ziels gestartet. Mit der Option StandbyMachine wird der Name des Servers angegeben, der das SCR-Ziel enthält. Der Prozess, ein SCR-Ziel als neue Produktionsdatenbank bereitzustellen, wird als Aktivierung bezeichnet. Mit dem Befehl Enable-StorageGroupCopy <SCR-Quellserver>\<SCR-Quellspeichergruppe> -StandbyMachine <SCR-Zielserver> wird SCR aktiviert. Die Ausführung des Befehls wird aber nicht bestätigt. Achten Sie darauf, vorher auf dem Zielserver das Verzeichnis anzulegen, das dem Verzeichnis entspricht, in dem auf dem Quellserver die Daten der Speichergruppe und des enthaltenen Postfachspeichers liegen. Anschließend wird mit dem Befehl Get-StorageGroupCopyStatus \ -StandbyMachine überprüft, ob die Replikation erfolgreich war. Diese sollte als Healthy angezeigt werden. Wurde das automatische Seeding nicht deaktiviert, sollte das entsprechende Verzeichnis auf dem Zielserver mit den Daten des Quellservers gefüllt worden sein.
1 2 3 4 5
6 Abbildung 6.31: Nach erfolgreicher Einrichtung wird die SCR-Replikation in der ExchangeVerwaltungsshell überprüft.
7 8 9
SCR-Ziel beim Ausfall der produktiven Datenbank verwenden Wird festgestellt, dass die produktive Datenbank defekt ist, kann das SCR-Ziel dazu verwendet werden, den Anwendern sofort wieder das Datenbanksystem zur Verfügung zu stellen. Dazu wird die Bereitstellung der bisherigen produktiven Datenbank zunächst mit dem Befehl Dismount-Database <Server>\<Speicher>\ aufgehoben.
10 11 Abbildung 6.32: Aufheben der Bereitstellung einer defekten Produktivdatenbank
12 13 14
Anschließend wird die SCR-Zieldatenbank auf dem SCR-Zielserver so vorbereitet, dass diese zukünftig als produktive Datenbank verwendet werden kann. Dazu wird das CMDlet Restore-StorageGroupCopy verwendet. Mit diesem Befehl wird auch ein Bericht zum Datenverlust, der durch die Bereitstellung der Datenbank entstehen könnte, erstellt. Außerdem überprüft der Befehl, ob am Speicherort der Speichergruppe der Kopie alle Protokolldateien vorhanden sind, die von der aktiven Kopie
15
351
Mailbox-Server und Postfachdatenbanken
der Speichergruppe generiert wurden. Fehlen Protokolldateien, versucht der Prozess, diese fehlenden Dateien zu kopieren. Der Befehl wird auf dem SCR-Zielserver ausgeführt: Restore-StorageGroupCopy <SCR-Quellserver>\<SCR-Quelle> -StandbyMachine <SCR-Ziel> Wenn der SCR-Quellcomputer ausgeschaltet ist, muss noch die Option Force mit dem Befehl Restore-StorageGroupCopy verwendet werden. Abbildung 6.33: Können fehlende Transaktionsprotokolle nicht vom Quellserver zum Zielserver kopiert werden, muss noch die Option -force verwendet werden.
Mit dieser Option wird dem Server mitgeteilt, dass die Quelldateien nicht verfügbar sind. Anschließend sollte überprüft werden, ob sich die Datenbank in einem fehlerfreien Shutdown-Status befindet. Dazu wird der Befehl Eseutil verwendet, der in Kapitel 16 behandelt wird. Befindet sich die kopierte Datenbank in einem fehlerfreien Status, kann mit zwei Befehlen der Speicherort für die Speichergruppendateien und die Datenbankdatei aktualisiert werden. Vorher sollte auf dem SCRZielserver eine Speichergruppe mit einer leeren Datenbank erstellt werden. In der Befehlszeile wird dann der Pfad der Datenbankdatei und der Speichergruppe auf den Pfad des SCR-Ziels gesetzt: Move-StorageGroupPath <SCR-Ziel>\ -SystemFolderPath -LogFolderPath -ConfigurationOnly Anschließend wird auch der Pfad zur Datenbank der neuen Speichergruppe so abgeändert, dass das SCR-Ziel verwendet wird: Move-DatabasePath <SCR-Ziel>\\ -EdbFilePath \<SCR-Datenbank>.edb -ConfigurationOnly.
352
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Durch die Option ConfigurationOnly werden nur in Active Directory die Konfigurationseinstellungen für diese Objekte aktualisiert. Es werden keinerlei Daten oder Dateien verschoben, da diese durch SCR bereits im Verzeichnis gespeichert sind. Als Nächstes wird die neue Datenbank so konfiguriert, dass diese eine Wiederherstellung zulässt. Durch Aktivieren der Option Diese Datenbank kann bei einer Wiederherstellung überschrieben werden in der Exchange-Verwaltungskonsole in den Eigenschaften der Datenbank wird dieser Schritt erreicht. Als Nächstes wird die Datenbank mit dem Befehl Mount-Database \\ bereitgestellt. Anschließend müssen die Postfächer, die sich auf dem ausgefallenen produktiven Server befinden, auf den SCR-Zielserver umgestellt werden. Wird im Unternehmen der Einsatz der fortlaufenden Stand-by-Replikation geplant, sollten auch die neuen Optionen der CMDlets Suspend-torageGroupCopy, ResumeStorageGroupCopy, Update-StorageGroupCopy, Restore-StorageGroupCopy, GetStorageGroup und Get-StorageGroupCopyStatus beachtet werden. Diese unterstützen neben LCR und CCR auch die neuen Möglichkeiten der SCR.
6.5
1 2 3 4 TIPP
5
Postfachdatenbanken und Datenbanken für öffentliche Ordner
6
Es gibt zwei Arten von Datenbanken, Postfachdatenbanken und Datenbanken für öffentliche Ordner (siehe Abbildung 6.34).
7 Abbildung 6.34: Anzeigen der Datenbanken in der Exchange-Verwaltungskonsole
8 9 10 11 12 13
Die Datenbanken werden von Exchange auf dem jeweiligen Datenträger in einer Datei gespeichert. Diese Datei hat die Endung *.edb. Unter Exchange Server 2003 wurde zusätzlich zur *.edb-Datei noch eine *.stm-Datei verwendet. Exchange Server 2007 verwendet nur noch *.edb-Dateien, *.stm-Dateien gibt es nicht mehr.
14 15
Die erste standardmäßig angelegte Postfachdatenbank besteht aus der Datei Mailbox Database.edb im Verzeichnis C:\Programme\Microsoft\Exchange Server\Mailbox\ First Storage Group (siehe Abbildung 6.35).
353
Mailbox-Server und Postfachdatenbanken
Abbildung 6.35: Standardmäßige Postfachdatenbank
Die erste angelegte Datenbank für öffentliche Ordner besteht aus der Datei Public Folder Database.edb (siehe Abbildung 6.36). Abbildung 6.36: Standardmäßige Datenbank für öffentliche Ordner
Für die Datenbank der öffentlichen Ordner wird eine eigene Speichergruppe angelegt. Sie finden diese Datei über C:\Programme\Microsoft\Exchange Server\Mailbox\Second Storage Group.
6.5.1
Anlegen eines neuen Postfachspeichers
Damit die Erstellung einer Speichergruppe sinnvoll ist, sollten Sie nach der Erstellung einen neuen Postfachspeicher oder einen Speicher für öffentliche Ordner innerhalb der Speichergruppe erstellen. Klicken Sie mit der rechten Maustaste auf eine Speichergruppe, können Sie aus dem Kontextmenü die Option Neue Postfachdatenbank auswählen. Durch Auswahl dieser Option wird ein neuer Postfachspeicher unterhalb dieser Speichergruppe erstellt (siehe Abbildung 6.37).
354
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Abbildung 6.37: Erstellen einer neuen Postfachdatenbank
1 2 3 4 5
Haben Sie den Assistenten gestartet, läuft die Erstellung der Postfachdatenbank identisch zur Erstellung einer neuen Speichergruppe ab. Sie geben zunächst einen Namen für den Postfachspeicher ein und geben den dazugehörigen Speicherort an (siehe Abbildung 6.38). In diesem Verzeichnis wird die *.edb-Datei der Datenbank abgelegt.
6 Abbildung 6.38: Erstellen einer neuen Postfachdatenbank
7 8 9 10 11 12 13 14 15
Lassen Sie die Postfachspeicherdatenbank über die Schaltfläche Neu erstellen, werden Ihnen auch wieder die entsprechenden Befehle für die Befehlszeile angezeigt sowie ausführliche Informationen, welche Aktion der Assistent durchgeführt hat (siehe Abbildung 6.39). 355
Mailbox-Server und Postfachdatenbanken
Abbildung 6.39: Erfolgreiche Erstellung einer neuen Postfachspeicherdatenbank
6.5.2
Ändern des Speicherorts von Postfach- und öffentlichen Ordner-Datenbanken
Wollen Sie den Speicherplatz einer Datenbank ändern, klicken Sie in der ExchangeVerwaltungskonsole die entsprechende Datenbank mit der rechten Maustaste an und wählen aus dem Menü Datenbankpfad verschieben (siehe Abbildung 6.40). Sie finden die Datenbanken an der gleichen Stelle wie die Speichergruppen über Serverkonfiguration/Postfach. Markieren Sie den entsprechenden Mailbox-Server, und klicken Sie auf die Datenbank, deren Dateien Sie verschieben wollen. Abbildung 6.40: Verschieben von Datenbankdateien
356
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Im Anschluss startet der Assistent zum Verschieben von Datenbankdateien. Um den Speicherort der Dateien eines Informationsspeichers zu ändern, klicken Sie auf Durchsuchen und wählen den neuen Speicherort aus. Legen Sie am besten schon vorher auf dem jeweiligen Datenträger einen Unterordner für die Dateien an, damit bei Exchange Servern mit mehreren Datenbanken die Ordnung erhalten bleibt. Sie können aber auch im Assistenten zum Verschieben der Dateien einen neuen Unterordner anlegen. Wie Sie vorgehen, bleibt Ihnen überlassen.
1 2 Abbildung 6.41: Assistent zum Verschieben von Datenbankdateien
3 4 5
6 7 8 9 10 Haben Sie den neuen Speicherort der Dateien ausgewählt und bestätigen diesen auf dem nächsten Fenster, wird die Bereitstellung der Datenbank aufgehoben, das heißt, alle noch verbundenen Benutzer werden zwangsweise getrennt.
11
Im Anschluss erhalten Sie eine Meldung, nach deren Bestätigung die Bereitstellung aufgehoben und die Datenbankdateien verschoben werden (siehe Abbildung 6.43).
12 13 14 15
357
Mailbox-Server und Postfachdatenbanken
Abbildung 6.42: Abschließen des Assistenten zum Verschieben von Postfachdatenbanken
Abbildung 6.43: Meldung beim Verschieben von Datenbankdateien
Hat der Assistent den Vorgang abgeschlossen, erhalten Sie wieder ein entsprechendes Fenster, in dem auch der Befehl für die Exchange-Verwaltungsshell angezeigt wird, über den Sie auch die Datenbank verschieben könnten (siehe Abbildung 6.44). Die Dauer dieses Vorgangs variiert natürlich mit der Größe der Datenbank. Das Aufheben der Bereitstellung und die anschließende Wiederbereitstellung dauern nur wenige Sekunden, das Kopieren ist dabei der am längsten dauernde Part. Werden Ihre Datenbanken gleich nach der Installation von Ihnen verschoben, dauert der Vorgang lediglich einige Sekunden, und die Benutzer können sich anschließend wieder anmelden. Arbeiten Sie bereits einige Zeit mit den Datenbanken, sollten Sie vor dem Verschiebevorgang die Größe der Dateien überprüfen.
358
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Abbildung 6.44: Abschließen des Vorgangs zum Verschieben von Datenbankdateien
1 2 3 4 5
6 7
6.5.3
Verwalten von Postfachdatenbanken
8
Rufen Sie die Eigenschaften einer Datenbank auf, stehen Ihnen mehrere Registerkarten zur Verfügung, über die Sie einzelne Konfigurationen für die Datenbank durchführen (siehe Abbildung 6.45).
9
Die einzelnen Optionen unterscheiden sich darin, ob es sich bei der konfigurierten Datenbank um eine Postfach- oder öffentliche Ordner-Datenbank handelt.
10
Registerkarte Allgemein Auf der Registerkarte Allgemein wird zunächst der Name der Datenbank angezeigt (siehe Abbildung 6.45).
11
Haben Sie die fortlaufende Datensicherung für die Postfachspeicherdatenbank aktiviert, wird im Bereich Datenbankkopie-Pfad der Pfad zu den Kopien angezeigt. Dieser sollte sich natürlich vom Pfad der Datenbank unterscheiden, da ansonsten diese Funktion keinen Sinn ergeben würde.
12 13
Um sich den ganzen Pfad zu den Dateien anzeigen zu lassen, klicken Sie in den Text. Im Anschluss können Sie sich mit der Pfeiltaste nach rechts den vollen Pfad anzeigen lassen. Hier können Sie den Pfad allerdings nicht anpassen, sondern diesen nur anzeigen lassen.
14 15
359
Mailbox-Server und Postfachdatenbanken
Abbildung 6.45: Verwalten einer Postfachdatenbank
Über die Option Journalempfänger definieren Sie auf dieser Registerkarte, dass ein Bericht aller E-Mails, die an Postfächer in diesem Postfachspeicher zugestellt werden, zu einem speziellen Empfänger weiterversendet wird. Diese Einstellung ist aus datenschutzrechtlichen Gründen sehr vorsichtig anzugehen. Sie sollten deshalb Rücksprache mit Ihrer Geschäftsleitung und dem Betriebsrat halten. Interessant ist auch die Einstellung für den Wartungszeitplan. Exchange führt automatisch zu definierten Zeitpunkten Wartungsarbeiten an den Postfachdatenbanken durch. Während dieser Wartungsarbeiten wird zum Beispiel die Datenbank defragmentiert, gelöschte Postfächer, die ihren Aufbewahrungszeitraum (standardmäßig 30 Tage) überschritten haben, werden gelöscht. Außerdem wird während der Wartung überprüft, ob für alle Postfächer dieses Postfachspeichers noch ein Benutzer im Active Directory existiert oder ob das zugeordnete Benutzerobjekt gelöscht wurde. Wurde der Benutzer zum zugehörigen Postfach gelöscht, wird das Postfach ebenfalls als gelöscht markiert und nach 30 Tagen vom Server entfernt. Dies geschieht ebenfalls im Rahmen der Online-Wartung. Beachten Sie auch, dass die Online-Wartung während der Online-Datensicherung des Postfachspeichers unterbrochen wird. Sie sollten daher darauf achten, dass Datensicherung und Online-Wartung nicht unbedingt zum selben Zeitpunkt stattfinden. Sie riskieren zwar keinen Datenverlust, allerdings werden die notwendigen Online-Wartungsarbeiten der Datenbank verzögert oder durchgeführt, wenn Benutzer bereits mit dem System arbeiten. Die Performance ist unter diesen Umständen und je nach Anzahl der Benutzer nicht gerade berauschend.
360
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Durch den Wartungsvorgang und die Online-Defragmentation wird jedoch nicht die Datenbank verkleinert, dazu müssen diese Dateien mit der Offline-Defragmentation und dem Tool Eseutil.exe bearbeitet werden. Die Online-Defragmentation fasst freie Bereiche der Datenbank, die nebeneinander liegen, zusammen, damit sie leichter und schneller wieder beschrieben werden können. Die Datenbankdateien insgesamt bleiben so groß wie vor der Online-Defragmentation.
INFO
1 2
Auf der Registerkarte Allgemein wird Ihnen auch der Zeitpunkt der letzten Sicherung des Postfachspeichers angezeigt. Während einer Vollsicherung werden die Datenbank und die Transaktionsprotokolle gesichert. Nach der Sicherung der Transaktionsprotokolle werden diese gelöscht. Der Löschvorgang wird nicht von Exchange, sondern durch das Datensicherungsprogramm durchgeführt.
3
Während der inkrementellen Sicherung werden nur die Transaktionsprotokolle gesichert und gelöscht. Die Datenbank wird nicht gesichert.
4
Sie können auf dieser Registerkarte auch definieren, dass dieser Postfachspeicher beim Starten des Servers nicht automatisch bereitgestellt wird. Diese Option ist standardmäßig nicht aktiviert, jeder neue Postfachspeicher wird mit dem Starten des Servers automatisch bereitgestellt.
5
6
Sie können die Bereitstellung jederzeit widerrufen, indem Sie mit der rechten Maustaste auf den Postfachspeicher klicken und aus dem erscheinenden Menü die Option Bereitstellung der Datenbank aufheben auswählen (siehe Abbildung 6.46). In diesem Fall können sich die Benutzer nicht mehr mit ihrem Postfach verbinden, die Daten bleiben aber erhalten.
7
Abbildung 6.46: Aufheben der Bereitstellung der Datenbank
8 9 10 11 12 13
Die Option Diese Datenbank kann bei einer Wiederherstellung überschrieben werden wird nur bei einem Wiederherstellungsvorgang benötigt. Dieser Punkt wird in Kapitel 11 genauer erörtert.
14
Registerkarte Grenzwerte Auf dieser Registerkarte können Sie verschiedene Grenzwerte definieren, die für die Postfächer in dieser Datenbank Gültigkeit haben. Sie können im Bereich Speichergrenzwerte festlegen, was mit Benutzern passieren soll, deren Postfächer eine bestimmte Größe überschreiten. Ihnen stehen drei gestaffelte Grenzwerte zur Verfügung (siehe Abbildung 6.47):
15
361
Mailbox-Server und Postfachdatenbanken
■
■ ■
Warnmeldung senden ab – Erreicht die Postfachgröße eines Benutzers diesen Wert, schickt der Exchange Server in regelmäßigen Abständen eine E-Mail an diesen Benutzer. Senden verbieten ab – Ab dieser Postfachgröße darf der Benutzer keine E-Mails mehr senden. Senden und Empfangen verbieten ab – Mit dieser Option sollten Sie sehr vorsichtig umgehen, da bei Überschreitung dieses Werts der Benutzer keinerlei Eintragungen mehr in seinem Postfach vornehmen kann. Er darf nur noch Objekte löschen. Andere Benutzer, die während einer solchen Sperrung des Postfachs E-Mails an diesen Benutzer senden, erhalten einen Unzustellbarkeitsbericht (NDR).
Abbildung 6.47: Registerkarte Grenzwerte in den Eigenschaften einer Postfachdatenbank
Darüber hinaus legen Sie an dieser Stelle weitere Einstellungen fest. ■
■
■
362
Mit der Option Zeitspanne zwischen Warnmeldungen legen Sie fest, wann und wie oft der Exchange Server eine Warnmeldung an Benutzer versenden soll, wenn Grenzwerte überschritten wurden. Die Meldung wird als E-Mail in das Postfach des Anwenders zugestellt. Gelöschte Objekte aufbewahren für (Tage) – Löschen Benutzer Objekte, werden diese in den gelöschten Objekten des Postfachs aufbewahrt. Exchange markiert diese Objekte nur als gelöscht. Sie können jedoch während des definierten Zeitraums wiederhergestellt werden. Zu diesem Zweck gibt es die Option Gelöschte Elemente wiederherstellen in Outlook (siehe nächster Abschnitt). Gelöschte Postfächer aufbewahren für (Tage) – Hier legen Sie fest, wie lange ein gelöschtes Postfach wieder mit einem neuen Benutzer im Active Directory verbunden werden kann, bevor es endgültig gelöscht wird.
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Wiederherstellen gelöschter E-Mails innerhalb des Grenzwertes in Outlook – Der Exchange Server-Papierkorb Die Anwender können mithilfe von Outlook 2003/2007 solche gelöschten Elemente selbst wiederherstellen.
1
Dazu wird in Outlook am besten der Ordner Gelöschte Objekte markiert und anschließend über das Menü Extras/Gelöschte Elemente wiederherstellen gewählt (siehe Abbildung 6.48).
2
Damit dieser Befehl zur Verfügung steht, muss jedoch ein spezielles Add-In in Outlook aktiviert werden. Der Anwender kann das Snap-In bei Bedarf selbst installieren, wenn er das Menü aufruft. Die Installation wird anschließend von Outlook selbst durchgeführt.
3
Abbildung 6.48: Wiederherstellen gelöschter Objekte in Outlook
4 5
6 7 8 9 10 Nach der Auswahl des Menüpunktes werden die E-Mails angezeigt, die gelöscht wurden und sich nicht mehr im Ordner Gelöschte Objekte befinden. Diese E-Mails können in diesem Fenster vom Exchange Server wiederhergestellt werden und sind anschließend im Ordner Gelöschte Objekte wieder verfügbar (siehe Abbildung 6.49).
11 Abbildung 6.49: Wiederherstellen von E-Mails in Outlook
12 13 14
Registerkarte Clienteinstellungen Auf der Registerkarte Clienteinstellungen werden hauptsächlich Einstellungen bezüglich der öffentlichen Ordner und des Offline-Adressbuches durchgeführt (siehe Abbildung 6.50).
15
363
Mailbox-Server und Postfachdatenbanken
Abbildung 6.50: Registerkarte Clienteinstellungen für eine Postfachdatenbank
Über den Bereich Standarddatenbank für Öffentliche Ordner können Sie mit der Schaltfläche Durchsuchen festlegen, mit welcher Datenbank für öffentliche Ordner Benutzer in diesem Postfachspeicher automatisch verbunden werden. Will ein Benutzer, dessen Postfach in diesem Postfachspeicher liegt, in Outlook oder Outlook Web Access auf öffentliche Ordner zugreifen, versucht Exchange zunächst, den Ordner in dieser Datenbank für öffentliche Ordner zu finden. Wird der öffentliche Ordner dort nicht gefunden, verbindet Exchange den Benutzer mit einer anderen Datenbank für öffentliche Ordner innerhalb desselben Active Directory-Standortes. Wird der Ordner innerhalb des Standorts nicht gefunden, verbindet Exchange den Benutzer mit dem nächsten Active Directory-Standort und versucht dort, den Ordner zu finden. Dies läuft für die Benutzer unbemerkt ab (bis auf die Sanduhr, wenn es lange dauert). Über die Schaltfläche Durchsuchen im Bereich Offlineadressbuch legen Sie fest, wie die Standard-Offline-Adressliste des Benutzers lautet. Benutzer können sich jederzeit auch andere Offline-Adresslisten herunterladen, die konfigurierte ist lediglich die Offline-Adressliste, die dem Benutzer als Standard angeboten wird (siehe Kapitel 9). In der Exchange-Verwaltungsshell erhalten Sie mit dem Befehl get-logonstatistics ausführlichere Informationen über die letzten Anmeldungen an den Datenbanken und Servern. Hier können Sie erkennen, wann welche Anwender sich zum letzten Mal mit dem Server verbunden haben und welche Systembenutzer aktuell verbunden sind.
364
Postfachdatenbanken und Datenbanken für öffentliche Ordner
Abbildung 6.51: Anzeigen von Statistikinformationen
1 2 3
6.5.4
4
Datenbanken für öffentliche Ordner
Um eine Datenbank für öffentliche Ordner zu erstellen, gehen Sie wie bei der Erstellung eines Postfachspeichers vor. Auf jedem Exchange Server mit der Mailbox-Server-Rolle kann nur eine einzelne Datenbank für öffentliche Ordner erstellt werden.
5
Nach der Erstellung einer neuen Datenbank für öffentliche Ordner stehen Ihnen ebenfalls einige Registerkarten zur Verfügung, um den neuen Speicher an Ihre Bedürfnisse anzupassen. Viele Einstellungen sind mit den Einstellungen für Postfachdatenbanken identisch.
6 7
Auf der Registerkarte Replikation legen Sie das Replikationsverhalten der Datenbank fest. Durch Replikation werden die Inhalte der öffentlichen Ordner dieser Datenbank auf andere Exchange Server verteilt. Dadurch wird ein Lastenausgleich erzielt, der bei geografisch getrennten Exchange Servern den Benutzern eine deutliche Performanceverbesserung bringt.
8
Mit dem Replikationsintervall legen Sie einen Zeitplan fest, der die Replikation der öffentlichen Ordner steuert. Die Replikation von öffentlichen Ordnern innerhalb der Datenbank wird ausschließlich in diesem definierten Intervall durchgeführt.
9
Mit dem regulären Replikationsintervall legen Sie fest, wann die Replikation stattfinden soll, wenn die Option Replikationsintervall auf Immer ausführen steht.
10
Die Option Maximale Größe der Replikationsnachrichten legt die maximale Größe für Replikationsnachrichten innerhalb dieser Datenbank fest. Replikationsnachrichten sind E-Mails zwischen Exchange Servern, mit denen die öffentlichen Ordner repliziert werden. Sie sollten bei der Einrichtung der Replikation genau die Bandbreite Ihres Netzwerks, vor allem der W-LAN-Leitungen, beachten, da die Replikation der öffentlichen Ordner schnell eine Standleitung überlasten kann.
11 12 13 14 15
365
Mailbox-Server und Postfachdatenbanken
Abbildung 6.52: Registerkarte Replikation in den Eigenschaften einer Datenbank für öffentliche Ordner
Registerkarte Grenzwerte (Limits) Auf dieser Karte legen Sie, genau wie bei einem Postfachspeicher, die Grenzwerte fest, die öffentliche Ordner beschränken, deren Replikate auf diesem Informationsspeicher liegen (siehe Abbildung 6.53). Abbildung 6.53: Grenzwerte für öffentliche Ordner
366
Postfachdatenbanken und Datenbanken für öffentliche Ordner
■
■
■
■
Warnmeldung senden ab – Hier legen Sie fest, ab welcher Größe des öffentlichen Ordners eine Warnmeldung verschickt werden soll. Sollten diese Werte überschritten werden, erhalten die Benutzer, die Sie in den Eigenschaften der einzelnen öffentlichen Ordner als Kontaktperson festlegen, eine Benachrichtigung. Bereitstellen verbieten ab – Ab dieser Größe wird Benutzern nicht mehr gestattet, neue Objekte in die öffentlichen Ordner zu verschieben, die durch diese Datenbank für öffentliche Ordner verwaltet werden. Maximale Elementgröße – Hier können Sie die maximale Größe von Objekten festlegen, die in den öffentlichen Ordnern innerhalb dieser Datenbank angelegt werden. Mit der Verfallszeit steuern Sie, wann Exchange die Inhalte der öffentlichen Ordner innerhalb dieses Informationsspeichers automatisch löscht. Behandeln Sie diese Option mit Sorgfalt, da Sie sonst versehentlich auch E-Mails löschen, die zwar alt sind, aber dennoch benötigt werden. Die eingestellte Option gilt standardmäßig für alle öffentlichen Ordner, die ein Replikat in dieser Datenbank haben. Sie können diese Option zwar für jeden einzelnen öffentlichen Ordner überschreiben, die Standardeinstellung eines öffentlichen Ordners besagt jedoch, dass die Verfallszeit der Datenbank verwendet werden soll.
6.5.5
1 2 3 4 5
6
Löschen von Datenbanken
Wollen Sie eine Postfachdatenbank löschen, müssen Sie sicherstellen, dass keine Postfächer mehr darin enthalten sind. Exchange verweigert sonst die Löschung.
7
Wollen Sie eine Datenbank für öffentliche Ordner löschen, darf dieser keine Replikate von öffentlichen Ordnern enthalten und keiner Postfachdatenbank als Standardspeicher für –öffentliche Ordner zugewiesen sein. Sie finden diese Einstellung in den Eigenschaften der jeweiligen Postfachdatenbank.
8 9 Abbildung 6.54: Löschen einer Datenbank oder einer Speichergruppe
10 11 12 13 14
Eine Speichergruppe kann nur gelöscht werden, wenn sie keinerlei Datenbanken mehr enthält.
15
Löschen Sie Speichergruppen oder Datenbanken in der Exchange-Verwaltungskonsole, werden allerdings die entsprechenden Dateien auf dem Dateisystem nicht gelöscht. Diese Dateien müssen Sie manuell löschen, nachdem die entsprechende Datenbank aus der Exchange-Verwaltungskonsole entfernt wurde. 367
Mailbox-Server und Postfachdatenbanken
6.6
Verwalten des Exchange-Suchindex
Auch Exchange Server 2007 bietet einen Indexdienst, über den Anwender in Outlook ihr Postfach durchsuchen können. Durch den Index auf dem Exchange Server können Anwender deutlich schneller Nachrichten im Postfach durchsuchen als ohne Index. Die Indexierung wird automatisch für jede neue Postfachdatenbank aktiviert. Die Suche mit dem Index liefert auch Ergebnisse aus Dateianlagen, die ohne Index nur sehr ineffizient untersucht werden können. Exchange verwendet dazu die Microsoft Search Indexing Engine (MSSearch).
6.6.1
Informationen zum Index in Exchange Server 2007
Sobald eine neue Nachricht in eine Datenbank zugestellt wird, aktualisiert Exchange automatisch seinen Index. Die Daten des Index werden nicht in der Datenbank gespeichert, sondern in einer eigenen Datei, die im gleichen Verzeichnis auf dem Exchange Server abgelegt wird wie die Datenbankdateien. Die Größe eines Index beträgt in etwa 5 % der Größe der entsprechenden Postfachdatenbank. Im Vergleich zur Indexierung unter Exchange Server 2003 wurde diese Funktion in Exchange Server 2007 deutlich überarbeitet: ■
■
■ ■ ■
Die Indexierung wird bereits standardmäßig aktiviert und muss nicht konfiguriert werden. Unter Exchange Server 2003 war der Index noch deaktiviert und musste konfiguriert werden. Die Indexierung verbraucht bei Weitem nicht mehr so viel Performance wie noch unter Exchange Server 2003. Maximal werden 2–5 % CPU-Last verursacht und eine kaum bemerkbare Belastung der Festplatten und des Arbeitsspeichers. Neue Nachrichten werden nach maximal zehn Sekunden im Index aufgenommen. Der Index kann jetzt auch Dateianlagen indexieren, die auf Microsoft OfficeDateiformaten, PDF-, HTML- und Textdateien basieren. Outlook Web Access und Outlook 2007 bieten eine wesentlich bessere Unterstützung für die Indexierung.
6.6.2
Verwalten des Suchindex
Der Indexdienst wird standardmäßig für alle Postfachdatenbanken aktiviert. Sie sollten diesen nur deaktivieren, wenn die Hardware Ihrer Mailbox-Server über nicht genügend Performance verfügt. Normalerweise müssen Sie den Index nicht verwalten oder Änderungen vornehmen, da dieser Dienst ohne Zutun eines Administrators funktioniert.
Deaktivieren und Aktivieren des Indexdienstes Um den Indexdienst für einzelne Postfachdatenbanken zu deaktivieren, müssen Sie die Exchange-Verwaltungsshell starten. Geben Sie den Befehl set-mailboxdatabase -indexenabled $false ein (siehe Abbildung 6.55). Enthält der Name Ihrer Postfachdatenbank Leerzeichen, müssen Sie diese in Anführungszeichen im Befehl eingeben.
368
Verwalten des Exchange-Suchindex
Abbildung 6.55: Deaktivieren und Aktivieren des Index für eine Postfachdatenbank
Mit dem Befehl set-mailboxdatabase -indexenabled $true aktivieren Sie den Index für diese Postfachdatenbank wieder.
1 2
Wollen Sie den Indexdienst für einen kompletten Mailbox-Server deaktivieren, dann deaktivieren Sie den Systemdienst Microsoft Search (Exchange) auf dem Server (siehe Abbildung 6.56).
3 Abbildung 6.56: Deaktivieren des Indexdienstes auf einem Exchange Server
4 5
6 7 8 9 10
Überprüfen des Indexdienstes Um sicherzustellen dass die Indexierung auf einem Mailbox-Server funktioniert, sollten Sie als Erstes sicherstellen, dass der Systemdienst Microsoft Search (Exchange) auf dem Server gestartet ist.
11
Als Nächstes sollten Sie sicherstellen, dass die Indexierung für einzelne Postfachdatenbanken nicht deaktiviert wurde. Aktivieren Sie diese in diesem Fall wieder über den bereits beschriebenen Befehl.
12
Geben Sie in der Exchange-Verwaltungsshell den Befehl test-exchangesearch ein. Im Anschluss überprüft das CMDlet für das Postfach der Systemaufsicht den Index (siehe Abbildung 6.57).
13
Abbildung 6.57: Überprüfen des Exchange-Index
14 15
369
Mailbox-Server und Postfachdatenbanken
Im Anschluss wird das Ergebnis der Suche in der Verwaltungsshell angezeigt (siehe Abbildung 6.58). Abbildung 6.58: Anzeigen der Suchergebnisses
Über den Befehl test-exchangesearch -indetity können Sie sich die Indexierung für ein einzelnes Postfach anzeigen lassen (siehe Abbildung 6.59). Erhalten Sie eine Fehlermeldung, beenden Sie den Dienst Microsoft Search (Exchange), und starten Sie ihn erneut wieder. Oft hilft diese Maßnahme schon bei Problemen mit dem Index. Abbildung 6.59: Überprüfen des Index für einzelne Postfächer
6.7
Warten von Exchange-Datenbanken mit Eseutil.exe
Mit dem Befehlszeilenprogramm Eseutil.exe können Sie die einzelnen Datenbankdateien Ihres Exchange Servers bearbeiten und überprüfen. Sie können eine OfflineDefragmentierung durchführen, um die Datenbankdateien zu verkleinern. Außerdem sind Wiederherstellungsvorgänge und vieles mehr möglich. Sie finden Eseutil im Exchange-Installationsverzeichnis im Unterverzeichnis \bin. Um mit dem Tool zu arbeiten, stehen Ihnen verschiedene Optionen zur Verfügung, die im Folgenden besprochen werden.
6.7.1
Starten von Eseutil auf einem anderen Server
Sie müssen Eseutil nicht unbedingt auf einem Exchange Server starten. Bei der Offline-Defragmentierung der Datenbank kann es sinnvoll sein, Eseutil auf einen anderen Server auszulagern und von dort zu starten. Sie sollten aber darauf achten, dass zwischen den beiden Servern eine stabile und schnelle Netzwerkverbindung besteht. Da für die Defragmentierung zunächst eine temporäre Datenbank der Exchange-Produktiv-Datenbank angelegt wird, muss diese zunächst über das Netz auf den Server kopiert werden, von dem aus Sie Eseutil starten. Damit Eseutil funktioniert, müssen Sie folgende Dateien aus dem Verzeichnis \bin im Exchange-Installationsverzeichnis kopieren:
Sie können mit Eseutil überprüfen, ob Ihre Exchange-Datenbank noch konsistent ist. Ihnen stehen dazu zwei Optionen zur Verfügung:
3
Mit dem Befehl Eseutil /mh können Sie die Konsistenz der Datenbank feststellen. Sie müssen dazu dem Befehl Eseutil /mh den Pfad zu Ihrer Datenbank mitgeben. Befinden sich im Pfad Leerzeichen, müssen Sie den Pfad in Anführungszeichen schreiben, zum Beispiel:
Bevor Sie jedoch mit dem Befehl Eseutil /mh arbeiten können, müssen Sie die Bereitstellung für die Datenbank in der Exchange-Verwaltungskonsole aufheben (siehe Abbildung 6.60) oder den Dienst für den Informationsspeicher beenden.
6
Klicken Sie dazu mit der rechten Maustaste auf die Datenbank, und wählen Sie aus den Optionen Bereitstellung der Datenbank aufheben. Je nach Größe Ihrer Datenbank kann der Test einige Sekunden bis Minuten dauern.
7
Abbildung 6.60: Bereitstellung einer Datenbank aufheben
8 9 10 11 12 13
Im Anschluss können Sie den Befehl entweder in einer normalen Befehlszeile oder der Exchange-Verwaltungsshell eingeben (siehe Abbildung 6.61).
14 Abbildung 6.61: Überprüfen der Datenbank mit Eseutil.exe
371
15
Mailbox-Server und Postfachdatenbanken
Ist mit Ihrer Datenbank alles in Ordnung, erhalten Sie eine entsprechende Ausgabe: Listing 6.1: Ausgabe einer DB-Überprüfung CODE
Extensible Storage Engine Utilities for Microsoft(R) Exchange Server Version 08.00 Copyright (C) Microsoft Corporation. All Rights Reserved. Initiating FILE DUMP mode... Database: C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\Mailbox Database.edb File Type: Database Format ulMagic: 0x89abcdef Engine ulMagic: 0x89abcdef Format ulVersion: 0x620,12 Engine ulVersion: 0x620,12 Created ulVersion: 0x620,12 DB Signature: Create time:11/23/2006 20:57:12 Rand:3587182 Computer: cbDbPage: 8192 dbtime: 37089 (0x90e1) State: Clean Shutdown Log Required: 0-0 (0x0-0x0) Log Committed: 0-0 (0x0-0x0) Streaming File: No Shadowed: Yes Last Objid: 334 Scrub Dbtime: 0 (0x0) Scrub Date: 00/00/1900 00:00:00 Repair Count: 0 Repair Date: 00/00/1900 00:00:00 Old Repair Count: 0 Last Consistent: (0xC,1B6,10D) 12/18/2006 10:58:30 Last Attach: (0x8,51,150) 12/18/2006 09:44:31 Last Detach: (0xC,1B6,10D) 12/18/2006 10:58:30 Dbid: 1 Log Signature: Create time:11/23/2006 20:57:07 Rand:3565046 Computer: OS Version: (5.2.3790 SP 1) Previous Full Backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 Previous Incremental Backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 Current Full Backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 Current Shadow copy backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 cpgUpgrade55Format: 0 cpgUpgradeFreePages: 0 cpgUpgradeSpaceMapPages: 0 ECC Fix Success Count: none Old ECC Fix Success Count: none ECC Fix Error Count: none Old ECC Fix Error Count: none Bad Checksum Error Count: none<- Hier muss der Wert 0 stehen. Old bad Checksum Error Count: none Operation completed successfully in 0.125 seconds.
372
Warten von Exchange-Datenbanken mit Eseutil.exe
Steht bei Checksum Error Count nicht der Wert 0, müssen Sie mit isinteg.exe die Datenbank anpassen. Zunächst müssen Sie den Dienst für den Informationsspeicher starten, die Bereitstellung des Informationsspeichers, den Sie reparieren wollen, aber aufheben. Führen Sie auf dem Server folgende Befehlszeile aus:
1
Isinteg -s -fix –test alltests Sobald isinteg fertig ist, können Sie die Bereitstellung wiederherstellen. Existieren auf dem Server mehrere Datenbanken, können Sie die entsprechende Datenbank auswählen, die Fehler werden angezeigt. Das Tool versucht, im Anschluss die entsprechenden Fehler zu beseitigen, und zeigt an, welche Checksummen-Fehler noch in der Datenbank verbleiben (siehe Abbildung 6.62).
2 3 Abbildung 6.62: Reparieren einer Exchange-Datenbank mit isinteg.exe
4 5
6 7 8 9
Ein weiterer Konsistenztest für Ihre Datenbank ist die Option Eseutil /g. Hier wird die Datenbank, die Sie in die Befehlszeile eingeben, auf Integrität getestet:
11 Abbildung 6.63: Integritätsüberprüfung einer Exchange-Datenbank
12 13 14 15
373
Mailbox-Server und Postfachdatenbanken
6.7.3
Offline-Defragmentierung einer Exchange-Datenbank
Durch Verschieben von Benutzern zwischen Postfachdatenbanken oder auch die normale Arbeit mit dem Exchange Server wachsen Ihre Datenbankdateien ständig an. Während der automatischen und täglichen Online-Defragmentierung werden die Datenbanken nicht verkleinert. Die Online-Defragmentierung stellt lediglich Festplattenplatz wieder zur Verfügung, der von Exchange nicht mehr verwendet wird. Es werden leere Bereiche innerhalb der Datenbank zusammengefasst, aber keine Dateien verkleinert. Die Gesamtgröße der Datei bleibt gleich. Um die Datenbankdateien zu verkleinern, müssen Sie eine Offline-Defragmentierung durchführen. Für die Offline-Defragmentierung müssen Sie die Bereitstellung Ihrer Datenbanken aufheben oder den Informationsspeicherdienst beenden. Eine Offline-Defragmentierung kann Stunden dauern. Sie macht Sinn, wenn Sie zum Beispiel in kurzer Zeit viele Postfächer von einem Server auf einen anderen verschoben haben. Die Offline-Defragmentierung wird durch das Befehlszeilenprogramm Eseutil.exe durchgeführt. Um eine Offline-Defragmentierung durchzuführen, starten Sie Eseutil mit der Option /d und dem Pfad zur Datenbank. Das Tool legt vor dem Defragmentierungsvorgang eine temporäre Kopie der Datenbankdatei an, die defragmentiert und nach dem Vorgang wieder zurückkopiert wird. Die Temporärdateien werden auf dem Laufwerk angelegt, auf dem Sie Eseutil aufrufen. Es ist daher wichtig, dass Sie jederzeit darauf achten, auf Ihrem Datenträger genug Platz zu lassen, also mindestens das Doppelte Ihrer Exchange-Datenbanken. Haben Sie nicht genug Platz auf Ihrem Datenträger, kann Eseutil im Notfall keine Datenbank defragmentieren oder reparieren. Die Syntax in der Befehlszeile für eine Offline-Defragmentierung lautet zum Beispiel: Eseutil /d C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\ Mailbox Database.edb Hat Eseutil mit der Defragmentierung begonnen, öffnet es die Datenbank und legt eine Kopie an. Während dieses Kopiervorgangs werden alle leeren Seiten der Datenbank gelöscht. Diese temporäre Kopie wird defragmentiert und danach über die originale Datenbank kopiert. Nach einiger Zeit, die von der Größe Ihrer Datenbank abhängt, gibt Eseutil das Ergebnis am Bildschirm aus, und Sie können überprüfen, ob die Defragmentierung erfolgreich war (siehe Abbildung 6.64). Während der Defragmentierung werden auch automatisch defekte Bereiche der Datenbank gelöscht. Durch diese Option können Sie also auch korrupte Datenbanken wieder reparieren. Wird die Defragmentierung durch Herunterfahren des Servers unterbrochen, kann es sein, dass die temporär angelegte Datenbankdatei noch nicht über die Originaldateien kopiert wurde. Lokalisieren Sie dann die Temporärdatenbank, und kopieren Sie diese über die Originaldateien.
374
Notfalllösungen für die Datenbank
Abbildung 6.64: Defragmentieren einer Datenbank
1 2 3 4
6.7.4
Überprüfen der fortlaufenden Datensicherung
Mit Eseutil.exe können Sie auch den Zustand der Dateien der fortlaufenden lokalen Datensicherung überprüfen. Bevor Sie die Dateien jedoch überprüfen können, müssen Sie zunächst LCR für die entsprechende Speichergruppe anhalten lassen (nicht deaktivieren). Gehen Sie dazu folgendermaßen vor:
5
6
1. Starten Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zu Serverkonfiguration/Postfach. 3. Markieren Sie im Ergebnisbereich den Exchange Server, auf dem die Speicher-
7
gruppe liegt, die Sie verschieben wollen.
4. Klicken Sie die Speichergruppe mit der rechten Maustaste an, und wählen Sie
8
die Option Fortlaufende lokale Replikation anhalten. 5. Es erscheint ein neues Fenster, in dem Sie einen Kommentar eintragen können, warum Sie LCR für diese Speichergruppe gestoppt haben. Tragen Sie die entsprechende Info ein, und bestätigen Sie die Meldung. 6. Öffnen Sie als Nächstes eine Befehlszeile, es muss sich nicht unbedingt um die Exchange-Verwaltungsshell handeln 7. Um die Transaktionsprotokolle der Speichergruppe zu überprüfen, verwenden Sie den Befehl Eseutil /k (siehe Abbildung 6.65). Enthält der Datenbankname oder -Pfad ein Leerzeichen, verwenden Sie Anführungszeichen. 8. Im Anschluss überprüft Eseutil die Konsistenz der LCR-Datenbank. Stellen Sie sicher, dass keine Fehler gefunden werden.
6.8
9 10 11 12
Notfalllösungen für die Datenbank
13
Viele Umstände können dazu führen, dass Ihre Datenbank inkonsistent wird. Bevor Sie eine Datensicherung zurückspielen (siehe Kapitel 11) oder die Daten der fortlaufenden Datensicherung verwenden, sollten Sie genau recherchieren, was schiefgegangen ist und wo die Probleme lagen.
14 15
375
Mailbox-Server und Postfachdatenbanken
Abbildung 6.65: Überprüfen der Konsistenz der LCR-Datenbank
Sie können mit Eseutil einige Probleme lösen. Taucht ein Datenbankfehler in der Ereignisanzeige auf, ist es wahrscheinlich, dass mehrere Inkonsistenzen in der Datenbank auftreten. Sie werden auf jeden Fall mit einem Datenverlust rechnen müssen, die Frage ist nur, wie hoch dieser sein wird. Solche Fehler treten häufig durch ein Hardware-Problem oder fehlerhafte RAID-Controller auf. Es kann sich aber auch um einen Treiberfehler oder einen Bluescreen handeln, der fehlerhafte Daten auf die Festplatte geschrieben hat.
6.8.1
Problembehebung mit vorhandener Online-Datensicherung
Überprüfen Sie als Erstes den Stand Ihrer Datensicherung (siehe Kapitel 11). Sie brauchen ein Vollbackup der Datenbank und aller Transaktionsprotokolldateien. Ich gehe in diesem Beispiel davon aus, dass eine Hardware-Komponente auf dem Server defekt ist. Beenden Sie alle Exchange-Dienste auf dem Server. Kopieren Sie das Exchange-Verzeichnis, vor allem die Datenbanken, wenn das noch möglich ist, auf einen anderen Server. Führen Sie danach am besten ein Treiber- und BIOSUpdate des RAID-Controllers sowie des Betriebssystems durch. Jetzt können Sie Ihre letzte Datensicherung zurückspielen oder die LCR-Daten verwenden. Da während der Datensicherung die Konsistenz der Datenbank überprüft wird, können Sie sicher sein, dass ein durchgeführtes Online-Backup ohne Fehler ist. Sichern Sie auch alle noch vorhandenen Transaktionsprotokolle zurück auf den Server, die nach der Sicherung angelegt wurden. Starten Sie die Exchange-Dienste. Exchange schreibt alle noch nicht in die Datenbank geschriebenen Transaktionspro376
Notfalllösungen für die Datenbank
tokolle in die Datenbank. Dieser Vorgang wird Soft-Recovery genannt und in Kapitel 11 ausführlicher behandelt. Diese Wiederherstellung kann eine Weile dauern, je nach Größe Ihrer Datenbank und Anzahl der Transaktionsprotokolle. Nach der Wiederherstellung sollte Exchange wieder einwandfrei laufen. Überprüfen Sie aber die Ereignisanzeige und die Protokolle Ihrer Datensicherung. Am besten wäre der Wechsel auf andere Hardware, da Sie nicht sicher sein können, was den Fehler verursacht hat.
6.8.2
1 2
Problembehebung mit vorhandener Offline-Sicherung
3
Haben Sie kein Online-Backup Ihres Servers zur Verfügung, stehen Sie unter Umständen vor einem größeren Problem. Ein reines Offline-Backup wird Ihnen nicht viel bringen, da beim reinen Kopieren der Exchange-Datenbanken keine Überprüfung der Konsistenz durchgeführt wurde. Es kann also sein, dass die gesicherten Datenbanken bereits unentdeckt fehlerhaft waren. Sie können dieses Backup aber zurücksichern und über mehrere Stunden oder Tage beobachten. Tritt der Fehler mit der Sicherung nicht mehr auf, sollten Sie dafür sorgen, dass Ihre Exchange-Datenbank zukünftig online gesichert wird.
6.8.3
4 5
6
Problembehebung ohne vorhandene Datensicherung
7
Exportieren Sie alle Postfächer aus der Datenbank in PST-Dateien auf einem anderen Server mit genügend Festplattenplatz. Vergessen Sie auch die öffentlichen Ordner nicht. Öffnen Sie zum Sichern der öffentlichen Ordner Outlook, und exportieren Sie die Ordner ebenfalls in PST-Dateien.
8 9
Jetzt können Sie alle Exchange-Dienste beenden und die Datenbank auf einen anderen Server kopieren. Sie können mit Eseutil die defekten Seiten der Datenbank löschen. Löschen Sie mit Eseutil Datenbankseiten aus der Datenbank, entsteht ein Datenverlust in unbekannter Höhe. Sie sollten diesen Weg daher nur dann wählen, wenn Ihnen wirklich nichts anderes mehr übrig bleibt. Sie sollten nach dem Motto »Retten, was zu retten ist« vorgehen und nicht erwarten, dass Ihre Datenbank später wieder alle Daten beinhaltet.
10 11
Es gibt zwei Varianten, wie Sie eine inkonsistente Datenbank mit Eseutil bereinigen können: Die erste Variante ist die Option /d für eine Offline-Defragmentierung. Tritt der Fehler hauptsächlich – oder bestenfalls nur – in leeren Seiten der Datenbank auf, werden diese durch die Offline-Defragmentierung gelöscht, und die Datenbank ist repariert. Läuft Eseutil mit der Option /d ohne Fehler durch, können Sie sicher sein, dass die defekten Seiten leer waren und von der Offline-Defragmentierung gelöscht wurden. Bricht Eseutil mit einem Fehler ab, können Sie sicher sein, dass die korrupten Datenbankseiten beschrieben sind, das heißt, diese Daten werden Ihnen verloren gehen.
12 13 14
Die zweite Variante ist der Option /p. Mit dieser Option defragmentiert Eseutil die Datenbank in eine Temporärdatenbank und löscht dabei die korrupten, aber beschriebenen Datenbankseiten. Die Daten dieser Seiten sind unwiderruflich verloren. Wie hoch der Datenverlust ist, hängt davon ab, wie viele Seiten korrupt sind und welche Informationen in den Seiten enthalten waren. Sie sollten diesen Weg nur
15
377
Mailbox-Server und Postfachdatenbanken
wählen, wenn keine andere Option mehr offen bleibt. Kopieren Sie auf alle Fälle vorher die Datenbankdateien auf einen anderen Server, da inkonsistente Datenbanken immer noch besser sind als gar keine Daten.
6.9
Dateien aus Exchange-Datenbanken in PST-Dateien exportieren
Eine häufig verwendete Methode, Inhalte aus Exchange-Datenbanken zu sichern, besteht darin, die Inhalte der Postfächer in PST-Dateien zu exportieren. Zum Beispiel können diese Daten zur Wiederherstellung oder bei Migrationen verwendet werden. Mit dem Service Pack 1 für Exchange Server 2007 gehen diese Vorgänge bequem über die Exchange-Verwaltungsshell, das Zusatztool exmerge wird nicht mehr benötigt. Dazu muss auf dem Server noch Outlook 2007 installiert werden. Alternativ können auch auf einer Arbeitsstation die PowerShell und die Exchange-Verwaltungstools installiert werden. Der Vorgang beim Export ist denkbar einfach: Zunächst kann mit dem Befehl get-mailboxdatabase eine Liste aller Exchange-Datenbanken angezeigt werden. Mit dem Befehl Get-Mailbox -Database \ | Export-Mailbox -PSTFolderPath werden nach Bestätigung der Abfrage alle Postfächer eines Servers in PSTDateien exportiert. Abbildung 6.66: In drei kleinen Schritten werden alle Postfächer einer Datenbank in PSTDateien exportiert.
Mit dem Befehl Get-Mailbox -Database \ | Import-Mailbox -PSTFolderPath werden schließlich PSTDateien aus einem Verzeichnis in eine bestimmte Datenbank wieder importiert. Was mit allen Benutzern geht, funktioniert natürlich auch mit einzelnen Anwendern. Wird am Ende des Befehls noch die Option -confirm:$false angehängt, erfolgt der Export sofort ohne Rückfrage, zum Beispiel über Skripte.
378
Inhalt 1 2 3 4 5
7
Öffentliche Ordner
6
Öffentliche Ordner bilden einen der wichtigsten Bereiche für Groupware-Systeme. In öffentlichen Ordnern ist die Arbeit wie in keinem anderen Bereich nicht auf einzelne Personen und Benutzer begrenzt, sondern richtet sich an Gruppen und Abteilungen, die zusammenarbeiten und Informationen austauschen wollen.
7 8
Für öffentliche Ordner gibt es eine Vielzahl von Verwendungsmöglichkeiten. Öffentliche Ordner können mit einer E-Mail-Adresse versehen werden und dadurch direkt E-Mails erhalten oder auch versenden.
7.1
9
Möglichkeiten der öffentlichen Ordner 10
Setzen Sie bereits öffentliche Ordner ein, werden Sie die Vorteile teilweise schon kennen. Vielleicht kann ich Ihnen im folgenden Abschnitt noch die eine oder andere Anregung geben, welche Einsatzgebiete öffentliche Ordner abdecken können.
11
Ein weiterer Vorteil der öffentlichen Ordner ist die Replikation. Damit können Informationen in kürzester Zeit auf verschiedene Exchange Server repliziert werden und stehen sofort allen Anwendern zur Verfügung. Selbst wenn auf einem Exchange Server kein Replikat eines öffentlichen Ordners liegt, werden Benutzern, deren Postfächer auf diesem Exchange Server liegen, dennoch die öffentlichen Ordner angezeigt, und sie können diese nutzen. Der Zugriff kann allerdings etwas langsamer sein, weil der öffentliche Ordner zum Beispiel in einer anderen Routinggruppe (beim Paralleleinsatz von Exchange 2000/2003) beziehungsweise einem anderen Standort liegt.
12 13 14
Gemeinsame Informationsnutzung
379
Index
15
Der wohl am häufigsten genutzte Vorzug der öffentlichen Ordner ist die gemeinschaftliche Ablage von Informationen und Dokumenten, die mehrere oder alle Benutzer angehen. Sie können zum Beispiel Preislisten, Handbücher oder andere Informationen allen Benutzern zugänglich machen. Benutzer können selbst ent-
Öffentliche Ordner
scheiden, welche Informationen in die öffentlichen Ordner gestellt werden sollen. Dadurch werden Informationen, sobald sie in einen öffentlichen Ordner kopiert wurden, sofort allen definierten Benutzern zugänglich. Sie sparen sogar noch Speicherplatz, da Informationen nicht mehrfach gespeichert werden müssen, sondern nur noch einmal im öffentlichen Ordner.
Gruppenkontakte Kontakte können ebenfalls als öffentlicher Ordner angelegt werden. Die Bedienung ist dabei vollkommen identisch mit der lokalen Pflege der Kontakte in Outlook. Liegen die Kontakte jedoch in einem öffentlichen Ordner, ist ein gepflegter Kontakt sofort allen Mitarbeitern, die Zugriff auf diesen Ordner haben, zugänglich. Dadurch können Sie zum Beispiel die Adressen Ihrer Lieferanten oder Kunden für jeden zugänglich speichern und pflegen.
Ablage für automatische E-Mails Administratoren kennen das Problem der E-Mail-Flut vieler Programme. Die Datensicherung, der Virenscanner, die Serverüberwachung – viele Programme unterstützen das automatische Senden von E-Mails über Informationsmeldungen oder Fehlermeldungen. Selbst Exchange kann so konfiguriert werden, dass E-Mails automatisch an bestimmte Personen verschickt werden, falls ein Connector oder ein Server ein Problem hat. Schicken Sie solche E-Mails direkt an einen öffentlichen Ordner, werden diese zentral in einem Ordner aufbewahrt, auf den alle Empfänger zugreifen können, die über entsprechende Berechtigungen verfügen. Zusätzlich können Sie für diesen öffentlichen Ordner noch eine Verfallszeit definieren, nach der E-Mails automatisch gelöscht werden. Somit verschwenden Sie keinen unnötigen Serverplatz, und der Ordner pflegt sich quasi automatisch selbst. Ein für E-Mails aktivierter öffentlicher Ordner erhält eine E-Mail-Adresse und ist zukünftig per E-Mail erreichbar. Wie für jeden Benutzer können Sie auch für öffentliche Ordner definieren, dass diese im Adressbuch angezeigt werden. Öffentliche Ordner werden bei der Ansicht im Adressbuch besonders gekennzeichnet, damit Benutzer erkennen, dass es sich um einen öffentlichen Ordner handelt.
Ressourcenplanung Eine weitere Möglichkeit besteht im Anlegen von Kalendern in einem öffentlichen Ordner. Damit können Sie eine Ressourcenplanung oder Terminplanung für gemeinschaftliche Bereiche wie Besprechungsräume, technisches Equipment oder sonstige Aufgaben realisieren, sodass jeder Benutzer sofort sehen kann, ob eine Ressource belegt oder frei ist.
Faxablage Öffentliche Ordner können Sie auch als Ablage für Ihren zentralen Faxeingang verwenden, ähnlich wie die Ablage von automatischen System-E-Mails. Faxe sind allen Benutzern zugänglich und können auch mit einer Verfallszeit definiert werden, damit sie nach einigen Tagen automatisch gelöscht werden. Um diese Funktionalität einzusetzen, benötigen Sie ein Produkt eines Drittherstellers. Es gibt viele Anbieter für Programme, die das Empfangen von Faxen unterstützen. Ab Exchange Server 2007 wird diese Funktion integriert
380
Erstellen und Verwalten von öffentlichen Ordnern
Einheitlicher Support-Ordner Viele Firmen nutzen öffentliche Ordner außerdem als einheitlichen Posteingang für Support-Ordner. Sie können zum Beispiel einem öffentlichen Ordner die E-MailAdresse [email protected] zuordnen lassen.
1
Auch interne Support-Ordner können leicht angelegt werden. Sie können zum Beispiel einen öffentlichen Ordner User-Support anlegen, der eine eigene E-Mail-Adresse erhält, an die Benutzer ihre Anfragen schicken. Support-Mitarbeiter können im Auftrag dieses öffentlichen Ordners senden, und die Mitarbeiter erhalten die Antwort wieder von diesem öffentlichen Ordner. Wird auf solche E-Mails geantwortet, ist sichergestellt, dass sie wieder in dem öffentlichen Ordner landen und nicht bei einem einzelnen Mitarbeiter, bei dem sie vielleicht untergehen oder nicht bearbeitet werden, weil er schon zu Hause ist.
2 3 4
Knowledge-Datenbank Sie können öffentliche Ordner auch als Datenbank für das Wissen innerhalb eines Unternehmens verwenden. Löst zum Beispiel ein Mitarbeiter der EDV-Abteilung ein kniffeliges Problem, kann er die Lösung in einen öffentlichen Ordner schicken. Zukünftig profitieren Mitarbeiter von dieser erarbeiteten Lösung, und die Firma spart viel Zeit und Geld. Wissen steht zentral und gebündelt zur Verfügung und geht nicht mehr verloren. Sie können solche Ordner sogar moderieren lassen, das heißt, ein Mitarbeiter erhält die Benachrichtigung, dass eine Nachricht in den öffentlichen Ordner gestellt werden soll, und muss diese Nachricht erst freigeben, bevor sie im Ordner erscheint.
7.2
5 6
7 8
Erstellen und Verwalten von öffentlichen Ordnern
9
Öffentliche Ordner können sowohl von Administratoren in der Exchange-Verwaltungsshell als auch von den Benutzern direkt in Outlook erstellt werden. Es ist nicht möglich, öffentliche Ordner in der Exchange-Verwaltungskonsole zu verwalten. Erst durch die Installation von Service Pack 1 für Exchange Server 2007 können öffentliche Ordner auch in der Exchange-Verwaltungskonsole konfiguriert werden. Mehr dazu erfahren Sie am Ende dieses Kapitels.
7.2.1
10 11
Anlegen von öffentlichen Ordnern 12
Microsoft empfiehlt, öffentliche Ordner direkt in Outlook anzulegen. Um öffentliche Ordner anzulegen, klicken Sie mit der rechten Maustaste in Outlook auf den Menüpunkt Alle öffentlichen Ordner, und wählen Sie Neuer Ordner (siehe Abbildung 7.1).
13
Die öffentlichen Ordner werden nur angezeigt, wenn Sie die Ordnerliste in Outlook anzeigen lassen (siehe Abbildung 7.1, Punkt 1).
14
Es öffnet sich ein Fenster, in dem Sie eingeben können, wie die Bezeichnung des öffentlichen Ordners sein soll und welche Art eines öffentlichen Ordners Sie erstellen wollen. Bestätigen Sie das Fenster mit OK, wird der öffentliche Ordner erstellt und kann verwaltet werden.
15
381
Öffentliche Ordner
Abbildung 7.1: Erstellen eines öffentlichen Ordners in Outlook 2007
Sie können öffentliche Ordner in Outlook über das Kontextmenü oder durch Drücken der Taste (Entf) löschen. Abbildung 7.2: Anlegen eines öffentlichen Ordners
Erstellen eines öffentlichen Ordners in der Exchange-Verwaltungsshell Sie können öffentliche Ordner auch direkt auf dem Exchange Server in der ExchangeVerwaltungsshell anlegen. Verwenden Sie dazu den Befehl new-publicfolder –Name (siehe Abbildung 7.3). Geben Sie bei der Eingabe des Befehls keinen Server an, wird der öffentliche Ordner automatisch auf dem Exchange Server angelegt, der die Rolle Mailbox-Server einnimmt. Steht an diesem Active Directory-Standort kein Mailbox-Server zur Verfügung, wird der öffentliche Ordner auf dem nächsten erreichbaren Mailbox-Server angelegt, auf Basis der Kosten der Active Directory-Standortverbindungen. Der Ordner wird sofort angezeigt (siehe Abbildung 7.3). 382
Erstellen und Verwalten von öffentlichen Ordnern
Legen Sie einen neuen öffentlichen Ordner an, erhält dieser automatisch die Berechtigungen seines übergeordneten öffentlichen Ordners. Abbildung 7.3: Anlegen eines öffentlichen Ordners in der ExchangeVerwaltungsshell
1 2 3 4 5 6
7 Sie können in der Exchange-Verwaltungsshell auch einen untergeordneten Ordner anlegen. In diesem Fall müssen Sie den Pfad angeben, unter dem der neue öffentliche Ordner erstellt werden soll.
8
Verwenden Sie dazu die Syntax new-publicfolder –Name –path \ -server <Servername> (siehe Abbildung 7.4).
9 Abbildung 7.4: Anlegen eines untergeordneten öffentlichen Ordners
10 11 12 13 14 15
383
Öffentliche Ordner
Über den Befehl remove-publicfolder können Sie einzelne öffentliche Ordner in der Exchange-Verwaltungsshell wieder löschen. Die Syntax dazu ist identisch mit dem Erstellen öffentlicher Ordner.
7.2.2
Verwalten von öffentlichen Ordnern
Haben Sie den Ordner angelegt, können Sie mit der rechten Maustaste die Eigenschaften des Ordners aufrufen. Auf der Registerkarte Berechtigungen können Sie verschiedene Einstellungen vornehmen, welche die Zugriffsmöglichkeiten von anderen Benutzern betreffen (siehe Abbildung 7.5). Der Ersteller eines öffentlichen Ordners erhält von Exchange automatisch die Berechtigungsstufe Besitzer. Besitzer haben unter anderem das Recht, die Berechtigungen für diesen öffentlichen Ordner zu verwalten. Abbildung 7.5: Verwalten der Berechtigungen von öffentlichen Ordnern
Auf der Registerkarte Allgemein legen Sie den Namen des öffentlichen Ordners fest und können eine Beschreibung des Inhalts eintragen. Hier wählen Sie auch das Formular aus, mit dem diesem Ordner neue Elemente hinzugefügt werden können. Die Option Automatisch Microsoft –Exchange-Ansichten erstellen dient der Kompatibilität zu anderen E-Mail-Clients. Über die Schaltfläche Ordnergröße können Sie sich anzeigen lassen, wie viel Speicherplatz der öffentliche Ordner benötigt. Auf der Registerkarte Ordnerverwaltung konfigurieren Sie verschiedene Optionen der Ansicht des Ordners und dessen Verwaltung (siehe Abbildung 7.7): ■
384
Erste Ansicht des Ordners – Hier können Sie einstellen, wie der Inhalt des öffentlichen Ordners den Benutzern angezeigt wird. Sie können aus dem Menü verschiedene Sortierungen auswählen. Benutzer können die Einstellung für sich abändern, wenn ihnen diese Standardsortierreihenfolge nicht zusagt. Die Einstellungen dienen lediglich zur Definition eines Standards.
Erstellen und Verwalten von öffentlichen Ordnern
Abbildung 7.6: Allgemeine Verwaltung eines öffentlichen Ordners in Outlook 2003
1 2 3 4 5 6
7 Abbildung 7.7: Verwalten eines öffentlichen Ordners
8 9 10 11 12 13 14 15
385
Öffentliche Ordner
■
Drag/Drop führt Folgendes aus – Mit dieser Option können Sie einstellen, wie die Objekte im öffentlichen Ordner formatiert werden sollen. Durch diese Formatierung soll gekennzeichnet werden, wer die Nachricht in diesen öffentlichen Ordner gestellt hat. Ihnen stehen hier zwei verschiedene Möglichkeiten zur Auswahl: ■ Verschieben/Kopieren – Mit dieser Option werden die Objekte, zum Beispiel E-Mails, nicht neu formatiert. Zudem werden die Objekte nicht mit dem Benutzer gekennzeichnet, der sie in den öffentlichen Ordner verschoben hat. ■
■
■
■
■
Weiterleiten – Aktivieren Sie diese Option, werden die Objekte, die in diesen öffentlichen Ordner gestellt werden, als weitergeleitete Objekte umformatiert. Dadurch wird im Betreff festgehalten, welcher Benutzer dieses Objekt in den öffentlichen Ordner verschoben hat.
Ordneradresse hinzufügen zu – Hier können Sie diesen öffentlichen Ordner direkt in die Liste der Kontakte im Active Directory einfügen. Klicken Sie auf das Feld, wird dieser öffentliche Ordner Ihren Kontakten in Outlook hinzugefügt, und Sie können E-Mails direkt an diesen öffentlichen Ordner senden. Dieser Ordner steht zur Verfügung – Hier können Sie einstellen, wer auf diesen Ordner zugreifen darf. Wollen Sie Wartungsarbeiten an diesem öffentlichen Ordner durchführen, können Sie zeitweise diese Option aktivieren, um andere Benutzer als den Besitzer daran zu hindern, auf den Ordner zuzugreifen. Wird eine E-Mail an diesen öffentlichen Ordner geschickt, erhält der Benutzer eine automatische Benachrichtigung, dass derzeit nur Besitzer zugreifen dürfen. Ordner-Assistent – Mit diesem Assistenten können Sie Regeln erstellen, wie mit neuen Objekten verfahren werden soll, die in diesen öffentlichen Ordner verschoben werden. Diese Regeln sind ähnlich aufgebaut wie die Posteingangsregeln in Outlook. Moderierter Ordner – Ein moderierter Ordner verhält sich genauso wie ein moderiertes Forum im Internet. Sie können mithilfe dieser Schaltfläche einen Benutzer festlegen, der alle neuen Objekte des öffentlichen Ordners erst absegnen muss, bevor sie hinzugefügt werden.
Die Registerkarte Formulare dient zur Verwaltung der hinterlegten Formulare dieses öffentlichen Ordners. Formulare steuern die Eingabemaske und die Optionen, mit denen neue Objekte in diesem öffentlichen Ordner bereitgestellt werden. Hier können Sie sehen, welche Formulare dem Ordner bereits zugewiesen wurden oder noch zugewiesen werden können (siehe Abbildung 7.8). Auf der Registerkarte Berechtigungen steuern Sie, welche Benutzer auf den öffentlichen Ordner zugreifen dürfen und mit welchen Berechtigungen sie mit dem Ordner arbeiten können. Im oberen Bereich sehen Sie, welche Benutzer bereits Berechtigung auf den öffentlichen Ordner haben und welcher Berechtigungsstufe sie zugeordnet sind. Sie können neue Benutzer mit aufnehmen und vorhandene entfernen. Sie können hier auch die Berechtigungen der einzelnen Benutzer bearbeiten. (siehe Abbildung 7.9). Im Gegensatz zu den Berechtigungen im Postfach eines Benutzers können Sie bei öffentlichen Ordnern noch Berechtigungen für den Nutzer Anonym vergeben. Damit können Sie kontrollieren, ob E-Mails von außen aus dem Internet in den Ordner geschickt werden dürfen. Dies können Sie beispielsweise für Standardadressen wie info@ oder support@ einsetzen, wenn mehrere Mitarbeiter diese Nachrichten bearbeiten sollen. 386
Erstellen und Verwalten von öffentlichen Ordnern
Abbildung 7.8: Verwalten von Formularen in Outlook 2007
1 2 3 4 5 6
7 Abbildung 7.9: Verwalten von Berechtigungen
8 9 10 11 12 13 14
Es gibt in Outlook Standardberechtigungsstufen, die Sie vergeben können. ■
15
Keine – Benutzer mit dieser Stufe haben keinerlei Berechtigung. Verwenden Sie diese Stufe für die Standardbenutzer, wenn Sie für einen Ordner explizite Berechtigungen festlegen wollen. Sie können einzelne Benutzer oder Gruppen aufnehmen und sicherstellen, dass nur diese Berechtigung auf den Ordner haben. 387
Öffentliche Ordner
■ ■
■
■ ■
■ ■
■
Stufe 1 – Mit dieser Berechtigung dürfen Benutzer neue Objekte im Ordner erstellen, aber die Ansicht der bereits vorhandenen Objekte wird nicht erlaubt. Stufe 2 – Diese Stufe liegt zwar in der Hierarchie eine Stufe höher als Stufe 1, berechtigt aber nicht zum Schreiben in das Postfach, sondern lediglich zum Lesen des Inhalts. Stufe 3 – Die Stufe 3 ist die zusammengefasste Berechtigungsstufe 1 und Stufe 2. Benutzer mit Stufe-3-Berechtigung dürfen Objekte in diesem Ordner erstellen und den Inhalt lesen. Stufe 4 – Mit der Stufe 4 können Benutzer zusätzlich zur Stufe 3 noch die von ihnen erstellten Objekte in diesem Postfach bearbeiten und löschen. Stufe 5 – Diese Stufe beinhaltet die Berechtigung der Stufe 4 und zusätzlich das Recht, untergeordnete Objekte zu bearbeiten und zu löschen, allerdings nur für untergeordnete Objekte, die von dem jeweiligen Benutzer mit Stufe 5 in den Ordner gestellt wurden. Stufe 6 – Benutzer mit dieser Berechtigung können neue Objekte aufnehmen, vorhandene lesen und alle vorhandenen Objekte bearbeiten oder löschen. Stufe 7 – Benutzer der Stufe 7 haben dieselbe Berechtigung wie Benutzer der Stufe 6 und können zusätzlich untergeordnete Ordner in diesem Ordner erstellen. Stufe 8 (Besitzer) – Diese Berechtigungsstufe ist die höchste Stufe, die für einen öffentlichen Ordner erteilt werden kann. Benutzer mit Stufe 8 haben dieselben Rechte wie Benutzer der Stufe 7 und können zusätzlich noch Berechtigungen des Ordners bearbeiten, erteilen und entziehen.
Sie können Benutzern ebenfalls manuell gewisse Rechte vergeben, ohne die vorgefertigten Berechtigungsstufen zu verwenden. Nehmen Sie dazu den Benutzer in die Liste auf, und vergeben Sie ihm die Berechtigungsstufe, die am nächsten an die Rechte herankommt, die Sie erteilen wollen. Dazu stellt Outlook noch einige weitere Optionen zur Verfügung: ■ ■ ■ ■
Elemente erstellen – Gleichbedeutend mit Stufe 1. Benutzer können neue Objekte aufnehmen, aber vorhandene nicht lesen. Unterordner erstellen – Mit dieser Berechtigung können neue Ordner innerhalb des Postfachs erstellt werden. Besitzer des Ordners – Erteilt dem Benutzer die Berechtigungsstufe 8. Ordner sichtbar – Benutzern mit dieser Berechtigung wird der Ordner in ihren Clients, zum Beispiel in Outlook, angezeigt. Dies bedeutet jedoch nicht, dass sie Rechte auf den Ordner haben.
In der Rubrik Elemente löschen können Sie angeben, welche Elemente der Benutzer löschen darf: ■ ■ ■
388
Keine – Keine Objekte innerhalb des Postfachs können gelöscht werden. Eigene – Nur die vom Benutzer selbst erstellten Objekte können gelöscht werden, andere nicht. Alle – Alle Objekte können von diesem Benutzer gelöscht werden.
Erstellen und Verwalten von öffentlichen Ordnern
7.2.3
Erstellen von Top-Level-öffentlichen Ordnern
Eine der ersten Aufgaben eines Exchange-Administrators besteht nach der Installation darin festzulegen, welche Benutzer öffentliche Ordner der höchsten Ebene anlegen dürfen. Standardmäßig dürfen nur Administratoren öffentliche Ordner direkt im Root der Öffentlichen-Ordner-Struktur anlegen. Sie sollten einen Personenkreis definieren, der das zukünftig tun soll, wenn Sie sich nicht selbst darum kümmern wollen. Legen Sie dazu am besten eine eigene Sicherheitsgruppe in Windows an, der Sie dann diese Berechtigung erteilen. Sie müssen dazu lediglich Benutzer in diese Gruppe aufnehmen oder wieder entfernen.
1 2 3
Sicherheitsebenen in Exchange Server 2007 Zunächst sollten Sie wissen, dass die Eigenschaften Ihrer Organisation in der Exchange-Verwaltungskonsole nicht den obersten Punkt der Sicherheitshierarchie Ihrer Exchange-Organisation darstellen. Sie müssen zum Verändern der Berechtigungen noch eine Stufe höher gehen:
1. 2.
4 5
Starten Sie dazu das Snap-In Active Directory-Standorte und -Dienste. Ihnen werden zunächst lediglich die Standorte angezeigt. Um auch die Dienste anzeigen zu lassen, müssen Sie die Ansicht verändern. Klicken Sie mit der rechten Maustaste auf den Knoten Active Directory-Standorte und -Dienste ganz oben in der Hierarchie, und wählen Sie aus dem erscheinenden Menü den Punkt Ansicht und dann Dienstknoten anzeigen aus (siehe Abbildung 7.10).
6
7 Abbildung 7.10: Anzeigen des Dienstknotens im Snap-In Active Directory-Standorte und -Dienste
8 9 10 11
3. Hier werden auch die Dienste angezeigt, die in Ihrem Active Directory installiert 4.
5.
6.
12
sind. Außerdem finden Sie hier die oberste Ebene Ihrer Exchange-Organisation. Rufen Sie die Eigenschaften des Containers Microsoft Exchange und dann die Registerkarte Sicherheit auf. Wie Sie sehen, werden die Berechtigungen nicht vererbt, sondern direkt gesetzt (siehe Abbildung 7.11). Hier handelt es sich um die oberste Berechtigungsebene der Exchange-Organisation. Um die Berechtigung zum Anlegen von öffentlichen Root-Ordnern zu verändern, fügen Sie entweder eine neue Gruppe hinzu oder verändern die Eigenschaften einer bereits vorhandenen Gruppe. Sie benötigen für die öffentlichen Ordner zunächst zwei Berechtigungen dieser Liste. Sie können das Erstellen von öffentlichen Ordnern und Top-Level-öffentlichen Ordnern definieren. Die entsprechenden Berechtigungen finden Sie ganze unten in der Liste (siehe Abbildung 7.11):
13 14 15
389
Öffentliche Ordner
■ ■
Create Public Folder Create Top Level Public Folder
Abbildung 7.11: Berechtigungen zum Anlegen von Top-Level-öffentlichen Ordnern
7.2.4
Verwalten von öffentlichen Ordnern mit der Exchange-Verwaltungsshell
Mit dem Befehl new-publicfolder können Sie öffentliche Ordner in der ExchangeVerwaltungsshell erstellen, mit remove-publicfolder können Sie öffentliche Order löschen. Um die Eigenschaften von öffentlichen Ordnern zu bearbeiten, verwenden Sie den Befehl set-publicfolder.
Aufrufen der Konfiguration eines öffentlichen Ordners Um die Einstellungen der öffentlichen Ordner aufzurufen, geben Sie in der Exchange-Verwaltungsshell den Befehl get-publicfolder ein. Geben Sie den Befehl ohne weitere Optionen ein, werden Ihnen die Informationen der obersten Ebene der Öffentlichen-Ordner-Hierarchie angezeigt (siehe Abbildung 7.12). Abbildung 7.12: Anzeigen der Informationen für öffentliche Ordner
390
Erstellen und Verwalten von öffentlichen Ordnern
■
■
■
■
■ ■
Verwenden Sie den Befehl get-publicfolder –identity \, werden Ihnen alle Informationen über einen bestimmten öffentlichen Ordner angezeigt. Wollen Sie Unterordner anzeigen lassen, verwenden Sie den Befehl get-PublicFolder -Identity \\
1 2 3 4 5
Abbildung 7.13: Anzeigen der ÖffentlichenOrdner-Statistiken
6
7 8 9 10
Einstellen der Replikation für öffentliche Ordner
11
Setzen Sie mehrere Exchange Server mit der Mailbox-Server-Rolle ein, können Sie einzelne öffentliche Ordner auf andere Server replizieren lassen. Auch diese Konfiguration können Sie nicht in der Exchange-Verwaltungskonsole durchführen, sondern lediglich in der Exchange-Verwaltungsshell.
12
Über das Skript AddReplicaToPFRecursive.ps1 können Sie das Replikationsverhalten des öffentlichen Ordners festlegen. Sie können öffentliche Ordner so konfigurieren, dass automatisch Replikate, das heißt Kopien des ganzen Ordners mit Inhalt, auf anderen Exchange Servern angelegt werden. Während der Replikation werden Ordner, Inhalt, aber auch die Berechtigungen auf die ausgewählten Exchange Server verteilt. Der Inhalt des Ordners kann dabei auf jedem beliebigen replizierten Exchange Server geändert werden.
13 14 15
Konfigurieren Sie viele öffentliche Ordner und replizieren diese sich ständig, werden die Server und die Leitungen zwischen den Servern mehr oder weniger belastet. Benutzern innerhalb einer Exchange-Organisation werden immer alle öffentlichen
391
Öffentliche Ordner
Ordner angezeigt, für die sie eine Berechtigung haben, egal ob ein Replikat auf ihrem Postfachserver liegt oder nicht. Natürlich dauert der Zugriff auf öffentliche Ordner, die sich außerhalb des Postfachservers eines Benutzers befinden, länger als der lokale Zugriff. Es stellt sich jedoch die Frage, ob es notwendig ist, nur wegen einiger Zugriffe alle öffentlichen Ordner replizieren zu lassen.
TIPP
Die *.ps1-Skripte von Exchange Server 2007 sind im Verzeichnis C:\Programme\ Microsoft\Exchange Server\Scripts abgelegt (siehe Abbildung 7.14). Dieser Pfad wurde in die Pfadvariable auf Ihrem Exchange Server hinzugefügt. Wollen Sie ein *.ps1-Skript in der Exchange-Verwaltungsshell ausführen, müssen Sie daher nicht den direkten Pfad eingeben, es reicht, wenn Sie den Skriptnamen verwenden. Sie müssen aber vor jedem Skript, das Sie aufrufen, das Präfix.\ vorstellen, ansonsten bricht die Ausführung des Skripts mit einem Fehler ab. Geben Sie nicht alle notwendigen Optionen für einen Skriptbefehl ein, erscheint ebenfalls eine Fehlermeldung, die Sie darauf hinweist, welche Option Sie noch für das Skript hinterlegen müssen. Wollen Sie zum Beispiel den öffentlichen Ordner Verkauf als Replikat zum Server x2007-mailbox hinzufügen, müssen Sie den Befehl .\AddReplicaToPFRecursive.ps1 – toppublicfolder \Verkauf -servertoadd x2007-mailbox eingeben.
Abbildung 7.14: Speicherort der Skripte von Exchange Server 2007
Für die Steuerung der öffentlichen Ordner-Replikation stehen in diesem Verzeichnis noch weitere Skripte zur Verfügung. Die genaue Syntax ist meistens sehr ähnlich. Werden einzelne Optionen zusätzlich benötigt, erhalten Sie entsprechende Fehlermeldungen:
392
Erstellen und Verwalten von öffentlichen Ordnern
■ ■
RemoveReplicafromPFRecursive.ps1 – Mit diesem Skript entfernen Sie ein Replikat von einem Server. MoveAllReplicas.ps1 – Mit diesem Befehl werden die Replikate aller öffentlichen Ordner von einem Server entfernt, auch die Systemordner (siehe nächster Abschnitt).
1
Aufrufen der Systemordner
2
Systemordner sind unter Exchange Server 2007 öffentliche Ordner, die von Exchange als Konfigurationscontainer verwendet werden. Um die Systemordner auf einem Exchange Server anzuzeigen, verwenden Sie den Befehl Get-PublicFolder -Identity \NON_IPM_SUBTREE -Recurse | Format-List Name (siehe Abbildung 7.15).
3 Abbildung 7.15: Anzeigen der Systemordner
4 5 6
7 8 9 Nach der Auswahl zeigt die Exchange-Verwaltungsshell die Systemordner an. Die Systemordner haben für Exchange eine wichtige Bedeutung, da viele Konfigurationen und Features von ihnen abhängen. Je nach Konfiguration Ihrer Exchange-Organisation befinden sich verschiedene Systemordner in Ihrem Verzeichnis. Die wichtigsten erläutere ich im folgenden Abschnitt:
10
■
11
■ ■
Der Systemordner EFORMS-Registry dient zur Ablage der globalen Formulare, die Sie mit Outlook erstellen können. Der Ordner OFFLINE ADDRESS BOOK erhält alle definierten Offline-Adressbücher. Auf diesen Ordner kann nicht direkt zugegriffen werden. Im Ordner SCHEDULE+ FREE BUSY werden die freien und die gebuchten Zeiten aller Empfänger gespeichert. Auf diesen Ordner wird von Outlook zugegriffen, wenn Benutzer freie Termine mit anderen Benutzern suchen. Vor allem bei der Planung von Besprechungsanfragen oder Terminen wird dieser Ordner häufig eingesetzt. Fällt dieser Ordner aus oder kann Outlook nicht zugreifen, erhalten die Benutzer eine Fehlermeldung, in der darauf hingewiesen wird, dass die Frei-/Gebucht-Zeiten nicht abgerufen werden können. Wollen Benutzer ohne Zugriff auf diesen Ordner die Frei-/Gebucht-Zeiten von anderen Benutzern abrufen, sehen Sie lediglich eine schraffierte Fläche. Oft wird der Systemordner SCHEDULE+ FREE BUSY bei einer Neuinstallation des Servers vergessen, vor allem wenn die Installation auf einem neuen Rechner stattfindet. Achten Sie rechtzeitig darauf, diesen Ordner replizieren zu lassen, damit er wirklich auch
12 13 14 15
393
Öffentliche Ordner
auf dem neuen Server ist, bevor Sie den alten Server abschalten. Die Replikation dieses Ordners ist vor allem sinnvoll, wenn Benutzer in anderen Routinggruppen auf Frei-/Gebucht-Zeiten zugreifen wollen. Liegt in jeder Routinggruppe ein Replikat, läuft der Zugriff viel schneller ab.
E-Mail-Aktivierung eines öffentlichen Ordners Über den Befehl enable-mailpublicfolder können Sie einen öffentlichen Ordner mit E-Mail aktivieren, mit dem Befehl disable-mailpublicfolder heben Sie die E-MailErreichbarkeit wieder auf. Dem öffentlichen Ordner wird, genau wie Ihren Benutzern, eine E-Mail-Adresse durch die E-Mail-Adressenrichtlinien zugeteilt. Sie können die E-Mail-Aktivierung eines öffentlichen Ordners widerrufen. Die E-Mail-Adresse des öffentlichen Ordners wird gelöscht und sein Eintrag aus den Adresslisten entfernt. Benutzer können weiterhin Nachrichten im öffentlichen Ordner mit Outlook oder einem anderen Client bereitstellen, der Ordner ist aber nicht mehr per E-Mail direkt erreichbar. Daten gehen bei der E-Mail-Deaktivierung nicht verloren. Standardmäßig darf jeder Benutzer E-Mails an diesen öffentlichen Ordner senden. Wollen Sie, dass ein öffentlicher Ordner E-Mails aus dem Internet erhalten soll, müssen Sie ihn zunächst für E-Mails aktivieren und Benutzern anonymen Zugriff gestatten. Entziehen Sie einem öffentlichen Ordner die Berechtigung, von anonymen Benutzern E-Mails zu empfangen, ist dieser Ordner nicht per E-Mail über das Internet erreichbar. E-Mail-Absender, die über das Internet E-Mails an Ihre Exchange-Organisation schicken, sind immer anonym.
Definieren der Grenzwerte für öffentliche Ordner Mit dem Befehl set-publicfolder werden die meisten Konfigurationen vorgenommen, um einen öffentlichen Ordner zu steuern. ■
■
Set-PublicFolder -Identity \ -UseDatabaseQuotaDefaults: $False – Mit dieser Option setzen Sie die standardmäßigen Grenzwerte für den öffentlichen Ordner zurück. Für alle anderen öffentlichen Ordner gelten die Grenzwerte noch. Set-PublicFolder -Identity \ -UseDatabaseQuotaDefaults: $True – Mit diesem Befehl werden für den öffentlichen Ordner die Standardwerte der Grenzwerte verwendet, die für die öffentliche OrdnerDatenbank gesetzt worden sind.
Die Grenzwerte für öffentliche Ordner auf einem Mailbox-Server werden in der Exchange-Verwaltungskonsole über Serverkonfiguration/Postfach gesetzt. Rufen Sie die Eigenschaften der Datenbank für öffentliche Ordner auf. Auf der Registerkarte Grenzwerte setzen Sie die Standardgrenzwerte für öffentliche Ordner in dieser Datenbank (siehe Abbildung 7.16). Haben Sie für einen öffentlichen Ordner die Standardgrenzwerte deaktiviert, kann dieser eine unbegrenzte Datenmenge enthalten. Sie können aber auch speziell für einzelne öffentliche Ordner festgeschriebene Grenzwerte setzen. Zunächst müssen Sie dazu die Standardgrenzwerte für den öffentlichen Ordner deaktivieren. Als Nächstes können Sie mit dem Befehl Set-PublicFolder -Identity \ -StorageQuota einen standardmäßigen Grenzwert setzen. 394
Öffentliche Ordner in der Exchange-Verwaltungskonsole verwalten
Abbildung 7.16: Konfiguration der Grenzwerte für öffentliche Ordner
1 2 3 4 5 6
Sie können die Option -StorageQuota allerdings nicht verwenden, wenn Sie den Befehl Set-PublicFolder -Identity \ -UseDatabaseQuotaDefaults: $True gesetzt haben, also der öffentliche Ordner für die Verwendung der Standardgrenzwerte konfiguriert wurde.
7.3
7
Öffentliche Ordner in der ExchangeVerwaltungskonsole verwalten
8
Wer das Service Pack 1 für Exchange Server 2007 installiert, kommt in den Genus der Öffentliche Ordner-Verwaltungskonsole, die in der Toolbox der Exchange-Verwaltungskonsole zur Verfügung gestellt wird. Über diese neue Konsole können öffentliche Ordner verwaltet und angelegt werden. Auch Replikation und Quotas können in der neuen Oberfläche konfiguriert werden.
9 10 Abbildung 7.17: Mit dem Service Pack 1 für Exchange Server 2007 wird auch eine Verwaltungskonsole für die öffentlichen Ordner integriert.
11 12 13 14 15
395
Inhalt 1 2 3 4 5
Benutzerverwaltung
6
Neben anderen administrativen Tätigkeiten ist die Verwaltung Ihrer Benutzer unter Exchange Server 2007 eine der wichtigsten Tätigkeiten. Schließlich dient die gesamte Administration dazu, dass Ihre Benutzer ständig uneingeschränkt und ohne Datenverlust arbeiten können. Zu Zeiten, in denen Exchange-Organisationen immer größeren und aufwendigeren Umstrukturierungen unterworfen sind, ist es wichtig, einen genauen Überblick über die Möglichkeiten und notwendigen Maßnahmen bei der Pflege Ihrer Benutzer zu behalten. Benutzer werden unter Exchange Server 2007 Empfänger genannt. Unter Exchange 5.5 wurden Empfänger noch getrennt von den Benutzern in einem eigenen Verzeichnis verwaltet.
7
8 9
Da Exchange-Empfänger und Windows-Benutzer allerdings zwangsläufig dasselbe sind, hat Microsoft die Pflege beider Benutzerklassen unter Exchange Server 2003 in das Active Directory integriert. In Exchange Server 2007 geht Microsoft wieder einen anderen Weg, auch wenn die Daten weiterhin im Active Directory liegen. Die Pflege der Exchange-Eigenschaften der Benutzer wird ausschließlich über die ExchangeVerwaltungskonsole und die Exchange-Verwaltungsshell vorgenommen, nicht mehr im Snap-In Active Directory-Benutzer und -Computer. Dadurch können Rechte für Exchange-Admins und Administratoren des Active Directory besser delegiert werden, da sich die Aufgaben nicht mehr überlappen.
10 11 12
Exchange-Postfächer sind Erweiterungen der Benutzereigenschaften und keine eigenständigen Objekte in einem eigenen Verzeichnis. Das heißt, dass alle Benutzerobjekte des Active Directory, die Exchange Server-2007-Erweiterungen benutzen, Empfänger sind. Exchange unterscheidet dabei zwischen verschiedenen Empfängerklassen. Das sind nicht nur Benutzer mit Exchange-Postfach, sondern auch Gruppen, Kontakte und natürlich auch öffentliche Ordner. Alle diese Empfängerobjekte haben verschiedene Eigenschaften und erfordern unterschiedlichen Administrationsaufwand.
13 14 15
397
Index
8
Benutzerverwaltung
Die Benutzerverwaltung im Active Directory ist unter Windows Server 2003 und Windows Server 2008 identisch. Aus diesem Grund habe ich nicht immer den neuen Windows-Server explizit erwähnt. Generell kann aber immer davon ausgegangen werden, dass Aufgaben, die unter Windows Server 2003 funktionieren, auch bei Windows Server 2008 möglich sind.
8.1
Einführung in die Benutzerverwaltung
Microsoft hat in Exchange Server 2007 in der Benutzerpflege einige Neuerungen und Verbesserungen eingebaut. Bei der Pflege der Benutzer fließen natürlich auch die Möglichkeiten von Exchange Server 2007 ein, wie zum Beispiel die Anbindung von Smartphones, Pocket-PCs oder Outlook über das Internet. In diesem Kapitel werden alle Aspekte der Benutzerpflege angesprochen, die Sie bei der täglichen Verwaltung der Benutzer benötigen, die Anbindung von mobilen Benutzern wird im Kapitel 9 behandelt. Die öffentlichen Ordner, die auch als Empfängerobjekte bezeichnet werden, wurden bereits in Kapitel 7 besprochen. Sie sollten sich mit diesen Kapiteln intensiv auseinandersetzen, da die Benutzerpflege eine sehr heikle Aufgabe eines Exchange-Administrators ist. Die Benutzer sind die Schnittstelle zwischen Ihnen und dem System. Ihre tägliche Arbeit mit Exchange Server 2007 widmet sich der Schaffung einer stabilen Arbeitsgrundlage für Ihre Benutzer. Die Benutzerpostfächer sind sicherlich das bedeutendste Empfängerobjekt in Exchange. Mithilfe dieser Postfächer kommunizieren Ihre Benutzer untereinander und mit Partnern, Lieferanten und Kunden außerhalb Ihrer Organisation. Postfächer bilden zudem die größte Anzahl aller Empfängerobjekte in Exchange Server 2007 und besitzen daher eine zentrale Funktion. Die anderen Objekte, wie Gruppen oder Kontakte, werden von den Benutzern dazu verwendet, ihre Aufgaben zu erfüllen, während in den Postfächern alle ihre Daten verwaltet werden. Die systemseitige Verwaltung der Postfächer wurde in den vorangegangenen Kapiteln bereits ausführlich durchleuchtet. Dieses Kapitel befasst sich daher ausführlich mit der Pflege der Benutzer im Active Directory.
INFO
Sie können die Exchange-Aufgaben für Benutzer ausschließlich auf Servern oder Workstations durchführen, nachdem auf diesem Rechner die Exchange-Systemverwaltungstools installiert wurden. Sind diese Tools nicht installiert, können Sie keine Exchange-spezifischen Aufgaben auf diesem Rechner durchführen. Die Exchange-Systemverwaltungstools lassen sich mithilfe des normalen Exchange Server-2007-Setups installieren (siehe Abbildung 8.1). Sie können diese Tools auf jedem Server oder Rechner der Domäne in der Gesamtstruktur installieren, auf dem Sie Exchange-Administrationsaufgaben durchführen. Es ist dabei nicht notwendig, dass auf diesem Rechner weitere Installationen vorgenommen werden, die Installation der Systemverwaltungstools reicht vollkommen aus. Sinnvoll kann es dagegen sein, das Adminpak von Windows Server 2003 zu installieren (auf jedem Windows-Server unter \Windows\System32\adminpak.msi zu finden), das alle Snap-Ins beinhaltet, die zur Verwaltung eines Windows-Servers verwendet werden. Nach der Installation dieser Tools können Sie auf diesem Rechner ebenfalls mit dem Snap-In Active Directory-Benutzer und -Computer alle notwendigen Administrationsaufgaben durchführen, allerdings keine Exchange-Konfigurationsmaßnahmen.
398
Einführung in die Benutzerverwaltung
Abbildung 8.1: Installation der ExchangeVerwaltungstools
1 2 3 4 5 6 7 Sie sollten zunächst die Ansicht der erweiterten Funktionen aktivieren. Erst dann werden alle Erweiterungen und alle Registerkarten in den Benutzerobjekten angezeigt. Die erweiterte Ansicht aktivieren Sie, indem Sie im Snap-In Active DirectoryBenutzer und -Computer über Ansicht/Erweiterte Funktionen gehen.
8 Abbildung 8.2: Aktivieren der erweiterten Ansicht
9 10 11 12 13 14
Um einen Benutzer zu verwalten, rufen Sie dessen Eigenschaften im Snap-In Active Directory-Benutzer und -Computer auf. Sie können dann auf zahlreichen Registerkarten notwendige Einstellungen vornehmen. Die entsprechenden Einstellungen für Exchange bespreche ich ebenfalls in diesem Kapitel. Um die Eigenschaften eines Benutzerobjekts im Active Directory aufzurufen, klicken Sie doppelt auf das jeweilige Objekt im Snap-In Active Directory-Benutzer und -Computer.
15
399
Benutzerverwaltung
Exchange unterscheidet allerdings nicht nur zwischen Benutzerpostfächern, Kontakten, Verteilerlisten und öffentlichen Ordnern, sondern auch bei den Benutzerpostfächern selbst wird noch einmal zwischen über Postfach aktivierten Benutzern und über E-Mail aktivierten Benutzern unterschieden. Postfach-aktivierte Benutzer sind Benutzer, deren Postfach innerhalb Ihrer Exchange-Organisation auf einem Exchange Server liegt, während E-Mail-aktivierte-Benutzer über kein Postfach verfügen, sondern lediglich über eine E-Mail-Adresse, die auf ein Postfach außerhalb Ihrer Organisation verweist. E-Mail-aktivierte Benutzer unterscheiden sich nicht sehr von Kontakten. Der einzige Unterschied besteht darin, dass E-Mail-(aktivierte-)Benutzer über ein Benutzerkonto innerhalb der Gesamtstruktur (Forest) verfügen und Kontakte nicht.
8.2
Erstellen von Postfächern
Postfächer werden auf Exchange Servern mit der Mailbox-Server-Rolle erstellt. Wollen Sie in der Exchange-Verwaltungskonsole ein neues Postfach erstellen, verbindet sich die Konsole mit dem entsprechenden Mailbox-Server am Active Directory-Standort.
8.2.1
Erstellen eines neuen Benutzers mit Postfach
Um ein neues Postfach für einen Anwender zu erstellen, klicken Sie in der ExchangeVerwaltungskonsole auf den Menüpunkt Empfängerkonfiguration (siehe Abbildung 8.3). Abbildung 8.3: Erstellen eines neuen Postfachs in der ExchangeVerwaltungskonsole
In größeren Organisationen können Sie über das Dialogfeld Filter erstellen einen Anzeigefilter definieren, damit nicht alle Empfänger der Organisation angezeigt werden. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich der Konsole, können Sie über die Option Die Anzahl der maximal anzuzeigenden Empfänger ändern die Ausgabe in der Konsole steuern. Klicken Sie den Menüpunkt Empfängerkonfiguration an, steht Ihnen im Aktionsbereich die Option Empfängerbereich ändern zur Verfügung (siehe Abbildung 8.4). Hierüber können Sie festlegen, von welcher Domäne die Empfänger angezeigt werden sollen. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich, und wählen Sie die Option Neues Postfach. Alternativ können Sie auch die entsprechende Option im Aktionsbereich auswählen (siehe Abbildung 8.4). 400
Erstellen von Postfächern
Abbildung 8.4: Ändern des Empfängerbereichs in der ExchangeVerwaltungskonsole
1 2 3 4 5
Im Anschluss startet der Assistent für die Erstellung von neuen Postfächern (siehe Abbildung 8.5). Hier können Sie zunächst auswählen, welche Art von Postfach Sie erstellen wollen. Sie können in diesem Assistenten entweder Postfächer für bereits existierende Benutzer im Active Directory erstellen oder ganz neue Benutzerkonten mit dazugehörigem Postfach. Ihnen stehen auf der Startseite des Assistenten vier verschiedene Möglichkeiten zur Verfügung: ■
6 7
Benutzerpostfach – Hierbei handelt es sich um ein ganz normales Benutzerpostfach. Im Gegensatz zu Exchange Server 2003 sollten Benutzerpostfächer nicht für die Planung von Ressourcen wie Besprechungsräume, Beamer, Firmenfahrzeuge etc. verwendet werden, sondern ausschließlich für die Empfänger in Ihrer Organisation. Für die Verwaltung von Ressourcen gibt es unter Exchange Server 2007 einen speziellen Empfängertyp.
8 9 Abbildung 8.5: Erstellen eines neuen Postfachs
10 11 12 13 14 15
401
Benutzerverwaltung
■
■
■
Raumpostfach – Bei Raumpostfächern handelt es sich um spezielle Postfächer, die Besprechungsräume darstellen. Arbeiten Ihre Anwender mit Outlook 2007 und planen Besprechungen, ist die Einladung in einen Besprechungsraum ein eigener Bereich (siehe Abbildung 8.6). Gerätepostfach – Gerätepostfächer sind im Gegensatz zu Raumpostfächern nicht dazu verwendbar, Besprechungsräume zu verwalten. Gerätepostfächer sind ausschließlich zur Verwaltung anderer Ressourcen bestimmt, wie zum Beispiel Beamer, Firmenfahrzeuge und alle Arten von Geräten, die Sie innerhalb der Organisation verwalten wollen. Verknüpftes Postfach – Ein verknüpftes Postfach verbindet ein Postfach innerhalb Ihrer Exchange-Organisation mit einem Benutzerkonto außerhalb Ihrer Gesamtstruktur.
Abbildung 8.6: Planen von Besprechungen in Outlook 2007
In diesem Abschnitt wird zunächst die Erstellung von neuen Benutzerpostfächern besprochen. Wählen Sie daher zunächst die Option Benutzerpostfach aus. Legen Sie ein Gerätepostfach oder ein Raumpostfach an, wird ein dazugehöriges Benutzerkonto angelegt. Das Konto wird allerdings deaktiviert, da dieses nicht für die Anmeldung an einem PC verwendet werden soll (siehe Abbildung 8.7).
402
Erstellen von Postfächern
Abbildung 8.7: Anzeigen von Benutzerkonten für Raumpostfächer und Gerätepostfächer
1 2 3 4 5
Auf der nächsten Seite des Assistenten können Sie auswählen, ob Sie ein neues Benutzerkonto erstellen wollen, das mit dem Postfach gleich verknüpft wird, oder ob Sie ein bereits vorhandenes Konto für die Verbindung verwenden wollen (siehe Abbildung 8.8). Jedem Benutzerkonto kann nur ein einzelnes Postfach zugewiesen werden, und jedes Postfach muss einem einzelnen Benutzerkonto zugewiesen sein.
6 7 Abbildung 8.8: Erstellen eines neuen Benutzerkontos mit Postfach
8 9 10 11 12 13 14 15
403
Benutzerverwaltung
Erstellen Sie ein neues Benutzerkonto mit Postfach, können Sie auf der nächsten Seite die entsprechenden Informationen für das Anlegen eines neuen Benutzers angeben.
TIPP
Durch die Installation von Service Pack 1 für Exchange Server 2007 können für mehrere Benutzer gleichzeitig neue Postfächer angelegt werden. Wurden zum Beispiel in der Konsole Active Directory-Benutzer und -Computer oder per Skript neue Anwender in der Domäne angelegt, kann über den Assistenten zum Erstellen von neuen Postfächern jeder Benutzer oder auch alle Benutzer auf einmal ausgewählt werden, um neue Postfächer zu erstellen. Beim Abschluss des Assistenten erstellt Exchange automatisch für jeden ausgewählten Anwender ein neues Postfach. Über die Schaltfläche Durchsuchen können Sie die Domäne und Organisationseinheit auswählen, in der das Benutzerkonto angelegt werden soll (siehe Abbildung 8.9).
Abbildung 8.9: Konfiguration der Benutzerdaten und Auswahl der OU für das Anlegen des Benutzerkontos
Auf der nächsten Seite legen Sie den Alias fest sowie den Exchange Server, die Speichergruppe und die Postfachdatenbank, in der das Postfach angelegt werden soll. Sie können hier nur Exchange Server auswählen, auf denen die Funktion Mailbox-Server installiert ist (siehe Abbildung 8.10). Der Alias ist die Bezeichnung der E-MailAdresse vor der Domäne, [email protected] zum Beispiel. Haben Sie eine E-Mail-Adressenrichtlinie definiert, wird der Alias durch die Richtlinie definiert, egal welche Einstellungen Sie hier vornehmen. Standardmäßig definiert Exchange jedoch nur die E Mail-Adresse nach dem @-Zeichen, nicht den Alias. Erstellen Sie möglichst früh Ihre Richtlinie. Richtlinien werden allerdings immer angewendet. Es spielt dabei keine Rolle, ob Sie bereits viele Benutzer angelegt haben. Wird in der Richtlinie die Änderung oder Ergänzung einer E-Mail-Adresse konfiguriert, wird diese Änderung auf alle neuen und vorhandenen Benutzer angewendet. Hier können Sie auch eine entsprechende Postfachrichtlinie oder Exchange ActiveSync-Richtlinie auswählen. Postfachrichtlinien werden später in diesem Kapitel noch besprochen, Exchange-ActiveSync-Richtlinien werden in Kapitel 9 besprochen. 404
Erstellen von Postfächern
Abbildung 8.10: Auswahl der Datenbank
1 2 3 4 5 6 7 In dem nächsten Fenster erhalten Sie eine Zusammenfassung Ihrer Eingaben. Klicken Sie auf Neu, erscheint das Fenster zur Fertigstellung des Postfachs (siehe Abbildung 8.11).
8 Abbildung 8.11: Zusammenfassung der Benutzerdaten für das neue Postfach
9 10 11 12 13 14 15
405
Benutzerverwaltung
Wurde das Postfach erstellt, wird Ihnen zum Abschluss auch der entsprechende Befehl für die Exchange-Verwaltungsshell angezeigt. Sie können wie immer zum Abschluss eines Assistenten mit der Tastenkombination (STRG) + (C) den Inhalt in die Zwischenablage kopieren und aus dem Befehl eine Batchdatei bauen, mit der Sie mehrere Benutzerkonten anlegen können. Abbildung 8.12: Fertigstellen der Erstellung eines Postfachs
Das Postfach wird im Anschluss in der Exchange-Verwaltungskonsole angezeigt und ist sofort verfügbar. Es ist nicht mehr notwendig, mehrere Minuten zu warten, bis der Recipient Update Service (RUS) das Postfach angebunden hat. Unter Exchange Server 2003 wurden E-Mail-Adressen noch über den Empfängeraktualisierungsdienst verteilt. Der Empfängeraktualisierungsdienst (Recipient Update Service, RUS) dient mithilfe der definierten Empfängerrichtlinien (Recipient Policies) unter Exchange Server 2003 dazu, Benutzer an Exchange anzubinden und sie mit E-MailAdressen zu versorgen. Der RUS ist eine der häufigsten Fehlerquellen bei Exchange 2003-Installationen und bedarf äußerster Aufmerksamkeit. Aus diesem Grund wurde der Dienst bei Exchange Server 2007 gestrichen. Der RUS verteilt die E-MailAdressen, die Sie in den Empfängerrichtlinien definieren, an die Benutzer. Er schreibt in das Benutzerobjekt im Active Directory. Ohne E-Mail-Adresse kann ein Benutzer weder E-Mails empfangen noch versenden. Microsoft hat diesen Prozess unter Exchange Server 2007 deutlich überarbeitet. Sobald ein neues Benutzerkonto angelegt ist, erhält dieses automatisch sofort die notwendigen Exchange-Einstellungen, Sie müssen keine fünf Minuten für die Anbindung warten. Ein Dienst wie der RUS, der nachträglich E-Mail-Adressen verteilt, wird dadurch nicht mehr benötigt. Die hauptsächliche Tätigkeit des RUS wurde jetzt direkt in das CMDlet der E-Mail-Adressen-Richtlinie integriert, er ist kein unabhängiger Prozess mehr. Sobald eine Richtlinie angewendet wird, werden die Adressen verteilt, es ist kein asynchroner Prozess wie RUS mehr notwendig. 406
Erstellen von Postfächern
Abbildung 8.13: Anzeigen eines neuen Benutzerpostfachs in der Exchange-Verwaltungskonsole
1 2 3 4
Da es auf einem Exchange 2007-Server keinen RUS mehr als eigenständigen Dienst gibt, sollten Sie in einer gemischten Exchange 2003/2007-Organisation aufseiten von Exchange Server 2003 in der Konfiguration des RUS keinen Exchange 2007-Server eintragen, da ansonsten RUS in der Organisation nicht mehr funktioniert.
5 INFO
6
In gemischten Exchange 2003/2007-Organisationen wird weiterhin der RUS benötigt, auch in Domänen, die nur Exchange 2007-Server enthalten. Allerdings darf der RUS nur Exchange 2003-Server verwenden.
7
8
Setzen Sie in einer Umgebung den MIIS ein (siehe Kapitel 4), erwartet dieser, dass angelegte Objekte durch den RUS gestempelt werden. Lassen Sie in diesem Fall in regelmäßigen Abständen die beiden CMDlets Update-EmailAddressPolicy und Update-AddressList durchlaufen, damit die MIIS-Objekte gestempelt werden.
9
Beachten der sicheren Kennwörter im Active Directory Achten Sie beim Erstellen von neuen Postfächern und den dazugehörigen neuen Benutzerkonten darauf, dass Sie bereits standardmäßig in einem Windows Server 2003 R2-Active Directory sichere Kennwörter vergeben müssen. Diese Kennwörter sind in einer Richtlinie hinterlegt.
10 11
Wählen Sie beim Anlegen eines neuen Postfach ein nicht geeignetes Kennwort aus, schlägt die Erstellung des Postfachs mit einer Fehlermeldung fehl (siehe Abbildung 8.14).
12
Schlägt die Erstellung eines Postfachs fehl, erhalten Sie nicht zwingend eine passende Fehlermeldung, wie Sie sie in Abbildung 8.14 sehen können. Überprüfen Sie in diesem Fall, ob die Kennwortrichtlinie korrekt gesetzt wurde.
13
Das optimale Werkzeug für die Verwaltung und Dokumentation von Gruppenrichtlinien ist die Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console, GPMC). Sie integriert den bisherigen Gruppenrichtlinien-Editor und kann von Microsoft kostenlos heruntergeladen werden. Um die GPMC herunterzuladen, geben Sie am besten in Google die Bezeichnung gpmc.msi ein. Eines der ersten Ergebnisse ist die Download-Seite der aktuellen Version mit Service Pack 1. Haben Sie die GPMC von Microsoft heruntergeladen, können Sie diese auf einem Domänencontroller oder einer Verwaltungsarbeitsstation installieren.
14 15
407
Benutzerverwaltung
Abbildung 8.14: Fehlermeldung beim Erstellen eines neuen Postfachs
Die Installation ist nach wenigen Sekunden abgeschlossen, und die GPMC steht Ihnen zur Verfügung. Nach der Installation kann die Gruppenrichtlinienverwaltung im Menü Verwaltung gestartet werden. Der Gruppenrichtlinien-Editor kann nur noch über die GPMC und nicht mehr über andere Schnittstellen, wie Active Directory-Benutzer und -Computer, aufgerufen werden Nach der Erstellung eines Active Directory gibt es bereits zwei Gruppenrichtlinienobjekte: ■
Default Domain Controllers Policy – Diese GPO ist mit dem Container Domain Controllers verknüpft. In dieser Richtlinie werden spezielle Einstellungen vorgegeben, die für Domänencontroller notwendig sind. Aus diesem Grund sollten Sie auch keine Domänencontroller aus dem Container Domain Controllers in eine andere OU verschieben. ■ Default Domain Policy – In dieser Richtlinie werden spezielle Einstellungen für die ganze Domäne gesetzt. Diese Richtlinie ist mit dem Domänenobjekt verknüpft und hat daher für alle OUs in der Domäne Gültigkeit. Hier werden auch die Einstellungen für Kennwörter vorgenommen. Öffnen Sie die Bearbeitung dieser Richtlinie (siehe Abbildung 8.15). Um die Richtlinie für Kennwörter zu definieren, navigieren Sie zu den Einstellungen der Kennwörter unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien (siehe Abbildung 8.16).
408
Erstellen von Postfächern
Abbildung 8.15: Anzeigen der standardmäßigen Gruppenrichtlinien im Active Directory
1 2 3 4
Abbildung 8.16: Anzeigen der Kennwortrichtlinien im Gruppenrichtlinienobjekt-Editor
5 6 7
8 9 10 Hier finden Sie verschiedene Einstellungen, welche die Erstellung von neuen Benutzerkonten mit dazugehörigem Postfach beeinflussen: ■
■
11
Kennwort muss Komplexitätsvoraussetzungen entsprechen – Bei dieser Option muss das Kennwort mindestens sechs Zeichen lang sein. Das Kennwort darf maximal zwei Zeichen enthalten, die auch in der Zeichenfolge des Benutzernamens vorkommen. Außerdem müssen drei der fünf Kriterien von komplexen Kennwörtern erfüllt sein. Microsoft empfiehlt, diese Einstellung zu aktivieren: ■ Großbuchstaben (A–Z) ■
Kleingeschriebene Buchstaben (a–z)
■
Ziffern (0–9)
■
Sonderzeichen (zum Beispiel !, &/, %)
■
Unicodezeichen (€, @, ®)
12 13 14 15
Kennwortchronik erzwingen – Hier können Sie festlegen, wie viele Kennwörter im Active Directory gespeichert werden sollen, die bisher bereits durch einen Anwender verwendet wurden. Setzen Sie diese Option wie empfohlen auf 24, darf sich ein Kennwort erst nach 24 Änderungen wiederholen. 409
Benutzerverwaltung
■
■
■ ■
Kennwörter mit umkehrbarer Verschlüsselung speichern – Bei dieser Option werden die Kennwörter so gespeichert, dass die Administratoren sie auslesen können. Diese Option sollte nur verwendet werden, wenn bestimmte Applikationen für Single-Sign-On das benötigen. Ansonsten sollten Sie diese Option deaktivieren. Dazu müssen Sie die Richtlinieneinstellung definieren und diese auf Deaktiviert setzen. Maximales Kennwortalter – Hier legen Sie fest, wie lange ein Kennwort gültig bleibt, bis der Anwender es selbst ändern muss. Microsoft empfiehlt, Kennwörter für 42 Tage zu verwenden und erst danach eine Änderung durchzuführen. Minimale Kennwortlänge – Hier wird festgelegt, wie viele Zeichen ein Kennwort mindestens enthalten muss. Dafür wird ein Wert von acht Zeichen empfohlen. Minimales Kennwortalter – Hier wird festgelegt, wann ein Kennwort frühestens geändert werden darf, also wie lange es mindestens aktuell sein muss. Diese Option ist zusammen mit der Kennwortchronik sinnvoll, damit die Anwender das Kennwort nicht so oft ändern, dass sie wieder ihr altes verwenden können. Microsoft empfiehlt an dieser Stelle einen Wert von 2.
8.2.2
Erstellen eines Postfachs für einen bereits existierenden Benutzer
Sie können auch nachträglich einem bereits bestehenden Benutzerkonto ein Postfach zuweisen. Es besteht zum Beispiel die Möglichkeit, einem E-Mail-aktivierten Benutzer (siehe später in diesem Kapitel) ein Postfach in der Exchange-Organisation zuzuweisen. Dazu wird dem E-Mail-aktivierten Benutzer die externe E-Mail-Adresse entfernt (siehe weiter hinten in diesem Kapitel). Im Anschluss können Sie in der Exchange-Verwaltungskonsole für diesen Benutzer ein Postfach erstellen. Alternativ können Sie auch ein Postfach für ein Benutzerkonto erstellen, das noch über kein Postfach verfügt, weil dieses zum Beispiel im Snap-In Active DirectoryBenutzer und -Computer angelegt wurde und hier keine Exchange-Aufgaben mehr durchgeführt werden können. Gehen Sie dazu folgendermaßen vor:
1. Öffnen Sie die Exchange-Verwaltungskonsole. 2. Klicken Sie auf den Menüpunkt Empfängerkonfiguration. 3. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich der Konsole, und wählen Sie die Option Neues Postfach. Es öffnet sich der Assistent zum Erstellen von Postfächern. Abbildung 8.17: Erstellen eines neuen Postfachs
410
Erstellen von Postfächern
4. Wählen Sie auf der Startseite des Assistenten die Option Benutzerpostfach. 5. Auf der nächsten Seite des Assistenten wählen Sie die Option Vorhandener Benutzer und klicken auf Durchsuchen (siehe Abbildung 8.18).
6. Die restlichen Fenster sind identisch mit der Erstellung von neuen Benutzerkon-
1
ten mit Postfach. Schließen Sie die Erstellung des Postfachs ab. Auch hier müssen Sie nicht warten, sofort nach der Erstellung des Postfachs ist der Benutzer angebunden.
2 Abbildung 8.18: Erstellen eines neuen Postfachs für einen existierenden Benutzer
3 4 5 6 7
8 8.2.3
Erstellen und Verwalten von Raum- und Gerätepostfächern
9
Legen Sie ein Gerätepostfach oder ein Raumpostfach an, wird ein dazugehöriges Benutzerkonto angelegt. Das Konto wird allerdings deaktiviert, da dieses nicht für die Anmeldung an einem PC verwendet werden soll.
10
Unter Exchange Server 2007 sollten Sie Besprechungsräume immer als Raumpostfach anlegen, da diese in Outlook 2007 gesondert dargestellt werden. Auch Gerätepostfächer sollten separat angelegt werden. Der Vorgang ist grundsätzlich identisch mit dem Anlegen von neuen Benutzerpostfächern, mit dem Unterschied, dass Sie beim Anlegen eines neuen Raum- oder Gerätepostfachs im Assistenten die entsprechende Option auswählen (siehe Abbildung 8.19).
11 12 13
Automatisches Buchen eines Ressourcenpostfachs Nach der Erstellung des Ressourcenpostfachs wird dieses in der Exchange-Verwaltungskonsole angezeigt. Das referenzierte Benutzerkonto wird im Active Directory abgelegt und deaktiviert, sodass keine Anmeldung mit diesem Benutzerkonto möglich ist.
14 15
411
Benutzerverwaltung
Ressourcenpostfächer werden in Outlook-Besprechungsanfragen eingeladen. Sie können für die Ressourcenpostfächer automatisches Buchen aktivieren. In diesem Fall akzeptiert das Postfach automatisch die Anfrage, wenn zum definierten Zeitpunkt nicht bereits eine Reservierung vorliegt. In diesem Fall verwaltet sich die Ressource vollständig selbst. Abbildung 8.19: Erstellen von neuen Ressourcenpostfächern in Exchange Server 2007
Um diese Funktion zu aktivieren, benötigen Sie die Exchange-Verwaltungsshell. In der Exchange-Verwaltungskonsole kann diese Funktion nicht aktiviert werden: Geben Sie in der Exchange-Verwaltungsshell den Befehl Set-MailboxCalendarSettings -AutomateProcessing:AutoAccept ein (siehe Abbildung 8.20). Nach der Eingabe des Befehls erhalten Sie keinerlei Rückmeldungen. Abbildung 8.20: Aktivieren des automatischen Buchens eines Ressourcenpostfachs
Geben Sie in der Exchange-Verwaltungsshell den Befehl Set-MailboxCalendarSettings -AutomateProcessing:None ein, um die Funktion zu deaktivieren. Planen Sie in Outlook 2007 über Neu/Besprechungsanfrage ein neues Meeting, können Sie diese Funktion gleich testen (siehe Abbildung 8.21). Haben Sie die Besprechungsanfrage gestartet, gehen Sie grundsätzlich so vor wie unter Exchange/Outlook 2000/2003. Sie fügen zunächst die Teilnehmer hinzu und stellen sicher, dass diese zu diesem Zeitpunkt noch keinen Termin im Kalender eingetragen haben. Klicken Sie dazu in der Konfiguration der Besprechungsanfrage auf Terminplanungs-Assistent (siehe Abbildung 8.22).
412
Erstellen von Postfächern
Abbildung 8.21: Planen einer Besprechung in Outlook 2007
1 2 3 4 5 6
Abbildung 8.22: Planen einer Besprechung in Outlook 2007
7
8 9 10 11 12 13 14
Sie können im Feld für die Teilnehmer alle Empfänger eintragen, die Sie zur Besprechung einladen wollen. Als Nächstes klicken Sie auf die Schaltfläche Räume hinzufügen. Es öffnet sich ein neues Fenster, und Sie können in den Besprechungsraum einladen, in dem Sie das Meeting durchführen wollen.
15
413
Benutzerverwaltung
Haben Sie in den Raum eingeladen, erscheint dieser bei den Teilnehmern als eigenes Symbol. Klicken Sie auf die Schaltfläche Senden, wird die Anfrage als E-Mail den Anwendern zugestellt. Achten Sie aber darauf, zuvor noch einen Betreff für die Besprechung anzugeben, da Sie sonst noch eine Fehlermeldung erhalten. Abbildung 8.23: Senden der Besprechungsanfrage
Haben Sie die Autobuchen-Funktion für den Besprechungsraum aktiviert, erhalten Sie nach kurzer Zeit eine Zusage, und der Termin wird im Kalender des Besprechungsraumes blockiert (siehe Abbildung 8.24). Wurde zu dem gebuchten Termin bereits ein anderer Termin eingetragen, erhalten Sie für den Raum automatisch eine Absage. Abbildung 8.24: Automatisches Buchen eines Besprechungsraumes
414
Erstellen von Postfächern
Anpassen des Antworttextes für das automatische Buchen Sie können den Antworttext der E-Mails für das automatische Buchen in der Exchange-Verwaltungsshell bearbeiten. Verwenden Sie zur Bearbeitung des Textes den Befehl Set-MailboxCalendarSettings -Identity Ressourcenpostfach -AddAdditionalResponse:$true -AdditionalResponse: (siehe Abbildung 8.25).
1 Abbildung 8.25: Konfiguration eines zusätzlichen Textes für die automatischen AntwortE-Mails einer Ressource
2 3 4
Der Text wird in den Antworten integriert. Dadurch können Sie wichtige Informationen automatisch den Empfängern zukommen lassen, ohne mit großen Programmierkenntnissen eigene Programme und Prozesse zu erstellen.
5 Abbildung 8.26: Anzeigen des benutzerdefinierten Textes eines Besprechungsraumes
6 7
8 9 10 11 12 Festlegen von Richtlinien für Ressourcenpostfächer
13
Sie können mit dem Befehl set-mailboxcalendarsettings in der Exchange-Verwaltungsshell zahlreiche Funktionen für Ressourcenpostfächer voreinstellen. Für die verschiedenen Funktionen stellt Microsoft Optionen zur Verfügung, die Sie zusammen mit dem Befehl verwenden können. Die wichtigsten Optionen habe ich im folgenden Abschnitt aufgelistet. Die Bedeutung der Befehle wird schon aus der Option erkennbar: ■ ■ ■
Delegieren von Berechtigungen für Ressourcenpostfächer Wollen Sie nicht die Autobuchen-Funktion verwenden, können Sie die Verwaltung eines Ressourcenpostfachs auch delegieren. In diesem Fall erteilen Sie einem anderen Empfänger Vollzugriff auf das Postfach der Ressource, und dieser Empfänger kann stellvertretend den Besprechungsraum verwalten. Auch diese Aufgabe können Sie nicht in der Exchange-Verwaltungskonsole durchführen, sondern benötigen wieder die Exchange-Verwaltungsshell und den Befehl Add-MailboxPermission. Geben Sie den Befehl Add-MailboxPermission -AccessRights FullAccess -Identity -User (siehe Abbildung 8.27). Haben Sie den Befehl eingegeben, erhalten Sie eine entsprechende Meldung, die Sie darauf hinweist, welcher Benutzer jetzt die Ressource verwalten darf. Geben Sie den Befehl Add-MailboxPermission -AccessRights None -Identity -User ein, um die Berechtigungen wieder zu entfernen. Abbildung 8.27: Delegieren von Berechtigungen für ein Ressourcenpostfach
Einrichten eines zusätzlichen Postfachs in Outlook 2007 Als nächster Schritt ist es sinnvoll, wenn sich der entsprechende Benutzer das Postfach der Ressource in seinem Outlook als zusätzliches Postfach einrichtet (siehe Abbildung 8.28).
416
Erstellen von Postfächern
Abbildung 8.28: Hinzufügen eines zusätzlichen Postfachs
1 2 3 4 5 6 In diesem Fall erhält der Anwender alle E-Mails, die zu dieser Ressource gesendet werden, und kann in Vertretung darauf antworten. Um ein zusätzliches Postfach hinzuzufügen, gehen Sie in Outlook folgendermaßen vor:
1.
7
Öffnen Sie Outlook, und klicken Sie auf Extras/Kontoeinstellungen (siehe Abbildung 8.29).
8 Abbildung 8.29: Kontoeinstellungen in Outlook 2007
9 10 11 12 13 14 15
2.
Im Anschluss öffnet sich das neue Fenster, in dem Sie die Einstellungen des aktuellen Kontos anpassen können (siehe Abbildung 8.30).
417
Benutzerverwaltung
3. Markieren Sie das Exchange-Konto, und klicken Sie auf die Schaltfläche Ändern, um die entsprechenden Einstellungen anzupassen.
4. Klicken Sie auf dem folgenden Fenster auf Weitere Einstellungen (siehe Abbildung 8.31). Abbildung 8.30: Anpassen eines Outlook-Kontos
Abbildung 8.31: Anpassen der OutlookEinstellungen
5. Öffnen Sie die Registerkarte Erweitert, und klicken Sie auf Hinzufügen (siehe Abbildung 8.32). Geben Sie die Bezeichnung des Postfachs ein, das Sie zu Outlook hinzufügen wollen.
418
Verwalten von Benutzerpostfächern
Abbildung 8.32: Hinzufügen eines zusätzlichenPostfachs
1 2 3 4 5 6 6. Im Anschluss sehen Sie das Postfach in Outlook und können Besprechungsanfragen manuell zusagen oder ablehnen (siehe Abbildung 8.33).
7 Abbildung 8.33: Besprechungsanfragen für ein Ressourcenpostfach manuell bearbeiten
8 9 10 11 12 13
8.3
14
Verwalten von Benutzerpostfächern
Sie können die Exchange-Eigenschaften von Benutzern nur noch in der ExchangeVerwaltungskonsole und der Exchange-Verwaltungsshell vornehmen. Eine Verwaltung der Exchange-Aufgaben im Snap-In Active Directory-Benutzer und -Computer ist nicht mehr möglich.
15
419
Benutzerverwaltung
8.3.1
Anwendern Zugriff auf andere Postfächer erteilen
Um Anwendern Zugriff auf andere Postfächer zu erteilen, verwenden Sie die ExchangeVerwaltungsshell. Geben Sie den Befehl Add-MailboxPermission -identity -User -AccessRights FullAccess ein, um dem Anwender volle Zugriffsrechte für das andere Postfach zu erteilen (siehe Abbildung 8.34). Abbildung 8.34: Erteilen von Postfachberechtigungen für andere Benutzer
Neben der Verwaltungsshell können Berechtigungen auch in der Exchange-Verwaltungskonsole konfiguriert werden, wenn das Service Pack 1 für Exchange Server 2007 installiert wird. Nach der Installation stehen im Kontextmenü der Anwender unter Empfängerkonfiguration in der Exchange-Verwaltungskonsole weitere Optionen zur Verfügung, darunter die Konfiguration der Berechtigungen.
8.3.2
Verwalten der allgemeinen Einstellungen für ein Postfach
Um die Exchange-Attribute eines Empfängers zu verwalten, rufen Sie in der Exchange-Verwaltungskonsole über die rechte Maustaste die Eigenschaften auf. Ihnen stehen verschiedene Registerkarten zur Verfügung. Abbildung 8.35: Verwalten der ExchangeAufgaben eines Anwenders
420
Verwalten von Benutzerpostfächern
Auf der Registerkarte Allgemein werden Ihnen Informationen über die Organisationseinheit, den Zeitpunkt der letzten Anmeldung, die Gesamtzahl aller Elemente im Postfach, die Größe des Postfachs sowie die Datenbank und der Mailbox-Server angezeigt. Sie sehen hier keine allgemeinen Informationen, die sonst den Anwender betreffen, diese werden weiterhin im Snap-In Active Directory-Benutzer und -Computer gepflegt.
1
Unter Benutzerdefinierte Attribute können Sie spezielle Eigenschaften definieren, die Sie sonst auf keiner Registerkarte vorfinden. Diese Attribute können Sie zum Beispiel dafür verwenden, spezielle Filter für Verteilerlisten, E-Mail-Adressenrichtlinien und Adressbücher zu erstellen.
2 3
Aktivieren Sie die Option Nicht in Exchange-Adresslisten anzeigen, erscheint das Benutzerkonto nicht in den allgemeinen Adresslisten auf dem Exchange Server und in Outlook, kann aber trotzdem E-Mails empfangen.
4
Auf der Registerkarte Benutzerinformationen werden nur Informationen über Benutzernamen sowie den Anzeigenamen aufgelistet. Hier können Sie Änderungen vornehmen, wenn der Name anders in den Adresslisten angezeigt werden soll.
5 Abbildung 8.36: Anzeigen des globalen Adressbuches in Outlook 2007
6 7
8 9 10 11 12 13 Weitere Informationen über den Benutzer können Sie auf der Registerkarte Adresse und Telefonnummer pflegen.
14
Auch auf der Registerkarte Organisation geben Sie eher allgemeine Informationen an. Zusätzlich können Sie hier den direkten Vorgesetzten des Empfängers aus dem Adressbuch auswählen (siehe Abbildung 8.37).
15
Im Feld Direkt unterstellt werden die Empfänger angezeigt, die ihrerseits den gerade verwalteten Empfänger als Vorgesetzten eingetragen haben.
421
Benutzerverwaltung
Abbildung 8.37: Verwalten der Organisation im Unternehmen
Auf der Registerkarte Nachrichtenübermittlungseinstellungen können Sie verschiedene Grenzwerte für den Empfänger einstellen. Sie können eine der Optionen auswählen, die auf dieser Registerkarte angezeigt werden, und über die Schaltfläche Eigenschaften diese Einstellungen anpassen (siehe Abbildung 8.38). Über diese Option können Sie einstellen, ob andere Empfänger in der Organisation im Auftrag dieses Benutzers E-Mails senden dürfen (siehe Abbildung 8.39). Diese Option verwenden zum Beispiel oft Vorgesetzte für ihre Sekretärin, oder sie wird für Besprechungsräume genutzt, die von bestimmten Benutzern verwaltet werden. Zusätzlich können Sie hier definieren, dass E-Mails, die an diese Adresse gesendet werden, zu einer anderen Adresse (auch einer externen) weitergeleitet werden. Sie können als Weiterleitungsadresse allerdings keine E-Mail-Adresse eingeben, sondern nur Objekte aus dem Active Directory verwenden. Wollen Sie eine Weiterleitung zu einer externen E-Mail-Adresse konfigurieren, müssen Sie vorher einen Kontakt anlegen, der auf diese E Mail-Adresse verweist. Außerdem können Sie hier festlegen, zu wie vielen Empfängern gleichzeitig dieser Benutzer eine E-Mail senden darf. Bei einer sehr großen Organisation mit mehreren Tausend Benutzern kann eine solche Einschränkung hilfreich sein.
422
Verwalten von Benutzerpostfächern
Abbildung 8.38: Nachrichtenübermittlungseinstellungen für ein Benutzerkonto
1 2 3 4 5 6 7
Abbildung 8.39: Konfiguration der Übermittlungsoptionen
8 9 10 11 12 13 14
Wird einem Anwender das Recht erteilt, im Auftrag eines anderen Empfängers E-Mails zu senden, kann dieser in Outlook beim Schreiben einer neuen E-Mail neben den Standardfeldern auch das Von-Feld einblenden. In diesem Feld kann der Absender den Empfänger auswählen, in dessen Auftrag er eine E-Mail schreiben soll.
15
423
Benutzerverwaltung
In Outlook 2007 können Sie das Von-Feld und auch das BCC-Feld aktivieren, in dem Sie eine neue Nachricht erstellen. Wechseln Sie zum Menü Optionen, und aktivieren Sie über die Schaltfläche Felder das Feld, das zusätzlich angezeigt werden soll (siehe Abbildung 8.40). Abbildung 8.40: Anzeigen des Von-Feldes
Im Anschluss können Sie auswählen, in welchem Auftrag Sie eine E-Mail schreiben wollen, wenn Sie Rechte für das entsprechende Postfach haben (siehe Abbildung 8.41). Abbildung 8.41: Senden im Auftrag eines anderen Empfängers
Über die Optionen zur Einschränkung der Nachrichtengröße können Sie definieren, wie groß empfangene und gesendete Nachrichten dieses Empfängers sein dürfen (siehe Abbildung 8.42). Sie können definieren, wie groß die Nachrichten sein dürfen, die dieser Benutzer verschickt oder empfängt. Überschreitet eine empfangene E-Mail diese Größe, erhält der Absender einen entsprechenden Nichtzustellbarkeitsbericht (NDR). Sie sollten mit dieser Einstellung sehr sorgfältig umgehen, da durch diese Konfiguration manche E-Mails nicht an diesen Benutzer verschickt werden können oder der Benutzer bestimmte E-Mails nicht absenden kann.
424
Verwalten von Benutzerpostfächern
Abbildung 8.42: Festlegen der Nachrichtengröße für ein Benutzerpostfach
1 2 3 4 5 6 7 Will ein Empfänger eine Nachricht versenden, welche die hier definierte Größe überschreitet, verweigert der Exchange Server bereits in Outlook 2007 die Annahme, und der Anwender bekommt eine entsprechende Fehlermeldung beim Senden (siehe Abbildung 8.43).
8 Abbildung 8.43: Fehlermeldung beim Senden von zu großen Nachrichten
9 10 11 12 13 14 15
Wird der Grenzwert für empfangene Nachrichten überschritten, erhält der Absender einen entsprechenden NDR (siehe Abbildung 8.44). 425
Benutzerverwaltung
Abbildung 8.44: Fehlermeldung, die ein Absender erhält, wenn die Nachricht größer als der Grenzwert für den Empfänger ist
Über die Option Einschränkungen für die Nachrichtenübermittlung können Sie festlegen, von welchen anderen Empfängern dieser Empfänger überhaupt Nachrichten empfangen darf und von welchen nicht (siehe Abbildung 8.45). Sie können diese Optionen allerdings nicht für den Spamschutz verwenden (siehe Kapitel 13), sondern ausschließlich, um interne Nachrichten zu blockieren, vor allem bei größeren Unternehmen, um Geschäftsführer oder Vorstände abzuschotten. Wollen Sie Nachrichten von externen Empfängern über diese Funktion blockieren, müssen Sie die entsprechenden Kontakte zunächst im Active Directory anlegen. Erst dann können Sie diese Adresse auswählen. Versucht ein blockierter Anwender, eine E-Mail zuzustellen, erhält dieser einen entsprechenden Nichtzustellbarkeitsbericht (siehe Abbildung 8.45). Abbildung 8.45: Nichtzustellbarkeitsbericht bei der Sendeverweigerung
426
Verwalten von Benutzerpostfächern
Sie können zudem auswählen, dass nur authentifizierte Benutzer, das heißt, Benutzer innerhalb der Exchange-Organisation, E-Mails an diesen Benutzer versenden dürfen. Das heißt, bei Aktivierung dieser Option werden diesem Benutzer keine E-Mails aus dem Internet zugestellt.
1 Abbildung 8.46: Konfiguration der Einschränkungen für die Nachrichtenübermittlung
2 3 4 5 6 7
8 8.3.4
Verwalten der Postfachfeatures
9
Über die Registerkarte Postfachfeatures können Sie den Clientzugriff von Empfängern konfigurieren. Hier können Sie den Zugriff per MAPI (Outlook), Outlook Web Access, Exchange ActiveSync und Unified Messaging aktivieren oder deaktivieren (siehe Abbildung 8.47). Mehr zu diesem Thema erfahren Sie in den Kapiteln 9 und 10.
10
8.3.5
11
Verwalten der Postfacheinstellungen – Grenzwerte auf Postfachebene
Neben den Grenzwerten, die Sie für einzelne Postfachdatenbank vornehmen, können Sie auf der Registerkarte Postfacheinstellungen verschiedene Einstellungen vornehmen, um Grenzwerte für einzelne Postfächer festzulegen (siehe Abbildung 8.48). Zur Verwaltung der Grenzwerte stehen Ihnen hier zwei verschiedene Optionen zur Verfügung:
12
■
14
■
13
Verwaltung von Nachrichtendatensätzen Speicherkontingente
Die Nachrichtendatensätze werden noch in einem eigenen Abschnitt in diesem Kapitel besprochen.
15
427
Benutzerverwaltung
Abbildung 8.47: Konfiguration der Postfachfeatures für ein Postfach
Abbildung 8.48: Verwalten von Grenzwerten für einzelne Postfächer
428
Verwalten von Benutzerpostfächern
Um die Grenzwerte für das Postfach zu definieren, klicken Sie auf Speicherkontingente, und klicken Sie auf Eigenschaften (siehe Abbildung 8.49). In dem folgenden Fenster legen Sie fest, wie mit der Größe des Postfachspeichers verfahren werden soll. Sie können entweder die Standardeinstellungen des Postfachspeichers verwenden oder für einzelne Benutzer getrennte Einstellungen vornehmen. Sie können verschiedene Verhaltensweisen von Exchange festlegen, die beim Überschreiten der einzelnen Grenzwerte ausgelöst werden sollen. Das gilt auch für die Einstellung, wie sich Exchange beim Löschen von Objekten im Postfach dieses Benutzers verhalten soll. ■
■ ■
1 2
Warnmeldung senden ab (KB) – Erreicht die Postfachgröße des Benutzers diesen Wert, schickt der Exchange Server in regelmäßigen Abständen eine E-Mail an den Benutzer. Senden verbieten ab (KB) – Ab dieser Postfachgröße darf der Benutzer keine E-Mails mehr senden. Senden und Empfangen verbieten ab (KB) – Mit dieser Option sollten Sie sehr vorsichtig umgehen, da bei Überschreitung dieses Werts der Benutzer keinerlei Eintragungen mehr in seinem Postfach vornehmen kann. Er darf nur noch Objekte löschen. Benutzer, die während der Sperrung des Postfachs dieses Benutzers E-Mails an diesen Benutzer senden, erhalten einen Unzustellbarkeitsbericht (NDR).
3 4 5 6 Abbildung 8.49: Definition von Grenzwerten
7
8 9 10 11 12 13 ■
■
Gelöschte Objekte aufbewahren für (Tage) – Löschen Benutzer Objekte, werden diese in den gelöschten Objekten des Postfachs aufbewahrt. Werden diese durch den Benutzer gelöscht, markiert Exchange Server 2007 diese Objekte als gelöscht. Sie können jedoch noch während des definierten Zeitraums in Outlook wiederhergestellt werden. Postfächer und Objekte nicht permanent löschen … – Mit dieser Option legen Sie fest, dass ein Objekt unabhängig vom Zeitraum erst unwiederbringlich gelöscht wird, wenn die Datenbank online gesichert wurde. Eine Online-Sicherung kann
14 15
429
Benutzerverwaltung
auch durch das in Windows Server 2003 enthaltene Datensicherungsprogramm durchgeführt werden. Vor einer Datensicherung wird das Objekt zwar als gelöscht markiert, kann jedoch jederzeit wiederhergestellt werden. Wiederherstellen gelöschter E-Mails innerhalb des Grenzwertes in Outlook – der Exchange Server-Papierkorb Die Anwender können mithilfe von Outlook 2003/2007 solche gelöschten Elemente selbst wiederherstellen. Dazu wird in Outlook am besten der Ordner Gelöschte Objekte markiert und anschließend über das Menü Extras/Gelöschte Elemente wiederherstellen gewählt (siehe Abbildung 8.50). Damit dieser Befehl zur Verfügung steht, muss jedoch ein spezielles Add-In in Outlook aktiviert werden. Der Anwender kann das Snap-In bei Bedarf selbst installieren, wenn er das Menü aufruft. Die Installation wird anschließend von Outlook selbst durchgeführt. Abbildung 8.50: Wiederherstellen gelöschter Objekte in Outlook
Nach der Auswahl des Menüpunktes werden die E-Mails angezeigt, die gelöscht wurden und sich nicht mehr im Ordner Gelöschte Objekte befinden. Diese E-Mails können in diesem Fenster vom Exchange Server wiederhergestellt werden und sind anschließend im Ordner Gelöschte Objekte wieder verfügbar (siehe Abbildung 8.51). Abbildung 8.51: Wiederherstellen von E-Mails in Outlook
Ändern Sie die Standardwerte nicht, werden die Grenzwerte für die einzelnen Postfachdatenbanken verwendet. Diese Grenzwerte finden Sie in der Exchange-Verwaltungskonsole unter Serverkonfiguration/Postfach/<Servername>/. Rufen Sie die Eigenschaften der Datenbank auf. Auf der Registerkarte Grenzwerte können Sie die Einstellungen definieren, die für Postfächer in dieser Datenbank gelten (siehe Abbildung 8.52). 430
Verwalten von Benutzerpostfächern
Abbildung 8.52: Konfiguration der Grenzwerte für Postfachdatenbanken in der Exchange-Verwaltungskonsole
1 2 3 4 5
Auf der Registerkarte E-Mail-Adressen in den Eigenschaften eines Postfachs können Sie die E-Mail-Adressen des Benutzers einsehen und konfigurieren. Standardmäßig werden durch die E-Mail-Adressenrichtlinien die E-Mail-Adressen verteilt. Sie können auf dieser Registerkarte jederzeit weitere E-Mail-Adressen definieren (siehe Abbildung 8.53). Es kann jedoch für jeden E-Mail-Adressentyp nur eine primäre Adresse (Antwortadresse) existieren, die als Absender für den Benutzer konfiguriert ist. Sie können diese primäre E-Mail-Adresse festlegen. Sie können auf dieser Registerkarte weitere E-Mail-Adressen anlegen. Als E-Mail-Domänen können Sie aber nur die Domänen verwenden, die auf der Registerkarte Akzeptierte Domänen hinterlegt sind (siehe Kapitel 5).
6 7
8 9 Abbildung 8.53: Konfiguration der E-Mail-Adressen eines Anwenders
10 11 12 13 14 15
431
Benutzerverwaltung
Als letzte Option können Sie noch definieren, dass dieser Benutzer nicht durch die Empfängerrichtlinie verwaltet wird. Der Benutzer erhält dann keine E-Mail-Adressen durch eine Empfängerrichtlinie, sondern ausschließlich die Adressen zugeteilt, die Sie hier manuell festlegen.
8.3.6
Löschen und Deaktivieren von Postfächern
Neben der Verwaltung können Sie erstellte Postfächer natürlich auch löschen oder deaktivieren.
Löschen von Postfächern Klicken Sie mit der rechten Maustaste auf ein Postfach, können Sie dieses mit dem Menüpunkt Entfernen löschen (siehe Abbildung 8.54). Sie können ein Postfach auch in der Exchange-Verwaltungskonsole über den Befehl remove-mailbox –identity \ löschen. Mit diesem Vorgang wird das Postfach des Benutzers von seinem Benutzerobjekt getrennt und zur Löschung markiert. Sie können jedoch das Postfach innerhalb eines bestimmten Zeitraums (standardmäßig 30 Tage) wieder mit dem Benutzer (oder einem anderen Benutzer) verbinden und damit wiederherstellen. Nach diesem Zeitraum wird das Postfach endgültig vom Server gelöscht. Sie können diesen Zeitraum in den Eigenschaften der Postfachdatenbank auf der Registerkarte Grenzwerte definieren. Wie ein solches Postfach wiederhergestellt werden kann, erfahren Sie in Kapitel 11. Abbildung 8.54: Löschen eines Postfachs in der Exchange-Verwaltungskonsole
Mit dem Befehl remove-mailbox –identity \ -permanent werden das Postfach sowie das zugehörige Benutzerkonto aus dem Active Directory entfernt.
Deaktivieren von Postfächern Deaktivieren Sie ein Postfach für einen Anwender, bleibt das Benutzerkonto des Anwenders aktiv, aber alle Exchange-Eigenschaften werden entfernt. Der Anwender kann sich weiterhin mit seinem Benutzerkonto an der Domäne anmelden, hat aber kein Exchange-Postfach mehr.
432
Verwalten von Benutzerpostfächern
Abbildung 8.55: Deaktivieren eines Postfachs für einen Benutzer
1 2 3 4 5
Sie können ein Postfach auch in der Exchange-Verwaltungsshell mit dem Befehl disable-mailbox deaktivieren. Sie müssen die Deaktivierung noch bestätigen, im Anschluss wird das Postfach deaktiviert.
6 Abbildung 8.56: Deaktivieren eines Postfachs
7
8 8.3.7
Konvertieren von Postfächern 9
Sie können den Postfachtyp eines Empfängers auch ändern. Haben Sie zum Beispiel von einer Exchange 2000/2003-Organisation zu Exchange Server 2007 migriert, können Sie für Ressourcenpostfächer eigene Typen erstellen. Unter Exchange 2000/2003 gab es noch keine Raum- oder Gerätepostfächer. Spätestens nach einer Migration macht es daher Sinn, wenn Sie Ihre Ressourcenpostfächer von Exchange 2000/2003 zu entsprechenden Ressourcenpostfächern unter Exchange Server 2007 konvertieren. Diese Konvertierung kann allerdings nicht in der Exchange-Verwaltungskonsole durchgeführt werden, sondern ausschließlich in der Exchange-Verwaltungsshell.
10 11
Abbildung 8.57: Unkonvertierte Ressourcenpostfächer in Exchange Server 2007
12 13 14 15
Vor allem Raumpostfächer sollten entsprechend konvertiert werden, da diese in Outlook 2007 und Outlook Web Access 2007 gesondert behandelt werden. Starten Sie die Exchange-Verwaltungsshell, und geben Sie den Befehl set-mailbox
Benutzerverwaltung
name> -type room ein, um ein Postfach in ein Raumpostfach zu konvertieren. In diesem Fall wird das dazugehörige Benutzerkonto automatisch deaktiviert, und das Postfach wird zukünftig auch in Outlook als Raum angezeigt. Abbildung 8.58: Konvertieren eines Postfachs
Neben dem Typ room gibt es noch folgende Typen: ■ ■
Sie können ein Benutzerpostfach auch zu einem verlinkten Postfach konvertieren und umgekehrt. Ein verlinktes Postfach ist mit einem Benutzerkonto außerhalb der Gesamtstruktur verbunden. Um diese Aufgabe durchzuführen, gehen Sie folgendermaßen vor, um ein Benutzerpostfach in ein verlinktes Postfach zu konvertieren:
1. 2.
Deaktivieren Sie das Postfach für den entsprechenden Benutzer in der ExchangeVerwaltungskonsole wie bereits beschrieben. Verbinden Sie das Postfach wieder als verlinktes Postfach über den Menüpunkt Getrenntes Postfach in der Exchange-Verwaltungskonsole (siehe Abbildung 8.59).
Abbildung 8.59: Konvertieren eines Benutzerpostfachs zu einem verlinkten Postfach
Um ein verlinktes Postfach zu einem normalen Benutzerpostfach zu konvertieren, verwenden Sie am besten die Exchange-Verwaltungsshell. Gehen Sie dazu folgendermaßen vor: 434
Verwalten von Benutzerpostfächern
1. 2.
Zunächst müssen Sie mit dem Befehl disable-mailbox –identity das Postfach trennen. Um das Postfach als Benutzerpostfach neu zu erstellen, geben Sie den Befehl connect-mailbox –identity -Database –user ein.
8.3.8
1
Berechtigungen für Postfächer verwalten
2
Wie bereits bei den Vorgängern von Exchange Server 2007 können Berechtigungen für Postfächer auch von den Anwendern selbst in Outlook konfiguriert werden. Benutzer können in Outlook die Eigenschaften ihres Postfaches aufrufen und auf der Registerkarte Berechtigungen zusätzliche Berechtigungen erteilen (siehe Abbildung 8.60). Die entsprechenden Berechtigungen sind analog zu den Rechten öffentlicher Ordner und werden in Kapitel 7 beschrieben.
3 4 Abbildung 8.60: Verwalten der Berechtigungen für einzelne Benutzerpostfächer
5 6 7
8 9 10 11 Erteilen der Senden-als- und anderer Berechtigungen für Postfächer Administratoren können Empfängern das Recht erteilen, im Auftrag von anderen Empfängern E-Mails zu schreiben. Diese Berechtigung wird als Senden als bezeichnet. Sie können diese Berechtigung entweder im Snap-In Active Directory-Benutzer und -Computer erteilen oder über die Exchange-Verwaltungsshell. Im folgenden Abschnitt erkläre ich Ihnen, wie Sie die Berechtigungen für Senden als im Snap-In konfigurieren können. Gehen Sie folgendermaßen vor:
12
1.
14
2.
13
Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer (zum Beispiel über Start/Ausführen/dsa.msc). Klicken Sie nach dem Start auf den Menüpunkt Ansicht und dann auf Erweiterte Funktionen, damit diese zukünftig im Snap-In angezeigt werden (siehe Abbildung 8.61).
15
435
Benutzerverwaltung
Abbildung 8.61: Aktivieren der erweiterten Funktionen im Snap-In Active DirectoryBenutzer und -Computer
3. Rufen Sie die Eigenschaften des Benutzers auf, für dessen Postfach Sie einem anderen Benutzer das Recht Senden als geben wollen.
4. Wechseln Sie auf die Registerkarte Sicherheit, und klicken Sie auf Erweitert (siehe Abbildung 8.62). Abbildung 8.62: Aufrufen der erweiterten Sicherheitseinstellungen für ein Benutzerkonto
5. Klicken Sie im folgenden Fenster erneut auf Hinzufügen, und wählen Sie das Benutzerkonto aus, dem Sie für dieses Postfach das Recht geben wollen (siehe Abbildung 8.63). 6. Wählen Sie im neuen Fenster im Drop-down-Menü bei Übernehmen für: die Option Nur dieses Objekt aus (siehe Abbildung 8.64). 7. Wählen Sie als Recht Senden als aus (siehe Abbildung 8.64). 8. Bestätigen Sie alle Fenster mit OK.
436
Verwalten von Benutzerpostfächern
Abbildung 8.63: Hinzufügen eines Benutzerkontos zu den Postfachberechtigungen
1 2 3 4 5 6
Sie können die Senden-als-Berechtigung für ein Postfach auch in der Exchange-Verwaltungsshell mit dem Befehl Add-ADPermission –User –Extendedrights SendAs erteilen.
7 TIPP
8
Über den Befehl Add-ADPermission Postfach –User Domäne\Benutzer –AccessRights FullAccess können Sie neben der Senden-als-Berechtigung volle Berechtigungen für das Postfach erteilen.
9 Abbildung 8.64: Hinzufügen der Senden-alsBerechtigung für ein Postfach
10 11 12 13 14 15
437
Benutzerverwaltung
Damit ein Anwender in Outlook im Auftrag eines anderen Benutzers eine E-Mail senden kann, muss dieser das Von-Feld einblenden, über das er das Postfach auswählt, in dessen Auftrag er eine E-Mail schreiben will. Dieses Feld können Sie einblenden, wenn Sie eine neue E-Mail schreiben, auf Optionen und dann auf Felder klicken und die Optionen Anzeigen aus aktivieren (siehe Abbildung 8.65). Abbildung 8.65: Einblenden des Von-Feldes in Outlook 2007
Im Anschluss wird das Von-Feld angezeigt, und der Anwender kann das Benutzerkonto auswählen, in dessen Auftrag er senden will (siehe Abbildung 8.66). Abbildung 8.66: Verwenden des Von-Feldes in Outlook 2007
8.4
Verwalten von Nachrichtendatensätzen und Postfachrichtlinien
Mit der Verwaltung von Nachrichtendatensätzen können Sie auf den Inhalt der Postfächer in Ihrer Organisation Einfluss nehmen. Sie können automatisiert Inhalte, die nicht legal oder geschäftsrelevant sind, löschen lassen. Sie können die Postfächer und deren Inhalte automatisiert ordnen, archivieren und löschen lassen. Durch Nachrich-
438
Verwalten von Nachrichtendatensätzen und Postfachrichtlinien
tendatensätze erhalten Sie vollkommene Kontrolle über die Postfächer und deren Inhalt der Anwender. Bei der Verwaltung von Nachrichtendatensätzen müssen Sie folgende Aufgaben durchführen: ■ ■ ■
Sie definieren einen verwalteten Ordner, zum Beispiel den Posteingang der Empfänger, oder erstellen eigene verwaltete, benutzerdefinierte Ordner. Sie legen bestimmte Einstellungen fest, die für alle Empfänger in der ExchangeOrganisation gelten, und erstellen eine entsprechende Richtlinie. Sie legen einen Zeitplan fest, wann diese Richtlinie auf die definierten verwalteten Ordner angewendet wird, und weisen die Richtlinie einzelnen oder allen Postfächern zu.
1 2 3
In der Exchange-Verwaltungskonsole werden die Standardordner von Postfächern bereits automatisch für die Verwaltung angezeigt. In diesem Fall müssen Sie keinen zusätzlichen Ordner erstellen. Sie finden die Verwaltung der Standardordner, wenn Sie auf der Registerkarte Verwaltete Standardordner auf Organisationskonfiguration/Postfach klicken (siehe Abbildung 8.67).
4 5 Abbildung 8.67: Anzeigen der verwalteten Standardordner
6 7
8 9
8.4.1
10
Erstellen von verwalteten benutzerdefinierten Ordnern
11
Bevor Sie auf die Inhalte der Postfächer in Ihrer Organisation Einfluss nehmen, können Sie neben den Standardordnern in den Postfächern auch verwaltete benutzerdefinierte Ordner erstellen, auf die Sie wiederum Richtlinien mit bestimmten Einstellungen legen.
12
Sie müssen keine verwalteten Ordner anlegen, die bereits standardmäßig vorhanden sind, wie zum Beispiel den Posteingang. Sie können selbst definierte Ordner erstellen lassen. Zusammen mit den in Kapitel 5 beschriebenen Transportregeln können Sie spezielle E-Mails in die verwalteten benutzerdefinierten Ordner oder auch in den Ordner Junk-Mail verschieben lassen und im Anschluss mit einer Postfachrichtlinie den Inhalt dieses Ordners steuern. Sie können zum Beispiel alle E-Mails, die älter als 90 Tage sind, in bestimmten Ordnern in den Empfängerpostfächern löschen lassen.
13 14
Um verwaltete benutzerdefinierte Ordner zu erstellen, gehen Sie folgendermaßen vor:
1. 2.
15
Öffnen Sie die Exchange-Verwaltungskonsole. Klicken Sie auf Organisationskonfiguration/Postfach.
439
Benutzerverwaltung
3. Verwaltete Ordner können im Ergebnisbereich über die Registerkarte Verwaltete benutzerdefinierte Ordner angelegt und konfiguriert werden.
4. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich, und wählen Sie den Menüpunkt Neuer verwalteter benutzerdefinierter Ordner aus. Alternativ finden Sie diesen Befehl auch im Aktionsbereich der Konsole (siehe Abbildung 8.68). Abbildung 8.68: Erstellen eines neuen verwalteten benutzerdefinierten Ordners
5. Im Anschluss startet der Assistent zum Erstellen von neuen benutzerdefinierten Ordnern (siehe Abbildung 8.69).
6. In dem Fenster können Sie den Namen angeben sowie einen Kommentar.
7. Abbildung 8.69: Erstellen eines neuen verwalteten Ordners
440
Zusätzlich können Sie hier einen Grenzwert eingeben, wie groß der Inhalt des Ordners werden darf. Klicken Sie auf die Schaltfläche Neu, wird der entsprechende Ordner erstellt (siehe Abbildung 8.69).
Verwalten von Nachrichtendatensätzen und Postfachrichtlinien
8. Nach der Erstellung wird der Ordner in der Exchange-Verwaltungskonsole angezeigt (siehe Abbildung 8.70). Abbildung 8.70: Anzeigen eines neuen verwalteten benutzerdefinierten Ordners in der Exchange-Verwaltungskonsole
1 2 3 4
8.4.2
Verwalten von verwalteten benutzerdefinierten Ordnern und Standardordnern
5
Haben Sie den benutzerdefinierten Ordner erstellt, können Sie Einstellungen für den Ordner vornehmen. Klicken Sie diesen dazu mit der rechten Maustaste an, und wählen Sie die Option Neue Einstellungen für verwaltete Inhalte (siehe Abbildung 8.71). Sie finden diesen Befehl auch im Aktionsbereich der Exchange-Verwaltungskonsole.
6
Abbildung 8.71: Konfiguration eines verwalteten benutzerdefinierten Ordners
7
8 9 10 11 12
Im Anschluss startet der Assistent, mit dem Sie die Inhalte des Ordners konfigurieren können (siehe Abbildung 8.72). Sie können in dem ersten Fenster der Regel einen passenden Namen geben. Zusätzlich können Sie festlegen, für welche Elemente die Einstellungen gelten sollen. Auf dieser Seite legen Sie auch fest, wie lange die Elemente in dem Ordner verbleiben sollen, bis diese gelöscht werden.
13
Sie können verwaltete Ordner auch verschachteln. In diesem Fall können Sie die E-Mails nach Ablauf in einen anderen verwalteten Ordner verschieben lassen, für den Sie wiederum weitere Einstellungen vorgenommen haben. Sie können hier auch genau festlegen, wann der Exchange Server mit dem Zählen des Ablaufsdatums beginnen soll.
14 15
441
Benutzerverwaltung
Abbildung 8.72: Konfiguration der Einstellungen für verwaltete Ordner
Auf der nächsten Seite können Sie zusätzlich noch aktivieren, dass die E-Mails oder anderen Elemente, die in diesem Ordner abgelegt werden, noch einem anderen Postfach in Kopie zugestellt werden (siehe Abbildung 8.73). Diese Funktion wird in Exchange Server 2007 Journal genannt und taucht an verschiedenen Stellen in der Verwaltung eines Exchange Servers auf. Bei der Journal-Adresse, welche die Kopien der Elemente des verwalteten benutzerdefinierten Ordners enthält, muss es sich nicht unbedingt um ein Exchange-Postfach handeln. Sie können hier auch E-Mail-Kontakte oder per E-Mail (aktivierte) Benutzer verwenden. Bei dem empfangenden Server muss es sich nur um einen SMTP-Server handeln, Exchange ist dafür keine Voraussetzung. Neben dem Exchange Server 2007-Standardformat TNEF können Sie auch das Outlook-spezifische *.msg-Format für die Anzeige von Journalen verwenden. Auf der nächsten Seite des Assistenten wird Ihnen eine Zusammenfassung Ihrer Einstellungen angezeigt (siehe Abbildung 8.74). Klicken Sie auf die Schaltfläche Neu, werden die Einstellungen auf den Ordner übernommen.
442
Verwalten von Nachrichtendatensätzen und Postfachrichtlinien
Abbildung 8.73: Verwalten von Journalen für einen verwalteten Ordner
Haben Sie die Einstellungen übernommen, wird Ihnen wie bei allen Assistenten unter Exchange Server 2007 das Ergebnis angezeigt, und Sie können den entsprechenden Befehl für die Exchange-Verwaltungsshell in die Zwischenablage kopieren (siehe Abbildung 8.75). Abbildung 8.75: Zusammenfassung der Einstellungen und Anzeigen des Exchange-Verwaltungsshell-Befehls
Haben Sie die Einstellungen abgeschlossen, werden diese unterhalb des zugeordneten Ordners angezeigt (siehe Abbildung 8.76). Sie können für einen verwalteten benutzerdefinierten Ordner mehrere Einstellungen vornehmen. Sie können diese Einstellungen nachträglich anpassen, wenn Sie die Eigenschaften der Einstellung aufrufen. Die Einstellungen von verwalteten benutzerdefinierten Ordner können Sie ändern, wenn Sie die Eigenschaften des entsprechenden Ordners aufrufen. Erstellen Sie für einen verwalteten benutzerdefinierten Ordner mehrere Einstellungen und hinterlegen diese, werden für die einzelnen Nachrichtentypen immer die Einstellungen verwendet, die am besten passen. Legen Sie zum Beispiel eine Einstellung an, die für den gesamten Inhalt des Postfachs verwendet wird, und eine Einstellung für Voice-Mails, die eigentlich auch zum gesamten Inhalt gehören, dann werden für Voice-Mails die Einstellungen verwendet, die Sie auch speziell für VoiceMails angelegt haben.
444
Verwalten von Nachrichtendatensätzen und Postfachrichtlinien
Abbildung 8.76: Anzeigen der Einstellungen für einen benutzerdefinierten Ordner
1 2 3 4
Genauso wie bei der Erstellung von Einstellungen für verwaltete benutzerdefinierte Ordner können Sie für verwaltete Standardordner vorgehen. Hier werden die Regeln auf der Registerkarte Verwaltete Standardordner definiert (siehe Abbildung 8.77).
5
Abbildung 8.77: Verwalten des gesamten Postfachs
6 7
8 9 10 Einstellungen, die Sie für den Ordner Entire Mailbox vornehmen, werden auf alle Ordner im Postfach angewendet, mit Ausnahme verwalteter benutzerdefinierter Ordner, für die eigene Einstellungen definiert worden sind.
8.4.3
11 12
Erstellen von Postfachrichtlinien für verwaltete Ordner
13
Haben Sie Einstellungen für Standardordner definiert oder verwaltete benutzerdefinierte Ordner mit entsprechenden Einstellungen erstellt, müssen Sie diese noch mit einer Postfachrichtlinie für verwaltete Ordner verteilen. Verbinden Sie eine Postfachrichtlinie für verwaltete Ordner mit mehreren Postfächern, werden alle verwalteten Ordner, die durch diese Richtlinie erfasst sind, auf einen Zug in den Postfächern konfiguriert.
14 15
Die Verwaltung von Postfachrichtlinien finden Sie in der Exchange-Verwaltungskonsole über Organisationskonfiguration/Postfach auf der Registerkarte Postfachrichtlinie für verwaltete Ordner. Um eine neue Richtlinie zu erstellen, klicken Sie mit der rechten
445
Benutzerverwaltung
Maustaste in den Ergebnisbereich und wählen die Erstellung einer neuen Richtlinie aus oder starten den Befehl über den Aktionsbereich (siehe Abbildung 8.78). Abbildung 8.78: Erstellen einer neuen Postfachrichtlinie für verwaltete Ordner
Im Anschluss startet der Assistent für Postfachrichtlinien (siehe Abbildung 8.79). Über die Schaltfläche Hinzufügen können Sie die verwalteten Ordner auswählen, die mit dieser Richtlinie verwaltet werden sollen. Sie können einer Richtlinie auch mehrere verwaltete Ordner hinzufügen. Haben Sie alle verwalteten Ordner der Richtlinie hinzugefügt, können Sie diese über die Schaltfläche Neu erstellen lassen. Auf der nächsten Seite erhalten Sie wieder eine Zusammenfassung, und die Richtlinie wird in der Exchange-Verwaltungskonsole angezeigt. Abbildung 8.79: Hinzufügen von verwalteten Ordnern zu einer Postfachrichtlinie
Sie können die Einstellungen einer Richtlinie jederzeit in der Exchange-Verwaltungskonsole anpassen. 446
Verwalten von Nachrichtendatensätzen und Postfachrichtlinien
Abbildung 8.80: Anzeigen von Postfachrichtlinien in der ExchangeVerwaltungskonsole
1 2 3 4
8.4.4
Zuweisen von Postfachrichtlinien für Postfächer
Damit die Einstellungen, die Sie für verwaltete Ordner vorgenommen haben, über die festgelegten Richtlinien auch angewendet werden können, müssen Sie die Postfachrichtlinie für verwaltete Ordner noch den Postfächern zuweisen (siehe Abbildung 8.81):
1. 2. 3. 4. 5. 6. 7.
5 6
Klicken Sie dazu in der Exchange-Verwaltungskonsole auf den Menüpunkt Empfängerkonfiguration/Postfach. Klicken Sie mit der rechten Maustaste auf das Postfach, dem Sie die Richtlinie zuweisen wollen, und rufen Sie die Eigenschaften auf. Wechseln Sie in den Eigenschaften des Postfachs auf die Registerkarte Postfacheinstellungen. Markieren Sie den Punkt Verwalten von Nachrichtendatensätzen und klicken dann auf Eigenschaften. Aktivieren Sie die Option Postfachrichtlinie für verwaltete Ordner. Klicken Sie auf Durchsuchen. Wählen Sie die Richtlinie aus, die Sie für dieses Postfach verwenden wollen.
7
8 9 10 Abbildung 8.81: Aktivieren der Postfachrichtlinie für einzelne Postfächer
11 12 13 14 15
447
Benutzerverwaltung
Sie können in dem Fenster auch einen Zeitraum festlegen, wann diese Richtlinie außer Kraft gesetzt werden soll, wenn sich zum Beispiel ein Anwender zu einer bestimmten Zeit im Urlaub befindet oder aus anderen Gründen seinen Posteingang nicht abrufen kann. Abbildung 8.82: Einstellungen für Postfachrichtlinien
8.4.5
Zeitplanung des Assistenten für verwaltete Ordner
Der Assistent für verwaltete Ordner ist dafür zuständig, dass die verwalteten benutzerdefinierten Ordner in den Postfächern der Empfänger automatisch angelegt und dass die Einstellungen für verwaltete Ordner angewendet werden. Auf jedem Mailbox-Server gibt es einen Assistenten für verwaltete Ordner. Dieser läuft zu definierten Zeitpunkten über alle Postfächer auf dem Server und führt die definierten Einstellungen durch. Hat der Assistent im angegebenen Zeitraum noch nicht alle Postfächer konfiguriert, wird dieser automatisch so lange ausgeführt, bis alle Postfächer auf dem Server entsprechend konfiguriert wurden.
INFO
Da beim Starten des Assistenten für verwaltete Ordner unter Umständen viele Regeln und Einstellungen angewendet werden, kann dieser Ihre Mailbox-Server ziemlich belasten. Sie sollten daher den Assistenten am besten außerhalb der normalen Geschäftszeit laufen lassen und auch nicht gleichzeitig mit der Datensicherung oder einer Online-Wartung. Um den Assistenten für verwaltete Ordner zu konfigurieren, gehen Sie folgendermaßen vor (siehe Abbildung 8.83):
1. Öffnen Sie die Exchange-Verwaltungskonsole. 2. Klicken Sie auf Serverkonfiguration/Postfach. 3. Wählen Sie im Ergebnisbereich der Konsole den Mailbox-Server aus, für den Sie
4. 5. 6.
448
den Assistenten konfigurieren wollen, klicken Sie mit der rechten Maustaste auf den Server, und rufen Sie die Eigenschaften auf. Wechseln Sie auf die Registerkarte Verwaltung von Nachrichtendatensätzen. Wählen Sie die Option Benutzerdefinierten Zeitplan verwenden. Klicken Sie auf Anpassen, und wählen Sie den Zeitraum aus, in dem der Assistent die Postfächer bearbeiten soll.
Verschieben von Postfächern
Abbildung 8.83: Konfiguration des Zeitplans des Assistenten für verwaltete benutzerdefinierte Ordner
1 2 3 4
8.4.6
5
Deaktivieren der Verwaltung von Nachrichtendatensätzen
6
Es gibt verschiedene Möglichkeiten, die Einstellungen für verwaltete Ordner temporär oder auf Dauer zu deaktivieren. ■ ■ ■
Sie können für einzelne Postfächer einen Zeitrahmen festlegen, an dem die Verwaltung ausgesetzt wird. Wollen Sie für alle Postfächer auf einem Mailbox-Server die Einstellungen zeitweilig deaktivieren, setzen Sie den Zeitplan für den Assistenten auf Nie. Um die Einstellungen für die ganze Organisation zu deaktivieren, löschen Sie alle angelegten verwalteten benutzerdefinierten Ordner in der Exchange-Verwaltungskonsole sowie alle Einstellungen. Die angelegten Ordner in den Postfächern der Anwender bleiben allerdings erhalten, diese müssen von den Anwendern selbst gelöscht werden.
8.5
7
8 9 10
Verschieben von Postfächern
Sie können einzelne oder mehrere Postfächer von einer Postfachdatenbank in eine andere oder auf einen anderen Exchange Server mit der Mailbox-Server-Rolle verschieben.
11
8.5.1
Verschieben von Postfächern innerhalb der Exchange-Organisation
12
Öffnen Sie dazu die Exchange-Verwaltungskonsole, und navigieren Sie zu Empfängerkonfiguration/Postfach. Klicken Sie mit der rechten Maustaste auf das Postfach, das Sie verschieben wollen, und wählen Sie den Befehl Postfach verschieben aus (siehe Abbildung 8.84).
13
Sie können mit dem Assistenten auch Postfächer von einem Exchange 2007-Server zu einem Exchange 2000/2003-Server verschieben. Haben Anwender in Outlook Posteingangsregeln definiert, die im Postfach gespeichert werden, müssen Sie noch eine Besonderheit beachten: Ein Exchange 2000/2003-Server lässt für die Posteingangsregeln im Postfach eine Gesamtgröße von 32 KB zu. Wird diese Größe überschritten, kann das entsprechende Postfach nicht verschoben werden.
14 15 INFO
449
Benutzerverwaltung
In diesem Fall können Sie das Postfach über die Exchange-Verwaltungsshell verschieben (siehe Ende dieses Abschnitts). Verwenden Sie dazu den Befehl Move-Mailbox -TargetDatabase First Storage Group\Mailbox Database –IgnoreRuleLimitErrors. Abbildung 8.84: Verschieben von Postfächern
Sie können in der Exchange-Verwaltungskonsole nur Postfächer zwischen Exchange Servern der gleichen Organisation, also Gesamtstruktur, verschieben. Wollen Sie Postfächer zwischen Exchange Servern verschiedener Organisationen verschieben, müssen Sie das in der Exchange-Verwaltungsshell durchführen (siehe nächster Abschnitt). Sie können auch mehrere Postfächer markieren und diese auf einen Rutsch verschieben. Auf der ersten Seite des Assistenten wählen Sie den Server, die Speichergruppe und die Postfachdatenbank aus, in die Sie die Postfächer verschieben wollen (siehe Abbildung 8.85).
HALT
Beim Verschieben von zahlreichen Postfächern werden erhebliche Mengen an Transaktionsprotokollen geschrieben. Auch bei Servern mit genügend Festplattenplatz kann schnell die Kapazität erreicht werden. Vor allem beim Verschieben über Nacht kann so einem Administrator am nächsten Tag eine Überraschung blühen, wenn der Verschiebevorgang abgebrochen wurde, da die Transaktionsprotokolle die Festplatten überfüllt haben. Um diesem Problem aus dem Weg zu gehen, sollten Sie entweder nicht zu viele Postfächer auf einmal verschieben, dafür sorgen, dass genügend Festplattenplatz verfügbar ist, oder in den Eigenschaften der beteiligten Speichergruppen die Umlaufprotokollierung aktivieren, damit immer mit dem gleichen Satz Transaktionsprotokollen gearbeitet wird.
INFO
450
Bei Abschluss dieses Vorgangs wird das Postfach zunächst auf den Zielserver kopiert und danach mit dem Quell-Postfach verglichen. Erst dann wird das Quell-Postfach gelöscht. Es besteht bei diesem Vorgang zu keiner Zeit irgendeine Gefahr des Datenverlustes, da bis zum Schluss das Quell-Postfach vorhanden ist. Auch wenn Sie den Verschiebevorgang abbrechen, gehen keine Daten verloren.
Verschieben von Postfächern
Abbildung 8.85: Verschieben von Benutzerpostfächern
1 2 3 4 5 6 7 Während des Verschiebevorgangs können Benutzer, deren Postfach verschoben wird, natürlich nicht mit diesem arbeiten. Startet der Benutzer nach dem Verschiebevorgang sein Outlook wieder, verbindet sich Outlook mit seinem alten Server und erhält die Information, dass das Postfach umgezogen ist. Outlook trägt automatisch den neuen Server in seine Einstellungen ein. Sie müssen lediglich dafür sorgen, dass der Quell-Exchange Server zur Verfügung steht, wenn verschobene Benutzer ihr Outlook starten. Nach der ersten Verbindungsaufnahme mit dem neuen Exchange Server wird auf den alten Server nicht mehr zugegriffen.
8 9 10
Auf der nächsten Seite des Assistenten legen Sie die Optionen fest, wie mit Postfächern verfahren werden soll, die defekte Nachrichten enthalten. Sie können entweder in diesem Fall das komplette Postfach überspringen oder eine Anzahl Nachrichten einstellen, die beim Übertragen übergangen werden dürfen, wenn diese fehlerhaft sind (siehe Abbildung 8.86). Achten Sie beim Verschieben darauf, dass die Größe der Postfächer nicht irgendwelche Grenzwerte überschreitet, die auf den Zielservern gesetzt sind. Ist ein Postfach zu groß, wird dieses nicht auf den Zielserver verschoben, bleibt aber auf dem Quellserver erhalten.
11 12 13
INFO
14
Auf der nächsten Seite legen Sie fest, wann der Exchange Server mit dem Vorgang beginnen soll. Sie können das Verschieben der Postfächer entweder sofort starten oder einen Zeitpunkt angeben, zu dem der Vorgang automatisiert stattfinden soll (siehe Abbildung 8.87).
15
451
Benutzerverwaltung
Abbildung 8.86: Konfiguration der Verschiebeoptionen
Abbildung 8.87: Festlegen des Zeitpunkts zum Verschieben
Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung und sehen die Liste der Postfächer, die verschoben werden sollen. Klicken Sie auf die Schaltfläche Verschieben, beginnt der Exchange Server mit dem Vorgang (siehe Abbildung 8.88). 452
Verschieben von Postfächern
Abbildung 8.88: Starten des Vorgangs zum Verschieben von Postfächern
1 2 3 4 5 6 7 Abhängig von der Größe der Postfächer dauert der Vorgang unterschiedlich lange. Zum Abschluss wird Ihnen der Status für jedes einzelne Postfach angezeigt. Hier sehen Sie auch wieder den Befehl für die Exchange-Verwaltungsshell, um Postfächer zu verschieben (siehe Abbildung 8.89).
8 Abbildung 8.89: Abschließen des Verschiebens von Postfächern
9 10 11 12 13 14 15
453
Benutzerverwaltung
Überprüfen Sie nach dem Verschieben auch das Anwendungsprotokoll der Ereignisanzeige auf Fehler. Achten Sie vor allem auf Meldungen der Quelle Exchange Migration (siehe Abbildung 8.90). In der Ereignisanzeige werden auch erfolgreiche Verschiebevorgänge protokolliert. Abbildung 8.90: Überprüfen der Ereignisanzeige nach dem Verschieben von Postfächern
8.5.2
Verschieben von Postfächern über die Exchange-Verwaltungsshell
In der Exchange-Verwaltungskonsole können Sie Postfächer nur zwischen Exchange Servern derselben Organisation verschieben. Wollen Sie Postfächer zwischen verschiedenen Organisationen verschieben, benötigen Sie die Exchange-Verwaltungsshell. Mit dem Befehl move-mailbox können Sie auch Postfächer zwischen Exchange Servern der gleichen Organisation verschieben, aber eben auch zwischen Exchange Servern unterschiedlicher Organisationen.
Verschieben von Postfächern innerhalb einer Organisation Um Postfächer zwischen Exchange Servern einer Organisation zu verschieben, können Sie den Befehl Move-Mailbox -TargetDatabase First Storage Group\Mailbox Database verwenden. Bei diesem Befehl müssen Sie die Quell-Datenbank nicht angeben, da Exchange diese aus dem Active Directory auslesen kann. Haben Sie den Befehl eingegeben, müssen Sie den Vorgang noch bestätigen. Im Anschluss startet der Vorgang (siehe Abbildung 8.91). Zum Abschluss erhalten Sie in der Exchange-Verwaltungsshell eine ausführliche Statusmeldung (siehe Abbildung 8.91). Standardmäßig werden beim Verschieben von Postfächern mit move-mailbox die Quell-Postfächer nicht gelöscht. Wollen Sie die Quell-Postfächer nach dem Verschieben löschen, verwenden Sie den Befehl Move-Mailbox -TargetDatabase TargetDatabase First Storage Group\Mailbox Database -SourceMailboxCleanupOptions DeleteSourceMailbox. Auch hier können Sie die Anzahl von Nachrichten mitgeben, die beim Verschieben übersprungen werden, wenn diese defekt sind. Verwenden Sie dazu den Befehl Move-Mailbox -TargetDatabase First Storage Group\Mailbox Database -BadItemLimit .
454
Verschieben von Postfächern
Abbildung 8.91: Verschieben eines Postfachs in der Exchange-Verwaltungsshell
1 2 3 4 5 6 7
Wollen Sie zum Beispiel alle Postfächer in einer Postfachdatenbank in eine andere Datenbank verschieben, verwenden Sie den Befehl Get-Mailbox -Database First Storage Group\ | Move-Mailbox -TargetDatabase First Storage Group\ . Bei diesem Beispiel werden die Postfächer von einer Datenbank in eine andere auf dem gleichen Server verschoben.
8 9
Läuft das Verschieben von Postfächern über die Exchange-Verwaltungsshell in einen Timeout, wird das entsprechende Postfach nicht verschoben. Sie können den Timeout für das Verschieben eines Postfachs festlegen, genauso wie einen Termin zur Wiederholung. Verwenden Sie dazu zum Beispiel den Befehl Move-Mailbox -TargetDatabase First Storage Group\Mailbox Database -Identity -RetryTimeout 1:00:00 -RetryInterval 5:00.
10 11
Verschieben von Postfächern zwischen Organisationen 12
Unter Exchange Server 2007 besteht die Möglichkeit, Postfächer zwischen Exchange Servern unterschiedlicher Organisationen zu verschieben. Diese Funktion steht allerdings lediglich in der Exchange-Verwaltungsshell zur Verfügung, nicht in der Exchange-Verwaltungskonsole. Dazu wird das CMDlet move-mailbox mit der Option AllowMerge verwendet, das Sie bereits in den vorangegangenen Abschnitten in diesem Kapitel kennengelernt haben. In der Exchange-Verwaltungsshell können Sie diese Prozedur für folgende Szenarien einsetzen: ■ ■ ■
13 14
Verschieben von Postfächern zwischen Exchange 2007-Servern in verschiedenen Gesamtstrukturen. Verschieben von Postfächern von einem Exchange 2000/2003-Server einer Gesamtstruktur auf einen Exchange 2007-Server einer anderen Gesamtstruktur. Verschieben von Postfächern von einem Exchange 2007-Server einer Gesamtstruktur auf einen Exchange 2003-Server einer anderen Gesamtstruktur.
15
455
Benutzerverwaltung
Vorbereitungen für das Verschieben von Postfächern zwischen Exchange-Organisationen Bevor Sie Postfächer zwischen verschiedenen Organisationen verschieben, sollten Sie sicherstellen, dass das Benutzerkonto, mit dem Sie diese Aufgaben durchführen, in beiden Gesamtstrukturen und beiden Exchange-Organisationen über Administratorrechte verfügt. Achten Sie auch darauf, dass move-mailbox lediglich Postfächer zwischen verschiedenen Organisationen verschieben kann, keine Benutzerkonten, die mit den Postfächern verbunden sind. Sind für verschobene Postfächer keine entsprechenden Benutzerkonten vorhanden, legt das Tool automatisch deaktivierte Benutzerkonten in der Zielstruktur an, die sich allerdings von den Benutzerkonten der Quellstruktur durch die SID unterscheiden. Wollen Sie Benutzerkonten und die dazugehörigen Postfächer von der Quellstruktur in die Zielstruktur übernehmen, sollten Sie vor der Übernahme der Postfächer die Benutzerkonten mit dem Active Directory Migration Tool (ADMT) 3.0 übernehmen (siehe Kapitel 18). Wollen Sie neben den Postfächern auch die Kontakte und Verteilergruppen in die andere Organisation übernehmen, benötigen Sie ebenfalls das Active Directory Migration Tool (ADMT). Vorgehensweise zum Verschieben von Postfächern zwischen Organisationen Im folgenden Abschnitt gehe ich auf die Befehle ein, die Sie zum Verschieben von Postfächern zwischen Organisationen benötigen. Gehen Sie dazu folgendermaßen vor:
1. 2.
3.
456
Öffnen Sie auf dem beteiligten Exchange Server 2007 eine Exchange-Verwaltungsshell. Geben Sie den Befehl $c = Get-Credentials ein. Es öffnet sich eine Dialogbox, in der Sie Authentifizierungsinformationen eintragen können. Geben Sie hier die Anmeldedaten eines Benutzerkontos an, das über administrative Rechte in der Quellstruktur verfügt. Die Authentifizierungsinformationen werden als Variable $c in der Exchange-Verwaltungsshell hinterlegt und können später weiterverwendet werden, ohne dass Sie sich erneut authentifizieren müssen. Geben Sie als Nächstes den Befehl nach folgendem Beispiel ein: Move-Mailbox -TargetDatabase First Storage Group\Mailbox Database -Identity contoso\thomas -SourceForestGlobalCatalog DC02.contoso.com -DomainController DC01. fabrikam.com -NTAccountOU CN=Users,DC=fabrikam,DC=com –SourceForestCredential $c. In diesem Beispiel ist contoso.com die Quellstruktur und fabrikam.com die Zielstruktur. Der Befehl wird in diesem Beispiel auf einem Server in der Zielstruktur eingegeben. In diesem Befehl müssen Sie auch einen globalen Katalog-Server für die Quell- und die Zielstruktur eintragen. Die Aufgaben eines globalen Katalog-Servers wurden bereits in Kapitel 4 besprochen. Die Option NTAccountOU legt fest, in welcher OU der Zielstruktur das deaktivierte Benutzerkonto des Postfachs angelegt werden soll. Diese Option kann nicht verwendet werden, wenn Sie die Option AllowMerge verwenden. AllowMerge legt fest, dass das Postfach der Quellstruktur zur Zielstruktur verschoben wird und mit einem bereits existierenden Benutzerkonto verbunden werden soll. Bei der Ausführung des Befehls wird das Postfach in der Quellstruktur nicht gelöscht.
E-Mail-(aktivierte-)Benutzer
4. Wollen Sie das Postfach der Quellstruktur nach dem Verschieben in die Ziel-
5. 6.
struktur löschen, müssen Sie noch die bereits beschriebene Option SourceMailboxCleanupOptions verwenden. Der Befehl könnte dann zum Beispiel so aussehen: Move-Mailbox -TargetDatabase First Storage Group\Mailbox Database -Identity contoso\thomas -SourceForestGlobalCatalog GC02.contoso.com -SourceForestCredential $c -SourceMailboxCleanupOptions DeleteSourceNTAccount Haben Sie das Verschieben des Postfachs abgeschlossen, sollten Sie wieder die Ereignisanzeige überprüfen und auf Fehler achten. Stellen Sie sicher, dass in den Profileinstellungen in Outlook des Anwenders der neue Exchange Server eingetragen wurde. Bei Outlook 2007 funktioniert das teilweise automatisch (siehe Kapitel 9), bei Outlook 2003 und älter müssen Sie die Änderungen manuell durchführen.
1 2 3 4
Zusammenführen von Postfächern Neben dem Verschieben von Postfächern zwischen verschiedenen Organisationen können Sie die Postfächer mit entsprechenden Benutzerkonten zusammenführen. Ein Szenario ist auch in diesem Fall eine Migration, bei der Sie vor dem Verschieben von Postfächern auch die Benutzerkonten mit dem Active Directory Migrations Tool (ADMT) verschieben (siehe Kapitel 18).
5 6
Bevor Sie ein Postfach der Quellstruktur in die Zielstruktur verschieben können, um es mit einem bereits existierenden Benutzerkonto in der Zielstruktur zusammenzuführen, müssen Sie als Erstes mit ADMT die entsprechenden Benutzerkonten in die Zielstruktur übernehmen.
7
Haben Sie die Benutzerkonten übernommen und ist sichergestellt, dass Sie sich mit einem Benutzerkonto angemeldet haben, das sowohl in der Quell- als auch in der Zielstruktur über entsprechende Administratorrechte verfügt, können Sie mit dem Befehl Move-Mailbox -Identity -TargetDatabase Mailbox Database -AllowMerge $true das Postfach von der Quell- in die Zielstruktur verschieben. Führen Sie diesen Befehl aus, werden die Postfächer in der Quellstruktur nicht gelöscht. Diese müssen Sie nach dem erfolgreichen Verschieben manuell löschen, in diesem Fall können Sie nicht die Option SourceMailboxCleanupOptions verwenden.
8.6
8 9 10
E-Mail-(aktivierte-)Benutzer
11
E-Mail-(aktivierte-)Benutzer verfügen im Gegensatz zu postfachaktivierten Benutzern über kein Postfach in der Exchange-Organisation, aber über ein Benutzerkonto in einer Domäne der Gesamtstruktur. Sie können bei der E-Mail-Aktivierung eines Benutzers eine beliebige externe E-Mail-Adresse erstellen. Dadurch ist das Benutzerkonto zwar per E-Mail in der Organisation erreichbar, allerdings nicht über die Exchange Server der Organisation, sondern über eine eigene E-Mail-Adresse, die zum Beispiel auf einem externen Server liegen kann. Die E-Mail-Adressen werden in den Benutzereigenschaften des Anwenders gespeichert, sodass der Benutzer per E-Mail erreichbar ist.
12 13 14
E-Mail-(aktivierte-)Benutzer können E-Mails über diese Organisation empfangen, jedoch keine versenden. Dies ist ausschließlich über den externen E-Mail-Server des Benutzers möglich. E-Mail-(aktivierte-)Benutzer sind ähnlich wie Kontakte, aber mit dem Unterschied, dass Kontakte nicht über ein Konto innerhalb des Active Directory verfügen und sich anmelden können. E-Mail-(aktivierte-)Benutzer können wie Kontakte von allen Empfängern Ihrer Organisation per E-Mail erreicht werden.
15
457
Benutzerverwaltung
Sie legen E-Mail-(aktivierte-)Benutzer über die Exchange-Verwaltungsshell über den Befehl new-mailuser an. Mit dem Befehl new-mailuser -name maierg -firstname Gerlinde -lastname maier -externalemailaddress [email protected] -organizationalunit contoso.com/users legen Sie zum Beispiel einen externen Benutzer Gerlinde Maier mit der externen E-Mail-Adresse [email protected] an (siehe Abbildung 8.92). Abbildung 8.92: Anlegen eines E-Mail-(aktivierten-)Benutzers
Haben Sie den Befehl eingetragen, müssen Sie noch ein Kennwort eingeben sowie den UPN (User Principal Name) des neuen Benutzers. Haben Sie den Benutzer angelegt, wird dieser im Snap-In Active Directory-Benutzer und -Computer unter der entsprechenden OU angezeigt. Hierüber können Sie sich auch die externe E-MailAdresse anzeigen lassen. Wollen Sie einen E-Mail-(aktivierten-)Benutzer über die Exchange-Verwaltungskonsole anlegen, klicken Sie mit der rechten Maustaste auf den Menüpunkt E-Mail-Kontakte unter Empfängerkonfiguration. Wählen Sie aus dem Kontextmenü die Option Neuer E-Mail-Benutzer aus (siehe Abbildung 8.93). Abbildung 8.93: Anlegen eines neuen E-MailBenutzers
Im Anschluss startet der Assistent zum Anlegen neuer E-Mail-Benutzer (siehe Abbildung 8.94). Sie können an dieser Stelle entweder ein neues Benutzerkonto anlegen oder ein bereits vorhandenes für E-Mail aktivieren. Auf der nächsten Seite des Assistenten legen Sie die Kontodaten des Benutzers fest, analog zum Anlegen neuer Postfächer (siehe Abbildung 8.95).
458
E-Mail-(aktivierte-)Benutzer
Abbildung 8.94: Erstellen eines neuen E-MailBenutzers
1 2 3 4 5 6 7 Abbildung 8.95: Pflege der Kontodaten für eine neuen E-MailBenutzer
8 9 10 11 12 13 14 15
459
Benutzerverwaltung
Auf der nächsten Seite legen Sie die externe E-Mail-Adresse des E-Mail-(aktivierten-) Benutzers fest (siehe Abbildung 8.96). Schreiben Empfänger Ihrer Organisation E-Mails an diesen Benutzer, werden die E-Mails der externen E-Mail-Adresse dieses Anwenders zugestellt. Achten Sie darauf, dass Sie auch die entsprechenden Connectoren einrichten müssen (siehe Kapitel 5). Abbildung 8.96: Pflege der externen E-Mail-Adresse des E-Mail-(aktivierten-)Benutzers
Schließen Sie die Erstellung ab. Im Anschluss wird der E-Mail-(aktivierte-)Benutzer in der Exchange-Verwaltungskonsole unterhalb der E-Mail-Kontakte angezeigt (siehe Abbildung 8.97). Abbildung 8.97: Anzeigen des neuen E-Mail-Benutzers
E-Mail eines E-Mail-(aktivierten-)Benutzers deaktivieren Wollen Sie ein Benutzerkonto zwar weiterhin für die Anmeldung verwenden, aber die E-Mail-Aktivierung aufheben, verwenden Sie am besten wieder die ExchangeVerwaltungskonsole. Sie können die E-Mail-Adresse des Benutzers über das Kontextmenü entfernen (siehe Abbildung 8.98). 460
E-Mail-(aktivierte-)Benutzer
Abbildung 8.98: Entfernen der E-Mail-Adresse eines E-MailBenutzers
1 2 3 4
Zum Deaktivieren der E-Mail-Funktion eines E-Mail-(aktivierten-)Benutzers in der Exchange-Verwaltungsshell geben Sie den Befehl disable-mailuser <externe E-MailAdresse> ein (siehe Abbildung 8.99). Im Anschluss müssen Sie die Deaktivierung noch mit (Y) bestätigen. Das Benutzerkonto an sich bleibt aktiviert, und der Anwender kann sich weiterhin normal anmelden.
5
Abbildung 8.99: Deaktivieren der E-Mail-Funktion eines E-Mail(aktivierten-) Benutzers
6 7
8 9 10 Abbildung 8.100: Anzeigen der Daten eines E-Mail(aktivierten-) Benutzers
11 12 13 14 15
461
Benutzerverwaltung
8.7
Kontakte verwalten
Kontakte sind ebenfalls Empfänger in Exchange 2007 und haben keine E- MailAdresse innerhalb der Organisation. Kontakte stehen den Empfängern Ihrer Organisation zur Verfügung und verweisen auf eine externe E-Mail-Adresse. Sie sind daher den E-Mail-(aktivierten-)Benutzern ähnlich, unterscheiden sich jedoch dadurch, dass sie kein Benutzerkonto im Active Directory haben und nur als Verweis auf eine externe E-Mail-Adresse dienen. Viele Optionen, zum Beispiel die Weiterleitung einzelner E-Mails oder ganzer Postfächer, sind oft nur zu Objekten innerhalb des Adressbuches und daher mit Kontakten möglich. Da Kontakte im Adressbuch der Benutzer angezeigt werden, können an verschiedenen Stellen Weiterleitungen und Regeln auch für öffentliche Ordner definiert werden, die auf Kontakte verweisen. Durch das Anlegen eines Kontakts vermeiden Sie außerdem Schreibfehler innerhalb der Adresse neuer E-Mails. Dies ist insbesondere interessant, wenn eine größere Personengruppe in Ihrem Active Directory Zugriff auf die Kontaktdaten benötigt. Da Kontakte auch Exchange-Empfänger sind, können Sie nach der Erstellung die Eigenschaften des Kontakts bearbeiten. Die Einstellungen sind zwar nicht so umfangreich wie die von Benutzerobjekten, Sie können jedoch einige Konfigurationen vornehmen, die analog zu den Einstellungen der Empfänger sind. Um einen neuen Kontakt zu erstellen, gehen Sie genauso vor wie bei der Erstellung eines neuen Benutzers mit Postfach:
1. Öffnen Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zum Menü Empfängerkonfiguration/E-Mail-Kontakt. 3. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich, und wählen Sie die Erstellung eines neuen Kontaktes aus. Alternativ finden Sie diesen Befehl auch im Aktionsbereich (siehe Abbildung 8.101). Abbildung 8.101: Erstellen eines neuen E-MailKontakts
Im Anschluss startet der Assistent zum Erstellen eines neuen Kontakts (siehe Abbildung 8.102).
462
Kontakte verwalten
Abbildung 8.102: Erstellen eines neuen Kontakts
1 2 3 4 5 6 7 Auf der nächsten Seite des Assistenten geben Sie die Daten des Kontakts ein (siehe Abbildung 103). Klicken Sie auf die Schaltfläche Bearbeiten, können Sie die externe E-Mail-Adresse für den Kontakt eingeben.
8 Abbildung 8.103: Anlegen der E-MailAdresse eines Kontakts
9 10 11 12 13 14 15
463
Benutzerverwaltung
Auf der nächsten Seite des Assistenten sehen Sie eine Zusammenfassung Ihrer Daten. Über die Schaltfläche Neu wird der Kontakt erstellt. Im Anschluss wird Ihnen im Abschlussfenster wieder der entsprechende Befehl für die Exchange-Verwaltungsshell angezeigt (siehe Abbildung 8.104). Abbildung 8.104: Erstellen eines neuen E-MailKontakts
Der neue Kontakt wird in der Exchange-Verwaltungskonsole angezeigt, und Sie können dessen Eigenschaften jederzeit bearbeiten (siehe Abbildung 8.105). Abbildung 8.105: Anzeigen der Kontakte in der Exchange-Verwaltungskonsole
Ihre Anwender können in Outlook auf die Kontakte im Adressbuch zugreifen. Externe Kontakte werden durch ein eigenes Icon in der globalen Adressliste angezeigt (siehe Abbildung 8.106).
464
Verteilergruppen verwalten
Abbildung 8.106: Anzeigen eines Kontakts im globalen Adressbuch
1 2 3 4 5 6 7 Neben dem Anlegen von neuen Kontakten können Sie in der Exchange-Verwaltungskonsole auch vorhandene Kontakte aus dem Active Directory E-Mail-aktivieren.
8
8.8
9
Verteilergruppen verwalten
Da Exchange Server 2007 kein eigenes Verzeichnis mehr hat, sondern das Active Directory nutzt, gibt es in Exchange auch keine eigenen Verteilerlisten mehr. Exchange nutzt die Gruppen des Active Directorys. Außer normalen Gruppen wurden in Exchange Server 2007 die dynamischen (abfragebasierten) Verteilergruppen verwendet. Diese Gruppen werden durch dynamische mit LDAP-Abfragen an das Active erstellt, um die Gruppenmitglieder zu bestimmen. Sie können mit den dynamischen Gruppen die Mitgliedschaft einzelner Benutzer anhand deren Eigenschaften steuern und müssen diese nicht statisch einer Gruppe zuordnen. Diese Art von Gruppen ist daher extrem flexibel.
10 11 12
Gruppen sind Container, die alle anderen Empfängerobjekte enthalten können, postfachaktivierte oder E-Mail-(aktivierte-)Benutzer, öffentliche Ordner, Kontakte oder andere Gruppen. Eine E-Mail, die an eine Gruppe geschickt wird, stellt Exchange allen Mitgliedern dieser Gruppe zu.
13 14
Legen Sie eine neue Gruppe an, wird diese im Adressbuch alphabetisch zwischen den anderen Empfängerobjekten angeordnet. Bei einer großen Anzahl von Gruppen ist es sinnvoll, diese zusammengefasst anzuzeigen. In der Praxis hat es sich für mich bewährt, einen Punkt (.) vor die Gruppe zu stellen und so zum Beispiel die Bezeichnung der Gruppe Einkaufsabteilung als .Einkaufsabteilung darzustellen. Der Punkt fällt nicht weiter auf, und es werden alle Gruppen direkt hintereinander alphabetisch vor den Empfängern einsortiert.
15
TIPP
465
Benutzerverwaltung
8.8.1
Erstellen einer neuen Verteilergruppe
Verteilergruppen legen Sie in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Verteilergruppe an. Um eine neue Verteilergruppe anzulegen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich oder wählen den entsprechenden Befehl im Aktionsbereich aus (siehe Abbildung 8.107). Abbildung 8.107: Erstellen einer neuen Verteilergruppe
Im Anschluss startet der Assistent zum Erstellen neuer Verteilergruppen. Sie können neue Gruppen erstellen oder bereits vorhandene Gruppen aus dem Active Directory E-Mail-aktivieren (siehe Abbildung 8.108). Abbildung 8.108: Erstellen einer neuen Verteilergruppe
Auf der nächsten Seite des Assistenten wählen Sie den Gruppentyp sowie den Namen der Gruppe aus. Windows unterscheidet dabei zwischen E-Mail-aktivierten Sicherheitsgruppen und Verteilergruppen. Im E-Mail-Empfang unterscheiden sich beide Gruppen nicht. E-Mail-aktivierte Sicherheitsgruppen können jedoch außer als Verteilerliste auch zum Definieren von Zugriffsrechten verwendet werden. Sie kön-
466
Verteilergruppen verwalten
nen durch das Anlegen von E-Mail-aktivierten Sicherheitsgruppen die Anzahl Ihrer Gruppen stark einschränken. Verteilergruppen können, wie der Name schon sagt, nur als Verteilergruppe verwendet werden. Abbildung 8.109: Festlegen des Gruppentyps und des Gruppennamens
1 2 3 4 5 6 7
8 Abbildung 8.110: Fertigstellung einer neuen Verteilergruppe
9 10 11 12 13 14 15
467
Benutzerverwaltung
Im Anschluss können Sie die Erstellung der Gruppe abschließen, genauso wie die Erstellung eines neuen Benutzerpostfachs. Auch hier erhalten Sie wieder entsprechende Informationen über den Befehl in der Exchange-Verwaltungsshell, mit dem Sie die Gruppe hätten anlegen können (siehe Abbildung 8.110). Im Anschluss wird die Gruppe erstellt, und Sie können deren Eigenschaften in der Exchange-Verwaltungskonsole aufrufen.
8.8.2
Weitere Informationen zu Verteilergruppen
Rufen Sie in der Exchange-Verwaltungskonsole die Eigenschaften einer Verteilergruppe auf, können Sie die grundlegenden Einstellungen ändern sowie die Gruppenmitgliedschaften festlegen (siehe Abbildung 8.111). Abbildung 8.111: Verwalten von Verteilergruppen in Exchange Server 2007
Gruppen, die Sie in Exchange Server 2007 anlegen, werden automatisch als universale Verteilergruppen angelegt. Sie sehen den Gruppenbereich allerdings nur im Snap-In Active Directory-Benutzer und -Computer, und er kann auch nur hier angepasst werden. Gruppenmitgliedschaften sowie einige Einstellungen, die nicht Exchange-spezifisch sind, können Sie auch direkt im Snap-In Active Directory-Benutzer und -Computer konfigurieren. Sie sollten allerdings möglichst alle Einstellungen für Verteilergruppen in der Exchange-Verwaltungskonsole durchführen, nicht im Snap-In Active DirectoryBenutzer und -Computer, um Fehlkonfigurationen zu vermeiden. Im Active Directory werden die folgenden vier Gruppentypen unterschieden: ■ ■ ■ ■
Lokal Domänenlokal Global Universal
Bei der Unterscheidung und Verwendung dieser Gruppen müssen folgende Bereiche beachtet werden: ■
468
Lokale Gruppen werden für die Zusammenfassung von globalen Gruppen oder in Ausnahmefällen von Benutzern eingesetzt, denen Zugriffsberechtigungen
Verteilergruppen verwalten
■
■
erteilt werden. Aus lokalen Gruppen werden beim Wechsel in den einheitlichen Modus von Active Directory automatisch domänenlokale Gruppen. Der Unterschied besteht darin, dass diese Gruppen einheitlich auf allen Windows 2000-, Windows XP- und Windows Server 2003-Mitgliedssystemen sowie Windows NT-Maschinen der Domäne zu sehen sind. Der Vorteil ist, dass damit eine lokale Gruppe im einheitlichen Modus nur einmal pro Domäne definiert werden muss. Globale Gruppen sind überall in der Gesamtstruktur sichtbar, können aber nur Mitglieder aus der eigenen Domäne enthalten. Globale Gruppen können Mitglied von lokalen und universellen Gruppen werden. Im einheitlichen Modus können globale Gruppen zudem verschachtelt werden. Ein weiterer Gruppentyp sind die universellen Gruppen. Alle Informationen über Zugehörigkeiten zu universellen Gruppen werden auf den globalen Katalog-Servern gespeichert. Universale Gruppen sind eine Verbindung aus lokalen und globalen Gruppen. Wie die lokalen Gruppen können sie Mitglieder von überall her enthalten. Wie die globalen Gruppen sind sie überall sichtbar. Die Mitgliedschaft sollte auf globale Gruppen beschränkt werden. Universale Gruppen können andere universale Gruppen enthalten. Beim Einsatz von universalen Gruppen muss wohlüberlegt vorgegangen werden, da bei fehlerhafter Konfiguration erhebliche Konsequenzen für die Netzlast entstehen können. Im Gegensatz zu lokalen und zu globalen Gruppen werden bei universalen Gruppen nicht nur die Informationen über die Existenz dieser Gruppe, sondern die Informationen über alle Mitglieder dieser Gruppe auf die globalen Katalog-Server repliziert. Das bedeutet, dass eine Vielzahl von Informationen repliziert werden muss, wenn eine universale Gruppe viele Mitglieder hat. Um das zu verhindern, sollten Benutzer in globale Gruppen aufgenommen werden. Diese können entweder für universale oder lokale Gruppen als Mitglied definiert werden. Damit wird die Zahl von Mitgliedern in universalen Gruppen sehr klein gehalten.
1 2 3 4 5 6 7
8
Die Eigenschaften von Gruppen können genauso bearbeitet werden wie die Eigenschaften von Postfächern.
9 Abbildung 8.112: Anzeigen einer Verteilergruppe im Snap-In Active Directory-Benutzer und -Computer
10 11 12 13 14 15
469
Benutzerverwaltung
8.8.3
Verwalten von Verteilergruppen
Um eine Verteilergruppe zu verwalten und deren Exchange-spezifische Einstellungen anzupassen, rufen Sie deren Eigenschaften in der Exchange-Verwaltungskonsole unter Empfängerkonfiguration/Verteilergruppe auf (siehe Abbildung 8.113). Viele Einstellungen sind identisch mit den Einstellungen für Benutzerpostfächer. Auf der Registerkarte Allgemein werden der Name sowie der Alias der Gruppe angezeigt (siehe Abbildung 8.113). Hier wird Ihnen auch der Zeitpunkt der letzten Änderung angezeigt. Abbildung 8.113: Allgemeine Informationen zu einer Verteilergruppe
Auf der Registerkarte Gruppeninformationen können Sie den Namen sowie den Verwalter der Gruppe konfigurieren (siehe Abbildung 8.114). Über die Option Verwaltet von können Sie einen Benutzer oder eine Gruppe aus dem Adressbuch bestimmen, die in Ihrem Auftrag die Mitglieder dieser Gruppe verwalten darf. Diese Benutzer dürfen Mitglieder aus dieser Gruppe entfernen oder aufnehmen. Meistens können diese dazu Outlook verwenden. Auf den beiden Registerkarten Mitglieder/Mitglied von sehen und konfigurieren Sie, welche Objekte Mitglied dieser Gruppe sind und in welchen anderen Gruppen diese Gruppe Mitglied ist. Hier können Sie auch die Gruppenmitgliedschaften ändern. Wird eine E-Mail an die Gruppe geschickt, erhält jedes Mitglied die E-Mail zugestellt. Auf der Registerkarte E-Mail-Adressen stehen, wie bei den Benutzern, alle E-MailAdressen, die dieser Gruppe zugewiesen wurden. Sie können für eine Verteilergruppe auch mehrere E-Mail-Adressen definieren.
470
Verteilergruppen verwalten
Abbildung 8.114: Gruppeninformationen einer Gruppe
1 2 3 4 5 6 7 Auf der Registerkarte Erweitert können einige wichtige Einstellungen vorgenommen werden, die ausschließlich nur für Gruppen gesetzt werden können (siehe Abbildung 8.115). Auf dieser Registerkarte können Sie Feineinstellungen bezüglich des E-Mail-Flusses durch diese Gruppe vornehmen.
8 9
Mit der Option Server für die Aufgliederung der Verteilerlisten können Sie steuern, welcher Exchange Server die Mitglieder der Gruppe auflöst, um E-Mails an deren Postfach zuzustellen. Bei einer großen Anzahl von Gruppenmitgliedern, vielen Gruppen und zahlreichen E-Mails, die über Gruppen verschickt werden, kann es aus Performancegründen sinnvoll sein, einen Exchange Server zu konfigurieren, der vielleicht sonst keine allzu großen anderen Aufgaben hat. Dadurch werden Server mit vielen Postfächern deutlich entlastet.
10 11
Aktivieren Sie die Option Gruppe nicht in Exchange-Adresslisten anzeigen, wird die Gruppe nicht in den Adressbüchern angezeigt, kann jedoch über ihre SMTP-Adresse erreicht werden.
12
Ist die Option Abwesenheitsnachrichten an Urheber der Nachrichten senden aktiviert, werden Abwesenheitsnachrichten an Absender der Nachrichten geschickt, die an diese Gruppe verschickt wurden. Standardmäßig ist diese Option nicht aktiviert. Haben Mitglieder dieser Gruppe in Outlook den Abwesenheits-Assistenten aktiviert, werden standardmäßig keine Abwesenheitsnachrichten an Absender verschickt, die eine E-Mail über diese Gruppe verschickt haben. Zusätzlich können Sie hier Übermittlungsberichte konfigurieren.
13 14 15
Die Einstellungen auf der Registerkarte Nachrichtenübermittlungseinstellungen sind grundsätzlich identisch mit den Einstellungen für Benutzerpostfächer.
471
Benutzerverwaltung
Abbildung 8.115: Erweiterte Einstellungen für Gruppen
Interessant sind auf dieser Registerkarte die Eigenschaften der Einschränkungen für die Nachrichtenübermittlung. In Exchange Server 2007 ist für Gruppen standardmäßig die Option Authentifizierung aller Absender anfordern aktiviert. Ist diese Einstellung aktiviert, kann diese Gruppe nicht über das Internet erreicht werden (siehe Abbildung 8.116). Abbildung 8.116: Absicherung von Verteilergruppen
472
Verteilergruppen verwalten
Es kann unter Umständen passieren, dass der Alias einer Verteilerliste im Internet bekannt wird. Schickt ein Spam-Versender an den Alias dieser Verteilerliste eine E-Mail, bekommen alle Mitglieder dieser Liste die E-Mail zugestellt. Sie können diese Gefahr allerdings recht schnell beseitigen, indem Sie diese Option aktivieren (siehe auch Kapitel 13). Ab diesem Moment nimmt diese Liste keine E-Mails mehr von Benutzern außerhalb des Active Directory an.
8.8.4
1 2
Dynamische (abfragebasierte) Verteilergruppen
Dynamische Verteilergruppen bieten exakt dieselbe Funktionalität wie eine normale Verteilergruppe. Sie kann nur als E-Mail-Verteiler und nicht als Sicherheitsprinzipal verwendet werden. Die Mitglieder der dynamischen Verteilergruppe werden bei jedem E-Mail-Sendevorgang neu definiert. Das heißt, Sie sparen mit der Generierung dieser Verteilergruppen deutlich administrative Aufgaben ein, da Sie nicht ständig statische Mitgliedergruppen definieren müssen.
3 4
Auf der anderen Seite belasten diese Gruppen die Performance Ihrer Exchange Server, da bei jedem Sendevorgang LDAP-Abfragen durchgeführt werden müssen. Beachten Sie diesen Gesichtspunkt bei der Planung Ihrer Serverhardware. Die aktuellen Mitglieder einer dynamischen Verteilergruppe können nicht im Adressbuch überprüft werden, da sich diese ständig dynamisch ändern.
5 6
Der Sendevorgang über eine dynamische Verteilergruppe läuft etwas anders ab als der Vorgang beim Senden zu einer normalen Gruppe, deren Mitglieder statisch festgelegt wurden:
1. 2.
3.
4. 5.
7
Beim Versenden wird die E-Mail zunächst in die Warteschlange des Exchange Servers gestellt. Der Categorizer stellt fest, dass es sich um eine dynamische Verteilergruppe handelt. Der Categorizer regelt in Exchange Server 2007 den Nachrichtenfluss. Er stellt fest, ob es sich bei einer E-Mail um eine Zustellung innerhalb der Organisation handelt oder ob die E-Mail über einen Connector nach extern verschickt werden muss. Außerdem ist er für die Auflösung der Empfängernamen zuständig. Der Categorizer baut als Nächstes eine LDAP-Verbindung zum Global Catalog auf. Haben Sie einen dedizierten Server zum Auflösen der Verteilergruppen definiert, wird die E-Mail an diesen Server weitergeschickt. Versenden Sie eine EMail über eine Gruppe, deren Mitglieder über mehrere Exchange Server innerhalb Ihrer Organisation verteilt sind, muss der sendende Server jeweils für jedes Mitglied der Gruppe den entsprechenden Homeserver des Benutzers auflösen. Der Global Catalog Server führt die Abfrage der Gruppe durch und gibt das Ergebnis an den Categorizer zurück. Dieser baut die Adressliste auf und schickt die E-Mail an die entsprechenden Mitglieder der Gruppe weiter.
8.8.5
8 9 10 11 12 13 14
Erstellen von neuen dynamischen Verteilergruppen
15
Dynamische Verteilergruppen erstellen Sie am besten in der Exchange-Verwaltungskonsole:
1.
Navigieren Sie zu Empfängerkonfiguration/Verteilergruppe, und klicken Sie mit der rechten Maustaste in den Ergebnisbereich. 473
Benutzerverwaltung
2.
Wählen Sie im Kontextmenü den Befehl Neue dynamische Verteilergruppe aus (siehe Abbildung 8.117). Alternativ können Sie den Befehl auch über den Aktionsbereich auswählen.
Abbildung 8.117: Erstellen einer neuen dynamischen Verteilergruppe
Im Anschluss startet der Assistenten für das Erstellen von dynamischen Verteilergruppen. Über diesen Assistenten können Sie deutlich einfacher dynamische Gruppen erstellen wie noch unter Exchange Server 2003. Abbildung 8.118: Assistent zum Erstellen dynamischer Verteilergruppen
3. Auf der ersten Seite des Assistenten wählen Sie die OU aus, in der das Active
4.
474
Directory-Objekt der Gruppe angelegt werden soll. Zusätzlich geben Sie auf dieser Seite den Namen der Gruppe an sowie deren Alias. Auf der nächsten Seite des Assistenten wählen Sie zunächst aus, welche Empfängertypen durch die dynamische Verteilergruppe erfasst werden sollen. In dem nächsten Fenster können Sie spezifischere Filter hinterlegen, hier wählen Sie zunächst die Empfänger aus (siehe Abbildung 8.120).
Verteilergruppen verwalten
Abbildung 8.119: Konfiguration der Gruppeninformationen für eine neue dynamische Verteilergruppe
1 2 3 4 5 6 7
Abbildung 8.120: Auswählen der Empfängertypen für die dynamische Verteilergruppe
8 9 10 11 12 13 14 15
5. Auf der nächsten Seite wählen Sie die Bedingung aus, auf deren Basis die Verteilergruppe dynamisch erstellt werden soll. Als Nächstes geben Sie den Wert ein, auf dessen Basis die Mitglieder ausgewählt werden sollen (siehe Abbildung 8.121). Klicken Sie auf die Schaltfläche Vorschau, wird Ihnen angezeigt, wie die 475
Benutzerverwaltung
Gruppe zum aktuellen Zeitpunkt aussehen würde. Arbeiten Sie mit dynamischen Gruppen, sollten Sie darauf achten, dass Sie die entsprechenden abgefragten Werte in den Benutzerobjekten sauber pflegen. Nur dann ist sichergestellt, dass die Gruppe immer korrekt aufgebaut wird. Abbildung 8.121: Konfiguration des Filters einer dynamischen Verteilergruppe
Abbildung 8.122: Zusammenfassung der Einstellungen für eine dynamische Verteilergruppe
476
Verteilergruppen verwalten
6. In dem nächsten Fenster werden Ihre Eingaben nochmals zusammenfassend
7.
angezeigt. Klicken Sie auf Neu, wird die dynamische Gruppe angelegt (siehe Abbildung 8.122). In dem letzten Fenster des Assistenten wird der Status der Erstellung angezeigt. Zusätzlich sehen Sie hier wie immer den Befehl für die Exchange-Verwaltungsshell (siehe Abbildung 8.123).
1
Abbildung 8.123: Fertigstellen einer neuen dynamischen Verteilergruppe
2 3 4 5 6 7
8 9 8. Die Gruppe wird im Anschluss in der Exchange-Verwaltungskonsole angezeigt
10
(siehe Abbildung 8.124). Sie können deren Eigenschaften jederzeit nachträglich bearbeiten. Abbildung 8.124: Anzeigen einer erstellten dynamischen Verteilergruppe
11 12 13 14 15
In Outlook 2007 werden in der Ansicht des Adressbuches dynamische Verteilergruppe mit einem etwas anderen Symbol als herkömmliche Verteilergruppen angezeigt, werden aber auf die gleiche Weise verwendet (siehe Abbildung 8.125).
477
Benutzerverwaltung
Abbildung 8.125: Verwenden von dynamischen Verteilergruppen in Outlook 2007
Den Filter und die Bedingungen sowie alle anderen Eigenschaften einer dynamischen Verteilergruppe können Sie über die Exchange-Verwaltungskonsole jederzeit anpassen (siehe Abbildung 8.126). Abbildung 8.126: Anpassen dynamischer Verteilergruppen
478
Verteilergruppen verwalten
Im Gegensatz zu normalen Verteilergruppen können im Snap-In Active DirectoryBenutzer und -Computer keine Eigenschaften angepasst werden. Dynamische Verteilergruppen werden zwar als Objekt angezeigt, können aber nicht konfiguriert werden, mit Ausnahme der Sicherheitseinstellungen (siehe Abbildung 8.127).
1 Abbildung 8.127: Dynamische Verteilergruppen im Snap-In Active Directory-Benutzer und -Computer
2 3 4 5 6 7
8 8.8.6
Dynamische Verteilergruppen über die ExchangeVerwaltungsshell erstellen und verwalten
9
Reichen Ihnen die angezeigten Filter nicht aus, müssen Sie die dynamische Verteilergruppe über die Exchange-Verwaltungsshell erstellen: ■
■ ■
10
Hier haben Sie über den Befehl new-DynamicDistributionGroup deutlich mehr Möglichkeiten als über die grafische Oberfläche in der Exchange-Verwaltungskonsole. Ein Beispiel wäre New-DynamicDistributionGroup -Name ContosoEinkauf -OrganizationalUnit Contoso.com/Users -RecipientContainer Contoso.com/ Users -IncludedRecipients MailboxUsers -ConditionalDepartment Einkauf -ConditionalCompany Contoso. Bereits erstellte dynamische Verteilergruppen können mit dem Befehl set-DynamicDistributionGroup bearbeitet werden. Über den Befehl get-DynamicDistributionGroup können Sie sich die bereits erstellten dynamischen Verteilergruppen in der Exchange-Verwaltungsshell anzeigen lassen (siehe Abbildung 8.128). Über Get-DynamicDistributionGroup -Identity ContosoEinkauf | format-list *Recipient*,Included* können Sie sich detaillierte Informationen anzeigen lassen.
11 12 13 14 Abbildung 8.128: Anzeigen der dynamischen Verteilergruppen in der Exchange-Verwaltungsshell
479
15
Benutzerverwaltung
Erstellen von benutzerdefinierten Filtern für dynamische Verteilergruppen Wollen Sie Filter verwenden, die nicht in der Exchange-Verwaltungskonsole beim Erstellen dynamischer Verteilergruppen angezeigt werden, können Sie in der Exchange-Verwaltungsshell benutzerdefinierte Filter erstellen. Wollen Sie beispielsweise eine neue dynamische Verteilergruppe erstellen, die alle Benutzerpostfächer des Unternehmens Contoso enthält und deren Büro sich im Gebäude DLZ befindet, müssen Sie einen benutzerdefinierten Filter erstellen. Der Befehl dazu ist: New-DynamicDistributionGroup -Name AlleContosoDLZ -OrganizationalUnit contoso.com/Users –RecipientFilter { ((RecipientType –eq 'UserMailbox') –and (Company –eq 'Contoso') –and (Office –eq DLZ')) } Neben dem Operator eq gibt es noch weitere, die Sie verwenden können. In der folgenden Liste sehen Sie die wichtigsten Operatoren: ■ ■ ■ ■ ■ ■ ■ ■ ■
Ausführlichere Hilfen für die Anwendung der Operatoren erhalten Sie in der Exchange-Verwaltungsshell über die Befehle: ■ ■
Help about_logical_operator Help about_comparison_operator
Wollen Sie sich alle Attribute anzeigen lassen, die Sie in den Filtern verwenden können, geben Sie die folgenden Befehle in der Exchange-Verwaltungsshell ein:
1. 2. 3.
$schema=new-object Microsoft.Exchange.Data.Directory.Recipient.ADRecipientObjectsSchema« $schema.AllFilterableProperties | sort name | ft name [Microsoft.Exchange.Data.Directory.Recipient.ADRecipientProperties]::Instance.AllFilterableProperties | sort name | ft name
8.8.7
Optimieren dynamischer Verteilergruppen
Bei einer hohen Anzahl dynamischer (abfragebasierter) Verteilergruppen oder bei vielen Benutzern kann es sinnvoll sein, Ihr Exchange-System für die Arbeit mit abfragebasierten Gruppen zu optimieren.
Definieren eines dedizierten Servers zum Auflösen von Verteilergruppen Versenden Sie eine E-Mail über eine Gruppe, deren Mitglieder über mehrere Exchange Server innerhalb Ihrer Organisation verteilt sind, muss der sendende Server jeweils für jedes Mitglied der Gruppe den entsprechenden Homeserver des Benutzers auflösen.
480
Verteilergruppen verwalten
Bei einer großen Anzahl von Gruppenmitgliedern, vielen Gruppen und zahlreichen E-Mails, die über Gruppen verschickt werden, kann es aus Performancegründen sinnvoll sein, einen dedizierten Exchange Server zu konfigurieren, der vielleicht sonst keine allzu großen Aufgaben hat. Dadurch werden Server mit vielen Postfächern deutlich entlastet.
1
Sie können für jede Verteilergruppe einen Server definieren, der zum Auflösen der einzelnen Gruppenmitglieder verwendet wird. Wirklich lohnenswert ist dies allerdings nur bei entsprechend großen Gruppen mit vielen Mitgliedern. Sie finden diese Einstellung auf der Registerkarte Erweitert der Verteilergruppe in der Exchange-Verwaltungskonsole (siehe Abbildung 8.129).
2 3 Abbildung 8.129: Konfiguration eines Servers für die Aufgliederung von Verteilerlisten
4 5 6 7
8 9 10 11 Indizieren des Active Directory-Schemas Eine weitere Möglichkeit zur Optimierung ist die Indizierung der Attribute im Active Directory, die Sie zum Aufbau der dynamischen Verteilergruppen verwenden. Um die Indizierung für einzelne Attribute des Active Directory zu aktivieren, benötigen Sie das Snap-In Active Directory-Schema. Dieses Snap-In wird standardmäßig nicht angezeigt.
12 13
Die Struktur eines Verzeichnisses wird Schema genannt. In einem Schema ist genau definiert, welche Informationen auf welche Art gespeichert werden sollen. Jede relationale Datenbank hat ein solches Schema. Da ein Verzeichnisdienst wie das Active Directory möglichst viele Informationen speichern soll, ist es unerlässlich, dass definiert wird, welche Informationen wo im Verzeichnis gespeichert werden können. Es muss festgelegt werden, ob manche Informationen zwingend eingegeben werden müssen und ob andere Informationen nur optional sind.
14 15
481
Benutzerverwaltung
Sie können sich das Active Directory als große leere Lagerhalle vorstellen. Damit diese gefüllt werden kann, muss es Regale (Regeln) und Anweisungen (Definitionen) geben, wo Waren gelagert werden sollen und wie die Arbeitsprozesse für diese Lagerung definiert sind. Das Active Directory speichert die Daten, das Schema definiert, wie sie gespeichert werden. Der Aufbau des Schemas ist recht einfach. Es gibt Objekte und es gibt Attribute. Die Attribute sind Objekten zugeordnet. Jeder Verzeichniseintrag ist ein Objekt. Am Beispiel des Active Directory sind Objekte also Benutzer, Computer, Freigaben oder Drucker. Das Active Directory verfügt über ein erweiterbares Schema. Dieses gibt die Möglichkeit, flexibel zusätzliche Informationen im Verzeichnis zu speichern. Dadurch können neue Anwendungen wie zum Beispiel der Exchange Server ihre speziellen Informationen im Verzeichnis ablegen. Jeder Benutzer, jeder Computer und Drucker und jede Freigabe ist ein Objekt. Die Informationen, die für einzelne Benutzer hinterlegt werden können, zum Beispiel Vornamen, Nachnamen, Anmeldenamen, Telefonnummer usw., werden als Attribute bezeichnet. Das Schema definiert genau, welche Objekte mit welchen Attributen im Active Directory angelegt werden können. Ohne das Schema wäre ein Active Directory ein wilder Haufen von Informationen, die unmöglich abgefragt werden könnten. Durch das erweiterbare Schema lassen sich jederzeit zusätzliche Objekteigenschaften hinzufügen. Diese Funktion wird beispielsweise von Exchange Server 2007 genutzt. Alle notwendigen Informationen zu einem E-Mail-Postfach werden im Active Directory abgelegt. Bei der Installation von Exchange Server 2007 wird das Schema des Active Directory um die notwendigen Attribute und Klassen erweitert. Das Active Directory kennt schon ohne die Installation von Exchange Hunderte von Objektklassen und Attributtypen. Zu den wichtigsten gehören: ■
■
Das Objekt User – Dieses Objekt definiert einen bestimmten Benutzer in einer Domäne. Zu den Attributen, die für das Objekt definiert werden können, gehören beispielsweise der Benutzername, der Vor- und Nachname des Benutzers, seine Adresse und Telefonnummer, ein Bild des Benutzers. Das Objekt Computer – Dieses Objekt identifiziert Systeme, die zu einer Domäne gehören. Zu den Attributen gehören Betriebssystem und installierte Service Packs, DNS-Name und die Rolle des Systems in der Domäne.
Nach der Installation des ersten Domänencontrollers in Active Directory ist dieser automatisch der Schemamaster. Nur auf dem Schemamaster kann das Schema verändert werden. Führen Sie eine Schemaänderung auf einem anderen Domänencontroller durch, werden Sie auf den Schemamaster verbunden. Steht der Schemamaster nicht zur Verfügung, ist der laufende Betrieb des Active Directory nicht beeinträchtigt. Der Schemamaster wird nur zur Erweiterung des Schemas benötigt. Damit ein Administrator Änderungen am Schema vornehmen kann, muss er Mitglied in der speziellen Gruppe Schema-Administratoren sein. Damit Sie den Schemamaster angezeigt bekommen und das Schema indizieren können, müssen Sie in einer Managementkonsole (MMC) das Snap-In Active DirectorySchema öffnen. Dieses Snap-In wird aus Sicherheitsgründen nicht angezeigt, es ist aber bereits auf dem Domänencontroller installiert. Geben Sie unter Start/Ausführen oder in einer Befehlszeile den Befehl regsvr32 schmmgmt.dll ein, um die dll des
482
Verteilergruppen verwalten
Snap-Ins in Windows zu registrieren (siehe Abbildung 8.130). Nach der Eingabe dieses Befehls erhalten Sie eine Information, dass die dll-Datei in Windows registriert wurde. Abbildung 8.130: Registrieren der DLL für das Snap-In Active DirectorySchema
1 2 3 4 5
Haben Sie das Snap-In erfolgreich registriert, können Sie in der Managementkonsole das Snap-In Active Directory-Schema hinzufügen (siehe Abbildung 8.131).
6
Sollte das Snap-In in der Auswahl nicht zur Verfügung stehen, müssen Sie zuvor noch das Adminpak für Windows 2003 installieren. Sie finden dieses Adminpak unter windows\system32\adminpak.msi auf Ihrem Server. Nach der Installation steht Ihnen das Snap-In Active Directory-Schema bei der Auswahl der Snap-Ins in einer Managementkonsole zur Verfügung, nicht jedoch in der Programmgruppe für die Verwaltung.
7
8
Sie müssen bei der Arbeit mit dem Snap-In sehr sorgfältig vorgehen, da Sie direkt in die Active Directory-Datenbank eingreifen. Bei einem Fehler während der Arbeit mit dem Snap-In besteht die Gefahr, dass Sie Ihr Active Directory dauerhaft beschädigen.
9 10 Abbildung 8.131: Hinzufügen des Snap-Ins zur Verwaltung des Active Directory-Schemas
11 12 13 14 15
483
Benutzerverwaltung
Rufen Sie die Eigenschaften der einzelnen Attribute auf, die Sie für Ihre LDAP-Abfragen verwenden, und aktivieren Sie den Haken bei der Option Attribut in Active Directory indizieren (Index this attribute in the Active Directory). Dadurch werden die Werte der Benutzer für dieses Attribut indiziert und können viel schneller durch Abfragen aller Art aufgerufen werden. Durch diese Indizierung können Sie die Abfragen Ihrer Verteilergruppe deutlich beschleunigen (siehe Abbildung 8.132). Abbildung 8.132: Indizieren von Attributen im Active Directory
8.9
Adresslisten verwalten
Verschicken Ihre Benutzer E-Mails an andere Benutzer innerhalb der Organisation oder auch nach extern, werden Sie die E-Mail-Adresse der Empfänger normalerweise nicht manuell eingeben, sondern die Namen aus den Adresslisten auswählen. Adresslisten sind eine Sammlung aller Empfängertypen eines bestimmten Bereiches. Standardmäßig gibt es bereits einige Adresslisten, die Sie sich in Outlook anzeigen können. Auf diese Adresslisten können Sie zugreifen, wenn Sie eine neue E-Mail in Outlook schreiben, unabhängig von der Version. Nach der Installation von Exchange Server 2007 stehen sechs Adresslisten zur Verfügung, die von Exchange selbstständig gepflegt werden. Sie müssen keine Konfigurationen durchführen, wenn Sie einen neuen Benutzer, einen neuen öffentlichen Ordner, einen Kontakt oder eine neue Verteilerliste anlegen. Exchange nimmt den oder die neuen Benutzer automatisch in die entsprechenden Adresslisten mit auf. Zu den bereits systemseitig erstellten Adresslisten können Sie jederzeit neue hinzufügen. Meistens verwenden die Benutzer die Globale Standardadressliste, da diese alle E-Mail-Empfänger, Kontakte und öffentlichen Ordner der Organisation enthält (siehe Abbildung 8.133).
484
Adresslisten verwalten
Abbildung 8.133: Standardadresslisten
1 2 3 4 5 6 Die Verwaltung der Adresslisten können Sie in der Exchange-Verwaltungskonsole vornehmen. Öffnen Sie die Organisationskonfiguration, und klicken Sie auf Postfach.
7 Abbildung 8.134: Verwalten der Adresslisten in Exchange Server 2007
8 9 10 11 12
Im Ergebnisbereich werden die Adresslisten angezeigt, wenn Sie auf die Registerkarte Adressliste klicken (siehe Abbildung 8.135).
8.9.1
13
Erstellen und Verwalten neuer Adresslisten 14
Um eine neue Adressliste zu erstellen, welche die Anwender in Outlook und Outlook Web Access verwenden können, starten Sie die Exchange-Verwaltungskonsole und navigieren zu Organisationskonfiguration/Postfach.
15
Klicken Sie im Ergebnisbereich auf die Registerkarte Adresslisten. Sie können eine neue Adressliste entweder durch Rechtsklick auf den Ergebnisbereich erstellen oder den Befehl Neue Adressliste im Aktionsbereich auswählen (siehe Abbildung 8.135).
485
Benutzerverwaltung
Abbildung 8.135: Erstellen einer neuen Adressliste
Im Anschluss startet der Assistent zum Erstellen neuer Adresslisten. Auf der ersten Seite des Assistenten geben Sie die Bezeichnung der Adressliste ein. Die Adressliste wird mit dieser Bezeichnung in Outlook bei den Benutzern angezeigt. Außerdem wählen Sie auf dieser Seite, welche Empfängertypen die Adressliste enthalten soll. Auch den Behälter der Adressliste wählen Sie auf der ersten Seite (siehe Abbildung 8.136). Sie können eine Adressliste entweder im Stammverzeichnis aller Adresslisten anlegen oder als Behälter eine Adressliste auswählen, unter der die neue Adressliste in Outlook angezeigt werden soll. Abbildung 8.136: Erstellen einer neuen Adressliste und Auswahl des Behälters
TIPP
486
Sie können den Behälter einer Adressliste nachträglich nur noch in der ExchangeVerwaltungsshell mit dem Befehl Move-AddressList -Identity -Target anpassen.
Adresslisten verwalten
Auf der nächsten Seite des Assistenten legen Sie die Bedingung fest, unter der Anwender der neuen Adressliste hinzugefügt werden sollen. Anschließend müssen Sie den Wert für die Bedingung festlegen. Klicken Sie auf die Schaltfläche Vorschau, werden alle Empfänger angezeigt, die durch die Adressliste erfasst werden (siehe Abbildung 8.137).
1 Abbildung 8.137: Konfiguration der Bedingung für die neue Verteilerliste
2 3 4 5 6 7
8 9 Die benutzerdefinierten Attribute in dieser Auswahl werden in vielen Auswahlfenstern und Assistenten von Exchange Server angezeigt. Sie können für Ihre Anwender diese benutzerdefinierten Attribute pflegen und so auf dieser Auswahl basierend neue Adresslisten erstellen oder zum Beispiel auch E-Mail-Adressen-Richtlinien.
10 11
Die Pflege dieser Attribute finden Sie in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Postfach:
1. 2.
Rufen Sie im Ergebnisbereich der Konsole die Eigenschaften des Benutzerkontos auf. Auf der Registerkarte Allgemein über die Schaltfläche Benutzerdefinierte Attribute können Sie den Wert der Attribute pflegen und diesen anschließend nutzen (siehe Abbildung 8.138).
12 13
Auf der nächsten Seite des Assistenten zum Erstellen neuer Adresslisten legen Sie fest, zu welchem Zeitpunkt die Liste erstellt werden soll und damit den Anwendern zur Verfügung steht.
14 15
487
Benutzerverwaltung
Abbildung 8.138: Verwalten benutzerdefinierter Attribute für Benutzerkonten
Haben Sie die Liste erstellt, wird diese auf Basis von Active Directory-Abfragen erstellt, was zum einen den Exchange Server belastet, aber auch die Netzwerkverbindungen und die Domänencontroller. Achten Sie daher bei der Erstellung großer Adresslisten auf einen geeigneten Zeitraum (siehe Abbildung 8.139). Abbildung 8.139: Festlegen des Zeitplans für die Erstellung einer neuen Adressliste
Auf der nächsten Seite erhalten Sie eine Zusammenfassung Ihrer Eingaben und können die Adressliste mit der Schaltfläche Neu erstellen lassen (siehe Abbildung 8.140).
488
Adresslisten verwalten
Abbildung 8.140: Zusammenfassen der Daten einer neuen Adressliste
1 2 3 4 5 6 7 Im Anschluss wird die Adressliste erstellt, und Sie erhalten eine Zusammenfassung des Ergebnisses. In diesem Fenster wird Ihnen auch der Befehl für die Exchange-Verwaltungsshell angezeigt, um eine neue Adressliste zu erstellen (siehe Abbildung 8.141).
8 Abbildung 8.141: Fertigstellen der Erstellung einer neuen Adressliste
9 10 11 12 13 14 15
489
Benutzerverwaltung
Die Adressliste wird anschließend in der Exchange-Verwaltungskonsole angezeigt und kann verwaltet werden. Sie können den Wert für die Bedingung und auch die Bedingung selbst jederzeit anpassen. Nach kurzer Zeit wird die Adressliste auch in Outlook bei den Anwendern angezeigt. Bei größeren Strukturen kann die Anzeige in Outlook einige Minuten dauern. Wird die Adressliste in Outlook angezeigt, kann diese von den Anwendern sofort verwendet werden (siehe Abbildung 8.142). Abbildung 8.142: Anzeigen einer neuen Adressliste in Outlook
Aktualisieren von Adresslisten Um eine Adressliste zu aktualisieren, zum Beispiel wenn Sie Empfänger hinzugefügt oder entfernt haben, können Sie diese in der Exchange-Verwaltungskonsole anklicken und aus dem Aktionsbereich den Befehl Übernehmen auswählen (siehe Abbildung 8.143). Der Befehl steht auch im Kontextmenü per Rechtsklick zur Verfügung.
TIPP
Um eine Adressliste zu aktualisieren, also eine erneute Abfrage der Empfängertypen aus dem Active Directory durchzuführen, geben Sie in der Exchange-Verwaltungsshell den Befehl update-addresslist ein. Im Anschluss können Sie die Bezeichnung der Adressliste eingeben, und diese wird aktualisiert. Neue Adresslisten erstellen Sie in der Exchange-Verwaltungsshell, zum Beispiel mit New-AddressList -Name Besprechungsräume Frankfurt -Container \Alle Räume« -IncludedRecipients Resources -ConditionalCustomAttribute1 Frankfurt«.
490
Adresslisten verwalten
Abbildung 8.143: Aktualisieren einer Adressliste
1 2 3 4 Löschen von Adresslisten
5
Sie können manuell erstellte Adresslisten in der Exchange-Verwaltungsshell löschen. Es besteht allerdings nicht die Möglichkeit, Adresslisten zu löschen, die von anderen Adresslisten als Behälter genutzt werden. In diesem Fall müssen Sie mit der übergeordneten Adressliste auch alle untergeordneten Adresslisten löschen. Klicken Sie die Adressliste mit der rechten Maustaste an, oder wählen Sie den Befehl Entfernen aus dem Aktionsbereich der Konsole (siehe Abbildung 8.144).
6 7
In der Exchange-Verwaltungsshell können Sie mit dem Befehl remove-addresslist auch Adresslisten entfernen. Abbildung 8.144: Löschen von Adresslisten
8 9 10 11 12 13
8.9.2
Offlineadresslisten 14
Zusätzlich zu den Standard- und benutzerdefinierten Adresslisten können Sie Offlineadresslisten erstellen und verwalten. Diese Offlineadresslisten können von Benutzern in Outlook heruntergeladen werden und stehen, wie der Name bereits vermuten lässt, offline zur Verfügung. Dadurch erhalten Benutzer, die nicht ständig Verbindung zum Netzwerk haben (beispielsweise mobile Nutzer mit einem Notebook), die Möglichkeit, E-Mails zu schreiben und dabei das Adressbuch Ihrer ExchangeOrganisation zu verwenden. Verbindet sich ein Benutzer mit Outlook wieder mit dem Netzwerk, wird die E-Mail automatisch aus dem Postausgang verschickt.
15
491
Benutzerverwaltung
Nach der Installation von Exchange Server 2007 steht Ihnen bereits eine Offlineadressliste zur Verfügung. Wie bei den Standardadresslisten können Sie jederzeit weitere und neue Adresslisten erzeugen, die Benutzer herunterladen können. Jeder Postfachdatenbank auf Ihren Exchange Servern wird eine Offlineadressliste angeboten, die Benutzer herunterladen können. Benutzer können jederzeit weitere Offlineadresslisten herunterladen, die Standard-Offlineadressliste eines Postfachspeichers wird lediglich zuerst zum Download angeboten. Sie konfigurieren die Standard-Offlineadressliste eines Postfachspeichers in dessen Eigenschaften auf der Registerkarte Clienteinstellungen (siehe Abbildung 8.145). Abbildung 8.145: Zuweisen des Offlineadressbuches für eine Postfachdatenbank
TIPP
Sie können einzelnen Empfängern über die Exchange-Verwaltungsshell auch eigene Offlineadressbücher zuweisen, die nur von diesen Empfängern verwendet werden. Dazu steht in der Exchange-Verwaltungsshell der Befehl Set-Mailbox -Identity -OfflineAddressBook zur Verfügung. Alle anderen Empfänger der Postfachspeicherdatenbank verwenden dann weiterhin das Offlineadressbuch, das auf der Registerkarte Clienteinstellungen hinterlegt wird. Die erste standardmäßig erstellte Offlineadressliste wird aus dem globalen Adressbuch aufgebaut. Die Verwaltung der Offlineadresslisten findet auf der Registerkarte Offlineadressbuch über Organisationskonfiguration/Postfach statt (siehe Abbildung 8.146).
Abbildung 8.146: Verwalten der Offlineadressbücher in Exchange Server 2007
492
Adresslisten verwalten
Installieren Sie Exchange Server 2007 in eine Exchange Server 2003-Organisation, wird das Standard-Offlineadressbuch in Exchange 2007 nicht erstellt, sondern die Offlineadressliste von Exchange Server 2003 weiterverwendet.
INFO
1 Übertragen des Offlineadressbuches in Outlook 2003/2007 Um das Offlineadressbuch manuell in Outlook 2003/2007 herunterzuladen, gehen Sie in Outlook 2003 über das Menü Extras/Senden/Empfangen/Adressbuch downloaden (siehe Abbildung 8.147).
2
Beim Einsatz von Outlook im Caching-Modus wird ebenfalls das Offlineadressbuch verwendet. In manchen Umgebungen gibt es Schwierigkeiten mit dem automatischen Download des Offlineadressbuches. Versuchen Sie in einem solchen Fall einen manuellen Download. Nach einem manuellen Download sollte zukünftig auch der automatische Download fehlerfrei funktionieren.
3 4 Abbildung 8.147: Downloaden des Offlineadressbuches in Outlook 2007
5 6 7
8 9 10 11 Abbildung 8.148: Übertragen des Offlineadressbuches in Outlook konfigurieren
12 13 14 15
493
Benutzerverwaltung
Im Anschluss öffnet sich ein neues Fenster, und Sie können das Offlineadressbuch entweder nochmals komplett übertragen oder nur die Änderungen seit der letzten Übertragung (siehe Abbildung 8.148). Sollten beim Übertragen des Offlineadressbuches Probleme auftreten, werden diese angezeigt, wenn Sie sich die Ordnerliste anzeigen lassen und auf den Ordner Synchronisierungsprobleme klicken. Im Idealfall sollte dieser Ordner immer leer sein (siehe Abbildung 8.149). Abbildung 8.149: Anzeigen von Synchronisierungsproblemen
Erstellen eines neuen Offlineadressbuches Wollen Sie nicht das Standard-Offlineadressbuch verwenden, das aus der globalen Adressliste erstellt wird, also alle Empfängertypen der Organisation enthält, können Sie in der Exchange-Verwaltungskonsole über Organisationskonfiguration/Postfach auf der Registerkarte Offlineadressbuch mit Rechtsklick in den Ergebnisbereich oder über den Aktionsbereich ein neues Offlineadressbuch erstellen (siehe Abbildung 8.150). Abbildung 8.150: Erstellen eines neuen Offlineadressbuchs
494
Adresslisten verwalten
Im Anschluss startet der Assistent für die Erstellung eines neuen Offlineadressbuches (siehe Abbildung 8.151). Abbildung 8.151: Assistent zum Erstellen eines neuen Offlineadressbuches
1 2 3 4 5 6 7
8 Auf der ersten Seite legen Sie den Namen fest sowie den Exchange Server, der für die Erstellung des Offlineadressbuches zuständig ist. Zusätzlich legen Sie hier fest, welche Online-Adresslisten als Basis für das Offlineadressbuch verwendet werden sollen. Beachten Sie, dass die Datenmenge mit der Anzahl an Adresslisten zunimmt, die in das Offlineadressbuch aufgenommen werden.
9 10
Auf der nächsten Seite des Assistenten wählen Sie aus, wie das Offlineadressbuch den Anwendern zur Verfügung gestellt wird. Unter Exchange Server 2003 wurde das Offlineadressbuch als öffentlicher Ordner zur Verfügung gestellt. Exchange Server 2007 unterstützt diese Funktion aus Kompatibilitätsgründen weiter, bevorzugt aber die webbasierte Verteilung (siehe Abbildung 8.152).
11 12
Die webbasierte Verteilung wird allerdings erst für Clients mit Outlook 2003 ab SP2 unterstützt. Alle anderen Versionen unterstützen die webbasierte Verteilung nicht. Auch beim Einsatz von Outlook 2003 mit SP2 sollten Sie besser die Verteilung über öffentliche Ordner verwenden, da die webbasierte Verteilung erst richtig stabil von Outlook 2007 unterstützt wird.
13 14
Die Verteilung über öffentliche Ordner findet über einen Systemordner statt (siehe Kapitel 7).
15
495
Benutzerverwaltung
Abbildung 8.152: Konfiguration der Verteilungspunkte
Im Anschluss erhalten Sie eine Zusammenfassung über Ihre Eingaben. Mit der Schaltfläche Neu wird das Offlineadressbuch erstellt (siehe Abbildung 8.153). Abbildung 8.153: Erstellen eines neuen Offlineadressbuches
496
Adresslisten verwalten
Wurde das Offlineadressbuch erstellt, erhalten Sie wieder eine Zusammenfassung sowie den entsprechenden Befehl, wie Sie ein solches Adressbuch in der ExchangeVerwaltungsshell erstellen können (siehe Abbildung 8.154). Abbildung 8.154: Fertigstellen eines neuen Offlineadressbuches
1 2 3 4 5 6 7
8 9
Haben Sie den Assistenten abgeschlossen, wird das Offlineadressbuch in der Exchange-Verwaltungskonsole angezeigt (siehe Abbildung 8.155). Sie können dessen Eigenschaften jederzeit anpassen. Abbildung 8.155: Anzeigen eines neuen Offlineadressbuches
10 11 12 13 14
Das Offlineadressbuch steht allerdings den Anwendern erst dann zur Verfügung, nachdem es von Exchange generiert wurde, nicht sofort.
15
Wollen Sie das Adressbuch sofort erstellen lassen, klicken Sie es mit der rechten Maustaste an und wählen den Befehl Aktualisieren (siehe Abbildung 8.156). Im Anschluss wird das Adressbuch erstellt.
497
Benutzerverwaltung
Abbildung 8.156: Manuelles Erstellen und Aktualisieren eines Adressbuches
Erstellen eines neuen Offlineadressbuches in der Exchange-Verwaltungsshell In der Exchange-Verwaltungsshell können Sie ein neues Offlineadressbuch mit dem Befehl New-OfflineAddressBook -Name <String> -AddressLists -Server <ServerIdParameter> -VirtualDirectories erstellen, zum Beispiel New-OfflineAddressBook -Name New OAB -AddressLists \Default Global Address List -Server SERVER01 -VirtualDirectories SERVER01\OAB (Default Web Site).
Verwalten von Offlineadressbüchern Klicken Sie ein Offlineadressbuch mit der rechten Maustaste an, können Sie dessen Eigenschaften aufrufen. Ihnen stehen zur Verwaltung eines Offlineadressbuches drei Registerkarten zur Verfügung. Abbildung 8.157: Festlegen des Aktualisierungszeitplans eines Offlineadressbuchs
498
Adresslisten verwalten
Auf der Registerkarte Allgemein werden der Name des Adressbuches angezeigt sowie der Zeitpunkt für die Erstellung des Adressbuches (siehe Abbildung 8.157). Das Adressbuch wird jeden Tag um die hier definierte Uhrzeit (normalerweise 5:00 morgens) erstellt und aktualisiert.
1
Bei der Neuerstellung eines Offlineadressbuches steht dieses daher standardmäßig erst am nächsten Tag um 5:00 zur Verfügung. Auf der Registerkarte Allgemein wird auch der Server angezeigt, auf dem das Offlineadressbuch generiert wird.
2
Auf der Registerkarte Adresslisten werden die Adresslisten ausgewählt, auf deren Basis das Offlineadressbuch erstellt wird. Sie können jederzeit Adresslisten entfernen oder neue Adresslisten hinzufügen, die als Basis für das Offlineadressbuch dienen.
3
Um den Server zu ändern, müssen Sie das entsprechende Offlineadressbuch mit der rechten Maustaste anklicken und aus dem Menü Verschieben auswählen, Sie können den Server nicht in den Eigenschaften des Offlineadressbuches ändern. Alternativ können Sie diesen Befehl auch im Aktionsbereich auswählen (siehe Abbildung 8.158).
4 5 Abbildung 8.158: Auswählen eines anderen Exchange Servers für das Erstellen eines Offlineadressbuches
6 7
8 9 10 Auf der Registerkarte Verteilung legen Sie fest, wie das Offlineadressbuch an die Clients verteilt werden kann und welche Outlook-Versionen unterstützt werden (siehe Abbildung 8.159). Hier werden auch die Versionen des Offlineadressbuches (OAB) angezeigt, die von den unterschiedlichen Clients verwendet werden.
11 12
Mit dem Service Pack 2 für Exchange Server 2003 hat Microsoft auch die Offlineadresslisten verbessert. Die OAB-Version ab Exchange Server 2003 SP2 ist daher OAB 4. Hauptsächlich hat Microsoft das Datenvolumen des OAB reduziert. Benutzer, die mit Outlook 2003 SP2 oder 2007 arbeiten, kommen so in den Genuss, dass die Synchronisierung des Offlineadressbuches deutlich schneller vonstatten geht als zuvor. Organisationen mit Exchange Server 2003 SP2 oder 2007, die ihre Benutzer mit Outlook 2003 SP2, besser 2007 ausgestattet haben, profitieren von deutlich optimiertem Netzwerkverkehr durch die geringe Datenmenge, die das OAB 4 umfasst.
13 14
Seit dem OAB 4 wird das Adressbuch nicht bei jedem Synchronisierungsvorgang komplett übertragen. Outlook 2003 SP2 unterstützt auch die differenzielle Aktualisierung des OAB, genauso wie Outlook 2007.
15
499
Benutzerverwaltung
Benutzer, die mit Vorgängern von Outlook 2003 SP2/2007 oder mit Outlook 2003 SP1 arbeiten, können das neue OAB 4 nicht nutzen, sondern arbeiten mit der Vorversion OAB 3 oder 2. Das OAB 3 unterstützt nicht das differenzielle Auffüllen des OAB. Abbildung 8.159: Konfiguration der Verteilung von Offlineadressbüchern
Bei der webbasierten Verteilung stellen Client-Access-Server ein virtuelles IIS-Verzeichnis zur Verfügung, über das die Clients mit dem Offlineadressbuch versorgt werden. Löschen von Offlineadressbüchern Sie können manuell erstellte Offlineadressbücher auch jederzeit löschen. Achten Sie aber darauf, dass Sie das entsprechende Offlineadressbuch nicht als Standardadressbuch für eine einzelne Postfachdatenbank konfiguriert haben, da die Postfächer, die sich in dieser Datenbank befinden, ansonsten kein Offlineadressbuch mehr herunterladen können. Anpassen des Standard-Offlineadressbuches Standardmäßig wird bei der Installation von Exchange Server 2007 bereits ein Offlineadressbuch erstellt und dieses als Standard definiert. Sie können jederzeit ein anderes Offlineadressbuch als Standard definieren. Klicken Sie dazu das entsprechende Offlineadressbuch mit der rechten Maustaste an, und wählen Sie die Option Als Standard festlegen (siehe Abbildung 8.160).
500
Adresslisten verwalten
Abbildung 8.160: Festlegen eines anderen Offlineadressbuches als Standard
1 2 3 4
Als Nächstes müssen Sie bestätigen, dass neu angelegte Postfachdatenbanken dieses Offlineadressbuch als Standard verwenden sollen (siehe Abbildung 8.161).
5 Abbildung 8.161: Bestätigen des neuen StandardOfflineadressbuches
6 7
Im Anschluss wird das definierte Offlineadressbuch in der Exchange-Verwaltungskonsole als Standard angezeigt (siehe Abbildung 8.162).
Beachten Sie aber, dass für bereits vorhandene Postfachdatenbanken das StandardOfflineadressbuch nicht geändert wird. Hier müssen Sie manuell in den Eigenschaften der jeweiligen Postfachdatenbank das Standard-Offlineadressbuch auswählen (siehe Abbildung 8.163).
13 14 15
501
Benutzerverwaltung
Abbildung 8.163: Anpassen des Offlineadressbuchs einer Datenbank
Erstellen und Verwalten des virtuellen Verzeichnisses für die webbasierte Verteilung Standardmäßig wird bereits ein virtuelles Verzeichnis für die webbasierte Verteilung des Offlineadressbuches angelegt. Sie können aber jederzeit manuell ein solches Verzeichnis anlegen und verwenden, wenn Sie mit dem Standard nicht einverstanden sind. Bei der Installation von Exchange Server 2007 wird unterhalb der Standardwebseite automatisch ein virtuelles Verzeichnis mit der Bezeichnung OAB für das Offlineadressbuch angelegt (siehe Abbildung 8.164). Abbildung 8.164: Standardmäßiges virtuelles Verzeichnis für die webbasierte Verteilung des Offlineadressbuches
Erstellen Sie manuell ein neues virtuelles Verzeichnis für die Offlineadressbücher, müssen Sie jedes Offlineadressbuch konfigurieren, dsa dieses neue Verzeichnis für die webbasierte Verteilung nutzen soll. 502
Adresslisten verwalten
Neue virtuelle Verzeichnisse für die webbasierte Verteilung von Offlineadressbüchern werden auf Exchange Servern mit der Client-Access-Server-(CAS-)Rolle erstellt. INFO
Wollen Sie ein zusätzliches Verzeichnis erstellen, verwenden Sie nicht den Internetinformationsdienste-Manager, sondern erstellen ein neues virtuelles Verzeichnis mithilfe der Exchange-Verwaltungsshell. Verwenden Sie den Befehl new-OABVirtualDirectory (siehe Abbildung 8.165). Geben Sie den Befehl ohne Optionen ein, versucht die Shell, das OAB-Verzeichnis neu zu erstellen, was natürlich nicht gelingt, wenn bereits ein entsprechendes Verzeichnis vorhanden ist.
1
Haben Sie das standardmäßige Verzeichnis gelöscht (zum Beispiel weil es nicht mehr funktioniert), können Sie mit dem Befehl das Verzeichnis mit den Standardeinstellungen wieder neu erstellen lassen (siehe Abbildung 8.165).
3
2
4 Abbildung 8.165: Neuerstellen des Standardverzeichnisses für das OAB
5 6 7
Wollen Sie ein zusätzliches Verzeichnis erstellen, verwenden Sie den Befehl NewOABVirtualDirectory -DomainController -ExternalUrl -InternalUrl -Path <String> -PollInterval -RequireSSL <$true | $false> -Server <ServerIdParameter> -WebSiteName <String>, zum Beispiel New-OABVirtualDirectory -Server x2007 -RequireSSL $true -ExternalURL https://www.contoso.com/OAB.
8 9
Über den Befehl get-oabvirtualdirectory |fl können Sie sich in der Exchange-Verwaltungsshell eine ausführliche Liste mit den notwendigen Informationen des virtuellen Verzeichnisses anzeigen lassen (siehe Abbildung 8.166). Abbildung 8.166: Ausführliche Informationen über ein virtuelles Verzeichnis
10 11 12 13 14 15
503
Benutzerverwaltung
Mit dem Befehl remove-oabvirtualdirectory –identity können Sie virtuelle Verzeichnisse auch löschen. Sie müssen den Löschvorgang noch zweimal bestätigen. Im Anschluss wird das virtuelle Verzeichnis entfernt (siehe Abbildung 8.167). Abbildung 8.167: Löschen eines virtuellen OABVerzeichnisses
HALT
Haben Sie ein neues virtuelles Verzeichnis für die webbasierte Verteilung des OAB erstellt oder das Standardverzeichnis gelöscht und neu erstellt, müssen Sie in den Eigenschaften der Offlineadressbücher auf der Registerkarte Verteilung das neue virtuelle Verzeichnis wieder hinterlegen. Erst wenn auf dieser Registerkarte ein funktionsfähiges Verzeichnis hinterlegt wird, funktioniert die webbasierte Verteilung des OAB. SSL für das virtuelle Verzeichnis des Offlineadressbuches verwenden Microsoft empfiehlt die Aktivierung von SSL für das virtuelle Verzeichnis der Offlineadressbücher.
INFO
Das in Exchange Server 2007 integrierte Zertifikat kann nicht für die SSL-Absicherung der virtuellen Verzeichnisse für Offlineadressbücher verwendet werden. Microsoft empfiehlt in diesem Fall die Installation und Konfiguration einer Zertifikatsinfrastruktur und das Ausstellen eines eigenen Zertifikates (siehe Kapitel 9). Um SSL für das OAB-Verzeichnis zu aktivieren, gehen Sie folgendermaßen vor:
1. 2. 3. 4. 5. 6.
504
Öffnen Sie den Internetinformationsdienste-Manager. Erweitern Sie die Menüs Websites/Standardwebsite. Rufen Sie die Eigenschaften des OAB-Verzeichnisses auf. Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie im Bereich Sichere Kommunikation auf Bearbeiten. Aktivieren Sie die Option Sicheren Kanal voraussetzen (SSL) (siehe Abbildung 8.168).
Adresslisten verwalten
Abbildung 8.168: Aktivieren von SSL für das virtuelle OAB-Verzeichnis
1 2 3 4 5 6 Für Windows Server 2008 habe ich in Kapitel 9 ausführlicher die Aktivierung von SSL erläutert.
7
8 9 10 11 12 13 14 15
505
Inhalt 1 2 3 4 5
9
Clientzugriff und Anbindung mobiler Benutzer
6 7
In diesem Kapitel gehe ich auf die einzelnen Möglichkeiten des Clientzugriffs auf Exchange 2007 ein. Ich zeige Ihnen die Einrichtung und Verwaltung von Outlook Anywhere (RPC über HTTP), die Anbindung von Smartphones über Exchange ActiveSync (EAS) sowie weitere Möglichkeiten der Clientanbindung. In Exchange 2007 werden die Verarbeitungen von Besprechungsanfragen und Terminen vom Client auf den Server verlegt. Das hat den Vorteil, dass keine Inkonsistenzen entstehen können, wenn mit mehreren Clients, zum Beispiel PC, OWA und Smartphones, auf Postfächer zugegriffen wird. Unter den Vorgängerversionen von Exchange 2007 wurden die Termine von den Clients verwaltet und nur auf den Exchange Server repliziert. Die verschiedenen Clients und Geräte, also OWA, Smartphones, Heim-PCs und Unternehmens-PCs, greifen dadurch immer auf die aktuellen Daten der Termine zu, Outlook muss dabei nicht laufen. Durch diese Funktion können jetzt auch Kalendereinträge durch Outlook Voice Access (OVA) vorgelesen werden, wenn die Unified-Messaging-Dienste installiert und konfiguriert wurden (siehe Kapitel 10). Außerdem muss ein Exchange Server der Organisation an die Telefonanlage des Unternehmens angeschlossen werden. Da die Termine durch den Server selbst verwaltet werden, stehen die Frei-/Gebucht-Zeiten immer in Echtzeit zur Verfügung. Außerdem können diese Daten jetzt auch gesamtstrukturübergreifend repliziert werden. Für die Verwaltung der servergespeicherten Terminverwaltung sind die Exchange Server mit der Rolle Client-AccessServer zuständig. Diese neuen Funktionen der serverbasierten Terminverwaltung werden allerdings ausschließlich von Outlook 2007 und Outlook Web Access 2007 unterstützt. Für ältere Clients, wie zum Beispiel Outlook 2003, wird weiterhin der öffentliche Systemordner free/busy verwendet (siehe Kapitel 7).
8
9 10 11 12 13 14 15
INFO
507
Index
Besprechungsräume und Ressourcen werden jetzt im Adressbuch separat dargestellt und können als Empfängerobjekte auch getrennt angelegt werden (siehe Kapitel 8).
Clientzugriff und Anbindung mobiler Benutzer
Dadurch erkennt Exchange automatisch, ob es sich bei einem Empfänger um eine Ressource oder um einen Besprechungsraum handelt, und Anwender müssen nicht mehr im Adressbuch nach Besprechungsräumen suchen. Ressourcen werden daher unter Exchange 2007 auch als Ressourcen hinzugefügt, nicht als normale Teilnehmer (siehe Abbildung 9.1). Abbildung 9.1: Verwalten von Besprechungsräumen und Ressourcen als eigenständige Empfängerobjekte
Abbildung 9.2: Getrennte Terminplanung von Empfängern, Besprechungsräumen und Ressourcen
508
Neue Funktionen in Outlook 2007 zusammen mit Exchange 2007
Durch diese getrennte Verwaltung werden die Objekte in Outlook Web Access und Outlook in der Terminplanung auch als eigener Bereich dargestellt (siehe Abbildung 9.2).
9.1
1
Neue Funktionen in Outlook 2007 zusammen mit Exchange 2007
2
Im Zusammenspiel von Outlook 2007 und Exchange 2007 hat Microsoft einige Verbesserungen integriert, die für Unternehmenskunden und Administratoren einige Erleichterungen in der Bedienung und Verwaltung bieten.
9.1.1
3
Abwesenheits-Assistent
4
Auch den Abwesenheits-Assistenten in Outlook 2007 hat Microsoft zusammen mit Exchange 2007 komplett überarbeitet (siehe Abbildung 9.3). Die wichtigste Neuerung ist, dass Sie jetzt eine Zeitspanne angeben können, wann der Abwesenheits-Assistent aktiviert sein soll. Sie müssen daher nicht manuell den Assistenten aktivieren und deaktivieren. Dadurch wird von den Anwendern auch nicht mehr vergessen, den Abwesenheits-Assistenten zu deaktivieren, wenn diese wieder aus dem Urlaub zurück sind.
5
Eine weitere Neuerung ist, dass Sie direkt im Abwesenheits-Assistenten einen getrennten Text für interne und externe Mitarbeiter eingeben können.
7
6
Abbildung 9.3: Konfigurieren des AbwesenheitsAssistenten
8
9 10 11 12 13 Sie können jetzt auch für Nachrichten, die der Abwesenheits-Assistent nach extern schickt, festlegen, dass nur Ihre Kontakte die Nachrichten erhalten, keine anderen Empfänger. Natürlich können Sie auch weiterhin festlegen, dass alle externen Absender eine Nachricht erhalten. Administratoren können wiederum festlegen, zu welchen Zieldomänen überhaupt Nachrichten des Abwesenheits-Assistenten geschickt werden können, und einzelne Domänen in die Liste einfügen oder aus ihr herausnehmen (siehe Kapitel 5).
14 15
509
Clientzugriff und Anbindung mobiler Benutzer
Abbildung 9.4: Konfiguration des AbwesenheitsAssistenten
Generell lassen sich im neuen Abwesenheits-Assistenten deutlich mehr Einstellungen vornehmen als noch bei den Vorgängern unter Outlook 2003/Exchange 2003. Abbildung 9.5: Konfiguration des AbwesenheitsAssistenten
Wird der Abwesenheits-Assistent aktiviert, erscheint in Outlook darüber hinaus eine Meldung, und es wird eine Leiste eingeblendet, über die Sie den Assistenten konfigurieren oder deaktivieren können (siehe Abbildung 9.6). Abbildung 9.6: Anzeigen des Status des AbwesenheitsAssistenten
510
Neue Funktionen in Outlook 2007 zusammen mit Exchange 2007
Natürlich lässt sich der Abwesenheits-Assistent auch über Outlook Web Access konfigurieren. Auch hier haben Sie die gleichen Möglichkeiten wie unter Outlook 2007, können aber von überall auf der Welt auf den Assistenten zugreifen. Outlook 2007 und Outlook Web Access 2007 verwenden dazu die gleichen Daten, sodass Sie den Abwesenheits-Assistenten zum Beispiel aus dem Urlaub aktivieren können, wenn Sie die Aktivierung vergessen hatten. Sie erreichen die Konfiguration des Abwesenheits-Assistenten über die Optionen in Outlook Web Access (siehe Abbildung 9.7).
1 2 Abbildung 9.7: Konfiguration des AbwesenheitsAssistenten in Outlook Web Access
3 4 5 6 7 8
9 9.1.2
10
Autodiscover und AutoConnect von Outlook 2007
Exchange Server 2007 bietet in Verbindung mit Outlook 2007 die neuen Funktionen Autodiscover und AutoConnect. Outlook 2007 ist in der Lage, automatisch eine Verbindung zu einem Exchange Server im Netzwerk herzustellen, ohne dass auf dem PC erst ein Outlook-MAPI-Profil erstellt werden muss. Diese neuen Funktionen ersparen Anwendern und Administratoren die komplexe Konfiguration am Client und bieten die Konfiguration direkt am Server. Damit diese automatische Verbindung funktioniert, wird Exchange noch enger an das DNS-System angebunden und der IIS des Client-Access-Servers genutzt.
11 12 13
Automatische Einrichtung eines MAPI-Profils in Outlook 2007
14
Starteen Sie Outlook 2007 auf einem PC das erste Mal und haben noch kein MAPIProfil eingerichtet, versucht Outlook 2007 automatisch, aus dem Anmeldenamen und dem Kennwort einen Exchange Server zu finden (siehe Abbildung 9.8). Aktivieren Sie die Option Servereinstellung oder zusätzliche Servertypen manuell konfigurieren, können Sie auch manuell die notwendigen Einstellungen vornehmen. In einem sauber konfigurierten Active Directory erkennt Outlook 2007 den Exchange Server automatisch durch die Benutzeranmeldung am PC.
15
511
Clientzugriff und Anbindung mobiler Benutzer
Abbildung 9.8: MAPI-Einrichtung von Outlook 2007
Bestätigen Sie die erste Meldung mit Weiter, versucht Outlook, die Verbindung zum Exchange Server aufzubauen und sich automatisch zu konfigurieren (siehe Abbildung 9.10). Nach der erfolgreichen Verbindung wird zuerst eine lokale Kopie des Postfachs auf dem Clients hergestellt, damit auch bei einer Trennung vom Exchange Server weitergearbeitet werden kann. Ist die Erstellung des Profils abgeschlossen, startet Outlook 2007, zeigt den Posteingang, und der Client ist mit dem Exchange Server verbunden (siehe Abbildung 9.9). Abbildung 9.9: Erfolgreiche Verbindung von Outlook 2007 mit Exchange 2007
512
Neue Funktionen in Outlook 2007 zusammen mit Exchange 2007
Abbildung 9.10: Automatische Anbindung von Outlook 2007 an Exchange 2007
1 2 3 4 5 6
Wie funktionieren Autodiscover und AutoConnect?
7
Rufen Sie auf dem Exchange Server den Internetinformationsdienste-Manager auf, sehen Sie unterhalb der Standardwebseite ein neues virtuelles Verzeichnis mit der Bezeichnung Autodiscover (siehe Abbildung 9.11).
8 Abbildung 9.11: Konfiguration von Autodiscover unter Exchange 2007
9 10 11 12 13 14 15
Öffnen Sie dieses virtuelle Verzeichnis, finden Sie innerhalb des Verzeichnisses eine Datei Autodiscover.xml. Diese Datei steuert die automatische Anbindung von Outlook 2007 an Exchange 2007. Sie können sich den Inhalt dieser Daten durch Rechtsklick auf die Datei und Auswahl der Option Durchsuchen anzeigen lassen (siehe Abbildung 9.11). 513
Clientzugriff und Anbindung mobiler Benutzer
Einrichten einer eigenen Autodiscover-Website Sie können das virtuelle Web auch exportieren und auf einen anderen Webserver importieren. So können Sie unabhängig vom Exchange Server, zum Beispiel auf einem eigenen Intranet-Server, eine eigene Autodiscover-Webseite erstellen. Abbildung 9.12: Exportieren der Autodiscover-Seite
Im Anschluss wählen Sie den Namen und den Speicherort der Konfigurationsdatei aus (siehe Abbildung 9.13). Abbildung 9.13: Auswählen des Namens und des Verzeichnisses für die Speicherung der Autodiscover-Seite
Im nächsten Schritt können Sie auf einem anderen Server mit dieser Konfigurationsdatei eine eigenständige Autodiscover-Website für Outlook 2007-Clients erstellen. Entweder erstellen Sie auf dem neuen Server zunächst eine neue Webseite, oder Sie importieren das virtuelle Verzeichnis unter die Standardwebsite. Klicken Sie diese dazu mit der rechten Maustaste an, und wählen Sie Neu/Virtuelles Verzeichnis (aus Datei) (siehe Abbildung 9.14).
514
Neue Funktionen in Outlook 2007 zusammen mit Exchange 2007
Abbildung 9.14: Importieren des AutodiscoverVerzeichnisses
1 2 3 4 5
Wählen Sie als Nächstes die exportierte Datei aus, und klicken Sie auf die Schaltfläche Datei lesen. Klicken Sie anschließend auf den Namen des virtuellen Verzeichnisses und dann auf OK, damit das virtuelle Verzeichnis auf den neuen Server importiert werden kann (siehe Abbildung 9.15).
6 Abbildung 9.15: Importieren der Autodiscover-Webseite auf einen neuen Webserver
7 8
9 10 11
9.1.3
Startoptionen von Outlook 2007 12
Sie können Outlook 2007 mit einigen zusätzlichen Optionen starten. Entweder verwenden Sie dazu Start/Ausführen und geben Outlook /
