Exchange Server 2007 SP1 und Outlook Kompendium

( KOMPENDIUM ) Exchange Server 2007 SP1 und Outlook Kompendium Kompetent aufbereitetes PC-Know-how für alle Die KO...

Author: Thomas Joos

35 downloads 1937 Views 72MB Size Report

This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form

DOWNLOAD PDF

(

KOMPENDIUM

)

Exchange Server 2007 SP1 und Outlook

Kompendium Kompetent aufbereitetes PC-Know-how für alle Die KOMPENDIEN aus dem Markt+Technik Verlag stehen seit mehr als 20 Jahren für anerkanntes Expertenwissen und bieten wertvolle Praxistipps in allen Fragen rund um den PC. Das Portfolio der Handbücher reicht von der übersichtlichen Vorstellung diverser Programmiersprachen bis hin zur umfangreichen Beschreibung kompletter Betriebssysteme: Mit mehr als 500 Titeln seit Bestehen der Reihe wurde nahezu jede Fragestellung der Computerpraxis abgedeckt. Ob als Lehrbuch für den ambitionierten Einsteiger oder Nachschlagewerk für den erfahrenen Anwender: Die übersichtlichen, klar strukturierten KOMPENDIEN helfen jedem schnell weiter und auch komplexe Sachverhalte werden mit praxisnahen Beispielen übersichtlich illustriert und verständlich gemacht. Ein detailliertes Inhaltsverzeichnis und ein umfangreicher Index ermöglichen dem Leser außerdem schnellen Zugriff auf die gesuchten Informationen. Technisch anspruchsvoll und präzise, dabei jedoch immer praxisbezogen und klar verständlich: Das sind die KOMPENDIEN, die mit mehr als 6 Millionen Lesern zu den erfolgreichsten Computerfachbüchern auf dem deutschsprachigen Markt gehören.

Exchange Server 2007 SP1und Outlook Messaging, Mails und mehr – für Profis THOMAS JOOS

(

KOMPENDIUM Einführung | Arbeitsbuch | Nachschlagewerk

)

Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Die Informationen in diesem Buch werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben, die in diesem Buch verwendet werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ®-Symbol in diesem Buch nicht verwendet. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.

10 9 8 7 6 5 4 3 2 1 10 09 08 ISBN 978-3-8272-4360-7

© 2008 by Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Coverkonzept: independent Medien-Design, Widenmayerstraße 16, 80538 München Covergestaltung: Thomas Arlt, [email protected] Titelfoto: Getty-images, München, Midtown Manhattan, elevated view New York City, New York, USA Bildagentur: IFA-Bilderteam GmbH, Hubertusstraße 2, 85521 Ottobrunn/München Fachlektorat: Jürgen Bayer, [email protected] Lektorat: Jürgen Bergmoser, [email protected] Korrektorat: Sandra Gottmann, Münster Herstellung: Elisabeth Prümm, [email protected] Satz: Reemers Publishing Services GmbH, Krefeld Druck und Verarbeitung: Bercker, Kevelaer Printed in Germany

Überblick

Überblick

Kapitel 1

Neuerungen und Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23

Kapitel 2

Aufbau einer Testumgebung, Grundlagen und erste Schritte . . . . . . . .

39

Kapitel 3

Serverrollen, Verzeichnisse und Dienste . . . . . . . . . . . . . . . . . . . . . . . .

131

Kapitel 4

Installation und Anpassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

155

Kapitel 5

Hub-Transport, Edge-Transport und Nachrichtenrouting . . . . . . . . . . .

209

Kapitel 6

Mailbox-Server und Postfachdatenbanken . . . . . . . . . . . . . . . . . . . . . .

323

Kapitel 7

Öffentliche Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

379

Kapitel 8

Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

397

Kapitel 9

Clientzugriff und Anbindung mobiler Benutzer. . . . . . . . . . . . . . . . . . .

507

Kapitel 10 Unified Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

619

Kapitel 11

Datensicherung und Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . .

673

Kapitel 12 Berechtigungen, Sicherheit und Server-Hardening . . . . . . . . . . . . . . .

757

Kapitel 13 Nachrichtenfilterung, Spam- und Virenschutz . . . . . . . . . . . . . . . . . . .

791

Kapitel 14 Cluster und Hochverfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

815

Kapitel 15 Exchange Server 2007 mit ISA Server 2004 SP2 und ISA 2006 . . . . . . . . .

915

Anhang A Diagnose und Fehlerbehebung in Active Directory und Exchange . . . . .

985

Anhang B Planung einer Exchange-Organisation . . . . . . . . . . . . . . . . . . . . . . . . . 1033 Anhang C

DNS in erweiterten Strukturen und Migration zu Exchange Server 2007 1095

Anhang D CD zum Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129

5

Inhalt

Inhalt

Kapitel 1

Neuerungen und Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23

1.1

Rollenbasierte Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24

1.2

Optimierungen im Vergleich zu Exchange 2003 . . . . . . . . . . . . . . . . . . . . . . .

26

1.3

Neue Tools zur Verwaltung, Überwachung und Fehlerbehebung . . . . . . . . . . .

28

1.4

Neuerungen in Outlook Web Access und zur Unterstützung von mobilen Geräten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30

1.5

Was ist weggefallen und was bleibt? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

34

1.6

Exchange Server 2007-Editionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

1.7

Exchange Server 2007 Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

Kapitel 2

Aufbau einer Testumgebung, Grundlagen und erste Schritte . . . . . . . . . . . . .

39

2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.1.5

Aufbau einer Testumgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitungen für die Testumgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Virtual Server 2005 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines virtuellen Servers mit Microsoft Virtual Server 2005 R2 . . . . . . . . . . . Active Directory- und DNS-Infrastruktur erstellen . . . . . . . . . . . . . . . . . . . . . . . Installation von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39 40

2.2 2.2.1 2.2.2 2.2.3 2.2.4

Erste Schritte mit Exchange 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die Exchange-Verwaltungskonsole verstehen . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung in die Exchange-Verwaltungsshell . . . . . . . . . . . . . . . . . . . . . . . . . Erster Einblick in die neuen Strukturen der Exchange-Datenbanken . . . . . . . . . . . . Clientzugriff testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

107 107

Kapitel 3

Serverrollen, Verzeichnisse und Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . .

131

3.1 3.1.1

Allgemeine Informationen zu Serverrollen . . . . . . . . . . . . . . . . . . . . . . . . . . Edge-Transport-Server und ADAM (Active Directory Application Mode) . . . . . . . . . .

131 134

3.2 3.2.1 3.2.2

Active Directory-Standorte und Exchange Server 2007 . . . . . . . . . . . . . . . . . . Konfiguration der Routingtopologie im Active Directory . . . . . . . . . . . . . . . . . . . . Zuweisen der Domänencontroller zu den Standorten . . . . . . . . . . . . . . . . . . . . .

134 135

41 47 58 96

118 125 130

142

7

Inhalt

3.2.3 3.2.4

Der Knowledge Consistency Checker (KCC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Starten der manuellen Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

143

3.3

Systemdienste von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . .

146

3.4

Verzeichnisstruktur von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . .

148

Kapitel 4

Installation und Anpassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

155

4.1 4.1.1 4.1.2 4.1.3 4.1.4

Voraussetzungen für die Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Betriebsmasterrollen von Domänencontrollern. . . . . . . . . . . . . . . . Der globale Katalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Betriebsmodi eines Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vertrauensstellungen im Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

155 160

4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5

Vorbereiten der Gesamtstruktur und der Windows-Domänen für Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Die wichtigsten Administratorkonten im Active Directory . . . . . . . . . . . . . . . . . . . Migration – Installation in eine Exchange 2000/2003-Organisation . . . . . . . . . . . . Vorbereiten des Active Directory-Schemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anlegen der Exchange-Objekte im Active Directory . . . . . . . . . . . . . . . . . . . . . . . Vorbereiten der Domänen in der Gesamtstruktur . . . . . . . . . . . . . . . . . . . . . . . .

4.3

Typische Installation von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . .

184

4.4

Angepasste Installation (Unified Messaging, Edge-Transport-Server und Cluster)

186

4.5

Unbeaufsichtigte Installation über die Befehlszeile . . . . . . . . . . . . . . . . . . . .

187

4.6 4.6.1

Nachträgliche Installation des Service Pack 1 . . . . . . . . . . . . . . . . . . . . . . . . Was muss beim Einsatz von Service Pack 1 für Exchange Server 2007 beachtet werden?

192 192

4.7 4.7.1 4.7.2 4.7.3

Exchange Server 2007 entfernen und anpassen. . . . . . . . . . . . . . . . . . . . . . . Entfernen über die grafische Oberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange oder Rollen über die Befehlszeile entfernen . . . . . . . . . . . . . . . . . . . . Exchange-Installation anpassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

195 195

4.8 4.8.1 4.8.2

Überprüfen und Fehlerdiagnose der Exchange Server 2007-Installation . . . . . . Verifizieren der Exchange Server-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehebung während der Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . .

200 200

4.9

Aufgaben nach der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

204

4.10

Überlegungen und Aufgaben bei der Migration zu Exchange Server 2007 . . . . .

205

Kapitel 5

Hub-Transport, Edge-Transport und Nachrichtenrouting . . . . . . . . . . . . . . . .

209

5.1 5.1.1 5.1.2

Festlegen und Konfiguration der E-Mail-Domänen . . . . . . . . . . . . . . . . . . . . Konfigurieren der akzeptierten Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Remotedomänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

210 211

8

145

170 171 173 178 178 180 180 181 183

198 199

203

214

Inhalt 5.2

Allgemeine Informationen zum E-Mail-Routing in Exchange Server 2007 . . . . .

217

5.3 5.3.1 5.3.2 5.3.3

Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren . . Sendeconnectoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfangsconnectoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Direkte Verbindung von Hub-Transport-Servern mit dem Internet . . . . . . . . . . . . .

218 218

5.4 5.4.1 5.4.2 5.4.3

Einrichten von Edge-Transport-Servern unter Windows Server 2003/2008 mit Exchange Server 2007 SP1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erste Schritte zur Installation eines Edge-Transport-Servers . . . . . . . . . . . . . . . . . Installation von Exchange Server 2007 mit SP1 auf dem Edge-Transport-Server . . . . . Edge-Transport-Server in der Exchange-Organisation abonnieren . . . . . . . . . . . . .

5.5

Allgemeine Einstellungen für Exchange-Transport-Server . . . . . . . . . . . . . . .

244

5.6 5.6.1 5.6.2 5.6.3

Exchange-Nachrichtentransport- und Transportberechtigungen . . . . . . . . . . . Authentifizierte Sitzungen und authentifizierte Nachrichten . . . . . . . . . . . . . . . . . Exchange Server 2007-Transportberechtigungen . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehebung bei Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

247 247

5.7 5.7.1 5.7.2

Connectoren zwischen Exchange-Organisationen . . . . . . . . . . . . . . . . . . . . . Connectoren zwischen Exchange Server 2007-Organisationen . . . . . . . . . . . . . . . . Connectoren zwischen Exchange Server 2007- und Exchange Server 2003-Organisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

253 254

5.8 5.8.1

Praxisworkshop: Relaying für Applikationsserver erlauben . . . . . . . . . . . . . . Einrichten eines Empfangsconnectors für einen internen Applikationsserver. . . . . . .

261 261

5.9 5.9.1 5.9.2 5.9.3 5.9.4

Warteschlangen (Queues) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erster Einblick in die Warteschlangenanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . Warteschlangentypen in Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Warteschlangen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Warteschlangen-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . .

265 265

5.10 5.10.1 5.10.2 5.10.3

Nachrichtenverfolgung (Message Tracking). . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration der Nachrichtenverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Nachrichtenverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

275 275

5.11 5.11.1 5.11.2 5.11.3 5.11.4 5.11.5

SMTP- und Konnektivitätsprotokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Informationen und Aktivierung der SMTP-Protokollierung . . . . . . . . . . Konfiguration der SMTP-Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration der Konnektivitäts-/Verbindungsprotokollierung . . . . . . . . . . . . . . Protokollierung der Routingtabelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Transport-Agenten-Protokollierung . . . . . . . . . . . . . . . . . . . . . .

282 282

5.12 5.12.1

SMTP für Fortgeschrittene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ansicht des Headers einer E-Mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

288 292

225 228 231 231 233 236

250 253

260

268 269 273

276 280

284 285 286 287

9

Inhalt

5.13 5.13.1 5.13.2

Verwalten des Address Rewriting Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren und Deaktivieren der Address Rewriting Agents . . . . . . . . . . . . . . . . . . Konfiguration der Address Rewriting Agents . . . . . . . . . . . . . . . . . . . . . . . . . . .

294 294

5.14 5.14.1 5.14.2

Transport- und Journalregeln für den Nachrichtenfluss erstellen . . . . . . . . . . Erstellen von neuen Transportregeln auf Hub-Transport-Servern . . . . . . . . . . . . . Journalregeln erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

299 299

5.15 5.15.1 5.15.2

E-Mail-Adressenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von E-Mail-Adressenrichtlinien . . . . . . . . . . . . . . . . . . . Recipient Update Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

306 307

5.16 5.16.1 5.16.2

Microsoft Identity Integration Server (MIIS) . . . . . . . . . . . . . . . . . . . . . . . . . Identity Integration Feature Pack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Identity Integration Server 2003 Resource Tool Kit 2.0 . . . . . . . . . . . . . . .

316 317

Kapitel 6

Mailbox-Server und Postfachdatenbanken. . . . . . . . . . . . . . . . . . . . . . . . . .

323

6.1

Einführung in die Datenbankstruktur von Exchange Server 2007 . . . . . . . . . . .

323

6.2 6.2.1 6.2.2 6.2.3

Speichergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Informationen zu Speichergruppen . . . . . . . . . . . . . . . . . . . . . . . . . Anlegen einer neuen Speichergruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Speichergruppen und Transaktionsprotokollen . . . . . . . . . . . . . . .

325 325

6.3 6.3.1 6.3.2 6.3.3

Verwenden der fortlaufenden lokalen Datensicherung (LCR) . . . . . . . . . . . . . . Empfehlungen für den Einsatz der fortlaufenden lokalen Datensicherung . . . . . . . . Einrichten und Verwalten der fortlaufenden Datensicherung . . . . . . . . . . . . . . . . Wiederherstellen einer Datenbank aus der LCR-Sicherung . . . . . . . . . . . . . . . . . .

335 336

6.4 6.4.1 6.4.2 6.4.3

Standby Continuous Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SCR im Vergleich im LCR und CCR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Funktionsweise und Voraussetzungen für SCR . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von SCR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

348 348

6.5 6.5.1 6.5.2 6.5.3 6.5.4 6.5.5

Postfachdatenbanken und Datenbanken für öffentliche Ordner . . . . . . . . . . . Anlegen eines neuen Postfachspeichers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ändern des Speicherorts von Postfach- und öffentlichen Ordner-Datenbanken . . . . Verwalten von Postfachdatenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datenbanken für öffentliche Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Löschen von Datenbanken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

353 354

6.6 6.6.1 6.6.2

Verwalten des Exchange-Suchindex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informationen zum Index in Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . Verwalten des Suchindex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

368 368

6.7 6.7.1

Warten von Exchange-Datenbanken mit Eseutil.exe . . . . . . . . . . . . . . . . . . . Starten von Eseutil auf einem anderen Server . . . . . . . . . . . . . . . . . . . . . . . . . .

370 370

10

296

304

315

321

325 329

338 347

349 351

356 359 365 367

368

Inhalt 6.7.2 6.7.3 6.7.4

Überprüfen der Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Offline-Defragmentierung einer Exchange-Datenbank . . . . . . . . . . . . . . . . . . . . Überprüfen der fortlaufenden Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . .

371

6.8 6.8.1 6.8.2 6.8.3

Notfalllösungen für die Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problembehebung mit vorhandener Online-Datensicherung . . . . . . . . . . . . . . . . Problembehebung mit vorhandener Offline-Sicherung . . . . . . . . . . . . . . . . . . . . Problembehebung ohne vorhandene Datensicherung . . . . . . . . . . . . . . . . . . . .

375 376

6.9

Dateien aus Exchange-Datenbanken in PST-Dateien exportieren . . . . . . . . . . .

378

Kapitel 7

Öffentliche Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

379

7.1

Möglichkeiten der öffentlichen Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . .

379

7.2 7.2.1 7.2.2 7.2.3 7.2.4

Erstellen und Verwalten von öffentlichen Ordnern . . . . . . . . . . . . . . . . . . . . Anlegen von öffentlichen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von öffentlichen Ordnern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Top-Level-öffentlichen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von öffentlichen Ordnern mit der Exchange-Verwaltungsshell . . . . . . . .

381 381

7.3

Öffentliche Ordner in der Exchange-Verwaltungskonsole verwalten . . . . . . . .

395

Kapitel 8

Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

397

8.1

Einführung in die Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . .

398

8.2 8.2.1 8.2.2 8.2.3

Erstellen von Postfächern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines neuen Benutzers mit Postfach . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Postfachs für einen bereits existierenden Benutzer . . . . . . . . . . . . . Erstellen und Verwalten von Raum- und Gerätepostfächern . . . . . . . . . . . . . . . .

400 400

8.3 8.3.1 8.3.2 8.3.3 8.3.4 8.3.5 8.3.6 8.3.7 8.3.8

Verwalten von Benutzerpostfächern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anwendern Zugriff auf andere Postfächer erteilen . . . . . . . . . . . . . . . . . . . . . . . Verwalten der allgemeinen Einstellungen für ein Postfach . . . . . . . . . . . . . . . . . . Nachrichtenübermittlungseinstellungen konfigurieren . . . . . . . . . . . . . . . . . . . . Verwalten der Postfachfeatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Postfacheinstellungen – Grenzwerte auf Postfachebene . . . . . . . . . . Löschen und Deaktivieren von Postfächern . . . . . . . . . . . . . . . . . . . . . . . . . . . Konvertieren von Postfächern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berechtigungen für Postfächer verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . .

419 420

8.4 8.4.1 8.4.2 8.4.3 8.4.4

Verwalten von Nachrichtendatensätzen und Postfachrichtlinien . . . . . . . . . . . Erstellen von verwalteten benutzerdefinierten Ordnern . . . . . . . . . . . . . . . . . . . Verwalten von verwalteten benutzerdefinierten Ordnern und Standardordnern . . . . Erstellen von Postfachrichtlinien für verwaltete Ordner . . . . . . . . . . . . . . . . . . . . Zuweisen von Postfachrichtlinien für Postfächer . . . . . . . . . . . . . . . . . . . . . . . .

438 439

374 375

377 377

384 389 390

410 411

420 422 427 427 432 433 435

441 445 447

11

Inhalt

8.4.5 8.4.6

Zeitplanung des Assistenten für verwaltete Ordner . . . . . . . . . . . . . . . . . . . . . . . Deaktivieren der Verwaltung von Nachrichtendatensätzen . . . . . . . . . . . . . . . . . .

448

8.5 8.5.1 8.5.2

Verschieben von Postfächern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verschieben von Postfächern innerhalb der Exchange-Organisation . . . . . . . . . . . . Verschieben von Postfächern über die Exchange-Verwaltungsshell . . . . . . . . . . . .

449 449

8.6

E-Mail-(aktivierte-)Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

457

8.7

Kontakte verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

462

8.8 8.8.1 8.8.2 8.8.3 8.8.4 8.8.5 8.8.6

465 466

8.8.7

Verteilergruppen verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer neuen Verteilergruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Informationen zu Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dynamische (abfragebasierte) Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen von neuen dynamischen Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . Dynamische Verteilergruppen über die Exchange-Verwaltungsshell erstellen und verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Optimieren dynamischer Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8.9 8.9.1 8.9.2

Adresslisten verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten neuer Adresslisten . . . . . . . . . . . . . . . . . . . . . . . . . . . Offlineadresslisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

484 485

Kapitel 9

Clientzugriff und Anbindung mobiler Benutzer . . . . . . . . . . . . . . . . . . . . . .

507

9.1 9.1.1 9.1.2 9.1.3

Neue Funktionen in Outlook 2007 zusammen mit Exchange 2007. . . . . . . . . . . Abwesenheits-Assistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autodiscover und AutoConnect von Outlook 2007. . . . . . . . . . . . . . . . . . . . . . . . Startoptionen von Outlook 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

509 509

9.2 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 9.2.6 9.2.7 9.2.8 9.2.9

Outlook Web Access (OWA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Neuerungen in der Bedienung von Outlook Web Access . . . . . . . . . . . . . . Zugriff auf Freigaben und SharePoint-Server . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der virtuellen Verzeichnisse von Outlook Web Access 2007 . . . . . . . . . . . Verwalten der Anmeldung und der URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten des Daten- und Dateizugriffs in Outlook Web Access . . . . . . . . . . . . . . . Konfiguration des Zugriffs auf Windows SharePoint Services und Dateifreigaben . . . . Erweiterte Einstellungen für Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . Anpassen des Outlook Web Access-Themes . . . . . . . . . . . . . . . . . . . . . . . . . . . Front-End-/Back-End-Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

517 521

9.3 9.3.1 9.3.2

Konfiguration einer eigenen Zertifizierungsstelle mit Windows Server 2003 . . . Installation einer Windows Server 2003-Zertifizierungsstelle. . . . . . . . . . . . . . . . . Zuweisen eines Zertifikats zum Exchange Server . . . . . . . . . . . . . . . . . . . . . . . .

548 549

12

449

454

468 470 473 473 479 480

491

511 515

525 526 528 534 539 541 544 546

553

Inhalt 9.3.3 9.3.4

Zuweisen eines Zertifikats in Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . Aktivieren von SSL für Outlook Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . .

556

9.4 9.4.1 9.4.2 9.4.3 9.4.4

Outlook Anywhere (RPC über HTTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für Outlook Anywhere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation und Aktivierung von Outlook Anywhere. . . . . . . . . . . . . . . . . . . . . . Konfiguration von Outlook 2003/2007 für Outlook Anywhere . . . . . . . . . . . . . . . . Problemsuche bei der Outlook Anywhere-RPC-HTTP-Verbindung . . . . . . . . . . . . .

563 564

9.5 9.5.1 9.5.2 9.5.3 9.5.4 9.5.5 9.5.6 9.5.7

Exchange ActiveSync (EAS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Infos zu EAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Exchange Active Sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerverwaltung für die mobilen Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration eines Smartphones für Exchange ActiveSync. . . . . . . . . . . . . . . . . . Troubleshooting Exchange ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der mobilen Endgeräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange ActiveSync-Postfachrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

580 581

9.6

Outlook Voice Access (OVA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

599

9.7 9.7.1 9.7.2

Verwenden von POP3 oder IMAP4 für den mobilen Verbindungsaufbau . . . . . . Aktivierung von POP3 und IMAP4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protokollierung von POP3 und IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

599 600

9.8 9.8.1 9.8.2 9.8.3 9.8.4 9.8.5 9.8.6

Mobiler Zugriff und Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . Neuerungen im IIS 7.0 von Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . Authentifizierung im IIS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren, konfigurieren und erste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . IIS in der Befehlszeile verwalten – AppCMD.exe . . . . . . . . . . . . . . . . . . . . . . . . Verwalten von Anwendungspools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheit im IIS 7 konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

605 605

9.9

Serverzertifikate verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

611

9.10

Secure Sockets Layer (SSL) im IIS 7 konfigurieren . . . . . . . . . . . . . . . . . . . . . .

611

9.11

IIS 7.0 überwachen und Logdateien konfigurieren . . . . . . . . . . . . . . . . . . . .

612

9.12 9.12.1 9.12.2 9.12.3 9.12.4

Einrichten und Verwalten der Zertifikatdienste unter Windows Server 2008 . . . Neuerungen der Active Directory-Zertifikatdienste in Windows Server 2008 . . . . . . . Installation einer Windows Server 2008-Zertifizierungsstelle . . . . . . . . . . . . . . . . Sichern von Active Directory-Zertifikatdiensten . . . . . . . . . . . . . . . . . . . . . . . . . Exchange Server 2007 SP1 mit einer Windows Server 2008-Zertifikatsstelle verwenden

613 614

560

564 570 577

583 587 587 594 595 596

603

607 608 608 609 610

614 616 616

13

Inhalt

Kapitel 10

Unified Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

619

10.1

Outlook Voice Access (OVA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

620

10.2

Anbindung von Exchange 2007 an Telefonanlagen . . . . . . . . . . . . . . . . . . . .

621

10.3 10.3.1 10.3.2

Installation der Unified-Messaging-Serverrolle . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für die Installation der Unified-Messaging-Serverrolle . . . . . . . . . Installation der Unified-Messaging-Serverrolle . . . . . . . . . . . . . . . . . . . . . . . . .

623 623

10.4 10.4.1 10.4.2 10.4.3 10.4.4 10.4.5

Verwalten eines Unified-Messaging-Servers . . . . . . . . . . . . . . . . . . . . . . . . . Deaktivieren und Aktivieren von Unified Messaging . . . . . . . . . . . . . . . . . . . . . . Verwalten der Unified-Messaging-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen der aktiven Anrufe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Zuweisen von Wählplänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und Verwalten von UM-Postfachrichtlinien . . . . . . . . . . . . . . . . . . . . .

628 628

10.5 10.5.1 10.5.2

Verwalten der Benutzereinstellungen für Unified Messaging . . . . . . . . . . . . . Aktivieren von Unified Messaging für Postfächer . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Unified-Messaging-Eigenschaften für ein Postfach . . . . . . . . . . . . .

649 649

10.6 10.6.1 10.6.2

Erstellen und Verwalten von Unified-Message-IP-Gateways . . . . . . . . . . . . . . Erstellen und Verwalten eines neuen Unified-Messaging-IP-Gateways . . . . . . . . . . Verwalten von Sammelanschlüssen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

652 653

10.7 10.7.1 10.7.2

Erstellen und Verwalten von automatischen UM-Telefonzentralen . . . . . . . . . Erstellen einer neuen automatischen Telefonzentrale . . . . . . . . . . . . . . . . . . . . . Verwalten einer automatischen Telefonzentrale . . . . . . . . . . . . . . . . . . . . . . . .

658 658

10.8 10.8.1 10.8.2

Voice-Mail mit Outlook 2007 und Outlook Web Access . . . . . . . . . . . . . . . . . . Voice-Mail in Outlook 2007 und Outlook Web Access verwenden . . . . . . . . . . . . . . Troubleshooting der Verbindung zum Exchange Server von Outlook 2007. . . . . . . . .

666 667

Kapitel 11

Datensicherung und Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . .

673

11.1

Einführung in die Datensicherung von Exchange Server 2007 . . . . . . . . . . . . .

674

11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.2.5 11.2.6

Was sollte gesichert werden? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Daten auf Mailbox-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Daten auf Hub-Transport-Servern sichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . Edge-Transport-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Daten auf Client-Access-Servern (Clientzugriffserver) . . . . . . . . . . . . . . . . . . . . . Unified-Messaging-Serverdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sichern der Domänencontroller und des Active Directory . . . . . . . . . . . . . . . . . . .

675 675

11.3

Checkpoint-Datei und Soft-Recovery einer Postfachdatenbank . . . . . . . . . . . .

679

11.4 11.4.1

Online-Sicherung einer Exchange-Datenbank . . . . . . . . . . . . . . . . . . . . . . . Ablauf einer Online-Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

682 683

14

624

629 630 631 642

652

656

660

669

676 677 677 678 679

Inhalt 11.4.2 11.4.3 11.4.4

Verschiedene Varianten der Online-Sicherung: Normal, inkrementell und ddifferenziell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherung mit der Windows Server 2003-Datensicherung. . . . . . . . . . . . . . . . . . . Testen und Überwachen der Online-Datensicherung . . . . . . . . . . . . . . . . . . . . .

11.5 11.5.1 11.5.2

Offline-Sicherung von Exchange Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitung für eine Offline-Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Durchführen einer Offline-Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

693 693

11.6 11.6.1 11.6.2 11.6.3 11.6.4 11.6.5

Active Directory-Datensicherung und -Wiederherstellung . . . . . . . . . . . . . . . Verwalten und überprüfen der Exchange-Active Directory-Daten mit ADSI-Edit . . . . Datensicherung der Active Directory-Daten von Exchange Server 2007 . . . . . . . . . . . Testen der Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfehlungen zur Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen von Daten aus der Datensicherung . . . . . . . . . . . . . . . . . . . . .

696 697

11.7 11.7.1 11.7.2 11.7.3 11.7.4 11.7.5 11.7.6

Wiederherstellen von Postfachdatenbanken . . . . . . . . . . . . . . . . . . . . . . . . Notfalllösungen für eine defekte Postfachdatenbank . . . . . . . . . . . . . . . . . . . . . Zurücksichern einer Postfachdatenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Datenstromsicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Datenbankportabilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellung einer Offline-Sicherung. . . . . . . . . . . . . . . . . . . . . . . . . . . . Erneutes Erstellen des Volltextindexkatalogs. . . . . . . . . . . . . . . . . . . . . . . . . . .

719 719

11.8 11.8.1 11.8.2 11.8.3

733 733

11.8.4

Wiederherstellen einzelner Postfächer und E-Mails . . . . . . . . . . . . . . . . . . . . Konfiguration der Aufbewahrungszeit für gelöschte Elemente und Postfächer . . . . . Wiederverbinden von gelöschten Postfächern. . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen gelöschter E-Mails innerhalb des Grenzwertes in Outlook – der Exchange Server-Papierkorb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aelita Recovery Manager for Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11.9 11.9.1 11.9.2 11.9.3

Speichergruppen für die Wiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . Informationen zu Speichergruppen für die Wiederherstellung . . . . . . . . . . . . . . . Wann ist der Einsatz einer Speichergruppe für die Wiederherstellung sinnvoll? . . . . . Anlegen, Verwalten und verwenden von Speichergruppen für die Wiederherstellung.

739 739

11.10 11.10.1 11.10.2 11.10.3 11.10.4

Wiederherstellen eines Exchange Servers – Recover Server . . . . . . . . . . . . . . . Verwenden von setup /m:RecoverServer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nacharbeiten zur Serverwiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Weitere Möglichkeiten der Serverwiederherstellung . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen eines Client-Access-Servers . . . . . . . . . . . . . . . . . . . . . . . . . .

746 747

11.11

Wiederherstellen der Datenbankwarteschlange auf Transportservern . . . . . . .

748

683 685 690

696

699 705 707 707

720 725 727 729 732

734 735 736

741 742

747 748 748

15

Inhalt

11.12 11.12.1 11.12.2 11.12.3

Exchange-Tools für die Datensicherung und Wiederherstellung . . . . . . . . . . . Die Datenbankwiederherstellungs-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . Die Datenbank-Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Isinteg.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

752 753

Kapitel 12

Berechtigungen, Sicherheit und Server-Hardening . . . . . . . . . . . . . . . . . . . .

757

12.1 12.1.1 12.1.2

Delegieren von Administratorberechtigungen . . . . . . . . . . . . . . . . . . . . . . . Informationen zu den Exchange-Administratorrollen . . . . . . . . . . . . . . . . . . . . . Zuweisen von Benutzerkonten zu Exchange-Administratorrollen . . . . . . . . . . . . .

758 759

12.2

Zulassen des Postfachzugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

764

12.3 12.3.1

Delegierung von Administrationsaufgaben im Active Directory . . . . . . . . . . . . Szenario: Delegierung zum administrativen Verwalten einer Organisationseinheit . . .

765 767

12.4

Sicherheit für Edge-Transport-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

770

12.5 12.5.1 12.5.2

Absichern der Exchange-Organisation – Verwenden des Security Configuration Wizards (SCW) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Informationen zur Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Security Configuration Wizard (SCW) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

771 771

Kapitel 13

Nachrichtenfilterung, Spam- und Virenschutz . . . . . . . . . . . . . . . . . . . . . . .

791

13.1

Installation der Spamschutz-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . .

791

13.2

Spam Confidence Level (SCL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

793

13.3 13.3.1 13.3.2 13.3.3 13.3.4 13.3.5 13.3.6

Verwalten der Antispam-Agenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Absenderfilterung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Absenderzuverlässigkeits-Filterung . . . . . . . . . . . . . . . . . . . . . . Verbindungsfilter konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfängerfilterung konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Inhaltsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden der Sender ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

794 794

13.4

Automatische Antispamaktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . .

810

13.5

Phishing- und Spamschutz in Outlook 2003 SP2/Outlook 2007 . . . . . . . . . . . . .

812

13.6

Spamschutz für Verteilergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

813

13.7

GFI MailEssentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

814

Kapitel 14

Cluster und Hochverfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

815

14.1 14.1.1 14.1.2

Was ist ein Cluster? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Informationen zu Clustern mit Exchange Server 2007 . . . . . . . . . . . . . . Cluster mit Windows Server 2003 R2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

816 817

16

755 755

761

772

797 800 804 806 810

818

Inhalt 14.1.3 14.1.4

Vorbereitungen für die Clusterinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation eines Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

821

14.2 14.2.1 14.2.2 14.2.3 14.2.4 14.2.5 14.2.6 14.2.7 14.2.8

Testcluster mit Exchange Server 2007 unter Microsoft Virtual Server 2005 R2 . . . Vorbereitung mit Microsoft Virtual Server 2005 R2 . . . . . . . . . . . . . . . . . . . . . . . . Erstellen und konfigurieren der Clusterknoten in Virtual Server 2005 R2 . . . . . . . . . . Windows-Konfiguration eines Clusterknotens. . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration der gemeinsamen Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration des Clusterdienstes in Windows Server 2003 R2 . . . . . . . . . . . . . . . . Nacharbeiten: Überprüfung des Clusters und erste Schritte mit der Clusterverwaltung . Notwendige Patches für die Installation von Exchange Server 2007 auf einem Cluster . Deinstallation eines Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

824 824

14.3 14.3.1 14.3.2 14.3.3 14.3.4

Single Copy Cluster mit Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . Voraussetzungen für einen Single Copy Cluster . . . . . . . . . . . . . . . . . . . . . . . . . Installation eines Single Copy Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Deinstallation von Exchange Server 2007 von einem Cluster . . . . . . . . . . . . . . . . . Verwalten eines Single Copy Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

849 849

14.4 14.4.1 14.4.2 14.4.3

870 871

14.4.6

Fortlaufende Clusterreplikation (Cluster Continuous Replication) . . . . . . . . . . . Funktionsweise der Cluster Continuous Replication (CCR) . . . . . . . . . . . . . . . . . . . Installieren der Cluster Continuous Replication . . . . . . . . . . . . . . . . . . . . . . . . . Schnellanleitung zur Installation eines Clusters mit der fortlaufenden Clusterreplikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten eines Clusters mit der fortlaufenden Clusterreplikation . . . . . . . . . . . . . Seeding – Kopieren der Exchange-Datenbankdateien vom aktiven zum passiven Clusterknoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellen einer Postfachdatenbank in einem CCR-Cluster . . . . . . . . . . . . . .

14.5 14.5.1 14.5.2

Troubleshooting für Single Copy Cluster und Cluster Continuous Replication . . . Eine Clusterressource lässt sich nicht online schalten . . . . . . . . . . . . . . . . . . . . . Der Zustand der CCR-Replikation wird als Failed angezeigt . . . . . . . . . . . . . . . . . .

895 896

14.6

Wiederherstellen eines Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

898

14.7 14.7.1 14.7.2 14.7.3 14.7.4

Einzelkopiecluster mit Windows Server 2008 und Exchange Server 2007 SP1 . . . Neuerungen von Clustern unter Windows Server 2008 . . . . . . . . . . . . . . . . . . . . Windows Server 2003-Cluster migrieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation eines Clusters mit iSCSI-Testumgebung. . . . . . . . . . . . . . . . . . . . . . . Exchange Server 2007 SP1 im Cluster installieren . . . . . . . . . . . . . . . . . . . . . . . .

899 899

14.4.4 14.4.5

823

826 829 830 832 841 844 847

850 861 863

873 886 887 890 894

897

901 902 911

17

Inhalt

Kapitel 15

Exchange Server 2007 mit ISA Server 2004 SP2 und ISA 2006 . . . . . . . . . . . . . .

915

15.1

Optimale Internetanbindung mit dem ISA Server . . . . . . . . . . . . . . . . . . . . .

916

15.2 15.2.1

Tipps zur Installation von ISA Server 2004 mit SP2 und ISA 2006 . . . . . . . . . . . ISA Server Best Practices Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

918 921

15.3 15.3.1

Namensauflösung für die Internetanbindung des Exchange Server 2007 und ISA Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen der Regeln für die DNS-Abfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

923 925

15.4

Anbindung der Server an den ISA Server . . . . . . . . . . . . . . . . . . . . . . . . . . .

931

15.5 15.5.1 15.5.2

Exchange Server 2007 – E-Mail-Versand ins Internet . . . . . . . . . . . . . . . . . . . Erstellen einer Regel für den SMTP-E-Mail-Versand . . . . . . . . . . . . . . . . . . . . . . Testen des Verbindungsaufbaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

933 933

15.6 15.6.1 15.6.2 15.6.3

Exchange Server 2007 – E-Mail-Empfang aus dem Internet . . . . . . . . . . . . . . E-Mail-Empfang mit POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E-Mail-Empfang per SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nachrichtenüberwachung auf dem ISA Server . . . . . . . . . . . . . . . . . . . . . . . . . .

936 936

15.7 15.7.1 15.7.2 15.7.3 15.7.4

Veröffentlichen von Outlook Web Access über ISA Server 2004/2006 . . . . . . . . . Neuerungen in ISA Server 2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitungen der OWA-Veröffentlichung mit ISA Server. . . . . . . . . . . . . . . . . . . Erstellen einer Webveröffentlichungsregel für Outlook Web Access für ISA Server 2004 . Veröffentlichen von OWA über ISA 2006 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

946 946

15.8 15.8.1 15.8.2

Veröffentlichen von Outlook Anywhere (RPC über HTTP) . . . . . . . . . . . . . . . . . Veröffentlichung von Outlook Anywhere über ISA Server 2004 . . . . . . . . . . . . . . . . Veröffentlichen von Outlook Anywhere über ISA 2006 . . . . . . . . . . . . . . . . . . . . .

972 972

15.9 15.9.1 15.9.2

Veröffentlichen von Exchange ActiveSync . . . . . . . . . . . . . . . . . . . . . . . . . . Veröffentlichung von Exchange ActiveSync über ISA 2004 . . . . . . . . . . . . . . . . . . . Veröffentlichen von Exchange ActiveSync über ISA 2006 . . . . . . . . . . . . . . . . . . .

982 983

Anhang A

Diagnose und Fehlerbehebung in Active Directory und Exchange. . . . . . . . . . .

985

A.1 A.1.1 A.1.2

Exchange Server Best Practices Analyzer (ExBPA) . . . . . . . . . . . . . . . . . . . . . . Einführung in den Exchange Best Practices Analyzer (ExBPA) . . . . . . . . . . . . . . . . Arbeiten mit dem ExBPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

986 986

A.2 A.2.1 A.2.2 A.2.3 A.2.4 A.2.5

Diagnose von Domänencontrollern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von dcdiag.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkdiagnose – netdiag.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen der Betriebsmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen der Namensauflösung mit nslookup.exe . . . . . . . . . . . . . . . . . . . . . . . . Standard-OUs per Active Directory-Benutzer und -Computer überprüfen. . . . . . . . .

990 990

18

935

937 942

946 952 959

980

983

987

992 993 994 994

Inhalt A.2.6 A.2.7 A.2.8 A.2.9 A.2.10 A.2.11 A.2.12

Überprüfen der Active Directory-Standorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Domänencontrollerliste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Active Directory-Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Domänenkonto der Domänencontroller überprüfen . . . . . . . . . . . . . . . . . . . . . . Überprüfen der administrativen Freigaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS-Einträge von Active Directory überprüfen. . . . . . . . . . . . . . . . . . . . . . . . . .

A.3 A.3.1 A.3.2 A.3.3

Fehlerbehebung auf Domänencontrollern . . . . . . . . . . . . . . . . . . . . . . . . . . 999 Generelle Vorgehensweise bei der Fehlersuche auf Domänencontrollern . . . . . . . . . 1000 Wiederherstellen der DNS-Einträge von Active Directory . . . . . . . . . . . . . . . . . . . 1001 Probleme von Kerberos beheben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1002

A.4 A.4.1 A.4.2 A.4.3 A.4.4

Fehler bei der Active Directory-Replikation beheben . . . . . . . . . . . . . . . . . . . Replikationsprobleme mit repadmin finden . . . . . . . . . . . . . . . . . . . . . . . . . . . Der Active Directory Replication Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlersuche mit dem Zusatztool Port Query . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerquellen bei der Active Directory-Replikation über Firewalls . . . . . . . . . . . . .

A.5 A.5.1 A.5.2

Fehlersuche in der DNS-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1012 Fehlerlösung in der DNS-Konfiguration mit nslookup.exe . . . . . . . . . . . . . . . . . . 1012 Lokaler DNS-Cache und dynamische Registrierung . . . . . . . . . . . . . . . . . . . . . . . 1013

A.6 A.6.1 A.6.2 A.6.3 A.6.4

Bereinigung des Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitungen beim Entfernen eines Domänencontrollers . . . . . . . . . . . . . . . . . Herabstufen eines Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erzwungene Herabstufung eines Domänencontrollers . . . . . . . . . . . . . . . . . . . . Bereinigen der Metadaten des Active Directory . . . . . . . . . . . . . . . . . . . . . . . . .

1014 1014

A.7 A.7.1 A.7.2 A.7.3 A.7.4 A.7.5 A.7.6 A.7.7 A.7.8 A.7.9 A.7.10 A.7.11

Exchange Server-Tools für die Diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Exchange Server SMTP-Diagnose-Tool . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Exchange Server Profile Analyzer (EPA) . . . . . . . . . . . . . . . . . . . . . . . . Jetstress für Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange Server Load Generator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Look@LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LOGINventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EventSentry – Echtzeitüberwachung der Ereignisprotokolle . . . . . . . . . . . . . . . . . AdvancedRemoteInfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Blat – SMTP aus der Befehlszeile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Softwaresammlung von Quest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkprotokoll-Analyse – Wireshark (ehemals Ethereal) . . . . . . . . . . . . . . . . .

1021 1022

995 996 996 997 998 998 999

1004 1005 1005 1009 1011

1015 1017 1018

1022 1023 1025 1027 1027 1028 1028 1030 1030 1031

19

Inhalt

Anhang B

Planung einer Exchange-Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1033

B.1

Grundsätzliche Überlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1033

B.2 B.2.1 B.2.2 B.2.3 B.2.4 B.2.5 B.2.6 B.2.7 B.2.8

Allgemeine Planungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Definition der Unternehmensanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . Definition der Administrationsanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der administrativen Gruppen und des Sicherheitskontextes von Exchange . . . Berechtigungsstruktur in Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . Planung des Verwaltungsmodells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen der Benutzer planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der Verteilerlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planen der öffentlichen Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

B.3

Anforderungen an die Netzwerkstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . 1046

B.4

Anforderungen an das Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1046

B.5 B.5.1

Anforderungen an die Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1047 Exchange Server 2007-Versionen und -Lizenzen . . . . . . . . . . . . . . . . . . . . . . . . 1048

B.6 B.6.1 B.6.2 B.6.3

Exchange-Organisationen über mehrere Gesamtstrukturen . . . . . . . . . . . . . . Nachteile und Einschränkungen von Exchange-Organisationen über mehrere Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange Server 2007 über mehrere Gesamtstrukturen verteilen . . . . . . . . . . . . . . Planung von Exchange-Organisationen in verteilten Gesamtstrukturen . . . . . . . . .

B.7 B.7.1 B.7.2

Planung der Exchange-Infrastruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1051 Topologischer Aufbau – Standorte im Active Directory . . . . . . . . . . . . . . . . . . . . . 1051 Planung der Routing-Topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1053

B.8 B.8.1 B.8.2 B.8.3

Standortplanung der Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Active Directory und Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . Platzierung der Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anbindung mobiler Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

B.9

Planung der Namensstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1058

B.10 B.10.1 B.10.2 B.10.3

Serverplanung und -Sizing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft System Center Capactiy Planner 2006 . . . . . . . . . . . . . . . . . . . . . . . . . Empfohlenes Server-Sizing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Planung der Festplattenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

B.11 B.11.1 B.11.2

Sicherheitsplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1067 Grundsicherung der Exchange-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . 1067 Virenschutz und Spamabwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1068

20

1037 1037 1038 1039 1039 1041 1042 1043 1045

1048 1048 1049 1049

1054 1055 1055 1057

1058 1059 1059 1062

Inhalt B.12 B.12.1 B.12.2

Lizenzierung von Exchange Server 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1069 Notwendige Lizenzen für den Einsatz von Exchange Server 2007 . . . . . . . . . . . . . . 1069 Microsoft-Lizenzprogramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1070

B.13

Exchange-Hochverfügbarkeitslösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1072

B.14 B.14.1 B.14.2

Internetzugang mit dem Microsoft ISA Server 2004/2006 . . . . . . . . . . . . . . . . 1073 Lizenzierung des ISA Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1074 Planung mit DynDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1074

B.15 B.15.1

Überwachen eines Microsoft-Netzwerks mit Exchange Server 2007 planen . . . . 1077 Microsoft Operations Manager (MOM) 2005 und System Center Operation Manager 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077

B.16 B.16.1 B.16.2 B.16.3 B.16.4 B.16.5

Detaillierte Sicherheitsplanung in Microsoft-Netzwerken . . . . . . . . . . . . . . . . Sensibilisierung der Verantwortungsträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . Strukturiertes Vorgehen bei der Planung der Sicherheit . . . . . . . . . . . . . . . . . . . . Gesetzliche Vorschriften für die IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . Die häufigsten Mängel in der Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ganzheitliche Sicherheit im Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . .

B.17 B.17.1

Planen des optimalen Virenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1089 Viren- und Spamschutz für Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1090

B.18 B.18.1 B.18.2

Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1092 Software zur Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1093 Microsoft System Center Data Protection Manager (DPM) . . . . . . . . . . . . . . . . . . . 1094

Anhang C

DNS in erweiterten Strukturen und Migration zu Exchange Server 2007 . . . . . . 1095

C.1

Untergeordnete Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095

C.2

Einführen einer neuen Domänenstruktur in einer Gesamtstruktur. . . . . . . . . . 1104

C.3 C.3.1

Optimieren der IP-Einstellungen beim Einsatz mehrerer Domänen . . . . . . . . . 1105 Erweiterte DNS-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1105

C.4 C.4.1 C.4.2 C.4.3 C.4.4

Migration zu Active Directory mit dem Active Directory Migration Tool (ADMT 3.0) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorbereitungen für das ADMT 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation und Einführung in den ADMT 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . Migration von Benutzerkonten mit dem ADMT . . . . . . . . . . . . . . . . . . . . . . . . . Migration von Kennwörtern mit ADMT 3.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Anhang D

CD zum Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1121

1085 1086 1087 1087 1087 1089

1109 1110 1111 1112 1117

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1129

21

Inhalt 1 2 3 4 5

Neuerungen und Einführung

6

In diesem Kapitel stelle ich die Neuerungen von Exchange Server mit SP1 vor. Der neue Server wurde von Microsoft im Vergleich zum Vorgänger extrem überarbeitet. In den folgenden Abschnitten gehe ich in aller Kürze auf die Neuerungen ein, die in den weiteren Kapiteln dieses Buches ausführlicher besprochen werden. Grundsätzlich möchte ich Ihnen auch die Internetseite http://msexchangeteam.com ans Herz legen, da hier die Exchange-Entwickler von Microsoft regelmäßig Informationen und Howto-Dokumente veröffentlichen.

7 8 9 Abbildung 1.1: Neue Installationsoberfläche in Exchange 2007

10 11 12 13 14 15

23

Index

1


64 Bit versus 32 Bit Eine der wichtigsten Verbesserungen ist die native 64-Bit-Unterstützung. Exchange Server 2003 kann zwar auch auf 64-Bit-Servern installiert werden, nutzt aber nur 32 Bit. Das ändert sich grundlegend bei Exchange Server 2007. Dieser kann nicht mehr auf 32-Bit-Servern installiert werden. Für Testzwecke stellt Microsoft zwar eine spezielle 32-Bit-Version zur Verfügung, rät aber von einem produktiven Einsatz dieser Version ab. Exchange 2007 sollte daher am besten auf einer 64-Bit-Variante von Windows Server 2003 R2 installiert werden. Bei 32-Bit-Systemen werden bei 4 GB RAM dem Betriebssystem 2 GB und den Serverapplikationen ebenfalls 2 GB RAM zugewiesen, was in der Praxis auf Exchange Servern zu erheblichen Problemen in der Performance und der Stabilität geführt hat. Durch die 64-Bit-Unterstützung von Exchange 2007 gehören diese Probleme der Vergangenheit an. Es besteht daher keine Limitierung von Postfächern auf Servern wie unter Exchange 2003, da der Arbeitsspeicher nicht ausreicht. Unter Exchange 2007 können größere Unternehmen deutlich mehr Postfächer auf einzelnen Exchange Servern betreiben, was die Gesamtzahl der Server und damit die Kosten weiter reduziert. Außerdem sind weniger Schreibzugriffe auf Festplatten notwendig, da Exchange 2007 deutlich mehr Funktionen in den Arbeitsspeicher auslagern kann, was die Performance und die Stabilität deutlich erhöht. Unterstützt werden alle 64-Bit-Prozessoren von AMD und Intel, aber keine Itanium(IA64)-Prozessoren. Exchange Server 2007 unterstützt durch die 64-Bit-Kompatibilität mehr als 4 GB Arbeitsspeicher.

TIPP

Um zu überprüfen, ob der Prozessor auf Ihrem Server 64 Bit unterstützt, können Sie das kostenlose Programm CPU-Z von der Internetseite www.cpuid.com herunterladen. Dieses Tool gibt ausführliche Informationen über die eingebauten CPUs eines Servers.

1.1

Rollenbasierte Installation

Exchange Server 2007 setzt als Basisbetriebssystem Windows Server 2003 mit installiertem Service Pack 1 (auch Service Pack 2) oder Windows Server 2003 R2 voraus. Die Installationsroutine wurde von Microsoft deutlich überarbeitet und bietet mehr Möglichkeiten als bei den Vorgängern. Die neue Installationsroutine überprüft effizienter, ob die notwendigen Installationsvoraussetzungen vorhanden sind, und gibt mehr und eindeutigere Hinweise aus, wenn die Installation nicht durchgeführt werden kann. Auch die Installation wurde angepasst, sie kann jetzt rollenbasiert erfolgen. Vor allem Unternehmen, die mehrere Exchange Server einsetzen, können auf den einzelnen Servern nur die Funktionen installieren, die auch gebraucht werden. Dadurch werden Sicherheitslücken, aber auch Fehler in der Konfiguration oder verschwendete Performance vermieden. Es ist zum Beispiel möglich, nur die Funktionen eines E-Mail-Routing-Servers zu installieren, ohne gleich alle Exchange-Funktionalitäten auf dem Server installieren und später nach und nach wieder abschalten zu müssen. Bisher war es zum Beispiel nicht möglich, Bridgehead-Server als selbstständige Funktion zu installieren; das ist unter Exchange 2007 jetzt möglich. Auch die Integration eines Bridgehead-Servers in der DMZ ist nun besser und effizienter möglich.

24

Rollenbasierte Installation

Abbildung 1.2: Angepasste und rollenbasierte Installation

1 2 3 4 5 6 7 So muss ein sogenannter Edge-Transport-Server, der zum Beispiel für den E-MailVersand ins Internet oder das Scannen von E-Mails zuständig ist, unter Exchange 2007 als Stand-alone-Server betrieben werden. Diese Server müssen kein Mitglied einer Active Directory-Domäne sein. Der Server tauscht seine Daten durch die ADAM-Funktion (Active Directory Application Mode) mit der Active Directory aus.

8 9

ADAM ist eine Low-End-Variante von Active Directory. Es basiert auf der gleichen Technologie und unterstützt ebenfalls Replikation. Im Gegensatz zum Active Directory wird aber beispielsweise kein Kerberos für die Authentifizierung unterstützt.

10

Eine weitere Rolle ist der Hub-Transport-Server, der für das Routing von E-Mails zwischen verschiedenen Active Directory-Standorten innerhalb des Unternehmens zuständig ist. Clients aus dem Internet oder auch dem internen Netzwerk verbinden sich mit der Serverrolle eines Client-Access-Servers (CAS), die Postfächer liegen auf Mailbox-Servern. Ein Server mit der Rolle Postfach entspricht den bisherigen BackEnd-Servern unter Exchange 2000 und 2003. Ein Client-Access-Server (CAS) entspricht dem bisherigen Front-End-Server, allerdings mit der Erweiterung, dass er auch für die Anbindung von internen Clients für MAPI, also Outlook, verwendet werden kann. Die Serverrolle Unified Messaging ist für Server gedacht, die direkt mit einer Telefonanlage verbunden werden können, um Sprachnachrichten zu den Postfächern der Benutzer zuzustellen. Insgesamt können Sie bei der Installation von Exchange 2007 einem Server eine oder mehrere der fünf Rollen zuweisen (siehe Kapitel 3): ■ ■

11 12 13 14 15

Edge-Transport: Exchange Server für das Routing vom und ins Internet in der DMZ. Hub-Transport: Diese Server nehmen die Aufgaben der bisherigen BridgeheadServer zwischen verschiedenen Routing-Gruppen ein.

25


■ ■

■

Mailbox: Diese Server entsprechen der bisherigen Rolle eines Back-End-Servers, dienen also nur dem Speichern von Postfächern. Client-Access: Diese Server entsprechen den bisherigen Front-End-Servern mit dem Unterschied, dass auch interne Outlook-Clients über Client-Access-Server Verbindung zu Mailbox-Servern aufbauen können. Unified Messaging: Diese Server dienen dem Versenden von Faxen und der Anbindung direkt an Telefonanlagen für Voice Mail und Outlook Voice Access.

Automatisierte Installation Die Unterstützung von automatischen, unbeaufsichtigten Installationen wurde erheblich verbessert. Automatische Installationen lassen sich auch über die Befehlszeile steuern (siehe Abbildung 1.3). Unter Exchange 2007 lässt sich auch der erste Exchange Server in der Organisation automatisiert installieren. Exchange 2007 arbeitet, wie Windows Vista oder Windows Server 2008, mit Antwortdateien. Die Installation gibt auch über die Befehlszeile entsprechende Meldungen und Statusinformationen aus. Abbildung 1.3: Automatisierte Installation von Exchange 2007

1.2

Optimierungen im Vergleich zu Exchange 2003

Exchange Server 2007 bietet in Verbindung mit Outlook 2007 die neuen Funktionen Autodiscover und AutoConnect. Outlook 2007 ist in der Lage, automatisch eine Verbindung zu einem Exchange Server im Netzwerk herzustellen, ohne dass auf dem PC erst manuell ein Outlook-MAPI-Profil erstellt werden muss. Diese neuen Funktionen ersparen Anwendern und Administratoren die komplexe Konfiguration am Client und bieten die Möglichkeit, die Konfiguration direkt am Server für alle Clients durchzuführen. Datenbankoptimierungen – Datensicherheit Viele Administratoren werden dankbar über die neue Funktion Local Continuous Replication (LCR), im Deutschen fortlaufende lokale Sicherung, sein. Mit dieser Funktion legt Exchange 2007 parallel zu seiner produktiven Datenbank ein Replikat an, das zum Beispiel bei einer Wiederherstellung genutzt werden kann. Fällt die Festplatte auf dem Server aus, auf dem die Exchange-Datenbank gespeichert wurde, kann ein Administrator ohne Zeit- und Datenverlust auf das Replikat umschalten. Die Anwender können ohne Ausfall und Datenverlust weiterarbeiten (siehe Abbildung 1.4). Diese Funktion wird in der Standard Edition und der Enterprise Edition unterstützt (siehe Kapitel 6). 26

Optimierungen im Vergleich zu Exchange 2003

Abbildung 1.4: Fortlaufende lokale Sicherung von Exchange-Datenbanken

1 2 3 4 5 6 7

Idealerweise sollte dazu das Replikat der Datenbank auf einem getrennten Datenträger abgelegt werden. Die Datensicherung von Exchange wird durch diese Funktion erheblich optimiert, da ständig in Echtzeit alle Daten redundant vorliegen.

8

Innerhalb eines Clusters können Sie diese Funktion dazu verwenden, einen Cluster zu bauen, der über keinen gemeinsamen Datenspeicher verfügt. Sie können zum Beispiel die Replikats-Datenbank von Continuous Backup auf den passiven Knoten des Clusters in Echtzeit replizieren lassen. Fällt der aktive Knoten aus, kann der passive Knoten gestartet werden und stellt die replizierte Datenbank in Echtzeit und ohne Datenverlust zur Verfügung. Dadurch wird die Datensicherung deutlich ausgeweitet, und die Kosten für Hochverfügbarkeit werden reduziert. Durch diese Funktion erhalten Sie eine 24-Stunden-Datensicherung (siehe Kapitel 14).

9 10 11

Exchange Server 2007 Enterprise Edition unterstützt bis zu 50 Speichergruppen, die wiederum bis zu 50 Postfachspeicher enthalten können.

12

Exchange Server 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich einen gemeinsamen Satz von Transaktionsprotokollen (siehe Kapitel 6).

13

Weder in der Standard Edition noch in der Enterprise Edition gibt es eine Begrenzung des Postfachspeichers. Unter Exchange Server 2003 war die Größe der Datenbank in der Standard Edition mit installiertem SP2 noch auf 75 GB begrenzt.

14 INFO

15

Die Datenbankdateien sind nicht mehr in *.edb- und *.stm-Dateien aufgeteilt, sondern bestehen nur noch aus einer einzelnen *.edb-Datei pro Datenbank. Insgesamt kann Exchange 2007 mehrere Milliarden Logdateien verwalten. Außerdem wurden die Datenbanken-Blockgrößen von 4 KB auf 8 KB vergrößert, mit dem Hintergedanken, dass so eine durchschnittliche E-Mail in eine einzige Speicher-Page passt. Diese 27


und weitere Maßnahmen tragen zur Reduzierung der I/O pro Sekunde bei und führen unter anderem dazu, dass ein Exchange Server 2007 wesentlich mehr Postfächer pro Server bedienen kann.

1.3

Neue Tools zur Verwaltung, Überwachung und Fehlerbehebung

Die neue grafische Oberfläche zur Verwaltung von Exchange 2007 trägt die Bezeichnung Exchange-Verwaltungskonsole. In Kapitel 2 gehe ich in ersten Schritten auf die neue Verwaltungsoberfläche ein, die wesentlich effizienter ist als der Exchange System Manager unter Exchange 2000 und 2003 (siehe Abbildung 1.6). Es wurden mehr Assistenten integriert, die bei der Verwaltung helfen sollen. Im Gegensatz zu den Vorgängern von Exchange 2007 sind alle Assistenten aufeinander abgestimmt und lassen sich identisch bedienen, sehen also nicht mehr komplett unterschiedlich aus. Die Assistenten zeigen beim Abschluss der Konfiguration auch das entsprechende Konfigurationsskript für die Befehlszeile an (siehe Abbildung 1.5). Abbildung 1.5: Anzeigen des Befehlszeilenskriptes beim Durchführen eines Assistenten in der grafischen Oberfläche

Nach Abschluss der Aktion eines Assistenten werden ausführlichere Informationen ausgegeben, die im Fehlerfall besser bei der Fehlerbehebung unterstützen. Exchange erstellt bei der Durchführung von Aufgaben in der Exchange-Verwaltungskonsole sogenannte CMDlets, skriptbasierte Aktionen, die auch über die ExchangeVerwaltungsshell durchgeführt werden können. Die führende Konfigurationsoberfläche ist daher nicht mehr die grafische Oberfläche, sondern diese CMDlets in der Exchange-Verwaltungsshell. Die Oberfläche dient ausschließlich der grafischen Unterstützung. Alle Aufgaben, die Administratoren durchführen, sind unter Exchange 2007 daher transparent und einfach auch in der Befehlszeile durchzuführen. 28

Neue Tools zur Verwaltung, Überwachung und Fehlerbehebung

Abbildung 1.6: Neue Verwaltungskonsole in Exchange 2007

1 2 3 4 5 6 7

Bisher mussten automatisierte Aufgaben kompliziert über VB-Skripte durchgeführt und dabei verschiedene Schnittstellen verwendet werden. Exchange 2007 wird daher neue Meilensteine in der Automatisierung setzen, die auch für Windows Vista und Windows Server 2008 verwendet werden können.

8

Eine weitere Änderung in Exchange 2007 ist die Integration des Exchange Server Best Practices Analyzers (ExBPA) in die neue Exchange-Verwaltungskonsole, den Nachfolger des Exchange Server 2003 System Managers. Die Verwaltungskonsole baut auf die neue MMC von Windows Server 2003 R2 auf (MMC 3.0), die auch im ISA Server 2006 oder dem Microsoft Operations Manager 2005 Einsatz findet.

9 10 Abbildung 1.7: Neue Überwachungs- und Diagnosetools in Exchange 2007

11 12 13 14 15

29


Der ExBPA überprüft die Installation des Exchange Servers auf eventuelle Konfigurationsfehler. Microsoft hat in dem Produkt über 2000 Regeln integriert, die typische Installations- und Konfigurationsfehler aufdecken und beheben helfen sollen. Interessant an dieser Lösung ist, dass die Regeln ständig aus dem Internet aktualisiert werden können und so immer auf dem neuesten Stand sind. In Exchange Server 2003 musste der ExBPA gesondert heruntergeladen und installiert werden. Neben dem ExBPA hat Microsoft in die Toolbox der Exchange-Verwaltungskonsole auch noch Zusatzprogramme integriert, welche die Performance des Exchange Servers überwachen und ebenfalls Hinweise zur Problemlösung geben können (siehe Kapitel 11 und 16). Eines dieser Zusatztools ist zum Beispiel der Exchange Troubleshooting Assistant (ExTrA), der ebenfalls aus dem Internet aktualisiert werden kann. Die Kombination von ExBPA und ExTrA hilft Administratoren, Fehler in Exchange Server 2007 zu vermeiden und, falls diese doch auftreten, zu beheben. In bisher keinem Exchange Server gab es eine solche Flut von Zusatztools, die Administratoren bei ihrer Arbeit helfen sollen. Exchange Server 2007 in der Befehlszeile verwalten Eine weitere Neuerung in Exchange Server 2007 ist die neue Exchange-Verwaltungsshell, die auf der neuen Microsoft PowerShell aufbaut und alle Verwaltungsaufgaben in der Befehlszeile unterstützt. Exchange Server-Administratoren können daher zukünftig alle Verwaltungsaufgaben, die auch in der grafischen Oberfläche durchgeführt werden können, in der Verwaltungsshell skriptgesteuert und automatisiert durchführen. Abbildung 1.8: Verwaltung von Exchange 2007 über die Befehlszeile

Skriptbasierte Aktionen mussten in Exchange 2003 noch durch komplizierte VBSkripte durchgeführt werden, während in Exchange 2007 einfache PowerShellSkripte verwendet werden können. Ich zeige Ihnen in den einzelnen Kapiteln dieses Buches die Aufgaben auch innerhalb der Befehlszeile nicht nur in der grafischen Oberfläche. In Kapitel 2 sehen Sie bereits erste praktische Beispiele für die Verwendung der Exchange-Verwaltungsshell im Rahmen der Testumgebung.

1.4

Neuerungen in Outlook Web Access und zur Unterstützung von mobilen Geräten

In Exchange Server 2007 wurden auch zahlreiche Verbesserungen in Outlook Web Access und zur Unterstützung von mobilen Endgeräten, wie zum Beispiel Smartphones, integriert. Mit Outlook Web Access können Anwender weltweit über einen 30

Neuerungen in Outlook Web Access

Browser auf ihr Postfach im Unternehmen zugreifen. Die Verwaltung von Outlook Web Access (OWA) wurde deutlich optimiert (siehe Abbildung 1.9). Die Oberfläche von Outlook Web Access kann von Anwendern selbst an ihre Bedürfnisse angepasst werden. Auch die Planung von Besprechungen und die Abfrage des globalen Adressbuches wurden an Outlook angeglichen, sodass die Bedienung von Outlook Web Access sich stark an Outlook annähert. Für die Planung von Besprechungsanfragen können Besprechungsräume als eigener Menüpunkt ausgewählt und in Exchange 2007 auch verwaltet werden. Die rechte Maustaste wird auch in Outlook Web Access unterstützt. Auch die Anzeige der Ordner in Outlook Web Access wird automatisch aktualisiert, wenn eine neue Mail eintrifft.

1 2 3 Abbildung 1.9: Verwaltung von Besprechungsräumen in Outlook Web Access von Exchange 2007

4 5 6 7 8 9 10

Benutzer können in Outlook Web Access die Spracheinstellungen unabhängig vom Browser einstellen. Unter Exchange 2003 wurde Outlook Web Access noch in der Sprache angezeigt, in welcher der Browser installiert wurde. Vor allem beim Zugriff im Urlaub oder bei international tätigen Unternehmen ist diese Möglichkeit ein echter Gewinn.

11

GZIP-Komprimierung funktioniert unabhängig von Forms-Based Authentication innerhalb von Outlook Web Access. Beim Herunterladen von Anhängen haben Sie dadurch den Vorteil, dass die zu übertragende Datenmenge deutlich verringert wird.

13

12

INFO

14

Über Outlook Web Access besteht die Möglichkeit, auch auf Dateien von Dateiservern oder SharePoint-Servern zuzugreifen. OWA gibt dazu die Authentifizierung des aktuellen Anwenders SSL-gesichert weiter und funktioniert als Reverse-Proxy. Sie können auf beliebige Netzwerkpfade zugreifen, es ist aber nur lesender Zugriff möglich. Diese Funktion kann natürlich auch deaktiviert werden. Es besteht auch die Möglichkeit, diese Funktion nur einzelnen Benutzern zu gestatten, Filtermöglichkeiten sind ebenfalls möglich (siehe Kapitel 8).

15

31


Abbildung 1.10: Neues Outlook Web Access 2007

Abbildung 1.11: Zugriff auf Dateifreigaben über Outlook Web Access

Ein Administrator kann Anwendern das Recht geben, ihre mobilen Endgeräte automatisch löschen zu lassen, wenn diese verloren gegangen sind oder gestohlen wurden. Verbindet sich ein solches Gerät über das Internet mit dem Exchange Server, wird ein Löschbefehl gesendet, der die sensiblen Daten direkt auf dem Smartphone löscht. Die neue Oberfläche von OWA sieht darüber hinaus noch mehr aus wie Outlook, damit auch mobile Nutzer effizient arbeiten können. Es ist auch in Outlook Web Access möglich, dass Anwender andere Postfächer auf dem Exchange Server öffnen, wenn sie die Berechtigung dazu haben, ohne OWA schließen und neu öffnen zu müssen (siehe Kapitel 9). Die Konfiguration von Outlook Web Access ist in Exchange 2007 nahezu komplett in die Exchange-Verwaltungskonsole integriert. Es sind keine zusätzlichen Tools notwendig, und Sie müssen weniger Konfigurationen im IIS vornehmen (siehe Abbildung 1.12). Outlook Web Access 2007 bietet verschiedene Möglichkeiten, um den Datenzugriff für Anwender zu steuern. Exchange Server 2007 bietet eine neue Funktion, die WebReady Document Viewing genannt wird. Mit dieser Funktion können Anwender auf Dateien zugreifen und diese anzeigen, ohne dass auf dem PC, mit dem Sie sich per OWA verbinden, die entsprechende Applikation installiert wird. Hauptsächlich bietet OWA so den Zugriff auf folgende Dateitypen: 32

Neuerungen in Outlook Web Access

■ ■ ■ ■

*.doc *.pdf *.ppt *.xls

1 Abbildung 1.12: Konfiguration von Outlook Web Access in der ExchangeManagementkonsole von Exchange 2007

2 3 4 5 6 7 8

Mobile Benutzer – Unified Messaging und Outlook Voice Access (OVA) Neu ist auch die Unterstützung von Unified Messaging (UMS) in Exchange 2007 (siehe Kapitel 10). Der Server unterstützt Fax und Voice Mails für die Postfächer. Jedes Exchange-Postfach ist auch ein Anrufbeantworter. Telefonanlagen können ohne Zusatzsoftware direkt mit Exchange verbunden werden. Sprachnachrichten werden in einer E-Mail als *.wma-Datei gespeichert, die durch ein Media Player Plug-In direkt in Outlook oder auch Outlook Web Access vorgespielt werden können. So können zum Beispiel Anrufe als Sprachdatei in das lokale Postfach des Anwenders zugestellt werden (siehe Abbildung 1.13).

9 10 11 Abbildung 1.13: Anzeigen von Voice-Mails über Exchange 2007

12 13 14 15

Zusätzlich kann Exchange so konfiguriert werden, dass es beim Eingang einer VoiceMail eine bestimmte Telefonnummer, zum Beispiel ein Handy, anruft und die VoiceMail vorspielt. Exchange Server 2007 kann auch angerufen werden. Anwender, die 33


zum Beispiel im Auto unterwegs sind, erhalten dadurch die Möglichkeit, die Telefonnummer des Exchange Servers zu wählen und sich E-Mails von der neuen Exchange Speach Engine vorlesen zu lassen. Über diese Technik können auch Termine vorgelesen, geplant und verschoben werden (siehe Kapitel 9 und 10). Die neue Funktion, sich E-Mails unterwegs vorlesen zu lassen, wird Outlook Voice Access (OVA) genannt. Sie können sich per Telefon auch Termine vorlesen lassen und konfigurieren, wenn Sie zum Beispiel zu spät zu einem Termin kommen.

1.5

Was ist weggefallen und was bleibt?

Exchange 2007 baut immer noch auf die Datenbanktechnologie von Exchange 2000 und 5.5 auf. Exchange 2007 basiert auf der Joint-Engine-Technologie (JET). Auf deren Basis wurde die Extensible Storage Engine (ESE) von Exchange 2003 und Exchange 2007 entwickelt. Erst eine künftige Exchange Server-Version wird Ihre Datenbank in den neuen SQL Server 2005 oder dessen Nachfolger integrieren können. ■

■ ■

■

■

■

■ ■

34

Mit Exchange Server 2007 gibt es im Snap-In Active Directory-Benutzer und -Computer keine Registerkarten mehr für die Verwaltung der Exchange-Attribute. Es gibt auch keine Exchange-Aufgaben mehr im Snap-In Active Directory-Benutzer und -Computer. Die komplette Benutzerverwaltung der Exchange-Attribute findet jetzt in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Postfach oder der Exchange-Verwaltungsshell statt. Ab sofort darf der Windows SMTP-Dienst nicht mehr auf Exchange 2007 installiert sein, da Exchange seinen eigenen SMTP-Dienst mitbringt. Auf den Clients müssen Sie Outlook XP, 2003 oder 2007 installiert haben, ältere Outlook-Versionen werden nicht mehr unterstützt. Auch Outlook XP wird nur eingeschränkt unterstützt. Idealerweise setzen Sie auf den Clients Outlook 2007 ein, um alle Funktionen zu unterstützen. Exchange 2007 unterstützt nicht mehr den X.400 Connector. Wer noch X.400Anbindungen betreiben muss, sollte einen Exchange 2003 Server in die Organisation integrieren. Öffentliche Ordner werden bis ins Jahr 2016 von Exchange unterstützt. Ursprünglich war angedacht, den Nachfolger von Exchange 2007 ohne die öffentlichen Ordner auszuliefern, da Microsoft die Datenspeicherung in den kostenlos erhältlichen SharePoint Services präferiert. Auch die Routing-Gruppen und die administrativen Gruppen wurden abgeschafft. Da Exchange 2007 die Active Directory-Standorte unterstützt, ist daher keine zusätzliche Konfiguration von physikalisch getrennten Exchange Servern mehr notwendig. Alle Berechtigungen und Konfigurationen übernimmt Exchange aus dem Active Directory. Exchange 2007 ist daher noch mehr von Active Directory abhängig als die Vorgängerversionen. Die Verwaltung einzelner Exchange Server kann delegiert werden, daher sind auch die administrativen Gruppen nicht mehr notwendig (siehe Kapitel 12). Exchange 2007 unterstützt kein Active-Active-Clustering mehr, sondern lediglich Active-Passive- bzw. Active-Active-Passive-Clustering mit drei Cluster-Knoten. In Exchange 2007 werden die Verarbeitungen von Besprechungsanfragen und Terminen vom Client auf den Server verlegt. Das hat den Vorteil, dass keine Inkonsistenzen entstehen können, wenn mit mehreren Clients, zum Beispiel PC, OWA und Smartphones, auf Postfächer zugegriffen wird. Unter den Vorgängerversionen von Exchange 2007 wurden die Termine von den Clients verwaltet

Exchange Server 2007-Editionen

■

■

und nur auf den Exchange Server repliziert. Die verschiedenen Clients und Geräte, also OWA, Smartphones, Heim-PCs und Unternehmens-PCs, greifen dadurch immer auf die aktuellen Daten der Termine zu, Outlook muss dabei nicht laufen. Durch diese Funktion können auch Kalendereinträge durch Outlook Voice Access (OVA) vorgelesen werden, wenn die Unified MessagingDienste installiert und konfiguriert wurden (siehe Kapitel 9 und 10). Außerdem muss dazu ein Exchange Server der Organisation an der Telefonanlage des Unternehmens angeschlossen werden. Damit in einer Active Directory-Domäne Exchange 2007 installiert werden kann, müssen Sie sicherstellen, dass die Domänenfunktionsebene mindestens auf Windows 2000 pur gehoben wurde, es dürfen daher in dieser Domäne keine Windows NT 4.0-Domänencontroller betrieben werden. Die WAP-Funktion von Exchange 2003 (Outlook Mobile Access, OMA) ist kein Bestandteil mehr von Exchange Server 2007. Microsoft empfiehlt für die Anbindung von mobilen Benutzern Smartphones mit Windows Mobile und der Funktion Exchange ActiveSync (EAS), bei der die Synchronisation von Postfächern über das Internet durchgeführt wird.

1.6

1 2 3 4 5

Exchange Server 2007-Editionen

6

Exchange 2007 wird, wie Exchange 2003 und 2000, in einer Standard Edition und einer Enterprise Edition zur Verfügung gestellt. Exchange 2007 Enterprise Edition unterstützt 50 Speichergruppen mit 50 Postfachspeichern. Die Exchange 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern.

7 8

Beide Editionen unterstützen die fortlaufende Datensicherung (Local Continuous Replication, LCR). Die Cluster-Unterstützung ist auch in Exchange Server 2007 ausschließlich der Enterprise Edition vorbehalten, Exchange 2007 Standard Edition unterstützt keine Cluster-Konfiguration (siehe Kapitel 14).

9

Es gibt unterschiedliche Exchange Client-Access-Lizenzen (CALs): Die Standard CAL bietet die Nutzung aller Grundfunktionen ähnlich wie bei Exchange Server 2003.

10

Die Enterprise CAL bietet zusätzlich Zugriff auf Funktionen wie Exchange Hosted Filtering und Forefront Security für Exchange (siehe Kapitel 17).

11

1.7

Exchange Server 2007 Service Pack 1

Das Service Pack 1 bietet neben zahlreichen Fehlerbehebungen haufenweise Neuerungen für Exchange Server 2007. Daher bietet sich die Installation nicht nur aus Gründen der Stabilität an. Die Download-Größe des Service Packs beträgt etwa 850 MB. In entpackter Form hat das Service Pack eine Größe von über 1,1 GB. Die wichtigste Neuerung ist sicherlich die Unterstützung für Windows Server 2008, sodass Exchange Server 2007 jetzt auch auf dem neuen Serverbetriebssystem installiert werden kann. Die meisten neuen Funktionen finden sich übrigens in der Toolbox der Exchange-Verwaltungskonsole. Hier gibt es ein paar neue Programme, zum Beispiel die Möglichkeit der Verwaltung von öffentlichen Ordnern. Mithilfe neuer Systemmonitorzähler können verschiedene Online-Defragmentierungsinformationen überwacht werden, zum Beispiel wann die Online-Defragmentierung zuletzt ausgeführt wurde, wie lange dies gedauert hat und was dabei durchgeführt wurde.

12 13 14 15

35


Mit dem neuen Service Pack unterstützt Exchange Server 2007 IPv6. Das macht Sinn, wenn der Server unter Windows Server 2008 installiert wird, da hier neben IPv4 auch IPv6 für die Kommunikation verwendet wird. So können Exchange Server unter Windows Server 2008 deutlich besser miteinander kommunizieren. Allerdings muss für die Funktion sowohl IPv4 als auch IPv6 aktiviert sein. Wird auf dem Windows Server 2008 IPv4 deaktiviert, kann Exchange auch nicht mehr über IPv6 kommunizieren. Unter Windows Server 2003 wird IPv6 jedoch nicht für Exchange Server 2007 unterstützt. Soll das Service Pack unter Windows Server 2003 installiert werden, muss auf dem Server das Service Pack 2 für Windows Server 2003 installiert sein. Mit dem Service Pack ist es möglich, komplett einen Exchange Server zu installieren. Es ist nicht notwendig, vorher Exchange Server 2007 zu installieren und das Service Pack nachzuziehen. Auf diesem Weg wird zum Beispiel Exchange Server 2007 unter Windows Server 2008 installiert, was deutlich Zeit spart. PST-Dateien können über die Exchange-Verwaltungsshell in den Server importiert oder exportiert werden, exmerge wird also nicht mehr benötigt. Es werden die beiden Befehle import-mailbox und export-mailbox verwendet. Dazu muss auf dem Server allerdings Outlook 2003/2007 installiert sein. Ausführliche Hilfe erhalten Sie, wenn Sie in der Exchange-Verwaltungsshell die Befehle get-help import-mailbox bzw. get-help export-mailbox eingeben. Unter Exchange Server 2007 gibt es die Empfehlung von Microsoft nicht mehr, dass Outlook nicht auf dem Server installiert sein darf. Sollen auf einem Server Postfächer exportiert oder importiert werden, wird Outlook zwingend benötigt. Viele Funktionen, die bisher nur in der Exchange-Verwaltungsshell durchgeführt werden konnten, sind jetzt in die Exchange-Verwaltungskonsole integriert, zum Beispiel die Verwaltung von öffentlichen Ordnern, die Clusterverwaltung, POP3 und IMAP-Konfiguration, VoIP-Sicherheit und die Verwaltung von Berechtigungen für Postfächer und öffentlicher Ordner. Mit Service Pack 1 können Active DirectoryBenutzer angezeigt werden, die noch kein Exchange-Postfach haben, und auf einen Rutsch für alle diese Anwender Postfächer erstellt werden. Diese Konfiguration wird über die Empfängerkonfiguration durchgeführt. Bei der Installation des Service Packs werden automatisch Exchange ActiveSyncRichtlinien und -Einstellungen gesetzt und Anwendern zugewiesen, für die noch keine Richtlinie erstellt wurde. Außerdem wurden neue Einstellungen in den ActiveSyncRichtlinien integriert, zum Beispiel die Deaktivierung von Wechselmedien. Auch die Performance von Exchange ActiveSync wird deutlich verbessert. So werden die HTTPS-Datenpakete, die zwischen Client und Server für die Verbindung gesendet werden, deutlich verkleinert. Nachrichtengrößen können jetzt auch für Active DirectoryStandortverknüpfungen gesetzt werden. Dazu wird in der Exchange-Verwaltungsshell das CMDLet Set-AdSiteLink verwendet. Wird Exchange Server 2007 zusammen mit Exchange Server 2003 betrieben, können Nachrichtengrößen auch auf Routinggruppen-Connector-Ebene mit dem CMDLet New-RoutingGroupConnector oder Set-RoutingGroupConnector gesetzt werden. In den Transportregeln können Regeln für Unified-Messaging-Nachrichten gesetzt werden. Exchange Server 2007 und Office Communicator 2007 arbeiten jetzt besser miteinander. So muss beim Zugriff auf Voice-Mails keine PIN mehr eingegeben werden, und der Datenaustausch wurde optimiert.

36

Exchange Server 2007 Service Pack 1

Standby Continuous Replication (SCR) Eine weitere Neuerung des Service Pack 1 ist die neue Sicherungsfunktion Standby Continuous Replication (SCR). Hierbei handelt es sich neben der Local Continuous Replication (LCR) und Cluster Continuous Replication (CCR) um die dritte Hochverfügbarkeitsfunktion von Exchange Server 2007. SCR sichert einen Standort gegen Ausfall eines Servers. Mit dieser Funktion können Speichergruppen auf andere Exchange Server repliziert werden. Das Failover erfolgt manuell, daher die Bezeichnung Standby Continuous Replication. Fällt ein Server aus, kann ein anderer Server die Datenbank produktiv schalten. Bei CCR wiederum können jetzt die Logdateien auch über mehrere interne Cluster-Netzwerke repliziert werden.

1 2 3

Neuerungen für Anwender – Outlook Web Access DeLuxe Für Anwender bringt das Service Pack 1 zum Beispiel in Outlook Web Access die Unterstützung von persönlichen Verteilerlisten sowie den Zugriff auf öffentliche Ordner. Diese beiden Funktionen können jetzt bequem über eigene Schaltflächen in Outlook Web Access erreicht werden. Neben Lesefunktionen können auch Ordner erstellt und bearbeitet werden. Auch Regeln und Editoren für Assistenten werden jetzt in Outlook Web Access 2007 wesentlich besser unterstützt. Bestehende Regeln können bearbeitet, neue Regeln erstellt werden. Die erstellten Regeln sind serverbasiert, sodass diese auch bei der parallelen Verbindung mit Outlook zur Verfügung stehen. Es können eigene Formulare und Einträge für eigene Adressbücher erstellt werden. Außerdem haben Anwender direkt über Outlook Web Access Zugriff auf den Papierkorb des Servers, um gelöschte E-Mails wiederherstellen zu können. Kalenderansichten können angepasst werden, um zum Beispiel eine monatliche Ansicht zu aktivieren. Bisher konnte die Kalenderansicht nur wöchentlich und täglich angezeigt werden, nicht monatlich. In den Kalenderoptionen stehen für Anwender jetzt auch deutlich mehr Möglichkeiten zur Verfügung also ohne das SP.

4 5 6 7 8

Neu ist auch die Möglichkeit, auf Objekte, die als Notizen dargestellt werden, direkt zu antworten, was bisher nicht möglich war. Das spielt vor allem bei der Verwendung von öffentlichen Ordnern eine wichtige Rolle. In Outlook Web Access kann mit der neuen Funktion Webready Document Viewer jetzt auch auf Office 2007-Dokumente zugegriffen werden, ohne dass auf dem Client ein entsprechendes Programm installiert sein muss. Ohne das SP1 ist nur der Zugriff auf Office 2003-Dokumente möglich. Innerhalb von Outlook Web Access kann S/MIME für die E-Mail-Sicherheit verwendet werden. Objekte können in Outlook Web Access in andere Ordner kopiert oder verschoben werden, was die Arbeit für Anwender enorm erleichtert.

9 10 11 12

Berechtigungen in der Exchange-Managementkonsole setzen Eine weitere Neuerung für alle Administratoren, die sich nicht gerne mit der Exchange-Verwaltungsshell beschäftigen, ist die Möglichkeit, Berechtigungen in der Exchange-Verwaltungskonsole setzen zu können. Nach der Installation des Service Packs können Berechtigungen unter der Empfängerkonfiguration über Rechtsklick auf ein Postfach angepasst werden. Es startet ein Assistent, der genauso bedient wird wie alle Assistenten in Exchange Server 2007.

13 14

Weitere Neuerungen Eine weitere Neuerung besteht in der Unterstützung des Secure Realtime Transport Protocols (SRTP). Exchange Server 2007 bietet zwei Sicherheitsmodi. Der gesicherte Modus verschlüsselt nur den SIP-Datenverkehr. Der RTP-Datenverkehr ist unverschlüsselt. Mit SP1 gibt es drei Modi. Im gesicherten SIP-Modus wird nur der SIP-

15

37


Datenverkehr verschlüsselt, aber nicht der RTP-Datenverkehr. Im gesicherten Modus werden sowohl der SIP- als auch der RTP-Datenverkehr verschlüsselt. Links: Download Exchange 2007 SP1 – http://www.microsoft.com/downloads/details.aspx? FamilyId=44C66AD6-F185-4A1D-A9AB What's New in Exchange Server 2007 SP1 – http://technet.microsoft.com/enus/library/bb676323.aspx SP1 Release Notes – http://www.microsoft.com/downloads/details.aspx?familyid= 5770BD59-376E-42EC-B940-BE6225CD97FF&displaylang=en How to Install Exchange 2007 SP1 Prerequisites on Windows Server 2008 – http://technet.microsoft.com/en-us/library/bb691354.aspx IPv6 Support in Exchange 2007 SP1 – http://technet.microsoft.com/en-us/library/ bb629624.aspx New Client Access Features in Exchange 2007 SP1 – http://technet.microsoft.com/ en-us/library/bb684907.aspx New Transport Features in Exchange 2007 SP1 – http://technet.microsoft.com/en-us/ library/bb684905.aspx New Mailbox Features in Exchange 2007 SP1 – http://technet.microsoft.com/en-us/ library/bb684903.aspx New High Availability Features in Exchange 2007 SP1 – http://technet.microsoft. com/en-us/library/bb676571.aspx New Unified Messaging Features in Exchange 2007 SP1 – http://technet.microsoft. com/en-us/library/bb691398.aspx

38

Inhalt 1

2 3 4 5

2

Aufbau einer Testumgebung, Grundlagen und erste Schritte

6 7 8

Der erste Schritt, um sich mit Exchange 2007 auseinanderzusetzen, ist der Aufbau einer Testumgebung. Dazu ist es nicht unbedingt notwendig, dass Sie sich zusätzliche Hardware besorgen. Es ist ohne Weiteres möglich, auf einer einzelnen virtuellen Maschine Windows Server 2003 R2 oder Windows Server 2008 als Domänencontroller parallel zu Exchange 2007 und auch Outlook 2007 zu betreiben. Ich zeige Ihnen in diesem Kapitel, wie Sie eine Testumgebung mit Active Directory und Exchange 2007 unter Microsoft Virtual Server 2005 R2 installieren können. Ich gehe dabei auf die Installation unter Windows Server 2003 und Windows Server 2008 ein. Haben Sie sich mit dem einen oder anderen Punkt bereits auseinandergesetzt, können Sie einzelne Abschnitte auch überspringen. Administratoren, die sich mit dem Thema Active Directory und Virtual Server 2005 R2 noch nicht ausführlich auseinandergesetzt haben, erhalten wertvolle Tipps und Hinweise, wie Testumgebungen mit Virtual Server 2005 R2 aufgebaut werden können.

9 10 11 12

Es ist auch möglich, auf diese Weise einen Testcluster aufzubauen, um die neuen Cluster-Funktionen von Exchange Server 2007 zu testen. Dieser Bereich wird in Kapitel 14 ausführlich besprochen. Die Testumgebung in Kapitel 14 baut auf der Testumgebung in diesem Kapitel auf.

2.1

13 14

Aufbau einer Testumgebung

In diesem Abschnitt zeige ich Ihnen zunächst, wie Sie eine Testumgebung aufbauen können. Alles, was Sie dazu brauchen, ist ein Test-PC mit aktuellem Prozessor und mindestens 1 bis 2 GB RAM.

15

39

Index

Auf diesem Server installieren Sie den kostenlosen Microsoft Virtual Server 2005 R2 und erstellen alle notwendigen Server virtuell. Sie sollten auch ein oder zwei Arbeits-


stationen mit Outlook 2007 in der Testumgebung installieren, um sich optimal vorzubereiten, diese müssen aber nicht unbedingt virtuell sein. Alle Applikationen, die Sie zum Testen brauchen, können Sie sich kostenlos bei Microsoft entweder als Vollversion oder als Testversion herunterladen. Die Testversionen von Microsoft laufen mindestens 120 Tage, meistens viel länger, sodass einem ausführlichen Test nichts im Wege steht. Ich verwende den Virtual Server, da mit diesem optimal ein Testcluster und durch die Funktion differenzierende virtuelle Festplatte platzsparender, schneller und effizienter eine Testumgebung aufgebaut werden kann als mit anderen Virtualisierungslösungen.

2.1.1

Vorbereitungen für die Testumgebung

Zunächst sollten Sie sich einen PC besorgen, der über genug Hardware verfügt, um eine Testumgebung aufzubauen. Zusätzlich sollten Sie sich folgende Software besorgen: ■ ■

■

■

Microsoft Virtual Server 2005 R2 (kostenloser Download unter http://www. microsoft.com/germany/virtualserver). Windows Server 2003 Enterprise Edition, am besten in der R2-Version, da diese die aktuellste ist (Testversion unter http://www.microsoft.com/germany/technet/ beta/ws03_r2/default.mspx). Wollen Sie kein Windows Server 2003 R2 verwenden, sollten Sie Windows Server 2003 und das SP1 für Windows Server 2003 bereithalten. Meine Empfehlung lautet aber, stets die aktuelle Version einzusetzen. Exchange Server 2007 Enterprise Edition (Testversion unter http://www. microsoft.com/germany/exchange).

Haben Sie sich alle Programme besorgt, können Sie mit der Installation der Testumgebung beginnen. Haben Sie die Testversionen von Microsoft heruntergeladen, liegen diese normalerweise als ISO-Dateien vor, die sich zur Einbindung in den Microsoft Virtual Server 2005 R2 hervorragend eignen. Sie können sich auch CDs brennen und diese bei Bedarf in das Laufwerk des Rechners einlegen, allerdings bieten sich für Virtualisierungslösungen ISO-Dateien an, da diese leicht als CD-ROMLaufwerk eingebunden werden können. Haben Sie Zugriff auf die MSDN, können Sie sich die Vollversionen auch als ISO-Dateien herunterladen. Sie können als Basis für die Virtualisierung auch den VMware Server verwenden oder VMware Workstation. Virtual PC ist ebenfalls geeignet. In diesem Abschnitt zeige ich Ihnen den Aufbau einer virtuellen Testumgebung auf Basis von Microsoft Virtual Server 2005 R2, da dieser für den Testaufbau eines Active Directory mit Exchange 2007 aus meiner Sicht neben VMware Workstation am besten geeignet ist. Schlussendlich ist es Geschmackssache. Sie können die Testumgebung auch auf physikalischen Servern installieren, haben dann aber den Nachteil, dass Sie für eine vernünftige Testumgebung mehrere Server benötigen. Außerdem ist auf diesem Weg der Aufbau eines Testclusters, wie in Kapitel 14 beschrieben, nicht möglich. Virtual Server 2005 R2 kann sowohl auf 32-Bit- als auch auf 64-Bit(x64)-Betriebssystemen ausgeführt werden. Es ist daher möglich, auch die 64-Bit-Varianten von Windows Server 2003 und Windows XP als Hostsystem zu installieren. Es werden AMD64- und Intel IA-32e/EM64T(x64)-Prozessoren unterstützt, nicht jedoch Intel Itanium(IA-64)-Prozessoren. Frühere Versionen von Virtual Server 2005 können zwar auf x64-basierter Hardware ausgeführt werden, jedoch nur dann, wenn eine 32-Bit-Version eines der unterstützten Hostbetriebssysteme installiert ist. 40


Es ist jedoch nicht möglich, 64-Bit-Betriebssysteme in den Gästen zu installieren, diese laufen weiterhin im 32-Bit-Modus mit einem einzigen emulierten Prozessor. Es ist daher auch nicht möglich, zum Beispiel die 64-Bit-Version des SQL Servers 2005 oder von Exchange 2007 in einer Gastmaschine zu installieren, um zum Beispiel ein Ausfallkonzept mit virtuellen Maschinen zu erstellen, hier muss weiterhin auf die 32-Bit-kompatiblen Programmversionen gesetzt werden. Da sich die Bedienung dieser Systeme nicht von der Bedienung der 64-Bit-Versionen unterscheidet, spielt diese Einschränkung, zumindest im Bereich einer Testumgebung, keine allzu große Rolle.

2.1.2

1

2

Microsoft Virtual Server 2005 R2

3

Der Vorteil von virtuellen Servern in produktiven Umgebungen liegt vor allem darin, dass es nicht mehr notwendig ist, für jeden Serverdienst einen eigenen Server zu kaufen, sondern dass der Kauf einer großen Servermaschine ausreicht, auf der eine Virtualisierungssoftware installiert wird. Ein Windows-Server läuft immer am stabilsten, wenn nur ein Dienst auf ihm installiert ist. Hier liegen die Hauptvorteile von virtuellen Servern. Auf einer physikalischen Servermaschine können mehrere Dienste mit Virtualisierungssoftware zusammengefasst werden. In Testumgebungen lassen sich mit virtuellen Servern sehr schnell auch komplexe Strukturen abbilden und wiederherstellen.

4 5 6

VMware Server wird von VMware kostenlos zur Verfügung gestellt. Auch Microsoft stellt seine Virtual Server 2005 R2 Enterprise Edition kostenlos zur Verfügung. Sie können sich beide Produkte von der Homepage der Anbieter herunterladen. Grundsätzlich ist der Aufbau einer virtuellen Server-Infrastruktur kein Hexenwerk. Sie benötigen einen ganz normalen physischen Server (Host, Gastgeber genannt), auf dem Sie Windows Server 2003 R2 installieren sollten. Im Gegensatz zu den Desktop-Produkten für die Virtualisierung (Virtual PC und VMware Workstation) werden bei den Serverprodukten Microsoft Virtual Server 2005 R2 und VMware Server die virtuellen Maschinen nicht ausgeschaltet, wenn Sie die Konsole beenden. Da die virtuellen Maschinen in den Serverprodukten als Dienste laufen, sind diese weiterhin aktiv und belasten daher die Performance einer Arbeitsstation oder eines Testrechners. Sie sollten die virtuellen Maschinen beim Beenden des Tests daher ausschalten oder die Dienste beenden.

7 8 9 INFO

10 11

Installation Microsoft Virtual Server 2005 R2 Wollen Sie auf einem Server Microsoft Virtual Server 2005 R2 installieren, müssen Sie auf diesem Server zunächst das Betriebssystem installieren. Sie können entweder eine Version von Windows Server 2003 oder auch Windows XP Professional mit SP2 bzw. Windows Vista als Basisbetriebssystem installieren. Sorgen Sie auch dafür, dass am besten alle Sicherheitspatches auf dem Server installiert worden sind.

12 13

Da die Serververwaltung von Microsoft Virtual Server 2005 R2 webbasierend ist, müssen Sie vor der Installation von Virtual Server auf dem Quellserver die Internetinformationsdienste installieren. Im Anschluss können Sie die Installation von Microsoft Virtual Server 2005 R2 starten. Die Installation läuft schnell durch. Sie sollten möglichst alle Komponenten der Installation auswählen. Im Verlauf der Installation müssen Sie noch den Port für die Verwaltungswebseite des Virtual Servers festlegen. Microsoft Virtual Server 2005 R2 wird vollständig in der Weboberfläche verwaltet. Sie können die Einstellungen für die Standardwebseite so belassen, wie sie sind. Auch die Ausnahmen in der Windows-Firewall sollten Sie durch den Instal-

14 15

41


lationsassistenten eintragen lassen, damit die Kommunikation zu den virtuellen Servern auch bei aktivierter Sicherheit funktioniert. Haben Sie alle Eingaben vorgenommen, beginnt der Assistent mit der Installation, die nach wenigen Sekunden abgeschlossen ist. Sie erhalten nach der Installation eine Zusammenfassung der wichtigsten Daten. Lesen Sie sich die Anmerkungen nach der Installation aufmerksam durch. Virtual Server 2005 R2 auf Windows Vista Es ist auch möglich, eine Testumgebung auf einem Vista-PC zu installieren und dabei den Virtual Server 2005 R2 zu verwenden. Sie müssen dazu auf dem PC ebenfalls den IIS installieren. Zusätzlich müssen Sie auf dem Vista-PC noch folgende IISKomponenten auswählen, damit die Installation durchgeführt werden kann (siehe Abbildung 2.1):

1. 2. 3.

Wählen Sie zunächst die Standardinstallation des IIS auf dem PC aus. Bei dieser Auswahl werden alle Standardkomponenten ausgewählt. Wählen Sie als Nächstes den Unterpunkt Kompatibilität mit der IIS 6-Verwaltung sowie alle Unterpunkte aus. Wählen Sie den Unterpunkt Anwendungsentwicklungsfeatures sowie alle Unterpunkte, vor allem CGI aus.

Abbildung 2.1: Notwendige Komponenten für die Installation von Microsoft Virtual Server 2005 R2 auf Windows Vista

4. Wählen Sie unter Sicherheit die Windows-Authentifizierung und die Standardauthentifizierung aus.

5. Im Anschluss können Sie Microsoft Virtual Server 2005 R2 auf dem Vista-PC installieren.

Verwaltungsoberfläche von Microsoft Virtual Server 2005 R2 Nach der Installation finden Sie die Verknüpfung zur Verwaltung des Virtual Servers unter Start/Programme/Microsoft Virtual Server/Virtual Server-Verwaltungswebseite. In der Programmgruppe finden Sie auch eine ausführliche Hilfedatei über den Umgang mit dem Microsoft Virtual Server. 42


Abbildung 2.2: Verwaltungsoberfläche des Microsoft Virtual Server 2005 R2 SP1 unter Windows Vista

1

2 3 4 5 6 7 Sie können die Verwaltungswebseite des Virtual Servers auch von jeder anderen Arbeitsstation aus öffnen, die eine Netzwerkverbindung zum Virtual Server hat. Öffnen Sie dazu einen Browser, und geben Sie die Adresse des Servers und den Port ein, den Sie während der Installation angegeben haben. Standardmäßig verwendet der Virtual Server Port 1024: http://SERVERNAME:1024. Verbinden Sie sich von einer Remote-Maschine mit dem Virtual Server, müssen Sie sich zunächst an der Konsole authentifizieren, wenn kein Domänenkonto verwendet wird. Auf der Startseite können Sie alle relevanten Einstellungen vornehmen. Hier finden Sie auch alle aktuellen Ereignisse und möglichen Fehler, die bei der Arbeit mit dem Virtual Server auftreten können (siehe Abbildung 2.1). Eine umfassende Erklärung des Microsoft Virtual Servers würde den Umfang dieses Buchs sprengen. Ich gehe aber auf die Erstellung und Verwaltung von virtuellen Maschinen so ausführlich wie möglich ein.

8 9 10 11

Virtual Machine Remote Control Client Plus 1.6

12

Wer im Unternehmen Microsoft Virtual Server 2005 einsetzt, kennt die Problematik, dass der Server und die virtuellen Maschinen hauptsächlich mit einem Webfrontend verwaltet werden. Für die Remotesteuerung gibt es zwar den VMRC-Client, dieser ist aber wenig effizient und in seinen Möglichkeiten eingegrenzt. Vor allem beim Betrieb in einer Testumgebung oder bei der Verwendung mehrerer virtueller Server ist die Verwaltung mit den Bordmitteln nicht sehr übersichtlich, da teils auf den Webbrowser, teils auf den wenig komfortablen VMRC-Client zurückgegriffen werden muss. Aus diesem Grund stellt Microsoft kostenlos den Virtual Machine Remote Control Client Plus (VMRC) in der aktuellen Version 1.6 zur Verfügung, mit dem der Server selbst und alle virtuellen Maschinen ohne Webfrontend mit einer WindowsApplikation verwaltet werden.

13 14 15

43


Das Tool nutzt nicht den IIS, sondern eine normale Windows-Oberfläche zur Verwaltung. In der neuen Version 1.6 wurde die Virtual Server-Terminologie übernommen, und einige Verbesserungen wurden vorgenommen. So unterstützt das Tool jetzt auch Skripte für die Ausführung in Virtual Server oder den virtuellen Maschinen. Neben 32 Bit unterstützt das Tool auch die Installation auf den 64-Bit-Versionen von Windows Server 2003, Windows XP und Windows Vista. Beide Versionen werden zum Download zur Verfügung gestellt. Das Tool wurde für Microsoft Virtual Server 2005 R2 SP1 optimiert und sollte auch nur mit dieser Serverversion eingesetzt werden. Für die Installation wird das .Net Framework 2.0 vorausgesetzt. Der Entwickler des Tools veröffentlicht auf seinem Blog unter der Adresse http://blogs. technet.com/matthts regelmäßig Informationen und auch neue Versionen. Zwar besteht auch die Möglichkeit, neben oder anstatt Virtual Server Microsoft Virtual PC 2007 einzusetzen, allerdings bietet der Server einige Vorteile, zum Beispiel den unkomplizierten Aufbau eines Clusters für Testzwecke. Auch wenn mehrere virtuelle Computer gleichzeitig gestartet und verwaltet werden wollen, ist die Kombination Virtual Server 2005 R2 SP1 und VMRC Plus der effizienteste Weg. VMRC Plus installieren und konfigurieren Nach der Installation und dem Start der Anwendung, wird zunächst die Oberfläche des Virtual Machine Managers angezeigt. Hier werden alle virtuellen Maschinen aufgelistet, die mit dem Virtual Server erstellt wurden. Damit die Verbindung zu Virtual Server 2005 hergestellt wird, muss auf die Schaltfläche Connect geklickt werden, mit der auch Verbindung zu einem Server über das Netzwerk hergestellt werden kann. Neben dem lokalen Server lassen sich insgesamt bis zu 32 Host-Computer verwalten. Das Tool baut über den TCP-Port 5900 eine Verbindung zum Server auf. Aus diesem Grund muss dieser Port in der Firewall freigeschaltet sein und darf nicht von anderen Anwendungen belegt werden. Manche VNC-Versionen belegen diesen Port und behindern VMRC Plus am Verbindungsaufbau. Wird VMRC Plus mit mehreren Hosts verbunden, wird für jeden Host eine eigene Registerkarte eingeblendet, über die jeweils die einzelnen virtuellen Maschinen angezeigt werden. Nach der Verbindung mit einem Host werden im unteren Bereich des Clients Eigenschaften über den Server angezeigt, zum Beispiel den verfügbaren Arbeitsspeicher und die Anzahl von CPUs. Diese Informationen sind beim Erstellen von neuen virtuellen Maschinen hilfreich, da die Hosts nicht immer mit identischer Hardware betrieben werden. VMRC Plus ist kompatibel zu Windows Vista, aber vor allem beim neuen Microsoft-Betriebssystem müssen die Firewall-Einstellungen überprüft werden, damit der Verbindungsaufbau gelingt. Sollte sich der Client trotz korrekter Firewall-Einstellungen nicht verbinden, liegt es selten an VMRC Plus, sondern meistens an den Einstellungen von Virtual Server 2005 R2. Auf der Seite http://www.hasslinger.com/microsoft/sites/server/dotnet/ grund/virtualserver2005_errors.html werden hilfreiche Informationen über die Fehlerbehebung zur Verfügung gestellt.

44


Abbildung 2.3: Mit dem Virtual Machine Manager von VMRC Plus werden die virtuellen Server verwaltet.

1

2 3 4 5 6 7 8 Über das Kontextmenü der virtuellen Maschinen im Virtual Machine Manager werden diese gestartet, gestoppt, Snapshots erstellt oder die Einstellungen angepasst.

9

Über den Menüpunkt Virtual Machine/Create wird der Assistent zum Erstellen neuer virtueller Maschinen gestartet. Hierüber lassen sich auch mehrere virtuelle Server gleichzeitig erstellen. Der Assistent nummeriert diese Maschinen durch, sodass der Name eindeutig bleibt. Für jede neue virtuelle Maschine werden automatisch zwei virtuelle SCSI-Festplatten erstellt und verbunden. Die Platten können über die Einstellungen auf der rechten Seite des Fensters nachträglich angepasst werden. Durch die Option Parent bei der Erstellung wird einem neuen virtuellen Computer ein bereits vorhandener Computer als Basis zugewiesen. Dieser Basiscomputer enthält zum Beispiel schon das Betriebssystem mit allen Service Packs, Einstellungen und Hotfixes. Als Grundlage für einen solchen »Parent« dient eine mit Sysprep vorbereitete Maschine. Neue virtuelle Computer lassen sich auf diesen Weg sehr schnell erstellen und haben den Vorteil, auf der gleichen Basis aufzubauen, um Installationszeit zu sparen. Auf diesem Weg lassen sich sehr schnell Testumgebungen mit zahlreichen identischen Servern aufbauen. In den virtuellen Festplatten der untergeordneten Computer werden nur die Änderungen zum »Parent« gespeichert, sodass diese deutlich weniger Festplattenplatz benötigen. Die Einstellungen des »Parent« bleiben davon getrennt, sodass die Grundlage der Server immer identisch bleibt, die Server aber selbst individuell angepasst werden können. Alle Einstellungen von virtuellen Maschinen lassen sich bequem auch über die Schaltflächen auf der rechten Seite des Virtual Machine Managers bearbeiten. Hier wird auch in einer kleinen Vorschau der aktuelle Bildschirm des Servers angezeigt.

10 11 12 13 14 15

45


Abbildung 2.4: Mit dem Virtual Machine Manager von VMRC Plus werden die virtuellen Server verwaltet.

Der Status sowie die Disk- und Netzwerk-I/O, die CPU-Auslastung und das Betriebssystem des Gasts werden ebenfalls auf der rechten Seite angezeigt, sobald diese Maschine im Virtual Machine Manager angeklickt wird. Werden mehrere virtuelle Maschinen mit der Konsole verwaltet, werden diese durch Klicken auf die jeweilige Spalte sortiert. Der Client unterstützt auch das Markieren von mehreren Clients gleichzeitig. Gestartete virtuelle Maschinen werden dick angezeigt. Das Fenster aktualisiert sich dynamisch mit den neuesten virtuellen Maschinen auf dem Host. Das Intervall für diese Aktualisierung wird über den Menüpunkt View eingestellt und in der unteren rechten Ecke angezeigt. Über den Menüpunkt Virtual Server werden Systemeinstellungen des aktuellen Hosts vorgenommen sowie die Berechtigungen konfiguriert. Normalerweise haben Mitglieder in der lokalen Administratorgruppe alle Rechte auf dem Server, über den Menüpunkt Security werden diese angepasst. Neben den virtuellen Servern werden über den Virtual Machine Manager auch die virtuellen Festplatten und virtuellen Netzwerke verwaltet. Diese virtuelle Hardware wird anschließend an die virtuellen Server verteilt. Der Ablauf dabei ist identisch wie beim Einsatz ohne VMRC Plus, nur eben bequemer. Über die virtuellen Netzwerke kann auch ein interner DHCP-Server erstellt sowie dessen Einrichtung vorgenommen werden. Dieser Server steht dann speziell für die definierten virtuellen Maschinen zur Verfügung. Dazu müssen lediglich die Option Enable Bulit-In DHCP-Server aktiviert und über Settings die Einstellungen konfiguriert werden. Die VM-Konsole von virtuellen Maschinen, also die Remotesteuerung des Bildschirms, wird über das Kontextmenü oder den Aktionsbereich des Tools gestartet. Im Konsolenfenster werden Einstellungen betreffend die Verbindung vorgenommen. Der Computer kann pausiert, neu gestartet oder heruntergefahren werden. Screen-

46


shots lassen sich genauso über das Menü erstellen, wie sich die Einstellungen der Maschine ändern lassen. Über den Menüpunkt Special lässt sich Text auf die virtuelle Maschine übertragen, was zwar kein vollwertiger Ersatz für die Zwischenablage ist, aber zum Übertragen kleinerer Nachrichten oder Seriennummern durchaus hilfreich ist. Werden mehrere VM-Konsolen geöffnet, werden diese in einem einzelnen Fenster auf verschiedenen Registerkarten angezeigt, was die Übersichtlichkeit enorm erhöht, je mehr virtuelle Maschinen verwaltet werden. Im unteren Bereich wird der Status der verbundenen Disketten- und CD-/DVD-Laufwerke angezeigt. Hier werden auch ISO-Abbilder als Laufwerk verbunden oder wieder getrennt. Die Auflösung der Konsole sowie die Verwaltung der Undo-Disks werden ebenfalls im Konsolenfenster durchgeführt.

2.1.3

1

2 3

Erstellen eines virtuellen Servers mit Microsoft Virtual Server 2005 R2

4

Um einen neuen virtuellen Server zu erstellen, sollten Sie zunächst die Installationsmedien von Windows Server 2003 R2 bereithalten. Virtual Server bietet die Möglichkeit, ISO-Dateien als CD-ROM-Laufwerke für virtuelle Server zur Verfügung zu stellen.

5 6

Erstellen eines neuen virtuellen Netzwerks Der erste Schritt bei der Erstellung eines neuen virtuellen Servers besteht darin, ein virtuelles Netzwerk zu erstellen. Um ein neues virtuelles Netzwerk zu erstellen, klicken Sie auf der Startseite des Virtual Servers im Bereich Virtuelle Netzwerke auf Erstellen (siehe Abbildung 2.5). Es öffnet sich ein neues Fenster, in dem Sie das virtuelle Netzwerk erstellen können. Geben Sie dem Netzwerk die Bezeichnung LAN. Weisen Sie diesem Anschluss den physischen Netzwerkadapter Ihres Testservers zu. Klicken Sie auf OK, wird der virtuelle Adapter erstellt (siehe Abbildung 2.5).

7 8 9 Abbildung 2.5: Erstellen einer virtuellen Netzwerkverbindung

10 11 12 13 14 15

47


Festlegen der Verzeichnisstruktur für neue virtuelle Computer Der nächste Schritt sollte darin bestehen, dass Sie auf dem physischen Server eine Verzeichnisstruktur erstellen, in der später die virtuellen Festplatten der virtuellen Server gespeichert werden. Erstellen Sie dazu am besten ein übergeordnetes Verzeichnis, zum Beispiel MSVS. Unterhalb dieses Verzeichnisses sollten Sie weitere zwei Verzeichnisse erstellen. Im ersten Verzeichnis werden die Konfigurationsdaten der virtuellen Server gespeichert. Dieses Verzeichnis können Sie zum Beispiel vmconfig nennen. Im zweiten Verzeichnis werden die Dateien der virtuellen Datenträger gespeichert. Dieses Verzeichnis nennen Sie beispielsweise vm-disks. Haben Sie die Verzeichnisse im Explorer angelegt, können Sie diese in der Verwaltungsoberfläche von Virtual Server 2005 R2 hinterlegen. In diesen Verzeichnissen werden später automatisch die entsprechenden Daten der virtuellen Server abgelegt:

1.

2. 3. 4. Abbildung 2.6: Festlegen der Speicherpfade für virtuelle Maschinen

48

Um die neuen Verzeichnisse zu hinterlegen, klicken Sie in der Verwaltungsoberfläche des Virtual Servers im Bereich Virtual Server auf die Option Servereigenschaften und im nächsten Fenster auf den Link Suchpfade. Tragen Sie im folgenden Fenster im Bereich Standardordner für Konfiguration virtueller Computer den Pfad zum Konfigurationsverzeichnis ein. Im Verzeichnis Suchpfade tragen Sie das Verzeichnis zu den virtuellen Festplatten ein. Speichern Sie diese Eingaben mit OK ab (siehe Abbildung 2.6).


Erstellen des Datenträgers für den ersten virtuellen Computer Die Datenträger der einzelnen virtuellen Server sind Dateien, die im Dateisystem auf dem Server abgelegt werden, auf dem Sie den Microsoft Virtual Server 2005 R2 installiert haben.

1

Um einen neuen Datenträger zu erstellen, klicken Sie im Bereich Virtuelle Festplatten auf Erstellen. Sie können an dieser Stelle verschiedene virtuelle Festplattenstrukturen auswählen. Wählen Sie die Option Dynamisch erweiterbare virtuelle Festplatte. Sie können unter Pfad: das Verzeichnis auswählen, das Sie zur Ablage der virtuellen Festplatten vorher konfiguriert haben (siehe Abbildung 2.7).

2 3 Abbildung 2.7: Erstellen einer neuen virtuellen Festplatte

4 5 6

Legen Sie die maximale Größe fest. Die tatsächliche Größe dieser Datei hängt ohnehin zunächst nur von der Installation ab. Direkt nach der Erstellung hat diese virtuelle Festplatte eine Größe von wenigen KB, da noch keinerlei Daten auf der Platte abgelegt wurden. Geben Sie der neuen Festplatte die Bezeichnung quell-vm. Dieser Datenträger dient später als Quelle für alle weiteren Installationen der Testserver.

7 8

Erstellen eines neuen virtuellen Servers Der nächste Schritt besteht darin, dass Sie einen neuen virtuellen Server erstellen, aus dem Sie später weitere Server recht schnell klonen können. Um einen neuen virtuellen Computer zu erstellen, klicken Sie im Bereich Virtuelle Computer auf Erstellen (siehe Abbildung 2.8).

1. 2.

3. 4. 5. 6.

9 10

Geben Sie dem neuen virtuellen Computer den Namen quell-vm, da aus diesem Computer später weitere virtuelle Server geklont werden. Weisen Sie dem Server genügend Arbeitsspeicher zu. Denken Sie daran, dass Sie nur so viel Arbeitsspeicher auf die virtuellen Server verteilen können, wie auch im physischen Server vorhanden sind. Wählen Sie als Datenträger die Option Eine vorhandene virtuelle Festplatte verwenden aus. Wählen Sie den Pfad und den Dateinamen zu der Datei quell-vm.vhd aus. Wählen Sie danach noch im Bereich Virtueller Netzwerkadapter den Netzwerkanschluss aus, den Sie vorher bereits erstellt haben. Klicken Sie danach auf Erstellen (siehe Abbildung 2.8).

11 12 13 14 15

49


Abbildung 2.8: Erstellen eines neuen virtuellen Servers

Anpassen der Einstellungen für den virtuellen Server Standardmäßig wird dem Server als CD-/DVD-Laufwerk das physische Laufwerk auf dem Server zugeordnet. Wollen Sie die Installation des Betriebssystems wie empfohlen von einer ISO-Datei durchführen, klicken Sie zunächst auf die Konfiguration des CD-Laufwerks im Bereich CD/DVD und geben den Pfad zur ISO-Datei an (siehe Abbildung 2.9). Abbildung 2.9: Festlegen einer ISO-Datei als CD-Laufwerk

Starten des virtuellen Servers und Aktivierung der Fernsteuerung Klicken Sie auf das kleine Vorschausymbol des Servers oben links, wird dieser eingeschaltet und fängt an zu booten. Dieser Vorgang kann einige Sekunden dauern. Verwenden Sie den Internet Explorer 7, wird unter Umständen die Ansicht nicht 50


automatisch aktualisiert. Klicken Sie in diesem Fall [F5]. Klicken Sie auf den Namen des Servers, erscheint ein neues Menü, in dem Sie Remotesteuerung auswählen können (siehe Abbildung 2.10). Abbildung 2.10: Auswahl der Remotesteuerung bei einem virtuellen Server

1

2 3 4 5

Es erscheint ein weiteres Fenster, in dem Sie zunächst den VMRC-Server aktivieren müssen. Haben Sie den VMRC-Server gestartet, wird im Internet Explorer des Clients ein neues ActiveX-Element installiert, das zur Fernsteuerung des Servers benötigt wird. Lassen Sie die Installation des Controls zu. Sie erhalten noch die Warnung, dass die Remotesteuerung nicht durch SSL verschlüsselt ist. Die SSL-Verschlüsselung können Sie ebenfalls auf der Konfigurationsseite des VMRC-Servers aktivieren, in einer Testumgebung benötigen Sie das allerdings nicht. Im Anschluss startet die Oberfläche des Servers, und Sie können mit der Installation des Betriebssystems fortfahren.

6 7 8

Installation von Windows Server 2003/2008 auf einem virtuellen Server Klicken Sie in das Fenster der virtuellen Maschine, wird der Fokus des Desktops auf die virtuelle Maschine gelegt. Die Maus ist auf dem PC nicht mehr verfügbar. Drücken Sie die Hosttaste, wird die Maus wieder verfügbar gemacht. Sie können die Hosttaste über den Menüpunkt Remotesteuerung/Hosttaste konfigurieren. Standardmäßig liegt die Hosttaste auf der rechten [ALT]-Taste.

9 10

Haben Sie die Installation abgeschlossen, beginnt der nächste Schritt der Konfiguration. Geben Sie während der Installation dieser Maschine die Bezeichnung quell-vm. Lassen Sie ansonsten alle Einstellungen auf Standard, und schließen Sie die Installation ab. Nach der Installation ist der virtuelle Server einsatzbereit, und Sie können sich anmelden. Die Tastenkombination [STRG)+(ALT)+(ENTF], die Sie zur Anmeldung am virtuellen Server drücken müssen, können Sie nicht über die Tastatur eingeben, da ansonsten Ihr lokaler Rechner diese Eingabe übernimmt. Wählen Sie stattdessen den Menüpunkt Remotesteuerung/Spezialtasten/STRG+ALT+ENTF senden (siehe Abbildung 2.11).

11 12 13 Abbildung 2.11: STRG+ALT+ENTF für die Anmeldung senden

14 15

51


Installation von Windows Server 2003 R2 Windows Server 2003 R2 baut auf das Service Pack 1 für Windows Server 2003 auf. Mit der Installation von R2 werden keine Änderungen an den Systemdateien oder der Architektur des Servers vorgenommen, sondern ausschließlich zusätzliche Funktionen hinzugefügt. Zum Lieferumfang von Windows Server 2003 R2 gehören zwei CDs. Auf der ersten CD befindet sich das Betriebssystem Windows Server 2003 SP1. Installieren Sie mit dieser CD einen Server, wird Windows Server 2003 mit integriertem SP1 installiert. Erst durch die nachträgliche Installation der zweiten CD wird der Server auf R2 aktualisiert. Um R2 zu installieren, müssen Sie einen Server zunächst auf Windows Server 2003 SP1 aktualisieren. R2 lässt sich nicht auf einem Server ohne SP1 für Windows Server 2003 installieren. Wurde der Server auf Windows Server 2003 SP1 aktualisiert, können Sie den zweiten Datenträger einlegen. Haben Sie die Autostart-Funktion der CD aktiviert, erscheint das Installationsfenster von R2. Sie können die Installation auch über \cmpnents\r2\setup2.exe starten. Auf dem Willkommensbildschirm wählen Sie die Option Windows Server 2003 R2 Setup fortsetzen, damit die Installation gestartet wird. Es erscheint der Installationsassistent, der Sie durch die Aktualisierung auf Windows Server 2003 R2 führt. Die einzelnen Fenster des Assistenten sind selbsterklärend. Arbeiten Sie mit einer ISO-Datei, können Sie in der Webverwaltungsoberfläche von Virtual Server 2005 R2 einfach den neuen Pfad zur ISO-Datei als Laufwerk hinterlegen, auf dem gleichen Weg wie Sie die erste CD hinterlegt haben. Sie können dazu die Remotesteuerung verlassen und die Einstellung des virtuellen Servers im laufenden Betrieb anpassen. Haben Sie die Änderungen vorgenommen, können Sie sich wieder per Remotesteuerung auf den Server schalten und die Installation der R2Komponenten abschließen. Die Installation von Windows Server 2008 läuft identisch ab zur Installation von Windows Server 2003 ohne R2-Komponenten.

Installation der Virtual Machine Additions Installieren Sie die Virtual Machines Additions, indem Sie auf den Link Klicken Sie hier, um das Virtual Machine Additions-Setup zu starten ganz unten auf dem Bildschirm klicken (siehe Abbildung 2.12). Nach der Installation der Virtual Machine Additions (siehe Abbildung 2.13) müssen Sie den Server neu starten. Anschließend sollten Sie die Auflösung des Bildschirms anpassen. Durch die Installation der Virtual Maschine Additions wird die Performance der virtuellen Maschine erhöht, und Sie können die Maus aus dem Bildschirm der virtuellen Maschine bewegen, ohne die Hosttaste drücken zu müssen. Konfigurieren Sie die virtuellen Server so, dass Sie eine Verbindung in Ihr Hausnetz haben, können Sie auch auf den virtuellen Servern den Remotedesktop aktivieren wie auf jedem anderen Server auch. Das RDP-Protokoll des Remotedesktops ist wesentlich schneller als der VMRC-Client von Virtual Server 2005 R2.

52


Abbildung 2.12: Installation der Virtual Machine Additions

1

2 3 4 5 6 7 8 9 Abbildung 2.13: Installation der Virtual Machine Additions

10 11 12 13 14 15

53


Wollen Sie von den virtuellen Servern eine Internetverbindung aufbauen, müssen Sie auf dem Host-PC den Microsoft Loopback-Adapter installieren und die Freigabe für den Internetzugriff verwenden. Diese Funktion ist in Virtual Server 2005 R2 zugegebenermaßen weniger optimal gelöst, was aber für eine Testumgebung keine Probleme macht.

Klonen des virtuellen Servers Im Anschluss können Sie weitere Server, die Sie für die Testumgebung benötigen, als Klon dieses Quellservers erstellen. Diese Option ist platzsparend und sehr effizient, weil Sie in Sekundenschnelle einen Windows Server 2003 für Ihre Testumgebung bauen können. Sie müssen nicht jedes Mal neu Windows Server 2003 installieren, sondern können ständig auf die bereits erstellte Basisinstallation zurückgreifen.

Vorbereiten des virtuellen Servers für das Klonen Sobald Sie die Installation des virtuellen Servers abgeschlossen haben, sollten Sie den Inhalt der Datei deploy.cab im Verzeichnis \support\tools auf dem Windows Server 2003-Installationsmedium in das Windows-Verzeichnis des virtuellen Servers entpacken. Dieses Verzeichnis finden Sie auf der ersten Installations-CD der Windows Server 2003 R2-Installationsmedien.

1.

Klicken Sie dazu doppelt auf die Datei deploy.cab, markieren Sie alle enthaltenen Dateien, und klicken Sie diese mit der rechten Maustaste an. Wählen Sie aus dem Kontextmenü die Option Extrahieren aus (siehe Abbildung 2.14). Sie können alle Dateien einfach in das Windows-Verzeichnis auf dem virtuellen Server extrahieren lassen.

2.

Haben Sie die Datei in das Verzeichnis kopiert, rufen Sie die Datei sysprep.exe aus dem Windows-Verzeichnis auf. Es öffnet sich der Assistent, der den Server für das Klonen vorbereitet. Bestätigen Sie die erste Warnmeldung. Klicken Sie im Assistenten auf die Schaltfläche Erneut versiegeln, und bestätigen Sie die einzelnen Meldungen, bis der Server die Aktion abschließt und herunterfährt (siehe Abbildung 2.15).

Abbildung 2.14: Extrahieren einer Datei aus den Support-Tools

3.

54


Abbildung 2.15: Vorbereiten eines Servers für das Klonen

1

2 3 4 5 6 Klicken Sie im Anschluss auf Ihrem Test-PC im Explorer die Datei quell-vm.vhd mit der rechten Maustaste an, und wählen Sie Eigenschaften. Setzen Sie das Attribut Schreibgeschützt, damit diese Datei durch das spätere Klonen nicht versehentlich überschrieben wird.

7 Abbildung 2.16: Schreibschützen der Datei mit der virtuellen Festplatte

8 9 10 11 12 13

Erstellen einer neuen virtuellen Festplatte für den geklonten Server 14

Um einen Klon eines bestehenden Servers zu erstellen, müssen Sie zunächst einen neuen Datenträger für den Klon erstellen. Dieser Klon dient zur Installation eines weiteren virtuellen Servers. Der erstellte Quellserver bleibt in diesem Fall immer heruntergefahren.

1.

15

Gehen Sie dazu zurück in das Hauptmenü der Serververwaltung. Klicken Sie im Bereich Virtuelle Festplatten auf Erstellen.

55


2.

3.

4. 5.

Wählen Sie aus dem Menü den Punkt Differenzierende virtuelle Festplatte aus (siehe Abbildung 2.17). Wählen Sie diese Festplatte aus, wird auf Basis einer bereits vorhandenen virtuellen Festplatte eine neue Festplatte erstellt. Dadurch können Sie von bereits vorhandenen virtuellen Festplatten ein Abbild erschaffen. Microsoft empfiehlt, die übergeordnete virtuelle Festplatte mit einem Schreibschutz zu versehen, damit diese nicht versehentlich überschrieben wird (daher haben Sie die Datei quell-vm.vhd schreibgeschützt). In der Differenzplatte liegen nur die Änderungen, die das Gastsystem an der virtuellen Platte vorgenommen hat. Dazu werden alle Schreibzugriffe des Gastes in die Differenzplatte umgeleitet. Lesezugriffe kombinieren den Inhalt der Differenzplatte und den Inhalt der zugrunde liegenden virtuellen Platte (in unserem Beispiel die quell-vm.vhd), ohne dass der Gast etwas davon bemerkt. Die zugrunde liegende Platte wird nicht mehr verändert, und die Differenzplatte bleibt relativ klein, da sie nur Änderungen enthält. Eine fertige Basisinstallation kann von mehreren VMs gleichzeitig verwendet werden, indem Sie mehrere Differenzplatten erstellen, die dieselbe virtuelle Platte verwenden. Dadurch sparen Sie sich viel Zeit und Platz beim Klonen von virtuellen Maschinen. Wählen Sie den Speicherort der neuen Festplatte aus. Verwenden Sie das gleiche Verzeichnis, das Sie auch für den anderen Datenträger verwendet haben, verwenden Sie aber einen anderen Namen. Geben Sie dem neuen Datenträger die Bezeichnung des neuen Servers, zum Beispiel dc01. Wählen Sie im Menü Bekannte virtuelle Festplatten die von Ihnen erstellte quellvm.vhd aus. Aus dieser Platte erstellt der Assistent im Anschluss den neuen Datenträger des geklonten Servers (siehe Abbildung 2.17).

Abbildung 2.17: Erstellen einer neuen differenzierenden Festplatte

Erstellen eines neuen geklonten virtuellen Servers Im Anschluss wählen Sie aus dem Hauptmenü im Bereich Virtuelle Computer wieder Erstellen und geben die notwendigen Angaben ein, um einen neuen virtuellen Server zu erstellen.

56


1.

2. 3.

Aktivieren Sie die Option Eine vorhandene virtuelle Festplatte verwenden. Wählen Sie Pfad und Datei der neu erstellten virtuellen Festplatte für den neuen geklonten Server aus. Wählen Sie für das Netzwerk den Anschluss LAN aus, und lassen Sie die Maschine erstellen. Klicken Sie doppelt auf die Vorschau des Servers, und lassen Sie den Server starten.

1

2

Der Server startet bereits mit der Windows Server 2003-Installation, und Sie müssen nur einige wenige neue Informationen eingeben, um die Installation des Servers abzuschließen. Sie können auf exakt die gleiche Weise beliebige virtuelle Server erstellen, die Sie für die Testumgebung benötigen. Achten Sie darauf, dass die Quellfestplatte nicht versehentlich überschrieben wird, da diese als Basis für alle Server gilt. Alle weiteren virtuellen Testserver erhalten eine eigene differenzierende Festplatte, die auf der bekannten quell-vm aufbaut.

3 4 INFO

5

Virtuelle Server anhalten und beenden 6

Sie können im Hauptfenster auf der Verwaltungswebseite den Status der laufenden Maschinen ansehen und verändern. Abbildung 2.18: Status eines Servers

7 8 9 10 11

Klicken Sie auf den Servernamen mit dem schwarzen Pfeil daneben, erscheint ein Menü, in dem Sie den Status des Servers anpassen können (siehe Abbildung 2.18). Vor allem zwei Optionen sind in diesem Fall von Bedeutung: ■

■

12

Anhalten – Einer laufenden VM werden sämtliche CPU-Ressourcen entzogen, sie friert im aktuellen Zustand ein. Der RAM-Inhalt und damit der aktuelle Zustand der Maschine bleiben erhalten, und die VM läuft nach dem Fortsetzen sofort weiter. Zustand speichern – Mit dieser Option wird der RAM-Inhalt in einer Datei auf dem Host abgespeichert und der Gast dann abgeschaltet. Beim späteren Starten wird dieser Status aus der Datei wieder in den Arbeitsspeicher geladen, und die Maschine steht recht schnell erneut zur Verfügung. Dieser Weg ist die optimale Art, einen Testserver pausieren zu lassen, solange er nicht benötigt wird.

13 14 15

57


2.1.4

Active Directory- und DNS-Infrastruktur erstellen

Im nächsten Schritt erstellen Sie auf einem installierten Testserver eine Active Directory-Domäne, in die später Exchange 2007 integriert wird. Das Active Directory und DNS sind miteinander verbunden. Aus diesem Grund werden in diesem Abschnitt sowohl die notwendigen Themen um das DNS als auch das Zusammenspiel mit dem Active Directory ausführlich behandelt. Ohne stabiles DNS ist ein Active Directory nicht funktionsfähig.

Einführung in DNS unter Windows Server 2003 und Windows Server 2008 Die hauptsächliche Aufgabe von DNS (Domain Name System) ist die Auflösung von Computernamen zu IP-Adressen, auch Forward-Lookup genannt. Eine weitere Aufgabe ist das Auflösen von IP-Adressen zu Computernamen, auch Reverse-Lookup genannt. Computernamen im DNS bestehen nicht nur aus einem NetBIOS-Name, wie zum Beispiel dc01, sondern zusätzlich aus einem sogenannten Domänennamen, wie zum Beispiel contoso.com. Einen vollständigen Rechnernamen bezeichnet man auch als voll qualifizierten Domänennamen (Full Qualified Domain Name, FQDN). Der FQDN eines Servers dc01 in der Domäne contoso.com ist dc01.contoso.com. Die beiden Rechner dc01. contoso.com und dc01.contoso.int sind zwei vollkommen unterschiedliche Systeme. Um eine Verbindung mit einem dieser Systeme aufzubauen, reicht es nicht aus, nur den Namen dc01 auflösen zu können. Es ist wichtig, dass die beteiligten Computer, welche die Verbindung zu den beiden Servern aufnehmen sollen, beide Domänennamen auflösen können. DNS-Domänen, wie in diesem Beispiel contoso.com und contoso.int, werden auf DNS-Servern in sogenannten Zonen verwaltet. Eine Zone kann mehrere Subdomänen einer Domäne verwalten, zum Beispiel de.contoso.com oder fr.contoso.com. Allerdings kann eine Zone auf einem DNS-Server nicht verschiedene Namensräume verwalten, wie zum Beispiel contoso.com und contoso.int. In diesem Fall müssten für diese beiden DNS-Domänen zwei getrennte Zonen angelegt werden. Eine weitere wichtige Aufgabe von DNS ist das Auflösen von SRV-Records (ServiceRecords). In SRV-Records werden spezielle Serverdienste abgelegt, die in DNS veröffentlicht werden. Ein Beispiel wäre der bekannte SRV-Record MX (Mailexchanger), der festlegt, welche E-Mail-Server es in einer Domäne gibt und wie die IP-Adresse dieses Servers lautet. Die Aufgabe des DNS-Servers besteht in diesem Bereich darin, dass Computer den DNS-Server befragen können, welcher Server im Netzwerk einen bestimmten Netzwerkdienst verwaltet. Es gibt zahlreiche SRV-Records im DNS, die durch das Active Directory angelegt werden. Wollen Computer spezielle Dienste im Active Directory erreichen, zum Beispiel einen globalen Katalogserver, können die DNS-Server befragt werden, die alle SRV-Records der globalen Katalogserver kennen.

DNS auf einem Windows Server 2003 installieren Um DNS auf einem Windows Server 2003 zu installieren, aktivieren Sie Systemsteuerung/Software/Windows-Komponenten hinzufügen/Netzwerkdienste/Details/DNSServer (Domain Name System) (siehe Abbildung 2.19).

58


Abbildung 2.19: DNS auf einem Windows Server 2003 R2 installieren

1

2 3 4 5 Klicken Sie diese Option an, und lassen Sie die notwendigen Komponenten installieren. Nach der Installation müssen Sie den Server nicht neu starten.

6 Wollen Sie ein neues Active Directory erstellen, besteht der erste Schritt darin, auf dem ersten geplanten Domänencontroller nach der Installation des Windows Server 2003 zunächst die DNS-Erweiterung zu installieren.

7

TIPP

Verwalten des DNS-Servers 8

Nach der Installation finden Sie das Verwaltungsprogramm für den DNS-Server unter Start/Programme/Verwaltung/DNS (siehe Abbildung 2.20). Starten Sie die Verwaltung, sehen Sie zunächst die Menüpunkte, die Sie an dieser Stelle zur Verwaltung verwenden: ■ ■ ■

9

Ereignisanzeige Forward-Lookupzonen Reverse-Lookupzonen

10 Abbildung 2.20: Verwaltungskonsole eines DNS-Servers nach der Installation

11 12 13 14 15

59


Standardmäßig werden Sie mit dem lokal installierten DNS-Server verbunden. Erstellen Sie später eine einheitliche Managementkonsole (MMC), können Sie die Verwaltung mehrerer DNS-Server in Ihrem Unternehmen an einer Stelle verbinden. Klicken Sie mit der rechten Maustaste in der Konsole auf den Menüpunkt DNS, können Sie sich mit zusätzlichen DNS-Servern verbinden (siehe Abbildung 2.21). Für die Testumgebung werden diese Schritte nicht benötigt. Abbildung 2.21: Weitere DNS-Server zu einer MMC hinzufügen

Mit den Menüpunkten Forward-Lookupzonen und Reverse-Lookupzonen werden die Zonen angelegt, die das Active Directory für seinen Betrieb benötigt. Im Menü Ereignisanzeige finden Sie das gleiche Protokoll wie in der Ereignisanzeige des Servers.

Vorbereitungen für das Active Directory Der nächste Schritt der Installation eines Active Directory besteht darin, den NetBIOS-Namen und das DNS-Suffix des ersten Domänencontrollers so zu wählen, wie später die Active Directory-Domäne benannt werden soll. Konfigurieren Sie daher zunächst über Systemsteuerung/System/Computername/ Ändern den NetBIOS-Namen des neuen Domänencontrollers, zum Beispiel dc01 (siehe Abbildung 2.22). Klicken Sie dann in diesem Fenster auf die Schaltfläche Weitere, und geben Sie das DNS-Suffix des Servers an. Geben Sie an dieser Stelle exakt den DNS-Namen an, den Ihre Active Directory-Domäne später erhalten soll, zum Beispiel contoso.com (siehe Abbildung 2.22). Der vollständige Name des Servers (FQDN) setzt sich aus dem Computernamen und dem primären DNS-Suffix zusammen. Der vollständige Computername des Domänencontrollers lautet dc01.contoso.com. Haben Sie die Änderungen vorgenommen, müssen Sie den Server neu starten.

60


Abbildung 2.22: Definieren des Computernamens und des DNS-Suffixes eines Domänencontrollers

1

2 3 4 5 Konfigurieren der IP-Einstellungen des Servers 6

Haben Sie den vollständigen Computernamen festgelegt, sollten Sie als Nächstes die IP-Einstellungen des Servers anpassen. Wichtig ist an dieser Stelle, dass Sie die lokale IP-Adresse des Servers als primären DNS-Server festlegen. Da dieser Server der erste Domänencontroller des neuen Active Directory werden soll, wird er auch der erste DNS-Server. Tragen Sie in den Eigenschaften des IP-Protokolls die IPAdresse des Servers als bevorzugten Server ein (siehe Abbildung 2.23).

7 8 Abbildung 2.23: Konfigurieren der IP-Einstellungen des ersten Domänencontrollers

9 10 11 12 13 14

Der nächste Schritt besteht darin, den DNS-Server für das Active Directory vorzubereiten.

15

An dieser Stelle müssen Sie noch keinen alternativen DNS-Server eintragen. Der alternative DNS-Server wird erst von einem Client befragt, wenn der bevorzugte DNS-Server nicht mehr antwortet.

61


Erstellen der notwendigen DNS-Zonen für das Active Directory Der nächste Schritt zur Erstellung eines Active Directory besteht in der Erstellung der neuen Zonen, welche die DNS-Domänen des Active Directory verwalten. Starten Sie über Start/Ausführen/mmc eine neue MMC, und wählen Sie über Datei/Snap-In hinzufügen/Hinzufügen/DNS das Snap-In zur Verwaltung des DNS-Servers aus. Mehr Snap-Ins brauchen Sie an dieser Stelle noch nicht hinzuzufügen.

Erstellen einer Forward-Lookupzone Die erste und wichtigste Zone, die Sie auf einem DNS-Server erstellen, ist die Forward-Lookupzone der ersten Domäne des Active Directory. Abbildung 2.24: Erstellen einer neuen primären Zone für das Active Directory

Klicken Sie dazu in der MMC mit der rechten Maustaste auf den Menüpunkt Forward-Lookupzonen, und wählen Sie aus dem Menü Neue Zone aus. Es startet der Assistent zum Erstellen von neuen Zonen. Im nächsten Fenster können Sie festlegen, welche Art von Zonen Sie erstellen wollen. Wählen Sie die Option Primäre Zone aus. Beim Erstellen neuer Domänen im Active Directory werden ausschließlich primäre Domänen benötigt (siehe Abbildung 2.24). Auf der nächsten Seite des Assistenten legen Sie den Namen der neuen Zone fest. Hier ist es extrem wichtig, dass Sie als Zonennamen exakt den Namen wählen, den Sie zuvor als DNS-Suffix eingetragen haben (siehe Abbildung 2.25). Das DNS-Suffix des Domänencontrollers wird später in diese Zone integriert, und die erste Active Directory-Domäne speichert ihre SRV-Records ebenfalls in dieser Domäne. Im Anschluss erscheint das Fenster, in dem Sie die Erstellung einer neuen Datei für die Zone bestätigen müssen. Sie könnten an dieser Stelle den Namen der Datei zwar ändern, sollten ihn aber möglichst immer so belassen, wie er festgelegt wurde. Im nächsten Fenster müssen Sie die dynamischen Updates der DNS-Zone festlegen. DNS-Server unter Windows Server 2003 arbeiten mit dynamischen Updates. Das heißt, alle Servernamen und IP-Adressen sowie die SRV-Records des Active Directory werden automatisch in diese Zone eingetragen.

62


Abbildung 2.25: Festlegen des Zonennamens

1

2 3 Ohne dynamische Updates können Sie in einer Zone kein Active Directory integrieren. Der Installationsassistent des Active Directory muss in einer Zone Dutzende Einträge automatisch durchführen können. Aktivieren Sie daher im Fenster die Option Nicht sichere und sichere dynamische Updates zulassen (siehe Abbildung 2.26).

4 5 Abbildung 2.26: Aktivieren der dynamischen Updates für eine Zone

6 7 8 9 10 11

Im Anschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Angaben, danach wird die Zone erstellt und in der MMC angezeigt (siehe Abbildung 2.27).

12 Abbildung 2.27: Anzeigen einer neu erstellten DNS-Zone

13 14 15

Innerhalb der Zone sollte bereits der lokale Server als Host (A) mit seiner IP-Adresse registriert sein. Diese Registrierung findet nur statt, wenn das primäre DNS-Suffix des Servers mit der erstellten Zone übereinstimmt und die dynamische Aktualisie63


rung zugelassen wurde. In den IP-Einstellungen des Servers muss außerdem der DNS-Server eingetragen sein, der die Zone verwaltet.

Erstellen einer Reverse-Lookupzone Im Anschluss an die Forward-Lookupzone sollten Sie eine Reverse-Lookupzone erstellen. Diese Zone ist dafür zuständig, IP-Adressen in Rechnernamen zu übersetzen. Klicken Sie mit der rechten Maustaste auf den Menüpunkt Reverse-Lookupzone, und wählen Sie Neue Zone aus. Auf der ersten Seite des Assistenten wählen Sie wieder die Option Primäre Zone. Legen Sie auf der nächsten Seite des Assistenten den IP-Bereich fest, der durch diese Zone verwaltet werden soll (siehe Abbildung 2.28). Abbildung 2.28: Erstellen einer ReverseLookupzone

Tragen Sie zur Definition des IP-Bereiches unter Netzwerkkennung den IP-Bereich ein, den Sie verwalten wollen. Für jeden eigenständigen IP-Bereich müssen Sie eine eigene Zone anlegen. Verwalten Sie ein B-Klasse-Netz (255.255.0.0), können Sie auch einfach die letzte Stelle leer lassen, wie in diesem Beispiel (siehe Abbildung 2.28). Hat sich bei einer Zone, die Sie für die Netzwerkkennung 10.1. konfiguriert haben, ein Server mit der IP-Adresse 10.1.1.20 registriert, legt der DNS-Server automatisch einen Ordner 1 unter der Zone 10.1 an (siehe Abbildung 2.29). In diesem Ordner wird der Hosteintrag des Servers registriert. Alle weiteren IP-Adressen, wie zum Beispiel 10.1.2.20, werden ebenfalls automatisch als neuer Ordner angelegt. Sie müssen daher bei einem B-Klasse-Netzwerk nicht manuell für jedes Unternetz eine eigene Zone anlegen. Nur wenn sich der IP-Bereich vollständig unterscheidet, zum Beispiel 192.168. und 10.1., müssen Sie zwei getrennte Zonen anlegen. Auf der nächsten Seite des Assistenten legen Sie den Zonennamen fest. Danach müssen Sie die dynamischen Updates zulassen und die Zusammenfassung bestätigen. Als Nächstes wird die neue Zone erstellt (siehe Abbildung 2.29).

64


Abbildung 2.29: Anzeigen der erstellten ReverseLookupzone

1

2 3

Hat sich der Server noch nicht automatisch registriert, können Sie über die Eingabe des Befehls ipconfig /registerdns in der Befehlszeile und Start/Ausführen/cmd die dynamische Registrierung anstoßen (siehe Abbildung 2.30).

4 Abbildung 2.30: Durchführen der dynamischen Registrierung auf einem Server nach dem Erstellen einer Zone

5 6 7

Danach sollte die IP-Adresse des Servers in der Zone registriert sein (siehe Abbildung 2.31). Abbildung 2.31: Anzeigen des neuen Hosteintrages des Servers

8 9 10 11

Überprüfung und Fehlerbehebung der DNS-Einstellungen 12

Bevor Sie Active Directory auf dem Server installieren, sollten Sie sicherstellen, dass alle DNS-Einstellungen korrekt vorgenommen wurden. Überprüfen Sie, ob sich der Server sowohl in der Forward- als auch in der Reverse-Lookupzone korrekt eingetragen hat. Öffnen Sie danach eine Befehlszeile, und geben Sie den Befehl nslookup ein (siehe Abbildung 2.32).

13 Abbildung 2.32: Überprüfen des DNS-Servers vor der Installation von Active Directory

65

14 15


Die Eingabe des Befehls darf keinerlei Fehlermeldungen verursachen. Es muss der richtige FQDN des DNS-Servers und seine IP-Adresse angezeigt werden. Sollte das nicht der Fall sein, gehen Sie Schritt für Schritt vor, um den Fehler einzugrenzen:

1. 2. 3. 4.

Sollte ein ähnlicher Fehler wie in Abbildung 2.33 erscheinen, versuchen Sie es einmal mit dem Befehl ipconfig/registerdns in der Befehlszeile. Sollte der Fehler weiterhin auftreten, überprüfen Sie, ob das primäre DNS-Suffix auf dem Server mit dem Zonennamen übereinstimmt. Stellen Sie als Nächstes fest, ob die IP-Adresse des Servers stimmt und der Eintrag des bevorzugten DNS-Servers auf die IP-Adresse des Servers zeigt. Überprüfen Sie in den Eigenschaften der Zone, ob die dynamische Aktualisierung zugelassen wird (siehe Abbildung 2.34), und ändern Sie gegebenenfalls die Einstellung, damit die Aktualisierung stattfinden kann.

Abbildung 2.33: Fehlermeldung beim Überprüfen eines DNS-Servers mit nslookup

Die Eigenschaften der Zonen erreichen Sie, wenn Sie mit der rechten Maustaste auf die Zone klicken und die Eigenschaften auswählen (siehe Abbildung 2.34). Abbildung 2.34: Überprüfen der dynamischen Updates in den Eigenschaften einer Zone

Grundlagen von Active Directory für Exchange Server 2007 Aus dem klassischen Domänenmodell finden sich zwei Begriffe im Active Directory wieder: Es gibt Active Directory-Domänen und Domänencontroller. Die Domäne ist weiterhin die grundlegende Strukturierungseinheit. Allerdings kann sie in eine komplexere Struktur eingebunden werden. Domänencontroller finden sich ebenfalls im

66


Active Directory, sie übernehmen die Verwaltung der Verzeichnisinformationen innerhalb einer Domäne. Die Benutzer-, Computer-, Freigaben- und Druckerinformationen werden in einer Datenbank gespeichert. Diese Datenbank ist eine JETDatenbank (Joint-Engine-Technologie), die Microsoft auch bei Exchange 2007 einsetzt.

1

Active Directory-Gesamtstruktur (Forest) Im Active Directory werden die Benutzerdaten und Computerinformationen nicht mehr in der Registry des PDC durch den SAM gespeichert, sondern in der Datenbank des Active Directory.

2 3

Eine Active Directory-Umgebung kann im Gegensatz zu Windows NT mehrere Domänen zu einer Einheit zusammenfassen. Das Domänenmodell ist immer noch vorhanden, wird aber extrem erweitert. Ein Active Directory kann aus mehreren selbstständigen Domänen bestehen, die dennoch zu einer großen gemeinsamen Organisation, auch Gesamtstruktur (engl. Forest) genannt, gehören (siehe Abbildung 2.35).

4 5

Alle verbundenen Domänen einer Gesamtstruktur teilen sich eine Datenbank. Eine Gesamtstruktur (Forest) ist die Grenze des Verzeichnisdienstes eines Unternehmens, in dem einheitliche Berechtigungen vergeben und delegiert werden können. In den einzelnen Domänen eines Active Directory gibt es, wie auch bei Windows NT, Domänencontroller und Domänenadministratoren.

6 7

Abbildung 2.35: Aufbau eines Active Directory

8 9 10 11 12 13 14 15

67


Für Anwender ändert sich beim Umgang mit der Domäne so gut wie nichts. Sie können mehrere Domänen in einer Gesamtstruktur hierarchisch aufbauen. Jede Domäne in einem Active Directory ist eine eigene Partition im Verzeichnis. Jede Partition wird von unterschiedlichen Domänencontrollern verwaltet. Diese Partitionierung erfolgt automatisch. Zusätzlich gibt es die Möglichkeit mit Zusatztools, wie ldp.exe, das zum Lieferumfang des Windows Server 2003 gehört, zusätzliche Partitionen zu erstellen. Die meisten Gesamtstrukturen benötigen eine solche nachträgliche Erweiterung jedoch nicht. Active Directory-Struktur (Tree) Domänen werden im Active Directory zu Strukturen (Trees) zusammengefasst. Eine Struktur muss über einen einheitlichen Namensraum verfügen. Heißt eine Struktur beispielsweise contoso.com, kann es innerhalb dieser Struktur weitere Einheiten geben, wie beispielsweise sales.contoso.com, marketing.contoso.com und dallas. marketing.contoso.com. In einer Struktur (Tree) werden automatisch gegenseitige Vertrauensstellungen zwischen den beteiligten Domänen erzeugt. Darüber hinaus kann in einer Struktur eine Suche über mehrere Domänen hinweg erfolgen. Eine Active Directory-Gesamtstruktur (Forest) kann aus mehreren Strukturen (Trees) zusammengesetzt sein. Abbildung 2.36: Strukturen im Active Directory

INFO

Jede Gesamtstruktur besteht aus mindestens einer Struktur. Der ersten Domäne eines Active Directory kommt eine besondere Bedeutung zu: –

68

Da sie die erste Domäne ist, bildet sie die erste Struktur des Active Directory und ist gleichzeitig die Stamm(Root)-Domäne der Gesamtstruktur.


–

Planen Sie ein Active Directory mit nur einer Domäne, bildet diese Domäne die Gesamtstruktur, die erste und einzige Struktur und die Stamm(Root)-Domäne des Active Directory.

Die Domänen einer Struktur (Tree) teilen sich einen sogenannten Namensraum. Unter Windows NT hatten Domänen lediglich einen NetBIOS-Namen mit bis zu 15 Zeichen. Im Active Directory gibt es diese NetBIOS-Namen auch. Wichtiger sind jedoch die DNS-Namen, die jede Domäne einem DNS-Namensraum eindeutig zuweisen. Als Struktur wird ein Namensraum bezeichnet, der vollkommen eigenständig ist.

1

In der Abbildung 2.36 bilden zum Beispiel die Domänen microsoft.com und de.microsoft.com jeweils eine eigenständige Domäne innerhalb derselben Struktur (Tree).

3

2

Abbildung 2.37: Domänen im Active Directory

4 5 6 7 8 9 10 11

Auch die Domänen contoso.com, sales.contoso.com und dallas.sales.contoso.com sind eine eigene Struktur. Die beiden Strukturen contoso.com und microsoft.com sind trotz ihrer vollständig eigenständigen Namensräume Teil einer gemeinsamen Active Directory-Gesamtstruktur. Eine Exchange-Organisation kann sich immer nur auf eine einzelne Gesamtstruktur erstrecken, und jede Gesamtstruktur kann nur eine einzelne Exchange-Organisation enthalten.

12 13

Jede Domäne kann beliebige untergeordnete Domänen (Child-Domänen genannt) haben, denen ebenfalls weitere Domänen untergeordnet werden. Alle Domänen eines Namensraums werden als eigenständige Struktur bezeichnet. Child-Domänen sind wie die übergeordneten Domänen vollkommen eigenständig, teilen sich jedoch einen Namensraum und eine Active Directory-Gesamtstruktur. Sie bilden jeweils eigene Partitionen im Active Directory, die durch getrennte Domänencontroller verwaltet werden.

14 15

69


Active Directory auf einem neuen Domänencontroller erstellen Um ein Active Directory auf einem Server zu installieren, rufen Sie den Installationsassistenten von Active Directory über Start/Ausführen/dcpromo auf (siehe Abbildung 2.38). Abbildung 2.38: Assistent zum Installieren von Active Directory auf einem Domänencontroller

Auf der nächsten Seite des Assistenten werden Sie darüber informiert, welche Betriebssysteme mit Active Directory kompatibel sind. Im Fenster Typ des Domänencontrollers beginnt die eigentliche Erstellung des Active Directory (siehe Abbildung 2.39). Hier müssen Sie zunächst festlegen, ob Sie eine neue Domäne mit einem dazugehörigen neuen Domänencontroller erstellen oder ob Sie einer bestehenden Domäne einen neuen Domänencontroller hinzufügen wollen. Da Sie an dieser Stelle eine neue Domäne erstellen wollen, wählen Sie die Option Domänencontroller für eine neue Domäne. Damit legen Sie fest, dass eine neue Domäne erstellt werden soll (siehe Abbildung 2.39). Abbildung 2.39: Erstellen eines neuen Domänencontrollers für eine neue Domäne

70


Wählen Sie im nächsten Fenster die Option Domäne in einer neuen Gesamtstruktur (siehe Abbildung 2.40). Auf der nächsten Seite des Assistenten legen Sie den DNS-Namen der neuen Domäne fest. Tragen Sie hier genau den gleichen Namen ein, den Sie bereits bei der DNSZone und dem primären DNS-Suffix des ersten Domänencontrollers verwendet haben, in diesem Beispiel contoso.com (siehe Abbildung 2.41).

1

2

Abbildung 2.40: Erstellen einer neuen Gesamtstruktur

3 4 5 6 7 8

Abbildung 2.41: Konfigurieren des DNS-Namens einer neuen Domäne

9 10 11

Im nächsten Fenster müssen Sie den NetBIOS-Namen der neuen Domäne festlegen (siehe Abbildung 2.42). Dieser Name wird zum Beispiel in den Anmeldemasken und den meisten Authentifizierungsfenstern verwendet. Sie sollten möglichst einen NetBIOS-Namen wählen, der auch zum DNS-Namen passt, am besten den DNS-Namen ohne die letzte Endung, in diesem Beispiel also CONTOSO.

12 13 Abbildung 2.42: Konfigurieren des NetBIOS-Namens der neuen Domäne

14 15

71


Im nächsten Fenster legen Sie den Speicherort der Datenbank und der Protokolle fest, die das Active Directory zum Speichern der Informationen benötigt (siehe Abbildung 2.43). Sie sollten hier den Ordner an der Stelle belassen, die vorgeschlagen wird. Abbildung 2.43: Festlegen des Verzeichnisses zum Speichern der Active Directory-Dateien

Im Anschluss müssen Sie noch den Ordner festlegen, der als netlogon- und sysvolFreigabe verwendet wird (siehe Abbildung 2.44). Abbildung 2.44: Festlegen der netlogon-Freigabe

In diesem Ordner werden die Anmeldeskripte und später die Gruppenrichtlinien gespeichert. Belassen Sie auch an dieser Stelle den Standardpfad, da eine Änderung keinen Sinn ergeben würde. Im Anschluss erscheint das DNS-Diagnose-Fenster. Die Diagnose sollte keinerlei Fehler liefern (siehe Abbildung 2.45).

72


Abbildung 2.45: Anzeigen des Diagnosefensters beim Erstellen von Active Directory

1

2 3 4 5 Erscheint an dieser Stelle ein Diagnosefehler (siehe Abbildung 2.46), haben Sie sich vermutlich bei der Eingabe des DNS-Namens der Domäne vertippt. Sollte das nicht der Fall sein, stellen Sie vor der Beendigung des Assistenten folgende Punkte sicher:

6

■

7

■ ■ ■ ■

Das primäre DNS-Suffix des Domänencontrollers stimmt mit der DNS-Zone, die Sie erstellt haben, überein. In den IP-Einstellungen ist als bevorzugter DNS-Server die eigene IP-Adresse des Servers eingetragen. In der Zone ist die dynamische Aktualisierung aktiviert, und der Server hat sich auch eingetragen. nslookup bringt keine Fehlermeldungen. Der DNS-Server ist gestartet und liefert beim Starten des Verwaltungsprogramms keinen Fehler.

8 9 10 Abbildung 2.46: Anzeigen eines DNSDiagnosefehlers bei einer fehlerhaften DNS-Konfiguration

11 12 13 14 15

73


Beseitigen Sie den Fehler, und starten Sie den Diagnosetest erneut. Sobald das Ergebnis erfolgreich ist und keine Fehler aufweist, wechseln Sie mit Weiter auf die nächste Seite des Assistenten (siehe Abbildung 2.47). Hier können Sie die Berechtigungsstruktur der neuen Domäne beeinflussen. Hauptsächlich geht es an dieser Stelle um die Leserechte bestimmter Benutzergruppen und verschiedene andere Sicherheitseinstellungen. Setzen Sie nur aktuelle Server ein, sollten Sie die Option Nur mit Windows 2000- oder Windows Server 2003-Betriebssystemen kompatible Berechtigungen verwenden. Mit dieser Option wird die Sicherheit in der Domäne auf jeden Fall erhöht. Die unsichere Prä-Windows 2000-Einstellung sollten Sie nur dann verwenden, wenn Sie einzelne Windows NT 4.0-Server einsetzen, deren Applikationen vielleicht nicht mit Windows Server 2003 kompatibel sind. Im Rahmen einer ordentlichen Sicherheitsstrategie sollten Sie aber in dieser Hinsicht wegen einiger Applikationen nicht die Sicherheit der ganzen Domäne aufs Spiel setzen. Abbildung 2.47: Festlegen der Sicherheitsstufe der neuen Domäne

Im nächsten Fenster legen Sie das Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest (siehe Abbildung 2.48). In diesem Modus können Sie einzelne Objekte aus dem Active Directory oder auch ein ganzes Active Directory wiederherstellen (siehe Kapitel 11). Im Anschluss erhalten Sie nochmals eine Zusammenfassung Ihrer Eingaben. Haben Sie diese bestätigt, beginnt der Assistent mit der Installation des Active Directory. Nach kurzer Zeit sollte die Installation abgeschlossen sein, und Sie können den Server neu starten. Mit dem Neustart ist die Erstellung des Active Directory abgeschlossen.

74


Abbildung 2.48: Festlegen des Kennwortes für den Verzeichnisdienstwiederherstellungsmodus

1

2 3 4 5 DNS in das Active Directory integrieren und sichere Updates konfigurieren

6

Die erste Maßnahme, die Sie nach der Installation des Active Directory durchführen sollten, ist die Integration der DNS-Zonen in das Active Directory. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt.

7 8

Um die DNS-Zonen in das Active Directory zu integrieren, rufen Sie zunächst das DNS-Snap-In auf. Erweitern Sie die Zone, sehen Sie die Erweiterungen, die das Active Directory hinzugefügt hat (siehe Abbildung 2.49).

9 Abbildung 2.49: Anzeigen der DNSErweiterungen des Active Directory

10 11 12 13

In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRVRecords.

1. 2.

14

Klicken Sie mit der rechten Maustaste auf die Zone, und wählen Sie Eigenschaften. Auf der Registerkarte Allgemein können Sie durch Klicken auf die Schaltfläche Ändern im Bereich Typ die Zone in das Active Directory integrieren lassen (siehe Abbildung 2.51).

15

75


3. Aktivieren Sie im Fenster Zonentyp ändern die Option Die Zone in Active Directory speichern.

4. Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich Dynamische Updates die Option Nur sichere aktivieren (siehe Abbildung 2.50). Abbildung 2.50: Aktivierung der sicheren dynamischen Updates nach der Integration einer DNS-Zone im Active Directory

Bei dieser Einstellung können sich nur Computer, die sich erfolgreich im Active Directory authentifizieren, dynamisch in DNS registrieren.

Abbildung 2.51: Integration einer DNS-Zone in Active Directory

Eine Stubzone ist die Kopie einer Zone, die nur die für diese Zone erforderlichen Ressourceneinträge zum Identifizieren der autorisierenden DNS-Server enthält. Diese wird in dieser Testumgebung nicht benötigt, taucht aber im Fenster zur Konfiguration des Zonentyps auf. Auch in größeren Netzwerken mit vielen DNS-Zonen spielt beim Datenverkehr die Datenmenge bei der Replikation der DNS-Daten keine große Rolle. Gehen Sie daher immer auf Nummer sicher, und lassen Sie möglichst alle Zonen auf Servern mit Windows Server 2003 in das Active Directory integrieren. Führen Sie diesen Vorgang auch für die Reverse-Lookupzone aus.

Optional: Replikation der DNS-Daten konfigurieren Haben Sie die Zone in das Active Directory integriert, können Sie auch die Replikation der DNS-Daten anpassen: Klicken Sie in den Eigenschaften einer Zone im Bereich Replikation auf Ändern, können Sie konfigurieren, auf welche Server die DNS-Daten repliziert werden sollen (siehe Abbildung 2.52).

76


Abbildung 2.52: Konfiguration der Replikation der DNS-Daten

1

2 3 4 5 6 7 Standardmäßig werden die Daten einer DNS-Zone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch ohne Weiteres auf weitere Server ausgedehnt werden. Sie können die Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS-Server der aktuellen Domäne oder auf alle Domänencontroller der aktuellen Domäne replizieren.

8 9

Optional: Zusätzlichen Domänencontroller installieren

10

Haben Sie eine neue Domäne installiert, sollten Sie immer so schnell wie möglich einen zusätzlichen Domänencontroller installieren. In einer Testumgebung wird das zwar nicht unbedingt notwendig sein, aber durch mehrere Domänencontroller können Sie das Verhalten von Exchange 2007 in einem Active Directory besser testen, vor allem bezüglich der Replikation. Die Installation ist schnell durchgeführt, und Sie können damit sichergehen, dass die Daten der Active Directory-Domäne bei Ausfall des ersten Servers nicht verloren gehen können.

11 12

Vorbereitungen für die Integration eines zusätzlichen Domänencontrollers in eine Domäne

13

Der erste Schritt bei der Integration eines zusätzlichen Domänencontrollers in eine Domäne besteht aus der Installation des Betriebssystems. Achten Sie darauf, dass Sie den Server mit dem gleichen Stand des Betriebssystems installieren, damit Sie eine homogene Umgebung erhalten.

14 15

77


Computername und primäres DNS-Suffix Geben Sie dem zusätzlichen Domänencontroller zunächst einen passenden Namen, zum Beispiel dc02, und konfigurieren Sie das primäre DNS-Suffix auf dem Server. Gehen Sie bei diesem Schritt so vor wie bei der Erstellung des ersten Domänencontrollers. DNS-Erweiterung installieren Installieren Sie auf dem Rechner nach dem Neustart des Servers, wie beim ersten Server, ebenfalls die DNS-Erweiterung. Wurde der Server als Domänencontroller in das Active Directory mit aufgenommen, steht er ebenfalls als DNS-Server für die Mitgliedsserver und Arbeitsstationen zur Verfügung. Konfigurieren der IP-Einstellungen Weisen Sie dem zusätzlichen Domänencontroller zunächst den ersten Domänencontroller, den Sie installiert haben, als bevorzugten DNS-Server zu. Später kann diese Einstellung noch abgeändert werden, aber für das Beitreten der Domäne muss der Server einen DNS-Server in der Domäne erreichen können. Integration eines neuen Domänencontrollers Rufen Sie im Anschluss über Start/Ausführen/dcpromo den Installationsassistenten von Active Directory auf dem neuen Domänencontroller auf. Klicken Sie auf der Startseite und der Seite mit der Betriebssystemkompatibilität auf Weiter. Aktivieren Sie auf der Seite Typ des Domänencontrollers die Option Zusätzlicher Domänencontroller für eine bestehende Domäne (siehe Abbildung 2.53). Abbildung 2.53: Installieren eines zusätzlichen Domänencontrollers

Auf der nächsten Seite des Assistenten müssen Sie sich zunächst bei der Gesamtstruktur anmelden, damit Sie einen zusätzlichen Domänencontroller installieren können (siehe Abbildung 2.54). Verwenden Sie an dieser Stelle am besten den DNSNamen der Domäne, soweit noch kein WINS-Server zur Verfügung steht.

78


Abbildung 2.54: Authentifizieren in der Domäne

1

2 3 4 5 Auf der nächsten Seite des Assistenten wählen Sie die Domäne aus, in der Sie den zusätzlichen Domänencontroller installieren wollen (siehe Abbildung 2.55).

6

Auf den folgenden Seiten erfolgt die Auswahl des Pfades zur Datenbank, der sysvolFreigabe und des Kennwortes für den Verzeichnisdienstwiederherstellungsmodus. Belassen Sie die Optionen auf den Standardwerten, und legen Sie ein Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest. Sie können das gleiche Kennwort wie beim ersten Domänencontroller verwenden.

7 8 Abbildung 2.55: Auswählen der Domäne für einen zusätzlichen Domänencontroller

9 10 11 12 13 14 15

79


Im Anschluss beginnt der Assistent mit der Installation von Active Directory auf dem Domänencontroller und repliziert die Daten auf den lokalen Domänencontroller. Hat der Assistent seine Arbeit beendet, können Sie den Server neu starten und sich in der Domäne anmelden. Die Installation des zusätzlichen Domänencontrollers ist damit abgeschlossen. Notwendige Nacharbeiten nach der Integration eines zusätzlichen Domänencontrollers Haben Sie den Domänencontroller in die Domäne aufgenommen, sollten Sie zunächst noch einige Nacharbeiten durchführen, um den Domänencontroller optimal einzubinden. Zunächst sollten Sie auf dem neuen Domänencontroller das Snap-In der DNS-Verwaltung über Programme/Verwaltung/DNS starten. Überprüfen Sie, ob die Daten der DNS-Zonen auf den Domänencontroller repliziert wurden (siehe Abbildung 2.56). Abbildung 2.56: Überprüfen der DNS-Integration des zusätzlichen Domänencontrollers

Ist sichergestellt, dass die DNS-Daten repliziert wurden, ist die DNS-Funktionalität auf dem zusätzlichen Domänencontroller vorhanden. Die Replikation kann allerdings durchaus einige Minuten dauern. Optimierung der IP-Einstellungen auf den Domänencontrollern Im nächsten Schritt sollten Sie die IP-Einstellungen auf den Domänencontrollern optimieren. Tragen Sie in den IP-Einstellungen jeweils den anderen Domänencontroller als bevorzugten Server und als alternativen Domänencontroller den Controller selbst ein (siehe Abbildung 2.57). Durch diese Konfiguration ist sichergestellt, dass die beiden Domänencontroller über Kreuz die Namen auflösen können. Wird ein Domänencontroller neu gestartet, besteht die Möglichkeit, dass der DNS-Dienst vor dem Active Directory beendet wird und das Herunterfahren unnötig lange dauert. In diesem Fall werden darüber hinaus noch Fehlermeldungen in der Ereignisanzeige protokolliert. Aus Gründen der Ausfallsicherheit ist es daher immer am besten, wenn ein Domänencontroller jeweils einen anderen Domänencontroller als bevorzugten DNS-Server verwendet, und nur wenn dieser bevorzugte Server nicht zur Verfügung steht, seine eigenen Daten verwendet. Haben Sie diese Einstellungen vorgenommen, können Sie mit nslookup in der Befehlszeile überprüfen, ob die Namensauflösung auf den Domänencontrollern

80


noch fehlerfrei funktioniert. Öffnen Sie dazu eine Befehlszeile, und geben Sie nslookup ein. Geben Sie danach einmal die Bezeichnung des ersten und dann die des zweiten Domänencontrollers ein, also in diesem Beispiel dc01.contoso.com und dc02.contoso.com. Auf dem anderen Domänencontroller sollten Sie diese Aufgaben ebenfalls durchführen. Es sollte kein Fehler angezeigt werden, damit sichergestellt ist, dass die Namensauflösung funktioniert.

1

Abbildung 2.57: Optimierung der IP-Einstellungen auf den Domänencontrollern

2 3 4 5 6 7 8 9

Replikation der beiden Domänencontroller überprüfen Nach einigen Minuten sollten Sie die Replikation der beiden Domänencontroller überprüfen. Starten Sie dazu das Snap-In Active Directory-Standorte und -Dienste (siehe Abbildung 2.58).

10 Abbildung 2.58: Anzeigen der Domänencontroller

11 12 13 14

Navigieren Sie zum Menü Standardname-des-ersten-Standorts, und öffnen Sie das Menü Servers. An dieser Stelle sollten beide Domänencontroller angezeigt werden. Klicken Sie bei den Servern auf das Pluszeichen, sehen Sie darunter einen weiteren Menüpunkt mit der Bezeichnung NTDS-Settings (siehe Abbildung 2.59).

15

81


Abbildung 2.59: Anzeigen der Replikationspartner eines Domänencontrollers

Klicken Sie auf diesen Menüpunkt, wird auf der rechten Seite jeder Replikationspartner des Domänencontrollers angezeigt. Klicken Sie auf diese automatisch erstellten Verbindungen mit der rechten Maustaste, können Sie aus dem Menü die Option Jetzt replizieren auswählen. Im Anschluss daran erscheint ein Fenster, das Sie über die erfolgreiche Replikation informiert (siehe Abbildung 2.60). Abbildung 2.60: Erfolgreiche Replikation eines Domänencontrollers

Führen Sie diese Replikation für beide Domänencontroller durch, damit sichergestellt ist, dass die Active Directory-Replikation zwischen den beiden Domänencontrollern funktioniert. Damit ist die Erstellung des zusätzlichen Domänencontrollers abgeschlossen, und Sie haben alle notwendigen Maßnahmen zur Überprüfung durchgeführt.

Installation von WINS Zu jeder Active Directory-Domäne gehört ein WINS-Server. WINS steht für Windows Internet Name Service und ist der Vorgänger der dynamischen DNS-Aktualisierung. Während DNS für die Namensauflösung mit voll qualifizierten Domänennamen zuständig ist, werden mit WINS NetBIOS-Namen aufgelöst. Die Namensauflösung in einem Active Directory ist überaus wichtig. Setzen Sie ein Active Directory mit mehreren Domänen oder Strukturen und Exchange Server 2007 ein, benötigen Sie darüber hinaus zwingend WINS, da ansonsten die Namensauflösung nicht stabil funktioniert. Aus diesen Gründen gehört zur Erstellung eines Active Directory auch die Integration von WINS dazu. Sie können auf den Domänencontrollern neben DNS auch ohne Weiteres den WINS-Dienst installieren, da dieser so gut wie keine Auswirkungen auf das System hat. DNS kann darüber hinaus eng mit WINS zusammenarbeiten.

82


Im Windows Server 2003 SP1 wurden Erweiterungen eingebaut, welche die Namensauflösung zur Replikation des Active Directory über WINS abwickeln können, falls DNS Probleme hat. Sie sehen, dass WINS alles andere als eine veraltete Struktur zur Namensauflösung ist und zu jedem Windows-Netzwerk dazugehört. Um WINS zu installieren, rufen Sie Systemsteuerung/Software/Windows-Komponenten hinzufügen/Netzwerkdienste/WINS auf (siehe Abbildung 2.61). Bei Windows Server 2008 wird WINS als Feature hinzugefügt, die Verwaltung des Dienstes ist identisch mit Windows Server 2003.

1

2 Abbildung 2.61: WINS auf einem Windows Server 2003 installieren

3 4 5 6 7 8

Nach der Installation steht WINS sofort zu Verfügung. Es müssen keine Zonen erstellt und auch keine dynamischen Updates aktiviert werden. WINS funktioniert sofort nach der Installation uneingeschränkt.

9

Konfiguration der IP-Einstellungen für WINS Damit sich die Server beim WINS registrieren und Daten aus WINS abfragen können, müssen Sie in den IP-Einstellungen der Server die WINS-Server eintragen.

10

Sie müssen nicht auf allen Domänencontrollern einer Domäne WINS installieren, zwei WINS-Server pro Standort reichen durchaus aus. Haben Sie auf den beiden Domänencontrollern in diesem Workshop WINS installiert, können Sie in den IPEinstellungen unter Erweitert auf der Registerkarte WINS die beiden WINS-Server hinzufügen (siehe Abbildung 2.62). Tragen Sie an dieser Stelle auf beiden Domänencontrollern beide WINS-Server ein.

11 12

Diese IP-Einstellungen sollten Sie darüber hinaus auf allen Mitgliedsservern und Arbeitsstationen einrichten, damit die Namensauflösung im Netzwerk optimal funktioniert. Auf den Arbeitsstationen können Sie diese Einstellungen auch mithilfe eines DHCP-Servers verteilen.

13 14 15

83


Abbildung 2.62: Konfiguration der IP-Einstellungen für den Einsatz von WINS

Einrichten der WINS-Replikation Haben Sie auf beiden Domänencontrollern WINS installiert und eingerichtet sowie die IP-Einstellungen auf den Servern angepasst, sollten Sie als Nächstes die Replikation der beiden WINS-Server einrichten, damit sich die Datenbanken untereinander abgleichen. Für die Verwaltung von WINS verwenden Sie das Snap-In WINS, das Sie auf die gleiche Weise wie das Snap-In DNS der MMC hinzufügen können. Haben Sie das SnapIn gestartet, sollten Sie zunächst mit der rechten Maustaste auf den Menüpunkt WINS klicken und den zusätzlichen WINS-Server der Konsole hinzufügen. Die Konfiguration von WINS ist am effizientesten, wenn Sie diese an einer zentralen Stelle durchführen (siehe Abbildung 2.63). Abbildung 2.63: Einen weiteren WINS-Server in der Verwaltungskonsole hinzufügen

Haben Sie den zweiten WINS-Server in der Konsole hinzugefügt, sollten beide als aktiv und verbunden angezeigt werden (siehe Abbildung 2.64).

84


Abbildung 2.64: Anzeigen der WINSServer in einem zentralen Snap-In

1

2 3 WINS hat eine eigene Datenbank und kann seine Daten nicht wie DNS in Active Directory speichern. Aus diesem Grund müssen Sie auf WINS-Servern die Replikation manuell durchführen.

4

Klicken Sie zunächst mit der rechten Maustaste unter WINS auf den Menüpunkt Replikationspartner und wählen aus dem Menü Neuer Replikationspartner aus (siehe Abbildung 2.65). Tragen Sie die IP-Adresse des anderen Servers ein.

5 Abbildung 2.65: Einen neuen Replikationspartner in WINS hinzufügen

6 7 8 9 10 11

Wählen Sie als Typ immer Push/Pull, damit die Replikation von beiden Servern angestoßen werden kann. Tragen Sie dann auf dem anderen WINS-Server ebenfalls den jeweiligen Partner als Push-/Pull-Partner ein.

12

Haben Sie die Replikationspartner eingetragen, können Sie mit der rechten Maustaste auf die Replikationsverbindung klicken und aus dem Menü die Option PushReplikation starten und dann Pull-Replikation starten auswählen (siehe Abbildung 2.66). Im Anschluss müssen Sie noch vorgeben, ob die Replikation an alle oder nur an den ausgewählten Replikationspartner übermittelt werden soll.

13 14

Haben Sie die Replikation angestoßen, erscheint keine weitere Meldung, und die Replikation beginnt. Überprüfen Sie in der Ereignisanzeige, ob Fehler angezeigt werden. Kurz nach der Einrichtung besteht durchaus die Möglichkeit, dass noch Fehler angezeigt werden. Diese sollten aber nach einiger Zeit nicht mehr auftauchen, wenn Sie die Replikation starten.

15

85


Abbildung 2.66: Einrichten der Replikation auf einem WINS-Server

Die Einrichtung ist abgeschlossen, wenn die Replikation fehlerfrei stattfindet. Abbildung 2.67: Starten der Replikation auf WINS-Servern

Bei der Replikation über WINS sollten keine Fehler in der Ereignisanzeige auftauchen. Abbildung 2.68: WINS-Fehlermeldungen bei der Replikation

Überprüfen Sie nach ein paar Stunden, ob die Replikation funktioniert und ob keine Fehlermeldungen in den Ereignisanzeigen erscheinen. Integration von WINS in DNS Um WINS in DNS zu integrieren, müssen Sie die Eigenschaften der einzelnen Zonen im DNS öffnen. Dort kann auf der Registerkarte WINS die Option WINS-Forward-Lookup verwenden ausgewählt und die IP-Adresse eines WINS-Servers angegeben werden. Richtet ein Client eine Anfrage an den DNS-Server, versucht dieser zunächst, diese Anfrage über die lokalen Informationen in der DNS-Datenbank zu beantworten. Gelingt ihm das nicht, sendet er den Hostnamen an den WINS-Server. Dieser versucht, die Anfrage zu beantworten, und liefert gegebenenfalls das Ergebnis an den DNS-Server zurück. Die Konfiguration muss für jede DNS-Domäne erfolgen (siehe Abbildung 2.69). 86


Abbildung 2.69: Einrichten des WINS-Lookups in DNS

1

2 3 4 5 6 7

Durch diese Koppelung von WINS und DNS wird die Stabilität der Namensauflösung in einem Active Directory erheblich verbessert, wobei vor allem Unternehmen mit Exchange Servern profitieren.

8

Installation von Active Directory unter Windows Server 2008 Im nächsten Abschnitt zeige ich Ihnen, wie Sie das Active Directory auf einem Windows Server 2008 installieren. Das Active Directory und DNS sind auch hier eng miteinander verbunden. Aus diesem Grund werden in diesem Abschnitt sowohl die notwendigen Themen um das DNS als auch das Zusammenspiel mit dem Active Directory ausführlich behandelt. Viele Einstellungen sind unter Windows Server 2003 und Windows Server 2008 sehr ähnlich oder identisch. Auf die Unterschiede gehe ich in diesem Abschnitt ein.

9 10 11

Während der Installation des DNS-Dienstes beziehungsweise bei der Heraufstufung eines Servers zu einem Domänencontroller erhalten Sie unter Umständen die Meldung, dass noch DHCP aktiviert ist, auch wenn Sie eine statische IPv4-Adresse festgelegt haben. Dieser Fehler wird durch die IPv6-Verbindung von Windows Server 2008 verursacht und kann ignoriert werden. Deaktivieren Sie in den Netzwerkverbindungen IPv6, erscheint diese Meldung nicht mehr, allerdings verlieren Sie auch die Vorteile der effizienteren Kommunikation zwischen Windows Server 2008- und Windows Vista-Computern.

12 13 14

Vorbereitungen für das Active Directory Der nächste Schritt bei der Installation eines Active Directory besteht auch bei Windows Server 2008 darin, den NetBIOS-Namen und das DNS-Suffix des ersten Domänencontrollers so zu wählen, wie später die Active Directory-Domäne benannt werden soll. Konfigurieren Sie daher zunächst über Systemsteuerung/System/Erweiterte Systemeinstellungen/Computername/Ändern den NetBIOS-Namen des neuen Domänencontrollers, zum Beispiel x2k7. Klicken Sie dann in diesem Fenster auf die

15

87


Schaltfläche Weitere, und geben Sie das DNS-Suffix des Servers an. Geben Sie an dieser Stelle exakt den DNS-Namen an, den Ihre Active Directory-Domäne später erhalten soll, zum Beispiel contoso.com. Nach der Änderung sollte der Computer zunächst neu gestartet werden. DNS unter Windows Server 2008 installieren Der Assistent für die Installation von Active Directory kann zwar auch im Rahmen der Einrichtung die DNS-Funktionalität installieren und einrichten, allerdings ist diese Vorgehensweise nicht optimal, vor allem weil das Verständnis für DNS zur Verwaltung eines Active Directory ein wichtiger Bereich ist. Wird die Installation von DNS über den Assistenten zur Installation von Active Directory durchgeführt, legt der Assistent für DNS-Zone und Active Directory-Daten zwei Zonen an. Außerdem wird keine Reverse-Lookupzone erstellt. Auch aus Gründen des Wissensaufbaus gilt für Windows Server 2008 aus meiner Sicht das Gleiche wie für Windows Server 2003: Legen Sie die DNS-Zonen selbst an. Um DNS auf einem Windows Server 2008 zu installieren, starten Sie den Server-Manager und klicken auf Rollen. (siehe Abbildung 2.70). Wählen Sie anschließend Rolle hinzufügen, und wählen Sie die Rolle DNS-Server aus. Klicken Sie diese Option an, und lassen Sie die notwendigen Komponenten installieren. Nach der Installation müssen Sie den Server nicht neu starten. Wollen Sie ein neues Active Directory erstellen, besteht der erste Schritt darin, auf dem ersten geplanten Domänencontroller nach der Installation des Windows Server 2008 zunächst die DNS-Erweiterung zu installieren. Unter Windows Server 2008 wird DNS automatisch installiert und eingerichtet, wenn das Active Directory auf einem Server installiert wird. Dennoch ist die korrekte Vorbereitung einer DNS-Infrastruktur immer noch der bessere Weg. Abbildung 2.70: DNS wird unter Windows Server 2008 als Serverrolle installiert.

Nach der Installation finden Sie das Verwaltungsprogramm für den DNS-Server unter Start/Verwaltung/DNS. Starten Sie die Verwaltung, sehen Sie zunächst die Menüpunkte, die Sie an dieser Stelle zur Verwaltung verwenden: ■ ■ ■ ■

88

Globale Protokolle und die DNS-Ereignisanzeige Forward-Lookupzonen Reverse-Lookupzonen Weiterleitungsserver mit Bedingungen


Standardmäßig werden Sie mit dem lokal installierten DNS-Server verbunden. Erstellen Sie später eine einheitliche Managementkonsole (MMC), können Sie die Verwaltung mehrerer DNS-Server in Ihrem Unternehmen an einer Stelle verbinden. Klicken Sie mit der rechten Maustaste in der Konsole auf den Menüpunkt DNS, können Sie sich mit zusätzlichen DNS-Servern verbinden. Für die Testumgebung werden diese Schritte nicht benötigt. Mit den Menüpunkten Forward-Lookupzonen und Reverse-Lookupzonen werden die Zonen angelegt, die das Active Directory für seinen Betrieb benötigt. Im Menü Ereignisanzeige finden Sie das gleiche Protokoll wie in der Ereignisanzeige des Servers. Über Weiterleitungsserver mit Bedingungen können Sie Anfragen zu bestimmten DNS-Zonen an fest definierte DNS-Server weiterleiten. Unter Windows Server 2003 war diese Einstellung noch in den Eigenschaften des DNS-Servers verfügbar.

1

2 3

Im Anschluss an die Forward-Lookupzone sollten Sie eine Reverse-Lookupzone erstellen. Deren Funktion ist die gleiche wie bei Windows Server 2003. Klicken Sie mit der rechten Maustaste auf den Menüpunkt Reverse-Lookupzone, und wählen Sie Neue Zone aus. Auf der ersten Seite des Assistenten wählen Sie wieder die Option Primäre Zone. Auf der nächsten Seite können Sie festlegen, ob Sie eine IPv4- oder eine IPv6-Reverse-Lookupzone anlegen wollen. Da Windows Server 2008 neben IPv4 auch IPv6 unterstützt, wird dieses neue Dialogfeld eingeblendet. In den meisten Netzwerken wird derzeit noch mit IPv4 gearbeitet. Aus diesem Grund sollten Sie bei einer Testumgebung auch eine IPv4-Reverse-Lookupzone anlegen. Die Vorgehensweise dabei ist nahezu identisch mit Windows Server 2003.

4 5 6 7

Installation der Active Directory-Domänendienste-Rolle Nachdem Sie diese Vorbereitungen getroffen haben, können Sie das Active Directory auf dem Server installieren. Ihnen stehen dazu zwei Möglichkeiten zur Verfügung: Starten Sie den Server-Manager, klicken Sie auf Rollen und dann auf Rollen hinzufügen. Wählen Sie die Rolle Active Directory-Domänendienste aus. Diese Maßnahme entspricht dem Befehl dcpromo, der noch unter Windows Server 2003 genutzt wurde und auch noch unter Windows Server 2008 unterstützt wird. Klicken Sie zur Installation der Rolle auf Weiter. Es erscheint ein neues Fenster mit Hinweisen zum Active Directory, das Sie ebenfalls mit Weiter bestätigen können. Auf der nächsten Seite des Assistenten starten Sie über die Schaltfläche Installieren die Installation der Rolle auf dem Server. Nach kurzer Zeit wird die Installation der Rolle abgeschlossen. Anschließend startet normalerweise der Assistent zur Einrichtung des Domänencontrollers. An dieser Stelle sind noch keine Konfigurationen für die Domäne durchgeführt worden, sondern Sie haben lediglich die notwendigen Daten zur Erstellung eines Active Directory auf dem Server installiert. Startet der Assistent zur Einrichtung der Domäne nicht automatisch, klicken Sie im Server-Manager unter Rollen/Active DirectoryDomänendienste in der Mitte der Konsole auf den Link Führen Sie den Installationsassistenten für Active Directory-Dienste aus (siehe Abbildung 2.71).

8 9 10 11 12 13 Abbildung 2.71: Der Assistent für die Erstellung eines Active Directory lässt sich nachträglich starten.

89

14 15


Dieser Link startet den gleichen Assistenten, den Sie auch, wie unter Windows Server 2003, über dcpromo starten können. Erst durch die Ausführung dieses Assistenten wird der Server zum Domänencontroller heraufgestuft. Unter Windows Server 2008 kann dieser Assistent noch immer verwendet werden. Beim Aufrufen wird die Rolle Active Directory-Domänendienste automatisch nachinstalliert, wenn sich die entsprechenden Dateien noch nicht auf dem Server befinden. Installieren Sie das Active Directory über den bekannten Weg in der Befehlszeile mit dcpromo, ist der Ablauf für die Einrichtung von Active Directory, der nachfolgend beschrieben wird, identisch mit der Einrichtung über den Server-Manager. Fortgeschrittene Benutzer werden den Weg über dcpromo bevorzugen. Starten Sie die Einrichtung von Active Directory über dcpromo, überprüft der Assistent, ob die notwendigen Daten für das Active Directory installiert wurden, und installiert diese gegebenenfalls nach. Nach der Installation der Rolle Active Directory-Domänendienste wird diese auch über diesen Weg im Server-Manager nach der Einrichtung angezeigt. Es ist also nicht zwingend notwendig, vor der Ausführung von dcpromo die Rolle Active Directory-Domänendienste zu installieren. Aktivieren Sie die Option Installation im erweiterten Modus verwenden, damit Sie auch alle notwendigen Einstellungen für Ihre Domäne konfigurieren können. Wird dcpromo über die Befehlszeile gestartet, kann mit der Option dcpromo /adv gleich in den erweiterten Modus gewechselt werden. Durch die Aktivierung des erweiterten Modus können Sie mit dem Assistenten noch folgende Funktionen einstellen: ■ ■ ■ ■ ■

Erstellen von neuen Domänenstrukturen. Verwenden eines Sicherungsmediums für die Replikation von Active Directory, um Netzwerkverkehr im WAN zu sparen. Auswählen des Quell-Domänencontrollers für die Installation. Anpassen des NetBIOS-Namens der Domäne. Konfiguration der Richtlinien für die Kennwortreplikation für RODCs.

Abbildung 2.72: Unter Windows Server 2008 kann bei der Erstellung eines Active Directory der erweiterte Modus verwendet werden.

Auf der nächsten Seite des Assistenten legen Sie fest, wie das Active Directory installiert werden soll. Da Sie die erste Domäne für Ihre Gesamtstruktur erstellen, wählen Sie die Option Neue Domäne in neuer Gesamtstruktur aus. Sie erstellen durch diese Auswahl eine neue Domäne und auch die dazugehörige Gesamtstruktur. Insgesamt gibt es im Active Directory die drei Container Gesamtstruktur, Struktur und Domäne. Hier gibt es keine Unterschiede zu Windows Server 2003.

90


Abbildung 2.73: Erstellen einer neuen Domäne mit einer neuen Gesamtstruktur

1

2 3 4 5 6 7 Auf der nächsten Seite des Assistenten legen Sie den DNS-Namen der neuen Domäne fest. Tragen Sie hier genau den gleichen Namen ein, den Sie bereits bei dem primären DNS-Suffix des Domänencontrollers verwendet haben, in diesem Beispiel contoso.com. Im nächsten Fenster müssen Sie den NetBIOS-Namen der neuen Domäne festlegen. Sie sollten möglichst einen NetBIOS-Namen wählen, der auch zum DNS-Namen passt, am besten den DNS-Namen ohne die letzte Endung, in diesem Beispiel also CONTOSO. Auch hier gibt es keine Unterschiede zwischen Windows Server 2003 und Windows Server 2008. Auf der nächsten Seite des Assistenten legen Sie die Funktionsebene der Gesamtstruktur fest. Ein Active Directory kann unter verschiedenen Betriebsmodi betrieben werden: ■ ■

8 9 10

Betriebsmodus der einzelnen Domänen in der Gesamtstruktur Betriebsmodus der Gesamtstruktur

11

Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen. Diese drei Betriebsmodi haben keine Kompatibilitätsunterschiede für Mitgliedsserver oder -PCs. Wichtig ist der Modus nur für die integrierten Domänencontroller.

12 13

Der Modus Windows Server 2008 hat funktional keine großen Unterschiede zum bereits erwähnten Windows Server 2003-Modus. Allerdings wird durch Auswahl dieses Modus sichergestellt, dass alle Domänen der Gesamtstruktur im Windows Server 2008-Modus betrieben werden. In diesem Modus werden Kennwortrichtlinien für mehrere OUs unterstützt. Außerdem wird in diesem Modus zur Replikation des Sysvol-Verzeichnisses DFS genutzt, was wesentlich performanter und stabiler funktioniert. In diesem Modus kann der Kerberosverkehr mit AES 128 oder 256 verschlüsselt werden. Auf der nächsten Seite des Assistenten konfigurieren Sie, dass der

14 15

91


Domänencontroller auch zum DNS-Server konfiguriert wird. Der erste Domänencontroller in der Gesamtstruktur sollte möglichst auch immer DNS-Server sein. Der neue Domänencontroller wird darüber hinaus auch zwingend der erste globale Katalogserver. Auf dieser Seite können Sie auch festlegen, ob ein Domänencontroller zum Read-Only-Domänencontroller (RODC) werden soll. Hierbei wird auf dem Domänencontroller ein Replikat der Active Directory-Datenbank gespeichert, die keinerlei Änderungen akzeptiert. Abbildung 2.74: Auswählen des Betriebsmodus der Gesamtstruktur unter Windows Server 2008

Außerdem lässt sich die Berechtigung zur RODC-Verwaltung an einen beliebigen Domänenbenutzer delegieren, um beispielsweise Aktualisierungen von Gerätetreibern vor Ort rasch durchführen zu können. Der erste Domänencontroller einer Gesamtstruktur kann nicht zum RODC konfiguriert werden, aus diesem Grund ist diese Option, genau wie die Auswahl zum globalen Katalog, deaktiviert. Exchange Server 2007 unterstützt keine Verbindung zu einem RODC, sodass an jedem Standort, an dem ein Exchange Server betrieben wird, auch ein normaler Domänencontroller installiert werden muss. Nachdem Sie die Installation des DNS-Servers ausgewählt haben, erscheint eine weitere Warnmeldung, die etwas verwirrend ist. Diese Meldung erscheint allerdings nur dann, wenn Sie nicht, wie zuvor beschrieben, vor der Installation von Active Directory die Rolle DNS-Server installiert haben und die Zonen eingerichtet wurden. Diese Meldung besagt in aller Kürze, dass der DNS-Server, den Sie in den IP-Einstellungen konfiguriert haben, nicht in der Lage ist, die DNS-Zone der neuen Active Directory-Domäne aufzulösen. Da Sie derzeit den ersten DNS-Server und Domänencontroller installieren, wird diese Zone natürlich erst erstellt. Aus diesem Grund erscheint die Fehlermeldung, die Sie mit Ja bestätigen. In diesem Fall übernimmt der Assistent die Einrichtung des DNS-Servers. Haben Sie, wie empfohlen, vor der Einrichtung des Active Directory eine DNS-Zone erstellt, erscheint ein anderes Fenster. Hierbei werden Sie darauf hingewiesen, dass

92


keine DNS-Delegation existiert. Diese Meldung hat Ihren Ursprung bei der Erweiterung eines bestehenden Active Directory um zusätzliche Domänen. Wenn Sie eine untergeordnete Domäne erstellen wollen, zum Beispiel die Domäne de unterhalb der Domäne contoso.com, haben Sie zwei Möglichkeiten, die Namensauflösung und das DNS-Konzept zu erstellen. Sie können auf den primären DNS-Servern der Zone contoso.com eine Unterdomäne de erstellen. In diesem Fall wird die neue Domäne unterhalb der Domäne contoso.com angezeigt. Alle DNS-Server, welche die Zone contoso.com verwalten, sind auch für die Domäne de.contoso.com zuständig. Haben Sie die neue Domäne erstellt, müssen Sie als Nächstes auf dem ersten Domänencontroller der neuen untergeordneten Domäne in den IP-Einstellungen den DNS-Server der Hauptzone eintragen. Wenn sich die Domäne in einer anderen Niederlassung befindet, können Sie nach der Erstellung der neuen untergeordneten Domäne die Einstellungen auf den lokalen DNS-Server umstellen.

1

2 3 4

Da bei den meisten Active Directorys die DNS-Zonen im Active Directory integriert sind, können Sie vor dem Heraufstufen eines Domänencontrollers diesen noch nicht zum DNS-Server innerhalb eines Active Directory konfigurieren. Erstellen Sie eine neue untergeordnete Domäne und ist in den IP-Einstellungen des neuen Domänencontrollers der DNS-Server der Hauptzone eingetragen, können Sie nach der Heraufstufung, die komplette Zone zum DNS-Server in der untergeordneten Domäne replizieren lassen. Vor allem bei größeren Unternehmen kann die Erstellung von untergeordneten DNS-Domänen Probleme bereiten. Wenn zum Beispiel in der Zentrale in Dallas die Root-Domäne contoso.com verwaltet werden soll, aber die Administratoren in der deutschen Domäne de diese Zone aus Sicherheitsgründen nicht verwalten sollen, sondern nur ihre eigene, können Sie nicht einfach eine Unterdomäne anlegen, da sonst jeder Administrator eines DNS-Servers Änderungen in der ganzen Zone vornehmen kann. Durch fehlerhafte Änderungen kann dadurch ein weltweites Active Directory schnell außer Funktion gesetzt werden. Aus diesem Grund hat Microsoft in seinen DNS-Servern die Delegation von Domänen integriert. Gehen Sie dazu folgendermaßen vor:

5 6 7 8 9

Auf dem DNS-Server der neuen untergeordneten Domäne wird eine eigene Zone de.contoso.com angelegt und konfiguriert. Zukünftig verwalten die Administratoren der Domäne de ihre eigene Zone de.contoso.com.

10

Damit die DNS-Server und Domänencontroller der restlichen Niederlassungen ebenfalls Verbindung zu der Zone de.contoso.com aufbauen können, wird in der Hauptzone contoso.com eine sogenannte Delegation eingerichtet, in der festgelegt wird, dass nicht die DNS-Server der Zone contoso.com für die Domäne de.contoso.com zuständig sind, sondern die DNS-Server der Niederlassung in Deutschland. Durch diese Konfiguration können weiterhin alle Namen aufgelöst werden, aber die Administratoren der Niederlassungen können nur ihre eigenen Zonen verwalten, nicht die Zonen der anderen Niederlassungen. Nachdem Sie die Delegation eingerichtet haben, wird die Zone unterhalb der Hauptzone als delegiert angezeigt. Dieser DNSServer ist nicht mehr für diese Zone verantwortlich, kann aber Namen in der Domäne durch die Delegation auflösen, indem er Anfragen an die DNS-Server weiterleitet, die in der Delegation angegeben sind.

11 12 13 14

Auf Dauer kann allerdings diese Konfiguration auch kompliziert werden. Einfacher ist es, innerhalb eines Namensraums möglichst alle neuen Domänen als Unterdomänen anzulegen. Stellen Sie bei der Replikation der Hauptzone ein, dass diese Zone auf alle DNS-Server des Active Directory repliziert wird. Dadurch ist sichergestellt, dass in jeder Niederlassung alle notwendigen Server aufgelöst werden können. Sie

15

93


ersparen sich dadurch komplizierte Verwaltungsvorgänge. Wenn jedoch in den Niederlassungen Administratoren sitzen, die ihre eigenen Domänen verwalten sollen, arbeiten Sie mit der Delegation. Geben Sie die delegierte Domäne ein, müssen Sie nur die neue Zone eingeben, also in diesem Fall de. Der restliche Domänenname, also hier contoso.com, wird durch den Assistenten automatisch eingerichtet. Geben Sie auf der letzten Seite des Assistenten die IP-Adresse des DNS-Servers ein, der zukünftig diese Zone verwalten soll. Sie können jederzeit in den Zoneneinstellungen zusätzliche DNS-Server für die Zone eintragen. Nachdem die Delegation erstellt wurde, können alle PCs und Server, die den DNSServer der Hauptzone abfragen, auch die Namen der Server in den untergeordneten Zonen auflösen. Sobald der DNS-Server der Zone contoso.com eine Anfrage für die Domäne de.contoso.com erhält, gibt er diese Abfrage an die DNS-Server weiter, die in der Delegation hinterlegt sind. Die Zone de.contoso.com wird auf den DNS-Servern, welche die Zone verwaltet genau so verwaltet, wie die Zone contoso.com auf dem Haupt-DNS-Server. Die Zone sollte in das Active Directory integriert und zu den anderen Domänencontrollern der Niederlassung repliziert werden. Die Delegation auf den DNS-Servern der Zone contoso.com hat keinerlei Auswirkungen auf die Verwaltung der Zone de.contoso.com. Die Delegation ist quasi nur eine Verknüpfung zu den DNS-Servern in der Zone de.contoso.com. In der Ansicht der DNS-Verwaltung auf den DNS-Servern von contoso.com werden die Delegationen grau angezeigt. Delegationen können jederzeit gelöscht und wieder angelegt werden, da sie keinerlei Auswirkungen auf die Zone haben, zu der sie delegiert sind. In diesem Fenster werden Sie also gefragt, ob in der übergeordneten DNS-Zone eine Delegation zur aktuellen Domäne durchgeführt werden soll. Dies spielt nur bei der Installation von untergeordneten Domänen eine Rolle. Da Sie die erste Domäne in der Gesamtstruktur erstellen, können Sie an dieser Stelle die Option Nein, keine DNS-Delegierung erstellen auswählen. In diesem Fall erstellt der Assistent die notwendigen Daten in der Zone, die Sie erstellt haben. Im nächsten Fenster legen Sie den Speicherort der Datenbank und der Protokolle fest, die das Active Directory zum Speichern der Informationen benötigt. Im nächsten Fenster legen Sie das Kennwort für den Verzeichnisdienstwiederherstellungsmodus fest. In diesem Modus können Sie einzelne Objekte aus dem Active Directory oder auch ein ganzes Active Directory wiederherstellen. Anschließend erhalten Sie eine Zusammenfassung, und der Assistent beginnt mit seiner Arbeit. Sie können den Server automatisch neu starten lassen, nachdem die Installation durchgeführt wurde, oder Sie können die Installation manuell durchführen. Nachdem Sie die Installation abgeschlossen haben, können Sie den Server neu starten. Unter Umständen erhalten Sie noch eine Fehlermeldung, in welcher der Assistent Ihnen mitteilt, dass keine DNS-Zone erstellt werden kann, da Sie bereits eine Zone mit der gleichen Bezeichnung erstellt haben. Bestätigen Sie diese Meldung. Der Assistent integriert in diesem Fall die notwendigen Daten von Active Directory in Ihre bereits erstellte Zone. DNS in das Active Directory integrieren und sichere Updates konfigurieren Die erste Maßnahme, die Sie nach der Installation des Active Directory durchführen, ist die Integration der DNS-Daten in die AD-Datenbank. Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active Directory-Replikation verteilt. Haben Sie die Installation des DNS-Servers nicht manuell vorgenommen, sondern durch den Assistenten für das Active Directory, sind die Zonen bereits automatisch in das Active Directory integriert. Um die DNS-Zonen-Daten manuell in das 94


Active Directory zu integrieren, rufen Sie zunächst das DNS-Snap-In auf. Erweitern Sie die Zone, sehen Sie die Erweiterungen, die das Active Directory hinzugefügt hat. In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRVRecords.

1. 2. 3. 4.

1

Klicken Sie mit der rechten Maustaste auf die Zone, und wählen Sie Eigenschaften. Auf der Registerkarte Allgemein können Sie durch Klicken auf die Schaltfläche Ändern im Bereich Typ die Zone in das Active Directory integrieren lassen. Aktivieren Sie im Fenster Zonentyp ändern die Option Die Zone in Active Directory speichern. Haben Sie diese Einstellung vorgenommen, können Sie noch im Bereich Dynamische Updates die Option Nur sichere aktivieren. Bei dieser Einstellung können sich nur Computer, die sich erfolgreich im Active Directory authentifizieren, dynamisch in DNS registrieren.

2 3 4

Haben Sie die Zone in das Active Directory integriert, können Sie auch die Replikation der DNS-Daten anpassen: Klicken Sie in den Eigenschaften einer Zone im Bereich Replikation auf Ändern, können Sie konfigurieren, auf welche Server die DNS-Daten repliziert werden sollen. Standardmäßig werden die Daten einer DNSZone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch ohne Weiteres auf weitere Server ausgedehnt werden. Sie können die Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS-Server der aktuellen Domäne oder auf alle Domänencontroller der aktuellen Domäne replizieren.

5

DNS-IP-Einstellungen anpassen Windows Server 2008 hat die Eigenart, die Konfiguration Ihrer Netzwerkverbindungen automatisch abzuändern, sodass die Einstellungen für manche Administratoren verwirrend sein können. Im folgenden Abschnitt gehe ich darauf ein, wie Sie die Einstellungen wieder an Ihre Bedürfnisse anpassen. Geben Sie nach der Fertigstellung der Installation von Active Directory auf dem Domänencontroller in der Befehlszeile nslookup ein, erhalten Sie unter Umständen eine etwas verwirrende Ausgabe (siehe Abbildung 2.75).

8

6 7

9 10 Abbildung 2.75: nslookup bringt bei der Ausführung unter Windows Server 2008 manchmal seltsame Meldungen zutage.

11 12 13

Der Fehler wird durch eine Konfiguration der Netzwerkverbindungen verursacht. Rufen Sie zunächst die Verwaltung Ihrer Netzwerkverbindungen auf. Der schnellste Weg ist, wenn Sie ncpa.cpl in das Suchfeld des Startmenüs eingeben. Rufen Sie zunächst die Eigenschaften des IPv6-Protokolls auf . Wie Sie sehen, hat Windows Server 2008 die Option Folgende DNS-Serveradressen verwenden aktiviert und den Eintrag ::1 hinterlegt. Dies entspricht bei IPv6 dem Eintrag 127.0.0.1 (localhost) bei IPv4. Durch diesen Eintrag fragt der DNS-Server bei Reverse-Abfragen per IPv6 den lokalen DNS-Server. Haben Sie keine IPv6-Reverse-Lookupzone erstellt, weil Sie im Unternehmen noch kein IPv6 einsetzen, wird durch diese Konfiguration ein Fehler

14 15

95


verursacht. Legen Sie entweder eine IPv6-Reverse-Lookupzone an, und stellen Sie sicher, dass ein Zeiger zur IPv6-Adresse des Servers eingetragen wird. In den meisten Fällen ist diese Konfiguration allerdings nicht notwendig, vor allem dann nicht, wenn im Unternehmen nicht mit IPv6 gearbeitet wird. Aktivieren Sie in diesem Fall die Option DNS-Serveradresse automatisch beziehen. Durch diese Konfiguration vermeiden Sie die irreführende Meldung in nslookup. Rufen Sie als Nächstes die Eigenschaften für das IPv4-Protokoll auf. Auch hier hat der Assistent als bevorzugten DNS-Server die Adresse des lokalen Hosts hinterlegt (127.0.0.1). In diesem Fall funktionieren zwar Abfragen per DNS, aber diese Konfiguration ist nicht sauber und resultiert in einer fehlerhaften Ausgabe bei nslookup. Tragen Sie auch hier die richtige IPv4-Adresse des Servers ein. Anschließend sollte die Eingabe von nslookup in der Befehlszeile keine Fehler mehr ausgeben.

2.1.5

Installation von Exchange Server 2007

Exchange Server 2007 installieren Sie am besten auf einem Mitgliedsserver. Die Installation auf einem Domänencontroller wird zwar unterstützt, aber nicht empfohlen. Für die Testumgebung können Sie Exchange 2007 auch auf einem der Domänencontroller installieren, aber zu Testzwecken ist die Installation auf einem eigenständigen virtuellen Server besser.

Beitreten eines Windows Server 2003/2008 zu einer Domäne Bevor Sie Exchange Server 2007 auf einem Server installieren, sollten Sie diesen Server zunächst zu einem Mitgliedsserver der Domäne machen, in der Sie den Server installieren wollen. Um einen Server zu einem Mitgliedsserver zu machen, aktivieren Sie Systemsteuerung/System und klicken auf der Registerkarte Computername auf die Schaltfläche Ändern (siehe Abbildung 2.76). Achten Sie aber darauf, dass Sie vor dem Beitreten der Domäne den Namen des Servers bereits angepasst haben und in den IP-Einstellungen des Servers die DNS- und WINS-Server des Active Directory eingetragen sind. Haben Sie den Namen der Domäne eingegeben und das Fenster mit OK bestätigt, erscheint ein Authentifizierungsfenster. Dort müssen Sie die Authentifizierung eines Benutzers eintragen, der das Recht hat, Computer einer Domäne hinzuzufügen. Haben Sie sich erfolgreich authentifiziert, wird der Server in die Domäne aufgenommen und das primäre DNS-Suffix des Servers automatisch an die Domäne angepasst. Wurde das Computerkonto der Domäne hinzugefügt, erhalten Sie eine Meldung (siehe Abbildung 2.77). Dieser Vorgang ist für alle Server oder Arbeitsstationen identisch. Nach dem Beitreten einer Domäne müssen Sie den Server neu starten. Melden Sie sich im Anschluss mit einem Benutzerkonto in der Domäne an, das über administrative Rechte verfügt. Mit diesem Konto installieren Sie Exchange sowie alle notwendigen Komponenten auf dem Server.

96


Abbildung 2.76: Beitreten eines Servers zu einer Domäne

1

2 3 4 5 6 7 8 Abbildung 2.77: Erfolgreicher Beitritt eines Servers

9 10

Danach wird das Computerkonto in der Organisationseinheit Computers im Snap-In Active Directory-Benutzer und -Computer angezeigt (siehe Abbildung 2.78).

11 Abbildung 2.78: Computerkonto eines beigetretenen Servers in der Domäne

12 13 14 15

97


Installation von Exchange Server 2007 unter Windows Server 2003 Um Exchange 2007 auf einem Server zu installieren, muss dieser entweder als Mitgliedsserver der Domäne hinzugefügt werden oder als Domänencontroller laufen. Bevor Sie das Installationsprogramm von Exchange 2007 laufen lassen, müssen Sie noch einige Vorbereitungen treffen. Installation von Microsoft .NET Framework 2.0 Der erste Schritt zur Installation von Exchange 2007 besteht darin, dass Sie auf dem Server das .NET Framework 2.0 installieren. Sie können bei installiertem Windows Server 2003 R2 diese Komponente über Systemsteuerung/Programme ändern oder entfernen/Windows-Komponenten hinzufügen installieren. Wählen Sie die Komponente Microsoft .NET Framework 2.0 aus. Sie müssen zur Installation die zweite CD der Windows Server 2003 R2-Installationsmedien einlegen. Verwenden Sie als Testumgebung Windows Server 2003 mit SP1, dann müssen Sie das .NET Framework aus dem Internet herunterladen. Abbildung 2.79: Installation des .NET Frameworks 2.0

Installation der Internetinformationsdienste Als Nächstes sollten Sie auf dem Server die Internetinformationsdienste installieren. Der IIS wird in Exchange 2007 noch immer benötigt. Vor allem die neue Autodiscover-Funktion von Outlook 2007 und die Anbindung mobiler Clients benötigen einen Exchange 2007-Server mit installiertem IIS, um sich verbinden zu können.

INFO

Für die Installation von Exchange 2007 ist es nicht mehr notwendig, ASP, SMTP und NNTP zu installieren, da diese Komponenten nicht mehr benötigt bzw. im Fall von SMTP durch Exchange 2007 selbst zur Verfügung gestellt werden, nicht mehr durch das Betriebssystem. Es reicht, wenn Sie über Systemsteuerung/Programme ändern oder entfernen/Windows-Komponenten hinzufügen die Komponente Internetinformationsdienste (IIS) auswählen (siehe Abbildung 2.80).

98


Abbildung 2.80: Installation der Internetinformationsdienste (IIS) für Exchange 2007

1

2 3 4 5 Installation der Microsoft Management Console 3.0 Als Nächstes müssen Sie die MMC 3.0 installieren, wenn Sie als Testserver nicht Windows Server 2003 R2 verwenden. Beim Einsatz von Windows Server 2003 R2 wurde diese Komponente bereits installiert. Setzen Sie Windows Server 2003 mit SP1 ein, müssen Sie die MMC bei Microsoft herunterladen, diese wird kostenlos zur Verfügung gestellt. Sie finden die Konsole über http://www.microsoft.com/downloads/ details.aspx?displaylang=de&FamilyID=4C84F80B-908D-4B5D-8AA8-27B962566D9F.

6 7

Installation der Microsoft PowerShell Der nächste Schritt besteht darin, dass Sie das Installationsprogramm von Exchange 2007 aufrufen. Auf dem Startbildschirm sehen Sie, welche Komponenten bereits installiert wurden und welche noch installiert werden müssen. Die bereits installierten Komponenten sind deaktiviert (siehe Abbildung 2.81).

8 9 Abbildung 2.81: Installation der Microsoft Command Shell

10 11 12 13 14 15

99


Der Schritt 3 für die Vorbereitungen zur Installation von Exchange Server 2007 besteht darin, dass Sie die Microsoft Command Shell (MSH) installieren. Auf diese können Sie bequem zugreifen, wenn Sie auf den Link Schritt 3: Installieren Sie Microsoft WindowsPowerShell klicken. Der Internet Explorer öffnet im Anschluss die entsprechende Download-Seite. Sie können die Datei auch über den Link http://go. microsoft.com/fwlink/?linkid=64456 herunterladen. Ist die Windows PowerShell bereits installiert worden, wird der Link zur Installation deaktiviert. Installieren Sie aber immer die aktuelle Version, die Exchange Server 2007 unterstützt. Installation der Exchange 2007-Komponenten Haben Sie das .NET Framework, die MMC 3.0 und die PowerShell installiert, sollten diese Punkte im Menü deaktiviert sein. Im nächsten Schritt können Sie die Installation von Exchange 2007 auswählen. Die Installation besteht aus mehreren verschiedenen Fenstern, auf denen Sie verschiedene Eingaben machen können (siehe Abbildung 2.82). Für die Installation in einer Testumgebung ist es nicht notwendig, ausführlichere Eingaben zu machen, diese bespreche ich in Kapitel 4. Sie sehen am Beispiel der Installationsroutine, wie später auch die einzelnen Schritte in den verschiedenen Assistenten von Exchange 2007 aussehen werden. Abbildung 2.82: Startseite der Exchange Server 2007-Installation

Auf der nächsten Seite der Exchange 2007-Installation müssen Sie die obligatorischen Lizenzbedingungen bestätigen (siehe Abbildung 2.83).

100


Abbildung 2.83: Bestätigen der Lizenzbedingungen von Exchange 2007

1

2 3 4 5 6 Auf der nächsten Seite der Installationsroutine sollten Sie die Fehlerberichterstattung deaktivieren, da diese für Unternehmen keinen Nutzen bringt und unnötig den Server belastet. Bei dieser Funktion werden bei Abstürzen und Fehlern automatisch Daten zu Microsoft übertragen, um Probleme in der Programmierung zu entdecken.

7 8 Abbildung 2.84: Deaktivierung der Fehlerberichterstattung

9 10 11 12 13 14 15

101


In dem nächsten Fenster können Sie die Installationsart auswählen. Für die Installation in einer Testumgebung reicht die Installationsvariante Typische Installation von Exchange Server aus, Sie müssen keine weiteren Eingaben vornehmen. Abbildung 2.85: Auswahl der Installationsart

Auf der nächsten Seite geben Sie den Namen der Exchange-Organisation ein. Dieser Name muss nicht unbedingt mit einer Active Directory-Domäne übereinstimmen, sondern kann beliebig gewählt werden. Abbildung 2.86: Eintragen des Organisationsnamens

102


Auf der nächsten Seite der Installationsroutine können Sie auswählen, ob Sie neben Outlook 2007 auch Outlook 2003 oder ältere Versionen einsetzen (siehe Abbildung 2.87). Wählen Sie Ja aus, erstellt das Exchange-Setup eine öffentliche Ordner-Datenbank. Wählen Sie Nein aus, wird diese Datenbank nicht erstellt, da öffentliche Ordner unter Outlook 2007/Exchange 2007 eigentlich nur optional sind. Bei dieser Auswahl handelt es sich aber nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen, diese funktioniert dann wie gewohnt. Andere Auswirkungen hat dieses Fenster nicht (siehe auch Kapitel 7).

1 INFO

2 3

Zur Installation einer Testumgebung müssen Sie an dieser Stelle keine weiteren Eintragungen vornehmen oder bestimmte Punkte beachten.

4 Abbildung 2.87: Auswählen der Client-Optionen

5 6 7 8 9 10 11

Als Nächstes überprüft die Installationsroutine, ob alle notwendigen Komponenten auf dem Server vorhanden sind und die Installation fortgesetzt werden kann (siehe Abbildung 2.88). Sie erhalten für jede Exchange 2007-Komponente, die installiert werden soll, einen Statusbericht. Kann eine Komponente nicht installiert werden, erhalten Sie eine entsprechende Information, können den Fehler beheben und die Installation erneut starten. Installieren Sie eine Testumgebung von Exchange 2007 auf einem virtuellen Server unter Microsoft Virtual Server 2005 R2, sollten Sie die 32Bit-Testversion von Exchange 2007 installieren. In diesem Fall erhalten Sie eine entsprechende Warnung bei den einzelnen Komponenten, die Sie darauf hinweist, dass die 32-Bit-Version von Exchange 2007 nicht auf einem produktiven System installiert werden kann. Virtual Server 2005 R2 kann zwar auf 64-Bit-Servern installiert werden, unterstützt aber nur 32-Bit-Server.

12 13 14 15

103


Abbildung 2.88: Überprüfen der Bereitschaft für die Installationskomponenten

Im nächsten Schritt beginnt Exchange 2007 mit der Installation und zeigt Ihnen den aktuellen Installationsstatus für jede einzelne Komponente an. Sie sehen in diesem Fenster auch die Dauer der Installation für jede einzelne Komponente, die installiert wurde (siehe Abbildung 2.89). Hier sehen Sie auch, bei welchen Komponenten Fehler oder Warnungen während der Installation aufgetreten sind. Nach einiger Zeit wird die Installation abgeschlossen, und Exchange 2007 steht zur Verfügung. Abbildung 2.89: Ablauf der Installation

104


Installation von Exchange Server 2007 unter Windows Server 2008 Damit Exchange Server 2007 unter Windows Server 2008 installiert werden kann, müssen auch hier erst die Voraussetzungen geschaffen werden. Auf dem Server muss das Feature PowerShell installiert werden, bevor Exchange installiert werden kann. Die neue Managementkonsole und das .NET Framework 2.0 müssen bei Windows Server 2008 nicht installiert werden, diese sind bereits standardmäßig auf dem System vorhanden.

1

Die PowerShell wird entweder über den Server-Manager installiert oder über den Befehl servermanagercmd -i powershell in der Befehlszeile. Neben der PowerShell muss unter Windows Server 2008 noch die Serverrolle Webserver (IIS) mit der Standardauswahl installiert werden. Außerdem müssen bei der Installation noch folgende zusätzliche Rollendienste ausgewählt werden:

3

■ ■ ■ ■ ■

2

4

IIS 6-Verwaltungskompatibilität mit allen Unterdiensten Komprimierung dynamischer Inhalte Standardauthentifizierung Windows-Authentifizierung Digestauthentifizierung

5 6 Abbildung 2.90: Installieren der notwendigen Rollendienste des IIS für die Installation von Exchange Server 2007

7 8 9 10 11 12 13

Auch wenn die Installation der Rollendienste einen Neustart nicht voraussetzt, sollten Sie diesen trotzdem durchführen, bevor das Exchange Server 2007-Installationsprogramm gestartet wird.

14

Bei der Neuinstallation einer Organisation auf einem Mitgliedsserver unter Windows Server 2008 müssen zunächst die Active Directory-Verwaltungsprogramme auf dem Server installiert werden. Dazu verwenden Sie den Befehl ServerManagerCmd -i RSAT -ADDS.

15

105


Anschließend wird Exchange Server 2007 auf dem Server installiert. Achten Sie aber darauf, dass die Installation direkt mit dem Installationsprogramm des Service Packs 1 gestartet wird. Auf dem Server muss nicht erst Exchange Server 2007, dann das Service Pack installiert werden. Der Ablauf der Installation ist identisch zur Installation der Version ohne das Service Pack bei Windows Server 2003. Vor der Installation findet eine Überprüfung statt. Findet der Assistent Fehler, weil zum Beispiel Komponenten fehlen, müssen diese erst behoben werden, bevor die Installation fortgesetzt werden kann. Abbildung 2.91: Installieren eines neuen Exchange Servers direkt mit dem Service Pack 1

Ist die Installation abgeschlossen, befindet sich auf dem Server Exchange Server 2007 mit bereits integriertem Service Pack 1.

Nachträgliche Installation von Service Pack 1 für Exchange Server 2007 bei Windows Server 2003 Wurde auf einem Server mit Windows Server 2003 bereits Exchange Server 2007 installiert, kann das Service Pack einfach darüber installiert werden. Dazu muss allerdings das Service Pack 2 für Windows Server 2003 installiert werden. Weitere Anmerkungen zum Service Pack 1 für Exchange Server 2007 finden sich im Kapitel 4. Bei der Installation werden einige Dienste neu gestartet, sodass keine Anwender mit dem Server arbeiten sollten. Die Installation wird mit dem normalen Setup-Programm des Service Packs gestartet. Wie bei Windows Server 2008, kann ein neuer Server auch direkt mit Service Pack 1 installiert werden. Auch unter Windows Server 2003 ist eine vorhergehende Installation von Exchange Server 2007 nicht unbedingt notwendig. Probleme bei der Installation des Service Packs TIPP

106

Unter manchen Umständen erhalten Administratoren eine Fehlermeldung, wenn das Service Pack 1 installiert werden soll. Der Fehler kann aber leicht durch das Löschen eines Registry Keys behoben werden. Erscheint die Fehlermeldung »Setup previously

Erste Schritte mit Exchange 2007

failed while performing the action Install. You cannot resume setup by performing the action BuildToBuildUpgrade«, gibt es auf Ihrem Server noch einen falsch gesetzten Registry-Eintrag. Öffnen Sie in diesem Fall den Registrierungs-Editor und navigieren zu HKLM\Software\Microsoft\Exchange\v8.0. Hier findet sich für jede installierte Rolle ein eigener Registryschlüssel. Bei mindestens einem dieser Schlüssel findet sich ein Eintrag mit dem Namen Action und dem Wert Install oder ein Eintrag Watermark. Löschen Sie in diesem Fall die Werte, die Installation sollte dann problemlos durchgeführt werden können. Achten Sie nach der Installation darauf, dass die Dienste gestartet sind, und starten Sie diese unter Umständen manuell.

2.2

1

2 3


Nach der Installation der Testumgebung können Sie sich durch ein paar erste Schritte mit der Konfiguration von Exchange 2007 vertraut machen. Die Verwaltungskonsole von Exchange 2007 trägt die Bezeichnung Exchange-Verwaltungskonsole und baut auf die MMC 3.0 auf. Die MMC 3.0 muss nachträglich auf Windows Server 2003 mit SP1 installiert werden, in Windows Server 2003 R2 ist diese bereits enthalten. Der maßgebliche Unterschied ist die Aufteilung in drei Spalten, von denen die dritte dazu da ist, notwendige Aktionen im aktuell markierten Bereich durchzuführen. Auch Windows Vista wird mit der MMC 3.0 ausgeliefert.

4 5 6

Die Verwaltung von Exchange Server 2007 findet hauptsächlich über die beiden Tools Exchange-Verwaltungskonsole und Exchange-Verwaltungsshell statt. Im folgenden Abschnitt gehe ich auf den ersten Umgang mit diesen Werkzeugen ein, bevor ich in den restlichen Kapiteln des Buches ausführlicher auf die Verwaltung von Exchange Server 2007 eingehe.

2.2.1

7 8

Die Exchange-Verwaltungskonsole verstehen 9

Sie starten die Exchange-Managementkonsole über Start/Programme/Microsoft Exchange Server 2007/Exchange-Verwaltungskonsole (siehe Abbildung 2.92). Abbildung 2.92: Erster Blick in die Exchange-Verwaltungskonsole

10 11 12 13 14 15

107


Haben Sie die Exchange-Verwaltungskonsole das erste Mal gestartet, sehen Sie den typischen Aktionsbereich ganz rechts in der Management Console 3.0. In diesem Bereich werden immer alle verfügbaren Befehle und Aktionen angezeigt, die auch über den Menüpunkt Aktion bzw. mit Rechtsklick auf den entsprechenden Menüpunkt zur Verfügung stehen. Der Aktionsbereich mit den verfügbaren Befehlen zieht sich quer durch die ganze Bedienung von Servern mit der Management Console 3.0. Auch auf der linken Seite der Managementkonsole sehen Sie, dass die einzelnen Menüpunkte im Baum gegenüber Exchange 2003 deutlich verändert wurden. Zunächst fällt auf, dass der Baum nicht mehr so tief verschachtelt wurde, sondern viele Aufgaben der Verwaltung in den mittleren Bereich der Konsole gewandert sind, während auf der rechten Seite die Hauptmenüpunkte zur Verfügung stehen. Die einzelnen Aktionen, die Sie durchführen können, erscheinen dann wieder im Kontextmenü des entsprechenden Punktes in der Mitte der Konsole oder im Aktionsbereich der Konsole ganz rechts. Abbildung 2.93: Struktur der Exchange-Verwaltungskonsole

Die Bedienung der Exchange-Verwaltungskonsole wurde von Microsoft komplett überarbeitet, es sind nur wenige Ähnlichkeiten zu Exchange 2003 zu erkennen. Es handelt sich bei der Konsole aber noch immer um ein Snap-In für die MMC. Einer der Vorteile ist die bessere Bedienung der Konsole, die ich im Folgenden an ein paar Beispielen zeigen werde. Die Konsole besteht aus vier Bereichen, in denen Sie die einzelnen Komponenten von Exchange verwalten können (siehe Abbildung 2.94). Abbildung 2.94: Struktur der Exchange-Verwaltungskonsole

108


Die verschiedenen Bereiche der Managementkonsole sind: ■ ■ ■ ■

Organisationskonfiguration Serverkonfiguration Empfängerkonfiguration Toolbox

1

2

Die Konsole ist nicht mehr so tief verschachtelt wie unter Exchange 2003. Administratoren erreichen die einzelnen Optionen direkt unter den einzelnen Menüpunkten. Alle Aktionen, die Sie für die Objekte im Ergebnisbereich durchführen können, erreichen Sie auch durch Rechtsklick. Arbeiten Sie lieber mit der rechten Maustaste und benötigen den Aktionsbereich nicht, können Sie diesen über das Menü Ansicht deaktivieren. Alternativ können Sie auch die Schaltfläche zur Deaktivierung des Aktionsbereichs verwenden (siehe Abbildung 2.95).

3 4 Abbildung 2.95: Deaktivieren des Aktionsbereiches

5 6 7 8 9 10

Verwalten der Exchange-Organisation über die Organisationskonfiguration

11

Über den Menüpunkt Organisationskonfiguration erreichen Sie die Einstellungen, welche für die gesamte Organisation, also alle Exchange-Server, alle Datenbanken und alle Empfänger gelten (siehe Abbildung 2.96).

12 Abbildung 2.96: Verwalten der Organisation

13 14

Dieser Bereich untergliedert sich in vier weitere Untermenüs. Diese Menüs stellen die vier Serverrollen dar, die in einem internen Netzwerk betrieben werden können. Über diese vier Serverrollen-Menüs erreichen Sie die globalen Einstellungen für die einzelnen Serverrollen.

15

109


Klicken Sie auf den obersten Menüpunkt Organisationskonfiguration, werden Ihnen im Ergebnisbereich alle Einstellungen angezeigt, die nicht zu einer der vier Serverrollen passen (siehe Abbildung 2.97). Hier können Sie zum Beispiel die Administratorrechte delegieren (siehe Kapitel 12). Es gibt unterhalb dieser Menüs keine weiteren Menüpunkte, sondern Sie erreichen alle Einstellungen über den Ergebnisbereich in der Mitte der Exchange-Verwaltungskonsole. Hier stellen Sie zum Beispiel die Empfängerrichtlinien ein oder die E-Mail-Domänen, die von der Exchange-Organisation empfangen werden können (siehe Kapitel 5). Auch die Adresslisten (Kapitel 8) und die Postfachrichtlinien (Kapitel 6) werden an dieser Stelle gepflegt. Abbildung 2.97: Globale Organisationskonfiguration

Klicken Sie auf einen der vier Serverrollen-Menüpunkte, sehen Sie im Ergebnisbereich verschiedene Registerkarten, auf denen Sie die verschiedenen Konfigurationsbereiche der Serverrolle erreichen (siehe Abbildung 2.98). Abbildung 2.98: Verwalten von Exchange 2007 über die Registerkarten im Ergebnisbereich der Managementkonsole

Verwalten der Exchange Server in der Organisation über den Menüpunkt Serverkonfiguration Über den Menüpunkt Serverkonfiguration auf der linken Seite der Exchange-Verwaltungskonsole erreichen Sie alle serverspezifischen Einstellungen der Serverkonfiguration (siehe Abbildung 2.99). Hier verwalten Sie zum Beispiel die verschiedenen Speichergruppen und Postfachdatenbanken aller Exchange Server. Abbildung 2.99: Verwalten der Serverkonfigurationen

110


Auch unterhalb des Menüpunktes Serverkonfiguration finden Sie wieder die vier Menüpunkte der internen Serverrollen, wie bereits bei der Organisationskonfiguration. Klicken Sie direkt auf den Menüpunkt Serverkonfiguration, werden Ihnen im Ergebnisbereich alle notwendigen Informationen für alle Exchange Server der kompletten Organisation angezeigt. Hier sehen Sie auch, welche Serverrollen die einzelnen Exchange Server zugewiesen bekommen haben. Über die einzelnen ServerrollenMenüs werden im Ergebnisbereich Registerkarten eingeblendet, die Einstellungen für die entsprechend markierte Serverrolle zur Verfügung stellen (siehe Abbildung 2.100).

1

2 3 Abbildung 2.100: Verwalten der Exchange Server über die Serverkonfiguration

4 5 6 7 8

Sie können mit der rechten Maustaste auf den Servereintrag im Ergebnisbereich klicken. Im Kontextmenü können Sie die einzelnen zugewiesenen Serverrollen verwalten, indem Sie diese auswählen.

9 Abbildung 2.101: Verwalten der Serverrollen

10 11 12 13

Im Ergebnisbereich werden Ihnen also alle Serverobjekte angezeigt, die zu Funktionen auf den Exchange-Servern gehören, also zum Beispiel die Datenbanken.

14

Verwalten der Empfänger über den Menüpunkt Empfängerkonfiguration

15

Über den Menüpunkt Empfängerkonfiguration erreichen Sie alle Einstellungen, die Ihre Empfänger auf allen Exchange Servern der Organisation betreffen (siehe Abbildung 2.102).

111


Abbildung 2.102: Verwalten der Empfänger

Über diesen Menüpunkt können Sie Postfächer verwalten, Benutzer anlegen (auch Benutzerkonten im Active Directory), Verteilergruppen und E-Mail-Kontakte erstellen und Postfächer erneut verbinden.

Verwenden der Zusatztools über den Menüpunkt Toolbox Über den Menüpunkt Toolbox erreichen Sie die verschiedenen Zusatzprogramme, die Microsoft direkt in Exchange Server 2007 integriert hat, zum Beispiel den Exchange Best Practices Analyzer, der Ihre Exchange Server auf Konfigurationsfehler untersucht und Hilfestellung zur Beseitigung von Problemen gibt (siehe Abbildung 2.103). Abbildung 2.103: Zusatztools von Exchange Server 2007

Beispiel: Verwaltung der Empfänger Klicken Sie zum Beispiel auf den Menüpunkt Empfängerkonfiguration, werden Ihnen in der Mitte der Konsole alle Empfänger innerhalb der Exchange-Organisation angezeigt. Sie sehen hier nicht nur die Empfänger des aktuellen Servers oder der Domäne, sondern alle Empfänger der Organisation innerhalb der Gesamtstruktur (siehe Abbildung 2.104). Abbildung 2.104: Anzeigen der Empfänger innerhalb der ExchangeOrganisation

112


Bei großen Organisationen kann die Ansicht aller Empfänger innerhalb einer einzelnen Konsole natürlich entweder sehr lange dauern oder übersichtlich sein, aus diesem Grund können Sie über den Menüpunkt Die Anzahl der maximal anzuzeigenden Empfänger ändern die Ansicht auch beschränken (siehe Abbildung 2.95).

1 Abbildung 2.105: Ändern der maximal anzuzeigenden Empfänger in der Konsole

2 3 4 5 6

Darüber hinaus können Sie noch Filter erstellen, welche die Ansicht der Empfänger Ihrer Organisation an Ihre Bedürfnisse anpasst. Auch diese Funktion kann über einen Link in der Konsole direkt erreicht werden (siehe Abbildung 2.106).

7 Abbildung 2.106: Erstellen von Anzeigefilter in Exchange 2007

8 9 10 11 12 13

Klicken Sie auf den Link Filter erstellen, erscheint innerhalb der Konsole ein weiterer Eingabebereich, über den Sie konfigurieren können, nach welchem Attribut die Empfänger in der Managementkonsole angezeigt werden sollen (siehe Abbildung 2.97).

14

Des Weiteren können Sie in den mittleren Fensterbereich klicken, um die einzelnen Konfigurationsmöglichkeiten anzuzeigen. Die entsprechenden Befehle werden in der rechten Seite der Konsole angezeigt. Sie können innerhalb der Exchange-Verwaltungskonsole auch Benutzerkonten im Active Directory anlegen und gleich ein Postfach in einer beliebigen Speichergruppe erstellen (siehe Abbildung 2.108).

15

113


Abbildung 2.107: Konfiguration eines Filters zur Anzeige von Empfängern

Abbildung 2.108: Erstellen von neuen Benutzerkonten und Postfächern in der ExchangeVerwaltungskonsole

Sie können auch ein neues Postfach für ein bereits vorhandenes Benutzerkonto erstellen, die Bedienung ist sehr flexibel. Sie sehen an dieser neuen Möglichkeit, dass auch für die Verwaltung von Benutzern und Verteilerlisten keine verschiedenen Tools mehr notwendig sind, sondern alle Aufgaben bequem in der Konsole durchgeführt werden können. Abbildung 2.109: Erstellen von neuen Benutzerpostfächern in Exchange 2007

114


Haben Sie Postfächer erstellt, können Sie diese im gleichen Bereich mit der rechten Maustaste anklicken und die Eigenschaften aufrufen. Ihnen werden daraufhin alle Informationen zu diesem Benutzerkonto und zu dem dazugehörigen Postfach angezeigt (siehe Abbildung 2.110). Hier können Sie auch Änderungen vornehmen. Die Informationen, die Sie angezeigt bekommen, sind darüber hinaus wesentlich besser aufbereitet.

1

Sie sehen auf der ersten Registerkarte bereits, auf welchem Server, in welcher Speichergruppe und innerhalb welchen Postfachspeichers sich das Postfach befindet. Zusätzlich sehen Sie auch, welche Datenmenge bereits im Postfach gespeichert wurde und weitere Informationen, wie zum Beispiel die letzte Anmeldung, um zu erkennen, ob das Postfach überhaupt noch verwendet wird. Innerhalb des Fensters können alle Einstellungen vorgenommen werden, für die bisher das Snap-In Active Directory-Benutzer und -Computer benötigt wurde.

2 3 4 Abbildung 2.110: Anzeigen von Benutzerpostfächern

5 6 7 8 9

Weitere Informationen erhalten Sie, wenn Sie auf den Menüpunkt Postfach klicken. Hier sehen Sie bereits im Hauptmenü, auf welchem Server sich ein Postfach befindet und in welcher Organisationseinheit das zu zugrunde liegende Benutzerkonto abgelegt ist (siehe Abbildung 2.111). Klicken Sie auf die einzelnen Spalten, können Sie die Ansicht auch nach dem entsprechenden Bereich filtern. Außerdem haben Sie die Möglichkeit, die Spalten per Drag&Drop beliebig anzuordnen. Auch hier stehen die Filtermöglichkeiten zur Verfügung, die Sie bereits im Menü Empfängerkonfiguration vorgefunden haben.

10 11 12

Beispiel: Serverkonfiguration Auch im Bereich der Serverkonfiguration hat Microsoft in Exchange Server 2007 einiges angepasst. Klicken Sie in der Exchange-Verwaltungskonsole auf den Menüpunkt Serverkonfiguration, werden Ihnen alle Exchange Server der Organisation angezeigt (siehe Abbildung 2.112).

13 14

Auch hier stehen über das Kontextmenü bzw. den Aktionsbereich in der Konsole die Aufgaben und Aktionen zur Verfügung, die Sie durchführen können.

15

115


Abbildung 2.111: Anzeigen und Verwalten von Benutzerkonten und Postfächern in der Exchange-Verwaltungskonsole

Abbildung 2.112: Serververwaltung in der ExchangeVerwaltungskonsole

Rufen Sie im Kontextmenü die Eigenschaften eines Servers auf, erhalten Sie ausführliche Informationen über Edition und die Konfiguration des Servers (siehe Abbildung 2.113). Sie sehen, ähnlich zu den Benutzerkonten, an zentraler Stelle alle relevanten Informationen über den Server. Da Exchange Server 2007 auch auf ein Rollenmodell aufbaut, erhalten Sie an dieser Stelle die Information, welche Rollen den einzelnen Servern zugewiesen wurden. Neben den Informationen können Sie auf den verschiedenen Registerkarten zahlreiche Einstellungen vornehmen, die in Exchange Server 2003 im Exchange System Manager an verschiedenen Stellen durchgeführt werden mussten.

116


Abbildung 2.113: Eigenschaften eines Exchange Servers

1

2 3 4 5 6 7 Beispiel: Tools Microsoft hat in die Exchange-Verwaltungskonsole im Bereich Toolbox zahlreiche neue Werkzeuge integriert, die bisher gesondert heruntergeladen, installiert und verwaltet werden mussten. Hier finden Sie hauptsächlich Troubleshooting- und Optimierungstools, wie zum Beispiel die neue Version des Exchange Best Practices Analyzers (siehe Abbildung 2.114). Auf diese Tools gehe ich in den Kapiteln 11 und 16 noch ausführlicher ein. Über den Best Practices Analyzer erhalten Sie weit über 2000 Regeln, die bei den bekanntesten Konfigurationsfehlern helfen sollen und die durch automatische Updates aus dem Internet ständig aktuell gehalten werden.

8 9 10

Abbildung 2.114: Neue Tools für das Troubleshooting und die Optimierung von Exchange

11 12 13 14 15

117


2.2.2

Einführung in die Exchange-Verwaltungsshell

In der Programmgruppe Microsoft Exchange Server 2007 gibt es darüber hinaus noch den Link zur Exchange-Verwaltungsshell, welche die Befehlszeilenoberfläche von Exchange 2007 startet (siehe Abbildung 2.115). Die meisten neuen Server-Produkte von Microsoft bauen auf der Windows PowerShell auf. Die grafische Oberfläche von Exchange Server 2007 dient nur noch dazu, Befehle zu generieren, sogenannte CMDlets, die durch die PowerShell ausgeführt werden. Exchange Server 2007 erweitert zum Beispiel die Windows PowerShell mit zusätzlichen Funktionen. Die neue Kommandozeile hat nichts mehr mit einer DOS-Box gemeinsam und ist extrem mächtig. Die PowerShell baut auf das .NET Framework auf. Skriptbasierte Aktionen mussten in Exchange Server 2003 noch durch komplizierte VB-Skripte durchgeführt werden, während in Exchange Server 2007 einfache PowerShell-Skripte verwendet werden können. Sie können Cmdlets an ihrem Aufbau erkennen: ein Verb und ein Substantiv, getrennt durch einen Bindestrich (-), beispielsweise Get-Help, Get-Process und StartService. Die meisten Cmdlets sind sehr einfach und für die Verwendung zusammen mit anderen Cmdlets vorgesehen. So werden mit Get-Cmdlets Daten abgerufen, mit Set-Cmdlets Daten erzeugt oder geändert, mit Format-Cmdlets Daten formatiert und mit Out-Cmdlets Ausgaben an ein angegebenes Ziel geleitet. Unter Windows Server 2008 können CMDlets auch für die Automatisierung der neuen Serverrollen, zum Beispiel des IIS 7.0, der Active Directory-Domänendienste und der Terminaldienste, verwendet werden. Auch die Verwaltung der Registry, von Zertifikaten und der Ereignisanzeigen lassen sich über die PowerShell automatisieren. Windows PowerShell baut auf .NET Framework und der Common Language Runtime (CLR) von .NET auf und kann .NET-Objekte akzeptieren und zurückgeben. Diese grundlegende Änderung ermöglicht neue Tools und Skriptverfahren für die Verwaltung und Konfiguration von Windows. Neben den bekannten Dateisystemlaufwerken wie C: und D: enthält Windows PowerShell auch Laufwerke, welche die Registrierungsstrukturen HKEY_LOCAL_MACHINE (HKLM:) und HKEY_CURRENT_USER (HKCU:), den Speicher für digitale Signaturzertifikate auf Ihrem Computer (Cert:) und die Funktionen in der aktuellen Sitzung (Function:) darstellen. Diese werden als Windows PowerShellLaufwerke bezeichnet. Eine Liste kann mit dem Befehl get-psdrive angezeigt werden. In der PowerShell wird mit .NET-Objekten gearbeitet. Technisch gesehen ist ein .NET-Objekt eine Instanz einer .NET-Klasse, die aus Daten und zugeordneten Operationen besteht. Sie können sich ein Objekt als Dateneinheit mit Eigenschaften und Methoden vorstellen. Methoden sind Aktionen, die für das Objekt ausgeführt werden können. Wenn beispielsweise ein Dienst aufgerufen werden soll, wird eigentlich ein Objekt, das diesen Dienst darstellt, verwendet. Wenn Informationen über einen Dienst angezeigt werden, werden die Eigenschaften des zugehörigen Dienstobjekts angezeigt. Und wenn einen Dienst gestartet wird, verwendet die PowerShell eine Methode des Dienstobjekts. Um zum Beispiel in die lokale Registry in HKEY_CURRENT_USER zu wechseln, geben Sie in der PowerShell cd hkcu: ein. Den Inhalt des Registry-Hives können Sie sich mit dir anzeigen lassen. Wenn Sie immer wieder bestimmte Befehlsfolgen ausführen oder ein PowerShell-Skript für eine komplexe Aufgabe entwickeln, empfiehlt es sich, die Befehle nicht einzeln einzugeben, sondern in einer Datei zu speichern. Die Dateierweiterung für Windows PowerShellSkripte lautet *.ps1. Es muss immer ein vollqualifizierter Pfad zu der Skriptdatei angegeben werden, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn auf das aktuelle Verzeichnis verwiesen werden soll, geben Sie einen Punkt ein, zum Beispiel .script.ps1.

118


Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Die Ausführungsrichtlinie bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen. Standardmäßig werden Skripte blockiert. Sie können die Ausführungsrichtlinie mit dem Cmdlet Set-ExecutionPolicy ändern. Die Ausführungsrichtlinie wird in der WindowsRegistrierung gespeichert. Mit dem Cmdlet Start-Sleep werden Windows PowerShellAktivitäten für einen bestimmten Zeitraum gestoppt. Mit dem Befehl Start-Sleep -s 10 hält das Skript zehn Sekunden an. Start-Sleep -m 10000 verwendet Millisekunden. Wird die Ausgabe von CMDlets mit der Option | outpout-printer an das CMDlet Output-Printer übergeben, wird die Ausgabe auf dem Standarddrucker ausgedruckt. Der Drucker kann mit Anführungszeichen und der Bezeichnung in der Druckersteuerung auch angegeben werden. Mit dem Cmdlet Write-Warning können eigene Warnungen in der PowerShell angezeigt werden. Write-Host schreibt Nachrichten. Mit dem Cmdlet Invoke-Expression wird in der Windows PowerShell ein Skript gestartet: Invoke-Expression c:\scripts\test.ps1.

1

2 3 4 Abbildung 2.115: Exchange-Verwaltungsshell über die ExchangeProgrammgruppe starten

5 6 7 8 9 10 11

Über die Befehlszeilenoberfläche von Exchange 2007 lassen sich alle Verwaltungsaufgaben durchführen, die auch in der grafischen Oberfläche der Exchange-Verwaltungskonsole durchgeführt werden können. Die Exchange-Verwaltungsshell baut auf der Microsoft PowerShell auf (siehe Abbildung 2.116). Sie können Skripte schreiben und zahlreiche Aufgaben automatisieren, die unter Exchange 2003 noch in der grafischen Oberfläche fast ohne die Möglichkeit zu automatisieren durchgeführt werden mussten. Die Exchange-Verwaltungsshell baut auf der Windows-PowerShell auf und erweitert diese um exchange-spezifische Befehle.

12 13

Haben Sie die Exchange-Verwaltungsshell gestartet, können Sie sich über den Befehl get-command alle Befehle anzeigen lassen, welche die Shell kennt.

14

Über den Befehl help können Sie sich zu einzelnen Befehlen eine ausführliche Hilfe anzeigen lassen. Über die Tastenkombination (STRG)+(C) können Sie innerhalb der Shell einzelne Aktionen stoppen. Wenn Sie eine detaillierte Hilfe zu einem Cmdlet einschließlich Parameterbeschreibungen und Beispielen anzeigen möchten, verwenden Sie Get-Help mit dem Detailed-Parameter, zum Beispiel gethelp get-command -detailed.

15

119


Abbildung 2.116: Verwaltung von Exchange Server 2007 mit der ExchangeVerwaltungsshell

TIPP

Eine ausführliche Hilfe über die einzelnen Befehle in der Exchange-Verwaltungsshell erhalten Sie in der Datei C:\Programme\Microsoft\Exchange-Server\Bin\exquick. htm. In der Konsole können Sie mit dem Befehl get-command eine Liste aller Befehle erstellen, die in der Exchange-Verwaltungsshell ausgegeben werden. Über get-command >c:\befehle.txt werden alle Befehle in die Datei c:\befehle.txt umgelenkt, Sie erhalten wie immer bei der Dateiumleitung keine Bestätigung der Ausführung. Interessant ist auch die Möglichkeit, dass Sie innerhalb der Shell auch Variablen definieren können, die aktuelle Informationen automatisch abfragen. Diese Variablen können Sie dann später innerhalb eines Skriptes verwenden. Wollen Sie zum Beispiel das aktuelle Datum als Variable $heute hinterlegen, können Sie in der Shell den Befehl $heute = get-date eingeben. Anschließend wird das heutige Datum als Variable $heute hinterlegt. Geben Sie als Nächstes in der Shell $heute ein, wird das aktuelle Datum ausgegeben (siehe Abbildung 2.117).

Abbildung 2.117: Arbeiten mit Variablen in der Management Shell

Sie können auch auf einzelne Bestandteile der Variablen getrennt zugreifen. Interessiert Sie zum Beispiel aus dem Datum lediglich die Zeit, können Sie etwa einzelne Elemente objektorientiert aus der Variablen auslesen. So können Sie zum Beispiel durch das Eingeben des Befehls $heute.ToShortTimeString() ohne viel Aufwand nur die Zeit aus der Variablen auslesen (siehe Abbildung 2.108).

120


Abbildung 2.118: Arbeiten mit einzelnen Objekten aus Variablen innerhalb der Management Shell

1

2 Weitere Möglichkeiten sind die Formatierung der Ausgabe. So ist es zum Beispiel auch möglich, über Eingabe des Befehls $heute.ToString(MMMM) die Ausgabe des Monats zu erzwingen oder über $heute.ToString(MM) den Monat als Zahl innerhalb des Kalenderjahres (siehe Abbildung 2.119).

3

Abbildung 2.119: Abfrage und Formatierung von Variablen

4 5 6 7

Sie können sich in der Befehlszeile auch alle Exchange-Datenbanken ausgeben, die auf den Servern Ihrer Organisation angelegt wurden. Geben Sie dazu in der Exchange-Verwaltungsshell den Befehl get-mailboxdatabase ein. Sie erhalten eine formatierte Liste aller Postfachdatenbanken (siehe Abbildung 2.120).

8 Abbildung 2.120: Anzeigen der Postfachdatenbanken in der ExchangeVerwaltungsshell

9 10 11

Sie erhalten durch den Befehl nicht nur die Liste der Postfachdatenbanken eines Servers, sondern alle Postfachdatenbanken auf allen Exchange-Servern in der Organisation. Über den Befehl dismount-database können Sie die Bereitstellung einer Datenbank in der Befehlszeile aufheben (siehe Kapitel 6). Sie müssen dazu lediglich die ID der Datenbank mitgeben, damit die Exchange-Verwaltungsshell weiß, von welcher Datenbank die Bereitstellung aufgehoben werden soll. Sie können so zum Beispiel den Befehl dismount-database (get-mailboxdatabase Mailbox) eingeben (siehe Abbildung 2.121). Zwischen die Anführungszeichen schreiben Sie die Bezeichnung der Postfachdatenbank.

12 13 14 15

121


Abbildung 2.121: Aufheben der Bereitstellung einer Datenbank

Nach der Ausführung des Befehls erhalten Sie keine weitere Meldung, Sie erkennen aber in der Exchange-Verwaltungskonsole, dass die Bereitstellung der Postfachdatenbank aufgehoben worden ist (siehe nächster Abschnitt und Abbildung 2.122). Abbildung 2.122: Aufgehobene Bereitstellung einer Postfachdatenbank

Drücken Sie die Pfeiltaste nach oben auf der Tastatur, erscheint der eingegebene Befehl noch einmal. Sie können den Befehl dismount-database in mount-database abändern, damit die Datenbank wieder bereitgestellt wird (siehe Abbildung 2.123). Abbildung 2.123: Bereitstellen einer Datenbank in der Exchange-Verwaltungsshell

Sie erhalten bei der Bereitstellung keine weitere Meldung, können aber in der Exchange-Verwaltungskonsole auf (F5) klicken, damit der Status der Datenbank wieder als Bereitgestellt angezeigt wird (siehe Abbildung 2.124).

122


Abbildung 2.124: Bereitstellen einer Datenbank

1

2 3 4 Eine weitere Möglichkeit der Exchange-Verwaltungskonsole ist das Auslesen der Postfächer innerhalb einer Postfachspeicherdatenbank. Geben Sie den Befehl getmailbox ein, erhalten Sie eine Liste aller Postfächer der Organisation (siehe Abbildung 2.125).

5 6 Abbildung 2.125: Anzeigen der Postfächer einer Organisation

7 8 9

Haben Sie den Befehl eingegeben, erhalten Sie eine formatierte Liste. Sie sehen hier auch, auf welchem Server die einzelnen Postfächer liegen und ob ein Grenzwert eingetragen ist, der das Senden verbietet.

10

Über den Befehl get-mailbox | format-table displayname, database, können Sie sich die Postfächer sortiert nach Postfachdatenbank und Anzeigenamen anzeigen lassen (siehe Abbildung 2.126).

11 Abbildung 2.126: Anzeigen von Postfächern, sortiert nach Postfachdatenbanken

12 13 14 15

123


Über den Befehl move-mailbox können Sie Postfächer auch in der Exchange-Verwaltungsshell zwischen Postfachspeicherdatenbanken verschieben. Sie können beispielsweise den Befehl get-mailbox –database Mailbox | move-mailbox –targetdatabase Mailbox Database –validateonly verwenden, um Postfächer aus der Postfachdatenbank Mailbox in die Postfachdatenbank Mailbox Database zu verschieben (siehe Abbildung 2.127). Sie müssen das Verschieben noch bestätigen, danach beginnt der Exchange Server mit dem Vorgang. Abbildung 2.127: Verschieben von Postfächern in der Befehlszeile

Verwenden Sie den Befehl get-mailbox –database Mailbox | move-mailbox –targetdatabase Mailbox Database –validateonly, verschiebt Exchange keine Postfächer, sondern überprüft lediglich, ob ein Verschieben möglich ist, und gibt eine ausführliche Informationsseite aus, welche Optionen durchgeführt werden würden, wenn die Option –vaildateonly nicht verwendet wird. Eine weitere Option in diesem Zusammenhang ist –whatif, die ähnlich funktioniert wie –vaildateonly, aber weniger Informationen ausgibt. Unabhängig davon, welche Optionen Sie verwenden, erhalten Sie ausführliche Informationen, was Exchange durchführen würde oder getan hat. Über die Exchange-Verwaltungsshell können Sie nicht nur auf Attribute innerhalb von Exchange zugreifen, sondern auch direkt auf das Active Directory. Sie können Gruppen erstellen, Gruppenmitgliedschaften konfigurieren und so weiter. Sie können in der Exchange-Verwaltungsshell auch Statistiken über die Postfächer in Ihrer Organisation abrufen. Geben Sie beispielsweise den Befehl get-mailboxstatistics ein, erhalten Sie ausführliche Informationen über die einzelnen Postfächer innerhalb Ihrer Exchange-Organisation (siehe Abbildung 2.128). Abbildung 2.128: Abrufen von Statistiken über die Postfächer auf den Exchange Servern

124


Der Befehl get-mailboxstatistics | group database gibt Ihnen eine Statistik über die einzelnen Postfachdatenbanken aus (siehe Abbildung 2.129). Abbildung 2.129: Statistik über Exchange-Postfachdatenbanken

1

2 3 Generell können Sie hinter den meisten Befehlen in der Exchange-Verwaltungsshell, die einen Status oder eine Statistik ausgeben, noch den Zusatz |fl eingeben. Dieser Zusatz bewirkt, dass Sie eine formatierte Liste (daher fl) erhalten, die deutlich mehr Informationen ausgibt als der Befehl ohne diesen Zusatz.

4 TIPP

5

Im Internet gibt es bereits zahlreiche Communities und Zusatzprodukte, die den Nutzen der PowerShell und der Exchange-Verwaltungsshell weiter verbessern. Ebenfalls im Internet erhältlich sind CMDlets für die PowerShell, die spezielle Aufgaben im Netzwerk durchführen können, auf das Active Directory zugreifen oder auch Dateien übertragen können. Auch hier haben wir für Sie Beispiele aufgeführt. Auch eine grafische Oberfläche wird mittlerweile angeboten, die Administratoren bei der Erstellung von CMDlets unterstützt. Die PowerGUI kennt nicht nur die CMDlets der herkömmlichen PowerShell, sondern auch die Erweiterungen für Exchange Server 2007 und Microsoft System Center Operation Manager 2007. Mit der PowerGUI können Sie CMDlets direkt in der grafischen Oberfläche durch bequeme Menüs ausführen.

6 7 8

Links: ■ http://www.powergadgets.com ■ http://www.it-visions.de/scripting/powershell ■ http://www.nsoftware.com/powershell/ ■ http://www.quest.com/activeroles-server/arms.aspx ■ http://powergui.org ■ http://www.microsoft.com/technet/scriptcenter/scripts/msh/ts ■ http://blogs.msdn.com/PowerShell/ ■ http://www.microsoft.com/windowsserver2003/technologies/management/ powershell/download.mspx

9

2.2.3

Erster Einblick in die neuen Strukturen der Exchange-Datenbanken

13

Wie auch in Exchange 2000 und Exchange 2003 werden die Postfächer der Anwender in Postfachspeichern abgelegt. Mehrere Postfachspeicher werden zu Speichergruppen zusammengefasst, die sich einen gemeinsamen Satz Transaktionsprotokolle teilen (siehe Kapitel 6).

14

10 11 12

15

Die Verwaltung dieser Postfachspeicher und Speichergruppen finden Sie ebenfalls in der Exchange-Verwaltungskonsole. Klicken Sie dazu auf Serverkonfiguration/Postfach (siehe Abbildung 2.130). In der Mitte der Konsole werden Ihnen alle Exchange Server Ihrer Organisation angezeigt. Klicken Sie auf einen Server, sehen Sie unten in 125


der Konsole, welche Speichergruppen und Postfachspeicher bzw. Speicher für öffentliche Ordner standardmäßig angelegt wurden. Im Gegensatz zu Exchange 2003 wird der Speicher für öffentliche Ordner (siehe Kapitel 6 und 7) nicht mehr in der gleichen Speichergruppe angelegt wie der erste Postfachspeicher, sondern in einer neuen, getrennten Speichergruppe. Da unter Exchange 2003 in der Standard Edition nur eine Speichergruppe unterstützt wurde, war das bisher nicht möglich. Exchange 2007 wird, wie Exchange 2003 und 2000, in einer Standard Edition und einer Enterprise Edition zur Verfügung gestellt. Exchange 2007 Enterprise Edition unterstützt 50 Speichergruppen mit 50 Postfachspeichern. Die Exchange 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Abbildung 2.130: Verwalten von Speichergruppen und Postfachspeichern in der ExchangeVerwaltungskonsole

Die Erstellung und ausführliche Verwaltung von Speichergruppen zeige ich Ihnen in Kapitel 6. Klicken Sie mit der rechten Maustaste auf eine Speichergruppe, sehen Sie alle Aktionen, die Sie mit dieser Speichergruppe durchführen können. Klicken Sie mit der rechten Maustaste in einen leeren Bereich im unteren Teil des Fensters, können Sie zum Beispiel eine neue Speichergruppe erstellen. Neue Postfachspeicherdatenbanken erstellen Sie, wenn Sie mit der rechten Maustaste auf die Speichergruppe klicken, unter der Sie den Postfachspeicher erstellen wollen, und aus dem Menü Neue Postfachspeicherdatenbank auswählen (siehe Abbildung 2.131). Erstellen Sie zu Testzwecken auf dem Testserver eine neue Postfachspeicherdatenbank. Ich zeige Ihnen im folgenden Abschnitt, wie Sie Postfächer in diese neue Datenbank verschieben können. Sie brauchen zur Erstellung der Datenbank keine ausführlicheren Einstellungen vorzunehmen, es reicht, wenn Sie mit der rechten Maustaste auf eine der beiden Speichergruppen klicken, aus dem Menü Neue Postfachspeicherdatenbank auswählen und dann auf Neu klicken. Wie Sie in Abbildung 2.132 erkennen können, zeigt der Assistent für die Erstellung einer neuen Postfachspeicherdatenbank auch den entsprechenden Befehl aus der Befehlszeile für die Exchange-Verwaltungsshell an. Sie sehen im folgenden Beispiel, dass über den Befehl mount -database Datenbanken auch über die Befehlszeile bereitgestellt werden können. 126


Abbildung 2.131: Erstellen einer neuen Postfachdatenbank

1

2 3 4 5 Abbildung 2.132: Erstellen einer neuen Postfachspeicherdatenbank

6 7 8 9 10 11 12 13 14

Verschieben von Postfächern Im folgenden Abschnitt zeige ich Ihnen, wie Sie Postfächer in die neue Postfachspeicherdatenbank verschieben können. Klicken Sie dazu in der Exchange-Verwaltungskonsole auf den Menüpunkt Empfängerkonfiguration.

15

Wie Sie bereits gesehen haben, werden Ihnen alle Postfächer innerhalb der Exchange-Organisation angezeigt (siehe Abbildung 2.133). Klicken Sie auf ein Post127


fach mit der rechten Maustaste, können Sie über die Option Postfach verschieben den Assistenten für das Verschieben von Postfächern starten (siehe Abbildung 2.133). Alternativ können Sie diese Aktion auch im Aktionsbereich der Konsole durchführen. Abbildung 2.133: Verschieben eines Postfachs

Haben Sie die Auswahl getroffen, erscheint der Assistent zum Verschieben von Postfächern. Sie sehen, dass auch dieser Assistent mit den anderen Assistenten weitgehend identisch ist und der Aufbau der einzelnen Schritte sich auch hier nicht unterscheidet. Wählen Sie in dem ersten Fenster zunächst aus, auf welchen Server, in welche Speichergruppe und in welchen Postfachspeicher das Postfach verschoben werden soll (siehe Abbildung 2.134). Klicken Sie bei den weiteren Fenstern des Assistenten einfach immer auf Weiter. Haben Sie den Assistenten abgeschlossen, wurde das Postfach verschoben. Generell unterscheidet sich dieser Assistent nicht sehr von dem Assistent zur Verschiebung von Postfächern unter Exchange 2003. Sie sehen im Abschlussfenster des Assistenten unten die Information, dass Sie über (STRG)+(C) den Inhalt des Fensters in die Zwischenablage kopieren können (siehe Abbildung 2.135). Diese Funktion finden Sie in Exchange 2007 bei jedem Assistenten. Sie können mithilfe dieser Funktion die einzelnen Aufgaben dokumentieren, erhalten wertvolle Informationen für die Fehlersuche und können sich sehr einfach die entsprechenden Befehle für die Exchange-Verwaltungsshell in die Zwischenablage kopieren. So ersparen Sie sich das Abtippen komplexer Befehle.

128


Abbildung 2.134: Verschieben eines Benutzerpostfaches

1

2 3 4 5 6 7 Abbildung 2.135: Kopieren des Inhalts eines Fensters in Exchange 2007

8 9 10 11 12 13 14 15

Sie können den kopierten Inhalt des Fensters zum Beispiel in den Editor einfügen (siehe Abbildung 2.136). Durch das Einfügen in den Editor erhalten Sie auch die entsprechenden Befehle für die Exchange-Verwaltungsshell, die Sie später weiterver-

129


wenden können, um zukünftig solche Aufgaben zu automatisieren. Sie erkennen, dass die Exchange-Verwaltungsshell nicht nur ein Spielzeug für Skriptprofis ist, sondern auch Administratoren schnell die entsprechenden Befehle in der Exchange-Verwaltungskonsole zusammenklicken können und dann in die Shell einfügen. Abbildung 2.136: Kopieren von Informationen aus der Exchange-Verwaltungskonsole in eine Textdatei

2.2.4

Clientzugriff testen

Der schnellste Weg, um den Zugriff auf den Exchange Server zu testen, ist Outlook Web Access (OWA). Haben Sie Ihren Exchange Server installiert, können Sie auf dem Server oder von einem anderen PC im Netzwerk Outlook Web Access über den Link http://<Servername>/owa testen. OWA ist bereits standardmäßig nach der Installation aktiviert. Die sichere Veröffentlichung von OWA im Internet zeige ich Ihnen in Kapitel 9 und 15. Verbinden Sie sich vom lokalen Server mit OWA, müssen Sie sich unter Umständen ein- bis zweimal authentifizieren. Ich zeige Ihnen in Kapitel 9, wie Sie diese Authentifizierung steuern können. Haben Sie sich authentifiziert, erscheint die neue Oberfläche von Outlook Web Access 2007. Abbildung 2.137: Zugriff auf Exchange 2007 mit Outlook Web Access

130

Inhalt 1 2

3 4 5

3

Serverrollen, Verzeichnisse und Dienste

6 7

In diesem Kapitel gehe ich ausführlicher auf die einzelnen Serverrollen von Exchange Server 2007 ein. Ich zeige Ihnen in diesem Kapitel auch die Systemdienste und Verzeichnisse, die ein Exchange Server benötigt. Administratoren, die eine Exchange-Infrastruktur verwalten, sollten nicht nur über die grafische Oberfläche oder die Exchange-Verwaltungsshell Bescheid wissen, sondern auch die Hintergründe verstehen, da bei Problemen mit dem Server oft hier die Lösung liegt.

8 9

Die Serverrollen und die Standorte im Active Directory interagieren miteinander. Exchange-Administratoren, die Exchange Server über mehrere Standorte verteilt einsetzen, sollten sich daher auch mit der Thematik der Active Directory-Standorte auseinandersetzen. Auch dem Bereich habe ich in diesem Kapitel einen eigenen Abschnitt gewidmet.

10 11

In den meisten Bereichen gibt es zwischen dem Einsatz von Exchange Server 2007 mit SP1 unter Windows Server 2003 und Windows Server 2008 keinen Unterschied. Aus diesem Grund erwähnen wir nicht bei allen Themen explizit Windows Server 2008.

Allgemeine Informationen zu Serverrollen 13

Die verschiedenen Serverrollen in Exchange Server 2007 sind eine der maßgeblichsten Änderungen. Durch diese neuen Möglichkeiten können Unternehmen einzelne Exchange Server speziell nach deren gewünschter Funktion einsetzen. Nicht benötigte Funktionen werden nicht mit installiert. Dadurch steigt die Sicherheit, und die Belastung der Hardware durch unnötige Dienste wird verringert.

14 15

Bevor Sie sich an die Planung und Umsetzung eines Exchange-Projektes machen, sollten Sie sich daher mit dem Rollenmodell in Exchange Server 2007 vertraut machen. Vor allem beim Einsatz mehrerer Exchange Server auch in verschiedenen physikalischen Niederlassungen ist das Verständnis für die Serverrollen wichtig für die Planung, Installation, Verwaltung und Optimierung. 131

Index

3.1

12


Insgesamt können Sie bei der Installation von Exchange Server 2007 einem Server eine oder mehrere der fünf Rollen zuweisen. Im nächsten Abschnitt gehe ich näher auf die einzelnen Rollen und deren Funktionen ein: ■

■

■

■

■

132

Edge-Transport – Diese Exchange Server sind für das Routing vom und ins Internet in der DMZ, auch für das Viren- und Spam-Scannen verantwortlich. Dieser Server muss kein Bestandteil einer Domäne sein. Diese Rolle wird standardmäßig nicht mit installiert, sondern muss explizit getrennt installiert werden, da diese nicht zusammen mit den anderen Rollen auf einem Server betrieben werden kann. Diese Art von Server ist der erste Berührungspunkt von E-Mails aus dem Internet und der letzte vom internen Netzwerk ins Internet (siehe Kapitel 5 und 15). Eine solche Funktion gibt es erst seit Exchange Server 2007. Hub-Transport – Diese Server nehmen die Aufgaben der bisherigen BridgeheadServer zwischen verschiedenen Routinggruppen ein. In Exchange Server 2007 gibt es keine Routinggruppen mehr, da Exchange jetzt die Active DirectoryStandorte unterstützt. Außerdem ist dieser Servertyp für das Durchsetzen der verschiedenen Richtlinien zuständig. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Mailbox-, Client-Access- und UnifiedMessaging-Rolle installiert werden. In jedem Active Directory-Standort in der Gesamtstruktur, in der auch Exchange Server positioniert werden, muss mindestens ein Server die Rolle eines Hub-Transport-Servers einnehmen. Alle E-Mails eines Active Directory-Standorts laufen immer durch einen HubTransport-Server. Die Kommunikation zwischen Hub-Transport-Servern der verschiedenen Active Directory-Standorte findet zertifikatsbasierend und verschlüsselt statt. Exchange Server 2007 stellt dazu bereits eingebaute Zertifikate zur Verfügung, sodass Administratoren nicht zwingend eine eigene Zertifikatsinfrastruktur (Certificate Authority, CA) aufbauen und verwalten müssen. Admins, die sich mit diesem Thema auskennen, können aber auch selbst erstellte Zertifikate verwenden (siehe Kapitel 5). Mailbox (oft auch als Postfachserver bezeichnet) – Diese Server entsprechen der bisherigen Rolle eines Back-End-Servers, dienen also nur dem Speichern von Postfächern und öffentlichen Ordnern. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Client-Access- und Unified-Messaging-Rolle installiert werden. Diese Rolle ist als einzige clusterfähig (siehe Kapitel 14), alle anderen Rollen müssen durch Loadbalancing oder andere Absicherungsmethoden vor Ausfall geschützt werden (siehe Kapitel 6). Client-Access (oft auch als Clientzugriffserver bezeichnet) – Diese Server entsprechen den bisherigen Front-End-Servern mit dem Unterschied, dass auch interne Outlook-Clients über Client-Access-Server Verbindung zu MailboxServern aufbauen können. Auch der Zugriff von Smartphones (Exchange ActiveSync), Outlook Anywhere (RPC über HTTP) oder Outlook Web Access erfolgt über diese Art von Servern. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Mailbox- und Unified-Messaging-Rolle installiert werden (siehe Kapitel 9). Unified Messaging – Diese Server dienen dem Empfangen (Senden geht nicht) von Faxen und der Anbindung direkt an Telefonanlagen für Voice Mail und Outlook Voice Access. Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Client-Access- und Mailbox-Rolle installiert werden. Für die Konfiguration dieser Rolle ist etwas Wissen für die Konfiguration und Steuerung von Telefonanlagen notwendig (siehe Kapitel 10).

Allgemeine Informationen zu Serverrollen

Unternehmen, die nur einen Exchange Server einsetzen, installieren diesen natürlich mit allen Serverrollen, die auf einem einzelnen Exchange Server installiert werden können, also Client-Access, Mailbox, Hub-Transport und bei Bedarf auch Unified Messaging. Ist ein Edge-Transport-Server in der DMZ geplant, muss diese Rolle zwingend auf einer eigenständigen Maschine installiert werden, eine Kombination mit den anderen vier Rollen ist nicht möglich.

1 2

INFO

Anzeigen der verschiedenen Serverrollen in der Exchange-Verwaltungskonsole Klicken Sie in der Exchange-Verwaltungskonsole auf den Menüpunkt Serverkonfiguration, werden Ihnen im Ergebnisbereich alle Exchange Server der Organisation mit den verschiedenen Rollen angezeigt (siehe Abbildung 3.1).

3 4 Abbildung 3.1: Anzeigen der Serverrollen in der Exchange-Verwaltungskonsole

5 6 7 8

Unterhalb des Menüpunktes Serverkonfiguration finden Sie die vier Serverrollen, die in einem internen Netzwerk installiert werden können. Klicken Sie auf einen dieser Menüpunkte, werden Ihnen die Server angezeigt, auf denen die entsprechende Rolle installiert ist.

9 10

Serverrollen während der Migration zu Exchange Server 2007 Migrieren Sie zu Exchange Server 2007, und setzen Sie dedizierte Server für die verschiedenen Rollen ein, sollten Sie die Migration in folgender Reihenfolge vornehmen:

1. 2. 3. 4.

11 12

Client-Access-Server (unter Exchange 2000/2003 Front-End-Server) Hub-Transport-Server Mailbox-Server (untere Exchange 2000/2003 Back-End-Server) Unified-Messaging-Server

13

Bei der Installation eines Edge-Transport-Servers während der Migration müssen Sie keine besondere Reihenfolge beachten, Sie können diese Server vor, während oder nach der Migration zu Exchange Server 2007 installieren. Migrieren Sie Exchange Server 2003-Front-End-Server zu Exchange Server 2007-ClientAccess-Servern, können Anwender, deren Postfächer noch auf Exchange Server 2003Back-End-Servern liegen, wie gewohnt auf deren Postfächer mit Outlook Web Access zugreifen.

14 15 INFO

133


3.1.1

Edge-Transport-Server und ADAM (Active Directory Application Mode)

ADAM ist eine Low-End-Variante von Active Directory. Es basiert auf der gleichen Technologie und unterstützt ebenfalls Replikation. Im Gegensatz zum Active Directory wird aber beispielsweise kein Kerberos für die Authentifizierung unterstützt. Mit ADAM können LDAP-Verzeichnisse für Anwendungen erstellt werden, die wiederum mit dem Active Directory synchronisiert werden und dieses auch für die Authentifizierung nutzen können. Es können mehrere ADAM-Instanzen parallel auf einem Server betrieben werden. ADAM ist eine Alternative zu den Application Directory Partitions im Active Directory. ADAM wurde für Organisationen, die eine flexible Unterstützung verzeichnisfähiger Anwendungen benötigen, entwickelt. ADAM ist ein LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll), der als Benutzerdienst und nicht als Systemdienst ausgeführt wird. Mit den ADAM-Services können Unternehmen zum Beispiel andere LDAP-Verzeichnisse in Testumgebungen oder der DMZ installieren, ohne auf Software eines Drittanbieters zurückgreifen zu müssen. Sie können ADAM im Internet auf der Seite http://www.microsoft.com/downloads/ details.aspx?displaylang=de&FamilyID=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4 herunterladen. Alternativ können Sie auch nach ADAM auf der Microsoft-Homepage suchen. Setzen Sie Windows Server 2003 R2 ein, ist ADAM bereits im Lieferumfang des Servers enthalten. Sie können ADAM über Systemsteuerung/Software/WindowsKomponenten hinzufügen/Active Directory-Dienste/Details/Active Directory-Anwendungsmodus installieren. Die Verwaltung von ADAM findet über die Programmgruppe Start/Programme/ADAM statt.

3.2

Active Directory-Standorte und Exchange Server 2007

Exchange Server 2007 kennt keine administrativen Gruppen und Routinggruppen mehr, sondern verwendet die Active Directory-Standorte der Gesamtstruktur. Aus diesem Grund gehört die Planung von Active Directory und Exchange zukünftig enger zusammengelegt als noch bei den Vorgängerversionen von Exchange Server 2007. Durch die Integration von Exchange Server 2007 in die Active Directory-Standorte verringert sich die Verwaltung von Exchange 2007-Servern. Exchange-Administratoren müssen daher zukünftig auch im Bereich der Active Directory-Replikation und -Standorte entsprechendes Wissen mitbringen. Im folgenden Abschnitt gehe ich auf die Erstellung und Verwaltung von Active Directory-Standorten ein. Die Fehlerbehebung zu diesem Bereich zeige ich Ihnen in Kapitel 16. Das Active Directory bietet die Möglichkeit, eine Gesamtstruktur in mehrere Standorte zu unterteilen, die durch verschiedene IP-Subnetze voneinander getrennt sind (siehe Abbildung 3.2). Durch diese physische Trennung der Standorte ist es nicht mehr notwendig, für jede Niederlassung eine eigene Domäne zu erstellen. An jedem Standort müssen zwar weiterhin Domänencontroller installiert werden, allerdings kann die Domäne von einem zentralen Standort aus verwaltet werden, von dem die Änderungen auf die einzelnen Standorte repliziert werden können.

134


Abbildung 3.2: Standorte im Active Directory

1 2

3 4 5 6 7 8

3.2.1

Konfiguration der Routingtopologie im Active Directory

9

Die Replikation zwischen verschiedenen Standorten im Active Directory läuft weitgehend automatisiert ab. Damit die Replikation aber stattfinden kann, müssen Sie zunächst die notwendige Routingtopologie erstellen. Installieren Sie später Exchange, werden automatisch Connectoren, basierend auf den verschiedenen Standorten, erstellt.

10 11

Bei der Erstellung der Routingtopologie fallen hauptsächlich folgende Aufgaben an, die auf den nächsten Seiten ausführlicher behandelt werden: ■ ■ ■ ■

12

Erstellen von Standorten in der Active Directory-Standortverwaltung. Erstellen von IP-Subnetzen und zuweisen an die Standorte. Erstellen von Standortverknüpfungen für die Replikation des Active Directory. Konfiguration von Zeitplänen und Kosten für die optimale Standort-Replikation.

13

Damit Sie die standortübergreifende Replikation von Active Directory verwenden können, müssen Sie in jedem Standort, an dem später ein Domänencontroller angeschlossen wird, ein unabhängiges IP-Subnetz verwenden. Dieses IP-Subnetz wird in der Active Directory-Verwaltung hinterlegt und dient fortan zur Unterscheidung der Standorte im Active Directory. Das wichtigste Verwaltungswerkzeug, um Standorte im Active Directory zu verwalten, ist das Snap-In Active Directory-Standorte und -Dienste (siehe Abbildung 3.3).

14 15

135


Voraussetzungen für eine Routingtopologie Die Standorte müssen mit WAN-Leitungen angebunden werden. Dazu ist es nicht unbedingt notwendig, dass jeder Standort mit der Zentrale durch eine Sterntopologie angebunden ist. Die Replikation im Active Directory ermöglicht auch die Anbindung von Standorten, die zwar mit anderen Standorten verbunden sind, aber nicht mit der Zentrale. In jedem Standort sollten darüber hinaus ein oder mehrere unabhängige IP-Subnetze verwendet werden. Das Active Directory unterscheidet auf Basis dieser IP-Subnetze, ob Domänencontroller zum gleichen oder zu unterschiedlichen Standorten gehören. Auf dieser Basis werden in Exchange Server 2007 auch E-Mails geroutet, die entsprechenden Connectoren werden automatisch angelegt.

Erstellen von neuen Standorten im Snap-In Active Directory-Standorte und -Dienste Sobald die Voraussetzungen für die Routingtopologie vorhanden sind, sollten Sie die einzelnen physischen Standorte im Snap-In Active Directory-Standorte und -Dienste erstellen. Öffnen Sie das Snap-In, wird unterhalb des Menüpunktes Sites der erste Standort als Standardname-des-ersten-Standortes bezeichnet. Im ersten Schritt sollten Sie für diesen Standardnamen einen richtigen Namen eingeben, indem Sie ihn mit der rechten Maustaste anklicken und Umbenennen wählen. Sie müssen die Domänencontroller im Anschluss nicht neu starten, der Name wird sofort aktiv. Als Nächstes können Sie alle notwendigen Standorte erstellen, an denen Sie Domänencontroller installieren wollen. Klicken Sie dazu mit der rechten Maustaste im Snap-In auf den Menüpunkt Sites und wählen aus dem Menü die Option Neuer Standort aus (siehe Abbildung 3.3). Abbildung 3.3: Erstellen eines neuen Standortes

Es öffnet sich ein neues Fenster, in dem Sie den Namen des Standortes sowie die Standortverknüpfung, die diesem Standort zugewiesen werden soll, auswählen können. Standardmäßig gibt es bereits die Verknüpfung DEFAULTIPSITELINK. Verwenden Sie bei der Erstellung eines neuen Standortes zunächst diese Standortverknüpfung (siehe Abbildung 3.4). Später werden in diesem Abschnitt noch neue Standortverknüpfungen erstellt und den einzelnen Standorten zugewiesen.

136


Abbildung 3.4: Erstellen eines neuen Standortes und Festlegen der Standortverknüpfung

1 2

3 4 5 Bestätigen Sie die Erstellung mit OK, erhalten Sie eine Meldung, welche Aufgaben nach der Erstellung noch notwendig sind (siehe Abbildung 3.5). Bestätigen Sie diese Meldung, damit der Standort erstellt wird.

6 Abbildung 3.5: Meldung bei der Erstellung eines neuen Standortes

7 8 9 10

Sobald diese Meldung bestätigt wird, erscheint der neue Standort im Snap-In. Legen Sie auf die gleiche Weise alle Standorte in Ihrer Gesamtstruktur an.

11

Nur Mitglieder der Gruppe Organisations-Admins dürfen neue Standorte im Active Directory erstellen.

12 INFO

Erstellen und Zuweisen von IP-Subnetzen

13

Haben Sie die Standorte erstellt, an denen Domänencontroller installiert werden sollen, müssen Sie IP-Subnetze anlegen und diese dem jeweiligen Standort zuweisen.

14

Um ein neues Subnetz zu erstellen, klicken Sie mit der rechten Maustaste im SnapIn Active Directory-Standorte und -Dienste auf den Menüpunkt Subnets und wählen aus dem Menü Neues Subnetz aus (siehe Abbildung 3.6).

15

137


Abbildung 3.6: Erstellen eines neuen IP-Subnetzes in der Active Directory-Verwaltung

Es öffnet sich ein neues Fenster, in dem Sie das IP-Subnetz definieren und dem jeweiligen Standort zuweisen können (siehe Abbildung 3.7). Haben Sie das Subnetz erstellt und die Erstellung mit OK bestätigt, wird es unterhalb des Menüs Subnets angezeigt. Wiederholen Sie diesen Vorgang für jedes Subnetz in Ihrem Unternehmen. Auch IPSubnetze, in denen keine Domänencontroller installiert sind, in denen aber unter Umständen Mitgliedsrechner liegen, die sich bei dem Domänencontroller anmelden, sollten Sie an dieser Stelle anlegen und dem entsprechenden Standort zuweisen. Abbildung 3.7: Anlegen neuer Subnetze

Klicken Sie den Menüpunkt Subnets an, werden Ihnen auf der rechten Seite alle IPSubnetze und die ihnen zugewiesenen Standorte angezeigt (siehe Abbildung 3.8).

138


Abbildung 3.8: Anzeigen der angelegten IP-Subnetze in der Active Directory-Verwaltung

1 2

3 Die Zuweisung des Subnetzes zu einem bestimmten Standort kann jederzeit über dessen Eigenschaften geändert werden. Sie können auch nachträglich Standorte erstellen und neue Subnetze vorhandenen Standorten zuweisen.

4

Erstellen von Standortverknüpfungen

5

Haben Sie Standorte und IP-Subnetze erstellt, können Sie neue Standortverknüpfungen anlegen.

6

Bei der Installation von Active Directory wird bereits automatisch die Standortverknüpfung DEFAULTIPSITELINK angelegt. Für viele Unternehmen reicht diese Verknüpfung bereits aus. Setzen Sie in Ihrem Unternehmen verschiedene Bandbreiten der WAN-Leitungen ein, macht es Sinn, auch verschiedene Standortverknüpfungen zu erstellen. Sie können auf Basis jeder Standortverknüpfung einen Zeitplan festlegen, wann die Replikation möglich ist.

7

Standortverknüpfungen können auf Basis von IP oder SMTP erstellt werden. SMTP hat starke Einschränkungen bei der Replikation und wird nur selten verwendet. Sie sollten daher auf das IP-Protokoll setzen, über das von Active Directory alle Daten repliziert werden können.

9

8

Um eine neue Standortverknüpfung zu erstellen, klicken Sie mit der rechten Maustaste auf den Menüpunkt IP unterhalb des Menüs Inter-Site Transports (siehe Abbildung 3.9).

10

Abbildung 3.9: Erstellen einer neuen Standortverknüpfung

11 12 13 14 15

Wählen Sie aus dem Menü die Option Neue Standortverknüpfung aus. Den Menüpunkt Neue Standortverknüpfungsbrücke benötigen Sie an dieser Stelle nicht. 139


Standortverknüpfungsbrücken werden verwendet, wenn zwischen zwei Standorten keine physische Verbindung besteht, aber beide über einen dritten Standort angebunden sind. Standortverknüpfungsbrücken werden automatisch erstellt. Sie müssen diese nur dann manuell erstellen, wenn Sie den Automatismus deaktivieren. Diese automatische Erstellung können Sie deaktivieren, wenn Sie die Eigenschaften des Menüpunktes IP unterhalb des Menüs Inter-Site Transports aufrufen und die Option Brücke zwischen allen Standortverknüpfungen herstellen deaktivieren (siehe Abbildung 3.10). Abbildung 3.10: Automatische Erstellung von Standortverknüpfungsbrücken

Sie sollten die automatische Erstellung von Standortverknüpfungsbrücken nicht deaktivieren. INFO

Haben Sie die Erstellung einer neuen Standortverknüpfung gewählt, erscheint das Fenster, in dem Sie die Bezeichnung der Standortverknüpfung sowie die Standorte eingeben (siehe Abbildung 3.11). Wählen Sie den Namen der Standortverknüpfung so, dass bereits durch die Bezeichnung der Standortverknüpfung darauf geschlossen werden kann, welche Standorte miteinander verbunden sind, zum Beispiel Berlin Stuttgart. In diesem Fenster können Sie auswählen, welche Standorte mit dieser Standortverknüpfung verbunden werden. Ein Standort kann Mitglied mehrerer Standortverknüpfungen sein. Die Replikation findet immer über die Standortverknüpfung statt, deren konfigurierte Kosten am geringsten sind. Haben Sie den Namen der neuen Standortverknüpfung und deren Mitglieder festgelegt, können Sie mit OK die Erstellung abschließen.

140


Abbildung 3.11: Erstellen einer neuen Standortverknüpfung

1 2

3 4 5 6 Klicken Sie das Protokoll IP an, werden auf der rechten Seite alle erstellten Standortverknüpfungen angezeigt (siehe Abbildung 3.12).

7 Abbildung 3.12: Anzeigen der Standortverknüpfungen

8 9 10 11

Haben Sie die Standortverknüpfung erstellt, können Sie die Eigenschaften der Verknüpfung im Snap-In Active Directory-Standorte und -Dienste anpassen.

12

Rufen Sie die Eigenschaften einer Standortverknüpfung auf, können Sie einige Optionen ändern (siehe Abbildung 3.13). Auf der Registerkarte Allgemein können Sie zunächst festlegen, in welchem Intervall die Informationen zwischen den Standorten repliziert werden sollen. Standardmäßig ist die Replikation auf alle drei Stunden sowie die Kosten sind auf 100 eingestellt. Die Active Directory-Replikation verwendet immer die Standortverknüpfungen, deren Kosten bei der Verbindung am günstigsten sind.

13 14

Klicken Sie auf die Schaltfläche Zeitplan ändern, können Sie festlegen, zu welchen Zeiten die Replikation über diese Standortverknüpfung möglich ist. Sie können zum Beispiel für Niederlassungen mit schmalbandiger Verbindung die Replikation nur außerhalb der Geschäftszeiten oder am Wochenende zulassen (siehe Abbildung 3.14). Die Replikationsdaten des Active Directory werden zwischen verschiedenen Standorten komprimiert.

15

141


Abbildung 3.13: Eigenschaften einer Standortverknüpfung

Abbildung 3.14: Konfiguration der Active DirectoryReplikation

3.2.2

Zuweisen der Domänencontroller zu den Standorten

Haben Sie die Routingtopologie erstellt, werden neu installierte Domänencontroller durch ihre IP-Adresse automatisch dem richtigen Standort zugewiesen. Bereits installierte Domänencontroller müssen Sie jedoch manuell an den richtigen Standort verschieben. Klicken Sie dazu den Server im Snap-In Active DirectoryStandorte und -Dienste mit der rechten Maustaste an, und wählen Sie aus dem Kontextmenü die Option Verschieben aus. Dann werden Ihnen alle Standorte angezeigt, und Sie können den neuen Standort des Domänencontrollers auswählen (siehe Abbildung 3.15).

142


Haben Sie den Domänencontroller an einen anderen Standort verschoben, sollten Sie den Server neu starten. Sie können einen Domänencontroller auch mit Drag&Drop an einen anderen Standort verschieben. Achten Sie vor dem Verschieben des Domänencontrollers darauf, dass die IP-Einstellungen des Servers zu den zugewiesenen IP-Subnetzen des neuen Standortes passen.

1 Abbildung 3.15: Verschieben eines Domänencontrollers an einen anderen Standort

2

3 4 5 6

3.2.3

Der Knowledge Consistency Checker (KCC) 7

Haben Sie die Routingtopologie wie beschrieben erstellt, kann der KCC die Verbindung der Domänencontroller automatisch herstellen. Der KCC konfiguriert auf Basis der konfigurierten Standorte, der Standortverknüpfungen und von deren Zeitplänen und Kosten sowie den enthaltenen Domänencontrollern automatisch die Active Directory-Replikation.

8

Der KCC läuft vollkommen automatisch auf jedem Domänencontroller der Gesamtstruktur. Sind zwei Standorte nicht durch Standortverknüpfungen verbunden, erstellt er automatisch Standortverknüpfungsbrücken, wenn eine Verbindung über einen dritten Standort hergestellt werden kann.

9 10

Der KCC verbindet nicht jeden Domänencontroller mit jedem anderen, sondern erstellt eine intelligente Topologie. Er überprüft die vorhandenen Verbindungen alle 15 Minuten auf ihre Funktionalität und ändert bei Bedarf automatisch die Replikationstopologie.

11

Innerhalb eines Standortes erstellt der KCC möglichst eine Ringtopologie, wobei zwischen zwei unterschiedlichen Domänencontrollern maximal drei andere Domänencontroller stehen sollten.

12

Zwischen verschiedenen Standorten werden die Active Directory-Daten nicht von allen Domänencontrollern auf die anderen Domänencontroller der Standorte übertragen, sondern immer jeweils nur von einem Domänencontroller. Dieser Domänencontroller, auch Brückenkopfserver (Bridgeheadserver) genannt, repliziert sich mit den Bridgeheadservern der anderen Standorte automatisch. Der KCC legt automatisch fest, welche Domänencontroller in einer Niederlassung zum Bridgeheadserver konfiguriert werden, Sie müssen keine Eingaben oder Maßnahmen vornehmen.

13 14 15

Die Auswahl der Bridgeheadserver in einem Standort übernimmt der Intersite Topology Generator (ISTG), ein Dienst, der zum KCC gehört. Der KCC wiederum legt für jeden Standort fest, welcher Domänencontroller der ISTG sein soll.

143


Klicken Sie einen Standort im Snap-In Active Directory-Standorte und -Dienste an, wird auf der rechten Seite der Menüpunkt NTDS Site Settings angezeigt. Rufen Sie die Eigenschaften dieses Menüpunktes auf, wird Ihnen im Bereich Standortübergreifende Topologie erstellen der derzeitige ISTG angezeigt (siehe Abbildung 3.16). Abbildung 3.16: Anzeigen des ISTG eines Standortes

Standardmäßig überprüft der KCC automatisch alle 15 Minuten die Funktionalität der Routingtopologie. Haben Sie Änderungen an der Routingtopologie durchgeführt, besteht die Möglichkeit, die Routingtopologie sofort erstellen zu lassen. Am besten kann die Routingtopologie vom derzeitigen ISTG-Rolleninhaber aus überprüft werden. Gehen Sie dazu folgendermaßen vor:

1. 2. 3. 4.

Öffnen Sie das Snap-In Active Directory-Standorte und -Dienste. Navigieren Sie zu dem Standort, von dem aus Sie die Überprüfung starten wollen. Klicken Sie auf das Pluszeichen des derzeitigen ISTG-Rolleninhabers des Standortes. Klicken Sie mit der rechten Maustaste auf den Menüpunkt NTDS-Settings und wählen aus dem Menü Alle Aufgaben/Replikationstopologie überprüfen (siehe Abbildung 3.17).

Die Überprüfung dauert einige Zeit, abhängig von der Anzahl der Standorte und Domänencontroller. Alle Verbindungen werden überprüft und gegebenenfalls neu erstellt. Sie erhalten eine entsprechende Meldung (siehe Abbildung 3.18).

144


Abbildung 3.17: Manuelles Starten der Routingtopologie

1 2

3 4 Abbildung 3.18: Meldung der manuellen Überprüfung der Replikation

5 6

3.2.4

Starten der manuellen Replikation

7

Sie können die Replikation zwischen zwei Domänencontrollern jederzeit manuell starten. Die Verbindungen, die der KCC erstellt hat, werden als angezeigt (siehe Abbildung 3.19).

8

Klicken Sie eine solche Verbindung mit der rechten Maustaste an, können Sie die Replikation zu diesem Server mit der Option Jetzt replizieren sofort ausführen.

9 Abbildung 3.19: Manuelle Replikation der Active Directory-Verbindungen

10 11 12 13 14

Starten Sie die Replikation zu einem Domänencontroller, der in einem anderen Standort sitzt, wird die Replikation allerdings nicht sofort durchgeführt, sondern erst zum nächsten Zeitpunkt, den der Zeitplan zulässt.

15

Bevor die Daten repliziert werden, stellt der Domänencontroller zunächst sicher, ob er eine Verbindung zu dem Domänencontroller herstellen kann, zu dem die Daten repliziert werden. Kann mit dem Replikationspartner erfolgreich kommuniziert werden, erhalten Sie eine entsprechende Erfolgsmeldung (siehe Abbildung 3.20). 145


Abbildung 3.20: Erfolgreiche Replikation

Kann der Replikationspartner nicht erreicht werden, erhalten Sie eine Fehlermeldung.

3.3

Systemdienste von Exchange Server 2007

Bei Exchange Server 2007 gibt es einige neue Dienste, während Dienste von Exchange 2000 und 2003 weggefallen sind. Im folgenden Abschnitt gehe ich ausführlicher auf die einzelnen Systemdienste von Exchange Server 2007 ein. Sie finden die Dienste am schnellsten über Start/Ausführen/services.msc (siehe Abbildung 3.21). Abbildung 3.21: Anzeigen der Systemdienste von Exchange Server 2007

Abhängig von den installierten Rollen werden nicht immer alle Dienste installiert oder gestartet. Im folgenden Abschnitt gehe ich auch darauf ein, welche Dienste auf welchen Serverrollen gestartet sein müssen. ■ ■

146

Microsoft Exchange-Antispamaktualisierung – Dieser Dienst ist für den Download der Antispam-Definitionen notwendig (siehe Kapitel 13). Microsoft Exchange Active Directory-Topologiedienst – Da Exchange Server 2007 stärker mit den Active Directory-Standorten zusammenarbeitet als seine Vorgängerversionen, wurde ein neuer Dienst benötigt, der für die Synchronisierung der Daten mit dem Active Directory zuständig ist. Dieser Dienst hat keine Abhängigkeiten und läuft auf allen Servern mit den Rollen Mailbox, ClientAccess, Hub-Transport und Unified Messaging.

Systemdienste von Exchange Server 2007

■

■

■

■

■

■

■

■ ■

Microsoft Exchange EdgeSync – Dieser Dienst dient zur Synchronisation von Daten mit eventuell vorhandenen Edge-Transport-Servern. Dieser Dienst spielt im Bereich des Spamschutzes eine Rolle, da hierüber auch die Daten der Empfänger mit Outlook synchronisiert werden, welche die vertrauten Absender betreffen. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig und auch für die Synchronisierung von ADAMDaten per LDAP zwischen Edge-Transport-Servern und Hub-Transport-Servern zuständig. Der Dienst läuft ausschließlich auf Servern mit der Rolle Hub-Transport. Microsoft Exchange-Dateiverteilung – Dieser Dienst läuft auf Servern mit der Client-Access-Server-Rolle und ist dafür zuständig, den Inhalt des OfflineAdressbuches von dem Exchange Server zu replizieren, der für die Erstellung des Offline-Adressbuches zuständig ist. Der Dienst läuft auf Servern mit den Rollen Client-Access und Unified Messaging. Microsoft Exchange IMAP4 und Microsoft Exchange POP3 – Diese Dienste steuern den Zugriff von Benutzern über das POP3- oder IMAP-Protokoll auf den Servern. Outlook verwendet zum Zugriff MAPI und liest demnach direkt den Informationsspeicher. Sollen Anwender auch per IMAP oder POP3 auf Ihre Postfächer zugreifen können (zum Beispiel über das Internet), werden diese beiden Dienste benötigt. Diese Dienste werden ausschließlich auf Client-Access-Servern (CAS) benötigt. Microsoft Exchange Mailübergabe – Dieser Dienst ist dafür zuständig, E-Mails von Mailbox-Servern zu Hub-Transport-Servern zu transportieren. Hub-Transport-Server transportieren dann die E-Mails zu den jeweiligen Hub-TransportServern im Active Directory-Standort des Empfängers. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig. Der Dienst läuft auf Servern mit der Rolle Mailbox. Microsoft Exchange-Postfach-Assistenten – Dieser Dienst stellt verschiedene Funktionen für Kalender und die Planung von Ressourcen für Besprechungsanfragen bereit. Er wird auch für den Abwesenheits-Assistenten benötigt. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig. Der Dienst läuft auf Servern mit der Rolle Mailbox. Microsoft Exchange Replikationsdienst – Dieser Dienst wird für die fortlaufende lokale Sicherung (Local Continuous Replication, LCR) benötigt. Dieser Dienst ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig. Der Dienst läuft auf Servern mit der Rolle Mailbox. Ist dieser Dienst nicht gestartet, werden keine Daten mehr für LCR expliziert (siehe Kapitel 6). Microsoft Search (Exchange) – Dieser Dienst verwaltet die Indizierung auf dem Server sowie die Suche nach E-Mails. Verwenden Sie keine Indizierung, benötigen Sie diesen Dienst nicht. Haben Sie jedoch die Indizierung einzelner Informationsspeicher aktiviert, steht der Index lediglich dann zur Verfügung, wenn dieser Dienst gestartet ist. Der Dienst läuft auf Servern mit der Rolle Mailbox. Microsoft Exchange-Suchindizierung – Dieser Dienst ist für die Indizierung der Postfachspeicherdatenbanken zuständig. Microsoft Exchange-Transport – Dieser Dienst stellt den SMTP-Server des Exchange Servers zur Verfügung und ist für den Transport-Stack des Servers zuständig. Der Dienst läuft auf Servern der Rolle Hub-Transport und EdgeTransport. Beenden Sie den Dienst, ist der Server über Port 25 nicht mehr erreichbar.

1 2

3 4 5 6 7 8 9 10 11 12 13 14 15

147


■

■

■

■

■

■

■

■

■

Microsoft Exchange Transportprotokollsuche – Dieser Dienst wird für die Nachrichtenverfolgung (Message Tracking) und das Durchsuchen der Protokolle für den Nachrichtenversand zuständig (nicht verwechseln mit den Transaktionsprotokollen der Datenbank). Der Dienst läuft auf Servern mit den Rollen Mailbox, Hub-Transport und Edge-Transport. Microsoft Exchange-Diensthost – Dieser Dienst ist für das virtuelle RPC-Verzeichnis im IIS zuständig und damit für die Outlook Anywhere-Funktionalität (RPC über HTTP) von Exchange Server 2007 (siehe Kapitel 9). Der Dienst läuft auf Servern mit den Rollen Mailbox und Client-Access. Microsoft Exchange-Informationsspeicher – Der Informationsspeicher ist für die Verbindung zu den Exchange-Datenbanken zuständig. Er ermöglicht den Benutzern Zugriff auf den Postfachspeicher und den Speicher für die öffentlichen Ordner. Ohne diesen Dienst ist kein Zugriff auf die Postfächer der Benutzer möglich. Er wird nur auf Mailbox-Servern benötigt. Microsoft Exchange-Systemaufsicht – Dieser Dienst ist für die Überwachung und Verwaltung von Exchange Server 2007 zuständig. Außerdem koordiniert dieser Dienst die Active Directory-Abfragen der verschiedenen Systemdienste von Exchange Server 2007. Der Dienst wird auf Mailbox-Servern benötigt. Microsoft Exchange-Überwachung – Dieser Dienst stellt den RPC-Server für die in Kapitel 2 beschriebenen CMDlets zur Verfügung, die für die Diagnose verwendet werden. Dieser Dienst läuft auf allen Serverrollen. Microsoft Exchange ADAM – Dieser Dienst ist auf Edge-Transport-Servern für die Synchronisierung der Active Directory-Daten mit dem ADAM auf dem EdgeTransport-Server zuständig. Dieser Dienst verwaltet die ADAM-Instanz, die während der Installation eines Edge-Transport-Servers automatisch angelegt wird. Microsoft Exchange Credential Service – Dieser Dienst ist für die Anmeldedaten zuständig, die zwischen ADAM und den Edge-Transport-Servern synchronisiert werden müssen. Er läuft nur auf Edge-Transport-Servern. Microsoft Exchange Speech Engine – Dieser Dienst wird auf Unified-MessagingServern benötigt. Er ist für die Verwendung der Outlook Voice Access-Funktion (OVA) notwendig. Microsoft Exchange-Unified Messaging – Dieser Dienst stellt die Unified-Messaging-Funktionen bereit. Er routet eingehende Faxe und Sprachnachrichten in die Postfächer der Anwender. Der Dienst läuft nur auf Unified-Messaging-Servern und ist von den beiden Diensten Microsoft Exchange Active Directory Topologiedienst und Microsoft Exchange Speech Engine abhängig.

3.4

Verzeichnisstruktur von Exchange Server 2007

Auch wenn die verschiedenen Verzeichnisse von Exchange Server 2007 nicht ständig zur Verwaltung benötigt werden, sollten Administratoren zumindest oberflächlich die Funktion der einzelnen Unterordner im Exchange Server 2007-Installationsverzeichnis kennen. Ich komme in den einzelnen Kapiteln dieses Buches noch auf das eine oder andere Verzeichnis zu sprechen. Im folgenden Abschnitt gehe ich auf die wichtigsten Verzeichnisse ein. Standardmäßig wird Exchange Server 2007 im Verzeichnis C:\Programme\Microsoft\Exchange Server installiert. Sie können das Installationsverzeichnis jedoch frei 148


wählen. Unabhängig vom Installationsverzeichnis gibt es Unterordner mit verschiedenen Funktionen. Die Verzeichnisstruktur wurde im Vergleich zu Exchange 2000/2003 deutlich verändert (siehe Abbildung 3.22). Abbildung 3.22: Exchange Server 2007-Verzeichnisstruktur

1 2

3 4

■

■

5

\bin – In diesem Verzeichnis werden die Verwaltungsprogramme und Zusatzprogramme von Exchange Server 2007 gespeichert. Hier finden Sie die ausführenden Dateien und wichtigsten Programme sowie die Systemdateien von Exchange Server 2007. \ClientAccess – In diesem Verzeichnis befindet sich die Konfiguration der ClientAccess-Rolle eines Exchange Servers. Dieses Verzeichnis spielt nur auf ClientAccess-Servern eine Rolle. In diesem Verzeichnis befinden sich zum Beispiel die notwendigen Ordner für die Autodiscover-Funktion von Outlook 2007 und die Verzeichnisse OWA, Exchweb sowie POPImap und Sync (siehe Abbildung 3.23). Diese Verzeichnisse enthalten dann wiederum die Installations- und Konfigurationsdateien der entsprechenden Funktion.

6 7 8 Abbildung 3.23: Verzeichnis ClientAccess auf ClientAccess-Servern

9 10 11

■

■

12

\Logging – In diesem Verzeichnis befinden sich verschiedene Logdateien von Exchange Server 2007, allerdings nicht die Transaktionsprotokolle der Datenbank (siehe Kapitel 6). Die Transaktionsprotokolle werden im Verzeichnis Mailbox abgelegt. \Mailbox – Dieses Verzeichnis enthält alle wichtigen Dateien, die zur ExchangeDatenbank gehören. Dieses Verzeichnis spielt hauptsächlich auf Mailbox-Servern eine Rolle. In diesem Verzeichnis liegen die Transaktionsprotokolle und die restlichen Dateien der Exchange-Datenbanken (siehe Abbildung 3.24). Hier finden Sie auch die *.dll-Dateien für die Erstellung von E-Mail-Adressen. Dort werden auch die Daten des Offline-Adressbuches gespeichert. In diesem Verzeichnis liegen weiterhin die Daten und Konfigurationen der öffentlichen Ordner.

13 14 15

149


Abbildung 3.24: Mailbox-Verzeichnis auf MailboxServern

■

■ ■

Abbildung 3.25: XML-Dateien für die Konfiguration von Exchange Server 2007

150

\Public – In diesem Verzeichnis liegen keine Daten von öffentlichen Ordnern, sondern die XML-Dateien und Treiber, die von Hub-Transport- und Edge-Transport-Servern benötigt werden, um E-Mails zu versenden. Aus diesem Grund spielt dieses Verzeichnis nur auf Hub-Transport- und Edge-Transport-Servern eine Rolle. \Scripts – Dieses Verzeichnis enthält die Skripte, welche die Exchange-Verwaltungsshell für automatisierte Aufgaben verwendet. \Setup – Dieses Verzeichnis enthält die beiden Unterordner Data und Perf. Diese Ordner enthalten wiederum notwendige XML-Dateien, die für die Konfiguration von Exchange Server 2007 benötigt werden.


■

■

TransportRoles – Dieses Verzeichnis enthält die Unterordner Agent, data, Logs, Pickup, Replay und Shared. Die beiden Verzeichnisse Pickup und Shared werden für den E-Mail-Versand benötigt. Alle Logdateien, die den E-Mail-Fluss von Hub-Transport- oder Edge-Transport-Servern betreffen, werden im Verzeichnis Logs gespeichert. Im Verzeichnis Data werden die Daten der IP-Filter-Datenbank und der Warteschlangen (siehe Kapitel 5 und 13) gespeichert. Ich gehe auf das Verzeichnis am Ende dieses Abschnitts noch ausführlicher ein, da gerade hier ein zentraler Punkt für den Nachrichtenfluss in Exchange Server 2007 liegt. Das Verzeichnis zur Verwaltung der Warteschlangen wird in Kapitel 5 besprochen, die Nachrichtenfilterung in Kapitel 13. Unified Messaging – Diese Daten enthalten die Daten für die Konfiguration der Unified-Messaging-Rolle, der Spracherkennung und einige Skripte. Hier werden auch die Sprachnachrichten abgespeichert.

1 2

3 4 Abbildung 3.26: Verzeichnis TransportRoles in Exchange Server 2007

5 6 7 8

Die Verzeichnisse Pickup und Replay für den Nachrichtenfluss verwalten Die beiden wichtigsten Verzeichnisse unterhalb des Exchange-Verzeichnisses TransportRoles sind Pickup und Replay.

9

Das Pickup-Verzeichnis für selbst erstellte E-Mails verwenden

10

Legen Sie speziell formatierte E-Mail-Nachrichten als Dateien im Pickup-Verzeichnis ab, werden diese durch Exchange Server 2007 automatisch zugestellt. Diese Funktion können vor allem Administratoren zu Testzwecken, aber auch Applikationen verwenden, die E-Mail-Nachrichten über Exchange versenden wollen. Die Nachrichten werden als *.eml-Datei in das Pickup-Verzeichnis kopiert. Nach dem Kopiervorgang werden folgende Prozesse abgewickelt:

1.

2.

11 12

Exchange Server 2007 überprüft alle fünf Sekunden, ob sich im Pickup-Verzeichnis eine *.eml-Datei befindet. Dieses Intervall kann nicht verändert werden. Standardmäßig kann Exchange bis zu 100 Nachrichten pro Minute aus diesem Verzeichnis verwalten. Sie können diesen Grenzwert in der ExchangeVerwaltungsshell über den Befehl Set-TransportServer anpassen. Im Anschluss überprüft Exchange, ob die Grenzwerte für Nachrichten in diesem Verzeichnis eingehalten worden sind, zum Beispiel maximale Empfänger und Größe des E-Mail-Headers. Auch diese Grenzwerte können über den Befehl SetTransportServer steuern.

13 14 15

151


3. Als Nächstes wird die aktuell verarbeitete *.eml-Datei in eine *.tmp-Datei

4.

umbenannt. Teilweise wird den Namen auch noch die aktuelle Zeit und das Datum angehängt, wenn bereits eine identische *.tmp-Datei existiert. Die Datei kann an dieser Stelle nicht mehr manuell gelöscht werden, sie wird durch das System gesperrt. Als Nächstes wird die Nachricht versendet und die *.tmp-Datei gelöscht. Wird der Dienst Microsoft Exchange-Transport während eines solchen Vorgangs neu gestartet, werden alle *.tmp-Dateien wieder in *.eml-Dateien umbenannt, und der Prozess beginnt von vorne. Dieser Effekt kann in doppelt zugestellten E-Mail-Nachrichten resultieren.

Damit die Nachrichten über das Pickup-Verzeichnis zugestellt werden können, müssen die *.eml-Dateien entsprechende Voraussetzungen erfüllen: ■ ■ ■ ■ ■

Die Nachricht muss als Textdatei dem SMTP-Format entsprechen (siehe Listing 3.1). Die Datei muss zwingend die Endung *.eml haben. Es muss mindestens ein Absender im from:-Bereich der Datei existieren (siehe auch Kapitel 5). Es muss mindestens ein Empfänger im To:-, CC:- oder BCC:-Bereich hinterlegt sein. Es muss eine Leerzeile zwischen Header und E-Mail-Body (dem Text der E-Mail) existieren.

Beispiel für eine Nachricht im Pickup-Verzeichnis: Listing 3.1: Beispiel einer *.eml-Datei zum Versenden über das Pickup-Verzeichnis CODE

To: [email protected] From: [email protected] Subject:Testnachricht Das ist der E-Mail-Body mit dem Text.

Auch MIME-Nachrichten können im Verzeichnis abgelegt werden (siehe Listing 3.2). Diese Nachrichten werden dann allerdings eher von Applikationen erstellt, da sich diese nicht für Testzwecke eignen. Was ist MIME? In den Anfangszeiten des Internets bestand eine E-Mail nur aus einfachem Text im ASCII-Format. In der Zwischenzeit ist aber das Internet immer mehr gewachsen, und der Wunsch, Texte mit Sonderzeichen, Umlauten usw. zu verschicken, kam immer mehr auf. Auch möchte man sich nicht auf das Versenden von Text beschränken, sondern auch Grafiken, Audiofiles oder binäre Dateien versenden können. Für genau diese Zwecke wurde die MIME(Multipurpose Internet Mail Extension)-Spezifikation festgelegt. Die MIME-Spezifikation ergänzt den vorhandenen Standard um erweiterte Strukturen im Nachrichtentext und mit einer Definition zur Codierung von ASCIIfremden Nachrichten. MIME ist ein Protokoll, das ursprünglich dazu gedacht war, per E-Mail verschickte Dateien anhand ihrer Dateierweiterung zu erkennen und vor dem Verschicken mittels eines Headers zu kennzeichnen, um sie dann beim Empfänger mit der richtigen Software darzustellen oder wiederzugeben.

152


Beispiel einer MIME-Datei im Pickup-Verzeichnis: Listing 3.2: Beispiel einer MIME-Datei To: [email protected] From: [email protected] Subject: Message subject MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 7bit

cell 1 cell 2

cell 3 cell 4

1

CODE

2

3 4

Kann eine Nachricht aus dem Pickup-Verzeichnis nicht zugestellt werden, bleibt die *.eml-Datei im Verzeichnis erhalten, und es werden entsprechende Meldungen in der Ereignisanzeige im Anwendungsprotokoll protokolliert.

5

Die Funktion des Replay-Verzeichnisses Im Replay-Verzeichnis werden E-Mails abgelegt, die von Connectoren von Drittherstellern kommen oder in Exchange Server 2007 importiert wurden, um sie über den Server zu versenden. Grundsätzlich bietet aber das Replay-Verzeichnis die gleichen Funktionen, und auch der Prozess für das Versenden von E-Mails ist identisch zum Pickup-Verzeichnis.

6 7 8 9 10 11 12 13 14 15

153

Inhalt 1 2 3

4 5

4

Installation und Anpassung

6

In Kapitel 2 habe ich Ihnen bereits gezeigt, wie Sie Exchange Server 2007 in einer Testumgebung installieren. In Kapitel 4 gehe ich ausführlicher auf die Installation mit allen dazugehörigen Aufgaben und Aktionen ein. Da ein Edge-Transport-Server nur getrennt von anderen Rollen installiert werden kann und bei der Installation auch die Konfiguration von ADAM durchgeführt werden muss, fasse ich die Installation und die Konfiguration eines Edge-Transport-Servers in Kapitel 5 zu einem eigenen Abschnitt zusammen.

7 8 9

4.1

10

TIPP

Voraussetzungen für die Installation

11

Bevor Sie in einer Gesamtstruktur Exchange Server 2007 installieren, sollten Sie natürlich zunächst sicherstellen, dass die Grundvoraussetzungen der Gesamtstruktur und der Domäne für die Installation von Exchange Server 2007 getroffen wurden. Im folgenden Abschnitt gehe ich ausführlich auf die einzelnen Voraussetzungen ein und wie Sie diese vor der Installation abprüfen und sicherstellen können. Durch die gemeinsame Nutzung des Active Directory von Windows Server 2003/2008 und Exchange Server 2007 definiert die Grenze der Active Directory-Gesamtstruktur (Forest) die Exchange Server 2007-Organisation. Es ist nicht möglich, dass eine Active Directory-Gesamtstruktur (Forest) mehrere unterschiedliche Exchange Server 2007Organisationen oder eine Exchange Server 2007-Organisation mehrere Gesamtstrukturen (Forests) umfasst.

12 13 14

INFO

15

155

Index

Lesen Sie sich vor der Installation auch die Installationsanleitung zum Service Pack 1 für Exchange Server 2007 im Kapitel 2 durch. Die Anleitungen für die Testumgebung gelten natürlich auch für den produktiven Einsatz.


Voraussetzungen an die Infrastruktur ■ Auf dem Domänencontroller, der die Funktion des Schemamasters verwaltet (siehe nächster Abschnitt), muss mindestens Windows Server 2003 mit SP1 installiert sein. ■ An jedem Standort im Active Directory muss ein globaler Katalogserver installiert sein. Dieser Server muss außerdem mit Windows Server 2003 SP1 installiert sein. ■ Jede Domäne, in der ein Exchange Server 2007 installiert wird oder in der sich Exchange Server 2007-Empfänger befinden, muss sich mindestens im Betriebsmodus Windows 2000 pur befinden. ■ Setzen Sie im Unternehmen mehrere Gesamtstrukturen ein und wollen Sie Exchange Server 2007 mit erweiterten Möglichkeiten nutzen, müssen Sie zwischen den Gesamtstrukturen gesamtstrukturübergreifende Vertrauensstellungen einrichten. Delegieren Sie zum Beispiel Berechtigungen über Gesamtstrukturen hinweg oder wollen Sie die Frei-/Gebucht-Zeiten replizieren, müssen Sie die Gesamtstrukturen miteinander verbinden. ■ Es dürfen keinerlei Exchange 5.5-Server mehr in der Organisation vorhanden sein, und die Exchange 2000- oder 2003-Organisation muss sich im einheitlichen Modus befinden. Voraussetzungen an den Server ■ Auf dem Server darf kein NNTP und kein SMTP installiert sein, diese Funktionen werden durch Exchange Server 2007 nicht mehr benötigt, da der Server diese selbst mitbringt. ■ Auf dem Server muss die MMC 3.0 installiert sein (bei Windows Server 2003 R2 integriert, für andere Versionen kostenlos zum Download bei Microsoft verfügbar). ■ Auf dem Server muss das .NET Framework 2.0 installiert sein. ■ Auf dem Server muss die Windows PowerShell installiert sein (wird für Exchange-Verwaltungsshell benötigt). Installieren Sie aber immer die aktuelle Version, die Exchange Server 2007 unterstützt. ■ Installieren Sie Exchange Server 2007 auf einem Server mit der Windows Server 2003 x64-Edition, sollten Sie prüfen, ob der Hotfix von der Internetseite http://www.microsoft.com/downloads/details.aspx?familyid=CC8EBD67-0C404362-A5E9-3604D9A34F25&displaylang=en installiert worden ist. ■ Wird unter Windows Server 2008 installiert, muss die PowerShell und die Rolle Webserver (IIS) mit den Unterdiensten installiert werden, die bereits in Kapitel 2 besprochen wurden. Auf folgenden Betriebssystemen kann Exchange Server 2007 installiert werden. Alle anderen Betriebssysteme werden zur Installation nicht unterstützt, auch nicht in Testumgebungen. Wollen Sie für Mailbox-Server einen Cluster installieren, benötigen Sie die jeweilige Enterprise Edition von Windows Server 2003/2008, da nur diese Cluster unterstützt: ■ ■ ■ ■

156

Windows Server 2003 SP1, Standard Edition Windows Server 2003 SP1, Standard Edition, mit Multilingual User Interface Pack (MUI) Windows Server 2003 SP1, Enterprise Edition Windows Server 2003 SP1, Enterprise Edition, mit MUI


■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■

Windows Server 2003 R2, Standard Edition Windows Server 2003 R2, Standard Edition, mit MUI Windows Server 2003 R2, Enterprise Edition Windows Server 2003 R2, Enterprise Edition mit MUI Windows Server 2003, Standard x64 Edition Windows Server 2003, Standard x64 Edition, mit MUI Windows Server 2003, Enterprise x64 Edition Windows Server 2003, Enterprise x64 Edition, mit MUI Windows Server 2003, R2 Standard x64 Edition Windows Server 2003, R2 Standard x64 Edition, mit MUI Windows Server 2003, R2 Enterprise x64 Edition Windows Server 2003, R2 Enterprise x64 Edition mit MUI Windows Server 2003 SP2, Standard x64 Edition Windows Server 2003 SP2, Standard x64 Edition, mit MUI Windows Server 2003 SP2, Enterprise x64 Edition Windows Server 2003 SP2, Enterprise x64 Edition, mit MUI Windows Server 2008 Standard Edition (32-Bit und 64-Bit) Windows Server 2008 Enterprise Edition(32-Bit und 64-Bit)

Die Exchange Management-Tools (Exchange-Verwaltungskonsole, Exchange-Verwaltungsshell, Exchange-Hilfe, Exchange Best Practices Analyzer Tool) können auch auf einem 32-Bit-Computer unter Windows Server 2003 SP1, Standard Edition oder Enterprise Edition, Microsoft Windows Server 2003 SP2 oder Windows Server 2008 in der Standard Edition oder Enterprise Edition oder Windows XP SP2 installiert werden.

1 2 3

4 5 6 7 INFO

8 9

Voraussetzungen für die Installation der einzelnen Serverrollen Damit Sie die einzelnen Serverrollen auf einem Server installieren können, müssen verschiedene Applikationen installiert werden, ohne die eine Installation der Rolle nicht möglich ist. Für die typische Installation unter Windows Server 2008 wird vor allem der Webserver (IIS) mit den Unterdiensten benötigt, die in Kapitel 2 beschrieben werden.

10 11

Voraussetzungen für Mailbox-Server Damit Sie auf einem Server die Mailbox-Serverrolle installieren können, müssen zusätzlich zu den bereits beschriebenen Voraussetzungen noch folgende Komponenten der Internetinformationsdienste installiert sein. ■ ■ ■

12

COM+-Netzwerkzugriff aktivieren Internetinformationsdienste (IIS) WWW-Dienst

13 14

Sie können diese Funktionen einfach über Systemsteuerung/Software/Hinzufügen von Windows-Komponenten/Anwendungsserver installieren: Klicken Sie auf die Option Internetinformationsdienste (IIS), und belassen Sie die Standardeinstellungen.

15

157


Zusätzlich sollten Sie auf Windows Server 2003 x64-Editionen den Hotfix von der Internetseite http://support.microsoft.com/?kbid=904639 installieren. TIPP

Abbildung 4.1: Installation von Komponenten des IIS

Voraussetzungen für Client-Access-Server Für die Funktion Client-Access-Server werden folgende Komponenten benötigt: ■ ■ ■

WWW-Dienst RPC-über-HTTP-Proxy (für Outlook Anywhere, siehe Kapitel 9) ASP.NET (über Anwendungsserver installieren)

Die Funktion RPC-über HTTP-Proxy können Sie über die beschriebene Softwareinstallation im Menü Netzwerkdienste installieren. Auf einem 64-Bit-Server steht ASP.NET nicht mehr zur Auswahl. Diese Funktion muss daher nicht ausgewählt werden, die Komponenten werden automatisch integriert. Unified-Messaging-Server Installieren Sie die Unified-Messaging-Rolle auf einem Exchange Server, wird zusätzlich noch der Microsoft Speech Service (Sprachdienst) installiert. Diese Installation erfolgt automatisch. Allerdings müssen Sie für die Installation der UnifiedMessaging-Rolle noch die beiden folgenden Komponenten installieren (siehe Kapitel 10): ■ ■ ■

158

Microsoft Windows Media Encoder (siehe http://go.microsoft.com/fwlink/?LinkId= 67406) Microsoft Windows Media Audio Voice Codec (siehe http://go.microsoft.com/ fwlink/?LinkId=67407) Microsoft Core XML Services (MSXML) 6.0 (http://go.microsoft.com/fwlink/ ?linkid=70796)


Abbildung 4.2: Installieren des RPC-über-HTTPProxy

1 2 3

4 5 6 7

Die Installation der Unified-Messaging-Rolle in einer virtuellen Umgebung wird nicht unterstützt. INFO

Hub-Transport-Server

8

Diese Serverrolle gehört zu den standardmäßigen Serverrollen und hat keinerlei weitere Voraussetzungen. Es dürfen allerdings kein NNTP- und kein SMTP-Dienst installiert werden, da dieser bei Exchange Server 2007 nicht mehr durch das Betriebssystem zur Verfügung gestellt wird, sondern direkt durch Exchange.

9

Edge-Transport-Server

10

Edge-Transport-Server können nicht mit anderen Rollen zusammen installiert werden, und es darf kein NNTP- und SMTP-Dienst installiert sein.

11

Auf dem Server muss ADAM (Active Directory Application Mode) installiert werden. ADAM wird zwar während der Installation automatisch eingerichtet, aber nicht installiert. Die Installation von ADAM kann bei Windows Server 2003 R2 über Systemsteuerung/Software/Windows-Komponenten/Active Directory-Dienste/Active Directory-Anwendungsmodus (ADAM) erfolgen (siehe Abbildung 4.3).

12

Setzen Sie Windows Server 2003 SP1 ohne R2 ein, müssen Sie ADAM aus dem Internet herunterladen. Sie können ADAM im Internet auf der Seite http://www.microsoft. com/downloads/details.aspx?displaylang=de&FamilyID=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4 herunterladen. Alternativ können Sie auch nach ADAM auf der Microsoft-Homepage suchen.

13

Sie müssen keinerlei Konfigurationen vornehmen oder etwas einrichten; das Programm muss nur installiert werden, der Rest wird durch das Exchange-Setup-Programm übernommen.

15

14

159


Abbildung 4.3: Installation von ADAM für Edge Server

4.1.1

Verwalten der Betriebsmasterrollen von Domänencontrollern

Auf dem Domänencontroller, der die Funktion des Schemamasters verwaltet, muss mindestens Windows Server 2003 mit SP1 installiert sein. Generell sollten Sie sich mit den einzelnen Betriebsmasterrollen auseinandersetzen, da diese auch für die Zusammenarbeit mit Exchange Server 2007 eine erhebliche Rolle spielen. Die Betriebsmasterrollen sowie deren Verwaltung ist bei Windows Server 2008 identisch zu Windows Server 2003, daher gehen wir nicht ausführlich auf beide Betriebssysteme ein. Für Administratoren, die ein Active Directory mit mehreren Domänen, Standorten oder Strukturen verwalten müssen, ist es wichtig, auch über das Domänencontrollermodell von Active Directory Bescheid zu wissen. Im Active Directory gibt es kein PDC-/BDC-Modell mehr, bei dem Änderungen nur am PDC vorgenommen werden können und diese zu den BDCs repliziert werden. In einem Active Directory sind alle Domänencontroller gleichberechtigt. Auf jedem Domänencontroller können Änderungen vorgenommen werden, die daraufhin zu den anderen Domänencontrollern repliziert werden. Allerdings gibt es fünf unterschiedliche Rollen, die ein Domänencontroller annehmen kann:

1. 2. 3. 4. 5.

PDC-Emulator Infrastrukturmaster RID-Master Schemamaster Domänennamenmaster

Die verschiedenen Rollen, also PDC-Emulator, Infrastrukturmaster, RID-Master, Schemamaster und Domänennamenmaster, werden als Flexible Single Master Opera-

160


tions (FSMOs) bezeichnet. Jede dieser Rollen ist entweder einmalig pro Domäne (PDC-Emulator, Infrastrukturmaster, RID-Master) oder sogar einmalig pro Gesamtstruktur (Schemamaster, Domänennamenmaster). Fällt eine dieser Rollen aus, gibt es im Active Directory Fehlfunktionen, die recht schnell behoben werden müssen, da ansonsten der produktive Betrieb beeinflusst wird.

1

Schon aus der Bezeichnung Flexible geht hervor, dass diese Rollen zwar einzelnen Domänencontrollern zugewiesen werden, aber auch recht flexibel verschoben werden können.

2 3

PDC-Emulator Die Rolle des PDC-Emulators gibt es in jeder Domäne des Active Directory einmal. Der erste installierte Domänencontroller einer Active Directory-Domäne bekommt diese Rolle automatisch zugewiesen. ■

■

■ ■ ■

4

Der PDC-Emulator ist in einem Active Directory dafür zuständig, die Replikation zu eventuell vorhandenen Windows NT 4.0-BDCs zu steuern, solange sich die Domäne im Mischbetrieb befindet. Außerdem ist er für die Anwendung und Verwaltung der Gruppenrichtlinien zuständig. Steht der Domänencontroller, der diese Rolle hat, nicht mehr zur Verfügung, werden Gruppenrichtlinien fehlerhaft angewendet und können so gut wie nicht mehr verwaltet werden, da spezielle Verwaltungskonsolen, wie die Gruppenrichtlinienverwaltungskonsole (Group Policy Management Console, GPMC), gezielt die Verbindung zum PDC-Emulator aufbauen. Der PDC-Emulator ist darüber hinaus für Kennwortänderungen bei Benutzern verantwortlich. Er steuert auch die externen Vertrauensstellungen einer Domäne. Außerdem ist der PDC-Emulator der Zeitserver einer Domäne.

5 6 7 8 9

Alle hier beschriebenen Funktionen sind gestört, wenn der PDC-Emulator nicht mehr zur Verfügung steht.

10

Zeitserver – W32Time In einem Active Directory synchronisieren alle Arbeitsstationen und Mitgliedsserver ihre Zeit mit den Domänencontrollern. Alle Domänencontroller einer Domäne synchronisieren ihre Zeit mit dem PDC-Emulator.

11

Setzen Sie mehrere Strukturen und untergeordnete Domänen ein, dann synchronisieren die PDC-Emulatoren der einzelnen Domänen ihre Zeit mit dem PDC-Emulator der jeweils übergeordneten Domäne.

12

Der oberste Zeitserver in einer Gesamtstruktur ist der PDC-Emulator der Stamm(Root)Domäne, mit dem die einzelnen PDC-Emulatoren der anderen Strukturen die Zeit synchronisieren.

13

Die Zeitsynchronisation in einem Active Directory ist sehr wichtig für die Kommunikation und die Sicherheit, auch für Exchange Server 2007. In einem Active Directory wird hauptsächlich mit dem Kerberos-Protokoll für die Authentifizierung gearbeitet. Dieses Protokoll ist extrem davon abhängig, dass die Uhren auf den Mitgliedsrechnern und Domänencontrollern synchron laufen. Sobald die Uhren mehr als fünf Minuten voneinander abweichen, kann es zu Problemen bei der Authentifizierung kommen. Aus diesem Grund ist die Rolle des PDC-Emulators wichtig, wenn nicht sogar die wichtigste.

14 15

161


Windows Server 2003/2008 verwendet für die Synchronisation der Uhren das NTPProtokoll (Network Time Protocol). Dieses Protokoll kommuniziert mittels des UDPPorts 123. Anzeigen des PDC-Emulators Wollen Sie überprüfen, welcher Domänencontroller die Rolle des PDC-Emulators in Ihrer Domäne verwaltet, öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. Klicken Sie mit der rechten Maustaste auf die Domäne im Snap-In, und wählen Sie aus dem Kontextmenü die Option Betriebsmaster aus (siehe Abbildung 4.4). Abbildung 4.4: Anzeigen der Betriebsmaster einer Domäne

Es öffnet sich ein neues Fenster. Klicken Sie auf die Registerkarte PDC. Hier wird Ihnen der aktuelle PDC-Emulator der Domäne angezeigt (siehe Abbildung 4.5). Abbildung 4.5: Anzeigen des PDCEmulators einer Domäne

Sie können sich den aktuellen PDC-Emulator auch mithilfe des Befehls dsquery server -hasfsmo pdc in der Befehlszeile anzeigen lassen (siehe Abbildung 4.6). Abbildung 4.6: Anzeigen des PDCEmulators in der Befehlszeile

162


RID-Master Auch die Rolle des RID-Masters erhält der erste installierte Domänencontroller einer Domäne automatisch. Den RID-Master gibt es einmal in jeder Domäne einer Gesamtstruktur.

1

Die Aufgabe des RID-Masters ist es, den anderen Domänencontrollern eine Domäne Relative Identifiers (RIDs) zuzuweisen.

2

Wird ein neues Objekt in der Domäne erstellt, also ein Computerkonto, ein Benutzer oder eine Gruppe, wird diesem Objekt eine eindeutige Sicherheits-ID (SID) zugewiesen. Diese SID erstellt der Domänencontroller aus einer domänenspezifischen SID in Verbindung mit einer RID aus seinem RID-Pool.

3

Ist der RID-Pool eines Domänencontrollers aufgebraucht, werden ihm vom RID-Master neue RIDs zugewiesen. Steht der RID-Master nicht mehr zur Verfügung und bekommen die Domänencontroller damit keine RIDs mehr, können keine neuen Objekte mehr in dieser Domäne erstellt werden, bis der RID-Master wieder einem Domänencontroller zur Verfügung gestellt wird.

4 5

Jeder Domänencontroller erhält zunächst einen Pool von 500 RIDs. Stehen nur noch 100 RIDs zur Verfügung, fordert er neue RIDs vom RID-Master an. Steht der RIDMaster nicht mehr zur Verfügung, können also pro Domänencontroller der Domäne immerhin noch bis zu 100 neue Objekte erstellt werden, was für die meisten Organisationen ausreichen wird.

6 7

Um den Domänencontroller anzuzeigen, der die Rolle des RID-Masters verwaltet, öffnen Sie wieder das Snap-In Active Directory-Benutzer und -Computer, klicken mit der rechten Maustaste auf die Domäne und wählen aus dem Kontextmenü Betriebsmaster aus (siehe Abbildung 4.7).

8 Abbildung 4.7: Anzeigen des RID-Masters einer Domäne

9 10 11 12 13 14 15

Wechseln Sie auf die Registerkarte RID. Dort wird Ihnen der RID-Master dieser Domäne angezeigt (siehe Abbildung 4.7).

163


Sie können sich den RID-Master auch mit dem Befehl dsquery server -hasfsmo rid in der Befehlszeile anzeigen lassen (siehe Abbildung 4.8). Abbildung 4.8: Anzeigen des RID-Masters einer Domäne

Außerdem können Sie sich die erfolgreiche Verbindung und den Status des RIDPools anzeigen lassen. Dazu benötigen Sie das Befehlszeilenprogramm dcdiag.exe aus den Support-Tools. Haben Sie die Support-Tools von der Windows Server 2003-CD installiert, können Sie in der Befehlszeile den Befehl dcdiag /v /test:ridmanager eingeben. Bei Windows Server 2008 sind diese Tools bereits standardmäßig integriert. Suchen Sie dann den Bereich Starting Test RidManager (siehe Listing 4.1). Hier sehen Sie, ob der Domänencontroller eine Verbindung zum RID-Master fehlerfrei aufbauen kann. Listing 4.1: Testen des RID-Masters CODE

Domain Controller Diagnosis Performing initial setup: * Verifying that the local machine dc01, is a DC. * Connecting to directory service on server dc01. * Collecting site info. * Identifying all servers. * Identifying all NC cross-refs. * Found 3 DC(s). Testing 1 of them. Done gathering initial info. Doing initial required tests Testing server: Standardname-des-ersten-Standorts\DC01 Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory RPC Services Check ......................... DC01 passed test Connectivity Doing primary tests Testing server: Standardname-des-ersten-Standorts\DC01 Test omitted by user request: Replications Test omitted by user request: Topology Test omitted by user request: CutoffServers Test omitted by user request: NCSecDesc Test omitted by user request: NetLogons Test omitted by user request: Advertising Test omitted by user request: KnowsOfRoleHolders Starting test: RidManager * Available RID Pool for the Domain is 2103 to 1073741823 * dc01.contoso.com is the RID Master * DsBind with RID Master was successful * rIDAllocationPool is 1103 to 1602 * rIDPreviousAllocationPool is 1103 to 1602 * rIDNextRID: 1106 ......................... DC01 passed test RidManager Test omitted by user request: MachineAccount

Tritt an dieser Stelle ein Fehler auf, sollten Sie am besten den RID-Master auf einen anderen Server transferieren oder verschieben. 164


Infrastrukturmaster Auch den Infrastrukturmaster gibt es in jeder Domäne einer Gesamtstruktur einmal. Diese Rolle erhält ebenfalls wieder der erste installierte Domänencontroller einer Active Directory-Domäne.

1

In einer Gesamtstruktur mit nur einer Domäne spielt dieser Betriebsmaster keine Rolle. Seine Bedeutung steigt jedoch beim Einsatz mehrerer Domänen oder Strukturen.

2

Er hat in einer Domäne die Aufgabe, die Berechtigungen für die Benutzer zu steuern, die aus unterschiedlichen Domänen kommen. Da die Berechtigungsanfragen sonst sehr lange dauern würden, wenn zum Beispiel in den Berechtigungen einer Ressource Benutzerkonten oder Gruppen aus unterschiedlichen Domänen gesetzt sind, dient der Infrastrukturmaster einer Domäne sozusagen als Cache für diese Zugriffe, um die Abfrage der Berechtigungen zu beschleunigen.

3

4

Er wird außerdem für die Auflösung von Verteilergruppen verwendet, wenn Sie Exchange einsetzen, da auch an dieser Stelle eine Gruppe Mitglieder aus verschiedenen Domänen der Gesamtstruktur enthalten kann.

5

Um sich den Infrastrukturmaster anzeigen zu lassen, öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.

6

Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie die Option Betriebsmaster aus. Wechseln Sie auf die Registerkarte Infrastruktur (siehe Abbildung 4.9).

7 Abbildung 4.9: Anzeigen des Infrastrukturmasters einer Domäne

8 9 10 11 12

Auch den Infrastrukturmaster können Sie sich in der Befehlszeile anzeigen lassen. Verwenden Sie dazu den Befehl dsquery server -hasfsmo infr (siehe Abbildung 4.10). Abbildung 4.10: Anzeigen des Infrastrukturmasters in der Befehlszeile

Schemamaster

13 14 15

Die Struktur eines Verzeichnisses, wie das Active Directory eines ist, wird Schema genannt. Im Schema ist genau definiert, welche Informationen auf welche Art gespeichert werden sollen.

165


Das Active Directory speichert die Daten, und das Schema definiert, wie sie gespeichert werden. Der Aufbau des Schemas ist recht einfach. Es gibt Objekte und Attribute. Die Attribute sind Objekten zugeordnet. Jeder Verzeichniseintrag ist ein Objekt. Beim Active Directory sind Objekte also Benutzer, Computer, Freigaben oder Drucker. Das Active Directory verfügt über ein erweiterbares Schema. Dieses gibt die Möglichkeit, zusätzliche Informationen im Verzeichnis flexibel zu speichern. Durch das erweiterbare Schema lassen sich jederzeit zusätzliche Objekteigenschaften hinzufügen. Diese Funktion wird beispielweise von Exchange Server 2007 genutzt. Alle notwendigen Informationen zu einem E-Mail-Postfach werden im Active Directory abgelegt. Bei der Installation von Exchange 2007 wird das Schema des Active Directory um die notwendigen Attribute und Klassen erweitert. Damit das Schema erweitert werden kann, wird der Schemamaster benötigt. In jeder Gesamtstruktur gibt es nur einen Schemamaster. Nur auf diesem Schemamaster können Änderungen am Schema vorgenommen werden. Steht der Schemamaster nicht mehr zur Verfügung, können auch keine Erweiterungen des Schemas stattfinden, und die Installation von Exchange Server 2007 schlägt fehl. Der erste installierte Domänencontroller der ersten Domäne und Struktur einer Gesamtstruktur erhält die Rolle des Schemamasters. Alle Änderungen des Schemas werden ausschließlich auf dem Schemamaster durchgeführt. Der Schemamaster hat ansonsten keine Auswirkungen auf den laufenden Betrieb. Solange das Schema nicht durch eine spezielle Applikation, wie zum Beispiel die Installation von Exchange 2007 oder die Erweiterung des Active Directory auf Windows Server 2003 R2/2008, erweitert wird, spielt dieser Betriebsmaster keine Rolle. Schemamaster anzeigen Damit der Schemamaster angezeigt werden kann, müssen Sie zunächst das Snap-In registrieren, welches das Schema anzeigt. Aus Sicherheitsgründen wird dieses SnapIn zwar installiert, jedoch nicht angezeigt. Geben Sie über Start/Ausführen den Befehl regsvr32 schmmgmt.dll ein. Sie erhalten daraufhin die Information, dass die DLL im System erfolgreich registriert wurde (siehe Abbildung 4.11). Abbildung 4.11: Registrieren der notwendigen DLL für die Anzeige der Schemaverwaltung

166


Im Anschluss können Sie das Snap-In Active Directory-Schema in eine MMC über Datei/Snap-In hinzufügen integrieren (siehe Abbildung 4.12). Wurde dieses Snap-In integriert, können Sie das Schema verwalten und sich auch den Betriebsmaster anzeigen lassen.

1 Abbildung 4.12: Hinzufügen des Snap-Ins Active Directory-Schema zu einer MMC

2 3

4 5 6 7 Klicken Sie mit der rechten Maustaste auf das Menü Active Directory-Schema, und wählen Sie aus dem Kontextmenü die Option Betriebsmaster aus (siehe Abbildung 4.13).

8

Abbildung 4.13: Anzeigen des Schemamasters einer Gesamtstruktur

9 10 11 12 13

Dann öffnet sich ein neues Fenster, in dem der Betriebsmaster angezeigt wird. Sie können mithilfe dieses Fensters später den Betriebsmaster auch auf einen anderen Domänencontroller verschieben.

14

Auch den Schemamaster können Sie sich in der Befehlszeile anzeigen lassen. Geben Sie dazu den Befehl dsquery server -hasfsmo schema (siehe Abbildung 4.15) ein.

15

167


Abbildung 4.14: Anzeigen des Schemamasters einer Gesamtstruktur

Abbildung 4.15: Anzeigen des Schemamasters in der Befehlszeile

Domänennamenmaster Der Domänennamenmaster ist für die Erweiterung der Gesamtstruktur um neue Domänen oder Strukturen verantwortlich. In jeder Gesamtstruktur gibt es einen Domänennamenmaster. Diese Rolle wird automatisch dem ersten installierten Domänencontroller einer neuen Gesamtstruktur zugewiesen. Immer wenn ein Server zum Domänencontroller hochgestuft wird und eine neue Domäne erstellt werden soll, wird eine Verbindung zum Domänennamenmaster aufgebaut. Steht der Master nicht zur Verfügung oder kann keine Verbindung aufgebaut werden, besteht auch nicht die Möglichkeit, eine neue Domäne zur Gesamtstruktur hinzuzufügen. Der Domänennamenmaster hat im produktiven Betrieb einer Domäne oder der Gesamtstruktur keine Aufgabe. Er wird nur benötigt, wenn eine neue Domäne in der Gesamtstruktur erstellt werden soll. Um sich den Domänennamenmaster anzeigen zu lassen, benötigen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen. Klicken Sie mit der rechten Maustaste direkt auf das Snap-In, und wählen Sie die Option Betriebsmaster (siehe Abbildung 4.16). Abbildung 4.16: Anzeigen des Domänennamenmasters

168


Danach öffnet sich ein neues Fenster, in dem der Domänennamenmaster dieser Gesamtstruktur angezeigt wird (siehe Abbildung 4.17). Abbildung 4.17: Domänennamenmaster der Gesamtstruktur

1 2 3

4 5

Anzeigen aller FSMO-Rollen Um sich einen Überblick über alle Betriebsmaster einer Gesamtstruktur zu verschaffen, können Sie den Befehl netdom query fsmo in der Befehlszeile eingeben (siehe Abbildung 4.18).

6

Ihnen werden dann alle Rollen dieser Domäne und der Gesamtstruktur angezeigt. Dadurch können Sie recht schnell überprüfen, ob die Verteilung der Rollen so vorgenommen wurde, wie sie von Microsoft empfohlen wird.

7

Abbildung 4.18: Anzeigen der FSMO-Rollen einer Domäne

8 9 10 11 12

Empfohlene Verteilung der FSMO-Rollen 13

Standardmäßig besitzt der erste installierte Domänencontroller einer Gesamtstruktur alle fünf FSMO-Rollen seiner Domäne und der Gesamtstruktur. Jeder erste Domänencontroller weiterer Domänen verwaltet die drei Betriebsmasterrollen seiner Domäne (PDC-Emulator, RID-Master, Infrastrukturmaster).

14

Vor allem in größeren Active Directorys empfiehlt Microsoft jedoch die Verteilung der Rollen auf verschiedenen Domänencontrollern. Zur optimalen Verteilung der FSMO-Rollen gibt es folgende Empfehlungen:

15

169


■

■ ■

Der Infrastrukturmaster sollte nicht auf einem globalen Katalog liegen, da ansonsten Probleme bei der Auflösung von Gruppen, die Mitglieder aus verschiedenen Domänen haben, auftreten können. Bei Unternehmen mit nur einer Domäne müssen Sie diese Richtlinie nicht beachten. Domänennamenmaster und Schemamaster sollten auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist. PDC-Emulator und RID-Master kommunizieren viel miteinander und sollten daher auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.

4.1.2

Der globale Katalog

An jedem Standort im Active Directory muss ein globaler Katalogserver installiert sein. Dieser Server muss außerdem mit Windows Server 2003 SP1 installiert sein oder Windows Server 2008. Der globale Katalog ist eine weitere Rolle, die ein Domänencontroller einnehmen kann. Im Gegensatz zu den beschriebenen FSMO-Rollen kann (und sollte auch) die Funktion des globalen Katalogs mehreren Domänencontrollern zugewiesen werden. Dem globalen Katalog kommt in einer Active Directory-Domäne eine besondere Bedeutung zu. Er enthält einen Index aller Domänen einer Gesamtstruktur. Aus diesem Grund wird er von Serverdiensten wie Exchange Server 2007 und Suchanfragen verwendet, wenn Objekte aus anderen Domänen Zugriff auf eine Ressource der lokalen Domäne enthalten. Der globale Katalog spielt darüber hinaus eine wesentliche Rolle bei der Anmeldung von Benutzern. Steht er in einer Domäne nicht mehr zur Verfügung, können sich keine Benutzer mehr anmelden, wenn keine speziellen Vorbereitungen getroffen worden sind. Ein Domänencontroller mit der Funktion des globalen Katalogs repliziert sich nicht nur mit den Domänencontrollern seiner Domäne, sondern enthält eine Teilmenge aller Domänen in der Gesamtstruktur. Der erste installierte Domänencontroller einer Gesamtstruktur ist automatisch ein globaler Katalog. Alle weiteren globalen Kataloge müssen hingegen manuell hinzugefügt werden. In jedem Standort Ihres Active Directory sollte es mindestens einen, besser zwei Domänencontroller geben, die diese Rolle einnehmen. Der globale Katalog dient auch zur Auflösung universaler Gruppen. Sie sollten aber nicht alle Domänencontroller zu globalen Katalogen machen, da dadurch der Replikationsverkehr zu diesen Domänencontrollern stark zunimmt. In jedem Standort sollten zwei bis drei Domänencontroller diese Aufgabe übernehmen:

1. 2.

3.

Um einen Domänencontroller als globalen Katalog zu konfigurieren, benötigen Sie das Snap-In Active Directory-Standorte- und -Dienste. Öffnen Sie dieses Snap-In, und rufen Sie die Eigenschaften der Option NTDS-Settings über Sites/Name des Standortes/Servers/Servername auf (siehe Abbildung 4.19). Auf der Registerkarte Allgemein setzen Sie den Haken bei der Option Globaler Katalog.

Haben Sie diese Konfiguration vorgenommen, repliziert sich der Server zukünftig mit weiteren Domänencontrollern und enthält nicht nur Informationen seiner Domäne, sondern einen Index der Gesamtstruktur.

170


Abbildung 4.19: Konfigurieren eines globalen Katalogs

1 2 3

4 5

4.1.3

Betriebsmodi eines Active Directory 6

Jede Domäne, in der ein Exchange Server 2007 installiert wird oder in der sich Exchange Server 2007-Empfänger befinden, muss sich mindestens im Betriebsmodus Windows 2000 pur befinden.

7

Ein Active Directory kann unter verschiedenen Betriebsmodi betrieben werden. Standardmäßig befindet sind das Active Directory nach der Installation im gemischten Modus. In diesem Modus können neben den Windows Server 2003-Domänencontrollern parallel auch noch Windows NT 4.0-Domänencontroller betrieben werden. Allerdings können in diesem Fall nicht alle Funktionen und Möglichkeiten des Active Directory verwendet werden. Im Active Directory werden zwei verschiedene Ebenen der Betriebsmodi unterschieden:

1. 2.

8 9

Betriebsmodus der einzelnen Domänen in der Gesamtstruktur Betriebsmodus der Gesamtstruktur

10

Während die Funktionsebene der Gesamtstruktur nur einmal verändert werden muss, müssen Sie für jede Domäne der Gesamtstruktur deren eigene Funktionsebene anpassen. Diese beiden Ebenen können unabhängig voneinander jeweils drei verschiedene Betriebsmodi annehmen:

11

■

12

■

Windows 2000 gemischt – In diesem Modus können an der Domäne neben Windows 2000 und Windows Server 2003 auch Domänencontroller unter Windows NT 4.0 teilnehmen. Dieser Modus ist nach der Installation von Active Directory automatisch aktiviert. Windows 2000 pur – In diesem Modus können nur noch Windows 2000- und Windows Server 2003-Domänencontroller die Domäne verwalten. Es dürfen aber weiterhin Windows NT 4.0-Server als Mitglied betrieben werden. Ab diesem Modus können universelle Gruppen erstellt werden, und die SID-History wird unterstützt. Bei der SID-History können den Benutzerkonten mehrere SIDs aus anderen Domänen zugeordnet werden, zum Beispiel bei der Migration von Windows NT 4.0 zu Windows Server 2003 mit dem ADMT 3.0. Sicherheitsgruppen können in diesem Modus zu Verteilergruppen umfunktioniert werden. Ab diesem Modus kann auch Exchange Server 2007 in der Domäne installiert werden.

13 14 15

171


■

Windows Server 2003 – Ab diesem Modus können Domänen in der Gesamtstruktur umbenannt und umstrukturiert werden. Es können gesamtstrukturübergreifende Vertrauensstellungen erstellt werden.

Der Betriebsmodus Windows Server 2008 wurde bereits in Kapitel 2 behandelt. Sofern in einer Gesamtstruktur keine Windows 2000- oder Windows NT 4.0-Domänencontroller unterstützt werden müssen, sollten Sie so schnell wie möglich die Funktionsebene der Domänen und der Gesamtstruktur auf den Windows Server 2003-Modus hochsetzen. Sie haben dadurch keinerlei Nachteile, eröffnen sich aber erst dann die vollständigen Möglichkeiten von Active Directory. Um die Funktionsebene einer Domäne hochzusetzen, klicken Sie im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Domäne und wählen die Option Domänenfunktionsebene heraufstufen (siehe Abbildung 4.20). Abbildung 4.20: Heraufstufen der Domänenfunktionsebene

Im anschließenden Fenster können Sie den Modus auswählen, den Sie aktivieren wollen (siehe Abbildung 4.21). Sie erhalten eine Warnung, dass die Umstellung des Modus nicht mehr rückgängig gemacht werden kann. Bestätigen Sie diese Meldung, wird die Funktionsebene heraufgestuft. Es ist nicht notwendig, die Domänencontroller neu zu starten. Allerdings wird diese Umstellung erst mit der Active Directory-Replikation auf alle Domänencontroller verteilt. Abbildung 4.21: Heraufstufen der Domänenfunktionsebene

Die Funktionsebene der Gesamtstruktur können Sie mithilfe des Snap-Ins Active Directory-Domänen und -Vertrauensstellungen heraufstufen. 172


Klicken Sie mit der rechten Maustaste auf das Menü Active Directory-Domänen und -Vertrauensstellungen, und wählen Sie die Option Gesamtstrukturfunktionsebene heraufstufen (siehe Abbildung 4.22). Abbildung 4.22: Heraufstufen der Gesamtstrukturfunktionsebene

1 2 3

4 Sie können die Gesamtstrukturfunktionsebene erst heraufstufen, wenn die Domänenfunktionsebenen aller Domänen der Gesamtstruktur heraufgestuft wurden.

5 INFO

Auch nach der erfolgreichen Heraufstufung der Gesamtstruktur ist es nicht notwendig, die Domänencontroller neu zu starten. Die Änderungen werden auf alle Domänencontroller der Gesamtstruktur repliziert.

6

Nach der Heraufstufung stehen die neuen Funktionen wie SID-History, universale Gruppen und gesamtstrukturübergreifende Vertrauensstellungen zur Verfügung.

7

4.1.4

8

Vertrauensstellungen im Active Directory

Die transitiven Vertrauensstellungen zwischen den einzelnen Domänen im Active Directory werden automatisch eingerichtet. Innerhalb von zwei Gesamtstrukturen können seit Windows Server 2003 auch sogenannte Gesamtstrukturübergreifende Vertrauensstellungen eingerichtet werden, um mehrere Gesamtstrukturen miteinander zu verbinden. Setzen Sie im Unternehmen mehrere Gesamtstrukturen ein und wollen Sie Exchange Server 2007 mit erweiterten Möglichkeiten nutzen, müssen Sie zwischen den Gesamtstrukturen Gesamtstrukturübergreifende Vertrauensstellungen einrichten. Delegieren Sie zum Beispiel Berechtigungen über Gesamtstrukturen hinweg oder wollen die Frei-/Gebucht-Zeiten replizieren, müssen Sie die Gesamtstrukturen miteinander verbinden.

9 10 11

In Active Directory gibt es unidirektionale und bidirektionale Vertrauensstellungen. Nicht in jedem Fall sind bidirektionale Vertrauensstellungen sinnvoll. Vor allem aus Gründen der Sicherheit sollte bei manuellen Vertrauensstellungen im Active Directory immer mit den möglichst sichersten Einstellungen gearbeitet werden. Die Richtung der Vertrauensstellungen sollte daher gut überlegt sein.

12 13

Im Active Directory gibt es, wie bereits unter NT, die vertrauten (trusted) Domänen und die vertrauenden (trusting) Domänen.

14

Innerhalb einer Vertrauensstellung enthält die vertrauende (trusting) Domäne die Ressourcen, auf die von der vertrauten (trusted) Domäne durch Anwender zugegriffen wird. Bei der Einrichtung der Vertrauensstellung wird daher eine Vertrauensstellung von der vertrauenden (trusting) Domäne zur vertrauten (trusted) Domäne eingerichtet. Die Anwender der vertrauten (trusted) Domäne dürfen auf Ressourcen innerhalb der vertrauenden (trusting) Domäne zugreifen (siehe Abbildung 4.23).

15

173


Abbildung 4.23: Vertrauensstellungen im Active Directory

Liegen in einer vertrauenden (trusting) Domäne Benutzerkonten, können diese bei einer unidirektionalen Vertrauensstellung nicht auf Ressourcen in der vertrauten (trusted) Domäne zugreifen. In diesem Fall müsste aus der unidirektionalen eine bidirektionale Vertrauensstellung gemacht werden, bei der beide beteiligten Domänen sowohl eine vertrauende (trusting) als auch eine vertraute (trusted) Domäne sind. Im Active Directory gibt es unterschiedliche Typen von Vertrauensstellungen. Manche Vertrauensstellungen werden automatisch eingerichtet, andere müssen nachträglich manuell eingerichtet werden. Beim Heraufstufen von Domänencontrollern und der damit verbundenen Erschaffung von neuen Domänen in einem Active Directory werden einige Vertrauensstellungen automatisch eingerichtet: ■ ■

Vertrauensstellungen zwischen übergeordneten und untergeordneten Domänen der gleichen Struktur (gleicher Namensraum) Vertrauensstellungen zwischen Root-Domänen von verschiedenen Strukturen innerhalb einer Gesamtstruktur

Legen Sie unterhalb einer Domäne im Active Directory eine weitere Domäne an, zum Beispiel die Domäne de.contoso.com unterhalb von contoso.com, wird automatisch eine bidirektionale Vertrauensstellung zwischen den beiden Domänen eingerichtet. Die übergeordnete Domäne wird auch als Parent-Domäne bezeichnet, die untergeordnete Domäne als Child-Domäne. In diesem Beispiel können sowohl Anwender aus der Domäne de.contoso.com auf Ressourcen in der Domäne contoso.com zugreifen als auch Anwender der Domäne contoso.com auf Ressourcen in der Domäne de.contoso.com. Auch der gemeinsame Zugriff auf Exchange-Postfächer funktioniert, allerdings muss dazu die Domäne, in der kein Exchange Server steht, auf Exchange Server 2007 vorbereitet werden. Sie finden die Vertrauensstellung einer Domäne im Snap-In Active Directory-Domänen und -Vertrauensstellungen, wenn Sie die Eigenschaften einer Domäne aufrufen und dann auf die Registerkarte Vertrauensstellungen wechseln (siehe Abbildung 4.24).

174


Abbildung 4.24: Verwalten von Vertrauensstellungen im Active Directory

1 2 3

4 5 6 Ist in einem Active Directory eine Gesamtstruktur mit mehreren Strukturen vorhanden, wird zwischen den Root-Domänen der jeweiligen Struktur ebenfalls automatisch eine Vertrauensstellung eingerichtet. Diese Vertrauensstellungen werden auch als Strukturstamm-Vertrauensstellungen bezeichnet.

7 8

Starten Sie den Assistenten zum Aufrufen neuer Vertrauensstellungen mit der Schaltfläche Neue Vertrauensstellung, haben Sie die Auswahl zwischen vier verschiedenen Arten von Vertrauensstellungen, die Sie einrichten können. Ich gehe in diesem Kapitel nur auf die gesamtstrukturübergreifenden Vertrauensstellungen ein, da Sie die anderen Varianten für die Installation von Exchange Server 2007 nicht berücksichtigen müssen. Im Active Directory gibt es folgende Vertrauensstellungen: ■ ■ ■ ■

9 10

Externe Vertrauensstellung zu einer einzelnen Domäne innerhalb einer anderen Gesamtstruktur oder einer Windows NT 4.0-Domäne Gesamtstrukturübergreifende Vertrauensstellung (wichtig für Exchange Server 2007 beim Einsatz mehrerer Gesamtstrukturen im Unternehmen) Vertrauensstellung zu einem Nicht-Windows-Kerberosverbund Abkürzende Vertrauensstellung zu einer Domäne innerhalb der gleichen Gesamtstruktur (sogenannter Shortcut Trust)

11 12 13

Gesamtstrukturübergreifende Vertrauensstellungen Bei der Zusammenlegung von mehreren Unternehmen, die alle über eine eigene Gesamtstruktur verfügen, kann es sinnvoll sein, dass sich die Vertrauensstellungen über gesamtstrukturübergreifende Vertrauensstellungen gegenseitig vertrauen. Diese Vertrauensstellungen sind im Gegensatz zu externen Vertrauensstellungen vollkommen transitiv. Bei der Verbindung von zwei Gesamtstrukturen über gesamtstrukturübergreifende Vertrauensstellungen vertrauen alle Domänen der beiden Gesamtstrukturen sich gegenseitig.

14 15

175


Gesamtstrukturübergreifende Vertrauensstellungen werden ausschließlich zwischen den beiden Root-Domänen der Gesamtstrukturen erstellt. Die daraus folgenden transitiven Vertrauensstellungen folgen dem Pfad der Vertrauensstellungen wie bei verschiedenen Strukturen innerhalb einer Gesamtstruktur. Gesamtstrukturübergreifende Vertrauensstellungen sind immer transitiv. Sie müssen aber nicht zwingend bidirektional sein. Windows Server 2003 unterstützt auch unidirektionale gesamtstrukturübergreifende Vertrauensstellungen. Erstellen Sie eine unidirektionale Vertrauensstellung zwischen zwei Gesamtstrukturen, verhält sich die Berechtigung wie beim Erstellen anderer Vertrauensstellungen. Der Unterschied besteht darin, dass die Anwender der eingehenden Vertrauensstellung, also der vertrauten (trusted) Gesamtstruktur, auf die Ressourcen der vertrauenden Gesamtstruktur zugreifen können. Es ist gleichgültig, in welcher Domäne der vertrauten Gesamtstruktur die Konten der Anwender liegen, und es ist auch gleichgültig, in welcher Domäne die Ressourcen in der vertrauenden Gesamtstruktur liegen. Alle Anwender aller Domänen der vertrauten Gesamtstruktur dürfen auf alle Ressourcen in allen Domänen der vertrauenden Gesamtstruktur zugreifen, wenn sie entsprechende Berechtigungen erhalten. Voraussetzungen für gesamtstrukturübergreifende Vertrauensstellungen Damit Sie gesamtstrukturübergreifende Vertrauensstellungen einrichten können, müssen Sie zuvor einige Voraussetzungen schaffen: ■ ■ ■

Gesamtstrukturübergreifende Vertrauensstellungen werden nur in Windows Server 2003-Gesamtstrukturen unterstützt. Stellen Sie sicher, dass sich die Domänenfunktionsebene und die Gesamtstrukturfunktionsebene im einheitlichen Windows Server 2003-Modus befinden. Stellen Sie sicher, dass die Namensauflösung zwischen den Gesamtstrukturen funktioniert. Stellen Sie domänenspezifische Weiterleitungen her, und überprüfen Sie, ob die Domänencontroller der beiden Gesamtstrukturen sich untereinander per DNS auflösen können. Alternativ können Sie einen DNS-Server erstellen, der für die Zonen beider Gesamtstrukturen zuständig ist.

Erstellen einer gesamtstrukturübergreifenden Vertrauensstellung Eine gesamtstrukturübergreifende Vertrauensstellung erstellen Sie auf dem gleichen Weg wie eine externe Vertrauensstellung. Wollen Sie beim Namen der Domäne, zu der Sie eine Vertrauensstellung aufbauen, statt eines NetBIOS- einen DNS-Namen eingeben, überprüft der Assistent, ob es sich bei dieser Domäne um die RootDomäne einer eigenen Gesamtstruktur handelt. Trifft dies zu, bietet der Assistent als Option die Auswahl an, ob Sie eine externe Vertrauensstellung oder eine Gesamtstrukturvertrauensstellung erstellen wollen. Wollen Sie eine gesamtstrukturübergreifende Vertrauensstellung einrichten, welche die Domänen der beiden Gesamtstrukturen transitiv verbindet, wählen Sie die Option Gesamtstrukturvertrauensstellung aus (siehe Abbildung 4.25) und klicken auf Weiter. Im nächsten Schritt legen Sie, wie bei der externen Vertrauensstellung, fest, ob es sich um eine bidirektionale oder eine unidirektionale Vertrauensstellung handelt. Auf der nächsten Seite des Assistenten können Sie festlegen, ob Sie die Vertrauensstellung in der anderen Domäne gleich mit anlegen lassen wollen. Dazu benötigen Sie allerdings Domänenadministratorrechte in der Root-Domäne der anderen Gesamtstruktur. 176


Abbildung 4.25: Erstellen einer Gesamtstrukturvertrauensstellung

1 2 3

4 5

Wählen Sie die Option, dass Sie auch in der anderen Domäne die Vertrauensstellung einrichten lassen wollen, erscheint im nächsten Fenster ein Authentifizierungsdialog, mit dessen Hilfe Sie sich an der anderen Gesamtstruktur anmelden können. Nach der erfolgreichen Eingabe der Authentifizierung erscheint das nächste Fenster des Assistenten. Hier können Sie, wie bei der externen Vertrauensstellung auch, auswählen, ob Sie die Authentifizierung automatisch für die komplette Gesamtstruktur zulassen oder ob Sie einzelne Berechtigungen für die einzelnen Server manuell vergeben wollen. Diese Auswahl können Sie sowohl für die ausgehende als auch für die eingehende Vertrauensstellung treffen.

6

Setzen Sie mehrere Namensräume und Strukturen in den einzelnen Gesamtstrukturen ein, werden Sie unter Umständen noch gefragt, welche Benutzernamen zur lokalen Gesamtstruktur gehören. Belassen Sie in diesem Fall alle Optionen aktiviert. Wollen Sie allerdings nicht allen Strukturen die Authentifizierung in der anderen Gesamtstruktur erlauben, können Sie einzelne Strukturen aus dem Routing herausnehmen. Das DNS-Suffix-Routing lässt sich jederzeit über die Eigenschaften der Vertrauensstellung ändern. Sie können in den Eigenschaften einer gesamtstrukturübergreifenden Vertrauensstellung mithilfe der Registerkarte Namenssuffixrouting festlegen, welche Namensräume der einzelnen Gesamtstrukturen in der anderen Gesamtstruktur verfügbar sein sollen. Melden sich Anwender mit ihrem eindeutigen UPN-Namen an einer Ressource in der anderen Gesamtstruktur an, erkennt die Vertrauensstellung, dass dieser Namensraum zu der vertrauten Gesamtstruktur gehört.

9

7 8

10 11 12 13

Damit das Namenssuffixrouting und die komplette gesamtstrukturübergreifende Vertrauensstellung fehlerfrei funktionieren, sollten in beiden Gesamtstrukturen sowohl die DNS-Namen als auch die NetBIOS-Namen der Domänen eindeutig sein. Sind in den beiden Gesamtstrukturen eine oder mehrere Domänen identisch bezeichnet, werden sie vom Namenssuffixrouting ausgeschlossen. Die Vertrauensstellung kann dennoch ohne Probleme eingerichtet werden.

14 15

177


4.2

Vorbereiten der Gesamtstruktur und der Windows-Domänen für Exchange Server 2007

Setzen Sie im Unternehmen mehrere Domänen oder sogar Gesamtstrukturen ein, reicht es nicht aus, nur das Installationsprogramm zu starten, sondern Sie müssen einige Vorbereitungen treffen, bevor der erste Exchange Server installiert werden kann. Bevor Sie die Domäne und die Gesamtstrukturen auf Exchange Server 2007 vorbereiten, müssen Sie zunächst die Voraussetzungen schaffen, die im Abschnitt 4.1 dieses Kapitels besprochen werden.

4.2.1

Die wichtigsten Administratorkonten im Active Directory

Im Active Directory gibt es verschiedene Administratorengruppen, die über unterschiedliche Berechtigungen verfügen. Nur wenn ein Konto Mitglied in allen wichtigen Administratorgruppen ist, verfügt es über umfassende Rechte im Active Directory. Bereiten Sie Ihre Gesamtstruktur und Domänen für Exchange Server 2007 vor, müssen Sie die Bedeutung der einzelnen Administratoren kennen. Diese Gruppen befinden sich im Container Users des Snap-Ins Active DirectoryBenutzer und -Computer (siehe Abbildung 4.26). Abbildung 4.26: Administratorkonten im Active Directory

■

178

Domänen-Admins enthalten die Administratoren, welche die lokale Domäne verwalten und umfassende Rechte in dieser Domäne haben. Ein Administrator ist jeweils nur für eine Domäne zuständig. Legen Sie mehrere Domänen in einer Gesamtstruktur an, gibt es mehrere Benutzerkonten Administrator, die jeweils zu einer Domäne gehören und nur in dieser einen Domäne volle administrative Berechtigungen besitzen.

Gesamtstruktur und Domänen für Exchange Server 2007 vorbereiten

■

■

Organisations-Admins sind eine spezielle Gruppe von Administratoren, die Berechtigungen für alle Domänen im Active Directory besitzen. Sie haben auf Ebene der Gesamtstruktur die meisten Rechte, aber in einzelnen Domänen haben die Domänen-Admins mehr Rechte. Organisations-Admins gibt es nur in der Root-Domäne. Schema-Admins sind eine der kritischsten Gruppen überhaupt. Mitglieder dieser Gruppe dürfen Veränderungen am Schema des Active Directory vornehmen. Produkte, die das Schema des Active Directory erweitern, wie zum Beispiel Exchange 2007, können nur installiert werden, wenn der installierende Administrator Mitglied in dieser Gruppe ist.

1 2 3

Das Konto Administrator in der ersten installierten Domäne einer Gesamtstruktur ist das wichtigste und kritischste Konto im gesamten System. Es erlaubt den administrativen Zugriff auf alle wichtigen Systemfunktionen und ist Mitglied aller beschriebenen Administratorengruppen.

4

Einige der Gruppen sind nur in der ersten Domäne, die in der Gesamtstruktur eingerichtet wurde, definiert. Andere Gruppen werden erst nach der Installation bestimmter Dienste, wie DNS und DHCP, auf Domänencontrollern erstellt. Sie werden nicht erstellt, wenn DNS und DHCP auf alleinstehenden Servern installiert werden. Vor allem in Gesamtstrukturen sind diese Standardgruppen in der Root-Domäne besonders wichtig: ■

■

■

■

■

■

5 6

DHCP-Administratoren dürfen DHCP-Server in der Domäne verwalten. Die Gruppe wird nach der Installation des ersten DHCP-Servers auf einem Domänencontroller der Domäne erstellt. DHCP-Benutzer enthält Benutzerkonten, die lesend auf die Informationen des DHCP-Dienstes zugreifen, aber keine Änderungen vornehmen dürfen. Diese Gruppe ist nur für Administratoren und Operatoren, nicht für normale Benutzer oder Computer relevant. Computer, die DHCP-Adressen anfordern, müssen darin nicht aufgenommen werden. Die Gruppe DnsAdmins enthält die Administratoren für DNS-Server. Dieser Gruppe sind keine Benutzer zugeordnet. Sie kann verwendet werden, um die Administration von DNS-Servern zu delegieren. Das ist vor allem dann von Bedeutung, wenn die DNS-Infrastruktur eines Unternehmens von Administratoren verwaltet wird, die nicht für die Active Directory-Umgebung zuständig sind. Diese Gruppe wird erst angelegt, wenn ein DNS-Server auf einem Domänencontroller erstellt wurde, der seine Informationen im Active Directory verwaltet. In der Gruppe DnsUpdateProxy befinden sich Computer, die als Proxy für die dynamische Aktualisierung von DNS-Einträgen fungieren können. Diese Gruppe steht nur zur Verfügung, wenn ein Domänencontroller angelegt wird. In diese Gruppe können Sie zum Beispiel DHCP-Server aufnehmen, die dynamische DNS-Einträge für die Clients auf den DNS-Servern erstellen sollen. Die Gruppe Richtlinien-Ersteller-Besitzer umfasst die Anwender, die Gruppenrichtlinien für die Domäne erstellen dürfen. Das können Administratoren sein, die sich nur um diese Aufgabe in der Gesamtstruktur kümmern. Die Gruppe WINS-Benutzer wird angelegt, wenn es einen WINS-Server auf einem der Domänencontroller gibt. In ihr befinden sich die Benutzer, die nur Leserechte auf die WINS-Datenbank haben.

7 8 9 10 11 12 13 14 15

179


Die Gruppen DnsUpdateProxy, Organisations-Admins, Schema-Admins und DnsAdmins werden in der ersten Domäne, die in einer Gesamtstruktur eingerichtet wird, definiert. Das ist gleichzeitig die oberste Domäne der ersten Struktur der Gesamtstruktur. Einer Gruppe können Benutzer und Benutzergruppen aus unterschiedlichen Domänen der Struktur hinzugefügt werden.

4.2.2

Migration – Installation in eine Exchange 2000/2003-Organisation

Wollen Sie einen Exchange Server 2007 in eine bestehende Exchange 2000- oder 2003Organisation installieren, müssen Sie das Exchange Server 2007-Installationsprogramm zunächst mit der Option setup /PrepareLegacyExchangePermissions starten. Dieser Befehl erteilt dem Recipient Update Service (Empfängeraktualisierungsdienst, RUS) von Exchange Server 2000/2003 entsprechende Rechte für Exchange Server 2007, da hier der entsprechende Prozess anders funktioniert. Unter Exchange Server 2007 gibt es eine eigene Administratorrolle für die Anbindung neuer Exchange-Empfängern. Mitglieder dieser Gruppe dürfen ausschließlich die E-Mail-Eigenschaften von Anwendern anpassen (siehe Kapitel 12). Sie müssen diesen Befehl in jeder Domäne ausführen, in der sich Exchange 2000/2003-Server befinden oder Empfänger, die Postfächer auf Exchange 2000/2003-Servern haben. Wird dieser Befehl nicht erfolgreich ausgeführt, kann der RUS keine neuen Empfänger an Exchange anbinden, da er nicht die Berechtigungen dieser neuen Admin-Rolle hat. Wie Sie die manuelle Active Directory-Replikation anstoßen, habe ich Ihnen bereits in Kapitel 3 gezeigt, die entsprechende Diagnose wird in Kapitel 16 besprochen. Damit dieser Befehl ausgeführt werden kann, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Organisations-Administratoren (Enterprise-Admins) ist. Außerdem muss der Server, auf dem Sie diesen Befehl ausführen, eine Verbindung zu allen Domänen der Gesamtstruktur aufbauen können. Wurde der Befehl erfolgreich ausgeführt, sollten Sie vor weiteren Schritten die Replikation der Exchange Server und Domänencontroller abwarten.

4.2.3

Vorbereiten des Active Directory-Schemas

Bevor Sie einen Exchange Server 2007 in einem Active Directory installieren können, muss dieses Active Directory um zahlreiche Klassen und Attribute erweitert werden. Einige dieser Attribute sind zum Beispiel die Exchange-Eigenschaften Ihrer Benutzer. Haben Sie jedoch mehrere Domänen an mehreren Standorten installiert, sollten Sie die Schemavorbereitung vor der Installation eines Exchange Servers durchführen. Da die Schemaerweiterungen erst noch auf alle Domänencontroller repliziert werden müssen, kann dieser Vorgang etwas länger dauern. In einer Domäne, bei der den Domänencontrollern diese Erweiterungen noch nicht repliziert wurden, kann Exchange Server 2007 nicht installiert werden, bis die Replikation erfolgreich durchgeführt wurde. Um das Schema vorzubereiten, starten Sie das Exchange-Setup-Programm mit der Option setup /PrepareSchema. Nach der Eingabe des Befehls verbindet sich das Installationsprogramm mit dem Schemamaster der Gesamtstruktur und importiert die entsprechenden Daten in das Schema Ihrer Gesamtstruktur. Um diesen Befehl ausführen zu können, muss sich das Konto, mit dem Sie sich angemeldet haben, in den Gruppen Schema-Admins und Organisations-Admins befinden. 180


Sie müssen den Befehl setup /PrepareSchema auf einem Server durchführen, der sich in der gleichen Domäne und im gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur.

INFO

1

Haben Sie bei der Installation von Exchange Server 2007 in eine Exchange 2000/ 2003-Organisation vor der Ausführung von setup /PrepareSchema nicht die Domänen mit setup /PrepareLegacyExchangePermissions vorbereitet, wird dieser Befehl nachträglich automatisch gestartet.

2

In diesem Fall muss der Server, auf dem Sie setup /PrepareSchema starten, Verbindung zu allen Domänen in der Gesamtstruktur aufbauen können.

3

Probleme bei der Schemaerweiterung

4

Bei der Erweiterung des Schemas besteht unter Umständen die Möglichkeit, dass die Erweiterung in der Registry auf dem Schemamaster deaktiviert ist. Sollte das bei Ihnen der Fall sein, bricht die Schemaerweiterung ab.

5

In diesem Fall sollten Sie auf dem Schemamaster zu folgendem Registry-Key wechseln:

6

HKLM/System/CurrentControlSet/Services/NTDS/Parameters Weisen Sie den beiden DWORD-Werten Schema Update Allowed und Schema Delete Allowed den Wert 1 zu (siehe Abbildung 4.27). Warten Sie nach den Änderungen zehn bis 15 Minuten, bevor Sie die Schemaerweiterung erneut ausführen. Sie müssen dazu den Server nicht neu starten.

7 8 Abbildung 4.27: Aktivierung der Schemaerweiterung auf dem Schemamaster

9 10 11 12 13

4.2.4

Anlegen der Exchange-Objekte im Active Directory

14

Nach der Vorbereitung des Schemas müssen Sie noch den Befehl setup /PrepareAD ausführen, damit in der Gesamtstruktur Objekte für Exchange Server 2007 angelegt werden. Dieser Befehl legt zum Beispiel die notwendigen Sicherheitsgruppen für Exchange Server 2007 in der Stammdomäne (Root) der Gesamtstruktur an.

15

Um diesen Befehl ausführen zu können, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Organisations-Admins ist. Setzen Sie in der

181


Organisation Exchange 2000- oder 2003-Server ein, müssen Sie noch Mitglied der Exchange-Administratoren dieser Organisation sein. Sie müssen den Befehl auf einem Server durchführen, der sich in der gleichen Domäne und am gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur.

INFO

Haben Sie bei der Installation von Exchange Server 2007 in eine Exchange 2000/2003-Organisation vor der Ausführung von setup / PrepareAD die Domänen nicht mit setup /PrepareLegacyExchangePermissions vorbereitet, wird dieser Befehl nachträglich automatisch gestartet. In diesem Fall muss der Server, auf dem Sie setup / PrepareAD starten, Verbindung zu allen Domänen in der Gesamtstruktur aufbauen können. Haben Sie bei der Ausführung von setup / PrepareAD noch nicht setup /PrepareSchema ausgeführt, wird auch dieser Befehl nachträglich automatisch gestartet. Sie können die erfolgreiche Durchführung des Befehls überprüfen, indem Sie das Snap-In Active Directory-Benutzer und -Computer starten. Unterhalb der Domäne wurde automatisch eine neue OU mit der Bezeichnung Microsoft Exchange Security Groups angelegt, in der sich die notwendigen universellen Sicherheitsgruppen befinden, die Exchange Server 2007 benötigt (siehe Abbildung 4.28).

Abbildung 4.28: Neue universelle Sicherheitsgruppen für Exchange Server 2007

Die folgenden universellen Sicherheitsgruppen sollten sich in der OU befinden (siehe Kapitel 12): ■ ■ ■ ■ ■

Exchange Organization Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange Servers ExchangeLegacyInterop

Exchange Server 2007 auf Domänencontrollern installieren

INFO

182

Während der Installation von Exchange Server 2007 auf einem Server wird die Gruppe Exchange Organization Administrators automatisch in die lokale Administratorengruppe des Servers aufgenommen (siehe Abbildung 4.29). Da die lokale Administratorgruppe auf Domänencontrollern fast umfassende Berechtigungen in der Domäne hat, erhalten dadurch unter Umständen Exchange-Administratoren mehr Rechte, als sie haben sollen. Beachten Sie daher diesen Punkt bei der Planung und Installation.


Abbildung 4.29: Lokale Administratorgruppe auf einem Exchange Server

1 2 3

4 5 6

4.2.5

Vorbereiten der Domänen in der Gesamtstruktur

7

Als Nächstes müssen noch die einzelnen Domänen in der Gesamtstruktur für die Installation von Exchange Server 2007 vorbereitet werden. Führen Sie das Exchange Server 2007-Setup-Programm mit einer der folgenden Optionen aus: ■

■ ■

8

setup /PrepareDomain – Führen Sie diesen Befehl aus, wird nur die Domäne vorbereitet, in der sich der Server befindet, auf dem Sie den Befehl starten. Sie müssen diesen Befehl nicht in der jeder Domäne ausführen, in der Sie auch setup / PrepareAD durchgeführt haben, da hier die Domäne schon vorbereitet wurde. setup /PrepareDomain: – Mit diesem Befehl können Sie – remote – einzelne Domänen vorbereiten. setup /PrepareAllDomains – Bereitet alle Domänen in der Gesamtstruktur für Exchange Server 2007 vor. Führen Sie diesen Befehl aus, erhalten Sie unter Umständen eine Fehlermeldung bei Domänen, die sich an anderen Active Directory-Standorten befinden, wenn zum Beispiel die Replikation noch nicht abgeschlossen worden ist. Führen Sie in diesem Fall eine manuelle Replikation durch, oder warten Sie, bis die Replikation abgeschlossen worden ist. Starten Sie den Befehl dann noch einmal.

9 10 11 12 13

Damit Sie diese Befehle ausführen können, müssen Sie Mitglied der Gruppe Organisations-Admins sein sowie Mitglied der Gruppe Domänen-Admins in jeder Domäne, die Sie vorbereiten.

14

Sie können die Ausführung dieses Befehls überprüfen, indem Sie im Snap-In Active Directory-Benutzer und -Computer (Start/Ausführen/dsa.msc) in der OU Microsoft Exchange System Objects eine neue globale Sicherheitsgruppe Exchange Install Domain Servers finden (siehe Abbildung 4.30).

15

183


Abbildung 4.30: Überprüfen der Domänenvorbereitung

Die OU Microsoft Exchange System Objects wird aber nur angezeigt, wenn Sie über das Menü Ansicht die erweiterten Funktionen aktiviert haben (siehe Abbildung 4.31). Diese Gruppe wird benötigt, wenn Sie Exchange Server 2007 in einem anderen Active Directory-Standort installieren, an dem sich die Stammdomäne der Gesamtstruktur befindet. Durch diese Gruppe werden Fehlermeldungen während der Installation vermieden, die durch langsame Replikation erscheinen können. Die Gruppe Exchange Install Domain Servers ist Mitglied der Gruppe Exchange Servers in der Stammdomäne der Gesamtstruktur. Abbildung 4.31: Aktivieren der erweiterten Funktionen

4.3

Typische Installation von Exchange Server 2007

Installieren Sie Exchange Server 2007 in einer neuen Active Directory-Gesamtstruktur, werden normalerweise die Rollen Mailbox, Hub-Transport und Client-Access installiert. Microsoft empfiehlt, an jedem Active Directory-Standort mindestens einen Exchange Server mit diesen Rollen zu installieren, damit der Mail-Verkehr und die Anbindung der Clients problemlos funktionieren. Führen Sie eine typische Installation durch, ist es später möglich, zusätzliche Rollen zu installieren. Ich komme in diesem Kapitel noch ausführlicher auf diesen Punkt zurück. Installieren Sie im Unternehmen nur einen Exchange –Server, und setzen Sie nur eine Domäne ein, sind unter Umständen die notwendigen Vorbereitungen etwas reduziert bzw. werden automatisch durch das Setup-Programm übernommen. Installieren Sie den ersten Exchange Server 2007 in Ihrer Domäne, ohne Vorbereitungen getroffen zu haben, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Schema-Administratoren ist.

184

Typische Installation von Exchange Server 2007

Um den ersten Exchange Server 2007 in einer Organisation zu installieren, benötigen Sie die Rechte der Gruppe Organisations-Admins. Wurde das Schema bereits vorbereitet und befinden sich Exchange 2007-Server in der Organisation, müssen Administratoren, die zusätzliche Exchange Server installieren, nur Mitglied in der Gruppe Exchange Organizations Administrators sein.

INFO

1

Außerdem muss sichergestellt sein, dass sich das Benutzerkonto in der lokalen Administratorgruppe des Servers befindet, auf dem Sie Exchange Server 2007 installieren.

2

Der weitere Ablauf der Installation entspricht der Installation der Testumgebung aus Kapitel 2.

3 Abbildung 4.32: Typische Installation von Exchange Server 2007

4 5 6 7 8 9 10 11

Wählen Sie die typische Installation aus, werden die Unified-Messaging-Rolle (siehe Kapitel 10), Edge-Transport-Server (siehe Kapitel 5) sowie die Unterstützung für Cluster (siehe Kapitel 14) nicht installiert.

12

Auf der Seite mit den Clienteinstellungen (siehe Abbildung 4.33) können Sie auswählen, ob im Unternehmen noch Outlook 2003 eingesetzt wird oder ausschließlich Outlook 2007. Setzen Sie noch Clients mit Outlook 2003 ein, sollten Sie in dem Feld Ja auswählen.

13 14 15

185


Abbildung 4.33: Auswahl der Clienteinstellungen

Wählen Sie Ja aus, erstellt das Exchange-Setup eine öffentliche Ordner-Datenbank. Wählen Sie Nein aus, wird diese Datenbank nicht erstellt, da öffentliche Ordner unter Outlook 2007/Exchange 2007 eigentlich nur optional sind. Bei dieser Auswahl handelt es sich aber nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen, diese funktioniert dann wie gewohnt (siehe Kapitel 7). Andere Auswirkungen hat dieses Fenster nicht.

4.4

Angepasste Installation (Unified Messaging, Edge-TransportServer und Cluster)

Wählen Sie auf dem Fenster zur Auswahl der Installationsmethode Benutzerdefinierte Installation von Microsoft Exchange Server 2007 aus, stehen Ihnen weitere Optionen zur Verfügung. Über diesen Weg können Sie zum Beispiel die Unified´-Messaging- und Edge-Transport-Serverrolle auswählen (siehe Kapitel 5 und 10). Auch die alleinige Installation der Verwaltungstools erfolgt über diese Auswahl (siehe Abbildung 4.34). Wollen Sie einen Cluster für die Mailbox-Serverrolle erstellen, erfolgt die Installation ebenfalls über diese Auswahl. Zu der Clusterinstallation komme ich ausführlich in Kapitel 14.

186

Unbeaufsichtigte Installation über die Befehlszeile

Abbildung 4.34: Benutzerdefinierte Installation von Exchange Server 2007

1 2 3

4 5 6 7 Wählen Sie die Edge-Transport-Funktion aus, darf der Server kein Mitglied der Gesamtstruktur sein, und es darf keine andere Exchange Server-Funktion auf dem Server installiert worden sein.

8 INFO

9

Lassen Sie die Verwaltungstools installieren, werden auf dem PC oder Server nur die Exchange-Verwaltungskonsole und die Exchange-Verwaltungsshell installiert.

10

Wählen Sie die Hub-Transport-Funktion aus und werden in der Organisation noch Exchange 2000/2003-Server betrieben, erscheint ein weiteres Fenster, auf dem Sie einen Exchange 2000/2003-Bridgeheadserver auswählen können, zu dem ein Routinggruppen-Connector aufgebaut wird. In Exchange 2007 gibt es zwar keine Routinggruppen oder administrativen Gruppen mehr, diese werden aber aus Kompatibilitätsgründen weiter unterstützt. Exchange 2007 nutzt für den E-Mail-Fluss die Active Directory-Struktur, benötigt aber Zugang zu den vorhandenen Routinggruppen, vor allem da dies die Hauptaufgabe eines Hub-Transport-Servers ist (siehe Kapitel 5).

11 12 13

4.5


14

Wie bereits in Kapitel 1 erwähnt, lässt sich Exchange Server 2007 auch über die Befehlszeile automatisiert installieren. Starten Sie in der Befehlszeile das Installationsprogramm setup.exe mit der Option /?, erhalten Sie eine ausführliche Liste, welche Optionen das Installationsprogramm noch unterstützt. Sie können die einzelnen Rollen über die Befehlszeile mitgeben, die Vorbereitung des Schemas (früher forest-

15

187


prep) und alle weiteren Optionen, die auch über die grafische Oberfläche zur Verfügung stehen. Wollen Sie Exchange Server 2007 unbeaufsichtigt installieren, geht das nur über die Befehlszeile. Die Installation über die Befehlszeile erfolgt über das Setup-Programm setup.com auf der Installations-CD/-DVD. Ihnen stehen einige Optionen zur Verfügung, über die Sie die Installation automatisieren können. Diese Optionen können auch miteinander kombiniert werden: ■

■

/mode:<Setupvariante> (es kann auch nur /m <Setupvariante> verwendet werden): Als <Setupvariante> können Sie Install, Upgrade, Uninstall oder RecoverServer verwenden (siehe auch Kapitel 11). Wählen Sie diese Option nicht aus, wird das Standardverhalten Install verwendet. Die Setup-Variante Upgrade kann nur für Vorversionen von Exchange 2007 verwendet werden, nicht für Updates von Exchange 2000/2003. Die Variante RecoverServer wird zur Serverwiederherstellung verwendet (siehe Kapitel 11). /roles:<Serverrollen> (oder auch /r:<Serverrollen>): Über diese Option können Sie auswählen, welche Serverrollen auf dem Server installiert werden. Sie können aus folgenden Rollen auswählen. Wollen Sie mehrere Rollen installieren, können Sie diese durch Komma trennen: ■ ClientAccess (oder CA oder C) ■

EdgeTransport (oder ET oder E)

■

HubTransport (oder HT oder H)

■

Mailbox (oder MB oder M)

■

UnifiedMessaging (oder UM oder U)

■

ManagementTools (oder MT oder T)

Wollen Sie auf einem Server zum Beispiel Client-Access und Mailbox installieren, geben Sie den Befehl Setup /roles:ClientAccess,Mailbox oder Setup /r:C,M ein (siehe Abbildung 4.35). Abbildung 4.35: Unbeaufsichtigte Installation von Exchange 2007

Die nachfolgenden Optionen sind optional und müssen nicht zwingend vorgegeben werden. Werden diese Optionen nicht mitgegeben, verwendet das Installationsprogramm die jeweilige Standardeinstellung.

188


■

■

■

■

■

■

■

■

■

■

/OrganizationName: – Diese Option wird nur benötigt, wenn Sie den ersten Exchange Server in einer Organisation installieren. Bei zusätzlichen Servern können Sie diese Option nicht verwenden. /TargetDir: – Hier können Sie ein Installationsverzeichnis auswählen, wenn Sie mit dem Standardpfad C:\Programme\Microsoft\Exchange Server nicht einverstanden sind. /UpdatesDir: – Hier können Sie ein Verzeichnis ausgeben, aus dem das Installationsprogramm Aktualisierungen für Exchange Server 2007 beziehen kann. Bei den Update-Dateien muss es sich entweder um eine Update.exe oder um *.msp-Dateien handeln. Diese Funktion macht erst dann Sinn, wenn Updates oder Service Packs für Exchange Server 2007 verfügbar sind. /DomainControler – Hier können Sie einen Domänencontroller mitgeben, den das Setup-Programm für die benötigte Verbindung zum Active Directory benötigt. /AnswerFile – Mit dieser Option können Sie den Pfad und die Bezeichnung einer Antwortdatei mitgeben. In dieser Datei können Sie verschiedene, erweiterte Optionen mitgeben, die Sie auch als Option für die Installation über die Befehlszeile mitgeben können. Die erlaubten Optionen in der Datei sind zum Beispiel EnableErrorReporting, NoSelfSignedCertificates, AdamLdapPort und AdamSslPort. /DoNotStartTransport – Verwenden Sie diese Option, wird nach der erfolgreichen Installation der Dienst Microsoft Exchange Transport zunächst nicht gestartet. Dieser Dienst ist für das Versenden von E-Mails vom Server verantwortlich und stellt den SMTP-Server von Exchange zur Verfügung. Beenden Sie den Dienst, ist der Server über Port 25 nicht mehr erreichbar. Dieser Dienst wird vor allem auf Hub-Transport- oder Edge-Transport-Servern benötigt. Wollen Sie nach der Installation auf einem Server noch Konfigurationen vornehmen, bevor E-Mails über diesen Server versendet werden, macht diese Option Sinn. /EnableLegacyOutlook – Bei dieser Option wird die Unterstützung für Outlook 2003 aktiviert. Wählen Sie diese Option aus, erstellt das Exchange-Setup eine öffentliche Ordner-Datenbank. Wählen Sie diese nicht aus, wird diese Datenbank nicht erstellt, da öffentliche Ordner unter Outlook 2007/Exchange 2007 eigentlich nur optional sind. Bei dieser Auswahl handelt es sich aber nicht um eine Sackgasse. Sie können nach der Installation ohne Weiteres manuell eine Datenbank für öffentliche Ordner erstellen, die dann wie gewohnt funktioniert. Andere Auswirkungen hat dieses Fenster nicht. /LegacyRoutingServer – Mit dieser Option wählen Sie bei Bedarf den Exchange 2000/2003-Server aus, zu dem der installierte Exchange Server 2007 E-Mails schicken soll und der als Bridgeheadserver für den Routinggruppen-Connector verwendet werden soll. Diese Option wird nur bei Koexistenz von Exchange Server 2007 mit Exchange 2000/2003 benötigt. /EnableErrorReporting – Bei dieser Option wird die Fehlerberichterstattung zu Microsoft aktiviert. Diese macht selten Sinn und wird normalerweise nicht benötigt. /NoSelfSignedCertificates – Exchange Server 2007 installiert für die Verwendung von SSL für OWA, Outlook Anywhere (RPC über HTTP), Exchange ActiveSync etc. eigene Zertifikate. Setzen Sie bereits eine Zertifikatsstelle ein und wollen Sie nicht die vorgefertigten Zertifikate verwenden, können Sie diese Option wählen. Diese Themen werden sehr ausführlich in Kapitel 9 behandelt.

1 2 3

4 5 6 7 8 9 10 11 12 13 14 15

189


■

■ ■

■ ■

■

■

■

■ ■ ■

■ ■ ■

■ ■

190

/AdamLdapPort – Diese Option wird verwendet, um auf Edge-Transport-Servern den LDAP-Port für die ADAM-Instanz festzulegen. Sie wird nur auf Edge-Transport-Servern unterstützt. /AdamSslPort – Hier legen Sie den SSL-Port für die ADAM-Instanz auf Edge-Servern fest. /AddUmLanguagePack: – Hierüber installieren Sie Sprachdateien (Language Packs) für Unified-Messaging-Funktionen, wie zum Beispiel Outlook Voice Access (siehe Kapitel 9 und 10). /RemoveUmLanguagePack:< UM Language Pack Bezeichnung> – Hierüber können Sie Language Packs für Unified Messaging deinstallieren. /NewProvisionedServer (oder /nprs) – Mit dieser Option wird ein PlatzhalterComputerkonto im Active Directory erstellt, auf deren Basis Sie Berechtigungen für die Installation eines neuen Servers delegieren können. So können andere Anwender auf diesem Server Exchange Server 2007 installieren, ohne weitreichendere Rechte bekommen zu müssen. /RemoveProvisionedServer (oder /rprs) – Verwenden Sie diese Option, wird das mit /nprs erstellte Platzhalter-Computerkonto entfernt. Diese Option kann nur verwendet werden, wenn auf dem Platzhalterkonto noch kein Exchange Server 2007 installiert worden ist. /ForeignForestFQDN – Mit dieser Option werden die Microsoft Exchange-Sicherheitsgruppen in einer anderen Gesamtstruktur erstellt, zusätzlich zu den Sicherheitsgruppen in der lokalen Gesamtstruktur. Unterhalb der Domäne wurde automatisch eine neue OU mit der Bezeichnung Microsoft Exchange Security Groups angelegt, in der sich die notwendigen universellen Sicherheitsgruppen befinden, die Exchange Server 2007 benötigt. Folgende universellen Sicherheitsgruppen sollten sich in der OU befinden: Exchange Organization Administrators, Exchange Recipient Administrators, Exchange View-Only Administrators, Exchange Servers, ExchangeLegacyInterop. /ServerAdmin – Mit dieser Option legen Sie das Benutzerkonto fest, das Berechtigungen für das Computerobjekt hat, das Sie mit /NewProvisionedServer (oder /nprs) festgelegt haben. /NewCms – Mit dieser Option erstellen Sie einen neuen Mailbox-Cluster (siehe Kapitel 14). Sie müssen diese Option zusammen mit /CMSName verwenden. /RemoveCms – Mit dieser Option entfernen Sie einen Mailbox-Cluster. Sie müssen diese Option zusammen mit /CMSName verwenden (siehe Kapitel 14). /RecoverCms – Mit dieser Option können Sie einen Mailbox-Cluster wiederherstellen. Sie müssen diese Option zusammen mit /CMSName verwenden (siehe Kapitel 14). /CMSName: (oder /cn) – Mit dieser Option legen Sie den Namen des Mailbox-Cluster-Servers fest (siehe Kapitel 14). /CMSIPAddress: (oder /cip) – Diese Option legt die IP-Adresse des Clusters fest (siehe Kapitel 14). /CMSSharedStorage – Mit dieser Option legen Sie fest, dass der Clusterknoten, den Sie gerade installieren, den gemeinsamen Datenträger des Clusters verwendet. Wird die Option nicht gesetzt, verwendet der Knoten den gemeinsamen Datenträger nicht (siehe Kapitel 14). /CMSDataPath: – Hierüber wird der Pfad zum gemeinsamen Datenträger festgelegt (siehe Kapitel 14). /? – Über diese Option werden alle verfügbaren Optionen angezeigt.


Abbildung 4.36: Ausführliche Information über die unterstützten Optionen des Installationsprogramms von Exchange 2007

1 2 3

4 5 6 7 8 9 Starten Sie die Installation über die Befehlszeile, werden auch die Statusinformationen der Installation in der Befehlszeile ausgegeben; es startet keine grafische Oberfläche (siehe Abbildung 4.37).

10 Abbildung 4.37: Installation über die Befehlszeile durchführen

11 12 13 14 15

191


4.6

Nachträgliche Installation des Service Pack 1

Wurde auf einem Server unter Windows Server 2003 bereits Exchange Server 2007 installiert, kann mit den Installationsdateien des Service Pack 1 diese bestehende Version auf Exchange Server 2007 SP1 aktualisiert werden. Achten Sie darauf, dass vorher auf dem Server das Service Pack 2 für Windows Server 2003 installiert werden muss. Neben einer komplett neuen Serverinstallation mit den Installationsdateien des Service Packs können natürlich auch weiterhin bestehende Server aktualisiert werden. Zur Aktualisierung wird das Download-Paket entpackt und das Setup-Programm gestartet. Anschließend kann über das Menü die Aktualisierung durchgeführt werden. Mit dem Befehl setup /mode:upgrade wird die Aktualisierung über die Befehlszeile gestartet.

TIPP

Microsoft empfiehlt beim Einsatz mehrerer Exchange Server im Unternehmen erst Client-Access-Server, dann Unified-Messaging-Server, Hub-Transport-Server und Edge-Transport-Server zu aktualisieren. Erst ganz zum Schluss sollten Server mit der Mailbox-Server-Rolle aktualisiert werden. Außerdem empfiehlt Microsoft erst die Aktualisierung von Client-Access-Servern für den Zugriff über das Internet, zum Beispiel für Outlook Web Access oder Outlook Anywhere. Erst dann sollten die ClientAccess-Server, die für den internen Gebrauch dienen, auf das Service Pack aktualisiert werden. Werden Mailbox-Server vor den Hub-Transport-Servern aktualisiert, kann der E-Mail-Fluss zwischen den Servern zum Erliegen kommen.

Abbildung 4.38: Ein bestehender Exchange Server kann leicht auf Exchange Server 2007 SP 1 aktualisiert werden.

4.6.1

Was muss beim Einsatz von Service Pack 1 für Exchange Server 2007 beachtet werden?

Im folgenden Abschnitt gehe ich darauf ein, was sich bei der Verwaltung von Exchange nach der Installation des Service Packs im Bereich des Hinzufügens oder Entfernens von Serverrollen ändert.

192

Nachträgliche Installation des Service Pack 1

Ein Windows Server 2003-System mit Exchange Server 2007 kann nicht auf Windows Server 2008 aktualisiert werden, auch wenn das Service Pack 1 für Exchange Server 2007 installiert wird. Soll Exchange Server 2007 unter Windows Server 2008 betrieben werden, muss die Installation direkt über die SP 1-Installationsdateien erfolgen, ohne dass auf dem Server vorher Exchange installiert war. Im schlimmsten Fall bedeutet das die Neuinstallation eines Servers.

HALT

1 2

Das Service Pack kann nach einer Installation nicht mehr von einem Server entfernt werden. Eine Deinstallation ist nur dann möglich, wenn Exchange Server 2007 komplett von einem Server entfernt wird. Natürlich werden durch eine Installation des Service Packs alle Serverfunktionen auf dem Server aktualisiert. Es ist nicht möglich, nur einzelne Serverfunktionen von Exchange Server 2007 zu aktualisieren und andere nicht. Wurde auf einem Server das Service Pack 1 für Exchange Server 2007 installiert, müssen zur zusätzlichen Installation von weiteren Serverfunktionen die Exchange Server 2007 SP 1-Installationsdateien verwendet werden.

3

4 5

HALT

Werden im Unternehmen Edge-Transport-Server eingesetzt, müssen alle an einem Abonnement beteiligten Server innerhalb von 15 Tagen auf das Service Pack 1 aktualisiert werden, besser früher. Spätestens nach 30 Tagen stellen die Edge-TransportServer ansonsten ihre Funktion ein. Es ist für die Stabilität des E-Mail-Systems extrem wichtig, dass die Serverversion aller Server in der Organisation identisch ist. Das gilt vor allem bei den grundlegenden Änderungen durch die Installation des Service Packs. Durch das Service Pack werden Einstellungen in der Authentifizierung für Edge-Abonnements geändert. Aus diesem Grund muss die Version übereinstimmen, da zwischen den Servern ansonsten Anfragen verweigert werden, weil die Authentifizierung nicht mehr stattfinden kann.

6 7 8 9

Mit dem SP1 wird die Begrenzung eines Sendeconnectors auf einen einzelnen Active Directory-Standort durch das Hinzufügen des IsScopedConnector-Parameters in Exchange-Verwaltungsshell-Cmdlets und das Kontrollkästchen Begrenzter Sendeconnector in der Exchange-Verwaltungskonsole vereinfacht. Wenn ein Sendeconnector begrenzt wird, berücksichtigen nur die Hub-Transport-Server, die sich am selben Active Directory-Standort wie die Quellserver des Sendeconnectors befinden, diesen Sendeconnector bei Routingentscheidungen.

10 11

Wird im Unternehmen Microsoft Forefront Security für Exchange Server 2007 eingesetzt, muss vor der Installation des Service Packs sichergestellt werden, dass die eingesetzte Version von Forefront Security das Service Pack unterstützt. Das ist nämlich nur bei den ganz aktuellen Versionen der Fall.

12 13

Durch die Aktualisierung auf Exchange 2007 SP1 werden die Protokollierungseinstellungen der Protokolle POP3 und IMAP4 auf die Standardeinstellungen zurückgesetzt und damit deaktiviert. Diese Einstellungen sollten daher nachträglich noch überprüft werden.

14

Bei Neuinstallationen mit Exchange 2007 SP1 können in Outlook Anywhere Authentifizierungsmethoden ausgewählt werden, die für das virtuelle Verzeichnis /rpc im Internetinformationsdienst (IIS) aktiviert werden. Das ermöglicht, dass Sie die Authentifizierungsmethode für das virtuelle Verzeichnis /rpc in IIS auf Standard-

15

193


oder auf NTLM-Authentifizierung oder auf beide Authentifizierungsmethoden konfigurieren können. Ohne das Service Pack sind die Standardauthentifizierung und die NTLM-Authentifizierung für das virtuelle Verzeichnis /rpc immer aktiviert, auch wenn Outlook 2007 nur eine Authentifizierungsmethode verwendet. Außerdem ist es ohne das Service Pack nicht möglich, nur eine Authentifizierungsmethode zu konfigurieren, weil Exchange die beiden Funktionen Standard- und NTLM-Authentifizierung alle 15 Minuten automatisch konfiguriert. Durch diese neue Möglichkeit empfiehlt Microsoft, nur noch die Authentifizierungsoption zu aktivieren, die von den Clients unterstützt wird. Dabei hilft auch das CMDlet Set-OutlookAnywhere mit der Option IISAuthenticationMethods. Exchange 2007 SP1 enthält nicht die Suchfilter von Microsoft Office 2007. Aus diesem Grund kann Exchange 2007 auch nach der Installation des SP1 keine Office 2007-Anlagen in Postfächern indizieren. Die Office 2007-Suchfilter können aber nachträglich installiert werden. Dieser Vorgang wird im Knowledge-Base-Artikel auf der Seite http://support.microsoft.com/?kbid=944516 ausführlich erläutert. Auf Mailbox-Servern unter Windows Server 2008 muss der WMI-Dienst (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) manuell der Ausnahmeliste in der Firewall hinzugefügt werden. Ansonsten ist es nicht möglich, Postfachspeicher über das Netzwerk auf dem Server zu erstellen. Auch die Verwaltung des Servers ist dann nur schwer möglich. Im Gegensatz zu Windows Server 2003 ist die Firewall in Windows Server 2008 immer automatisch aktiviert. Allerdings sollte dieser Vorgang erst nach der Installation durchgeführt werden.

TIPP

Die Remotestreaming-Funktion in der Datensicherung von Exchange Server 2007 unter Windows Server 2003 wird durch die Installation des Service Pack 1 deaktiviert. Dadurch können Exchange Server mit dieser Sicherungsfunktion nicht mehr über das Netzwerk gesichert werden. Um diese Funktion nach der Installation von SP1 zu aktivieren, muss der DWORD-Wert Enable Remote Streaming Backup im Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ ParametersSystem auf 1 geändert werden. Beim Standardwert 0 ist die Funktion deaktiviert. Die Funktion wird für allem für das Seeding bei der Cluster Continuous Replication eingesetzt. Auch manche Datensicherungslösungen von Drittherstellern verwenden diese Funktion. Nach der Installation sollten daher die Einstellungen überprüft werden. Diese Möglichkeit besteht unter Windows Server 2008 nicht mehr, da hier diese Funktion bereits vom Betriebssystem nicht mehr unterstützt wird. Soll die neue Methode Standby Continous Replication (SCR) des Service Packs verwendet werden, muss auf allen beteiligten Exchange Servern am Standort das gleiche Betriebssystem installiert werden. SCR unterstützt Windows Server 2003, Windows Server 2003 R2 und Windows Server 2003, aber keine Mischkonfiguration. Bei Servern mit der Unified-Messaging-Funktion müssen vor der Installation des Service Packs erst alle nachträglich installierten Sprachpakete entfernt werden. Nach dem Entfernen kann das Service Pack 1 installiert werden. Durch die Installation von SP1 wird für die Sprache des Exchange Servers automatisch das entsprechende Sprachpaket installiert, Wahlpläne müssen aber weiterhin manuell konfiguriert werden. Außerdem darf auf dem Server keine andere Funktion als Unified Messaging installiert werden. Wurden auf dem Server manuell die Konfigurationsdateien Globcfg.xml und UMRecyclerConfig.xml von Unified Messaging angepasst, werden diese

194

Exchange Server 2007 entfernen und anpassen

durch die Installation des Service Packs auf den Standard zurückgesetzt. Aus diesem Grund ist es empfehlenswert, die Daten vorher zu kopieren. Standardmäßig befinden sich die beiden Dateien im Verzeichnis C:\Programme\Microsoft\Exchange Server\bin. Generell ist es ohnehin empfehlenswert, vor der Installation des Service Packs eine komplette Sicherung des Servers durchzuführen. Der Parameter RecordingIdleTimeout legt die Anzahl der Sekunden fest, in denen beim Aufzeichnen einer Sprachnachricht geschwiegen werden darf, bevor das Telefonat durch den Server beendet wird. Der Standardwert für den Parameter beträgt fünf Sekunden. Ohne das SP1 kann der Wert zwischen zwei und 16 Sekunden manuell angepasst werden. Nach der Installation von SP1 beträgt der Wert für diesen Parameter zwei bis zehn Sekunden. Wurde dieser auf einen höheren Wert gesetzt, startet der Systemdienst für Unified Messaging nicht mehr. In diesem Fall muss der Schwellenwert auf unter zehn Sekunden gesetzt werden. Die Einstellung wird mit dem CMDLet Set-UMDialplan vorgenommen.

4.7

1 2 HALT

3

4 5


6

Unter manchen Umständen möchten Sie von einzelnen Servern Serverrollen wieder entfernen oder welche hinzufügen. Serverrollen können nur mit Benutzerkonten entfernt werden, die sich in der Exchange Organization Administrators-Gruppe befinden. Außerdem muss das Benutzerkonto Mitglied in der lokalen Administratorgruppe sein. Stellen Sie auf jeden Fall zunächst sicher, ob die Serverrolle, die Sie entfernen, entweder nicht mehr benötigt oder auf einem anderen Server zur Verfügung gestellt wird. Vor allem beim Entfernen von Mailbox-Servern sollten Sie darauf achten, die Postfächer und eventuell vorhandene öffentliche Ordner auf andere Server zu verschieben. Entfernen Sie auf einem Server die Mailbox-Rolle, müssen Sie die Datenbankdatei (*.edb) manuell löschen. Auch die Transaktionsprotokolldateien (*.log) müssen manuell gelöscht werden. Die Mailbox-Rolle lässt sich erst erneut installieren, wenn die *.edb-Dateien und *.log-Dateien einer vorherigen Installation entfernt wurden.

7 8 9 10 TIPP

11

4.7.1

Entfernen über die grafische Oberfläche

Um eine Rolle von einem Server zu entfernen, gehen Sie folgendermaßen vor:

12

1. Melden Sie sich an dem Server an, von dem Sie die Rolle entfernen wollen. 2. Gehen Sie in die Systemsteuerung, und klicken Sie auf Software. 3. Wählen Sie Microsoft Exchange Server 2007 aus, und klicken Sie auf Entfernen

4.

13

(siehe Abbildung 4.39). Klicken Sie auf Ändern, können Sie zusätzliche Serverrollen installieren, aber keine entfernen. Anschließend startet die Exchange-Installation im Wartungsmodus.

14 15

195


Abbildung 4.39: Anpassen der Exchange Server 2007-Installation

5. Klicken Sie im Startfenster des Wartungsmodus zunächst auf Weiter. Abbildung 4.40: Starten des ExchangeWartungsmodus

6. Auf dem nächsten Fenster werden alle installierten Serverrollen angezeigt und auch aktiviert. Entfernen Sie den Haken bei der Serverrolle, die vom Server entfernt werden soll (siehe Abbildung 4.41). Standardmäßig ist immer bei allen Serverrollen der Haken gesetzt, damit nicht versehentlich eine Serverrolle entfernt wird.

INFO

196

Entfernen Sie bei allen Serverrollen die Haken, wird Exchange Server 2007 komplett von diesem Server entfernt. In diesem Fall werden auch die dazugehörigen Active Directory-Objekte des Exchange Servers entfernt. Achten Sie darauf, dass Sie in diesem Fall mit einem Benutzerkonto arbeiten müssen, das sich in der Gruppe Organisations-Admins befindet.


Abbildung 4.41: Auswählen der zu entfernenden Serverrollen

1 2 3

4 5 6 7 7.

Haben Sie die Auswahl getroffen, wird auf der nächsten Seite des Assistenten überprüft, ob die Rolle gefahrlos vom Server entfernt werden kann. 8. Schließen Sie den Assistenten mit Deinstallieren ab, um die Rolle vom Server zu entfernen (siehe Abbildung 4.42).

8

Abbildung 4.42: Deinstallieren einer Serverrolle

9 10 11 12 13 14 15

197


4.7.2

Exchange oder Rollen über die Befehlszeile entfernen

Es besteht auch die Möglichkeit, Serverrollen über die Befehlszeilen zu entfernen. Dazu wird das Installationsprogramm setup.com verwendet. Gehen Sie dazu folgendermaßen vor:

1. 2. 3. 4.

INFO

Melden Sie sich am Server an, auf dem Sie die Rolle entfernen wollen. Navigieren Sie zum Verzeichnis mit den Exchange Server 2007-Installationsdateien, oder legen Sie die Installations-DVD ein. Starten Sie eine Befehlszeile, und wechseln Sie zum Verzeichnis der Installationsdateien. Geben Sie in der Befehlszeile den Befehl setup.com /mode:uninstall /role: ein. Sie können mehrere Rollen gleichzeitig entfernen, wenn Sie die Rollen durch Komma trennen. Die Rollen sind: ■

ClientAccess (oder CA oder C)

■

EdgeTransport (oder ET oder E)

■

HubTransport (oder HT oder H)

■

Mailbox (oder MB oder M)

■

UnifiedMessaging (oder UM oder U)

■

ManagementTools (oder MT oder T)

Geben Sie nur den Befehl setup.com /mode:uninstall ein, also keine speziellen Rollen, wird Exchange komplett vom Server entfernt. Datenbankdateien von Mailbox-Servern müssen allerdings auch bei diesem Vorgang manuell entfernt werden.

Abbildung 4.43: Entfernen einer Serverrolle in der Befehlszeile

HALT

198

Im Gegensatz zur grafischen Oberfläche erscheint beim Entfernen von Serverrollen über die Befehlszeile keine weitere Meldung. Die Deinstallation wird nach der Eingabe des Befehls sofort durchgeführt (siehe Abbildung 4.43).


4.7.3

Exchange-Installation anpassen

Sie können die Exchange-Installation auf einem Server in folgenden Bereichen anpassen: ■ ■ ■

1

Sie können Serverrollen hinzufügen. Sie können die aktiven Knoten im Cluster festlegen (siehe Kapitel 14). Sie können Serverrollen oder den kompletten Exchange Server entfernen.

2

Bevor Sie eine Exchange-Installation anpassen, sollten Sie einige Punkte sicherstellen: ■ ■

■

3

Damit der Nachrichtenfluss gewährleistet ist, sollten an jedem Active DirectoryStandort ein Mailbox-Server und ein Hub-Transport-Server installiert werden. Die Rollen Mailbox, Hub-Transport, Client-Access und Unified Messaging können ohne Weiteres auf einem Server oder auf getrennten Servern installiert werden. Passen Sie die Exchange-Installation an, sollten Sie möglichst immer mit Rechten der Gruppen Organisations-Admins der Gesamtstruktur und DomänenAdmins der entsprechenden Domäne arbeiten.

4 5

Gehen Sie zur Anpassung der Exchange-Installation folgendermaßen vor:

6

1. Melden Sie sich an dem Server an, von dem Sie die Rolle entfernen wollen. 2. Gehen Sie in die Systemsteuerung, und klicken Sie auf Software. 3. Wählen Sie Microsoft Exchange Server 2007 aus. Klicken Sie auf Ändern, können

7

4.

Sie zusätzliche Serverrollen installieren, aber keine entfernen. Im Anschluss startet die Exchange-Installation im Wartungsmodus.

8 Abbildung 4.44: Anpassen der Exchange Server 2007-Installation

9 10 11 12 13

5. Klicken Sie im Startfenster des Wartungsmodus zunächst auf Weiter. 6. Setzen Sie den Haken bei der Rolle, die Sie installieren wollen. Bei bereits instal7.

14

lierten Rollen ist der Haken schon gesetzt, er kann aber nicht entfernt werden. Klicken Sie im Anschluss auf die Schaltfläche Installieren, um die Rolle dem Server hinzuzufügen.

15

199


Abbildung 4.45: Zusätzliche Installation von Serverrollen

4.8

Überprüfen und Fehlerdiagnose der Exchange Server 2007-Installation

Bereits im Kapitel 3 bin ich darauf eingegangen, welche Systemdienste durch die Installation auf dem Server integriert werden. Im folgenden Abschnitt gehe ich etwas ausführlicher darauf ein, wie Sie sicherstellen können, ob die Installation von Exchange Server 2007 erfolgreich abgeschlossen worden ist. Sie sollten nach jeder Serverinstallation ausführlich testen, ob die Installation erfolgreich abgeschlossen ist, um die Stabilität des Systems sicherzustellen. Diese Überprüfung soll nur eine erste Diagnose darstellen, keinen umfassenden Prozess zur Fehlersuche. Bei komplexen Serverprodukten wie Exchange Server 2007 ist es für Administratoren wichtig zu wissen, an welchen Stellen sie auf die Schnelle nachprüfen können, ob der Server ordnungsgemäß installiert worden ist.

4.8.1

Verifizieren der Exchange Server-Installation

Vor allem durch das Überprüfen der Logdateien, der Systemdienste und der installierten Verzeichnisse lässt sich schnell sicherstellen, dass Exchange Server 2007 stabil funktioniert. Überprüfen der Exchange-Verwaltungskonsole Um die Installation zu verifizieren, starten Sie zunächst auf dem neuen Exchange Server die Exchange-Verwaltungskonsole. Überprüfen Sie, ob die Verknüpfung der Konsole und auch der Exchange-Verwaltungsshell angelegt worden ist.

200


Öffnet sich diese Konsole ohne Fehler, haben Sie den ersten Schritt der Diagnose hinter sich, da bereits an dieser Stelle Probleme auftreten könnten. Klicken Sie auf den Menüpunkt Serverkonfiguration, werden alle Exchange Server der Organisation angezeigt. Befindet sich hier der neue Exchange Server, wurde er immerhin schon in die Organisation integriert.

1 Abbildung 4.46: Überprüfen der installierten Exchange Server der Organisation

2 3

4 5 Überprüfen in der Exchange-Verwaltungsshell Im ersten Schritt sollten Sie sich in der Exchange-Verwaltungsshell die installierten Serverrollen auf dem Server anzeigen lassen. Starten Sie dazu die Shell, und geben Sie den Befehl get-exchangeserver ein. Im Anschluss werden Ihnen alle installierten Rollen und Exchange –Server der Organisation angezeigt (siehe Abbildung 4.47). Hier sollten möglichst keine Fehlermeldungen erscheinen.

6 7 8 Abbildung 4.47: Anzeigen der installierten Exchange Server und Rollen

9 10

Überprüfen der Systemdienste Der nächste Schritt besteht darin, dass Sie die Systemdienste überprüfen, die auf dem Server installiert worden sind (siehe Kapitel 3). Achten Sie vor allem darauf, dass die Dienste mit dem Starttyp Automatisch auch gestartet worden sind. Wurden alle installierten und auf automatisch gesetzten Dienste gestartet, ist das ein wichtiger Schritt bei der Diagnose.

11 12 13

Überprüfen der Ereignisanzeige Der nächste Schritt besteht darin, dass Sie in der Ereignisanzeige im Protokoll Anwendung überprüfen, ob die Exchange-Dienste irgendwelche Fehler protokollieren (siehe Abbildung 4.49). Nach der Installation sollten Sie das Ereignisprotokoll kontrollieren und dann löschen. Starten Sie den Server neu, und überprüfen Sie dann noch einmal die Ereignisanzeige. Nach dem Neustart sollten ebenfalls möglichst keine Einträge vorhanden sein. Falls Sie Einträge finden, beseitigen Sie die Fehler. Alle Einträge von Exchange Server 2007 werden ausschließlich im Anwendungsprotokoll aufgezeichnet.

14 15

201


Abbildung 4.48: Überprüfen der Ereignisanzeige nach der Installation

Überprüfen mit dem Exchange Best Practices Analyzer (ExBPA) Der ExBPA musste bei den Vorgängerversionen von Exchange Server 2007 noch gesondert heruntergeladen und installiert werden. Bei Exchange Server 2007 gehört er zum Lieferumfang (siehe Kapitel 16). Mit dem ExBPA können Sie Exchange Server auf Installations- und Konfigurationsfehler untersuchen. Microsoft hat dazu in dem ExBPA zahlreiche Regeln hinterlegt, welche die häufigsten Installationsfehler aufdecken. Diese Regeln können aus dem Internet bei Bedarf aktualisiert werden. Sie finden den ExBPA über den Menüpunkt Toolbox in der Exchange-Verwaltungskonsole. Die ausführliche Beschreibung des Tools finden Sie in Kapitel 16. Abbildung 4.49: Der Exchange Best Practices Analyzer in Exchange Server 2007

202


Im ersten Schritt müssen Sie einen Domänencontroller eingeben, mit dem sich der ExBPA verbinden kann, um notwendige Informationen Ihrer Exchange-Organisation aus dem Active Directory auszulesen. Starten Sie den ExBPA und sind Sie mit einem Benutzer angemeldet, der nicht über genügend Rechte in der Exchange-Organisation verfügt, können Sie in den erweiterten Anmeldeoptionen einen Benutzer eingeben, die der ExBPA zur Verbindungsaufnahme mit dem Active Directory und den Exchange Servern nutzt.

1 2

Wählen Sie die Option zur Überprüfung des Systems aus, und lassen Sie die Exchange Server scannen, unterbreitet Ihnen der Assistent Vorschläge zur Optimierung des Systems. Der Scanvorgang kann mehrere Minuten bis Stunden dauern, abhängig von der Anzahl der Exchange Server und deren Anbindung untereinander.

3 Abbildung 4.50: Anzeigen des Health Check-Berichts mit Hinweisen zur Optimierung

4 5 6 7 8 9 10 11

Beachten Sie, dass bei der Überprüfung einer Exchange-Organisation über mehrere WAN-Leitungen hinweg durchaus eine mehr oder weniger starke Belastung der Leitungen stattfindet und der Test auch mal eine Stunde oder länger dauern kann, da die Daten in einer langsamen WAN-Leitung erst übertragen sein wollen, bevor der ExBPA mit der Analyse fortfahren kann.

12 13

4.8.2

Fehlerbehebung während der Installation

Installieren Sie Exchange Server 2007 auf einem Server, auf dem bereits eine vorherige Installation von Exchange installiert war, kann es sein, dass die Installationsroutine mit einem Fehler abbricht, weil noch Dateien vorhanden sind, die nicht durch eine Deinstallation gelöscht wurden. Entfernen Sie diese Dateien manuell, und starten Sie die Installationsroutine neu.

14 15

Tritt während des Setups irgendeine Meldung auf, die auf ein Problem mit dem WMI-Dienst hinweist, überprüfen Sie in der Systemsteuerung in den Diensten, ob der Dienst Windows-Verwaltungsinstrumentationsdienst aktiviert und gestartet ist. 203


Überprüfen der Setup-Logdateien Die Installationsroutine von Exchange Server 2007 führt eine eigene Logdatei, in der alle Informationen der Installation gespeichert werden. Diese Datei trägt die Bezeichnung ExchangeSetup.log und wird im Verzeichnis C:\ExchangeSetupLogs abgelegt. Hier werden alle Informationen abgelegt, die während der Installation anfallen. Zusätzlich gibt es aus Kompatibilitätsgründen noch die Datei Exchange Server Setup Progress.log, die auch unter Exchange 2000/2003 verwendet wurde. Untersuchen Sie Probleme während der Installation von Exchange Server 2007, sollten Sie jedoch die Datei ExchangeSetup.log verwenden, da diese Datei mehr Informationen enthält, nach denen Sie auch im Internet suchen können, wenn Probleme auftreten. Treten Probleme während der Installation auf, haben Sie die größte Chance, in dieser Logdatei den Fehler zu finden. Geben Sie den entsprechenden Fehler in Google ein, finden Sie bereits ausführliche Hilfen zum Problem. Die Logdateien der Exchange Server 2007-Installation liegen im Textformat vor und können von jedem Texteditor gelesen werden. Normalerweise werden diese Protokolldateien nur im Fehlerfall benötigt. In der Datei ExchangeSetup.msilog werden die Informationen gespeichert, die der Windows Installer während der Extraktion der Exchange Server-Installationsdateien protokolliert.

4.9

Aufgaben nach der Installation

In vielen Umgebungen kann es passieren, dass das Herunterfahren eines Exchange 2007-Servers, vor allem wenn Exchange auf einem Domänencontroller installiert wurde, extrem lange dauert. Da viele Administratoren die Geduld verlieren, wird das eine oder andere Mal der Exchange Server einfach neu gestartet. Schalten Sie einen Exchange Server einfach aus, kann es durchaus vorkommen, dass die Datenbank zerstört wird (siehe Kapitel 6 und 11). Exchange 2007 ist zwar ein stabiles System, aber die ESE-Datenbank ist eine ESE-Datenbank, und die kann nun mal recht leicht kaputtgehen. Wer nachts schon Stunden mit eseutil verbracht hat, weiß, was ich meine (siehe Kapitel 6). Meine Empfehlung an dieser Stelle lautet daher, niemals einen Exchange Server einfach auszuschalten. Das langsame Herunterfahren kommt bei Servern mit Exchange und Domänencontroller-Funktonalität auf einem Server daher, dass die Active Directory-Dienste vor den Exchange-Diensten beendet werden. So kann Exchange beim Herunterfahren nicht mehr auf das Active Directory zugreifen und wartet bis zum Time-out (30 Minuten), bevor die Dienste vom Betriebssystem gekillt werden. Um diesen Fehler zu vermeiden, haben Sie zwei Möglichkeiten: ■

■

Entweder Sie beenden vor jedem Herunterfahren des Servers manuell die Dienste, oder Sie bauen sich eine Batchdatei. In dieser Batchdatei können Sie manuell die Dienste beenden lassen und dann mit dem Shutdown-Tool den Server herunterfahren. Alternativ können Sie folgenden Registry-Key abändern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WaitToKillServiceTimeout

Standardmäßig steht dieser Wert auf 60 000 (Millisekunden). Wollen Sie, dass die Exchange-Dienste vor dieser Zeit gekillt werden, können Sie den Wert auf eine beliebige Größe verringern. 204

Überlegungen und Aufgaben bei der Migration zu Exchange Server 2007

4.10


Bei der Migration von Exchange 5.5 auf 2000/2003 konnten Sie sowohl ein InplaceUpdate als auch eine Migration auf einen neuen Server durchführen. Das ist bei Exchange Server 2007 nicht mehr möglich. Exchange Server 2007 sollte produktiv nur als 64-Bit-Version eingesetzt werden, während Exchange Server 2000/2003 32Bit-Programme sind. Eine direkte Aktualisierung ist aus diesem Grund technisch nicht möglich. Es ist kein Problem, einen Server mit Exchange Server 2007 in eine bestehende Exchange Server 2000/2003-Organisation zu integrieren und die Daten im Anschluss zu übernehmen. Allerdings besteht keine Möglichkeit, Exchange 5.5 in einer Exchange Server 2007-Organisation zu betreiben. Bei der Integration in eine solche Organisation sind nur die Bereiche zu beachten, die bei einer Neuinstallation eine Rolle spielen, einschließlich der Vorbereitungen für das Schema, die Gesamtstruktur und die Domänen im Netzwerk. Exchange Server 2007 kann die Connectoren von Exchange Server 2003 für den Mailversand verwenden. Vor allem Exchange Server 2003 und Exchange Server 2007 machen in einer Organisation keinerlei Probleme beim parallelen Betrieb. Postfächer können zwischen den Servern verschoben, das Adressbuch und die Connectoren können verwendet werden. In einer reinen Exchange 2007-Umgebung ohne Exchange 2003 können Sie allerdings nachträglich kein Exchange 2003 mehr nachinstallieren.

1

Für die Migration zu Exchange Server 2007 bleibt daher nur der Weg, einen neuen Server in der gleichen Organisation zusätzlich zu installieren und dann die Inhalte (Postfächer und öffentliche Ordner) zu verschieben sowie die Connectoren neu zu erstellen.

7

2 3

4 5 6

8

Bei der Aktualisierung ist zu beachten, dass ein Exchange 2003-Front-End-Server keinen Exchange 2007-Mailboxserver bedienen kann. Bauen Sie daher eine parallele Struktur auf, müssen Sie erst die Exchange-Front-End-Server zu Exchange Server 2007-Client-Access-Servern aktualisieren. Exchange 2007-Client-Acess-Server haben keine Probleme mit Exchange Server 2003-Postfachservern.

9 10

Bevor Sie den ersten Mailboxserver installieren, müssen Sie auf jeden Fall eine HubTransport-Rolle im gleichen Active Directory-Standort installieren. Danach können Sie sich bei Bedarf an Edge-Transport und Unified Messaging machen. Für Exchange Server 2000/2003 verhalten sich Server mit Exchange Server 2007 wie eine eigene Routinggruppe. Zum E-Mail-Verkehr zwischen Exchange Server 2003 und Exchange Server 2007 wird daher ein Routinggruppen-Connector eingerichtet. Alle Exchange Server 2007-Systeme werden in einer gemeinsamen Routinggruppe angeordnet, auch wenn sich diese in verschiedenen Standorten befinden. Außerdem wird für die Exchange Server 2007-Systeme eine eigene administrative Gruppe in der Exchange Server 2003-Organisation angelegt.

11 12

INFO

13 14 15

205


Abbildung 4.51: Zur Anbindung an eine ExchangeOrganisation muss ein Exchange Server 2003 ausgewählt werden.

Nachrichtenrouting beim gemeinsamen Einsatz von Exchange Server 2003 und Exchange Server 2007 Werden im Unternehmen mehrere Routinggruppen betrieben, muss die Link-StateFunktion von Exchange Server 2003 deaktiviert werden. In Exchange Server 2003 berechnen die Verbindungsinformationen den kompletten Weg der E-Mail über alle Connectoren voraus, um sicherzustellen, dass diese auch zugestellt wird. Die Verbindungsinformationen enthalten daher in jeder Routinggruppe die Informationen über jeden Connector der anderen Routinggruppen und deren Kosten. Exchange Server 2003 überprüft daher nicht nur, ob eine E-Mail zugestellt werden kann, sondern verwendet dabei auch die Connectoren mit den niedrigsten Kosten. In jeder Routinggruppe gibt es einen Routinggruppenmaster. Der Master verwaltet für die Routinggruppe die Verbindungsinformationen und gibt sie an die Routinggruppenmaster der anderen Routinggruppen weiter. Fällt der Routinggruppenmaster einer Routinggruppe aus, können aus dieser Routinggruppe keine E-Mails mehr zugestellt werden. Die Replikation der Verbindungsinformationen zwischen Exchange Servern derselben Routinggruppe wird über den TCP-Port 691 übertragen. Zwischen den Bridgeheadservern von Routinggruppen wird der SMTP-Port 25 verwendet. Die Übermittlung der Verbindungsinformationen erfolgt dabei mithilfe des SMTPBefehls X-Link2State. Wenn eine Verbindung ausfällt, das heißt, ein Connector in der Exchange-Organisation nicht mehr zur Verfügung steht, wird folgender Vorgang ausgelöst:

1. 2.

206

Der Bridgeheadserver einer Routinggruppe informiert seinen Routinggruppenmaster nach spätestens fünf Minuten über den Port 691 über den Ausfall. Der Routinggruppenmaster aktualisiert seine Verbindungstabelle und gibt seinerseits die Informationen an alle Exchange Server der Routinggruppe über den Port 691 weiter.


3. Die Bridgeheadserver der Routinggruppe geben diese Informationen an alle

4.

Bridgeheadserver der anderen Routinggruppen weiter, mit denen sie verbunden sind. Die Informationen werden über den SMTP-Port 25 mit dem SMTP-Befehl X-Link2State weitergegeben. In der Remote-Routinggruppe laufen diese Vorgänge dann wieder von vorne ab. So ist sichergestellt, dass in möglichst kurzer Zeit alle Exchange Server der Organisation über den inaktiven Connector informiert sind.

1 2

Da Exchange Server 2007 die Replikation über die Active Directory-Standorte abwickelt und X-Link-State nicht mehr kennt, kann es zu E-Mail-Schleifen kommen. Aus diesem Grund sollte nach der Installation von Exchange Server 2007 in einer Exchange Server 2003-Organisation diese Funktion auf allen Exchange 2003-Servern deaktiviert werden. Dieser Vorgang erfolgt über die Registry. Wechseln Sie zum Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RESvc\Parameters. Erstellen Sie einen neuen DWORD-Eintrag mit dem Wert SuppressStateChanges. Geben Sie dem DWORD-Wert den Wert 1. Mehr zu dieser Funktion erfahren Sie auf der Seite http://technet.microsoft.com/en-us/library/aa998746(EXCHG.65).aspx. Starten Sie nach der Erstellung des Wertes am besten die Exchange Server einmal neu, damit die Änderungen übernommen werden.

3

4 5 6

Sollten in einer gemischten Exchange 2003/2007-Umgebung Probleme mit dem E-Mail-Fluss auftauchen, liegt es unter Umständen an den Berechtigungen des Empfangsconnectors auf dem Exchange 2007-Server. Die Eigenschaften des Connectors werden über den Menüpunkt Serverkonfiguration/Hub-Transport aufgerufen. Aktivieren Sie in den Eigenschaften des Connectors auf der Registerkarte Berechtigungsgruppen den Zugriff für Anonyme Benutzer.

TIPP

7 8

Zum Versenden von E-Mails werden Sendeconnectoren verwendet. Exchange Server 2003 kann die Sendeconnectoren von Exchange Server 2007 verwenden. Die Konfiguration dieser Connectoren wird in einem eigenen Kapitel besprochen. Wurde ein Sendeconnector unter Exchange Server 2007 erstellt, können die Connectoren unter Exchange Server 2003 gelöscht werden. Im Exchange System-Manager von Exchange Server 2003 werden die Connectoren von Exchange Server 2007 angezeigt, sollten aber nicht bearbeitet werden.

9 10 11

Nachdem alle Daten und Connectoren auf Exchange Server 2007 umgestellt wurden, sollten die Routinggruppen-Connectoren gelöscht werden. Das kann zum Beispiel mit dem Befehl get-routinggroupconnector | remove-routinggroupconnector erfolgen.

12

Öffentliche Ordner-Replikation zwischen Exchange Server 2003 und 2007 Die Replikation der öffentlichen Ordner auf die Exchange 2007-Server kann im Exchange System-Manager von Exchange Server 2003 eingestellt werden. Exchange Server 2007 wird dabei genauso behandelt wie jeder Exchange 2003-Server.

13 14

Postfächer verschieben Das Verschieben der Postfächer von den Exchange 2003-Servern zu Exchange Server 2007 sollte nicht im Exchange System-Manager von Exchange 2003, sondern in der Exchange-Verwaltungskonsole von Exchange Server 2007 durchgeführt werden. Auch dieser Vorgang wird in einem eigenen Kapitel besprochen. Nach dem Verschieben der Postfächer sollten auch die E-Mail-Adressenrichtlinien auf Korrektheit überprüft werden. Das Offline-Adressbuch verschieben Sie am besten mit dem

15

207


Befehl get-offlineaddressbook|move-offlineaddressbook-server <Exchange 2007-Server>. Überprüfen Sie jetzt auch die Adresslisten. Diese sollten jetzt von Exchange Server 2007 gesteuert und verwaltet werden. Die Eigenschaften werden in der Exchange-Verwaltungskonsole verwaltet.

208

Inhalt 1 2 3 4

5

Hub-Transport, Edge-Transport und Nachrichtenrouting

6 7 8

Haben Sie Exchange Server 2007 installiert und angepasst, bestehen die weiteren Aufgaben darin, den E-Mail-Fluss von Exchange Server 2007 zu konfigurieren. In diesem Kapitel gehe ich die notwendigen Konfigurations- und Verwaltungsaufgaben durch, die zum Transportieren von E-Mails gehören. Exchange Server 2007 nutzt für den Versand von E-Mails ins Internet sowie zwischen verschiedenen Active Directory-Standorten das SMTP-Protokoll. Dieser Nachrichtenfluss wird ausschließlich von den beiden Exchange Serverrollen Hub-Transport-Server und Edge-TransportServer verwendet, die beide in diesem Kapitel ausführlich behandelt werden. Für die Kommunikation zwischen Hub-Transport-Server und Mailboxserver wird MAPI verwendet.

9 10 11

Auch Exchange Server 2007 kann, wie seine Vorgänger, keine E-Mails per POP3 abholen, sondern unterstützt ausschließlich nur SMTP. Der Small Business Server hat zwar einen integrierten POP3-Connector, dieser ist aber nicht für Exchange verfügbar. Ein großer Nachteil des POP3-Connectors in Small Business Server 2003 R2 ist, dass der Connector nur einzelne Postfächer abrufen kann und die E-Mails direkt in ein Exchange-Postfach zustellen will. Viele Unternehmen haben jedoch für ihre Mitarbeiter keine einzelnen POP3-Postfächer, sondern ein Sammel-POP3-Postfach, in dem alle E-Mails des Unternehmens zugestellt werden. Ein POP3-Connector holt dann die E-Mails aus dem Postfach ab und stellt diese dem Exchange Server zu, der wiederum die E-Mails auf Basis der E-Mail-Adressen verteilt. Das Abholen von E-Mails per POP3 kann allerdings nur für sehr kleine Unternehmen empfohlen werden. Größere Unternehmen sollten auf SMTP setzen.

12 13 14 15

209

Index

5


TIPP

Haben Sie viele Benutzer, empfehle ich Ihnen, das externe Programm POPBeamer von der Internetseite http://www.dataenter.co.at zu verwenden. Das Programm ist extrem günstig, sehr zuverlässig und kann Sammelpostfächer abholen. Ich habe den POPBeamer mittlerweile bei zahlreichen Unternehmen im Einsatz, die alle sehr zufrieden mit dem Produkt sind. Sie können sich das Programm von der besagten Seite herunterladen und 30 Tage ohne Funktionseinschränkung testen. Das Programm kann direkt online gekauft werden. Schalten Sie das Programm auf jeden Fall vor Ablauf der 30 Tage frei, da ansonsten E-Mails beim Zustellen gelöscht werden können. Die Einrichtung ist sehr einfach, das Programm kann als Systemdienst laufen und bietet gute Überwachungsmöglichkeiten.

5.1

Festlegen und Konfiguration der E-Mail-Domänen

Der erste Schritt bei der Konfiguration des E-Mail-Flusses besteht darin, dass Sie festlegen, welche E-Mail-Domänen die Exchange Server entgegennehmen und welche über die diversen Connectoren nach extern versendet werden. Bevor Sie irgendwelche Connectoren erstellen oder Empfängerrichtlinien konfigurieren, müssen Sie die SMTP-Namensräume festlegen, welche die Exchange Server Ihrer Organisation entgegennehmen. Diese Domänen werden akzeptierte Domänen genannt. Standardmäßig wird während der Installation als erste SMTP-Domäne der FQDN der Active Directory-Gesamtstruktur festgelegt. Diese wird als akzeptierte Domäne in den Empfängerrichtlinien eingetragen. Hierbei handelt es sich allerdings nur in Ausnahmefällen auch um die E-Mail-Domäne des Unternehmens, daher müssen Sie hier zunächst Anpassungen vornehmen. Für akzeptierte Domänen ist der Exchange Server teilweise autorisierend zuständig, das heißt, die E-Mails bleiben innerhalb der Exchange-Organisation. Alle anderen Domänen werden durch entsprechende SMTP-Connectoren nach extern verschickt. Es müssen aber nicht zwingend alle akzeptierten Domänen auch autorisierende Domänen sein. In diesem Fall wird die akzeptierte Domäne von den Exchange Servern angenommen, kann aber wieder nach extern geschickt werden, bleibt also nicht zwingend in der Exchange-Organisation. Sie müssen auf jeden Fall alle Domänen eintragen, welche die Exchange Server Ihrer Organisation annehmen und zustellen sollen, unabhängig davon, ob die Zustellung nach intern erfolgt oder wieder weiterverschickt wird (Relay).

INFO

Da Edge-Transport-Server keine Verbindung zur Gesamtstruktur und auch keine direkte Verbindung zu den anderen Exchange Servern haben, müssen Sie akzeptierte und autorisierende Domänen sowohl auf Exchange Server in der Organisation als auch auf den Edge-Transport-Servern konfigurieren. Es besteht allerdings die Möglichkeit, die akzeptierten Domänen auf Hub-Transport-Servern zu Edge-Transport-Servern zu synchronisieren. Diese Möglichkeiten werden im Abschnitt über Edge-Transport-Server ausführlich besprochen. Akzeptierte Domänen werden auf Exchange Servern mit der Hub-Transport-Rolle konfiguriert und verwaltet. Um die als Standard akzeptierte Domäne zu ändern, legen Sie am besten eine neue akzeptierte Domäne an und diese dann als neuen Standard über die Exchange-Verwaltungsshell fest.

210


Löschen Sie eine akzeptierte Domäne, die in den Empfängerrichtlinien von Exchange Server 2007 verwendet wird, verliert diese Richtlinie ihre Gültigkeit. E-Mails zu Adressen innerhalb dieser Domäne werden nicht mehr zugestellt.

5.1.1

1

Konfigurieren der akzeptierten Domänen

Um eine neue autorisierende Domäne für die Exchange-Organisation zu erstellen, gehen Sie folgendermaßen vor:

2

1. Starten Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zum Menüpunkt Organisationskonfiguration/Hub-Transport. 3. Klicken Sie auf die Registerkarte Akzeptierte Domänen. Hier sehen Sie die stan-

3

4.

dardmäßig akzeptierte Domäne, also nach der Installation der FQDN der Gesamtstruktur. Klicken Sie mit der rechten Maustaste in das Fenster, und wählen Sie Neue akzeptierte Domäne. Alternativ können Sie diese Aktion auch im Aktionsbereich der MMC starten (siehe Abbildung 5.1).

4

5 Abbildung 5.1: Erstellen einer neuen akzeptierten Domäne

6 7 8 9 10

5. Im Anschluss startet der Assistent zum Erstellen neuer akzeptierter Domänen 6.

(siehe Abbildung 5.2). Hier legen Sie zunächst die Bezeichnung der Domäne sowie die Domäne selbst fest. Wählen Sie aus, welchen Typ die neue akzeptierte Domäne haben soll. Hier können Sie zwischen drei verschiedenen Typen auswählen: ■ Autorisierende Domäne: E-Mails, die zu autorisierenden Domänen gesendet werden, müssen innerhalb der Organisation zugestellt werden können, das heißt, einem Active Directory-Benutzerkonto in der Gesamtstruktur muss diese E-Mail-Adresse zugeordnet werden, ansonsten ist die E-Mail nicht zustellbar. Sie können bei der akzeptierten Domäne auch mit Platzhaltern arbeiten, um auch Unterdomänen automatisch zu konfigurieren. Geben Sie zum Beispiel *.contoso.com ein, werden auch alle Unterdomänen von contoso.com als akzeptierte Domänen konfiguriert.

Wollen Sie einzelne E-Mail-Domänen in den Empfängerrichtlinien verwenden, um E-Mail-Adressen zuzuweisen, dürfen Sie nicht mit Platzhaltern arbeiten, sondern müssen die einzelnen untergeordneten Domänen manuell eintragen.

11 12 13 14 15 TIPP

211


Abbildung 5.2: Festlegen von neuen akzeptierten Domänen

■

INFO

Durch die gemeinsame Nutzung des Active Directory von Windows Server 2003 und Exchange Server 2007 definiert die Grenze der Active Directory-Gesamtstruktur (Forest) die Exchange Server 2007-Organisation. Es ist nicht möglich, dass eine Active Directory-Gesamtstruktur (Forest) mehrere unterschiedliche Exchange Server 2007Organisationen oder eine Exchange Server 2007-Organisation mehrere Gesamtstrukturen (Forests) umfasst. ■

212

Interne Relaydomäne: Auch bei dieser Auswahl bleibt die E-Mail innerhalb des Unternehmens und kann zwischen fest definierten Gesamtstrukturen versendet werden. Die E-Mail-Adresse muss nicht zwingend in der Gesamtstruktur des Exchange Servers vorhanden sein, sondern kann auch in einer anderen Gesamtstruktur festgelegt werden, die aber zu Ihrem Unternehmen gehört. In diesem Fall wird die E-Mail aus der Organisation per SMTP zu einem anderen E-Mail-Server versendet. So liegen die Adressen der Empfänger als Kontakte im globalen Adressbuch. Die Synchronisierung von Exchange-Daten zwischen verschiedenen Gesamtstrukturen kann zum Beispiel über den Microsoft Identity Integration Server (MIIS) erfolgen, der im letzten Abschnitt dieses Kapitels kurz besprochen wird.

Externe Relaydomäne: Bei dieser Auswahl wird die E-Mail angenommen und nach extern über einen Connector versendet. Über diese Domäne haben Sie ansonsten keinerlei Kontrolle, Ihr Server funktioniert in diesem Fall ausschließlich als Relay. Dieser Domänentyp wird nur in Ausnahmefällen eingesetzt, da in Unternehmen Relaying nach extern nicht erwünscht ist.


7.

Haben Sie Ihre Auswahl getroffen, können Sie die Erstellung der Domäne über die Schaltfläche Neu fertigstellen. Im Anschluss wird die Domäne als neue akzeptierte Domäne mit dem entsprechenden Typ in der Exchange-Verwaltungskonsole angezeigt (siehe Abbildung 5.3).

1 Abbildung 5.3: Anzeigen einer neuen akzeptierten Domäne

2 3 4

5 6 Sie können den Typ einer akzeptierten E-Mail-Domäne jederzeit ändern, wenn Sie diese in der Exchange-Verwaltungskonsole doppelklicken. Sie können alle akzeptierten E-Mail-Domänen mit (Entf) löschen außer der Standarddomäne. Die Standarddomäne ist automatisch die Domäne, die bei der Installation erstellt wurde. Wollen Sie diese ändern, legen Sie am besten eine neue autorisierende Domäne fest und machen diese zur Standarddomäne (siehe nächster Abschnitt). Danach können Sie die bei der Installation angelegte Standarddomäne löschen.

7 8

Erstellen und konfigurieren von neuen akzeptierten Domänen in der Exchange-Verwaltungsshell Um eine neue akzeptierte Domäne zu erstellen, verwenden Sie den Befehl NewAcceptedDomain aus der Exchange-Verwaltungsshell. Um zum Beispiel die Domäne contoso.fr als Contoso Frankreich anzulegen, allerdings nicht als Standarddomäne, geben Sie den Befehl New-AcceptedDomain -Name Contoso Frankreich -DomainName contoso.fr -DomainType Authoritative ein (siehe Abbildung 5.4). Sie können die neu erstellte Domäne in der Exchange-Verwaltungskonsole anzeigen, wenn Sie (F5) drücken, um die Ansicht zu aktualisieren.

9 10 11

Abbildung 5.4: Anlegen einer neuen akzeptierten Domäne in der Exchange-Verwaltungsshell

12 13 14 15

213


Alternativ können Sie als DomainTyp noch die Werte InternalRelay und ExternalRelay verwenden. Auch hier können Sie mit * als Platzhalter arbeiten, um auch untergeordnete Domänen einzuschließen. Festlegen der Standarddomäne mit Set-AcceptedDomain Den Typ einer akzeptierten E-Mail-Domäne passen Sie mit dem Befehl Set-AcceptedDomain an. Mit diesem Befehl können Sie auch die Standarddomäne ändern. Wollen Sie zum Beispiel die akzeptierte Domäne Contoso Frankreich zur Standarddomäne machen, geben Sie den Befehl Set-AcceptedDomain -Identity Contoso Frankreich -DomainType Authoritative -MakeDefault $true ein (siehe Abbildung 5.5). Abbildung 5.5: Ändern der Standarddomäne in der ExchangeVerwaltungsshell

Ändern Sie die Standarddomäne, erhalten Sie von der Exchange-Verwaltungsshell keine Rückmeldung.

5.1.2

Verwalten von Remotedomänen

Neben den akzeptierten Domänen können Sie in der Exchange-Verwaltungskonsole unter Organisationskonfiguration/Hub-Transport auf der Registerkarte Remotedomäne auch Einstellungen für Remotedomänen festlegen. Während akzeptierte Domänen festlegen, welche E-Mails die Exchange Server in der Organisation annehmen, legen die Remotedomänen fest, welche Nachrichten von intern nach extern gesendet werden können. Sie können für unterschiedliche Domänen verschiedene Einstellungen vornehmen. Standardmäßig wird während der Installation bereits die Remotedomäne * angelegt (siehe Abbildung 5.6). Durch diese Einstellung werden alle abgesendeten E-Mails mit den hier verwendeten Einstellungen verschickt. Abbildung 5.6: Verwalten von Remotedomänen in der ExchangeVerwaltungskonsole

Klicken Sie diese Domäne mit der rechten Maustaste an, können Sie die Eigenschaften aufrufen (siehe Abbildung 5.7). Hier stehen Ihnen zur organisationsweiten Konfiguration zwei Registerkarten zur Verfügung. Alle Einstellungen, die Sie auf diesen Registerkarten vornehmen, gelten für alle Exchange Server in Ihrer Organisation.

214


Auf der Registerkarte Allgemein legen Sie fest, wie mit Abwesenheitsassistenten und -E-Mails verfahren werden soll (siehe Abbildung 5.7). Abbildung 5.7: Allgemeine Einstellungen für Abwesenheitsnachrichten

1 2 3 4

5 6 7 8 Die Einstellungen, die Sie hier vornehmen, gelten für alle externen E-Mails und alle externen Domänen. Sie können natürlich für andere Domänen eigene Remotedomänen erstellen und entsprechende Einstellungen vornehmen. Zur Steuerung von Abwesenheitsnachrichten stehen Ihnen folgende Optionen zur Verfügung: ■

■

■

■

9

Nichts zulassen: Aktivieren Sie diese Option, werden keinerlei Abwesenheitsnachrichten von Ihren Empfängern zu dieser Domäne geschickt, auch wenn die Empfänger in Ihrer Organisation diese Option aktiviert haben. Die Einstellungen für die Exchange-Organisation überschreiben immer alle anderen Einstellungen. Nur externe Abwesenheit zulassen: Diese Einstellung ist standardmäßig gesetzt. Aktivieren Sie diese Einstellung, werden die Abwesenheitsnachrichten an diese Domäne geschickt, die in Outlook 2007 als extern definiert wurde (siehe Abbildung 5.8). Diese Funktion unterstützt nur Outlook 2007-Clients auf einem Exchange Server 2007. Exchange Server 2003 und die Vorgänger von Outlook 2007 einschließlich Outlook 2003 kennen nur eine Art von Abwesenheitsnachrichten. Aktivieren Sie daher diese Option, werden keine Abwesenheitsnachrichten von Outlook 2000/XP/2003-Clients nach extern versendet. Externe Abwesenheit und Festlegen der Abwesenheit über Outlook 2003…: Diese Option hat für Outlook 2007-Clients die gleiche Auswirkung wie die Funktion Nur externe Abwesenheit zulassen. Zusätzlich werden Abwesenheitsnachrichten von Outlook-Clients vor Outlook 2007 ebenfalls durchgelassen. Interne Abwesenheit und festlegen…: Bei dieser Option werden schließlich alle Arten der Abwesenheitsnachrichten nach extern zugelassen.

10 11 12 13 14 15

215


Abbildung 5.8: Erstellen von Abwesenheitsnachrichten in Outlook 2007

Auf der Registerkarte Nachrichtenformat können Sie weitere Einstellungen vornehmen, die automatisch generierte E-Mails und den allgemeinen E-Mail-Fluss in Ihrer Organisation betreffen (siehe Abbildung 5.9). Abbildung 5.9: Registerkarte Nachrichtenformat in den Eigenschaften einer Remotedomäne

Alle Einstellungen, die Sie hier vornehmen, betreffen E-Mails, die zu dieser Domäne gesendet werden, nicht von dieser kommen. Über diese Registerkarte können Sie zum Beispiel generell E-Mails blocken lassen, die durch Regeln oder automatische Weiterleitungen erstellt wurden und an die besagte Domäne geschickt werden sol216

Allgemeine Informationen zum E-Mail-Routing in Exchange Server 2007

len. Hier können Sie auch generell die Übermittlungsberichte ausschalten, die zu Remote-Empfängern gesendet werden. Auch automatische Zeilenumbrüche können Sie hier einfügen, wenn zum Beispiel ein bestimmter Kunde E-Mails mit bestimmtem Format erwartet.

1

Setzen Sie die Option TNEF senden, wenn die Empfänger in der Remotedomäne keine RTF-Nachrichten (Rich Text Format) lesen können. Exchange Server 2007 unterstützt MAPI-kompatible Clients und RTF-Formate. Hier können Sie einstellen, ob das Remote-System ebenfalls diese Funktionen unterstützt.

2

Normalerweise werden eher selten zusätzliche Remotedomänen erstellt, sondern meistens wird nur mit dem Platzhalter * für alle Internetdomänen gearbeitet, die nach extern gesendet werden sollen.

5.2

3 4

Allgemeine Informationen zum E-MailRouting in Exchange Server 2007

5

Unter Exchange Server 2007 wurde die Routingtopologie komplett überarbeitet. Es gibt weder administrative Gruppen noch Routinggruppen, sondern das komplette Routing wird über die Active Directory-Standorte durchgeführt. Allerdings ist Exchange Server 2007 weiterhin kompatibel zu den Routinggruppen der Vorgängerversionen Exchange 2000/2003. Nur wenn Exchange Server 2007 in eine Exchange Server 2000/2003-Organisation installiert wird, werden Routinggruppen-Connectoren zwischen den Exchange Server 2003-Systemen und Exchange Server 2007 eingerichtet.

6 7 8

E-Mails werden jetzt auf Basis der Replikationsverbindungen zwischen Active Directory-Standorten zugestellt, dazu werden bei der Installation von Exchange Server 2007 automatisch Connectoren erstellt, welche die verschiedenen Active DirectoryStandorte miteinander verbinden. Exchange-Admins können sich zukünftig daher das Anlegen von Routinggruppen oder Routinggruppen-Connectoren sparen. Bei nur zwei Standorten, an denen jeweils ein Exchange Server steht, müssen daher keine weiteren Aktionen durchgeführt werden, außer der Definition von Standorten im Active Directory (siehe Kapitel 3). Exchange Server 2007 versucht zuerst, eine E-Mail immer direkt zu einem Standort zu übermitteln. Sofern das möglich ist, werden andere Standorte nicht in das Routingkonzept einbezogen.

9 10 11

Haben Sie zum Beispiel drei Active Directory-Standorte A, B und C, und ein Anwender, dessen Postfach auf einem Exchange Server in A steht, sendet einem Anwender in C eine E-Mail, versucht Exchange Server 2007, die E-Mail direkt an Standort C zu übermitteln, ohne den Weg über B zu gehen. Sind in der E-Mail aber auch Empfänger eingetragen, deren Postfach auf einem Server am Standort B liegen, wird die Mail an Standort B und dann zu C übertragen.

12 13

Fällt eine Leitung zu einem Standort aus, überträgt Exchange die E-Mail bis zum nächsten Exchange Server, der dem Standort am nächsten liegt. Auf diesem Server wird die E-Mail gespeichert, bis die Leitung zum Empfangsserver wieder zur Verfügung steht. Unter Exchange Server 2003 wurde der komplette Weg der E-Mail berechnet und diese bei Ausfall einer Teilstrecke auf dem Quellserver belassen. Exchange Server 2007 stellt die E-Mail auch auf Teilstrecken zu, da bei der Wiederherstellung der kompletten Strecke dadurch die Wahrscheinlichkeit steigt, dass die E-Mail vollends zugestellt wird.

14 15

217


Natürlich unterstützt Exchange Server 2007, wie auch das Active Directory, Redundanzen. Die E-Mail wird auf dem günstigsten Weg zugestellt, der als Connector zur Verfügung steht. Beim Ausfall einer Strecke versucht Exchange automatisch die Zustellung über einen alternativen Weg.

INFO

In Exchange Server 2007 empfiehlt Microsoft ausdrücklich nicht mehr, dass ein FrontEnd-Server, jetzt Client-Access-Server genannt, in der DMZ betrieben wird. Optimal ist es, wenn diese Server im internen Netzwerk betrieben und über einen ISA-Server im Internet zur Verfügung gestellt werden. Die Authentifizierung wird so am ISA-Server durchgeführt und kann die Verbindung zu den internen Servern herstellen. Dazu kann der ISA-Server problemlos hinter einer Firewall positioniert werden. Ausnahme bilden Edge-Transport-Server, die für den Einsatz in einer DMZ optimiert sind.

5.3

Sende- und Empfangsconnectoren auf Hub-Transport-Servern konfigurieren

Alle E-Mails, auch interne Mails zwischen verschiedenen Mailboxservern, werden immer über einen Hub-Transport-Server geleitet. Das hat den Vorteil, dass hinterlegte Transportregeln auf den Hub-Transport-Servern immer auf alle E-Mails angewendet werden. Außerdem muss an jedem Active Directory-Standort, an dem ein Mailboxserver betrieben wird, auch ein Hub-Transport-Server installiert sein. Haben Sie die akzeptierten und autorisierten E-Mail-Domänen festgelegt, können Sie Connectoren erstellen, um den Nachrichtenfluss Ihrer Exchange-Organisation zu steuern. Die Basis der Connectoren sind allerdings zunächst die akzeptierten Domänen und deren Domänentyp, der aus diesem Grund zunächst angelegt werden muss. Unter Exchange Server 2007 gibt es hauptsächlich Sende- und Empfangsconnectoren. Diese müssen auf den verschiedenen Hub-Transport-Servern konfiguriert werden, damit der Nachrichtenfluss funktioniert.

INFO

Sie müssen keinerlei Connectoren erstellen oder konfigurieren, um den Nachrichtenfluss zwischen Hub-Transport-Servern innerhalb des Unternehmens zu steuern. Während der Installation von Exchange Server 2007 werden automatisch Connectoren erstellt, die den Transport zwischen Hub-Transport-Servern steuern. Diese Connectoren basieren auf den Standorten des Active Directory (siehe Kapitel 3).

5.3.1

Sendeconnectoren

Sendeconnectoren werden in der Exchange-Verwaltungskonsole über den Menüpunkt Organisationskonfiguration/Hub-Transport auf der Registerkarte Sendeconnectors erstellt und verwaltet. Sie können mit der rechten Maustaste ins Fenster klicken und aus dem Menü die Option Neuer Sendeconnector auswählen (siehe Abbildung 5.10). Alternativ können Sie auch den entsprechenden Befehl aus dem Aktionsbereich der MMC auswählen.

218


Abbildung 5.10: Erstellen eines neuen Sendeconnectors in der ExchangeVerwaltungskonsole

1 2 3 4

Sendeconnectoren werden im Active Directory als Konfigurationsobjekt abgespeichert. Erhält ein Hub-Transport-Server eine E-Mail, überprüft er im Active Directory, welcher Sendeconnector für die E-Mail-Domäne zuständig ist, und sendet die E-Mail entsprechend zu. Dazu werden im Connector die Hub-Transport-Server angegeben, welche die E-Mails zustellen können. Sind für einen Sendeconnector mehrere Server zuständig, verteilt der Connector die E-Mails lastabhängig.

5 6

Durch diese Konfiguration erhalten Sie eine Ausfallsicherheit, da die E-Mail erst zugestellt wird, wenn der empfangende Hub-Transport-Server auch zur Verfügung steht. Diese Ausfallsicherheit gilt aber nur für die Server, die für einen einzelnen Connector konfiguriert sind. Legen Sie mehrere Connectoren für den gleichen Adressraum an, wird diese Lastverteilung außer Funktion gesetzt. Sendeconnectoren stellen logische Gateways dar, um den Nachrichtenfluss innerhalb und nach/von außerhalb der Organisation zu steuern.

7 8 9

Erstellen von neuen Sendeconnectoren Standardmäßig werden bei der Installation keine Sendeconnectoren erstellt. Wenn Sie beabsichtigen, Edge-Transport-Server einzusetzen, können Sie die Funktion Edge-Abonnement verwenden (siehe Abschnitt über Edge-Transport-Server). Verbinden Sie Edge-Transport-Server mit der Exchange-Organisation, müssen Sie keine Sendeconnectoren erstellen, diese werden im Rahmen der Einrichtung des EdgeAbonnements automatisch erstellt.

10 11

Setzen Sie keine Edge-Transport-Server ein, müssen Sie Sendeconnectoren manuell erstellen und konfigurieren. Sie benötigen im Unternehmen mindestens einen Sendeconnector, auf dem hinterlegt ist, welche E-Mail-Domänen über welche HubTransport- bzw. Edge-Transport-Server ins Internet versendet werden. Sie müssen keine Sendeconnectoren zwischen den Hub-Transport-Servern Ihrer Organisation untereinander erstellen oder zwischen den Hub-Transport-Servern und den Edge-Transport-Servern, da diese automatisch erstellt und eingerichtet werden.

12 13 14

INFO

Haben Sie, wie beschrieben, den Assistenten zur Erstellung eines neuen Sendeconnectors aufgerufen, legen Sie auf der ersten Seite zunächst einen Namen fest (siehe Abbildung 5.11).

15

219


Abbildung 5.11: Erstellen eines neuen Sendeconnectors

Hier legen Sie auch die Verwendung des Connectors fest. Durch die Auswahl des Verwendungstyps legen Sie die Authentifizierung für den Connector fest. Sie müssen allerdings nicht zwingend einen Verwendungstyp auswählen, sondern können die Auswahl auch auf Benutzerdefiniert belassen. ■

■

Intern: Erstellen Sie einen Sendeconnector für den internen Versand Ihrer Organisation oder einen Sendeconnector zwischen verschiedenen Gesamtstrukturen innerhalb Ihres Unternehmens, wählen Sie als Verwendungstyp Intern aus. Legacy: Diesen Verwendungstyp wählen Sie aus, wenn Sie einen Sendeconnector zu Exchange 2000/2003-Servern außerhalb Ihrer Organisation, aber innerhalb Ihres Unternehmens erstellen wollen.

Auf der nächsten Seite des Assistenten legen Sie den Adressraum fest, der über diesen Connector versendet werden soll (siehe Abbildung 5.12). Wollen Sie alle E-MailDomänen über diesen Connector versenden, wählen Sie als Domäne den Platzhalter * aus. Alternativ können Sie auch einen eigenen Connector für einzelne E-MailDomänen erstellen. Exchange verwendet möglichst immer den Connector mit der hinterlegten E-MailDomäne zum Versenden und erst dann Connectoren mit dem Platzhalter. Auf der nächsten Seite legen Sie fest, wohin die E-Mails gesendet werden sollen, die über diesen Connector verschickt werden. Sie können an dieser Stelle entweder eine IP-Adresse, einen FQDN oder die Auflösung über MX-Einträge verwenden (siehe Abbildung 5.13).

220


Abbildung 5.12: Festlegen des Adressraums eines Sendeconnectors

1 2 3 4

5 6 7 Abbildung 5.13: Festlegen des Smarthosts für das Versenden der E-Mails über einen Connector

8 9 10 11 12 13 14 15

Wählen Sie die direkte Zustellung, müssen Sie zuvor sicherstellen, dass Ihr Exchange Server Internetadressen mit DNS auflösen kann (siehe Kapitel 15). Sie müssen dazu Ihre internen DNS-Server so konfigurieren, dass Internetadressen auf221


gelöst werden können. Die direkte Zustellung bietet sich eigentlich nur für größere Firmen an. Das Problem ist, dass viele E-Mail-Server im Internet nicht von allen Servern E-Mails annehmen, sondern nur von großen und bekannten Providern. Haben Sie keine statische IP-Adresse im Internet, sondern arbeiten Sie mit einer dynamischen, werden Sie mit vielen E-Mail-Servern Schwierigkeiten haben. Wählen Sie zur Sicherheit die Zustellung zu Ihrem Provider aus. Dieser sendet die E-Mails weiter. Die notwendigen Daten erhalten Sie von Ihrem Provider. Auf der nächsten Seite des Assistenten geben Sie die Authentifizierung ein, mit der sich der Connector beim empfangenden Server authentifizieren soll. Auch hierzu erhalten Sie die entsprechenden Daten normalerweise von Ihrem Provider. Versenden Sie E-Mails ins Internet, wird normalerweise die Standardauthentifizierung verwendet, bei der allerdings Benutzernamen und Kennwort in Klartext über das Netzwerk versendet werden. Abbildung 5.14: Konfiguration der Authentifizierung

Unterstützt der empfangende E-Mail-Server TLS, können Sie die Option Standardauthentifizierung über TLS aktivieren. In diesem Fall wird die Authentifizierung verschlüsselt. Allerdings unterstützen nicht alle E-Mail-Server standardmäßig TLS. Bei der TLS-Verschlüsselung handelt es sich um eine besondere Art der SSL-Verbindung. Diese ist die sicherste Form der Übertragung. Es muss allerdings gewährleistet sein, dass der Empfänger diese Option unterstützt. Beachten Sie auch, dass diese Verschlüsselung zusätzlich Performance kostet. Im Gegensatz zur normalen Übertragung ist es bei TLS nicht mehr möglich, den Datenverkehr zwischen zwei SMTPServern abzuhören. Benötigt der empfangende E-Mail-Server keine Authentifizierung, können Sie die Einstellung auf Keiner belassen. Zusätzlich haben Sie an dieser Stelle noch zwei weitere Möglichkeiten zur Authentifizierung:

222


■ ■

Exchange Server-Authentifizierung: Bei dieser Art der Authentifizierung wird eine Exchange-interne Authentifizierung wie TLS oder Kerberos verwendet. Extern gesichert: Bei dieser Einstellung, können Sie zum Beispiel IPSec oder ein VPN für die Verbindung verwenden. Bevor der Connector nach einem Verbindungsaufbau E-Mails zu senden versucht, wird auf die Authentifizierung gewartet. Diese wird allerdings nicht durch den Exchange Server gesteuert.

1 2

Auf der nächsten Seite legen Sie die Hub-Transport-Server in der Organisation fest, über welche E-Mails versendet werden, die diesen Connector verwenden (siehe Abbildung 5.15). Abbildung 5.15: Auswählen der Quellserver

3 4

5 6 7 8 9 10 11

Wählen Sie an dieser Stelle mehrere Server aus, verteilt der Connector das Versenden der E-Mails auf Basis der Last der Server. Ist ein Server nicht verfügbar, verwendet der Connector einen anderen hinterlegten Quellserver. Unter Exchange Server 2003 wurde diese Art von Servern noch Bridgeheadserver genannt.

12

Im Anschluss erhalten Sie eine Zusammenfassung und können über die Schaltfläche Neu den Connector erstellen lassen.

13

Als Nächstes können Sie die Erstellung mit Fertig stellen abschließen. Im Fenster wird der entsprechende Befehl zur Erstellung des Connectors über die ExchangeVerwaltungsshell angezeigt (siehe Abbildung 5.16).

14 15

223


Abbildung 5.16: Fertigstellung eines neuen Sendeconnectors

Der Connector wird im Anschluss in der Exchange-Verwaltungskonsole angezeigt. Klicken Sie diesen doppelt oder rufen Sie dessen Eigenschaften mit der rechten Maustaste auf, können Sie alle konfigurierten Einstellungen nachträglich anpassen (siehe Abbildung 5.17). Abbildung 5.17: Anzeigen und Verwalten von Sendeconnectoren

INFO

224

Microsoft empfiehlt, das Versenden von E-Mails über das Internet nicht direkt über Hub-Transport-Server durchzuführen, sondern am besten Edge-Transport-Server zu verwenden. Unternehmen, die nur einen oder zwei Exchange Server einsetzen, können E-Mails aber auch direkt über einen Hub-Transport-Server ins Internet versenden. Legen Sie dazu einfach einen Sendeconnector an, der den entsprechenden Hub-Transport-Server als Quellserver verwendet.


5.3.2

Empfangsconnectoren

Diese Connectoren werden nicht auf Organisationsebene erstellt, sondern direkt für einzelne Exchange Server auf Serverebene. Diese Connectoren bilden auf Exchange Servern den SMTP-Endpunkt, zu dem andere Server Verbindung aufbauen. Ohne einen Empfangsconnector kann ein Exchange 2007-Transport-Server (Hub-Transport oder Edge-Transport) keinerlei E-Mails empfangen.

1 2

Sie finden die Konfiguration von Empfangsconnectoren in der Exchange-Verwaltungskonsole über Serverkonfiguration/Hub-Transport. Die angelegten Empfangsconnectoren werden im Ergebnisfenster der Konsole im unteren Bereich angezeigt. Klicken Sie mit der rechten Maustaste in den Bereich, können Sie über den Menüpunkt Neuer Empfangsconnector einen neuen Connector erstellen. Alternativ können Sie diesen Befehl auch über den Aktionsbereich starten (siehe Abbildung 5.18).

3 4 Abbildung 5.18: Erstellen und Verwalten von Empfangsconnectoren

5 6 7 8 9

Wie Sie in Abbildung 5.18 sehen können, werden bereits nach der Installation zwei standardmäßige Empfangsconnectoren für jeden Exchange Server angelegt, allerdings keine Sendeconnectoren. Für beide Standardconnectoren ist keine Konfiguration erforderlich, da beide bereits korrekt eingestellt sind: ■

■

10

Client <Servername>: Dieser Connector dient dem Verbindungsaufbau von Nicht-MAPI-Clients, zum Beispiel der Verbindung über POP3 oder IMAP4. Der Connector nimmt über jede Netzwerkverbindung von allen IP-Adressen entsprechende Anfragen entgegen. Er antwortet auf den Port 587 auf die Anfrage von Nicht-MAPI-Clients. Default <Servername>: Dieser Connector nimmt Nachrichten von anderen Hub-Transport- oder Edge-Transport-Servern der Organisation auf Port 25 entgegen. Er akzeptiert ebenfalls Verbindungen von allen IP-Adressen.

Empfangsconnectoren werden im Active Directory als untergeordnetes Objekt für die einzelnen Server gespeichert, während Sendeconnectoren als Konfigurationsobjekt übergeordnet zu allen Exchange Servern gespeichert werden. Auf Edge-TransportServern werden Empfangsconnectoren im Active Directory Application Mode (ADAM) gespeichert. Sie können sich die Daten der Connectoren mit ADSI-Edit anzeigen lassen.

11 12 13 14

INFO

15

Starten Sie den Assistenten für die Erstellung eines neuen Empfangsconnectors, haben Sie ähnliche Auswahlmöglichkeiten wie bei der Erstellung eines Sendeconnectors. 225


Empfangsconnectoren müssen allerdings sehr selten erstellt werden, da sie bereits automatisch während der Installation konfiguriert werden. Wenn Sie, wie beschrieben, den Assistenten starten, müssen Sie auf der ersten Seite zunächst den Namen und den Verwendungszweck festlegen (siehe Abbildung 5.19). Abbildung 5.19: Erstellen eines neuen Empfangsconnectors

Beim Verwendungszweck können Sie zwischen vier Punkten auswählen, die hauptsächlich für die Konfiguration der Authentifizierung benötigt werden: ■

■

■

■

Benutzerdefiniert: Es ist nicht zwingend notwendig, die Authentifizierung bereits bei der Erstellung festzulegen, wenn Sie einen neuen Connector für bestimmte Szenarien erstellen. In diesem Fall können Sie die Option Benutzerdefiniert verwenden. Internet: Wählen Sie diese Option aus, kann der Connector Nachrichten aus dem Internet empfangen. Dazu wird die Authentifizierung deaktiviert, sodass der Exchange Server auch anonyme Verbindungen entgegennimmt. Intern: Erstellen Sie einen Empfangsconnector für den internen Versand Ihrer Organisation oder einen Empfangsconnector zwischen verschiedenen Gesamtstrukturen innerhalb Ihres Unternehmens, wählen Sie als Verwendungstyp Intern aus. Legacy: Diesen Verwendungstyp wählen Sie aus, wenn Sie einen Empfangsconnector zu Exchange 2000/2003-Servern außerhalb Ihrer Organisation, aber innerhalb Ihres Unternehmens erstellen wollen.

Auf der nächsten Seite geben Sie die IP-Adressen des Servers an, bei denen er auf eine Verbindung warten soll. Standardmäßig hört der Connector auf Port 25 alle verbundenen IP-Adressen (siehe Abbildung 5.20).

226


Abbildung 5.20: Festlegen des IPAdressbereichs eines Connectors

1 2 3 4

5 6 7 Jeder Empfangsconnector benötigt eine eigene IP-Adresse, auf die er hören kann. Standardmäßig hören die bereits angelegten Empfangsconnectoren auf alle verfügbaren IP-Adressen des Servers. Legen Sie einen neuen Connector an, sollten Sie daher auch bei den bereits vorhandenen Connectoren einstellen, dass diese auf fest definierte IP-Adressen hören, nicht auf alle.

8

INFO

9 Abbildung 5.21: Fertigstellung eines Empfangsconnectors

10 11 12 13 14 15

227


Im Anschluss erhalten Sie eine Zusammenfassung und können über die Schaltfläche Neu den Connector erstellen lassen. Danach können Sie die Erstellung mit Fertig stellen abschließen. Im Fenster wird der entsprechende Befehl zur Erstellung des Connectors über die Exchange-Verwaltungsshell angezeigt (siehe Abbildung 5.21).

5.3.3

Direkte Verbindung von Hub-Transport-Servern mit dem Internet

Auch wenn es Microsoft nicht empfiehlt, ist es für manche Unternehmen sicherlich sinnvoll, einen Hub-Transport-Server direkt mit dem Internet zu verbinden. In diesem Fall muss ein Sendeconnector erstellt werden, der direkt eine Verbindung zum Internet aufbauen kann. Gehen Sie bei der Erstellung eines Sendeconnectors für die Internetanbindung eines Hub-Transport-Servers genauso vor wie beschrieben. Geben Sie als Adressraum den Platzhalter * ein, damit dieser Connector alle E-Mails ins Internet versenden kann, für die es noch keinen anderen Connector gibt. Schließen Sie die Erstellung des Connectors ab. Verwenden Sie als Bezeichnung für diesen Connector am besten einen Namen, der darauf schließen lässt, dass dieser Sendeconnector für das Senden von E-Mails ins Internet zuständig ist. Damit ein Hub-Transport-Server über das Internet erreichbar ist (wenn Sie keinen ISA-Server oder ein anderes SMTP-Gateway verwenden, siehe Kapitel 15), sollten Sie einen neuen Empfangsconnector erstellen und diesem als Verwendungstyp Internet zuweisen (siehe Abschnitt über das Anpassen der Berechtigungen für Connectoren mit ADSI-Edit). Achten Sie darauf, diesem Connector eine eindeutige IP-Adresse zuzuweisen. Auch bei den bereits angelegten Connectoren sollten Sie den IP-Bereich anpassen, damit keine Überschneidungen entstehen. Abbildung 5.22: Anpassen von Empfangsconnectoren auf eine festgelegte IP-Adresse

Erstellen Sie einen Empfangsconnector mit dem Verwendungstyp Internet, lässt dieser auch anonyme Verbindungen zu. Aus diesem Grund sollten Sie möglichst die Verbindung von Internet und internen E-Mails voneinander trennen. Am besten ist es sogar, wenn Sie für die Internetanbindung eine eigene Netzwerkkarte mit eigener IP-Adresse in den Server einbauen und diese IP-Adresse für den Empfangsconnector für Internetmails verwenden. 228


Klicken Sie einen Empfangsconnector doppelt an, können Sie auf der Registerkarte Allgemein die Anzeige des FQDN anpassen, die angezeigt wird, wenn zum Server eine Verbindung per SMTP aufgebaut wird, nachdem sich der sendende Server mit ehlo oder helo gemeldet hat (siehe Abbildung 5.23).

1 Abbildung 5.23: Konfiguration des FQDN eines Servers

2 3 4

5 6 7 Sie können diese Konfiguration über Telnet testen (siehe nächster Abschnitt). Abbildung 5.24: Verbindungsaufbau zu einem Exchange Server über Telnet

8 9 10 11 12 13 14

Aktivieren und Deaktivieren von Connectoren Damit ein Connector verwendet werden kann, muss dieser aktiviert werden. Nach der Erstellung eines Connectors ist dieser immer aktiviert. Wollen Sie für Wartungsarbeiten den E-Mail-Verkehr über einen Connector zeitweise deaktivieren, können Sie den kompletten Connector in der Konsole deaktivieren.

15

Ein deaktivierter Connector kann jederzeit wieder aktiviert werden, sodass er für den E-Mail-Verkehr wieder zur Verfügung steht. Die Konfiguration des Connectors 229


geht während der Deaktivierung nicht verloren. Sie deaktivieren einen Connector, indem Sie diesen mit der rechten Maustaste in der Exchange-Verwaltungskonsole anklicken und die Option Deaktivieren auswählen (siehe Abbildung 5.25). Abbildung 5.25: Deaktivieren eines Connectors

Haben Sie einen Connector deaktiviert, wird der deaktivierte Status auch in der Exchange-Verwaltungskonsole angezeigt (siehe Abbildung 5.26). Auf dem gleichen Weg können Sie einen Connector auch wieder aktivieren. Abbildung 5.26: Anzeigen des Status eines Connectors

Anpassen der standardmäßigen SMTP-Meldung eines Exchange Servers (SMTP-Banner) Bauen Sie mit Telnet eine Verbindung zum SMTP-Server auf, wird eine standardmäßige Meldung angezeigt (siehe Abbildung 5.27). Abbildung 5.27: Standardmäßige Meldung des SMTP-Servers

Auch wenn sich andere SMTP Server mit dem Exchange Server verbinden, wird diese Meldung angezeigt. Diese Meldung wird vom Empfangsconnector in Verbindung mit dem Dienst Microsoft Exchange-Transport erzeugt. Sie können unter Exchange Server 2007 diese Standardmeldung abändern. Vor allem bei Servern, die im Internet verfügbar sind, kann es sinnvoll sein, diese Meldung anzupassen, damit zum Beispiel einem Angreifer nicht gleich automatisch mitgeteilt wird, dass es sich bei diesem Server um einen Exchange Server handelt. Sie können diese Konfiguration in der Exchange-Verwaltungsshell anpassen. Zur Konfiguration des SMTP-Banners wird der Befehl Set-ReceiveConnector oder NewReceiveConnector verwendet. Ein SMTP-Banner muss immer mit der Bezeichnung 220 beginnen, da dies in der RFC 2821 für SMTP-Server festgelegt wird. Auch wenn Sie einen benutzerdefinierten SMTP-Banner erstellen, müssen Sie diesen Banner daher mit 220 beginnen lassen. 230

Einrichten von Edge-Transport-Servern

Um den Banner zu ändern, verwenden Sie in der Exchange-Verwaltungsshell den Befehl Set-ReceiveConnector -Banner . Um dem Empfangsconnector Internet das SMTP-Banner 220 Contoso Internetgateway zuzuweisen, verwenden Sie zum Beispiel den Befehl Set-ReceiveConnector Internet -Banner 220 Contoso Internetgateway (siehe Abbildung 5.28).

1

Haben Sie den Befehl eingegeben und bestätigt, erhalten Sie allerdings keine weitere Warnmeldung, sondern der Befehl wird umgesetzt.

2 Abbildung 5.28: Ändern des SMTP-Banners

3 4

Im Anschluss können Sie das SMTP-Banner in der Befehlszeile über Telnet <Servername oder IP> 25 anzeigen lassen (siehe Abbildung 5.29). Abbildung 5.29: Anzeigen des geänderten SMTP-Banners

5 6

5.4

7

Einrichten von Edge-Transport-Servern unter Windows Server 2003/2008 mit Exchange Server 2007 SP1

8

Edge-Transport-Server dienen als Schnittstelle der Exchange-Organisation zum Internet. Diese Funktion kann nicht mit anderen Rollen zusammen installiert werden, und es darf kein NNTP- und SMTP-Dienst installiert sein. Achten Sie bei der nachträglichen Aktualisierung eines Windows Servers 2003 auf Exchange Server 2007 SP1 auf die Anmerkungen zur Installation in Kapitel 4.

5.4.1

9 10

Erste Schritte zur Installation eines Edge-Transport-Servers

11

Ein Edge-Transport-Server muss nicht Mitglied einer Windows-Domäne sein. Sie sollten aber dennoch den FQDN des Servers so festlegen, dass dieser die gleiche DNSDomäne hat wie die Domäne, in der sich die Hub-Transport-Server befinden. Außerdem müssen Sie sicherstellen, dass der eingetragene DNS-Server in den IP-Einstellungen des Edge-Transport-Servers während der Installation erreichbar ist. Sie können dazu entweder den internen DNS-Server verwenden oder in der DMZ einen eigenen DNS-Server betreiben. Der beste Weg ist jedoch, dass der Edge-Transport-Server die internen DNS-Server verwenden kann, die auch die Active Directory-Domänen verwalten.

12 13 14

Kann der konfigurierte DNS-Server während der Installation nicht erreicht werden, spielt das zunächst keine Rolle. Für die Synchronisierung der notwendigen Daten für den Edge-Transport-Server mit dem Active Directory sollten Sie jedoch sicherstellen, dass bei der Einrichtung idealerweise eine Verbindung vom DNS-Server der Active Directory-Domäne hergestellt werden kann, damit die Namensauflösung problemlos funktioniert.

15

231


Der nächste Schritt zur Installation eines Edge-Transport-Servers besteht darin, dass Sie auf dem Server das .NET Framework 2.0 installieren. Sie können bei installiertem Windows Server 2003 R2 diese Komponente über Systemsteuerung/Programme ändern oder entfernen/Windows-Komponenten hinzufügen installieren. Wählen Sie die Komponente Microsoft .NET Framework 2.0 aus. Sie müssen zur Installation die zweite CD der Windows Server 2003 R2-Installationsmedien einlegen. Verwenden Sie als Testumgebung Windows Server 2003 mit SP1 oder SP2, müssen Sie das .NET Framework aus dem Internet herunterladen. Abbildung 5.30: Installation des .NET Frameworks 2.0

Soll die Rolle auf einem Windows Server 2008-System installiert werden, kann das .NET Framework 3.0 als Feature über den Server-Manager hinzugefügt werden. Auf dem Server muss ADAM (Active Directory Application Mode) installiert werden. ADAM wird zwar während der Installation automatisch eingerichtet, aber nicht installiert. ADAM kann bei Windows Server 2003 R2 über Systemsteuerung/Software/Windows-Komponenten/Active Directory-Dienste/Active Directory-Anwendungsmodus (ADAM) installiert werden (siehe Abbildung 5.31). Bei Windows Server 2008 heißt ADAM Active Directory Lightweight Directory Services (ADLDS) und kann als Serverrolle hinzugefügt werden. Setzen Sie Windows Server 2003 SP1 oder SP2 ein, müssen Sie ADAM aus dem Internet herunterladen. Sie können ADAM im Internet von der Seite http://www.microsoft. com/downloads/details.aspx?displaylang=de&FamilyID=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4 herunterladen. Alternativ können Sie auch nach ADAM auf der Microsoft Homepage suchen. Sie müssen keinerlei Konfigurationen vornehmen: ADAM beziehungsweise ADLDS muss nur installiert werden, der Rest wird durch das Exchange-Setup-Programm übernommen.

232


Als Nächstes müssen Sie die MMC 3.0 installieren, wenn Sie als Testserver nicht Windows Server 2003 R2 oder Windows Server 2008 verwenden. Beim Einsatz von Windows Server 2003 R2 wurde diese Komponente bereits installiert. Setzen Sie Windows Server 2003 mit SP1 ein, müssen Sie die MMC bei Microsoft herunterladen, sie wird kostenlos zur Verfügung gestellt. Sie finden die Konsole über http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=4C84F80B908D-4B5D-8AA8-27B962566D9F.

1 2 Abbildung 5.31: Installation von ADAM für EdgeTransport-Server

3 4

5 6 7 8 9 10

Der nächste Schritt besteht darin, dass Sie das Installationsprogramm von Exchange Server 2007 aufrufen. Auf dem Startbildschirm sehen Sie, welche Komponenten bereits installiert wurden und welche noch installiert werden müssen. Die bereits installierten Komponenten sind deaktiviert.

11

Der Schritt 3 für die Vorbereitungen zur Installation von Exchange Server 2007 besteht darin, dass Sie die Microsoft PowerShell installieren. Sie können die Datei auch über den Link http://go.microsoft.com/fwlink/?linkid=64456 herunterladen. Bei Windows Server 2008 kann die PowerShell als Feature hinzugefügt werden. Bei der Installation eines Edge-Transport-Servers unter Windows Server 2008 muss die Installation direkt über die Installationsdateien von Exchange Server 2007 SP1 erfolgen.

5.4.2

12 13 14

Installation von Exchange Server 2007 mit SP1 auf dem Edge-Transport-Server

15

Die einzelnen Seiten der Exchange-Installation sind identisch mit der Installation von herkömmlichen Servern. Auf der Seite zur Auswahl der Installationsmethode müssen Sie bei der Installation eines Edge-Transport-Servers allerdings die benutzerdefinierte Installation auswählen (siehe Abbildung 5.32).

233


Abbildung 5.32: Auswahl der benutzerdefinierten Installation

Auf der nächsten Seite des Assistenten markieren Sie lediglich die Installation der Edge-Transport-Funktion aus und klicken auf Weiter. Die Verwaltungstools für Exchange Server 2007 werden automatisch mit ausgewählt (siehe Abbildung 5.33). Abbildung 5.33: Installation der Edge-TransportFunktion

234


Im Anschluss überprüft der Installationsassistent, ob auf dem Server die Edge-Transport-Funktion installiert werden kann (siehe Abbildung 5.34). Kann der konfigurierte DNS-Server während der Installation nicht erreicht werden, spielt das zunächst keine Rolle. Für die Synchronisierung der notwendigen Daten für den Edge Transport-Server sollten Sie jedoch sicherstellen, dass bei der Einrichtung idealerweise eine Verbindung vom DNS-Server der Active Directory-Domäne hergestellt werden kann, damit die Namensauflösung problemlos funktioniert. Über die Schaltfläche Installieren wird die Installation der Edge-Transport-Funktion auf dem Server gestartet.

1 2

Abbildung 5.34: Überprüfen der Voraussetzungen

3 4

5 6 7 8 9 10 Im Anschluss beginnt der Server mit der Installation. Ist diese abgeschlossen, können Sie mit der Einrichtung beginnen. Spätestens zu diesem Zeitpunkt muss der Edge-Transport-Server in der Lage sein, die Namen der internen Exchange Server aufzulösen und eine Verbindung aufzubauen, damit die notwendigen Daten synchronisiert werden können.

11 12

Ist die Installation erfolgreich abgeschlossen, erhalten Sie eine Meldung und können das Fenster schließen. Nach der Installation erfolgt die Einrichtung der Edge-Transport-Funktion.

13

Ist die Installation abgeschlossen, startet automatisch die Exchange-Verwaltungskonsole. Sehen Sie sich die neue Oberfläche an, stellen Sie fest, dass die Konsole deutlich weniger Funktionen enthält als die der anderen Server. Dafür können Sie in der Exchange-Verwaltungskonsole auf einem Edge-Transport-Server auch Funktionen im Bereich Spamschutz einstellen, die standardmäßig auf Hub-Transport-Servern nicht zur Verfügung stehen und erst nachträglich installiert werden müssen (siehe Kapitel 13).

14 15

235


Abbildung 5.35: Erfolgreiche Installation der EdgeTransport Funktion

Da ein Edge-Transport-Server keine Postfächer verwalten muss, sondern lediglich für das Senden und Empfangen von E-Mails zuständig ist, werden in der ExchangeVerwaltungskonsole auch nur die Bereiche angezeigt, die Sie auf dieser Art Server benötigen (siehe Abbildung 5.36). Abbildung 5.36: Exchange-Verwaltungskonsole auf einem Edge-Transport-Server

5.4.3

Edge-Transport-Server in der Exchange-Organisation abonnieren

Der Edge-Transport-Server ist weder Bestandteil der Active Directory-Domäne noch der Exchange-Organisation. Damit der E-Mail-Fluss zwischen Internet und EdgeTransport-Server, Hub-Transport-Server und Mailboxservern funktioniert, müssen Sie als Nächstes den Edge-Transport-Server mit der Organisation verbinden. Micro236


soft spricht bei diesem Vorgang von abonnieren (Subscribe). Der Server wird dazu nicht mit der Organisation verbunden, sondern tauscht mit den Hub-Transport-Servern und den Domänencontrollern Daten aus. Die notwendigen Daten werden auf dem Edge-Transport-Server in ADAM beziehungsweise ADLDS gespeichert und mithilfe des Systemdienstes Microsoft Exchange EdgeSync synchronisiert. Dieser Dienst spielt auch im Bereich des Spamschutzes eine Rolle, da hierüber auch die Daten der Empfänger synchronisiert werden, welche die vertrauten Absender betreffen. Er ist vom Systemdienst Microsoft Exchange Active Directory-Topologiedienst abhängig (siehe Kapitel 3) und ist auch für die Synchronisierung von ADAM-Daten per LDAP zwischen Edge-Transport-Servern und Hub-Transport-Servern zuständig. Der Dienst läuft ausschließlich auf Servern mit der Rolle Hub-Transport, da nur diese Server mit Edge-Transport-Servern Daten austauschen.

1 2 3 4

Diese Synchronisation der Daten findet aber erst nach der Abonnierung des EdgeTransport-Servers statt. Dabei wird ein Hub-Transport-Server verwendet, der sich am gleichen Active Directory-Standort befindet, an dem der Edge-Transport-Server abonniert wurde.

5

Die Synchronisierung findet ausschließlich vom Hub-Transport-Server zum EdgeTransport-Server statt (nicht in umgekehrter Richtung). Dabei werden nach dem Dienststart die Konfigurationsdaten der Connectoren und des Abonnements stündlich synchronisiert. Benutzerdaten werden alle vier Stunden synchronisiert, also zum Beispiel auch neue Empfänger und die vertrauten Absender der Empfänger. Dieser Zeitplan kann nicht angepasst werden. Am Ende dieses Abschnitts zur Einrichtung von Edge-Transport-Servern zeige ich Ihnen, wie Sie die Synchronisierung auch manuell in der Exchange-Verwaltungsshell anstoßen können.

6 7 8

Von Edge-Transport-Servern werden zwar E-Mails aus dem Internet zu den HubTransport-Servern gesendet, allerdings werden keinerlei sonstige Daten synchronisiert. Durch die Abonnierung eines Edge-Transport-Servers werden von dem Dienst Microsoft EdgeSync folgende Connectoren auf dem Edge-Transport-Server erstellt:

9

1.

10

2.

3.

ein dedizierter Sendeconnector von den Hub-Transport-Servern der Gesamtstruktur zum Edge-Transport-Server, ein Sendeconnector vom Edge-Transport-Server zu den Hub-Transport-Servern an dem Active Directory-Standort, für den Sie den Edge-Transport-Server abonniert haben, ein Sendeconnector vom Edge-Transport-Server zum Internet.

11 12

Durch die Synchronisierung mit dem Edge-Transport-Server werden folgende Daten ausgetauscht und in ADAM/ADLDS auf dem Edge-Transport-Server gespeichert: ■ ■ ■ ■ ■

13

Konfiguration der Sendeconnectoren akzeptierte Domänen Remote-Domänen Liste der vertrauten Absender für den Spamschutz Empfänger der Organisation

14 15

237


Die Abonnierung von Edge-Transport-Servern läuft in vier Schritten ab:

1. Sie erstellen eine spezielle Abonnierungsdatei. 2. Sie kopieren und importieren die Datei auf einen Hub-Transport-Server. 3. Sie überprüfen die erfolgreiche Synchronisierung durch die Überprüfung von Ereignismeldungen des Dienstes Microsoft EdgeSync auf dem Hub-TransportServer.

4. Sie löschen aus Gründen des Datenschutzes die Importdatei, da diese nach der Synchronisierung nicht mehr benötigt wird.

Vorbereitungen für die Abonnierung Bevor Sie die Abonnierung einrichten, sollten Sie sicherstellen, dass die Firewall, welche die DMZ vom internen Netzwerk trennt, die notwendigen Ports durchlässt: ■

Für die Kommunikation zwischen Hub-Transport-Server und Edge-TransportServer wird die Kommunikation der LDAP über den Port TCP 50389 benötigt.

■

Verwenden Sie Secure LDAP, benötigen Sie den Port TCP 50636.

■

Leiten Sie die DNS-Abfrage vom Edge-Transport-Server zu den internen DNSServern weiter, muss zusätzlich der Port TCP 53 geöffnet sein. Diese Auflösung ist sinnvoll, da dadurch der Edge-Transport-Server die Servernamen im internen Netzwerk und externe DNS-Namen im Internet auflösen kann, sofern auf den internen DNS-Servern entsprechende Weiterleitungen eingerichtet wurden (siehe Kapitel 15).

Bevor Sie die Abonnierung einrichten, sollten Sie auf den Hub-Transport-Servern die akzeptierten Domänen, das gewünschte Relaying sowie alle anderen Einstellungen und Connectoren eingerichtet haben, die Sie sonst noch benötigen.

Erstellen der Exportdatei für die Edge-Transport-Server-Abonnierung Haben Sie alle Vorbereitungen getroffen, müssen Sie als Nächstes auf dem EdgeTransport-Server die Datei erstellen, mit der Sie die Abonnierung auf dem HubTransport-Server durchführen. Diese Datei wird für den Import benötigt, damit der Dienst Microsoft EdgeSync die notwendigen Informationen und Daten erhält. In dieser Datei sind auch die notwendigen Authentifizierungsinformationen für die Synchronisierung zwischen Active Directory und ADAM enthalten. Damit Sie die Exportdatei erstellen können, müssen Sie sich am Edge-Transport-Server mit einem lokalen Administratorkonto anmelden. Die Exportdatei wird im XMLFormat erstellt. Starten Sie zunächst auf dem Edge-Transport-Server die ExchangeVerwaltungsshell, da die Exportdatei nur über die Befehlszeile erstellt werden kann. Geben Sie den Befehl new-edgesubscription –filename C:\EdgeSubscriptionInfo.XML ein. Sie müssen die Erstellung noch bestätigen. Im Anschluss wird die Datei erstellt (siehe Abbildung 5.37). Als Nächstes müssen Sie die Datei auf einem Hub-Transport-Server des Active Directory-Standorts, an dem sich der Edge-Transport-Server befindet, wieder importieren. Die Datei ist nur wenige KB groß.

238


Abbildung 5.37: Erstellen einer Exportdatei auf dem Edge-TransportServer

1 2 3 4

Importieren der Export-Datei auf den Hub-Transport-Server

5

Haben Sie die Datei kopiert, können Sie auf dem Hub-Transport-Server mit dem Import beginnen und den Edge-Transport-Server abonnieren. Durch diesen Vorgang wird der Edge-Transport-Server mit dem Active Directory-Standort verbunden, wo sich der Hub-Transport-Server befindet, auf dem Sie das Abonnement einrichten.

6 Abbildung 5.38: Erstellen eines neuen EdgeAbonnements

7 8 9 10

1.

Um das Abonnement zu erstellen, verwenden Sie am besten die Exchange-Verwaltungskonsole. Navigieren Sie zum Menü Organisationskonfiguration/HubTransport.

2.

Klicken Sie im Aktionsbereich auf den Menüpunkt Neues Edge-Abonnement (siehe Abbildung 5.38).

11 12

3. Im Anschluss startet der Assistent, mit dessen Hilfe Sie ein Edge-Abonnement

13

einrichten können (siehe Abbildung 5.39).

4. Wählen Sie anschließend den Active Directory-Standort aus, für den Sie den 14

Edge-Transport-Server abonnieren wollen. An dem Standort muss sich mindestens ein Hub-Transport-Server befinden.

5. Als Nächstes wählen Sie die zuvor auf den Server kopierte Edge-Export-Datei

15

aus und klicken dann auf Neu (siehe Abbildung 5.39).

239


Abbildung 5.39: Erstellen eines neuen EdgeAbonnements

6. Im Anschluss beginnt der Assistent mit der Einrichtung, und Sie können diese mit der Schaltfläche Fertig stellen abschließen. In diesem Fenster wird auch angezeigt, ob die Erstellung erfolgreich war. Außerdem sehen Sie in diesem Fenster wieder den entsprechenden Befehl für die Exchange-Verwaltungsshell (siehe Abbildung 5.40). Abbildung 5.40: Abschließen des Edge-Abonnements

240


Das Abonnement und der damit verbundene Active Directory-Standort werden in der Exchange-Verwaltungskonsole unter Organisationskonfiguration/Hub-Transport/Registerkarte Edge-Abonnements angezeigt (siehe Abbildung 5.41). Abbildung 5.41: Anzeigen eines Edge-Abonnements in der ExchangeVerwaltungskonsole

1 2 3 4

Überprüfen und Verwalten des Edge-Abonnements

5

Grundsätzlich ist keine Verwaltung von Edge-Abonnements notwendig, da die Synchronisierung der Daten automatisch durchgeführt wird und der Zeitplan der Synchronisierung nicht angepasst werden kann.

6

Konfigurationsdaten werden zwischen Active Directory und ADAM/ADLDS stündlich synchronisiert, Benutzerdaten alle vier Stunden. Alle Edge-Abonnements aller Active Directory-Standorte werden in der Exchange-Verwaltungskonsole auf der Registerkarte Edge-Abonnements angezeigt. Sie finden diese Registerkarte, wie bereits beschrieben, über Organisationskonfiguration/Hub-Transport.

7 8

Erzwingen und Überprüfen der Synchronisierung Sie können die Synchronisierung jederzeit manuell in der Exchange-Verwaltungsshell anstoßen. Öffnen Sie dazu auf dem Hub-Transport-Server in dem Active DirectoryStandort, an dem Sie das Abonnement erstellt haben, die Exchange-Verwaltungsshell.

9

Geben Sie den Befehl start-edgesynchronization ein. Im Anschluss startet der Dienst Microsoft EdgeSync die Synchronisierung und gibt die erfolgreiche Synchronisierung aus (siehe Abbildung 5.42).

10

Abbildung 5.42: Erfolgreiche Synchronisierung von Microsoft EdgeSync

11 12 13 14 15

Unter manchen Umständen erhalten Sie direkt nach der Einrichtung eine Fehlermeldung, dass keine Verbindung zum LDAP-Server hergestellt werden kann. Warten Sie 241


in diesem Fall noch etwas, bevor Sie den Befehl eingeben, damit die beiden Server Ihre entsprechenden Daten aktualisieren können. Sie können den Befehl so oft starten, wie Sie wollen. Nach meiner Erfahrung ist es auch sehr hilfreich, wenn Sie auf dem Edge-Transport-Server die DNS-Server der Active Directory-Domäne als bevorzugte DNS-Server verwenden und sicherstellen, dass der Edge-Transport-Server die beteiligten Server im internen Netzwerk auflösen kann. Da der Edge-Transport-Server kein Mitglied einer Domäne ist, ist es auch sinnvoll, wenn Sie das Administratorkonto, mit dem Sie den Edge-Transport-Server verwalten, genauso benennen wie das entsprechende Konto in der Domäne und auch das gleiche Kennwort verwenden. In jedem Fall ist die erfolgreiche Einrichtung eines Edge-Abonnements erst dann abgeschlossen, wenn die manuelle Synchronisierung erfolgreich durchgeführt wurde und in der Ereignisanzeige des Servers im Anwendungsprotokoll die Synchronisierung keine Fehler mehr bringt (siehe Abbildung 5.43). Abbildung 5.43: Überprüfen der Ereignisanzeige zur Sicherstellung der Synchronisierung

Löschen eines Edge-Abonnements Benötigen Sie ein Edge-Abonnement nicht mehr, können Sie es an dieser Stelle entweder über das Kontextmenü oder durch Klicken auf (Entf) löschen. Überprüfen des neuen Edge-Abonnement-Sendeconnectors Durch die Einrichtung des Edge-Abonnements wird auch automatisch ein neuer Sendeconnector eingerichtet, der für das Versenden von E-Mails ins Internet zuständig ist. Sie können die Einstellungen des Connectors ohne Weiteres anpassen, diese werden automatisch durch Microsoft EdgeSync zum Edge-Transport-Server synchronisiert (siehe Abbildung 5.44). Dieser Connector verwendet als Quellserver (unter Exchange Server 2003 noch Bridgehead genannt) den Edge-Transport-Server sowie das Versenden per MX, jedoch keinen Smarthost.

242


Abbildung 5.44: Automatisch eingerichteter Sendeconnector durch das Edge-Abonnement

1 2 3 4

5 Neue Connectoren auf dem Edge-Transport-Server verwalten Zusätzlich wurden durch das Abonnement auf dem Edge-Transport-Server neue Sendeconnectoren sowie ein neuer Empfangsconnector erstellt (siehe Abbildung 5.45). Auch für diese Connectoren müssen Sie grundsätzlich keine Änderungen vornehmen.

6 7 Abbildung 5.45: Neuer Sendeconnector auf dem Edge-TransportServer

8 9 10 11

Sie können aber bei Bedarf ohne Weiteres die Konfiguration anpassen, sofern Sie eine andere Infrastruktur einsetzen, welche die Standardeinstellungen der Connectoren nicht unterstützt.

12 Abbildung 5.46: Neuer Empfangsconnector auf dem Edge-TransportServer

13 14 15

243


5.5

Allgemeine Einstellungen für Exchange-Transport-Server

Neben den Einstellungen für Sende- und Empfangsconnectoren auf Hub-TransportServern und Edge-Transport-Servern können Sie in der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell auch Einstellungen vornehmen, welche die allgemeine Konfiguration von beiden Exchange-Transport-Servern betreffen. In der Exchange-Verwaltungsshell verwenden Sie den Befehl get-transportserver,, um die Konfiguration der Transport-Server in der Organisation anzuzeigen (siehe Abbildung 5.47). Abbildung 5.47: Anzeigen der Transport-Server-Konfiguration mit gettransportserver in der ExchangeVerwaltungsshell

Über den Befehl set-transportserver können Sie Konfigurationen der Transport-Server in der Exchange-Verwaltungsshell anpassen. Die Anpassung in der ExchangeVerwaltungskonsole ist allerdings wesentlich bequemer. Neben den ganzen Einstellungen für die Connectoren finden Sie in der Exchange-Verwaltungskonsole über den Menüpunkt Serverkonfiguration/Hub-Transport die ganzen Hub-Transport-Server der Organisation. Klicken Sie im Ergebnisbereich der Konsole in der oberen Hälfte mit der rechten Maustaste auf den Server, dessen Konfiguration Sie überprüfen wollen, und wählen Sie Eigenschaften aus (siehe Abbildung 5.48). Abbildung 5.48: Aufrufen der Transport-ServerEigenschaften

Es öffnet sich ein neues Fenster, auf dem Sie einige Einstellungen für den TransportServer anpassen oder überprüfen können (siehe Abbildung 5.49). Ihnen stehen zur Verwaltung vier Registerkarten zur Verfügung: ■ ■ ■ ■

244

Allgemein Externe DNS-Lookups Interne DNS-Lookups Grenzwerte

Allgemeine Einstellungen für Exchange-Transport-Server

Auf der Registerkarte Allgemein finden Sie Informationen über Edition, Produkt-ID und die installierten Rollen auf dem Server. Hier sehen Sie auch, welche Domänencontroller für die Verbindung zum Active Directory verwendet werden, können diese aber nicht ändern. Außerdem sehen Sie hier den Zeitpunkt der letzten Änderung der Konfiguration dieses Servers.

1 Abbildung 5.49: Registerkarte Allgemein der Transport-ServerEigenschaften

2 3 4

5 6 7 8 9 Auf den Registerkarten Externe DNS-Lookups und Interne DNS-Lookups (siehe Abbildung 5.50) können Sie unabhängig von der DNS-Konfiguration der Netzwerkkarten spezielle DNS-Server eintragen, die für die interne und externe Namensauflösung für E-Mails verwendet werden. Sie sollten aber idealerweise die Namensauflösung direkt über die DNS-Einstellungen der Netzwerkkarte durchführen.

10 11

In Kapitel 15 gehe ich ausführlicher auf die Anbindung von Exchange Server 2007 an das Internet ein, auch zusammen mit der Konfiguration eines ISA-Servers 2004/2006 für die DNS-Auflösung im Internet. Die DNS-Namensauflösung im Netzwerk ist für den erfolgreichen Betrieb von Exchange Server 2007 extrem wichtig.

12

Da nicht nur der Nachrichtenfluss, sondern auch die Clientanbindung und die Anbindung an das Active Directory von DNS abhängen, sollten Sie sich ausführlich mit diesem Thema auseinandersetzen. In Kapitel 2 bin ich bereits auf DNS-Grundlagen eingegangen, in Kapitel 18 beschäftige ich mich ausführlicher mit der DNSThematik in Gesamtstrukturen mit mehreren Strukturen und Domänen.

13 14

Die beiden Registerkarten Externe DNS-Lookups und Interne DNS-Lookups sehen identisch aus. Sie können entweder zur Namensauflösung alle eingebauten Netzwerkkarten verwenden (diese Einstellung ist Standard) oder eine einzelne Karte auswählen, wenn mehrere verbaut sind. Außerdem können Sie über die Option Diese DNS-Server verwenden andere DNS-Server für die Namensauflösung eintragen, als das Betriebssystem verwendet.

15

245


Abbildung 5.50: Benutzerdefinierte Einstellungen für die DNS-Namensauflösung von Exchange Server 2007

Auf der Registerkarte Grenzwerte stellen Sie für verschiedene Funktionen des Nachrichtenflusses Zeitgrenzen ein, die ausschließlich die Verarbeitung von Nachrichten betreffen (siehe Abbildung 5.51). Auf dieser Registerkarte stellen Sie keine Grenzwerte für die Benutzer Ihrer Exchange-Organisation ein. Diese Grenzwerte werden in Kapitel 6 besprochen. Hauptsächlich geht es bei diesen Grenzwerten um die Wiederholungsversuche, die der Exchange Server bei erfolglosem Nachrichtenfluss starten kann, um die Nachricht doch noch zuzustellen. Die einzelnen Optionen sind selbsterklärend. Normalerweise müssen Sie hier keine Änderungen vornehmen. Abbildung 5.51: Einstellen von Grenzwerten

246

Exchange-Nachrichtentransport- und Transportberechtigungen

5.6


Durch die neuen Serverrollen von Exchange Server 2007 hat Microsoft auch einige Änderungen im Bereich des Nachrichtentransports vorgenommen. Im folgenden Abschnitt gehe ich ausführlicher auf das neue Berechtigungs- und Transportmodell im Nachrichtenfluss ein. Nachrichten zwischen Hub-Transport-Servern und Mailboxservern werden mit dem MAPI-Protokoll zugestellt. Der Nachrichtenfluss zwischen Hub-Transport-Servern wird mit dem SMTP-Protokoll durchgeführt. Beide Protokolle werden durch den Dienst Microsoft Exchange-Transport zur Verfügung gestellt. Ist dieser Dienst nicht gestartet, kann keine Kommunikation zwischen den Servern stattfinden. Beim Verbindungsaufbau wird überprüft, ob der sendende Server eine Verbindung zum empfangenden Server aufbauen darf.

1 2 3

INFO

4

5

Zwischen den verschiedenen Sende- und Empfangsconnectoren spielt die Authentifizierung eine wesentliche Rolle. Wird die Authentifizierung für einen Connector deaktiviert, werden Nachrichten anonym zugestellt.

6

Alle Exchange Server in einer Organisation, also einer gemeinsamen Gesamtstruktur, haben eine Vertrauensstellung, sodass eine sichere E-Mail-Kommunikation zwischen den Exchange Servern in der Gesamtstruktur stattfinden kann.

5.6.1

7

Authentifizierte Sitzungen und authentifizierte Nachrichten

8

Ein zentrales Konzept in der Nachrichtensicherheit von Exchange Server 2007 sind authentifizierte Sitzungen und authentifizierte Nachrichten. Eine Nachricht kann mit Metadaten gestempelt sein, in denen hinterlegt ist, ob die Nachricht authentifiziert oder anonym ist.

9 10

Der empfangende Server überprüft, ob die Nachricht authentifiziert erstellt wurde und ob dem sendenden Server vertraut werden kann. Vertraut der empfangende Server dem sendenden Server, sind also beide in der gleichen Gesamtstruktur, wird der authentifizierte Stempel der Nachricht belassen. Vertraut der empfangende Server dem sendenden Server nicht, wird die Nachricht für den Weitertransport als anonym klassifiziert.

11 12

Zwischen den Hub-Transport-Servern einer Organisation werden Nachrichten durch die Vertrauensstellungen immer authentifiziert weitergereicht. Zwischen EdgeTransport-Servern und E-Mail-Server im Internet werden Nachrichten natürlich als anonym klassifiziert, auch wenn diese von anderen Exchange Servern stammen. Die Nachrichten werden zwar von Edge-Transport-Servern zu Hub-Transport-Servern authentifiziert gesendet, haben aber dennoch eine anonyme Klassifizierung.

13 14

Die Authentifizierung zwischen Exchange Servern kann über die Windows-Authentifizierung bei der Verwendung von MAPI durchgeführt werden. Alternativ besteht die Möglichkeit, den SMTP-Befehl AUTH zu verwenden, bei dem Sie mit Standardauthentifizierung, NTLM oder Kerberos arbeiten können. Weitere Möglichkeiten sind X.509-Zertifikate für die Verwendung von Transport Layer Security (TLS). Auch die Möglichkeit, die Verbindung über IPsec mithilfe dedizierter Empfangs- und Sendeconnectoren herzustellen, besteht.

15

247


Für Connectoren gibt es Discretionary Access Control Lists (DACL), welche die Berechtigungen für sendende Server steuern. Nach dem Verbindungsaufbau zu einem Empfangsconnector wird die Sitzung zunächst als anonym deklariert, und die entsprechenden Berechtigungen werden verwendet. Authentifiziert sich der sendende Server, erhält er die Berechtigungen für authentifizierte Sitzungen.

Authentifizierungseinstellungen für Empfangsconnectoren Bei der Authentifizierung ist das Zusammenspiel zwischen Sende- und Empfangsconnector extrem wichtig. Auf dem Empfangsconnector wird eingestellt, mit welchen Authentifizierungsoptionen sich der Sendeconnector authentifizieren darf (siehe Abbildung 5.52). Sie finden diese Einstellungen in der Exchange-Verwaltungskonsole über den Menüpunkt Serverkonfiguration/Hub-Transport in den Eigenschaften des Empfangsconnectors auf der Registerkarte Authentifizierung. Der HubTransport-Server nimmt nur Authentifizierungen entgegen, die auf den entsprechenden Empfangsconnectoren auf der Registerkarte Authentifizierung gestattet werden. Abbildung 5.52: Authentifizierungseinstellungen für Empfangsconnectoren

Authentifizierungseinstellungen für Sendeconnectoren In den Eigenschaften eines Sendeconnectors können Sie wiederum die Authentifizierung konfigurieren, die verwendet wird, wenn sich der Server mit seinem Smarthost verbindet. Beim direkten Versenden von E-Mails findet keine Authentifizierung statt, da hier die E-Mails auf Basis von DNS und MX-Einträgen versendet werden, eine Authentifizierung ist in diesem Fall nicht möglich.

1. 2.

3. 4.

248

Senden Sie E-Mails über einen Sendeconnector zu einem Smarthost, können Sie in den Eigenschaften des Connectors diese Optionen einstellen: Sie finden die Eigenschaften in der Exchange-Verwaltungskonsole über das Menü Serverkonfiguration/Hub-Transport durch Doppelklick auf den Connector auf der Registerkarte Netzwerk. Hier können Sie die Option Alle Nachrichten über folgende Smarthosts weiterleiten aktivieren. Über die Schaltfläche Ändern können Sie die verschiedenen Authentifizierungsoptionen konfigurieren (siehe Abbildung 5.53). Ihnen stehen dazu folgende Optionen zur Verfügung:


■

Keine – Bei dieser Option werden die E-Mails anonym versendet, es findet keine Authentifizierung statt.

■

Standardauthentifizierung – Bei dieser Option können Sie einen Benutzernamen und ein Kennwort eingeben, mit dem Sie sich am empfangenden Server, dem Smarthost, authentifizieren. Diese Option wird häufig für den Internetverkehr verwendet. Bei dieser Art der Authentifizierung verwendet der Connector die beiden SMTP-Befehle AUTH und LOGIN zur Authentifizierung, Benutzernamen und Kennwort werden allerdings in Klartext übermittelt.

1 2 Abbildung 5.53: Authentifizierungseinstellungen für Sendeconnectoren

3 4

5 6 7 8 9 ■

Unterstützt der empfangende E-Mail-Server TLS, können Sie die Option Standardauthentifizierung über TLS aktivieren. In diesem Fall wird die Authentifizierung verschlüsselt. Allerdings unterstützen nicht alle E-MailServer standardmäßig TLS. Bei der TLS-Verschlüsselung handelt es sich um eine besondere Art der SSL-Verbindung. Diese ist die sicherste Form der Übertragung. Es muss allerdings gewährleistet sein, dass der Empfänger diese Option unterstützt. Beachten Sie auch, dass diese Verschlüsselung zusätzlich Performance kostet. Im Gegensatz zur normalen Übertragung ist es bei TLS nicht mehr möglich, den Datenverkehr zwischen zwei SMTP-Servern abzuhören. Bevor die Authentifizierung stattfindet, wird in diesem Fall eine TLS-Sitzung aufgebaut. Dazu muss der sendende Server eine Validierung des X.509-Zertifikates des empfangenden Servers durchführen. Dazu wird im Rahmen der TLS-Sitzung das Zertifikat zum sendenden Server übertragen. Ist die Validierung erfolgreich, kann sich der sendende Server mit dem SMTP-Befehl AUTH am empfangenden Server authentifizieren. Optional ist auch die Möglichkeit, dass der empfangende Server vom sendenden Server ebenfalls ein Zertifikat erhält, das er validieren muss, bevor E-Mails gesendet werden. TLS zwischen Exchange Servern kann daher erst verwendet werden, wenn auf den Servern ein X.509-Zertifikat installiert wurde. Dieses Zertifikat kann von einer Zertifizierungsstelle im Internet oder von einer eigenen Stammzertifizierungsstelle stammen. Verwenden Sie

10 11 12 13 14 15

249


TLS zwischen Hub-Transport-Servern und Edge-Transport-Servern, wird während der Abonnierung des Edge-Transport-Servers (siehe Abschnitt über Edge-Transport-Server) dessen Zertifikat in das Active Directory übertragen, in dem sich der Hub-Transport-Server befindet. Umgekehrt sorgt der Dienst Microsoft Exchange EdgeSync dafür, dass das Zertifikat der HubTransport-Server in Active Directory Application Mode (ADAM) des EdgeTransport-Servers repliziert wird. ■

Exchange Server-Authentifizierung – Diese Authentifizierung wird beim Verbindungsaufbau zu älteren Exchange Servern verwendet. In diesem Fall werden die Befehle EXPS und GSSAPI verwendet. Beim Verbindungsaufbau mit dieser Authentifizierung zu anderen Exchange 2007-Servern wird in diesem Fall X-ANONYMOUSTLS verwendet.

■

Extern gesichert – Bei dieser Option wird auf Authentifizierung eines externen Mechanismus gewartet, bevor Nachrichten gesendet werden, zum Beispiel IPSec oder ein VPN.

5.6.2

Exchange Server 2007-Transportberechtigungen

Exchange Server 2007 verwendet das Windows-Sicherheitsmodell für die Authentifizierung von SMTP-Sitzungen. Beim Verbindungsaufbau erhält eine SMTP-Sitzung zunächst einen gewissen Satz Berechtigungen. Nach einer erfolgreichen Authentifizierung werden die Berechtigungen der Sitzung erweitert. Die Berechtigungen sind direkt auf das Objekt des Connectors im Active Directory oder bei Edge-TransportServern in ADAM gesetzt.

Berechtigungsgruppen für Empfangsconnectoren Für Empfangsconnectoren gibt es spezielle Berechtigungsgruppen. Diese Gruppen stehen für einen bestimmten Satz an Berechtigungen, die für einen Empfangsconnector gesetzt werden können. Durch diese Gruppen kann die Verwaltung von Berechtigungen für Empfangsconnectoren erheblich einfacher durchgeführt werden als durch das Setzen einzelner Berechtigungen. Es ist nicht möglich, zusätzliche Gruppen zu erstellen, die vorhandenen Berechtigungsgruppen für Exchange Server 2007 sind vordefiniert. Tabelle 5.1: Berechtigungsgruppen in Exchange Server 2007

250

Name der Berechtigungsgruppe

Sicherheitsprinzipal

Berechtigungen auf Edge-TransportServern

Berechtigungen auf Hub-Transport-Servern

Anonymous

Anonyme Benutzer

Übertragen von Nachrichten zum Server Annehmen aller Absender Eingehende Routing-Header akzeptieren

Übertragen von Nachrichten zum Server Annehmen aller Absender Eingehende RoutingHeader akzeptieren

ExchangeUsers

Authentifizierte Benutzer

-

Übertragen von Nachrichten zum Server Für jeden Empfänger annehmen Antispam-Filter umgehen


Name der Berechtigungsgruppe

Sicherheitsprinzipal

Berechtigungen auf Edge-TransportServern

Berechtigungen auf Hub-Transport-Servern

ExchangeLegacyServers

Exchange 2000/2003-Server

-

Übertragen von Nachrichten zum Server Für jeden Empfänger annehmen Antispam-Filter umgehen Akzeptiert jeden Absender Akzeptiert Absender auf autorisierenden Domänen Umgeht die Grenzwerte für die Nachrichtengröße

Exchange Servers

Partner

Exchange 2007-Server

Partner Serverkonto

1 2 3 4

5

Alle Berechtigungen für den Alle Berechtigungen E-Mail-Empfang für den E-MailEmpfang

6

Übertragen von Nachrichten zum Server

7

Übertragen von Nachrichten zum Server

8

Anpassen der Berechtigungen für Connectoren mit ADSI-Edit Es gibt zwar auch Wege, die Berechtigungen über die Exchange-Verwaltungsshell zu setzen (Get-AdPermission, Remove-AdPermission), aber besser und effizienter ist das Setzen von Berechtigungen über ADSI-Edit. Dieses Tool gehört zu den SupportTools, die Sie auf der Windows Server 2003-CD im Verzeichnis \support finden. Sie sollten die Tools auf jedem Windows-Server installieren, da hier wichtige Tools für die Verwaltung von Servern enthalten sind. Sie installieren die Tools am besten durch Doppelklick auf suptools.msi. Im Anschluss können Sie ADSI-Edit über Start/Ausführen/adsiedit.msc starten.

9 10 11

Berechtigungen für Empfangsconnectoren konfigurieren Um die Berechtigungen anzupassen, navigieren Sie in ADSI-Edit zum Bereich:

12

Configuration/Configuration,DC=/Services/Microsoft Exchange/ /CN=Administrative Groups/CN=Exchange Administrative Group (FYDIBOH….)/CN=Servers/<Servername>/Protocols/ CN=SMTP Receive Connectors.

13

Auf der rechten Seite werden alle Connectoren angezeigt (siehe Abbildung 5.54). Rufen Sie die Eigenschaften des entsprechenden Connectors auf, und wechseln Sie auf die Registerkarte Sicherheit. Hier finden Sie alle Gruppen und deren Rechte für den Connector. An dieser Stelle können Sie auch Anpassungen an den Rechten vornehmen.

14 15

Sie können sich beispielsweise die Berechtigungen für die Gruppe AnonymousAnmeldung für Internet-Empfangsconnectoren und interne Connectoren anschauen. Sie werden feststellen, dass bei Internet-Connectoren das Senden von E-Mails auch anonymen Benutzern erlaubt ist, bei internen dagegen nicht. 251


Abbildung 5.54: Konfiguration der Berechtigungen für Empfangsconnectoren mit ADSI-Edit

Berechtigungen für Sendeconnectoren konfigurieren Um die Berechtigungen für Sendeconnectoren anzupassen, navigieren Sie in ADSIEdit zum Bereich: Configuration/Configuration,DC=/Services/Microsoft Exchange/ /CN=Administrative Groups/CN=Exchange Administrative Group (FYDIBOH….)/CN=Routing Groups/CN=Routing Group (DWBGZ….)/CN=Connections. Auch hier können Sie die Eigenschaften des entsprechenden Connectors aufrufen und auf der Registerkarte Sicherheit die entsprechenden Berechtigungen überprüfen oder konfigurieren (siehe Abbildung 5.55). Abbildung 5.55: Berechtigungen von Sendeconnectoren konfigurieren

252

Connectoren zwischen Exchange-Organisationen

5.6.3

Fehlerbehebung bei Verbindungen

Unter Exchange Server 2007 kann es durchaus passieren, dass Verbindungen nicht aufgebaut werden können, weil die entsprechenden Berechtigungen nicht korrekt gesetzt sind. Im folgenden Abschnitt gehe ich die wichtigsten Fehlermeldungen sowie deren potenzielle Lösung durch: ■

■

■

■

■

■

1

530 5.7.1 Client was not authenticated: Bei diesem Fehler hat der Absender der Nachricht, der mit Mail from: festgelegt wird (siehe nächster Abschnitt), nicht das Recht, E-Mails zu diesem Server zu übertragen. Entweder müssen Sie die Authentifizierung konfigurieren oder dem Sender das Recht geben, Nachrichten zum entsprechenden Empfangsconnector zu senden. 535 5.7.3 Authentication unsuccessful: Taucht dieser Fehler auf, wurden falsche Authentifizierungsinformationen ausgetauscht. Überprüfen Sie, ob die Authentifizierungsdaten korrekt eingegeben wurden. 550 5.7.1 Client does not have permission to submit to this server: Bei diesem Fehler wurde die Authentifizierung zwar ordnungsgemäß durchgeführt, der Absender hat aber keine Rechte, E-Mails an diesen Server zu senden. 550 5.7.1 Client does not have permission to send as this server: Der Absender der E-Mail verwendet als Domäne eine autorisierende Domäne. Dieser Fehler tritt auf, wenn von außerhalb, zum Beispiel vom Internet, zu einem Edge-TransportServer eine E-Mail gesendet wird, die eine Domäne verwendet, für die Exchange autorisierend zuständig ist (siehe ersten Abschnitt in diesem Kapitel). 550 5.7.1 Client does not have permission to send on behalf of the from address: Diese Meldung besagt, dass der Absender im Auftrag einer Adresse senden will, die im Header hinterlegt ist. Soll diese Funktion unterstützt werden, benötigt der Client das Recht auf dem Exchange Server, dass er alle möglichen Absender verwenden darf. 550 5.7.1 Unable to Relay: In diesem Fall gehört die Domäne der E-Mail nicht zu den akzeptierten Domänen.

5.7

2 3 4

5 6 7 8 9 10

Connectoren zwischen ExchangeOrganisationen

11

Viele Unternehmen setzen mehrere Exchange-Organisationen ein, die auf mehrere Gesamtstrukturen verteilt sind. Jede Gesamtstruktur kann immer nur eine ExchangeOrganisation enthalten, und jede Exchange-Organisation kann sich nur über eine Gesamtstruktur erstrecken. Setzen Sie im Unternehmen mehrere Gesamtstrukturen ein, kommen Sie um mehrere Exchange-Organisationen nicht herum und müssen diese auch getrennt voneinander verwalten sowie den Nachrichtenfluss einrichten.

12 13

Die Synchronisierung der Adressbücher von unterschiedlichen Exchange-Organisationen führen Sie am besten mit dem Microsoft Identity Integration Server (MIIS) durch. Im letzen Abschnitt dieses Kapitels gehe ich auf diesen Server ein, für den es auch eine kostenlose Version gibt, um Adressbücher von verschiedenen ExchangeOrganisationen zu synchronisieren.

14 15

In diesem Abschnitt gehe ich auf Connectoren zwischen Exchange Server 2007Organisationen sowie auf Connectoren zwischen einer Exchange Server 2007- und Exchange Server 2003-Organisation ein.

253


5.7.1

Connectoren zwischen Exchange Server 2007Organisationen

Wollen Sie zwei Exchange Server 2007-Organisationen miteinander verbinden, erstellen Sie Connectoren zwischen jeweils einem Hub-Transport-Server der einen oder einem Hub-Transport-Server der anderen Organisation/Gesamtstruktur. Verwenden Sie die Standardauthentifizierung, können Sie diese Kommunikation mit TLS verschlüsseln lassen. Für die Authentifizierung der Connectoren zwischen den beiden Organisationen sollten Sie in beiden Gesamtstrukturen jeweils einen Benutzer anlegen, den Sie für die Authentifizierung verwenden können. Verwenden Sie TLS zur Verschlüsselung, müssen Sie sicherstellen, dass die Server jeweils ein X.509-Zertifikat zugewiesen bekommen, das den FQDN des Empfangsconnectors enthält. Tragen Sie die externe Authentifizierung am Connector ein (siehe Abbildung 5.56), müssen Sie sicherstellen, dass zwischen den beiden Connectoren eine gesicherte Verbindung erstellt wird (entweder IPSec oder VPN). Erstellen Sie in den beiden Organisationen auf jeweils einem Hub-Transport-Server einen Sendeconnector, der als Quellserver einen oder mehrere Hub-Transport-Server in seiner Organisation verwendet. Als Smarthost verwenden Sie einen HubTransport-Server der anderen Organisation, und als Adressraum geben Sie die Domäne an, die zwischen den Organisationen weitergeleitet wird. Beispiel: Eine Organisation ist Bestandteil der Gesamtstruktur contoso.com, die andere Organisation in der Gesamtstruktur microsoft.com. Als Authentifizierungsmechanismus wird in diesem Beispiel die Standardauthentifizierung verwendet (Basic Authentication). Zunächst zeige ich Ihnen die Maßnahmen, die in der Gesamtstruktur contoso.com notwendig sind:

1.

Abbildung 5.56: Erstellen eines neuen Sendeconnectors

254

Der erste Schritt besteht darin, einen Sendeconnector in der Gesamtstruktur contoso.com zu erstellen. Öffnen Sie dazu die Exchange-Verwaltungskonsole, und navigieren Sie zu Organisationskonfiguration/Hub-Transport. Klicken Sie im Aktionsbereich auf Neuer Sendeconnector (siehe Abbildung 5.56).


2.

Geben Sie einen eindeutigen Namen für den Connector ein, der klarstellt, dass dieser für eine Verbindung zu einer anderen Exchange-Organisation in Ihrem Unternehmen zuständig ist. Wählen Sie als Verwendungszweck Intern aus (siehe Abbildung 5.57).

1 Abbildung 5.57: Erstellen eines gesamtstrukturübergreifenden Connectors

2 3 4

5 6 7 8 9

3. Auf der nächsten Seite legen Sie den Adressraum fest, der die E-Mail-Domäne

4.

der anderen Gesamtstruktur umfasst. Klicken Sie auf Hinzufügen, und geben Sie den Adressraum ein. Bestätigen Sie Ihre Eingabe (siehe Abbildung 5.58). Verwenden Sie den Platzhalter *, schickt der Connector an alle Domänen E-Mails, die er nicht selbst verwaltet. Konfigurieren Sie einen weiteren Connector, der zum Beispiel für die Domäne microsoft.com zuständig ist, werden alle E-Mails an die Domäne microsoft.com über den neuen Connector zugestellt, auch wenn Sie einen Connector mit dem Platzhalter * definiert haben. Exchange prüft, ob es für eine Internetdomäne einen eigenen Connector gibt, und verwendet diesen. Auf der nächsten Seite des Assistenten legen Sie den Smarthost fest, zu dem die Mails gesendet werden sollen. Hier tragen Sie den FQDN des Hub-TransportServers ein, zu dem Sie die Mails senden wollen. Falls Sie TLS verwenden, dürfen Sie hier nicht die IP-Adresse eintragen, sondern müssen zwingend den FQDN verwenden. Achten Sie in diesem Fall auch auf die korrekte Konfiguration der Namensauflösung (siehe Kapitel 18).

10 11 12 13 14 15

255


Abbildung 5.58: Festlegen des Adressraums für den gesamtstrukturübergreifenden Connector

Abbildung 5.59: Konfiguration des Smarthosts

256


5. Auf der nächsten Seite konfigurieren Sie die Authentifizierung für den Connector. Aktivieren Sie hier zunächst die Standardauthentifizierung und die Option Standardauthentifizierung über TLS. Geben Sie im Anschluss den Benutzernamen des Benutzerkontos ein, das Sie zuvor angelegt haben. Sie können hier auch mit dem UPN arbeiten (zum Beispiel [email protected] statt microsoft\connect). 6. Auf der nächsten Seite legen Sie den Hub-Transport-Server in Ihrer Organisation fest, über den die E-Mails zur anderen Organisation gesendet werden sollen. 7. Schließen Sie die Erstellung des Connectors ab, wie weiter vorne in diesem Kapitel bereits beschrieben. 8. Testen Sie den Connecor. Sollten Schwierigkeiten beim Versenden auftreten, geben Sie über ADSI-Edit der Gruppe Anonymous-Anmeldung mehr Rechte; zunächst reichen Leserechte aus. 9. Gehen Sie in der anderen Organisation analog vor.

1 2 3 4 Abbildung 5.60: Konfiguration der Authentifizierung für den Smarthost

5 6 7 8 9 10 11 12

Gesamtstrukturübergreifende Connectoren mit externer Sicherheit Wollen Sie einen Sendeconnector erstellen, der keine eigene Authentifizierung verwendet, sondern auf einer externen Sicherheitsfunktion wie IPSec oder VPN aufbaut, gehen Sie grundsätzlich so vor, wie zuvor beschrieben. Allerdings müssen Sie die Authentifizierung für den Smarthost anders wählen (siehe Abbildung 5.61). Hier aktivieren Sie die Option Extern gesichert (zum Beispiel mit IPSec).

13 14 15

Die weitere Einrichtung des Sendeconnectors ist identisch mit der Standardauthentifizierung mit oder ohne TLS.

257


Abbildung 5.61: Smarthost-Authentifizierung bei externer Sicherheit

Arbeiten Sie mit der externen Sicherheit, müssen Sie allerdings auf dem empfangenden Hub-Transport-Server einen dedizierten Empfangsconnector erstellen, der die EMails von diesem Sendeconnector entgegennimmt. Gehen Sie dazu folgendermaßen vor:

1. 2.

Starten Sie auf einem Exchange Server in der Organisation des empfangenden Hub-Transport-Servers die Exchange-Verwaltungskonsole. Navigieren Sie zu Serverkonfiguration/Hub-Transport, und klicken Sie auf Neuer Empfangsconnector im Aktionsbereich (siehe Abbildung 5.62).

Abbildung 5.62: Erstellen eines neuen Empfangsconnectors

3. Legen Sie auf der ersten Seite einen passenden Namen fest, und verwenden Sie als Verwendungszweck Intern (siehe Abbildung 5.63).

258



1 2 3 4

5 6 7 4. Auf der nächsten Seite legen Sie die Remote-Netzwerkeinstellungen fest. Löschen Sie hier die vorhandenen Einträge, und fügen Sie die IP-Adresse des sendenden Hub-Transport-Servers ein (siehe Abbildung 5.64). Hier können Sie keine Namen verwenden, sondern lediglich einzelne IP-Adressen oder IPAdressbereiche.

8 9 Abbildung 5.64: Konfiguration der Remote-Netzwerkeinstellungen

10 11 12 13 14 15

259


5. Schließen Sie die Erstellung des Connectors ab. Sie können die Authentifizierung für diesen Connector jederzeit in den Eigenschaften abändern sowie die Berechtigungen über ADSI-Edit steuern.

5.7.2

Connectoren zwischen Exchange Server 2007- und Exchange Server 2003-Organisationen

Wollen Sie eine Exchange Server 2007-Organisation mit einer Exchange Server 2003Organisation verbinden, müssen Sie ebenfalls dedizierte Connectoren für die Kommunikation erstellen. Zusätzlich sind weitere Maßnahmen notwendig, damit die entsprechenden Berechtigungen funktionieren und der Nachrichtenfluss aufgebaut werden kann. Gehen Sie folgendermaßen vor:

1.

2.

Erstellen Sie in der Gesamtstruktur, in der sich die Exchange Server 2003-Organisation befindet, ein neues Benutzerkonto. Nehmen Sie dieses Konto in die Gruppe Exchange Domain Servers in der Domäne auf, in der sich der Exchange Server 2003-Smarthost befindet, zu dem Sie die E-Mails senden wollen. Durch diese Gruppenaufnahme erhält der Benutzer hohe Berechtigungen in der Exchange Server 2003-Organisation, arbeiten Sie daher mit sicheren Kennwörtern. In dieser Gruppe werden alle Exchange Server der Domäne aufgenommen. Diese Gruppe darf keinesfalls aus dem Container Users verschoben werden, da ansonsten der Recipient Update Service unter Exchange Server 2003 die Benutzer dieser Domäne nicht mehr an Exchange anbindet. Außerdem gibt es noch die Gruppe Exchange Enterprise Servers in einer Exchange Server 2003-Organisation. Diese Gruppe enthält alle Exchange Domain Server-Gruppen aller Domänen des Active Directory. Die Aufnahme dieser Gruppen erfolgt ständig dynamisch durch den Recipient Update Service. Legen Sie in der Exchange Server 2007-Gesamtstruktur ein neues Benutzerkonto an. Nehmen Sie dieses Benutzerkonto in der Exchange Server 2007-Gesamtstruktur in die Sicherheitsgruppe Exchange2003Interop auf.

Abbildung 5.65: Sicherheitsgruppe in der Exchange Server 2007-Organisation

3. Erstellen Sie einen neuen Sendeconnector wie bereits beschrieben. Legen Sie als

4.

260

Verwendungszweck Legacy fest. Tragen Sie als Smarthost den Bridgeheadserver der Exchange Server 2003-Organisation ein. Ändern Sie die Authentifizierung auf Standardauthentifizierung, und hinterlegen Sie den Anmeldenamen sowie das Kennwort für den Anwender in der Exchange Server 2003-Organisation. Im Anschluss erstellen Sie auf dem Bridgehead-Server in der Exchange Server 2003-Organisation einen SMTP-Connector, der als Smarthost den Hub-Transport-Server in der Exchange Server 2007-Organisation verwendet.

Praxisworkshop: Relaying für Applikationsserver erlauben

5. Geben Sie im Adressraum des SMTP-Connectors die E-Mail-Domäne ein, die Sie

6.

zur Exchange Server 2007-Organisation weiterleiten wollen. Hinterlegen Sie Authentifizierungsinformationen des Anwenders, den Sie in der Exchange Server 2007-Organisation angelegt haben. Arbeiten Sie neben der Standardauthentifizierung mit TLS, müssen Sie in den Eigenschaften des virtuellen SMTP-Servers unter Exchange Server 2003 ein Zertifikat hinterlegen.

5.8

1 2


3

In vielen Unternehmen gibt es Server, zum Beispiel ERP-, CRM- oder auch SharePointServer, die für ihre Funktionen einen E-Mail-Server auf SMTP-Basis ansprechen müssen, um E-Mails zu senden. Was früher ohne Probleme möglich war, ist spätestens seit Exchange Server 2007 vor allem für ungeübte Administratoren eine echte Herausforderung. In diesem Abschnitt gehe ich daher ausführlicher darauf ein, wie Sie für einzelne Server das Relaying über einen Exchange Server 2007 erlauben können.

4

5

Funktioniert die E-Mail-Funktion Ihres Applikationsservers nicht, testen Sie die weiter hinten im Kapitel beschriebene Möglichkeit, per Telnet E-Mails zu senden. Ist das Relaying für den Server deaktiviert, erhalten Sie die Meldung 550 5.7.1 Unable to relay. Die Lösung dieses Problems sollte sein, dem Server das Relaying zu erlauben, aber anderen Servern nicht, auch wenn diese nicht mit dem Internet verbunden sind. Die Relay-Einschränkungen einer Exchange-Organisation sollten so restriktiv wie möglich sein.

6 7 8

Der optimale Weg, über einen Exchange Server E-Mails zu senden, ist, dass sich interne Server authentifizieren. In diesem Fall nimmt ein Exchange Server 2007 mit seinem Empfangsconnector schon mal mehr E-Mails an als ohne Authentifizierung.

5.8.1

9

Einrichten eines Empfangsconnectors für einen internen Applikationsserver

10

Ist es Ihrer Applikation nicht möglich, sich am Exchange Server anzumelden, ist der beste Weg, einen eigenen Empfangsconnector zu erstellen, der Ihren Servern das Relaying erlaubt.

1.

2.

3.

11

Um einen Empfangsconnector für Ihren Applikationsserver zu erstellen, klicken Sie mit der rechten Maustaste im Ergebnisbereich im Menü Serverkonfiguration/Hub-Transport/<Servername>, und wählen Sie die Option Neuer Empfangsconnector (siehe Abbildung 5.66). Geben Sie dem Connector einen passenden Namen, und lassen Sie auf dem Startfenster die vorgesehene Verwendung auf Benutzerdefiniert (siehe Abbildung 5.67). Auf der nächsten Seite Lokale Netzwerkeinstellungen können Sie alle Einstellungen belassen, wie sie sind. Hier legen Sie fest, auf welchen IP-Adressen der HubTransport-Server auf neue E-Mails für den Connector hört.

12 13 14 15

261



Abbildung 5.67: Assistent zum Erstellen eines neuen Empfangsconnectors

4. Auf der nächsten Seite Remote-Netzwerkeinstellungen fügen Sie die IP-Adressen der internen Server hinzu, denen Sie das Relaying erlauben wollen. Halten Sie den Bereich so klein wie möglich, und verwenden Sie am besten nur die IP-Adressen der Server, denen Sie das Relaying erlauben wollen (siehe Abbildung 5.68). Löschen Sie alle anderen Bereiche aus dem Connector. Haben Sie die IP-Adressen hinterlegt, können Sie mit Weiter auf die nächste Seite gehen.

262


Abbildung 5.68: Konfiguration der Remote-Netzwerkeinstellungen

1 2 3 4

5 6 7 5. Schließen Sie die Erstellung des Connectors ab. Anschließend wird der Connec-

8

tor in der Exchange-Verwaltungskonsole angezeigt. Konfiguration des neuen Empfangsconnectors Um die notwendige Konfiguration abzuschließen, rufen Sie die Eigenschaften des neuen Empfangsconnectors auf (siehe Abbildung 5.69). Wechseln Sie zunächst zur Registerkarte Berechtigungsgruppen, und setzen Sie den Haken bei der Option Exchange Server.

9 10

Wechseln Sie als Nächstes auf die Registerkarte Authentifizierung (siehe Abbildung 5.70). Aktivieren Sie die Option Extern gesichert (zum Beispiel mit IPSec). Bestätigen Sie die Eingaben, und testen Sie, ob die konfigurierten Applikationsserver jetzt über Exchange E-Mails senden dürfen.

11

Weitere Optionen für die Konfiguration von Relaying Bei einem anderen Weg, dieses Problem zu lösen, erlauben Sie anonymen Benutzern das Relaying über den erstellten Connector. Weil Sie bei der Erstellung des Connectors nur den IP-Adressen Zugriff gewährt haben, die relayen dürfen, wird auch nur diesen IP-Adressen der Zugriff gewährt. Da sich die Applikationsserver beziehungsweise die installierten Applikationen nicht an Exchange authentifizieren können (sonst müssten Sie gar keinen neuen Empfangsconnector erstellen, siehe zu Beginn dieses Praxisworkshops), werden diese Applikationen als anonym angesehen:

12

Rufen Sie daher zunächst die Eigenschaften des neuen Empfangsconnectors auf, und wechseln Sie auf die Registerkarte Berechtigungsgruppen (siehe Abbildung 5.70). Aktivieren Sie die Option Anonyme Benutzer.

15

13 14

263


Abbildung 5.69: Konfiguration der Berechtigungsgruppen für einen Empfangsconnector

Abbildung 5.70: Aktivieren von Relaying für anonyme Benutzer

Durch diese Konfiguration nimmt der Connector von den konfigurierten IP-Adressen zwar anonyme Verbindungen entgegen, allerdings erlaubt er noch nicht das Relaying von diesen Servern. Damit er E-Mails entgegennimmt, müssen Sie zunächst die Exchange-Verwaltungsshell öffnen. Geben Sie den Befehl …

264

Warteschlangen (Queues)

Get-ReceiveConnector | Add-ADPermission -User Anonymous-Anmeldung« -ExtendedRights ms-Exch-SMTP-Accept-Any-Recipient« … ein (siehe Abbildung 5.71). Auf englischen Servern verwenden Sie den Befehl Get-ReceiveConnector | Add-ADPermission -User Anonymous Logon« -ExtendedRights ms-Exch-SMTP-Accept-Any-Recipient«.

1

Abbildung 5.71: Aktivieren von Relaying für anonyme Benutzer

2 3 4

5

Bei dieser Art der Berechtigung werden die E-Mails allerdings noch über die Transportregeln, zum Beispiel auch Antispam, geschickt.

5.9

6


Ein weiterer wichtiger Bereich, auch für die Überwachung eines Exchange Servers, ist die Verwaltung der Warteschlangen und des Nachrichten-Trackings. Zu den regelmäßigen Tätigkeiten eines Exchange-Administrators gehört die Überwachung der Warteschlangen seines Servers. Alle ein- und ausgehenden E-Mails werden in die einzelnen Warteschlangen gestellt, bevor sie zugestellt werden. Sie können mithilfe der Warteschlangen sehr schnell feststellen, ob Probleme beim Versenden von E-Mails auftreten oder nicht. Mithilfe der Warteschlangen können Sie zudem den E-Mail-Verkehr eines Exchange Servers nach außerhalb, auf andere Exchange Server oder ins Internet stoppen, ohne die Benutzer zu beeinträchtigen.

7 8 9

In Exchange Server 2007 werden die Daten der Warteschlangen in einer ESE-Datenbank gespeichert (genauso wie die E-Mail-Datenbanken, siehe Kapitel 6). Die Verwaltung von Warteschlangen wurde in Exchange Server 2007 im Vergleich zu seinen Vorgängern deutlich überarbeitet.

5.9.1

10 11

Erster Einblick in die Warteschlangenanzeige 12

Für den Nachrichtenfluss in der Organisation sind nur die beiden Rollen Hub-Transport-Server und Edge-Transport-Server zuständig. Aus diesem Grund werden die Warteschlangen der Exchange-Organisation auch auf diesen Servern verwaltet.

13

Die Warteschlangen verwalten Sie am besten über die Exchange-Verwaltungskonsole. Die Verwaltung findet über das Menü Toolbox/Warteschlangenanzeige statt (siehe Abbildung 5.72).

14

Sie können sich in der Warteschlangenanzeige mit allen Hub-Transport- und EdgeTransport-Servern in Ihrem Unternehmen verbinden und sich alle Warteschlangen an zentraler Stelle anzeigen lassen.

15

Die Warteschlangenanzeige in Exchange Server 2007 zeigt nicht mehr alle Warteschlangen an, sondern nur die, in denen Nachrichten enthalten sind, die zugestellt werden müssen. Die einzige Ausnahme ist die Standardwarteschlange Übermittlung. 265


Abbildung 5.72: Verwaltung der Warteschlangen mithilfe des Queue Viewers in der Exchange-Verwaltungskonsole

Abbildung 5.73: Verwaltung der Warteschlangen in Exchange Server 2007 in der Warteschlangenanzeige

Über den Link Verbindung mit dem Server herstellen können Sie eine Verbindung zu jedem beliebigen Hub-Transport- oder Edge-Transport-Server (wenn ein Abonnement existiert) herstellen (siehe Abbildung 5.74). Abbildung 5.74: Verbindungsaufbau mit einem anderen Transport-Server in der Warteschlangenanzeige

266


Über das Menü Ansicht können Sie verschiedene Einstellungen in der Warteschlangenanzeige anpassen, zum Beispiel auch die Optionen oder welche Registerkarten angezeigt werden sollen (siehe Abbildung 5.75). Abbildung 5.75: Konfiguration der Warteschlangenanzeige

1 2 3 4

Über die Schaltfläche Filter erstellen können Sie die Warteschlangen und Nachrichten nach speziellen Kriterien anzeigen lassen (siehe Abbildung 5.76). Abbildung 5.76: Erstellen von Filtern für die Ansicht der Warteschlangen

5 6 7

Vor allem auf Servern mit starkem Nachrichtenfluss kann es sehr hilfreich sein, wenn Sie nach bestimmten Warteschlangen oder Nachrichten suchen können.

8 Abbildung 5.77: Erstellen eines Filters für den Queue Viewer

9 10 11

Neben der Warteschlangenanzeige in der Exchange-Verwaltungskonsole können Sie sich die Warteschlangen auch in der Exchange-Verwaltungsshell anzeigen lassen. Über den Befehl get-queue werden Ihnen alle aktuellen Warteschlangen auf dem lokalen Server angezeigt (siehe Abbildung 5.78).

12

Abbildung 5.78: Anzeigen von Warteschlangen in der ExchangeVerwaltungsshell

13 14 15

Über den Befehl get-queue |format-list (das Pipe: | erhalten Sie über die Tastenkombination (Alt_Gr) + (>) erhalten Sie eine ausführlichere, formatierte Liste der Warteschlangen (siehe Abbildung 5.79). 267


Abbildung 5.79: Formatierte Liste der Warteschlangen in der ExchangeVerwaltungsshell

5.9.2

Warteschlangentypen in Exchange Server 2007

Abhängig vom Nachrichtenrouting werden E-Mails zunächst in bestimmten Warteschlangen gespeichert, bevor sie zugestellt werden können. Exchange Server 2007 stellt dazu verschiedene Arten von Warteschlangen zur Verfügung.

Submission Queue In diese Warteschlange werden alle eingehenden Nachrichten zuerst abgelegt, die vom Categorizer zunächst klassifiziert werden müssen. Der Categorizer legt fest, wohin eine Nachricht zugestellt und ob diese intern verbleibt oder ins Internet versendet werden soll. Der Categorizer liest zum Beispiel auch aus Verteilerlisten die einzelnen Empfänger aus, damit die Nachrichten zugestellt werden können. In dieser Warteschlange landen daher alle E-Mails, die durch SMTP oder das Pickup-Verzeichnis (siehe Kapitel 3) zugestellt werden. Diese Warteschlange gibt es auf jedem Transport-Server (Hub-Transport oder Edge-Transport) nur einmal. Erst wenn der Categorizer die Nachricht klassifiziert hat, wird sie in die entsprechende Zustellungswarteschlange gestellt.

Mailbox Delivery Queue In diese Warteschlange werden E-Mails gestellt, die von Hub-Transport-Servern per gesicherter RPC-Verbindung über MAPI zu Mailboxservern zugestellt werden sollen. Diese Warteschlange gibt es nur auf Hub-Transport-Servern. Sie enthält auch nur die Nachrichten, die zu Mailboxservern am gleichen Standort wie der entsprechende Hub-Transport-Server zugestellt werden sollen. Auf einem Hub-Transport-Server können mehrere Mailbox Delivery Queues existieren.

268


Remote Delivery Queue In dieser Warteschlange werden E-Mails gespeichert, die auf andere Server per SMTP übertragen werden sollen. Aus diesem Grund können diese Warteschlangen sowohl auf Hub-Transport-Servern als auch auf Edge-Transport-Servern mehrmals existieren. In jeder einzelnen Remote Delivery Queue werden die Nachrichten gespeichert, die zum gleichen Server übertragen werden müssen. Auf Hub-Transport-Servern enthält diese Warteschlange E-Mails, die zu anderen Servern in anderen Active Directory-Standorten zugestellt werden sollen. Bei Edge-TransportServern handelt es sich um Nachrichten, die an andere Domänen, zum Beispiel ins Internet, zugestellt werden sollen. Diese Warteschlangen werden dynamisch erstellt und automatisch drei Minuten nach dem Zustellen der letzten E-Mail aus der Warteschlange wieder gelöscht.

1 2 3

Abbildung 5.80: Remote Delivery Queues in Exchange Server 2007

4

5 6 7 8

Poison Message Queue

9

In diese Warteschlange werden Nachrichten gespeichert, die Exchange Server 2007 nach einem Serverabsturz als gefährlich für das System klassifiziert. Diese Warteschlange sollte immer leer sein. Ist das der Fall, wird die Warteschlange nicht angezeigt, wenn Sie die Warteschlangenanzeige öffnen.

10

Unreachable Queue

11

In dieser Warteschlange werden alle Nachrichten gespeichert, die nicht zugestellt werden können. Diese Warteschlange gibt es auf Hub-Transport- und Edge-Transport-Servern immer nur einmal.

5.9.3

12

Verwalten von Warteschlangen 13

Sie können Warteschlangen überwachen oder direkt in den Nachrichtenfluss eingreifen. Dazu stehen Ihnen verschiedene Möglichkeiten zur Verfügung (siehe Abbildung 5.81): ■

14

Warteschlangen anhalten: Klicken Sie mit der rechten Maustaste auf eine Warteschlange, können Sie aus dem Menü Anhalten auswählen. In diesem Fall können zwar die Anwender weiterhin E-Mails schreiben, die zur Warteschlange auch zugestellt werden, allerdings verlassen keine Mails mehr den Server, sondern bleiben in der Warteschlange erhalten.

15

269


Abbildung 5.81: Anhalten einer Warteschlange

Angehaltene Warteschlangen werden mit einem eigenen Symbol in der Warteschlangenanzeige aufgeführt (siehe Abbildung 5.82). Abbildung 5.82: Angehaltene Warteschlange im Exchange Queue Viewer

■

Warteschlangen fortsetzen: Klicken Sie mit der rechten Maustaste auf eine angehaltene Warteschlange, können Sie diese über den Menüpunkt Fortsetzen wieder aktivieren (siehe Abbildung 5.83). In diesem Fall werden alle enthaltenen Nachrichten sofort zugestellt.

■

Warteschlangen wiederholen: Kann eine Nachricht aus der Warteschlange nicht zugestellt werden, wird nach einiger Zeit automatisch eine Wiederholung gestartet. Über das Kontextmenü oder den Aktionsbereich einer Warteschlange können Sie den Befehl Wiederholen auswählen. In diesem Fall wird die Zustellung der Nachricht sofort durchgeführt, auch wenn der Zeitplan noch keine Wiederholung vorsieht (siehe Abbildung 5.84).

Abbildung 5.83: Fortsetzen von angehaltenen Warteschlangen

270


Abbildung 5.84: Wiederholen des Sendens von Nachrichten

1 2 3 4 ■

Nachrichten entfernen (mit Unzustellbarkeitsbericht): Wählen Sie diesen Menüpunkt im Kontextmenü oder dem Aktionsbereich aus, wird die Nachricht gelöscht, und der Absender erhält einen Unzustellbarkeitsbericht, er erfährt also, dass seine E-Mail nicht zugestellt werden konnte (siehe Abbildung 5.85).

5 6 Abbildung 5.85: Anzeigen eines Unzustellbarkeitsberichts nach dem Löschen

7 8 9 10 11 12 13

■

Nachrichten entfernen (ohne das Senden von Unzustellbarkeitsbericht): Wählen Sie diesen Menüpunkt aus, wird die Nachricht gelöscht, aber die Absender der E-Mails erhalten keinerlei Benachrichtigungen darüber. Sie erkennen bereits an der Anzeige der Warteschlangen, welchen Status diese haben. Schon allein durch diesen schnellen Überblick sehen Sie, ob der Nachrichtenfluss in Ihrer Exchange-Organisation funktioniert (siehe Abbildung 5.86).

14 15

271


Abbildung 5.86: Status von Warteschlangen im Queue Viewer überwachen

■

Fehlerfreier Status einer Warteschlange: Befindet sich der Status einer Warteschlange im normalen Zustand und können Nachrichten aus dieser Warteschlange ohne Probleme zugestellt werden, wird diese als aktiv gekennzeichnet (siehe Abbildung 5.87). Konnten E-Mails aus dieser Warteschlange fehlerfrei zugestellt werden und befinden sich keine E-Mails mehr in dieser Warteschlange, wird diese als fehlerfrei gekennzeichnet.

■

Können E-Mails aus einer Warteschlange nicht zugestellt werden, erhält diese nach einiger Zeit den Status Fehler. Entgegen der sonstigen Kennzeichnung von Microsoft ist die Ansicht dieses Status etwas verwirrend, da er blau hervorgehoben wird (siehe Abbildung 5.88). Befindet sich eine Warteschlange in diesem Zustand, kann eine Nachricht nicht zugestellt werden. Exchange versucht, diese E-Mails dennoch zuzustellen, da eventuell nur ein temporäres Verbindungsproblem vorliegt. Befindet sich eine Warteschlange in diesem Status, sollten Sie jedoch in jedem Fall überprüfen, welches Problem vorliegt. Werden Nachrichten nicht zugestellt, liegt eventuell ein Problem mit der Namensauflösung vor. Zunächst sollten Sie testen, ob das Problem nur temporär ist, und die Warteschlange erneut zur Verbindung zwingen. Klicken Sie dazu mit der rechten Maustaste auf diese Warteschlange, und wählen Sie aus dem Menü Wiederholen.

Abbildung 5.87: Aktive und bereite Warteschlange

Abbildung 5.88: Anzeigen von Warteschlangen mit Problemen bei der Zustellung

Klicken Sie auf eine Warteschlange doppelt, können Sie sich den Inhalt der Warteschlange anzeigen lassen. Klicken Sie einzelne E-Mails in den Warteschlangen mit der rechten Maustaste an, können Sie auch hier verschiedene Aktionen durchführen, die analog zur Warteschlange sind, aber nur die ausgewählten E-Mails betreffen (siehe Abbildung 5.89). Über die Eigenschaften einer Nachricht erhalten Sie ausführliche Informationen, zum Beispiel auch den SCL-Wert (siehe Kapitel 13). Über den Befehl get-message können Sie sich die Nachrichten in den Warteschlangen eines Servers in der Exchange-Verwaltungsshell anzeigen lassen (siehe Abbildung 5.90).

272


Abbildung 5.89: Verwalten von Nachrichten in den Warteschlangen

1 2 3 4 Abbildung 5.90: Anzeigen der Nachrichten in den Warteschlangen eines Servers

5 6 7

Sie können sich eine ausführlichere, formatierte Liste der Nachrichten in den Warteschlangen über den Befehl get-message |format-list anzeigen lassen (siehe Abbildung 5.91).

8 Abbildung 5.91: Anzeigen einer formatierten Liste der E-Mails in den Warteschlangen

9 10 11 12

5.9.4

Verwalten der Warteschlangen-Datenbank 13

Die ESE-Datenbank (siehe Kapitel 6) der Warteschlangen wird standardmäßig im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\data\Queue gespeichert (siehe Abbildung 5.92).

14

Wie bei allen ESE-Datenbanken werden Aktionen zunächst in den Transaktionsprotokollen (siehe Kapitel 6), im Arbeitsspeicher und dann erst auf Platte abgelegt. Die Warteschlangen-Datenbank verwendet die Umlaufprotokollierung (siehe ebenfalls Kapitel 6). Aus diesem Grund kann die Datenbank nicht ohne Weiteres zur Wiederherstellung von E-Mails verwendet werden. Im Verzeichnis der WarteschlangenDatenbank gibt es verschiedene Dateien, die beim Versenden von E-Mails über Exchange Server 2007 eine erhebliche Rolle spielen:

15

273


■ ■

Mail.que – Diese Datei enthält die Datenbank der Warteschlangen. Temp.edb – Diese temporäre Datenbank dient zur Verifizierung des Schemas der Warteschlangen-Datenbank und wird beim Starten des Servers benötigt.

Abbildung 5.92: Verzeichnis der WarteschlangenDatenbank in Exchange Server 2007

■

■

■

Abbildung 5.93: Anzeigen der Eigenschaft einer Nachricht im Queue Viewer

274

Trn*.log – Bei dieser Datei handelt es sich um das Transaktionsprotokoll der Datenbank. Bei aktiveren Servern werden mehrere Transaktionsprotokolle angelegt, sobald die Datei ihre maximale Größe hat. Die Datei trn.log ist aber immer die aktive Transaktionsprotokolldatei; die anderen Dateien sind Archive, die bereits in die Datenbank mail.que geschrieben worden sind. Trch.chk – Bei dieser Datei handelt es sich um die Checkpoint-Datei. Sie enthält die Informationen darüber, welche Transaktionen bereits in die Datenbank geschrieben wurden (siehe Kapitel 6). Trnres00001.jrs und trnres00002.jrs – Bei diesen beiden Dateien handelt es sich um Platzhalter für die Transaktionsprotokolldateien. Sie werden nur verwendet, wenn der Festplattenplatz nicht mehr ausreicht, um neue Transaktionsprotokolldateien anzulegen.

Nachrichtenverfolgung (Message Tracking)

5.10


Die Nachrichtenverfolgung gehört zu den wichtigsten Werkzeugen bei der Diagnose und Überwachung Ihrer Exchange-Organisation. Sie können sich mithilfe der Nachrichtenverfolgung die zugestellten E-Mails und deren Informationen anzeigen lassen. Die Nachrichtenverfolgung greift auf Protokolldateien zu, in denen das Versenden der Nachrichten protokolliert wird. Diese Protokolldateien finden Sie nur auf HubTransport-, Edge-Transport- und Mailboxservern. Auf Client-Access- und UnifiedMessaging-Servern werden keine Protokolldateien für die Nachrichtenverfolgung gespeichert.

1

5.10.1

4

2 3

Verwalten der Protokolldateien

Standardmäßig finden Sie die Protokolldateien für die Nachrichtenverfolgung im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking (siehe Abbildung 5.94).

5 Abbildung 5.94: Protokolldateien für die Nachrichtenverfolgung

6 7 8 9

Die Bezeichnung der Protokolldateien ist auf Servern mit unterschiedlichen Exchange-Rollen verschieden gewählt. Auf Hub-Transport- und Edge-Transport-Servern sind die Protokolldateien nach dem Format MSGTRKyyyymmdd.log bezeichnet, auf Mailboxservern nach dem Format MSGTRKMyyyymmdd.log. Hat eine Protokolldatei ihre maximale Größe erreicht, wird eine neue Datei angelegt, und es findet eine Durchnummerierung statt.

10 11

Die Protokolldateien werden im Textformat abgespeichert. Die einzelnen Werte sind durch Komma voneinander getrennt (CSV). Jede Protokolldatei hat einen eigenständigen Header, der verschiedene Informationen enthält (siehe Abbildung 5.95): ■ ■ ■ ■ ■

12

#Software – Hier wird protokolliert, durch welche Anwendung die Datei erstellt wurde, in diesem Fall Microsoft Exchange Server. #Version – Hier sehen Sie die Version der Anwendung, die das Protokoll erstellt hat. Bei Exchange Server 2007 ist das 8.0.0.0. #Log-Type – Hier sehen Sie, um welche Art von Protokolldatei es sich handelt. Es handelt sich normalerweise um Message Tracking Log. #Date – Hier werden die UTC-Zeit und das Datum festgehalten, an dem das Protokoll erstellt wurde. #Fields – Ab diesem Bereich kommen die kommagetrennten Werte der Protokolldatei, die für die Nachrichtenverfolgung verwendet werden.

13 14 15

275


Abbildung 5.95: Anzeigen von Protokolldateien und Überprüfen des Headers

In den Protokolldateien wird nicht der Text der E-Mails gespeichert, sondern nur der Betreff sowie der Zeitpunkt des Sendens und der Zustellung.

5.10.2 Konfiguration der Nachrichtenverfolgung Im Gegensatz zu seinen Vorgängern ist bei Exchange Server 2007 die Nachrichtenverfolgung auf allen Servern mit den Rollen Hub-Transport, Edge-Transport und Mailbox bereits standardmäßig aktiviert.

INFO

Um die Einstellungen der Nachrichtenverfolgung anzupassen, müssen Sie die Exchange-Verwaltungsshell verwenden. Die Nachrichtenverfolgung kann nicht in der Exchange-Verwaltungskonsole konfiguriert werden. Zur Konfiguration der Nachrichtenverfolgung werden die beiden Befehle set-mailboxserver und set-transportserver verwendet.

Aktivieren und Deaktivieren der Nachrichtenverfolgung Sie können über die Exchange-Verwaltungsshell die Nachrichtenverfolgung auf einzelnen Servern deaktivieren, wenn diese nicht gewünscht ist. Auf dem gleichen Weg können Sie die Nachrichtenverfolgung auch wieder aktivieren. ■

■

Um die Nachrichtenverfolgung auf Transport-Servern zu deaktivieren, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogEnabled:$false (siehe Abbildung 5.96). Über den Befehl set-transportserver <Servername> -MessageTrackingLogEnabled:$true aktivieren Sie die Nachrichtenverfolgung auf Transport-Servern wieder (siehe Abbildung 5.96).

Abbildung 5.96: Deaktivieren und Aktivieren der Nachrichtenverfolgung

Auf Mailboxservern können Sie die Nachrichtenverfolgung über die folgenden beiden Befehle aktivieren oder deaktivieren:

276


■

■

Um die Nachrichtenverfolgung auf Mailboxservern zu deaktivieren, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogEnabled: $false (siehe Abbildung 5.97). Über den Befehl set-mailboxserver <Servername> -MessageTrackingLogEnabled: $true aktivieren Sie die Nachrichtenverfolgung auf Mailboxservern wieder (siehe Abbildung 5.97).

1 2

Ändern des Speicherorts für die Protokolldateien der Nachrichtenverfolgung Standardmäßig finden Sie die Protokolldateien für die Nachrichtenverfolgung im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\Message Tracking.

3 4

Viele Unternehmen wollen die Protokolldateien für die Nachrichtenverfolgung an einen anderen Speicherort verlegen. Achten Sie beim Ändern des Speicherorts aber darauf, dass Sie die Protokolldateien lokal speichern lassen, nicht auf einer Netzwerkfreigabe.

INFO

5 6

Auf einem Cluster sollten Sie die Protokolldateien auf dem gemeinsamen Datenträger ablegen, damit auch beim Ausfall eines Knotens und bei dem darauffolgenden Failover die Nachrichtenverfolgung weiterhin zur Verfügung steht.

7 Um den Speicherort der Protokolldateien auf einem Transport-Server anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogPath (siehe Abbildung 5.97).

8 Abbildung 5.97: Anpassen des Speicherorts für Protokolldateien

10

Die Anführungszeichen benötigen Sie grundsätzlich nur, wenn der Pfad Leerzeichen enthält. Sie müssen das Verzeichnis vorher nicht anlegen, der Befehl erstellt selbst das Verzeichnis. Allerdings werden die bereits angelegten Protokolldateien nicht kopiert, sie bleiben in Ihrem ursprünglichen Verzeichnis.

11

Auf Mailboxservern verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogPath .

12

Überprüfen Sie nach dem Ändern des Speicherorts die Berechtigungen für das Verzeichnis der Protokolldateien. Die notwendigen Berechtigungen werden durch den Befehl nicht gesetzt, sondern müssen manuell angepasst werden. Sie sollten ausschließlich folgende Berechtigungen auf den Speicherort der Protokolldateien festlegen (siehe Abbildung 5.98): ■ ■ ■

9

13 14

Administrator – Vollzugriff System – Vollzugriff Netzwerkdienst – Lesen, Schreiben, Unterordner und Dateien löschen. Vor allem die Berechtigungen des Netzwerkdienstes sind wichtig, da der Systemdienst Microsoft Exchange-Transport die Berechtigungen des Netzwerkdienstes dazu verwendet, Protokolldateien anzulegen.

15

277


Abbildung 5.98: Anpassen der Berechtigungen für die Nachrichtenverfolgung

Anpassen der maximalen Größe einer Protokolldatei Standardmäßig darf die Protokolldatei für die Nachrichtenverfolgung eine Größe von etwa 10 MB erreichen. Wird diese Größe erreicht, legt Exchange automatisch eine neue Protokolldatei an. Allerdings werden nur so lange neue Protokolldateien angelegt, bis die entsprechenden Voraussetzungen nicht mehr erfüllt sind: ■

■

Die Größe des Verzeichnisses für die Protokolldateien hat den Grenzwert erreicht. Wie Sie den Grenzwert festlegen, zeige ich Ihnen im nächsten Abschnitt. Die Protokolldatei hat ihr maximales Alter erreicht. Hat eine Protokolldatei ihr maximales Alter erreicht, wird sie durch die Umlaufprotokollierung automatisch gelöscht. Ich zeige Ihnen im übernächsten Abschnitt, wie Sie das maximale Alter der Protokolldatei festlegen.

Um die maximale Größe auf Hub-Transport-Servern oder Edge-Transport-Servern anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogMaxFileSize MB (siehe Abbildung 5.99). Abbildung 5.99: Ändern der maximalen Größe der Protokolldatei für die Nachrichtenverfolgung

Um die maximale Größe auf Mailboxservern anzupassen, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxFileSize MB (siehe Abbildung 5.100). Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden:

278


■ ■ ■ ■

B (Bytes) KB (Kilobytes) GB (Gigabytes) TB (Terabytes)

1

Festlegen der maximalen Größe des Verzeichnisses für die Nachrichtenverfolgung

2

Standardmäßig darf das Verzeichnis der Protokolldateien eine Größe von 250 MB erreichen. Wird dieser Grenzwert erreicht, löscht Exchange automatisch die älteste Protokolldatei im Verzeichnis. Zur maximalen Größe des Verzeichnisses werden alle Protokolldaten hinzugezogen, die das gleiche Präfix haben.

3

Die Protokolldateien auf Hub-Transport- und Edge-Transport-Servern haben das Präfix MSGTRK…Auf Mailboxservern wird das Format MSGTRKM…verwendet. Die Größenbeschränkung, die Sie festlegen, gilt daher immer nur für ein Präfix. Um die Gesamtgröße festzulegen, müssen Sie die beiden Grenzwerte addieren, wenn Sie auf einem Server die Hub-Transport- und Mailboxserver-Rolle installiert haben.

4

5

Um den Grenzwert für das Verzeichnis festzulegen, verwenden Sie den Befehl settransportserver <Servername> -MessageTrackingLogMaxDirectorySize (siehe Abbildung 5.100).

6 Abbildung 5.100: Festlegen der maximalen Größe des Verzeichnisses für die Protokolldateien

Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden: ■ ■ ■ ■

7 8 9


10

Auf Mailboxservern können Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxDirectorySize verwenden.

11

Festlegen des maximalen Alters der Protokolldateien

12

Neben der maximalen Größe des Verzeichnisses für die Protokolldateien können Sie in der Exchange-Verwaltungsshell auch das maximale Alter von Protokolldateien konfigurieren. Ist dieses Alter erreicht, werden die entsprechenden Protokolldateien gelöscht, wenn im Verzeichnis kein Platz mehr für neue Protokolldateien zur Verfügung steht. Der Standardwert für das maximale Alter sind 30 Tage.

13 14

Um das maximal Alter anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -MessageTrackingLogMaxAge (siehe Abbildung 5.101). Abbildung 5.101: Festlegen des maximalen Alters für Protokolldateien

279

15


Um das maximale Alter der Protokolldateien auf Mailboxservern anzupassen, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxAge . Das Format für das Alter geben Sie nach der Syntax TT.HH:MM:SS ein.

TIPP

Legen Sie als Syntax für Stunden, Minuten und Sekunden 00:00:00 fest, wird verhindert, dass Protokolldateien automatisch beim Erreichen ihres maximalen Alters gelöscht werden. In diesem Fall werden diese Dateien erst gelöscht, wenn der Grenzwert für die Größe des Verzeichnisses erreicht wird.

Protokollierung des Nachrichtenbetreffs In der Nachrichtenverfolgung ist es nicht möglich, den Text der E-Mails zu protokollieren, aber Sie sollten den Betreff der Nachrichten protokollieren lassen. Nur in diesem Fall können Sie das Zustellen von Nachrichten über die Nachrichtenverfolgung verifizieren. Standardmäßig wird der Nachrichtenbetreff in der Nachrichtenverfolgung protokolliert. Sie können diese Funktion aber auf einzelnen Servern deaktivieren oder im Bedarfsfall wieder aktivieren. Verwenden Sie zur Deaktivierung der Protokollierung des Nachrichtenbetreffs den Befehl set-transportserver <Servername> -MessageTrackingLogSubjectLoggingEnabled $true (zum Aktivieren) oder $false (zum Deaktivieren, siehe Abbildung 5.102). Abbildung 5.102: Deaktivieren und Aktivieren der Protokollierung des Nachrichtenbetreffs

Verwenden Sie zur Deaktivierung der Protokollierung des Nachrichtenbetreffs auf Mailboxservern den Befehl set-mailboxerver <Servername> -MessageTrackingLogSubjectLoggingEnabled $true (zum Aktivieren) oder $false (zum Deaktivieren).

5.10.3 Verwenden der Nachrichtenverfolgung Im Gegensatz zur Konfiguration können Sie die Auswertung der Nachrichtenverfolgung auch in der Exchange-Verwaltungskonsole durchführen. Die Nachrichtenverfolgung finden Sie in der Exchange-Verwaltungskonsole über das Menü Toolbox/Nachrichtenverfolgung (siehe Abbildung 5.103). Die Oberfläche der Nachrichtenverfolgung wurde im Vergleich zu Exchange Server 2007 angepasst. Sie können Nachrichten auf Basis verschiedener Filter nachverfolgen. Sie müssen mindestens ein Kriterium eingeben, nach dem Sie suchen wollen. Sie können hier die verschiedenen Kriterien auch kombinieren. Bei Servern mit hohem E-Mail-Fluss bietet es sich an, die Suchkriterien so eng wie möglich zu wählen. Haben Sie alle gewünschten Kriterien eingegeben, können Sie die Nachrichten suchen lassen. Es werden alle Nachrichten als Ergebnis zurückgegeben, die Ihren Kriterien entsprechen und innerhalb des Aufbewahrungszeitraums der Protokolldateien liegen.

280


Abbildung 5.103: Starten der Nachrichtenverfolgung in der Exchange-Verwaltungskonsole

1 2 3 4

5 6

Wenn Sie eine Nachricht gefunden haben, können Sie zunächst entscheiden, ob Sie den E-Mail-Fluss dieser Nachricht weiterverfolgen oder deren Eigenschaften betrachten wollen. Rufen Sie die Eigenschaften der Nachricht auf, erhalten Sie Informationen über Absender und Empfänger der Nachricht. Zusätzlich bekommen Sie alle maßgeblichen Informationen der E-Mail wie Sendedatum, Server, Größe der Nachricht, Priorität und Verschlüsselung angezeigt. Außerdem erfahren Sie die interne ID der Nachricht, mit deren Hilfe Sie jederzeit speziell nach dieser Nachricht suchen können. Diese Nachrichten-ID (Message-ID) wird auch beim Transport der Nachricht zu anderen Mailsystemen nicht verändert und kann somit dort auch zur Suche nach der Nachricht verwendet werden.

7 8 9 Abbildung 5.104: Nachrichtenverfolgung in Exchange Server 2007

10 11 12 13 14 15

Sind Sie die Eigenschaften der Nachricht durchgegangen, aber Sie haben nicht alle Informationen erhalten, die Sie benötigen, können Sie den Weg der E-Mail-Nachricht 281


durch Ihre Exchange-Organisation nachverfolgen. Exchange überprüft den gesamten Nachrichtenfluss dieser E-Mail sowie den Status der Nachrichten und zeigt das Ergebnis an. Exchange Server 2007 arbeitet hier wesentlich detaillierter als Exchange 2000/2003 und zeigt auch Nachrichten sowie deren Status in den verschiedenen Stufen des Kategorisierungsmoduls (Categorizer) an. Diese Informationen können sehr hilfreich sein, wenn Sie interne Probleme auf Ihrem Exchange Server vermuten.

5.11

SMTP- und Konnektivitätsprotokollierung

Zusätzlich zu der Nachrichtenverfolgung können Sie unter Exchange Server 2007 den Nachrichtenverkehr zwischen Sendeconnectoren und Empfangsconnectoren, der SMTP-basiert stattfindet, protokollieren lassen. Diese Protokollierung können Sie zur Fehlersuche zwischen Hub-Transport-Servern sowie zwischen Edge-Transport-Servern und Hub-Transport-Servern verwenden. Den Nachrichtenfluss zwischen HubTransport-Servern und Mailboxservern können Sie mit diesen Protokollen nicht erfassen, da hier für die Kommunikation kein SMTP, sondern MAPI verwendet wird und der Zugriff über eine abgesicherte RPC-Verbindung stattfindet. Standardmäßig ist die SMTP-Protokollierung für alle Connectoren deaktiviert und kann für einzelne Connectoren aktiviert werden. Die Konfiguration erfolgt dabei pro Server, die Aktivierung pro Connector. Da die SMTP-Protokollierung die Serverlast erhöht, sollten Sie diese nur für die Fehlersuche verwenden oder wenn Sie den SMTP-Verkehr für einzelne Connectoren protokollieren lassen wollen. Sie können die Protokollierung in der Exchange-Verwaltungskonsole und in der Exchange-Verwaltungsshell aktivieren. Eine ausführliche Konfiguration der Protokollierung führen Sie in der Exchange-Verwaltungsshell durch.

5.11.1

Allgemeine Informationen und Aktivierung der SMTP-Protokollierung

Die Protokolle der SMTP-Protokollierung werden in den beiden Verzeichnissen C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive und C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpSend abgelegt. Abbildung 5.105: Verzeichnisse für SMTP-Protokolle

Standardmäßig sind beide Verzeichnisse leer. Erst wenn Sie die Protokollierung für einzelne Connectoren aktivieren, werden in diesen Verzeichnissen Protokolle abgelegt. Die Syntax der Protokolle ist ähnlich zur Nachrichtenverfolgung. Die Protokolle der Sendeconnectoren erhalten das Präfix SEND. und Protokolle für Empfangsconnectoren erhalten das Präfix RECV. Auch ansonsten ähnelt der Aufbau der SMTPProtokolle stark den Protokollen der Nachrichtenverfolgung. 282


Die SMTP-Protokolldateien enthalten folgende Informationen, die pro Protokollereignis festgeschrieben werden: ■ ■ ■ ■ ■ ■ ■

Datum und Zeit Bezeichnung des Connectors ID der SMTP-Sitzung durchlaufende Nummer der Ereignisse in einer einzelnen SMTP-Sitzung den lokalen Endpunkt der SMTP-Sitzung (normalerweise IP-Adresse und Port) die einzelnen Ereignisse wie Verbindung, Verbindung trennen, Übermitteln, Empfangen etc. detaillierte Informationen zu den einzelnen SMTP-Ereignissen

1 2 3

Jede SMTP-Sitzung erzeugt zahlreiche SMTP-Ereignisse, die protokolliert werden. Wollen Sie die Protokollierung für Sendeconnectoren auf Edge-Transport-Servern anpassen, sollten Sie die Konfigurationen auf einem Hub-Transport-Server vornehmen, der an einem Active Directory-Standort steht, der den Edge-Transport-Server abonniert hat. In diesem Fall werden die Konfigurationen durch den Dienst Microsoft EdgeSync auf den Edge-Transport-Server synchronisiert.

4

5

INFO

6 Aktivierung und Deaktivierung der Protokollierung für Empfangsconnectoren Öffnen Sie die Exchange-Verwaltungskonsole. Navigieren Sie zum Bereich Serverkonfiguration/Hub-Transport. Öffnen Sie im unteren Bereich die Registerkarte Empfangsconnectoren, und rufen Sie die Eigenschaften des entsprechenden Empfangsconnectors auf. Über das Drop-down-Menü Protokollierungsgrad können Sie die Protokollierung aktivieren oder deaktivieren (siehe Abbildung 5.106).

7 8 Abbildung 5.106: Aktivieren der Protokollierung für Empfangsconnectoren

9 10 11 12 13 14 15

283


Aktivierung und Deaktivierung der Protokollierung für Sendeconnectoren Öffnen Sie die Exchange-Verwaltungskonsole. Navigieren Sie zum Bereich Organisationskonfiguration/Hub-Transport. Öffnen Sie die Registerkarte Sendeconnectoren, und rufen Sie die Eigenschaften des Connectors auf, für den Sie die Protokollierung aktivieren wollen. Über das Drop-down-Menü Protokollierungsgrad können Sie die Protokollierung aktivieren oder deaktivieren.

5.11.2

Konfiguration der SMTP-Protokollierung

Die detaillierte Konfiguration der SMTP-Protokollierung können Sie nicht in der Exchange-Verwaltungskonsole durchführen. Hierfür benötigen Sie wieder die Exchange-Verwaltungsshell.

Anpassen der maximalen Größe der Protokolldateien Die standardmäßige Größe der Protokolldateien beträgt 10 MB. Sie können die Größe allerdings in der Exchange-Verwaltungsshell anpassen. Alle Sendeconnectoren auf einem Server teilen sich eine Protokolldatei. Auch die Empfangsconnectoren auf einem Server verwenden die gleiche Protokolldatei. Um die maximale Größe für Empfangsconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -ReceiveProtocolLogMaxFileSize MB. Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden: ■ ■ ■ ■


Um die maximale Größe für Sendeconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -SendProtocolLogMaxFileSize MB. Außer der Größenordnung MB (die allerdings am häufigsten verwendet wird) können Sie folgende Einheiten verwenden: ■ ■ ■ ■


Festlegen der maximalen Größe des Verzeichnisses für die SMTP-Protokollierung Standardmäßig darf das Verzeichnis der Protokolldateien eine Größe von 250 MB erreichen. Wird dieser Grenzwert erreicht, löscht Exchange automatisch die älteste Protokolldatei im Verzeichnis. Um den Grenzwert für das Protokollverzeichnis der Sendeconnectoren festzulegen, verwenden Sie den Befehl set-transportserver <Servername> -SendProtocolLogMaxDirectorySize . Um den Grenzwert für das Protokollverzeichnis der Empfangsconnectoren festzulegen, verwenden Sie den Befehl set-transportserver <Servername> -ReceiveProtocolLogMaxDirectorySize . Außer der Größenordnung MB (die

284


allerdings am häufigsten verwendet wird) können Sie auch folgende Einheiten verwenden: ■ ■ ■ ■


1 2

Festlegen des maximalen Alters der Protokolldateien Neben der maximalen Größe des Verzeichnisses für die Protokolldateien können Sie in der Exchange-Verwaltungsshell auch das maximale Alter von Protokolldateien konfigurieren. Ist dieses Alter erreicht, werden die entsprechenden Protokolldateien gelöscht, wenn im Verzeichnis kein Platz mehr für neue Protokolldateien zur Verfügung steht. Der Standardwert für das maximale Alter sind 30 Tage.

3 4

Um das maximale Alter für die Protokolle der Sendeconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -SendProtocolLogMaxAge .

5

Um das maximale Alter für die Protokolle der Empfangsconnectoren anzupassen, verwenden Sie den Befehl set-transportserver <Servername> -ReceiveProtocolLogMaxAge .

6

Um das maximale Alter der Protokolldateien auf Mailboxservern anzupassen, verwenden Sie den Befehl set-mailboxserver <Servername> -MessageTrackingLogMaxAge .

7

Das Format für das Alter geben Sie nach der Syntax TT.HH:MM:SS ein. Legen Sie als Syntax für Stunden, Minuten und Sekunden 00:00:00 fest, wird verhindert, dass Protokolldateien automatisch beim Erreichen ihres maximalen Alters gelöscht werden. In diesem Fall werden diese Dateien erst gelöscht, wenn der Grenzwert für die Größe des Verzeichnisses erreicht wird.

8

5.11.3

10

9

Konfiguration der Konnektivitäts/Verbindungsprotokollierung

11

Die Protokolle der einzelnen SMTP-Verbindungen halten die Daten fest, die von Warteschlangen des Quellservers zum entsprechenden Ziel versendet werden. Die Aufgabe dieser Protokollierung ist es nicht, einzelne Nachrichten zu protokollieren, sondern nur Sendeinformationen festzuhalten. In dieser Protokollierung werden folgende Daten festgehalten: ■ ■ ■ ■ ■

12

Quell-Warteschlange Zielserver Informationen über die DNS-Auflösung Informationen über Verbindungsfehler Anzahl und Gesamtgröße der übermittelten Nachrichten

13 14

Die Verbindungsprotokollierung ist standardmäßig deaktiviert. Die Verbindungsprotokolle werden standardmäßig im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\Connectivity abgelegt. Sie können den Speicherort aber mit dem Befehl set-transportserver <Servername> –ConnectivityLogPath festlegen.

15

285


■ ■

Über den Befehl set-transportserver <Servername> -ConnectivityLogLogEnabled: $true aktivieren Sie die Protokollierung. Über den Befehl set-transportserver <Servername> -ConnectivityLogLogEnabled: $false deaktivieren Sie die Protokollierung.

Die weiteren Einstellungen sind mit denen der Nachrichtenverfolgung weitgehend identisch mit dem Unterschied, dass Sie für die Befehle in der Exchange-Verwaltungsshell das Präfix ConnectivityLog verwenden.

5.11.4

Protokollierung der Routingtabelle

Exchange Server 2007 fertigt automatisch in regelmäßigen Abständen ein Snapshot der aktuellen Routingtabelle an. Dieses Protokoll wird nur auf Edge-Transportund Hub-Transport-Servern gepflegt. Standardmäßig werden diese Protokolle im Verzeichnis C:\Programme\Microsoft\ExchangeServer\TransportRoles\Logs\Routing gespeichert (siehe Abbildung 5.107). Abbildung 5.107: Anzeigen der Routingtabelle

Die Protokolle der Routingtabelle werden als XML-Dateien abgelegt. Die Protokollierung wird auch dann durchgeführt, wenn Exchange eine Änderung der Routingtopologie durchführt.

Kalkulation der Routingtopologie Exchange Server 2007 kalkuliert alle zwölf Stunden die Routingtopologie neu und legt einen entsprechenden Snapshot an. Dieser Zeitraum kann mit der Datei EdgeTransport.exe.config im Verzeichnis C:\Programme\Microsoft\Exchange Server\Bin angepasst werden. Verwenden Sie dazu die Option RoutingConfigReloadInterval. Nehmen Sie Änderungen vor, werden diese nach Neustart des Dienstes Microsoft Exchange-Transport übernommen. Der Dienst läuft auf allen Edge-Transport- und Hub-Transport-Servern. Die Datei EdgeTransport.exe verwendet automatisch die XML-Konfigurationsdatei EdgeTransport.exe.config aus dem gleichen Verzeichnis. Sie können die Parameter innerhalb dieser Datei bearbeiten. Im Listing 5.1 sehen Sie einen Beispielsinhalt einer Config-Datei. 286


Listing 5.1: Inhalt der Datei EdgeTransport.exe.config

CODE

1 2 3 4

5 6 7 8 9

Um den Zeitraum für die Neuberechnung der Routingtabelle zu ändern, müssen Sie in die XML-Datei von EdgeTransport.exe.config eine neue Option einbauen. Öffnen Sie dazu die Datei mit dem Editor, und fügen Sie die Zeile im Bereich ein:

10 11

. Reduzieren Sie zum Beispiel das Intervall auf fünf Stunden, verwenden Sie den Befehl . Speichern Sie die Datei, und starten Sie den Dienst Microsoft Exchange-Transport neu.

5.11.5

12

Verwalten der Transport-Agenten-Protokollierung

13

Neben den bereits beschriebenen Protokollen gibt es für den Nachrichtentransport noch das Agent Logging. Diese Protokollierung umfasst hauptsächlich die Protokolle für einzelne Transport-Agenten. Hierbei handelt es sich hauptsächlich um die Protokolle des Spamschutzes (siehe Kapitel 13). Diese Protokollierung kann daher nur auf Edge-Transport- und Hub-Transport-Servern durchgeführt werden, wobei standardmäßig die Spamschutz-Transport-Agenten nur auf Edge-Transport-Servern aktiviert sind. Auf Hub-Transport-Servern müssen diese manuell nach der Installation aktiviert werden. In das Transport-Agent-Protokoll können nur folgende Agenten protokollieren:

14 15

287


■ ■ ■ ■ ■ ■

Verbindungsfilter Inhaltsfilter Edge-Regel-Agent Empfängerfilter Senderfilter Sender-ID-Filter

Die Protokollierung ist standardmäßig auf Hub-Transport- und Edge-Transport-Servern aktiviert. Die Logs werden im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\AgentLogs gespeichert.

5.12

SMTP für Fortgeschrittene

Verwalten Sie einen Exchange Server, sollten Sie sich ein wenig mit SMTP beschäftigen. Vermuten Sie Probleme beim Versenden oder Empfangen von E-Mails, können Sie mit Telnet hervorragend den Fluss von E-Mails in allen SMTP-E-Mail-Servern verfolgen. Es ist dabei vollkommen unerheblich, ob es sich um einen Exchange Server, einen Linux-Server oder eine Blackbox handelt, SMTP bleibt SMTP. Das Versenden einer E-Mail ist schlussendlich nichts anderes als der Verbindungsaufbau zum Port 25 des E-Mail-Servers. Testen Sie die SMTP-Anleitung auf den folgenden Seiten ruhig aus, Sie können hier kein System verbiegen, sondern emulieren lediglich das Versenden von E-Mails. Sie können zum Beispiel mit Telnet testen, ob ein bestimmter Server überhaupt E-Mails zum Remote-Server, beispielsweise über die Firewall hinweg, senden darf oder nicht, bevor Sie diesen Server in einem SMTP-Connector aktivieren. Wickeln Sie erfolgreich einen E-Mail-Versand über SMTP ab, können Sie schon fast sicher sein, dass der E-Mail-Fluss des Servers auch funktioniert. Die relevanten Vorschriften ergeben sich aus folgenden Dokumenten, die öffentlich im Internet zugänglich sind: ■ ■ ■

Request for Comments: 2821: Simple Mail Transfer Protocol Request for Comments: 1939: Post Office Protocol – Version 3 Request for Comments: 2822: Internet Message Format

Sie können diese und viele weitere Dokumente, welche die Funktionsweise des Internets definieren, zum Beispiel unter der Adresse http://www.rfc-editor.org einsehen. Um mit Telnet eine Verbindung zu einem E-Mail-Server aufzubauen, benötigen Sie irgendein Telnet-Programm. Für die Tests eines E-Mail-Servers reicht im Normalfall der Client aus, der mit Windows ausgeliefert wird. Unter Windows XP oder Windows Server 2003 und Vista ist das lokale Echo bereits standardmäßig aktiviert, unter Windows 2000 müssen Sie das erst einrichten.

HALT

288

Weder in Windows Vista noch Windows Server 2008 wird standardmäßig weder der Telnet-Client noch der Telnet-Server installiert. Unter Windows Vista wird diese Funktion in der Systemsteuerung über Programme/Programme und Funktionen/Windows-Funktionen ein- oder ausschalten aktiviert. Bei Windows Server 2008 werden Client beziehungsweise der dazugehörige Server über den Server-Manager als Feature hinzugefügt. Nach der Installation von Telnet-Server unter Windows Server 2008 muss der Systemdienst Telnet erst aktiviert und gestartet werden. Nachdem der Client und Server installiert sind, kann über Telnet gearbeitet werden.


Wollen Sie das lokale Echo auf einem Client aktivieren, müssen Sie in der Kommandozeile zunächst Telnet aufrufen. Geben Sie dazu einfach telnet ein. Nach der Eingabe befinden Sie sich im Telnet-Fenster. Hier können Sie jetzt das lokale Echo für dieses Fenster aktivieren. Schließen Sie das Fenster wieder, ist das lokale Echo wieder deaktiviert und muss beim nächsten Mal wieder aktiviert werden. Geben Sie in der Telnet-Zeile set local_echo ein, und bestätigen Sie.

1 2

Die Aktivierung des lokalen Echos muss nur unter Windows 2000 durchgeführt werden, unter Windows XP, Vista und Windows Server 2003 ist das lokale Echo bei Telnet bereits standardmäßig aktiviert.

INFO

3

Als Nächstes müssen Sie Verbindung zu dem E-Mail-Server aufbauen. Arbeiten Sie mit Windows XP, Vista oder Windows Server 2003, können Sie in der Kommandozeile direkt mit telnet <Servername> 25 eine Verbindung zum gewünschten SMTPServer aufbauen. Sind Sie auf der Telnet-Oberfläche, können Sie den Befehl Open <Servername> 25 eingeben. Bestätigen Sie Ihre Eingabe, baut der Client die Verbindung zum gewünschten E-Mail-Server auf.

4

5 Abbildung 5.108: Verbindungsaufbau zum E-Mail-Server über Telnet

6 7

Um die Verbindung zu trennen, können Sie entweder die Befehlszeile schließen oder in der Telnet-Oberfläche quit eingeben.

8

Nach dem Verbindungsaufbau können Sie jetzt mit SMTP-Befehlen das Versenden einer E-Mail testen. Dieser Ablauf ist dabei nahezu identisch mit dem Versenden von E-Mails zwischen zwei E-Mail-Servern. Haben Sie die Verbindung aufgebaut, müssen Sie sich zuerst am SMTP-Server authentifizieren. Sind Sie auf der Suche nach einem Verbindungsproblem, haben Sie hier schon die erste Chance auf eine Fehlerbehebung. Bauen Sie zum Beispiel einen Verbindungstest mit einem E-Mail-Server im Internet auf, besteht die Möglichkeit, dass Sie sofort nach dem Verbindungsaufbau wieder getrennt werden. In einem solchen Fall wurde Ihnen vom Administrator des Remote-E-Mail-Servers kein Recht eingeräumt, mit dem Server Verbindung aufzunehmen. Sie können deshalb bereits hier mit der Fehlerbehebung ansetzen.

9 10 11

Um sich an einem E-Mail-Server zu authentifizieren, können Sie zwischen zwei Befehlen wählen. Der etwas ältere und mittlerweile weniger verbreitete Befehl lautet helo. Oft müssen Sie nach dem helo noch die Bezeichnung des Servers anhängen, von dem aus Sie die Verbindung aufbauen. Bauen Sie die Verbindung von einer Workstation aus auf, müssen Sie deren Namen eingeben (zum Beispiel helo pcthomas-xp).

12

Der neuere und immer mehr verbreitete Standard ist das Enhanced Helo mit dem Befehl ehlo. Melden Sie sich mit diesem Befehl an einem SMTP-Server an, weiß der Remote-Server, dass Sie die erweiterte SMTP-Sprache verwenden wollen, und begrüßt Sie nach der Eingabe mit den unterstützten Befehlen. Bei ehlo müssen Sie nur in den seltensten Fällen eine weitere Authentifizierung mit anhängen, es reichen der Befehl und die Bestätigung. Sind Sie an dieser Stelle und erscheint keine Fehlermeldung, sind Sie erfolgreich am SMTP-Server authentifiziert.

14

13

15

289


Abbildung 5.109: Authentifizierung an einem SMTPServer

Das Versenden einer E-Mail lässt sich grundsätzlich in zwei Teile unterteilen: das Senden des Envelopes (Umschlag) und das Senden des Message-Textes (Nachrichtentext). Der Nachrichtentext besteht selbst aus zwei Teilen, dem Header und dem Body der Nachricht. Die Angaben im Envelope sagen dem SMTP-Server, wohin er eine Nachricht schicken soll, diese Angabe allein ist für die Zustellung zuständig. Die Angabe im Header einer Nachricht hat lediglich dekorativen Charakter. Vergleichen können Sie diese Nachricht mit einem Brief, auf dessen Umschlag eine andere Adresse steht als im Briefkopf des Briefes selbst. Als Nächstes müssen Sie dem Remote-Server noch mitteilen, wer der Absender der E-Mail ist. Um dem Server mitzuteilen, wie der Absender heißt, verwenden Sie den Befehl Mail from:. Nach dem Doppelpunkt geben Sie ohne Leerzeichen den Absender an, zum Beispiel: mail from:[email protected] Machen Sie bei der Eingabe einen Fehler und der Remote-Server bestätigt den Absender nicht, geben Sie einfach den Befehl noch einmal ein. Hier kann es auch sein, dass Sie vom SMTP-Server getrennt werden, da Sie sich nicht authentifiziert haben. Auf diesem Weg können Sie auch Empfangsconnectoren für den Internetmail-Verkehr testen. Bei Empfangsconnectoren für den Internetmailempfang ist der anonyme Zugriff gestattet, bei normalen Empfangsconnectoren dagegen nicht. Im nächsten Schritt müssen Sie jetzt die Adresse des Empfängers eingeben, der die E-Mail erhalten soll. Hier müssen Sie die E-Mail-Adresse des Benutzers eingeben, nicht den Benutzernamen. Wollen Sie eine E-Mail einem Benutzer zustellen, der nicht von diesem E-Mail-Server verwaltet wird, da er zu einer anderen Domäne gehört, wird der Vorgang, den Sie hier durchführen, Relaying genannt. Das heißt, Sie schicken einem Benutzer mithilfe eines anderen E-Mail-Servers eine Nachricht. Da dies von vielen Spammern ausgenutzt wird, ist das Relaying bei vielen Servern deaktiviert, wenn der Benutzer nicht mit Benutzernamen oder IP-Adresse des Rechners am E-Mail-Server freigeschaltet ist. In einem solchen Fall erhalten Sie eine Fehlermeldung, wenn Sie die E-Mail abschicken wollen. Zum Testen sollten Sie deshalb immer zuerst Benutzer verwenden, die durch den Exchange Server verwaltet werden. Die Adresse des Empfängers geben Sie mit dem Befehl rcpt to: an, gefolgt von der E-Mail-Adresse. Führen Sie zum Beispiel den Test an der installierten Testumgebung durch, geben Sie rcpt to: ein. Nach der Eingabe wird Ihnen die Verifizierung des Absenders bestätigt.

290


Abbildung 5.110: Festlegen der Absende- und Empfängeradresse

1 2 3 4

Als Nächstes müssen Sie jetzt einen Betreff, den Absender und den Empfänger (bilden zusammen den Header) sowie den Text der E-Mail eingeben. Meistens reicht für schnelle Tests der SMTP-Verbindung die Eingabe des E-Mail-Textes aus.

5

Geben Sie den Befehl data ein, und bestätigen Sie, um zur Eingabe des Betreffs und des E-Mail-Textes zu kommen. Geben Sie den Befehl ein und haben Sie bestätigt, erscheint eine Meldung des Remote-Servers, der Sie zur Eingabe auffordert. Haben Sie alle Eingaben für die E-Mail vorgenommen und den Text eingegeben, wird die E-Mail mit der Tastenfolge (Enter) (.) (Enter) abgeschickt. Diese Eingabe wird Ihnen auch in der Telnet-Session so angezeigt.

6 7

Wollen Sie einen Betreff für die E-Mail eingeben, geben Sie an der Eingabeaufforderung Subject: und ein Leerzeichen gefolgt von dem gewünschten Text ein. Sie müssen dabei den Text nicht in Anführungszeichen schreiben, auch wenn er Leerzeichen enthält. Bestätigen Sie den Betreff mit (Enter), erscheint keine weitere Meldung, und Sie können direkt mit der Eingabe des E-Mail-Bodys, das heißt des Textes, beginnen. Während der Eingabe des Textes können Sie ohne Probleme (Enter) verwenden, da erst die Kombination (Enter) (.) (Enter) zum Absenden der E-Mail führt. Haben Sie Ihre Eingabe beendet, geben Sie die oben erwähnte Tastenkombination ein. Die E-Mail wird jetzt vom Exchange Server angenommen und dem Empfänger zugestellt (siehe Abbildung 5.111).

8 9 10 Abbildung 5.111: Eingeben des E-Mail-Textes und des Betreffs

11 12 13 14 15

291


Sie können jetzt weitere E-Mails verschicken oder die Verbindung mit dem RemoteServer mit quit beenden. Als Nächstes können Sie in Outlook oder Outlook Web Access überprüfen, ob die E-Mail zugestellt wurde. Verschicken Sie eine Testnachricht an einen fremden Mailserver, sollten Sie im Nachrichten-Body kurz erwähnen, dass Sie gerade einen Test durchführen, das zählt zum Knigge unter Administratorenkollegen. Abbildung 5.112: Anzeigen der TestE-Mail in Outlook

SMTP ist ein reines Push-Protokoll, das heißt, E-Mails, die mit SMTP zugestellt werden, können niemals abgeholt werden, sondern werden immer durch den sendenden Server verschickt.

5.12.1

Ansicht des Headers einer E-Mail

Durch das Versenden einer E-Mail über mehrere E-Mail-Server wird der Header der EMail ständig erweitert. In diesem Header werden die Informationen der verschiedenen E-Mail-Server angegeben, über die diese E-Mail gelaufen ist. Sie können diesen Header in Outlook anzeigen lassen und so sehr leicht feststellen, über welche E-MailServer diese E-Mail verschickt wurde. Um in Outlook 2007 den Header einer E-Mail anzusehen, öffnen Sie die E-Mail und klicken auf das kleine Symbol unten rechts neben dem Menüpunkt Optionen (siehe Abbildung 5.113). Es öffnet sich ein neues Fenster. Im Bereich Internetkopfzeilen sehen Sie den Header der E-Mail. In Outlook 2003 öffnen Sie dieses Fenster über Ansicht/Optionen, wenn Sie eine E-Mail geöffnet haben.

292


Abbildung 5.113: Anzeigen des Headers (Internetkopfzeilen) von E-Mails

1 2 3 4

5 6

Anzeigen des E-Mail-Headers in Outlook Web Access In Outlook Web Access 2007 ist es jetzt auch möglich, E-Mail-Header in Outlook Web Access anzuzeigen, unter Exchange Server 2003 war das noch nicht der Fall. Um sich den E-Mail-Header anzeigen zu lassen, öffnen Sie die E-Mail in Outlook Web Access und klicken auf die Schaltfläche für die E-Mail-Details (siehe Abbildung 5.114).

7 8 Abbildung 5.114: Anzeigen der Details einer E-Mail

9 10 11 12 13 14 15

Haben Sie auf die Schaltfläche geklickt, wird der Header der E-Mail in einem neuen Popup angezeigt (siehe Abbildung 5.115). Hier finden Sie die gleichen Informationen wie in Outlook 2007. 293


Abbildung 5.115: Anzeigen eines E-Mail-Headers in OWA 2007

5.13

Verwalten des Address Rewriting Agents

Mit dem Address Rewriting Agent können jetzt auch unter Exchange relativ problemlos E-Mail-Adressen beim Empfangen oder Versenden in die Exchange-Organisation umgeschrieben werden. Viele Unternehmen verwenden diese Funktion in Verbindung mit anderen E-Mail-Servern, um die ausgehende oder aus Routingzwecken auch eingehende E-Mail-Domänen anzupassen. Der Address Rewriting Agent läuft ausschließlich auf Edge-Transport-Servern. Auch wenn Sie im Unternehmen mehrere E-Mail-Domänen einsetzen, können Sie am Übergangspunkt zum Internet eine Vereinheitlichung der E-Mail-Domäne durchführen. Diese Funktion kann natürlich auch umgekehrt sinnvoll sein, sodass Sie auch eingehende E-Mails umschreiben können. Bei Unternehmen mit mehreren Tochterunternehmen oder auch bei Unternehmenszusammenschlüssen kann diese Funktion enorm hilfreich sein, den internen E-MailFluss so einfach wie möglich abzubilden, aber dennoch nach extern eine einheitliche Domäne zu verwenden.

5.13.1

Aktivieren und Deaktivieren der Address Rewriting Agents

Damit die Address-Rewriting-Funktion genutzt werden kann, müssen Sie auf dem Edge-Transport-Server jeweils den Agent für das Address Rewriting eingehender E-Mails und ausgehender E-Mails aktivieren. Der Agent für ausgehende Nachrichten hat die Bezeichnung Address Rewriting Outbound Agent. Der Agent für eingehende Nachrichten hat die Bezeichnung Address Rewriting Inbound Agent. Erst wenn die beiden Agents aktiviert werden, können E-Mail-Adressen umgeschrieben werden. Um zu überprüfen, ob die Agenten für das Address Rewriting aktiviert oder deaktiviert sind, müssen Sie auf dem Edge-Transport-Server zunächst die Exchange-Verwaltungsshell öffnen. Geben Sie im Anschluss den Befehl get-transportagent ein. In der Konsole werden alle Agenten des Edge-Transport-Servers sowie deren Status angezeigt. Die meisten Agenten sind für den Spamschutz zuständig (siehe Kapitel 13). 294


Abbildung 5.116: Überprüfen der Transport-Agenten auf einem EdgeTransport-Server

1 2 3 4

■

■ ■

Über den Befehl enable-transportagent -identity Address Rewriting Inbound Agent können Sie den Agent für eingehende Nachrichten aktivieren, wenn dieser nicht aktiviert ist. Über disable-transportagent -identity Address Rewriting Inbound Agent können Sie den Agenten deaktivieren (siehe Abbildung 5.117). Über get-transportagent können Sie sich den aktuellen Stand des Agenten nochmals anzeigen lassen, um zu überprüfen, ob die Aktion erfolgreich war.

5 6

Abbildung 5.117: Aktivieren und Deaktivieren eines Transport-Agenten

7 8 9 10 11 12

■

■ ■

Über den Befehl enable-transportagent -identity Address Rewriting Outbound Agent können Sie den Agenten für eingehende Nachrichten aktivieren, wenn er nicht aktiviert ist. Über disable-transportagent -identity Address Rewriting Outbound Agent können Sie den Agenten deaktivieren. Über get-transportagent können Sie sich den aktuellen Stand des Agenten nochmals anzeigen lassen, um zu überprüfen, ob die Aktion erfolgreich war.

13 14 15

Im nächsten Abschnitt zeige ich Ihnen, wie Sie in der Exchange-Verwaltungsshell mit dem Befehl New-AddressRewriteEntry neue Einträge zum Umschreiben erzeugen.

295


Mithilfe des Befehls get-AddressRewriteEntry können Sie sich eine Liste der bereits erzeugten Einträge anzeigen lassen (siehe Abbildung 5.118). Abbildung 5.118: Anzeigen der Einträge für das Address Rewriting

Geben Sie den Befehl get-AddressRewriteEntry |format-list ein, erhalten Sie detaillierte Informationen über die erstellten Einträge (siehe Abbildung 5.119). Abbildung 5.119: Ausführliche Ansicht für Address Rewriting

5.13.2

Konfiguration der Address Rewriting Agents

Für die Verwendung der Address Rrewriting Agents sind drei Szenarien denkbar: ■

■

■

296

Umschreiben einzelner E-Mail-Adressen: Bei diesem Vorgang wird der Header einer einzelnen E-Mail umgeschrieben. So können Sie zum Beispiel E-Mails des Anwenders [email protected] zu [email protected] umschreiben lassen. Eingehende Nachrichten, zum Beispiel Antworten auf versendete E-Mails, werden dann wieder automatisch zu [email protected] umgeschrieben. Umschreiben einer einzelnen Subdomäne: Bei dieser Funktion werden automatisch alle E-Mails, die von einer einzelnen Domäne kommen und nach extern gesendet werden, umgeschrieben. So können Sie zum Beispiel die interne E-Mail-Domäne @de.contoso.com nach extern in @contoso.org umschreiben lassen. Eingehende Nachrichten werden dann wieder automatisch von @contoso.org zu @de.contoso.com umgeschrieben, damit diese intern zugestellt werden können. Umschreiben mehrerer Subdomänen: Diese Funktion verhält sich grundsätzlich ähnlich wie das Umschreiben einer einzelnen Subdomäne. Sie haben in diesem Fall aber mehrere Möglichkeiten:


■

Umschreiben aller Subdomänen: Bei dieser Konfiguration werden ausnahmslos alle Subdomänen zu einer einzelnen externen Domäne umgeschrieben. Verwenden Sie zum Beispiel die internen E-Mail-Domänen de.contoso.com, fr.contoso.com und us.contoso.com.

■

Umschreiben einiger Subdomänen: In diesem Fall müssen Sie die einzelnen Subdomänen konfigurieren, deren E-Mails umgeschrieben werden sollen; die anderen Domänen sind davon nicht betroffen.

■

1 2

Umschreiben aller Subdomänen mit Ausnahmen: In diesem Fall müssen Sie die Subdomänen festlegen, die nicht umgeschrieben werden sollen.

3

Umschreiben einzelner E-Mail-Adressen Die Konfiguration zum Umschreiben einzelner E-Mail-Adressen erfolgt in der Exchange-Verwaltungsshell, eine Konfiguration mit der Exchange-Verwaltungskonsole ist nicht möglich.

4

5

Um einen neuen Eintrag für das Umschreiben zu erzeugen, verwenden Sie den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress (siehe Abbildung 5.120).

6 Abbildung 5.120: Konfiguration eines neuen Eintrags für Address Rewriting

7 8 9

Sie können natürlich nicht nur die E-Mail-Adresse vor dem @-Zeichen umschreiben, sondern auch die komplette E-Mail-Domäne.

10

Umschreiben einer einzelnen Subdomäne Auch die Erstellung eines Eintrags zum Umschreiben einer einzelnen Domäne wird in der Exchange-Verwaltungsshell durchgeführt. In diesem Fall erhalten alle ausgehenden E-Mails eine neue definierte Domäne. Kommen eingehende E-Mails mit der umgeschriebenen Domäne am Edge-Transport-Server an, wandelt dieser die E-Mails wieder in die interne Domäne um. Der ganze Vorgang ist für Anwender vollkommen transparent.

11 12

Sie können auf diesem Weg zum Beispiel alle E-Mails der Domäne de.contoso-einkauf.com zu northwindtraders.com umwandeln lassen. Kommen am Edge-Transport-Server E-Mails mit der Domäne northwindtraders.com an, werden diese automatisch zu de.contoso-einkauf.com umgeschrieben.

13 14

Um einen neuen Eintrag für das Umschreiben zu erzeugen, verwenden Sie den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress (siehe Abbildung 5.121).

15

297


Abbildung 5.121: Umschreiben einzelner E-MailDomänen

Umschreiben mehrerer Subdomänen Eine weitere Möglichkeit ist das Umschreiben aller Subdomänen zu einer einzelnen externen Domäne. Wie bereits beschrieben, haben Sie bei dieser Konfiguration mehrere Auswahlmöglichkeiten: ■ ■ ■

Umschreiben aller Subdomänen Umschreiben einiger Subdomänen Umschreiben aller Subdomänen mit Ausnahmen

Umschreiben aller Subdomänen Um alle Subdomänen einer bestimmten Domäne umzuschreiben, müssen Sie auch wieder einen neuen Eintrag für den Address Rewriting Agent erstellen. Um einen neuen Eintrag für das Umschreiben aller Subdomänen zu erzeugen, verwenden Sie den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress Outboundonly:$true (siehe Abbildung 5.122). Abbildung 5.122: Umschreiben ganzer untergeordneter Domänen

Die Option Outboundony:$true muss gesetzt werden, wenn mehrere Subdomänen zu einer einzelnen externen Domäne umgeschrieben werden sollen. In diesem Fall kann der Edge-Transport-Server bei eingehenden E-Mails natürlich nicht feststellen, welcher internen Domäne die Adresse zugeordnet ist. Umschreiben einzelner Subdomänen Wollen Sie einzelne Domänen umschreiben, verwenden Sie am besten den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress Outboundonly:$true. Legen Sie für jede einzelne Subdomäne, die Sie umschreiben wollen, einen eigenen Eintrag an. Umschreiben aller Subdomänen mit Ausnahmen Eine weitere Möglichkeit ist die Umleitung aller Domänen mit fest definierten Ausnahmen. In diesem Fall werden alle E-Mails umgeschrieben, außer von den Domänen, die Sie festlegen.

298

Transport- und Journalregeln für den Nachrichtenfluss erstellen

Verwenden Sie dazu den Befehl New-AddressRewriteEntry –name -internaladdress -externaladdress Outboundonly:$true –ExceptionAddress . Legen Sie für jede einzelne Subdomäne, die Sie umschreiben wollen, einen eigenen Eintrag an.

1

Bearbeiten und Löschen von Einträgen für das Address Rewriting

2

Wollen Sie einzelne Einträge bearbeiten, verwenden Sie den Befehl Set-AddressRewriteEntry: Wollen Sie die externe Domäne eines Eintrags ändern, verwenden Sie den Befehl Set-AddressRewriteEntry -ExternalAddress <externe Domäne, zu der Sie umschreiben wollen>. Wollen Sie die interne Domäne eines Eintrags ändern, verwenden Sie den Befehl Set-AddressRewriteEntry -ExternalAddress . Wollen Sie nachträglich den Parameter Outboundonly:$true setzen, verwenden Sie den Befehl Set-AddressRewriteEntry -Outboundonly:$true. Wollen Sie einem Eintrag für die Umleitung aller Subdomänen eine Ausnahme hinzufügen, verwenden Sie den Befehl Set-AddressRewriteEntry -ExceptionAddress . Wollen Sie die Bezeichnung eines Eintrags anpassen, verwenden Sie den Befehl Set-AddressRewriteEntry -name .

3

Generell sollten Sie sich überlegen, ob Sie einzelne Einträge nicht besser löschen und neu erstellen, anstatt sie zu bearbeiten.

8

■

■

■

■

■

4

5 6 7

Sie löschen einen Eintrag mit dem Befehl Remove-AddressRewriteEntry . Wollen Sie vor dem Löschen zunächst die Auswirkungen testen, können Sie den Befehl Remove-AddressRewriteEntry whatif verwenden.

9 10

5.14


11

Unter Exchange Server 2007 besteht jetzt auch die Möglichkeit, ähnlich wie in Outlook, Regeln zu erstellen, auf deren Basis Nachrichten speziell behandelt werden. Auf allen Hub-Transport-Servern in der Organisation läuft der Transportregel-Agent, auf Edge-Transport-Servern läuft der Edge-Regel-Agent.

12 13

5.14.1

Erstellen von neuen Transportregeln auf Hub-Transport-Servern

14

Sie finden die Konfiguration der Transportregeln in der Exchange-Verwaltungskonsole über das Menü Organisationskonfiguration/Hub-Transport im Ergebnisbereich auf der Registerkarte Transportregeln (siehe Abbildung 5.123).

15

Sie können neue Regeln erstellen, indem Sie mit der rechten Maustaste in den Ergebnisbereich klicken und aus dem Kontextmenü Neue Transportregel auswählen.

299


Abbildung 5.123: Erstellen einer neuen Transportregel

Im Anschluss startet der Assistent, mit dem Sie die neue Transportregel bequem erstellen können (siehe Abbildung 5.124). Auf der ersten Seite können Sie eine Bezeichnung sowie eine Beschreibung für die neue Regel festlegen. Abbildung 5.124: Assistent für das Erstellen einer neuen Transportregel

Auf der nächsten Seite des Assistenten legen Sie fest, für welche Nachrichten die Regel angewendet werden soll. Hier ist der Vorgang grundsätzlich identisch mit dem Anlegen von neuen Regeln in Outlook (siehe Abbildung 5.125). Sie können verschiedene Bedingungen auswählen, zum Beispiel den SCL-Wert (Spam Confidence Level, siehe Kapitel 13). Haben Sie eine Bedingung ausgewählt, können Sie im unteren Bereich noch den Wert für die Bedingung festlegen, zum Beispiel den speziellen SCL-Wert oder die Person, von der E-Mails speziell behandelt werden sollen. 300


Abbildung 5.125: Festlegen der Bedingung für die neue Regel

1 2 3 4

5 6 7 Auf der nächsten Seite wählen Sie die Aktion aus, die durchgeführt werden soll, wenn die Bedingung zutrifft. Sie können zum Beispiel dem Betreff eine spezielle Zeichenfolge anhängen lassen, sodass Anwender selbst Regeln für Spam-Nachrichten erstellen können (siehe Abbildung 5.126).

8 Abbildung 5.126: Festlegen der Aktion, die ausgeführt werden soll

9 10 11 12 13 14 15

301


Auf der nächsten Seite können Sie festlegen, ob es für die Regel eine Ausnahme geben soll, also wann die festgelegte Aktion nicht durchgeführt werden soll (siehe Abbildung 5.127). Abbildung 5.127: Festlegen von Ausnahmen für eine Regel

Im Anschluss erhalten Sie eine Zusammenfassung Ihrer Eingaben und können die Regel über die Schaltfläche Neu erstellen lassen (siehe Abbildung 5.128). Abbildung 5.128: Erstellen einer neuen Regel

302


Auf der letzten Seite des Assistenten erhalten Sie das Ergebnis für die Erstellung der Regel. Außerdem sehen Sie hier den Befehl für die Erstellung der Regel über die Exchange-Verwaltungsshell. Wollen Sie mehrere Regeln erstellen, können Sie den Befehl in die Zwischenablage kopieren und auf dieser Basis eine Batchdatei erstellen.

1 Abbildung 5.129: Erstellte Transportregel mit dem entsprechenden Exchange-Verwaltungsshell-Befehl

2 3 4

5 6 7 8 9

Im Anschluss wird die Regel auf der Registerkarte Transportregeln angezeigt (siehe Abbildung 5.30). Klicken Sie eine Regel mit der rechten Maustaste an, können Sie verschiedene Aufgaben durchführen: ■ ■ ■ ■

10

Sie können die Regel über das Kontextmenü deaktivieren oder wieder aktivieren. Sie können die Regel löschen. Sie können die Regel bearbeiten. Sie können die Priorität der Regel ändern, diese also vor einer anderen Regel anwenden lassen.

11 12

Auf Edge-Transport-Servern können Sie ebenfalls Transportregeln erstellen. Die Erstellung ist identisch mit der Erstellung auf Hub-Transport-Servern. Sie finden die Registerkarte Transportregeln über das Menü Edge-Transport in der Exchange-Verwaltungskonsole (siehe Abbildung 5.131).

13 14 15

303


Abbildung 5.130: Nachträgliche Bearbeitung von Regeln

Abbildung 5.131: Verwalten von Transportregeln auf Edge-TransportServern

5.14.2 Journalregeln erstellen Eine weitere Möglichkeit unter Exchange Server 2007 ist das Erstellen eines Journals, also eines Nutzungsberichts für bestimmte Postfächer. Sie können neue Journaleinträge auf der Registerkarte Journale erstellen (siehe Abbildung 5.132). Um eine neue Journalregel zu erstellen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich oder wählen Neue Journalregel aus dem Aktionsbereich aus. Abbildung 5.132: Erstellen einer neuen Journalregel

304


Im Anschluss öffnet sich der Assistent, mit dem Sie neue Journalregeln erstellen lassen können. Zunächst wählen Sie den Namen der Regel aus sowie die E-MailAdresse, die den Journalbericht des überwachten Kontos erhalten soll (siehe Abbildung 5.133). Wählen Sie keinen speziellen Empfänger aus, werden die E-Mails aller Empfänger im Journal berücksichtigt.

1 Abbildung 5.133: Erstellen einer neuen Journalregel

2 3 4

5 6 7 8 9 Für das Journal können Sie verschiedene Bereiche auswählen, die erfasst werden sollen: ■ ■ ■

10

Global – Wählen Sie diese Option aus, werden im Journal alle E-Mails des überwachten Empfängers protokolliert. Intern – Bei dieser Auswahl werden nur interne E-Mails überwacht. Extern – Bei dieser E-Mail werden nur externe E-Mails überwacht, welche die Exchange-Organisation verlassen.

11 12

Klicken Sie auf die Schaltfläche Neu, wird die Journalregel erstellt. Sie erhalten eine Zusammenfassung der Journalregel. Außerdem wird auch hier der entsprechende Exchange-Verwaltungsshell-Befehl angezeigt, mit dem Sie den entsprechenden Befehl erzeugen können (siehe Abbildung 5.134).

13

Nach der Erstellung wird die Journalregel in der Exchange-Verwaltungskonsole angezeigt und kann jederzeit bearbeitet, deaktiviert oder gelöscht werden (siehe Abbildung 5.135).

14 15

305


Abbildung 5.134: Zusammenfassung einer neuen Journalregel

Abbildung 5.135: Verwalten von Journalregeln

5.15

E-Mail-Adressenrichtlinien

Empfängerrichtlinien dienen zur Verwaltung der E-Mail-Adressen der Empfänger in der Organisation. Ihre Anwender können erst dann E-Mails senden und empfangen, wenn ihnen eine E-Mail-Adresse auf Basis einer E-Mail-Adressen-Richtlinie zugewiesen worden ist. Standardmäßig baut Exchange Server 2007 die E-Mail-Adressen aus dem im Active Directory definierten Alias und der ersten Domäne auf, die Sie auf der Registerkarte Akzeptierte Domänen festgelegt haben. Sie können diesen Aufbau an Ihre Bedürfnisse anpassen und mit einer oder mehreren Richtlinien die Struktur der E-Mail-Adressen aller Empfänger Ihrer Organisation steuern.

306


5.15.1

Erstellen und Verwalten von E-Mail-Adressenrichtlinien

Ein Exchange Server ist für alle E-Mail-Domänen zuständig, die in den akzeptierten Domänen definiert sind. In den E-Mail-Adressenrichtlinien können die Domänen für die Generierung von E-Mail-Adressen in der Organisation verwendet werden, die auf der Registerkarte Akzeptierte Domänen in der Exchange-Verwaltungskonsole unter Organisationskonfiguration/Hub-Transport festgelegt worden sind. Bevor Sie also EMail-Adressenrichtlinien definieren, müssen Sie zunächst die akzeptierten Domänen konfigurieren. Unter Exchange Server 2003 wurden beide Aufgaben zusammen noch in den Empfängerrichtlinien durchgeführt.

1 2 3

Für die Anwendung und Verteilung der E-Mail-Adressenrichtlinien sind Exchange Server mit der Hub-Transport-Rolle zuständig.

4 Abbildung 5.136: Verwalten von E-Mail-Adressenrichtlinien

5 6 7 8

Exchange Server 2007 legt während der Installation eine Richtlinie für E-Mail-Adressen an. Diese Richtlinie hat die Bezeichnung Default Policy. Sie können parallel mehrere Richtlinien definieren. Die Richtlinien lassen sich anhand von Prioritäten ordnen, wobei immer die erste zutreffende Richtlinie und deren Regeln für einen Benutzer angewendet werden. Die Default Policy hat immer die niedrigste Priorität und kann nicht gelöscht werden. Definieren Sie mehrere Richtlinien und passt für einen Benutzer keine dieser Richtlinien, wird immer die Default Policy angewendet.

9 10 11

Sollen alle Mitarbeiter der Organisation dieselbe Internetdomäne als E-Mail-Adresse erhalten, brauchen Sie nicht mehrere Richtlinien zu definieren. Sie benötigen lediglich dann eine zweite oder mehrere Richtlinien, wenn einige Empfänger Ihrer Organisation eine andere Domäne in ihrer E-Mail-Adresse erhalten sollen als andere. Um Einstellungen in der Richtlinie zu ändern, klicken Sie die Richtlinie einfach doppelt an. Es startet der Assistent zum Bearbeiten von E-Mail-Adressenrichtlinien (siehe Abbildung 5.137).

12 13

Auf der ersten Seite definieren Sie den Namen der Richtlinie sowie die Empfängertypen, für welche die Richtlinie zuständig sein soll. Die Default Policy ist für alle Empfängertypen in der Organisation zuständig. Alle Empfängertypen sind nicht nur Empfänger, sondern auch Kontakte, Verteilerlisten und öffentliche Ordner.

14

Auf der nächsten Seite legen Sie die Bedingung fest, nach der die Empfängertypen aus dem Active Directory ausgelesen werden sollen. Über die Schaltfläche Vorschau können Sie sich anzeigen lassen, für welche Objekte im Active Directory die Richtlinie angewendet wird (siehe Abbildung 5.138).

15

307


Abbildung 5.137: Bearbeiten einer E-Mail-Adressenrichtlinie

Hierbei werden die entsprechenden Felder ausgelesen, die Sie für Empfänger im Active Directory festgelegt haben. Sobald Sie ein Attribut festgelegt haben, müssen Sie im unteren Bereich des Fensters den Wert eingeben, nachdem die Empfänger gefiltert werden sollen. Sie können für einzelne Attribute mehrere Werte hinterlegen. Achten Sie darauf, dass Sie hier nicht mit Platzhaltern arbeiten können, sondern der Wert exakt mit dem Feld im Active Directory übereinstimmen muss. Abbildung 5.138: Festlegen der Bedingungen für eine Richtlinie

308


Auf der nächsten Seite legen Sie fest, wie die E-Mail-Adressen Ihrer Empfänger generiert werden sollen. Hier können Sie definieren, welche Domäne an die Empfänger als Adressen propagiert werden soll. Sie können hier nur die E-Mail-Domänen auswählen, die Sie auf der Registerkarte Akzeptierte Domänen festgelegt haben (siehe Abbildung 5.139).

1 Abbildung 5.139: Festlegen der E-Mail-Adressen für die Richtlinie

2 3 4

5 6 7 8 9 Über die Schaltfläche Hinzufügen können Sie weitere Domänen hinzufügen sowie die Variablen, die zum Aufbau der Adresse vor der Domäne verwendet werden (siehe Abbildung 5.140). Werden hier nicht alle Domänen angezeigt, die Sie im Unternehmen einsetzen, müssen Sie diese zunächst auf der Registerkarte Akzeptierte Domänen anlegen.

10

Abbildung 5.140: Festlegen der E-Mail-Adressendomäne und des lokalen Teils der E-Mail-Adresse

11 12 13 14 15

309


Um auch den E-Mail-Namen vor der Domäne automatisch generieren zu lassen, können Sie vor dem @-Zeichen mit Variablen arbeiten. Unter Exchange Server 2007 können Sie bequem auswählen, wie die E-Mail-Adresse aufgebaut sein soll, ohne direkt die Variablen zu kennen. Anschließend wird im Hauptfenster der Aufbau der E-Mail-Adresse mit Variablen angezeigt: ■ ■ ■ ■

%g – Vorname (given name) %s – Nachname (surname) %i – Initialen %d – Display-Name

Diese Variablen können Sie vor dem @-Zeichen angeben, um das gewünschte Ergebnis zu erzielen (siehe Abbildung 5.141). Dabei kommt es darauf an, dass Sie die Daten Ihrer Benutzer im Active Directory pflegen. Selbst wenn Benutzern bereits eine E-Mail-Adresse zugeteilt wurde, wird diese wieder modifiziert, wenn Sie in der Default Policy Änderungen vornehmen. Die oben genannten Variablen lesen die entsprechenden Felder im Active Directory aus und bilden aus ihnen die E-MailAdresse. Sie können zum Beispiel mithilfe der oben genannten Variablen Ihre E-Mail-Adressen nach dem Schema [email protected] automatisch für alle Benutzer generieren oder ändern lassen. An dieser Stelle können Sie auch selbst definierte SMTP-Adressen hinzufügen und mit den beschriebenen Variablen weitere Variationen von E-Mail-Adressen generieren. Ändern Sie zum Beispiel die Richtlinie nach dem Schema %3s%[email protected] ab, wird aus dem Namen Charlotte Joos die E-Mail-Adresse [email protected]. Dabei verwendet Exchange die ersten drei Buchstaben des Nachnamens und hängt den ersten Buchstaben des Vornamens an. Oft wird folgendes Prinzip eingesetzt: s%[email protected]. Dabei wird dann aus dem Namen Mario Kropik die Adresse [email protected]. Abbildung 5.141: Verwenden von Variablen für E-Mail-Adressen

310


Sie können aus dem Namen Tamara Bergtold zum Beispiel folgende E-Mail-Adressen generieren lassen: ■ ■ ■ ■ ■ ■ ■

%g.%[email protected] – [email protected] %s%[email protected] – [email protected] %1g%[email protected] – [email protected] %[email protected] – [email protected] %1g%[email protected] – [email protected] %1g%[email protected] – [email protected] %2g_%[email protected] – [email protected]

1 2 3

Sie können für Empfänger und auch innerhalb einer Richtlinie nur eine SMTPAdresse als Antwortadresse definieren. Klicken Sie dazu im Konfigurationsfenster für die E-Mail-Adresse auf die E-Mail-Adresse, die als Antwortadresse verwendet werden soll, und dann auf die Schaltfläche Als Antwortadresse verwenden. Empfänger können E-Mails zu allen E-Mail-Adressen empfangen, die Sie in einer Richtlinie definieren. Die E-Mail-Adresse, die als Antwortadresse definiert ist, verwenden die Clients zum Versenden von Nachrichten. Hier handelt es sich um die Hauptadresse Ihres Unternehmens.

4

5 6

Exchange greift auf die Benutzerfelder im Active Directory zurück, die für die Benutzer gepflegt wurden (siehe Abbildung 5.142). Abbildung 5.142: Aufbau der Daten aus dem Active Directory für das Generieren von E-Mail-Adressen

7 8 9 10 11

Auf der nächsten Seite des Assistenten legen Sie fest, wann die Richtlinie angewendet werden soll. Beachten Sie, dass Änderungen, die Sie vorgenommen haben, sofort aktiv und die E-Mail-Adressen Ihrer Benutzer angepasst werden. Die alten E-MailAdressen werden nicht gelöscht. Anwender können weiterhin E-Mails mit den alten E-Mail-Adressen empfangen.

12 13

Anschließend erhalten Sie noch einmal eine Zusammenfassung und können die Bearbeitung der Richtlinie abschließen.

14

Haben Sie die Bearbeitung der Richtlinie abgeschlossen, erhält diese den Status True in der Exchange-Verwaltungskonsole, was anzeigt, dass die Richtlinie für die konfigurierten Empfänger angewendet wird (siehe Abbildung 5.144).

15

311


Abbildung 5.143: Anpassen des Zeitplans für die Anwendung einer Richtlinie

Abbildung 5.144: Anzeigen des Status einer E-MailAdressenrichtlinie

Um eine neue Richtlinie zu erstellen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich der Exchange-Verwaltungskonsole und wählen Neuer/s E-MailAdressenrichtlinie (siehe Abbildung 5.145). Abbildung 5.145: Erstellen einer neuen E-MailAdressenrichtlinie

Sie können mehrere Richtlinien erstellen und diese Richtlinien in der von Ihnen gewünschten Reihenfolge sortieren. Um eine Richtlinie in der Priorität zu verschieben, müssen Sie diese mit der rechten Maustaste anklicken und aus dem Kontext312


menü die Option Priorität ändern auswählen. Sie können die Richtlinie in diesem Menü nach oben oder nach unten verschieben (siehe Abbildung 5.146). Exchange wendet auf Empfänger immer die erste zutreffende Richtlinie an. Treffen auf einen Benutzer die Bedingungen mehrerer Richtlinien zu, wird die Richtlinie mit der höheren Priorität angewendet. Die Default Policy hat immer die niedrigste Priorität und wird angewendet, wenn keine der anderen Richtlinien zutreffende Bedingungen für einen Benutzer aufweist.

1 2 Abbildung 5.146: Ändern der Priorität von Richtlinien

3 4

5 6 Wählen Sie aus dem Kontextmenü den Befehl Übernehmen aus, startet der Assistent, über den Sie diese Richtlinie auf alle konfigurierten Empfänger anwenden lassen können (siehe Abbildung 5.147). Sie können Richtlinien sofort oder erst zu einem fest definierten Zeitpunkt anwenden. Bei entsprechender Anzahl von Empfängern kann es mehrere Stunden dauern, bis alle Empfänger mit den entsprechenden E-Mail-Adressen versorgt wurden.

7 8

Über das Kontextmenü können Sie erstellte Richtlinien auch wieder entfernen. Damit mindestens eine Richtlinie greift, kann die Default Policy nicht gelöscht werden.

9 Abbildung 5.147: Anwenden einer E-Mail-Adressenrichtlinie

10 11 12 13 14 15

313


Die Antwortadresse, oft auch als primäre SMTP-Adresse bezeichnet, wird im SnapIn Active Directory-Benutzer und -Computer auf der Registerkarte Allgemein im Feld E-Mail angezeigt. Wird hier die richtige Adresse angezeigt, funktioniert die E-Mail-Adressenrichtlinie. Sie können in diesem Feld zwar Änderungen vornehmen, allerdings macht es keinen Sinn, hier manuell E-Mail-Adressen einzutragen, wenn Exchange noch keine eingetragen hat. Erst wenn dieses Feld automatisch gefüllt wird, wurde der Benutzer erfolgreich an Exchange angebunden (siehe Abbildung 5.148). Abbildung 5.148: Überprüfen der E-Mail-Adresse im Active Directory

INFO

314

Wie Sie in Abbildung 5.148 erkennen können, gibt es im Snap-In Active DirectoryBenutzer und -Computer keine Registerkarten mehr für die Verwaltung der ExchangeAttribute. Es gibt auch keine Exchange-Aufgaben mehr. Die komplette Benutzerverwaltung der Exchange-Attribute findet jetzt in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Postfach statt. Klicken Sie einen Benutzer doppelt, können Sie die einzelnen Exchange-Aufgaben durchführen.


Abbildung 5.149: Empfängerverwaltung in Exchange Server 2007

1 2 3 4

5 5.15.2 Recipient Update Service

6

Unter Exchange Server 2003 wurden E-Mail-Adressen noch über den Empfängeraktualisierungsdienst – oder auch Recipient Update Service genannt – verteilt. Der Empfängeraktualisierungsdienst (Recipient Update Service, RUS) dient mithilfe der definierten Empfängerrichtlinien (Recipient Policies) unter Exchange Server 2003 dazu, Benutzer an Exchange anzubinden und sie mit E-Mail-Adressen zu versorgen. Der RUS ist eine der häufigsten Fehlerquellen bei Exchange 2003-Installationen und bedarf äußerster Aufmerksamkeit. Aus diesem Grund wurde der Dienst bei Exchange Server 2007 gestrichen. Der RUS verteilt die E-Mail-Adressen, die Sie in den Empfängerrichtlinien definieren, an die Benutzer. Er schreibt in das Benutzerobjekt im Active Directory. Ohne E-Mail-Adresse kann ein Benutzer weder E-Mails empfangen noch versenden.

7 8 9 10

Microsoft hat diesen Prozess unter Exchange Server 2007 deutlich überarbeitet. Sobald ein neues Benutzerkonto angelegt ist, erhält es automatisch sofort die notwendigen Exchange-Einstellungen, Sie müssen keine fünf Minuten auf die Anbindung warten. Ein Dienst wie der RUS, der nachträglich E-Mail-Adressen verteilt, wird dadurch nicht mehr benötigt. Die hauptsächliche Tätigkeit des RUS wurde jetzt direkt in das CMDlet der E-Mail-Adressen-Richtlinie integriert, er ist kein unabhängiger Prozess mehr.

11 12

Sobald eine Richtlinie angewendet wird, werden die Adressen verteilt; es ist kein asynchroner Prozess wie RUS mehr notwendig. Da es auf einem Exchange 2007-Server keinen RUS mehr als eigenständigen Dienst gibt, sollten Sie in einer gemischten Exchange 2003/2007-Organisation auf Seiten von Exchange Server 2003 in der Konfiguration des RUS keinen Exchange 2007-Server eintragen, da ansonsten RUS in der Organisation nicht mehr funktioniert.

13 14 INFO

15

In gemischten Exchange 2003/2007-Organisationen wird weiterhin der RUS benötigt, auch in Domänen, die nur Exchange 2007-Server enthalten. Allerdings darf der RUS nur Exchange 2003-Server verwenden.

315


Setzen Sie in einer Umgebung den MIIS ein (siehe nächsten Abschnitt), erwartet dieser, dass angelegte Objekte durch den RUS gestempelt werden. Lassen Sie in diesem Fall in regelmäßigen Abständen die beiden CMDlets Update-EmailAddressPolicy und Update-AddressList durchlaufen, damit die MIIS-Objekte gestempelt werden.

5.16

Microsoft Identity Integration Server (MIIS)

Microsoft hat als wichtige Erweiterung zum Active Directory mit dem Microsoft Identity Integration Server (MIIS) einen Meta Directory-Dienst im Programm. Mithilfe des MIIS können Informationen aus verschiedenen Verzeichnissen synchronisiert werden. Die Basisfunktionen des MIIS werden als Identity Integration Feature Pack für Windows Server 2003 Enterprise Edition bereitgestellt. Allerdings wird nur die Integration verschiedener Verzeichnisse im Microsoft-Umfeld, nicht in einem heterogenen Umfeld, unterstützt. Der MIIS legt in den Organisationen durch Verzeichnissynchronisation mit E-Mail aktivierte Kontakte an. In jeder Gesamtstruktur und damit Exchange-Organisation werden daher die Empfänger der jeweils anderen Organisation als Kontakt angelegt und können in der GAL ausgewählt werden. Die kostenpflichtige Enterprise-Version kann verschiedene Verzeichnisse miteinander synchronisieren. Das Identity Integration Feature Pack for Windows Server Active Directory kann kostenlos bei Microsoft auf der Seite http://www.microsoft.com/ downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en heruntergeladen werden. Für viele Organisationen reichen unter Umständen die Funktionen der kostenlosen Version aus. Überprüfen Sie die Ansprüche, die Sie haben, und testen Sie, ob diese kostenlose Erweiterung die notwendigen Bedingungen erfüllt. Der MIIS kann Verzeichnisse auch zwischen verschiedenen Exchange-Versionen synchronisieren und setzt den einheitlichen Modus der Exchange-Organisation nicht voraus. Beim Einsatz des MIIS, egal in welcher Variante, müssen Sie bei der Planung der Exchange Server und Domänencontroller zusätzliche Themen beachten und ausführlich planen: ■

■

■

316

Der Server, auf dem Sie den MIIS installieren, muss mindestens einen Domänencontroller pro Domäne in jeder Gesamtstruktur ständig performant erreichen können, um die beiden Verzeichnisse zu synchronisieren. WAN-Verbindungen sind dazu kaum geeignet. Das Synchronisierungskonto des MIIS benötigt weit reichende Berechtigungen in beiden Gesamtstrukturen und den integrierten Domänen, die synchronisiert werden müssen. Das Konto muss in allen Domänen der beiden Gesamtstrukturen, die synchronisiert werden sollen, über Schreib- und Leserechte verfügen. In jeder Gesamtstruktur muss ein MIIS-Server installiert werden, der den Datenaustausch zu der jeweils anderen Organisation regelt.


Abbildung 5.150: Synchronisieren von zwei ExchangeOrganisationen über MIIS

1 2 3 4

5 6 7 8 9

5.16.1

Identity Integration Feature Pack

10

Diese Komponente kann für die Enterprise Edition zusätzlich geladen werden und ist eine Variante des MIIS 2003, die über weniger Agenten verfügt. Um das Identity Integration Feature Pack (IIFP) nutzen zu können, bedarf es eines Windows Server 2003 in der Enterprise Edition und eines SQL Server 2000 oder 2005, ebenfalls in der Enterprise Edition. Bei diesem muss darüber hinaus mindestens das Service Pack 3 eingespielt werden. Sind die Voraussetzungen erst einmal geschaffen, ist die Installation innerhalb weniger Minuten zu bewerkstelligen. Ohne einen installierten SQLServer bricht die Installationsroutine ab. Die Administration des Identity Integration Feature Packs erfolgt über den Identity Manager.

11 12 13

Installation des IIFP 14

Zunächst müssen Sie beim Starten der Installation einen SQL Server angeben, in dem die IIFP ihre Daten abspeichern können (siehe Abbildung 5.151).

15

317


Abbildung 5.151: Angeben eines SQL Servers für die Installation des IIFP

Im Anschluss müssen Sie ein Benutzerkonto angeben, mit dem die IIFP Zugriff auf die Domäne haben (siehe Abbildung 5.152). Sie sollten bereits zuvor am besten einen speziellen Benutzer für die IIFP anlegen, der in der Gruppe Domänen-Admins und Organisations-Admins Mitglied ist. Abbildung 5.152: Dienstkonto des IIFP

Im Anschluss werden Sie noch darüber informiert, dass verschiedene Gruppen für die IIFP angelegt werden müssen. Sie sollten die Bezeichnung dieser Gruppen auf dem Standardnamen belassen. Nach dieser Eingabe beginnt die Installation. Unter Umständen werden Sie noch darüber informiert, dass der angegebene Benutzernamen und dessen Kennwort nicht sicher sind. Eine solche Meldung können Sie ignorieren. Nach der Installation müssen Sie sich am System neu anmelden.

318


Abbildung 5.153: Festlegen der Gruppen für die IIFP-Konfiguration

1 2 3 4

5 Ist die Installation abgeschlossen, werden die neuen Gruppen in der OU Users im Active Directory angezeigt (siehe Abbildung 5.154). Nur die Gruppe MIISAdmins enthält als Mitglied den Benutzer, unter dessen Konto die IFFP installiert wurden.

6 Abbildung 5.154: Anzeigen der Standardgruppen des IIFP

7 8 9 10 11

Zusätzlich wird durch die IIFP auf dem konfigurierten Server automatisch eine Datenbank angelegt, in der die Konfigurationsdaten gespeichert werden (siehe Abbildung 5.155).

12 Abbildung 5.155: Datenbank des IIFP auf dem SQL Server

13 14 15

319


Verwaltung der IIFP Wie bereits beschrieben, findet die Verwaltung des IIFP im Identity Manager statt. Dort müssen Sie im ersten Schritt Management Agents konfigurieren. Durch den Konfigurationsprozess für die Agents führt ein Assistent, mit dessen Hilfe sich die verschiedenen Schritte relativ schnell bewerkstelligen lassen, soweit Sie mit den jeweils anderen Verzeichnissen vertraut sind (siehe Abbildung 5.156). Abbildung 5.156: Auswählen des Agenten für die Synchronisierung

Die IIFP können Daten zwischen Gesamtstrukturen, ADAM und die globale Adressliste ab Exchange 2000 synchronisieren. Im nächsten Schritt müssen Sie sich mit der Gesamtstruktur verbinden, in die Sie die IIFP installiert haben. Nur durch die administrative Verbindung zu der Gesamtstruktur und der zu synchronisierenden Domäne können Daten ausgetauscht werden. Wichtig ist für die Abbildung von Attributtypen und Objektklassen ein Verständnis für die unterschiedlichen Schemata von Verzeichnisdiensten. Die grundlegenden Regeln und Filter lassen sich mithilfe des Assistenten sehr einfach definieren. Der Assistent präsentiert sich in jeweils angepasster Form für die Datenquellen. Nach der Konfiguration von Agenten können Operationen definiert werden. So lassen sich zusätzliche Objektklassen und Attributtypen für das Meta Directory konfigurieren und Informationen in diesem über den Identity Manager suchen. Damit ist eine Grundkonfiguration des Meta Directorys für Administratoren, die sich mit Verzeichnisdiensten sehr gut auskennen, schnell möglich. Sobald weitere Funktionen benötigt werden, sind Entwicklungskenntnisse gefragt. Microsoft hat das Identity Integration Feature Pack mit seinem .NET Framework integriert. Damit können einerseits Visual Basic .NET und andererseits C# .NET für die Erstellung komplexerer Regeln verwendet werden. Darüber hinaus gibt es einen WMI-Provider für das System. Mit diesem können über WMI (Windows Management Instrumentation) Agenten gestartet und statistische Informationen zum Status des Servers abgefragt werden. Mit dem kostenlosen Identity Integration Feature Pack wird keine Schnittstelle zu Exchange 5.5-Servern oder zu Windows NT 4.0-Domänen angeboten. Wer diese benötigt, muss den MIIS 2003 lizenzieren. Unterstützt werden nur Exchange ab der Version 2000, das Active Directory und ADAM. Im Anschluss können Sie die Domäne und die OUs auswählen, deren Inhalt synchronisiert werden soll. Im Anschluss legen Sie noch die Objekttypen fest, die synchronisiert werden sollen. Danach bestimmen Sie, welche Attribute in die andere Gesamtstruktur synchronisiert werden sollen. Auf den restlichen Fenstern legen Sie Attribute fest sowie Regeln, die bestimmen, wie die Replikation durchgeführt werden kann.

TIPP

320

Die umfassende Behandlung des Identity Integration Feature Packages (IIFP) würde den Rahmen dieses Buches sprengen. Auf den IIFP-Seiten bei Microsoft finden Sie sowohl die Installationsdateien des IIFP als auch ausführliche Dokumente von Microsoft, die einzelne Einsatzszenarien genau beleuchten.


Abbildung 5.157: Verwalten des IIFP

1 2 3 4

5 6

Abbildung 5.158: Verbindungsaufbau mit der Gesamtstruktur zur Synchronisierung

7 8 9 10 11

5.16.2 Microsoft Identity Integration Server 2003 Resource Tool Kit 2.0

12

Setzen Sie das IIFP oder den MIIS ein, sollten Sie auch das Ressource Kit herunterladen. Sie finden das Resource Kit auf der Seite http://www.microsoft.com/downloads/ details.aspx?familyid=D3C7BD7A-E8D5-43CF-AD4D-4F1F0AE00D79&displaylang=en. Die Datei ist etwa 3 MB groß und enthält zahlreiche Tools für die Verwaltung des MIIS.

13 14

Die MIIS umfassend zu behandeln, würde ein ganzes Buch füllen. Auf der MicrosoftInternetseite der IIFP finden Sie folgende Programme, Tools und mehrere Hundert Seiten dicke Whitepapers: ■ ■ ■

15

Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory Microsoft Identity Integration Server 2003 Scenarios MIIS 2003 Design and Planning Collection 321


■ ■ ■ ■

322

Microsoft Identity Integration Server 2003 Resource Tool Kit 2.0 Microsoft Identity Integration Server 2003 Technical Reference Microsoft Identity and Access Management Series MIIS 2003 Design Concepts

Inhalt 1 2 3 4 5

6

Mailbox-Server und Postfachdatenbanken

6 7

In diesem Kapitel gehe ich mit Ihnen ausführlich die Erstellung und Verwaltung von Speichergruppen und Postfachspeichern sowie Speichern für öffentliche Ordner durch. Um Ihren Exchange Server 2007 effizient administrieren zu können, sollten Sie Verständnis für die Speicherarchitektur von Exchange haben. Die Speicherarchitektur unterscheidet sich nicht sehr von der unter Exchange 2000/2003, aber deutlich von der unter Exchange 5.5. Das Wissen über die Speicherarchitektur von Exchange Server 2007 ist spätestens bei einem Wiederherstellungsvorgang oder der Verteilung von Benutzern auf den unterschiedlichen Exchange Servern Ihrer Organisation wichtig.

8 9 10

Einführung in die Datenbankstruktur von Exchange Server 2007

11

Exchange Server 2007 baut immer noch auf der Datenbanktechnologie von Exchange 2000/2003 auf. Der Server basiert auf der Joint-Engine-Technologie (JET). Auf deren Basis wurde die Extensible Storage Engine (ESE) von Exchange 2000/2003 und Exchange 2007 entwickelt.

12 13

Es gibt zwei Arten von Datenbanken, Postfachdatenbanken und öffentlichen Ordner-Datenbanken. Die Dateien der Datenbanken werden von Exchange auf dem jeweiligen Datenträger gespeichert. Diese Datei hat die Endung *.edb. Die Datenbankdateien sind nicht mehr in *.edb- und *.stm-Dateien aufgeteilt, sondern bestehen nur noch aus einer einzelnen *.edb-Datei pro Datenbank.

14

Insgesamt kann Exchange Server 2007 mehrere Milliarden Logdateien bearbeiten. Microsoft empfiehlt, maximal eine Datenbank pro Speichergruppe zu verwenden. Die Größe der Transaktionslogdateien beträgt nur noch 1 MByte. Dafür können bis zu 2 Billionen Logdateien pro Speichergruppe erstellt werden. Außerdem wurden die Datenbanken-Blockgrößen von 4 KB auf 8 KB vergrößert.

15

323

Index

6.1


Durch das Anlegen mehrerer Datenbanken können Sie die Konsistenz Ihrer verschiedenen Daten erhöhen. Selbst wenn eine Datenbank und deren Dateien beschädigt werden, können Benutzer, deren Postfächer sich in einer anderen Datenbank befinden, weiterhin problemlos arbeiten. Bei einem notwendigen Wiederherstellungsvorgang einer Datenbank wird die Arbeit der Benutzer, deren Postfächer auf andere Datenbanken verteilt sind, nur minimal beeinträchtigt. Dadurch ist auch die Dauer eines Wiederherstellungsvorgangs bei kleineren Datenbanken um einiges kürzer als bei größeren. Viele Administratoren werden dankbar für die neue Funktion Local Continuous Replication (LCR), im Deutschen: fortlaufende lokale Sicherung, sein. Mit dieser Funktion legt Exchange 2007 parallel zu seiner produktiven Datenbank ein Replikat an, das zum Beispiel bei einer Wiederherstellung genutzt werden kann. Fällt die Festplatte auf dem Server aus, auf dem die Exchange-Datenbank gespeichert wurde, kann ein Administrator ohne Zeit- und Datenverlust auf das Replikat umschalten. Die Anwender können ohne Ausfall und Datenverlust weiterarbeiten (siehe Abbildung 6.1). Diese Funktion wird in der Standard Edition und der Enterprise Edition unterstützt. Abbildung 6.1: Fortlaufende Datensicherung in Exchange Server 2007

Idealerweise sollte dazu das Replikat der Datenbank auf einem getrennten Datenträger abgelegt werden. Die Datensicherung von Exchange wird durch diese Funktion erheblich optimiert, aber nicht ersetzt. Innerhalb eines Clusters können Sie diese Funktion dazu verwenden, einen Cluster zu bauen, der über keinen gemeinsamen Datenspeicher verfügt (siehe Kapitel 14). Sie können zum Beispiel die Replikats-Datenbank von Cluster Continuous Replication (CCR) auf den passiven Knoten des Clusters in Echtzeit replizieren lassen. Fällt der aktive Knoten aus, kann der passive Knoten gestartet werden und stellt die repli-

324

Speichergruppen

zierte Datenbank in Echtzeit und ohne Datenverlust zur Verfügung. Dadurch wird die Datensicherung deutlich ausgeweitet, und die Kosten für Hochverfügbarkeit werden reduziert. Durch diese Funktion erhalten Sie eine 24-Stunden-Datensicherung. Die Exchange Server 2007 Enterprise Edition unterstützt bis zu 50 Speichergruppen, die wiederum bis zu 50 Postfachspeicher enthalten können. Die Exchange Server 2007 Standard Edition unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich noch immer einen gemeinsamen Satz von Transaktionsprotokollen.

1

In Exchange Server 2007 gibt es weder in der Standard Edition noch in der Enterprise Edition eine Begrenzung für die Größe des Postfachspeichers.

3

2

INFO

Unter Exchange Server 2003 (mit SP2) war die Größe der Datenbank in der Standard Edition noch auf 75 GB begrenzt.

4

6.2

5

Speichergruppen

Speichergruppen sind Sammlungen von Datenbanken. Dabei ist es egal, ob eine Speichergruppe mehrere Datenbanken für öffentliche Ordner oder Postfachdatenbanken enthält. Alle Datenbanken einer Speichergruppe nutzen einen gemeinsamen Satz Transaktionsprotokolle (siehe übernächster Abschnitt).

6 7

6.2.1

Allgemeine Informationen zu Speichergruppen

Mithilfe der Speichergruppen können Sie die Benutzer in verschiedene Datenbanken unterteilen. Fällt eine Speichergruppe aus, ist sichergestellt, dass Benutzer mit Postfächern in anderen Speichergruppen weiterhin uneingeschränkt arbeiten können. Wird die ausgefallene Speichergruppe wiederhergestellt, können die anderen Benutzer trotzdem weiterarbeiten. Der Recovery-Vorgang einer Speichergruppe beeinflusst andere Speichergruppen nicht (siehe Kapitel 11).

8

Durch die Aufteilung der Benutzer in verschiedene Postfachspeicher und Speichergruppen sind die einzelnen Datenbanken zudem deutlich kleiner als bei nur einer Speichergruppe. Dadurch dauern auch Recovery-Vorgänge nicht so lange wie bei einer einzelnen Speichergruppe, und die Benutzer der betroffenen Speichergruppe können schneller wieder auf ihr Postfach zugreifen.

10

Bei der Installation von Exchange Server 2007 werden automatisch Speichergruppen angelegt. Sie können jederzeit weitere Speichergruppen anlegen und Datenbanken erstellen. Beim Erstellen eines neuen Benutzerpostfachs können Sie auswählen, in welcher Speichergruppe und in welchem Postfachspeicher es erstellt werden soll.

12

6.2.2

9

11

13

Anlegen einer neuen Speichergruppe 14

Um eine neue Speichergruppe anzulegen, starten Sie am besten die Exchange-Verwaltungskonsole:

1.

Klicken Sie danach auf Serverkonfiguration/Postfach und dann in der Mitte der Konsole auf den Server, auf dem Sie eine neue Speichergruppe anlegen wollen (siehe Abbildung 6.2).

15

325


Abbildung 6.2: Verwalten von Speichergruppen in der ExchangeVerwaltungskonsole

2. 3.

Im unteren Bereich der Konsole sehen Sie die bereits vorhandenen Speichergruppen auf dem Server. Klicken Sie im unteren Bereich mit der rechten Maustaste, und wählen Sie aus dem Menü die Option Neue Speichergruppe aus.

Abbildung 6.3: Erstellen einer neuen Speichergruppe in Exchange 2007

4. Im Anschluss startet der Assistent für die Erstellung einer neuen Speichergruppe

5. 6.

326

(siehe Abbildung 6.4). Sie sehen zunächst im Feld Servername die Bezeichnung des Servers, auf dem die neue Speichergruppe erstellt wird. Im nächsten Feld Name der Speichergruppe geben Sie die Bezeichnung der neuen Speichergruppe an. In den nächsten beiden Feldern sehen Sie den Pfad zu den Transaktionsprotokolldateien sowie den Pfad für die Systemdateien der neuen Speichergruppen. Die wichtigste Systemdatei ist die *.chk-Datei, welche die Informationen ent-

Speichergruppen

hält, welche Transaktionen bereits in die Datenbank gespeichert wurden. Die notwendigen Verzeichnisse werden zwar automatisch angelegt, aber Sie können auch einen anderen Pfad verwenden. Abbildung 6.4: Erstellen einer neuen Speichergruppe

1 2 3 4 5

6 7 8 Fortlaufende lokale Sicherung

9

Sie können für einzelne Speichergruppen die Option Fortlaufende lokale Sicherung für diese Speichergruppe aktivieren:

10

In diesem Fall werden die beiden Felder Speicherort für Systemdateien der fortlaufenden lokalen Sicherung und Speicherort für Protokolldateien der fortlaufenden lokalen Sicherung aktiviert. Sie sollten das Replikat der Speichergruppe am besten auf einem getrennten Datenträger, idealerweise auch angeschlossen an einen anderen Datenträger-Controller speichern.

11

Aktivieren Sie für eine Speichergruppe diese Option, werden alle Schreibprozesse in die Exchange-Datenbank zusätzlich in das Replikat geschrieben. Administratoren, die in der Vergangenheit öfter Wiederherstellungen von Exchange-Datenbanken durchgeführt haben, werden über eine solche Funktion froh sein, da bei einem Ausfall eine schnelle Wiederherstellung erfolgen kann. Es sind keine komplizierten Wiederherstellungsvorgänge notwendig, sondern Sie können den Pfad in der Speichergruppe ganz einfach abändern und die Replikate verwenden. Die Mitarbeiter im Unternehmen können fast ohne Ausfall weiterarbeiten, und Sie können in Ruhe die produktive Datenbank wiederherstellen und den Replikationsprozess wieder auf dem normalen Weg herstellen. Ich komme in diesem Kapitel noch in einem eigenen Abschnitt auf die Verwaltung der fortlaufenden lokalen Datensicherung zu sprechen.

12 13 14 15

327


Abbildung 6.5: Einrichtung der fortlaufenden lokalen Datensicherung für eine Speichergruppe

Klicken Sie auf die Schaltfläche Neu, beginnt Exchange 2007 die Speichergruppe zu erstellen (siehe Abbildung 6.6). Abbildung 6.6: Exchange 2007 erstellt eine neue Speichergruppe.

328

Speichergruppen

Wurde die Speichergruppe erfolgreich erstellt, wird Ihnen die Erstellung im Abschlussfenster angezeigt. Zusätzlich sehen Sie in diesem Fenster, wie die Befehlszeile aussieht, über die Sie die Speichergruppe in der Exchange-Verwaltungsshell erstellen können (siehe Abbildung 6.7).

1

Klicken Sie auf Fertig stellen, wird der Assistent abgeschlossen und die Speichergruppe in der Exchange-Verwaltungskonsole angezeigt. Die Speichergruppe enthält allerdings noch keinerlei Postfachspeicher oder Speicher für öffentliche Ordner.

2 Abbildung 6.7: Abschluss der Erstellung und Anzeige des entsprechenden Befehlszeilenskriptes

3 4 5

6 7 8 9 10

6.2.3

Verwalten von Speichergruppen und Transaktionsprotokollen

11

Sie können die Eigenschaften einer Speichergruppe über die Exchange-Verwaltungskonsole aufrufen. Normalerweise werden Speichergruppen während der Installation angelegt und müssen nicht ständig konfiguriert werden.

12

Bereits beim Anlegen einer Speichergruppe müssen Sie festlegen, wo die Protokolle dieser Speichergruppe gespeichert werden sollen. Sie können diesen Speicherort zwar nachträglich ändern, aber dennoch sollten Sie sich darüber Gedanken machen, wie Sie mit den Transaktionsprotokollen umgehen, bevor Sie eine Speichergruppe anlegen.

13 14

Exchange Server 2007 arbeitet mit sogenannten Transaktionsprotokolldateien. Alle Aktionen, welche die Benutzer durchführen und somit Änderungen in der Datenbank zur Folge haben, wie beispielsweise E-Mails schreiben, Termine planen, öffentliche Ordner erstellen und so weiter, müssen von Exchange gespeichert werden. Damit dieser Speichervorgang jederzeit konsistent und performant ist, arbeitet Exchange ähnlich wie ein SQL-Server. Jede Änderung und jede Aktion wird zunächst in eine Datei geschrieben. Von dieser Datei arbeitet Exchange dann Ände-

15

329


rung für Änderung ab und speichert sie in seiner Datenbank. Diese Dateien sind für den Betrieb eines Exchange Servers sowie die Datensicherung unerlässlich. Diese Dateien werden Transaktionsprotokolle genannt. Sobald eine Datei von Exchange geschrieben wurde, wird automatisch eine neue Transaktionsprotokolldatei angelegt. Datenbanken, die in derselben Speichergruppe angeordnet sind, verwenden jeweils dieselben Transaktionsprotokolle. Werden diese beschädigt, vor allem wenn die darin enthaltenen Änderungen noch nicht in der Datenbank gespeichert sind, werden alle Datenbanken dieser Speichergruppe beeinträchtigt beziehungsweise beschädigt. Sie können diese Dateien entweder im selben Verzeichnis oder im selben Datenträger der Datenbank aufbewahren oder einen getrennten Datenträger wählen. Microsoft empfiehlt, die Transaktionsprotokolldateien auf einem getrennten Festplattensystem zu speichern. Dies hat Stabilitäts- und Performancegründe. Durch die Arbeit mit Transaktionsprotokolldateien werden die Performance und die Stabilität von Exchange deutlich erhöht. Auch die Vorgänger von Exchange Server 2007 haben bereits mit diesen Protokollen gearbeitet.

INFO

Löschen Sie keinesfalls manuell Transaktionsprotokolle. Führen Sie eine OnlineSicherung Ihrer Datenbank mit einem Exchange-tauglichen Datensicherungsprogramm durch, werden diese Dateien gesichert und danach automatisch gelöscht, es ist kein manuelles Eingreifen notwendig. Selbst wenn Ihnen die Datenbankdatei (*.edb) verloren geht, können Ihre Exchange-Daten sehr einfach mit den Transaktionsprotokollen wiederhergestellt werden. Sie sollten von Beginn an Ihren Exchange Server online sichern. Versäumen Sie das, besteht die Möglichkeit, dass die Partition, in der die Transaktionsprotokolldateien gespeichert sind, überläuft. Kann Exchange keine neuen Transaktionsprotokolldateien anlegen, da kein Plattenplatz mehr vorhanden ist, stellt der Server seine Funktion ein, und kein Benutzer kann sich mehr mit dem System verbinden. Exchange legt aus diesem Grund zwei Reservetransaktionsprotokolle, E res00001.jrs und Eres00001.jrs, an. Sind diese jedoch ebenfalls voll geschrieben, steht Ihr Exchange Server still. Die erste Speichergruppe und deren Transaktionsprotokolle werden im Verzeichnis C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group gespeichert (siehe Abbildung 6.8).

Abbildung 6.8: Speicherort der ersten Speichergruppe

330

Speichergruppen

Ändern des Speicherorts einer Speichergruppe oder der Transaktionsprotokolle Um den Speicherort der Transaktionsprotokolle zu ändern, öffnen Sie zunächst die Exchange-Verwaltungskonsole. Navigieren Sie zum Bereich Serverkonfiguration/Postfach, und wählen Sie im oberen Bereich den Mailbox-Server aus, auf den Sie die Protokolle verschieben wollen.

1 2

Im unteren Bereich der Konsole klicken Sie die entsprechende Speichergruppe mit der rechten Maustaste an und wählen aus dem Menü Speichergruppenpfad verschieben aus (siehe Abbildung 6.9).

3 Abbildung 6.9: Verschieben einer Speichergruppe oder deren Transaktionsprotokolle

4 5

6 7 8

Im Anschluss startet der Assistent zum Verschieben der kompletten Speichergruppe oder nur der Transaktionsprotokolle (siehe Abbildung 6.10). Abbildung 6.10: Verschieben von Transaktionsprotokollen

9 10 11 12 13 14 15

331


Alle Datenbanken dieser Speichergruppe verwenden die gleichen Transaktionsprotokolle. Über die Schaltfläche Durchsuchen wählen Sie den neuen Speicherort der Dateien aus. Für die Änderung des Speicherorts der Transaktionsprotokolle werden alle Datenbanken dieser Speichergruppe offline geschaltet. Sie erhalten auf dem nächsten Fenster eine entsprechende Meldung, die Sie bestätigen müssen (siehe Abbildung 6.11). Die Postfächer von Datenbanken in anderen Speichergruppen sind hiervon nicht betroffen. Sie sollten die Transaktionsprotokolle entweder im selben Verzeichnis speichern wie die Datenbank oder ein eigenes Festplattensystem auswählen. Was sinnvoll ist, kommt auf Ihre Umgebung an. Nach meiner Erfahrung ist es auf alle Fälle sinnvoll, die Datenbank von den Systemdateien von Exchange zu trennen (bin-Verzeichnis, nicht die Systemdatei der Transaktionsprotokolle, in der die *.chk-Datei liegt) und die Transaktionsprotokolle im Verzeichnis der Datenbanken zu speichern. Bei großen Umgebungen mit hohem Mailverkehr ist ein eigenes Festplattensystem für die Transaktionsprotokolle auf alle Fälle sinnvoll. Abbildung 6.11: Warnmeldung beim Verschieben der Transaktionsprotokolle

Sie können auf dem Fenster zum Ändern des Speicherorts der Transaktionsprotokolle zwei verschiedene Speicherorte wählen. Der erste Eintrag Speicherort für Protokolldateien dient zum Speichern der tatsächlichen Transaktionsprotokolle, der zweite, der Speicherort für Systemdateien, dient zum Speichern der temporären Dateien und der Arbeitsdateien, die eine Speichergruppe zur Arbeit mit den Transaktionsprotokollen benötigt. Hier werden temporäre Dateien, wiederhergestellte Dateien sowie die Checkpoint-Datei der Speichergruppe gespeichert. Sie sollten beide Pfade auf demselben Datenträger speichern. Nochmals eine Unterscheidung zu treffen, macht keinen Sinn. Bei diesem Vorgang werden keine Datenbanken ver-

332

Speichergruppen

schoben. Datenbanken verschieben Sie über das Kontextmenü der entsprechenden Datenbank (wird noch in diesem Kapitel behandelt). Checkpoint-Datei (*.chk)

1

Die Checkpoint-Datei spielt für die Arbeit von Exchange mit den Transaktionsprotokollen und damit der Datenbank eine große Rolle. Jeder Satz Transaktionsprotokolle und jede Speichergruppe hat eine eigene Checkpoint-Datei. Diese Datei wird in dem Verzeichnis gespeichert, das Sie bei der Systempfad-Angabe gewählt haben. Die Datei hat die Endung *.chk (siehe Abbildung 6.12).

2

In dieser Datei hält Exchange fest, welche Änderungen aus den Transaktionsprotokollen bereits in die Datenbank geschrieben wurden. Geht diese Datei verloren, schreibt Exchange beim Starten des Servers alle Informationen, die in den Transaktionsprotokolldateien vorhanden sind, noch einmal in die Datenbank. Je nach Anzahl Ihrer Transaktionsprotokolle kann dieser Vorgang einige Minuten bis Stunden dauern. Dieser Vorgang wird auch Soft-Recovery bezeichnet und in Kapitel 11 ausführlich besprochen. Im Anschluss werden die Dateien zum neuen Speicherort verschoben.

3 4 5 Abbildung 6.12: Checkpoint-Datei einer Speichergruppe

6 7 8 9

Umlaufprotokollierung verwalten

10

Der Begriff Umlaufprotokollierung ist in der Exchange-Welt ein wichtiger Begriff. Umlaufprotokollierung heißt nichts anderes, als dass Exchange nicht ständig neue Transaktionsprotokolle anlegt, sondern nur mit einigen wenigen arbeitet und diese ständig im Turnus überschreibt. Exchange 5.5 hat standardmäßig noch mit der Umlaufprotokollierung gearbeitet. Exchange 2000/2003 arbeitet jedoch standardmäßig nicht mit der Umlaufprotokollierung, das gilt auch für Exchange Server 2007.

11 12

So, wie Sie bei Exchange 5.5 die Umlaufprotokollierung deaktivieren konnten, können Sie diese bei Exchange Server 2007 aktivieren. Durch die Aktivierung der Umlaufprotokollierung sparen Sie zwar im Idealfall Festplattenplatz, bei Problemen mit der Datenbank oder einem notwendigen Restore (siehe Kapitel 11) kann Exchange jedoch nur noch auf einen begrenzten Datenstamm zurückgreifen.

13

Sie können die Umlaufprotokollierung für jede Speichergruppe getrennt aktivieren oder deaktivieren. Sie sollten die Umlaufprotokollierung nur dann aktivieren, wenn Sie genau wissen, was Sie tun, und der Inhalt der Speichergruppe nicht sehr wichtig ist. Für Postfachdatenbanken sollte die Umlaufprotokollierung niemals aktiviert werden.

15

14

333


Um die Umlaufprotokollierung einer Speichergruppe zu aktivieren, rufen Sie über das Kontextmenü die Eigenschaften der Speichergruppe auf und setzen den Haken bei Umlaufprotokollierung aktivieren (siehe Abbildung 6.13). Abbildung 6.13: Konfiguration der Umlaufprotokollierung für eine Speichergruppe

Probleme mit schnell anwachsenden Transaktionsprotokollen Da alle Exchange-Vorgänge in den Transaktionsprotokollen gespeichert und diese wiederum nur durch das Datensicherungsprogramm gelöscht werden, besteht bei vielen Exchange-Organisationen das Problem, dass die Transaktionsprotokolle schnell anwachsen und so die Platten eines Servers schnell zum Überlaufen bringen. Loops Ein weit verbreitetes Problem sind Loop-Mails, also E-Mails, die zwischen verschiedenen Servern oder Postfächern aufgrund falsch konfigurierter Regeln oder fehlerhafter Empfängerrichtlinien hin und her geschickt werden. Da diese E-Mails teilweise in Sekundenbruchteilen hin- und hergeschickt werden, besteht schnell die Gefahr, dass die Anzahl der Transaktionsprotokolle extrem rasch anwachsen kann. Replikation öffentlicher Ordner Auch die Replikation Ihrer öffentlichen Ordner kann zu einem schnellen Anwachsen der Transaktionsprotokolle führen. Die Replikation der öffentlichen Ordner läuft über das Versenden von E-Mails zwischen den öffentlichen Ordner-Speichern. Offenes Relay Selbsterklärend ist natürlich, dass die Anzahl Ihrer Transaktionsprotokolle schnell anwächst, wenn Ihr Exchange Server als offenes Relay im Internet steht. Dadurch wird er von anderen Servern als Relay zum Versenden von Spam oder Viren verwendet. Stellen Sie sicher, dass nur speziell eingetragene Server Ihren Exchange als Relay verwenden dürfen und am besten nur welche in Ihrem internen Netzwerk (siehe Kapitel 5). 334

Verwenden der fortlaufenden lokalen Datensicherung (LCR)

Virenscanner auf Dateisystemebene Bei Exchange Server 2007 gibt es zwar kein M-Laufwerk mehr (wie bei Exchange 2000 Server), aber trotzdem steht die Datenbank auch auf dem Dateisystem zur Verfügung. Installieren Sie auf einem Exchange Server einen Virenscanner auf Dateisystemebene (ein Postfachscanner macht hier keine Probleme), stellen Sie sicher, dass bei einem Scanvorgang nicht das Verzeichnis der Datenbanken gescannt wird.

1 2

Virenscanner verändern die gescannten Dateien und markieren sie als gescannt. Zusätzlich besteht das Problem, dass die Exchange-Datenbank durch einen solchen Vorgang zerstört werden kann. Vermeiden Sie also den Zugriff eines solchen Filescanners auf Dateiebene auf Ihre Exchange-Datenbank. Ein Virus kann sich in dieser Datei ohnehin nicht festsetzen, sondern nur innerhalb der Datenbank, die aber von Dateisystem-Scannern nicht durchsucht werden kann.

3 4

Entourage (Mac-Clients) Arbeiten Sie mit Mac-Clients, besteht die Möglichkeit, dass Benutzer mit Entourage versuchen, E-Mails zu senden, die größer sind, als es den definierten Richtlinien entspricht. In diesem Fall bleibt die E-Mail im Postausgang des Clients, aber die Transaktionsprotokolle wachsen dennoch an. Dieses Problem tritt allerdings sehr selten auf.

5

6

Exporte der Datenbank und Verschieben von Postfächern Lassen Sie eine große Anzahl von Postfächern exportieren oder verschieben, wird auch eine große Anzahl von Transaktionsprotokollen geschrieben. In diesem Fall sollten Sie vorher eventuell auf Umlaufprotokollierung schalten. Je größer die Anzahl von Postfächern ist, die Sie exportieren oder verschieben, je ungenauer können Sie wissen, wie groß die Anzahl der Protokolle wird. Eine Aktivierung der Umlaufprotokollierung beseitigt dieses Problem, erhöht aber auch die Gefahr eines Datenverlustes.

6.3

7 8 9


10

Bei der Verwendung der fortlaufenden lokalen Datensicherung (Local Continuous Replication, LCR) wird auf demselben Server eine Kopie einer Datenbank, ebenfalls mithilfe der Exchange-Transaktionsprotokolldateien, erstellt. Bei einem Fehler in der ursprünglichen Datenbank kann die Kopie online geschaltet und so die Ausfallzeit drastisch verkürzt werden. Der einzige Wermutstropfen ist, dass nur eine Datenbank pro Speichergruppe existieren darf, wenn LCR aktiviert wird. Das sollte in der Praxis aber kein Problem darstellen, da Microsoft sowieso die Verwendung von nur einer Datenbank pro Speichergruppe empfiehlt und selbst die Standard Edition von Exchange Server 2007 fünf Speichergruppen unterstützt.

11 12 13

Die neue Funktion der fortlaufenden Datensicherung (Local Continuous Replication, LCR) ist eine der wesentlichsten Neuerungen in Exchange Server 2007. Die Geschwindigkeit leidet nicht wesentlich darunter, aber die Datensicherheit wird erhöht. Werden die Datenbankdateien eines Servers beschädigt, können Administratoren ohne Datenverlust und ohne wesentlichen Zeitverlust auf die replizierte Kopie umschalten. Die Anwender können dadurch schnell und effizient weiterhin auf ihr Postfach zugreifen.

14 15

335


Die fortlaufende lokale Datensicherung kann bereits beim Anlegen einer Speichergruppe aktiviert werden. Achten Sie allerdings darauf, bereits bei der Planung des Servers einen eigenen Controller und Datenspeicher für die fortlaufende Datensicherung zu berücksichtigen. Speichern Sie die Daten mit dem gleichen Controller oder auf dem gleichen Datenträger wie die produktive Datenbank, belasten Sie das System mehr als notwendig, da jetzt ja alle Schreibarbeiten doppelt durchgeführt werden müssen. Aus Sicht der Ausfallsicherheit bringt die Speicherung mit dem gleichen Controller oder auf dem gleichen Datenträger nicht viel, da beim Ausfall einer dieser Komponenten auch die komplette Datensicherung ausfällt. Haben Sie allerdings keine Möglichkeit, zusätzliche Komponenten im Server zu integrieren, sollten Sie dennoch die fortlaufende Datensicherung aktivieren, erhalten dadurch aber nicht die gleiche Ausfallsicherheit wie beim Einsatz redundanter Technologien. In der Abbildung 6.14 zeige ich Ihnen die schematische Darstellung eines Servers, der für die neuen Funktionen der fortlaufenden Datensicherung ideal sein könnte und ein gutes Preis-Leistungs-Verhältnis hat. Natürlich ist auch die Anbindung an ein SAN denkbar sowie die Speicherung der Daten auf einem RAID-5- oder RAID-10System. Die Darstellung in der Abbildung soll nur ein Beispiel darstellen.

6.3.1

Empfehlungen für den Einsatz der fortlaufenden lokalen Datensicherung

Sie sollten auch bei der Planung Ihrer Speichergruppen und Postfach- und öffentlichen Ordner-Datenbanken den Einsatz der fortlaufenden Datensicherung mit einplanen. Sie sollten möglichst darauf achten, dass die Hardware, auf der Sie die fortlaufende Datensicherung speichern, über die gleiche Performance verfügt wie die Hardware der produktiven Datenbank. Microsoft empfiehlt darüber hinaus, einem Server 1 GB RAM mehr zur Verfügung zu stellen als beim Einsatz ohne LCR. Zusätzlich empfiehlt Microsoft, dass die Datenbank, für die Sie LCR aktivieren, maximal 100 GB groß sein soll. Aktivieren Sie für eine Datenbank kein LCR, lautet die Microsoft-Empfehlung für die maximale Größe 200 GB. Bei diesen Zahlen handelt es sich aber nur um Richtwerte, keine festgelegten Grenzwerte. Zusätzlich sollten Sie beim Einsatz der fortlaufenden Datensicherung noch auf einige wichtige Punkte achten: ■ ■

336

Aktivieren Sie die fortlaufende Datensicherung für eine Speichergruppe, darf diese Speichergruppe nur eine einzelne Datenbank enthalten. Sie können die fortlaufende Datensicherung für öffentliche Ordner-Datenbanken nur dann aktivieren, wenn es in der gesamten Organisation nur eine Datenbank für öffentliche Ordner gibt. Haben Sie auf mehreren Exchange Servern öffentliche Ordner-Datenbanken installiert, können Sie die existierenden öffentlichen Ordner durch die öffentliche Ordner-Replikation vor Datenverlust sichern. In diesem Fall wird aber für keine der öffentlichen Ordner-Datenbanken die fortlaufende Datensicherung unterstützt.


Abbildung 6.14: Beispielkonfiguration mit dem Einsatz für Replikationssicherung

1 2 3 4 5

6 7 ■

■

■

■

Idealerweise sollten Sie für den Speicherort der LCR-Daten keinen Laufwerksbuchstaben verwenden, sondern diesen nur als NTFS-Bereich mounten. In diesem Fall können Sie bei Ausfall der produktiven Datenbank dieser Partition den gleichen Laufwerksbuchstaben zuweisen wie der ausgefallenen produktiven Datenbank. Der Datenträger, auf dem Sie die LCR-Daten ablegen lassen, muss direkt mit dem Exchange Server verbunden sein. Netzwerkspeicher und Freigaben werden nicht unterstützt. Es spricht allerdings nichts gegen den Einsatz eines SAN oder NAS. Achten Sie darauf, dass Sie für die LCR-Daten den gleichen Plattenplatz benötigen wie für die produktive Datenbank und dass der Datenträger, auf dem Sie die Daten speichern, über genügend Festplattenplatz verfügt. Auch wenn Sie LCR einsetzen, wird dadurch nicht die Datensicherungsstrategie ersetzt. Sie müssen zwar nicht mehr so oft die Daten sichern, aber eine vernünftige Bandsicherung gehört zur Sicherung einer Exchange-Organisation dazu. Durch den Einsatz von LCR sind diese Daten die ersten Versuche zur Wiederherstellung nach einem Ausfall, da sie schneller zur Verfügung stehen als Bandsicherungen.

Wollen Sie eine produktive Datenbank von einer Bandsicherung wiederherstellen, sollten Sie erst LCR für die Speichergruppe deaktivieren. Sichern Sie dann die Datenbank zurück, und aktivieren Sie erst dann LCR wieder.

8 9 10 11 12 13 14 INFO

15

337


6.3.2

Einrichten und Verwalten der fortlaufenden Datensicherung

Nutzen Sie LCR für einen Mailbox-Server, müssen Sie beachten, dass zu den regelmäßigen Tätigkeiten noch einige neue Aufgaben dazukommen beziehungsweise durchgeführt werden müssen. Die fortlaufende Datensicherung (LCR) wird direkt über eine Speichergruppe aktiviert. Erstellen Sie unter einer LCR-aktivierten Speichergruppe eine Postfachdatenbank, wird diese automatisch in die LCR eingebunden. Eine LCRaktivierte Speichergruppe darf allerdings nur eine einzelne Datenbank enthalten. ■

■ ■

■

■

■ ■

Der Speicherplatz, auf dem die LCR-Daten gespeichert werden, muss konfiguriert, die Partitionen müssen verwaltet werden. Es ist zwar nicht notwendig, spezielle Sondereinstellungen vorzunehmen, aber die Daten sollten auf einem eigenständigen Datenträger liegen. Sie müssen LCR aktivieren und bei einer Wiederherstellung von Band zeitweise deaktivieren. Es ist zwar nicht notwendig, dass Sie die Replikation ständig überwachen, aber Sie sollten ab und zu sicherstellen, dass die Replikation noch läuft. Microsoft bietet für den Operations Manager 2005 ein Management Pack für Exchange Server 2007 an, das auch LCR überwachen kann. Sie können die Funktionalität auch durch das regelmäßige Überprüfen der Ereignisprotokolle sicherstellen. Die LCR-Funktionalität wird durch den Dienst Microsoft Exchange-Replikationsdienst gesteuert. Ist dieser Dienst nicht gestartet, werden keine Daten mehr repliziert. Neben der manuellen Überwachung können Sie auch ein Skript schreiben, das in der Exchange-Verwaltungsshell den Befehl get-storagegroupcopystatus ausführt. Hierüber erhalten Sie auch ausführliche Informationen. LCR kann nur für Speichergruppen aktiviert werden, die lediglich eine einzelne Datenbank enthalten. Wollen Sie Konfigurationsänderungen für eine Datenbank vornehmen, die in einer LCR-aktivierten Speichergruppe liegt, sollten Sie deren Bereitstellung aufheben, da in diesem Zustand keine Änderungen am Inhalt der Datenbank vorgenommen werden können, was eine Voraussetzung für die Bearbeitung einer LCR-aktivierten Datenbank ist. Die Datenbanken, für die LCR eingerichtet ist, müssen konfiguriert und überwacht werden. Die Dateien der LCR müssen exakt die gleichen Bezeichnungen haben wie die Dateien der produktiven Datenbank. Die Daten der LCR müssen auf Konsistenz und Aktualität geprüft werden. Beim Ausfall der produktiven Datenbank müssen Sie die LCR-Daten über die produktive und defekte Datenbank kopieren.

Aktivieren von LCR für eine existierende Speichergruppe Sie können LCR nicht nur für neue Speichergruppen aktivieren, sondern auch für bereits existierende Speichergruppen. Achten Sie vor der Aktivierung darauf, dass Sie die beschriebenen Vorbedingungen erfüllen, bevor Sie für eine Speichergruppe die fortlaufende Datensicherung aktivieren. Die LCR kann sowohl über die Exchange-Verwaltungskonsole als auch über die Exchange-Verwaltungsshell konfiguriert werden. Die Verwaltung über die Verwaltungskonsole ist natürlich einfacher. Zur Aktivierung von LCR starten Sie die Exchange-Verwaltungskonsole und navigieren zum Bereich Serverkonfiguration/Postfach.

338


Markieren Sie im Ergebnisbereich der Konsole in der oberen Hälfte den entsprechenden Mailbox-Server, und klicken Sie mit der rechten Maustaste auf die Speichergruppe, für die Sie LCR aktivieren wollen. Wählen Sie aus dem Kontextmenü die Option Fortlaufende lokale Replikation aktivieren aus, damit der Assistent für die Einrichtung von LCR startet(siehe Abbildung 6.15).

1

Abbildung 6.15: Aktivieren der fortlaufenden Datensicherung

2 3 4 5

6 7

Der Assistent ist wie alle anderen Assistenten in Exchange Server 2007 aufgebaut. Auf der ersten Seite wird die Bezeichnung der Speichergruppe angezeigt, für die Sie LCR aktivieren wollen. Zusätzlich sehen Sie, welche Datenbanken in der Speichergruppe enthalten sind (siehe Abbildung 6.16).

8 Abbildung 6.16: Aktivieren von LCR

9 10 11 12 13 14 15

339


Auf der nächsten Seite des Assistenten können Sie den Speicherort der Dateien für LCR festlegen. Achten Sie auch hier darauf, dass der Datenträger, auf dem Sie die Daten speichern, über genügend freien Festplattenplatz verfügt (siehe Abbildung 6.17). In diesem Verzeichnis werden die Logdateien und die Systemdateien für die fortlaufende Datensicherung gespeichert, aber nicht die Datenbankdatei. Den Speicherort der Datenbankdatei legen Sie in dem nächsten Fenster fest. Abbildung 6.17: Festlegen des Speicherorts für die LCR-Daten

Auf der nächsten Seite des Assistenten legen Sie fest, in welchem Verzeichnis die Datenbankdatei gespeichert werden soll, in welche die Transaktionsprotokolle der LCR eingespielt werden sollen. Bei dieser Datei handelt es sich quasi um die Sicherheitskopie in Echtzeit der Exchange-Datenbank (siehe Abbildung 6.18). Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung der Dateipfade, in denen die LCR-Daten gespeichert werden (siehe Abbildung 6.19). Klicken Sie auf die Schaltfläche Aktivieren, wird die fortlaufende Datensicherung aktiviert (siehe Abbildung 6.19). Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung der vorgenommenen Aufgaben und das Ergebnis der Aktivierung von LCR. Hier werden auch die entsprechenden Befehle für die Exchange-Verwaltungsshell angezeigt, über die Sie die fortlaufende Datensicherung aktivieren können (siehe Abbildung 6.20).

340


Abbildung 6.18: Auswahl des Speicherorts für die Datenbankdatei

1 2 3 4 5

6 7 Abbildung 6.19: Aktivieren der fortlaufenden Datensicherung

8 9 10 11 12 13 14 15

341


Abbildung 6.20: Fertigstellung der Einrichtung der fortlaufenden Datensicherung

Unter manchen Umständen erhalten Sie eine Fehlermeldung beim Abschließen der Konfiguration. Diese Meldung besagt, dass LCR zwar aktiviert wurde, aber die Datenbank noch nicht repliziert werden konnte. Dieser Vorgang wird Seeding genannt und in einem der nächsten Abschnitte besprochen. Sie müssen in diesem Fall keine weiteren Maßnahmen vornehmen, können das Seeding aber manuell durchführen, wie in diesem Kapitel noch ausführlich besprochen wird.

Überprüfen der fortlaufenden Datensicherung Nach der erfolgreichen Einrichtung wird in der Spalte Kopiestatus der Zustand der fortlaufenden Datensicherung für die entsprechende Speichergruppe angezeigt (siehe Abbildung 6.21). Hier sollte nach der Einrichtung Fehlerfrei angezeigt werden. Abbildung 6.21: Anzeigen des Status der fortlaufenden Datensicherung

Überprüfen Sie im Anschluss den Speicherort für die fortlaufende Datensicherung. Standardmäßig wird ein Ordner LocalCopies angelegt. Dieser enthält als Unterordner die entsprechenden Speichergruppen, für die Sie LCR aktiviert haben. 342


Abbildung 6.22: Anzeigen der Verzeichnisse für die lokale Datensicherung

1 2 3

Als Nächstes können Sie den Status der LCR über die Exchange-Verwaltungsshell abrufen. Geben Sie den Befehl get-storagegroupcopystatus ein (siehe Abbildung 6.23). Hier sehen Sie, ob die Einrichtung erfolgreich war, sowie den Zeitpunkt des letzten Abgleichs. Eine ausführlichere Liste erhalten Sie, wenn Sie den Befehl getstoragegroupcopystatus |fl eingeben.

4 5 Abbildung 6.23: Überprüfen der LCR über get-storagegroupcopystatus

6 7 8 9 10 11 12 13 14 15

343


Nach der Einrichtung der lokalen fortlaufenden Datensicherung können Sie den Status auch in den Eigenschaften der entsprechenden Speichergruppe aufrufen. Nach der Einrichtung finden Sie in den Eigenschaften auf der Registerkarte Fortlaufende lokale Replikation nähere Informationen (siehe Abbildung 6.24). Abbildung 6.24: Eigenschaften der lokalen fortlaufenden Sicherung

Nach der Einrichtung der lokalen fortlaufenden Datensicherung können Sie über das Kontextmenü der Speichergruppe die Replikation pausieren lassen oder die LCR komplett für die Speichergruppe wieder deaktivieren (siehe Abbildung 6.25). Abbildung 6.25: Pausieren und Deaktivieren der LCR über das Kontextmenü der Speichergruppe

344


Am Ende dieses Kapitels zeige ich Ihnen die verschiedenen Möglichkeiten, die das Befehlszeilentool Eseutil.exe zur Überprüfung und Fehlerbehebung von ExchangeDatenbanken bietet. Mit dem Tool können Sie auch den Status der fortlaufenden lokalen Datensicherung überprüfen.

INFO

1

Deaktivieren Sie die LCR für eine Speichergruppe, werden allerdings die Dateien der LCR nicht automatisch gelöscht, diese müssen manuell gelöscht werden.

2

Ändern des Speicherortes einer LCR-aktivierten Speichergruppe Aktivieren Sie die fortlaufende Datensicherung für eine Speichergruppe, können Sie dennoch den Speicherort der Transaktionsprotokolle nachträglich ändern. Allerdings müssen Sie in diesem Fall die fortlaufende Datensicherung kurzzeitig pausieren lassen. Wollen Sie eine Speichergruppe verschieben, für die Sie bereits LCR aktiviert haben, gehen Sie folgendermaßen vor:

3 4

1. Starten Sie die Exchange-Verwaltungskonsole. 2. Navigieren Sie zu Serverkonfiguration/Postfach. 3. Markieren Sie im Ergebnisbereich den Exchange Server, auf dem die Speicher-

5

gruppe liegt, die Sie verschieben wollen.

6

4. Klicken Sie die Speichergruppe mit der rechten Maustaste an, und wählen Sie 5.

die Option Fortlaufende lokale Replikation anhalten (siehe Abbildung 6.25). Es erscheint ein neues Fenster, in dem Sie einen Kommentar eintragen können, warum Sie LCR für diese Speichergruppe gestoppt haben. Tragen Sie die entsprechende Info ein, und bestätigen Sie die Meldung (siehe Abbildung 6.26).

7 Abbildung 6.26: Anhalten der LCR einer Speichergruppe

8 9 10 11

6. Überprüfen Sie im Anschluss, ob der Status für LCR für diese Speichergruppe angehalten wurde (siehe Abbildung 6.27). Abbildung 6.27: Anzeigen des Kopiestatus einer Speichergruppe

12 13 14 15

345


7.

Klicken Sie erneut auf die Speichergruppe, und wählen Sie dieses Mal die Option Speichergruppenpfad verschieben aus. 8. Gehen Sie vor, wie bereits zuvor beschrieben, und verschieben Sie die Transaktionsprotokolle der Speichergruppe an den gewünschten Speicherort. 9. Nach dem erfolgreichen Verschiebevorgang müssen Sie LCR wieder starten. Klicken Sie dazu erneut mit der rechten Maustaste auf die Speichergruppe, und wählen Sie die Option Fortlaufende lokale Replikation wieder aufnehmen (siehe Abbildung 6.28). Abbildung 6.28: Fortsetzen von LCR für eine Speichergruppe

10. Nach kurzer Zeit muss der Kopiestatus der Speichergruppe wieder auf Fehlerfrei stehen (siehe Abbildung 6.29). Abbildung 6.29: Überprüfen des Kopiestatus nach dem Verschieben

INFO

Wollen Sie die Datenbank unterhalb der LCR-aktivierten Speichergruppe verschieben, müssen Sie für die Speichergruppe ebenfalls zunächst LCR pausieren lassen. Erst dann können Sie die Datenbankdateien verschieben.

Anlegen einer Datenbank unter einer LCR-aktivierten Speichergruppe Legen Sie unterhalb einer LCR-aktivierten Speichergruppe eine neue Datenbank an, wird diese ebenfalls LCR-aktiviert. Der Vorgang, bei dem die Kopie einer produktiven Datenbank unterhalb einer LCR-aktivierten Speichergruppe angelegt wird, 346


nennt Microsoft auch Seeding (englisch für Platzierung). Sie können daher auch eine bereits existierende Datenbank in eine Speichergruppe verschieben, für die Sie LCR aktiviert haben, auch dieser Vorgang wird Seeding genannt. Bei diesem Vorgang wird vor der Einrichtung der eigentlichen Replikation eine Kopie der produktiven Datenbank erstellt.

1

Führen Sie zum Beispiel für die produktive Datenbank eine Offline-Defragmentation durch, sollten Sie nach der Defragmentation die LCR-Replikation beenden und die produktive Datenbank in das LCR-Verzeichnis kopieren. Danach können Sie die LCR-Replikation wieder starten. Bei diesem Vorgang wird die produktive Datenbank kopiert und zukünftig mit LCR in Echtzeit aktuell gehalten. Ich werde Ihnen den Vorgang noch in diesem Kapitel zeigen. Unter manchen Umständen wird der Kopiestatus der LCR-Sicherung in der Exchange-Verwaltungsshell als fehlerhaft angezeigt. Versuchen Sie in diesem Fall, LCR zu pausieren und wieder erneut zu starten. Nach einiger Zeit sollte der Zustand wieder zu Fehlerfrei wechseln.

2 3 4 INFO

5

Bleibt der Zustand fehlerhaft, deaktivieren Sie LCR, und löschen Sie das LCR-Verzeichnis der Speichergruppe. Erstellen Sie danach LCR neu. Erst wenn der Zustand als Fehlerfrei angezeigt wird, werden die Daten von der produktiven Datenbank repliziert.

6 7

Lassen Sie LCR für eine Speichergruppe pausieren oder deaktivieren, bekommen die Benutzer der Produktionsdatenbank normalerweise nichts davon mit. Abhängig von der Größe der Datenbank und der Performance des Servers kann natürlich die Performance des Servers etwas unter diesen Vorgängen leiden.

6.3.3

8

Wiederherstellen einer Datenbank aus der LCR-Sicherung

9

Ist Ihre produktive Datenbank korrupt und kann mit Eseutil.exe nicht mehr repariert werden (siehe letzter Abschnitt in diesem Kapitel), können Sie die kopierte Version der LCR-Sicherung dazu verwenden, um die Produktionsdatenbank wiederherzustellen. Bei diesem Vorgang wird die kopierte Version der Datenbank über die korrupte produktive Datenbank kopiert. Für diesen Vorgang benötigen Sie die Exchange-Verwaltungskonsole und die Exchange-Verwaltungsshell. Um Ihre produktive Datenbank mit der kopierten LCR-Version zu überschreiben, gehen Sie folgendermaßen vor:

10

1. 2.

3.

4.

11 12

Heben Sie die Bereitstellung der korrupten Produktionsdatenbank in der Exchange-Verwaltungskonsole auf. Überprüfen Sie zunächst die korrupte Datenbank mit Eseutil.exe (siehe letzter Abschnitt in diesem Kapitel). Sollte sich die Datenbank tatsächlich als korrupt herausstellen, macht es Sinn fortzufahren. Überprüfen Sie im Anschluss, ob die LCR-Kopie der Datenbank nicht korrupt ist. Sind die produktive und die LCR-kopierte Datenbank korrupt, macht das Ersetzen keinen Sinn. Kopieren Sie zur Sicherheit die Datenbankdatei der korrupten Datenbank an einen anderen Speicherort, um auf diese später im Notfall noch zugreifen zu können.

13 14 15

347


5. Im nächsten Schritt können Sie entweder die LCR-Kopie der Datenbank und

6.

deren Pfad zukünftig als aktiven Pfad für die Produktionsdatenbank definieren oder die Datenbankdatei der LCR-Kopie in den Produktionsdateipfad übernehmen. Welchen der beiden Wege Sie verwenden, ist Geschmackssache. Ich bevorzuge den Weg, die LCR-Kopie in den Pfad der Produktionsdatenbank zu kopieren, da dadurch auch der Pfad und die Konsistenz der Dateien transparenter sind. Dieser Weg ist auch der von Microsoft empfohlene. Um die Dateien aus der LCR-Kopie in den Pfad der produktiven Datenbank zu kopieren, geben Sie in der Exchange-Verwaltungsshell den Befehl restorestoragegroupcopy –identity:<Server>\<Speichergruppe> ein (siehe Abbildung 6.30).

Abbildung 6.30: Wiederherstellen einer Datenbank aus der LCR-Kopie

Wollen Sie den Pfad zur LCR-Kopie zukünftig als produktiven Pfad verwenden, geben Sie den Befehl restore-storagegroupcopy -identity:<Server>\<Speichergruppe> -replacelocations:$true ein.

7.

Haben Sie den Befehl eingetragen, beginnt das CMDlet mit der Umsetzung und kopiert die Dateien in den Produktionspfad. Der erfolgreiche Kopiervorgang wird in der Exchange-Verwaltungsshell angezeigt (siehe Abbildung 6.30). 8. Nach der erfolgreichen Kopie wird LCR für die Speichergruppe deaktiviert und muss erst wieder eingerichtet werden. Zuvor müssen Sie aber die Bereitstellung der Datenbank wiederherstellen.

6.4

Standby Continuous Replication

Die fortlaufende Stand-by-Replikation (Standby Continuous Replication, SCR) ist eine neue Funktion, die mit dem Service Pack 1 für Exchange Server 2007 eingeführt wird. Mit dieser Funktion werden die beiden Hochverfügbarkeitslösungen fortlaufende lokale Replikation (Local Continuous Replication, LCR) und fortlaufende Clusterreplikation (Cluster Continuous Replication, CCR) um eine dritte ergänzt. Die neue Funktion ist sowohl in der Standard Edition als auch der Enterprise Edition von Exchange Server 2007 enthalten.

6.4.1

SCR im Vergleich im LCR und CCR

LCR hat die Aufgabe, durch Replikation der Transaktionsprotokolle an einen lokalen Speicherort den Defekt einer Datenbank so auszugleichen, dass immer ein Replikat dieser Datenbank lokal vorgehalten wird. Fällt allerdings der komplette Exchange Server aus, hilft auch die LCR nicht weiter, da dann auch das Replikat nicht zur Ver-

348


fügung steht. Bei der CCR werden die Transaktionsprotokolle über einen MicrosoftCluster auf den zweiten Knoten im Cluster übertragen. Jeder Knoten hat seine eigene Datenbank, die Transaktionsprotokolle werden vom aktiven zum passiven Knoten übertragen. Fällt die Datenbank des ersten produktiven Servers aus oder der ganze Server, kann der zweite Knoten übernehmen. Allerdings ist der Einsatz eines Clusters auch sehr kostenintensiv. Da LCR und CCR nur eine einzige zusätzliche Kopie jeder Datenbank bereitstellen, muss zwischen Standortsicherheit und Redundanz gewählt werden. In einem einzelnen Rechenzentrum den aktiven und den passiven Knoten einzusetzen, liefert Dienst- und Datenverfügbarkeit, aber keine Standortsicherheit, da bei Ausfall des kompletten Standorts auch alle Knoten ausfallen.

1 2 3

Bei der SCR werden die Transaktionsprotokolle und damit die Datenbank auf einen anderen Exchange Server am gleichen Standort repliziert oder an einem anderen Standort, wenn dieser mit einer breiten Leitung angebunden ist. Fällt der produktive Server aus, kann der Server mit dem Replikat online geschaltet werden und die Postfächer der Anwender übernehmen. SCR kann zum Beispiel auch mit CCR kombiniert werden. So kann zum Beispiel an einem Standort ein CCR-Cluster betrieben werden und an einem weiteren Standort noch ein CCR-Cluster. Die Datenbanken der Clusterknoten können durch SCR zwischen den Standorten repliziert werden, zum Beispiel zwischen den produktiven und dem Backup-Rechenzentrum. Auch wenn ein Rechenzentrum komplett ausfällt, gibt es eine komplette Replikation der Datenbank, die aktiv geschaltet werden kann.

4 5

6 7

Kleinere und mittlere Unternehmen können SCR dazu nutzen, Datenbank auf zwei produktiven Exchange Servern untereinander auszutauschen und bei Ausfall eines Servers schnell produktiv zu schalten.

8

6.4.2

Funktionsweise und Voraussetzungen für SCR

SCR arbeitet mit SCR-Quellen und SCR-Zielen. SCR-Quellen sind produktive Speichergruppen auf produktiven Exchange Servern. SCR-Ziele sind Speichergruppen, welche die Daten der produktiven Speichergruppe (der SCR-Quelle) erhalten, aber erst bei Ausfall der produktiven Datenbank produktiv geschaltet werden. Als SCRQuelle kann jede beliebige Speichergruppe verwendet werden, auch die Speichergruppe eines Einzelkopie-Clusters. SCR verwendet zur Replikation aber nicht den Clusterdienst, sondern einen herkömmlichen Exchange Server.

9 10 11

Jede SCR-Quelle kann auch mehrere SCR-Ziele haben, sodass auch mehrere Replikate einer produktiven Datenbank erstellt werden können. Dies ist ein großer Unterschied zu CCR und LCR, die beide jeweils nur ein Ziel unterstützen. Microsoft empfiehlt jedoch, nicht mehr als maximal vier Ziele pro SCR-Quelle zu verwenden. Sowohl auf der Quelle als auch auf allen Zielen muss das Service Pack 1 für Exchange Server 2007 installiert sein. Als Betriebssystem kann Windows Server 2003 oder Windows Server 2008 verwendet werden. Allerdings muss das Betriebssystem auf der SCR-Quelle und dem SCR-Ziel identisch sein. Auch wenn SCR in der Standard Edition und der Enterprise Edition von Exchange Server 2007 enthalten ist, wird zwingend die Enterprise Edition benötigt, wenn die Datenbank eines Einzelkopie- oder CCR-Clusters durch SCR abgesichert werden soll. Sollen nur Datenbanken auf alleinstehenden Exchange Servern repliziert werden, reicht auch die Exchange Server 2007 Standard Edition aus. Die Enterprise Edition unterstützt die Replikation von maximal 50 Speichergruppen, die Standard Edition nur fünf Speichergruppen.

12 13 14 15

349


Quell- und Zielcomputer müssen Mitglied der gleichen Active Directory-Domäne sein, dürfen aber auch an verschiedenen Active Directory-Standorten betrieben werden. Die Verzeichnisstrukturen müssen auf allen beteiligten Servern identisch sein. Wird ein Server als SCR-Ziel konfiguriert, kann auf diesem Server kein LCR verwendet werden. SCR repliziert den Inhalt der Datenbank genau wie LCR und CCR über die Transaktionsprotokolle. Sobald ein solches Protokoll geschlossen wird, übernimmt das SCR-Ziel dieses Protokoll und integriert es in seine Backup-Datenbank. Im Gegensatz zur CCR und LCR dauert dieser Vorgang aber etwas länger und kann auch angepasst werden. Beispielsweise könnte eine Verzögerung im Fall einer logischen Beschädigung einer aktiven Datenbank die logische Beschädigung der SCRZieldatenbank verhindern. Die Wiedergabeverzögerung wird mit der Option ReplayLagTime konfiguriert. Diese Option legt fest, wie lange der Exchange-Replikationsdienst warten soll, bevor Protokolldateien wiedergegeben werden, die auf den SCR-Zielcomputer kopiert wurden. Die Verzögerungszeit wird im Format Tage.Stunden:Minuten:Sekunden festgelegt, die Standardeinstellung beträgt 24 Stunden. Die maximal zulässige Einstellung beträgt sieben Tage. Die Minimaleinstellung liegt bei null Sekunden. Die Einstellung dieses Minimalwerts hat zur Folge, dass die Verzögerung deaktiviert wird. Zusätzlich verwendet Exchange eine feste Verzögerung von 50 Protokolldateien. Hierbei handelt es sich um eine zusätzliche Absicherung, wenn eine Speichergruppe durch Seeding erneut eingerichtet werden muss, wenn zum Beispiel bei einer SCR-Quelle, die eine fortlaufende Replikation verwendet, wie CCR, ein Failover eintritt und eine oder mehrere Speichergruppen über das CMDlet Reset-StorageGroupCopy online geschaltet werden. Bei Seeding handelt es sich um den Prozess, den Exchange dazu verwendet, um eine Online-Kopie der SCR-Quelle auf dem SCR-Ziel zu erstellen. Normalerweise wird bei Exchange eine Protokolldatei nur dann gelöscht, wenn sie gesichert und in der Kopie der Datenbank wiedergegeben wurde. Bei der Verwendung von SCR ändert sich das. Da SCR mehrere Datenbankkopien ermöglicht, können Protokolldateien auf der SCR-Quelle abgeschnitten werden, sobald diese von allen SCR-Zielcomputern geprüft wurden. Mit dem Abschneiden der Protokolldateien auf dem SCR-Quellserver wird also nicht gewartet, bis alle Protokolle in allen SCR-Zielen wiedergegeben wurden, weil SCR-Zielkopien mit langen Protokollwiedergabe-Verzögerungszeiten konfiguriert werden können. Beim Einsatz von SCR wird alle drei Minuten ermittelt, ob Protokolldateien abgeschnitten werden müssen. Beim parallelen Einsatz von SCR, LCR und CCR wird eine Protokolldatei auf dem SCR-Ziel abgeschnitten, wenn die folgenden Kriterien erfüllt sind: ■ ■ ■

Die Protokolldatei wurde gesichert. Die Sequenz der Protokolldateigenerierung liegt unter dem ProtokolldateiKontrollpunkt für die Speichergruppe. Alle SCR-Ziele haben die Protokolldatei geprüft.

Wird für eine Speichergruppe SCR aktiviert, darf diese nur eine Datenbank enthalten, das gilt auch für LCR und CCR. Wird in der Organisation mehr als ein Server mit einer Datenbank für öffentliche Ordner betrieben, können diese nicht über SCR abgesichert werden. Stattdessen wird besser die interne Replikation der öffentlichen Ordner verwendet.

350


6.4.3

Konfigurieren von SCR

SCR wird in der Exchange-Verwaltungsshell über Enable-StorageGroupCopy aktiviert. Dieser Befehl wurde bei der Installation von Service Pack 1 für Exchange Server 2007 entsprechend erweitert. Mit der Option SeedingPostponed wird das automatische Seeding des SCR-Ziels direkt bei der Einrichtung übersprungen, Das kann zum Beispiel sinnvoll sein, wenn die produktive Datenbank sehr groß ist und der produktive Server zu den Hauptgeschäftszeiten nicht belastet werden soll. Mit dem CMDlet Update-StorageGroupCopy wird ein manuelles Seeding des SCR-Ziels gestartet. Mit der Option StandbyMachine wird der Name des Servers angegeben, der das SCR-Ziel enthält. Der Prozess, ein SCR-Ziel als neue Produktionsdatenbank bereitzustellen, wird als Aktivierung bezeichnet. Mit dem Befehl Enable-StorageGroupCopy <SCR-Quellserver>\<SCR-Quellspeichergruppe> -StandbyMachine <SCR-Zielserver> wird SCR aktiviert. Die Ausführung des Befehls wird aber nicht bestätigt. Achten Sie darauf, vorher auf dem Zielserver das Verzeichnis anzulegen, das dem Verzeichnis entspricht, in dem auf dem Quellserver die Daten der Speichergruppe und des enthaltenen Postfachspeichers liegen. Anschließend wird mit dem Befehl Get-StorageGroupCopyStatus \ -StandbyMachine überprüft, ob die Replikation erfolgreich war. Diese sollte als Healthy angezeigt werden. Wurde das automatische Seeding nicht deaktiviert, sollte das entsprechende Verzeichnis auf dem Zielserver mit den Daten des Quellservers gefüllt worden sein.

1 2 3 4 5

6 Abbildung 6.31: Nach erfolgreicher Einrichtung wird die SCR-Replikation in der ExchangeVerwaltungsshell überprüft.

7 8 9

SCR-Ziel beim Ausfall der produktiven Datenbank verwenden Wird festgestellt, dass die produktive Datenbank defekt ist, kann das SCR-Ziel dazu verwendet werden, den Anwendern sofort wieder das Datenbanksystem zur Verfügung zu stellen. Dazu wird die Bereitstellung der bisherigen produktiven Datenbank zunächst mit dem Befehl Dismount-Database <Server>\<Speicher>\ aufgehoben.

10 11 Abbildung 6.32: Aufheben der Bereitstellung einer defekten Produktivdatenbank

12 13 14

Anschließend wird die SCR-Zieldatenbank auf dem SCR-Zielserver so vorbereitet, dass diese zukünftig als produktive Datenbank verwendet werden kann. Dazu wird das CMDlet Restore-StorageGroupCopy verwendet. Mit diesem Befehl wird auch ein Bericht zum Datenverlust, der durch die Bereitstellung der Datenbank entstehen könnte, erstellt. Außerdem überprüft der Befehl, ob am Speicherort der Speichergruppe der Kopie alle Protokolldateien vorhanden sind, die von der aktiven Kopie

15

351


der Speichergruppe generiert wurden. Fehlen Protokolldateien, versucht der Prozess, diese fehlenden Dateien zu kopieren. Der Befehl wird auf dem SCR-Zielserver ausgeführt: Restore-StorageGroupCopy <SCR-Quellserver>\<SCR-Quelle> -StandbyMachine <SCR-Ziel> Wenn der SCR-Quellcomputer ausgeschaltet ist, muss noch die Option Force mit dem Befehl Restore-StorageGroupCopy verwendet werden. Abbildung 6.33: Können fehlende Transaktionsprotokolle nicht vom Quellserver zum Zielserver kopiert werden, muss noch die Option -force verwendet werden.

Mit dieser Option wird dem Server mitgeteilt, dass die Quelldateien nicht verfügbar sind. Anschließend sollte überprüft werden, ob sich die Datenbank in einem fehlerfreien Shutdown-Status befindet. Dazu wird der Befehl Eseutil verwendet, der in Kapitel 16 behandelt wird. Befindet sich die kopierte Datenbank in einem fehlerfreien Status, kann mit zwei Befehlen der Speicherort für die Speichergruppendateien und die Datenbankdatei aktualisiert werden. Vorher sollte auf dem SCRZielserver eine Speichergruppe mit einer leeren Datenbank erstellt werden. In der Befehlszeile wird dann der Pfad der Datenbankdatei und der Speichergruppe auf den Pfad des SCR-Ziels gesetzt: Move-StorageGroupPath <SCR-Ziel>\ -SystemFolderPath -LogFolderPath -ConfigurationOnly Anschließend wird auch der Pfad zur Datenbank der neuen Speichergruppe so abgeändert, dass das SCR-Ziel verwendet wird: Move-DatabasePath <SCR-Ziel>\\ -EdbFilePath \<SCR-Datenbank>.edb -ConfigurationOnly.

352

Postfachdatenbanken und Datenbanken für öffentliche Ordner

Durch die Option ConfigurationOnly werden nur in Active Directory die Konfigurationseinstellungen für diese Objekte aktualisiert. Es werden keinerlei Daten oder Dateien verschoben, da diese durch SCR bereits im Verzeichnis gespeichert sind. Als Nächstes wird die neue Datenbank so konfiguriert, dass diese eine Wiederherstellung zulässt. Durch Aktivieren der Option Diese Datenbank kann bei einer Wiederherstellung überschrieben werden in der Exchange-Verwaltungskonsole in den Eigenschaften der Datenbank wird dieser Schritt erreicht. Als Nächstes wird die Datenbank mit dem Befehl Mount-Database \\ bereitgestellt. Anschließend müssen die Postfächer, die sich auf dem ausgefallenen produktiven Server befinden, auf den SCR-Zielserver umgestellt werden. Wird im Unternehmen der Einsatz der fortlaufenden Stand-by-Replikation geplant, sollten auch die neuen Optionen der CMDlets Suspend-torageGroupCopy, ResumeStorageGroupCopy, Update-StorageGroupCopy, Restore-StorageGroupCopy, GetStorageGroup und Get-StorageGroupCopyStatus beachtet werden. Diese unterstützen neben LCR und CCR auch die neuen Möglichkeiten der SCR.

6.5

1 2 3 4 TIPP

5


6

Es gibt zwei Arten von Datenbanken, Postfachdatenbanken und Datenbanken für öffentliche Ordner (siehe Abbildung 6.34).

7 Abbildung 6.34: Anzeigen der Datenbanken in der Exchange-Verwaltungskonsole

8 9 10 11 12 13

Die Datenbanken werden von Exchange auf dem jeweiligen Datenträger in einer Datei gespeichert. Diese Datei hat die Endung *.edb. Unter Exchange Server 2003 wurde zusätzlich zur *.edb-Datei noch eine *.stm-Datei verwendet. Exchange Server 2007 verwendet nur noch *.edb-Dateien, *.stm-Dateien gibt es nicht mehr.

14 15

Die erste standardmäßig angelegte Postfachdatenbank besteht aus der Datei Mailbox Database.edb im Verzeichnis C:\Programme\Microsoft\Exchange Server\Mailbox\ First Storage Group (siehe Abbildung 6.35).

353


Abbildung 6.35: Standardmäßige Postfachdatenbank

Die erste angelegte Datenbank für öffentliche Ordner besteht aus der Datei Public Folder Database.edb (siehe Abbildung 6.36). Abbildung 6.36: Standardmäßige Datenbank für öffentliche Ordner

Für die Datenbank der öffentlichen Ordner wird eine eigene Speichergruppe angelegt. Sie finden diese Datei über C:\Programme\Microsoft\Exchange Server\Mailbox\Second Storage Group.

6.5.1

Anlegen eines neuen Postfachspeichers

Damit die Erstellung einer Speichergruppe sinnvoll ist, sollten Sie nach der Erstellung einen neuen Postfachspeicher oder einen Speicher für öffentliche Ordner innerhalb der Speichergruppe erstellen. Klicken Sie mit der rechten Maustaste auf eine Speichergruppe, können Sie aus dem Kontextmenü die Option Neue Postfachdatenbank auswählen. Durch Auswahl dieser Option wird ein neuer Postfachspeicher unterhalb dieser Speichergruppe erstellt (siehe Abbildung 6.37).

354


Abbildung 6.37: Erstellen einer neuen Postfachdatenbank

1 2 3 4 5

Haben Sie den Assistenten gestartet, läuft die Erstellung der Postfachdatenbank identisch zur Erstellung einer neuen Speichergruppe ab. Sie geben zunächst einen Namen für den Postfachspeicher ein und geben den dazugehörigen Speicherort an (siehe Abbildung 6.38). In diesem Verzeichnis wird die *.edb-Datei der Datenbank abgelegt.

6 Abbildung 6.38: Erstellen einer neuen Postfachdatenbank

7 8 9 10 11 12 13 14 15

Lassen Sie die Postfachspeicherdatenbank über die Schaltfläche Neu erstellen, werden Ihnen auch wieder die entsprechenden Befehle für die Befehlszeile angezeigt sowie ausführliche Informationen, welche Aktion der Assistent durchgeführt hat (siehe Abbildung 6.39). 355


Abbildung 6.39: Erfolgreiche Erstellung einer neuen Postfachspeicherdatenbank

6.5.2

Ändern des Speicherorts von Postfach- und öffentlichen Ordner-Datenbanken

Wollen Sie den Speicherplatz einer Datenbank ändern, klicken Sie in der ExchangeVerwaltungskonsole die entsprechende Datenbank mit der rechten Maustaste an und wählen aus dem Menü Datenbankpfad verschieben (siehe Abbildung 6.40). Sie finden die Datenbanken an der gleichen Stelle wie die Speichergruppen über Serverkonfiguration/Postfach. Markieren Sie den entsprechenden Mailbox-Server, und klicken Sie auf die Datenbank, deren Dateien Sie verschieben wollen. Abbildung 6.40: Verschieben von Datenbankdateien

356


Im Anschluss startet der Assistent zum Verschieben von Datenbankdateien. Um den Speicherort der Dateien eines Informationsspeichers zu ändern, klicken Sie auf Durchsuchen und wählen den neuen Speicherort aus. Legen Sie am besten schon vorher auf dem jeweiligen Datenträger einen Unterordner für die Dateien an, damit bei Exchange Servern mit mehreren Datenbanken die Ordnung erhalten bleibt. Sie können aber auch im Assistenten zum Verschieben der Dateien einen neuen Unterordner anlegen. Wie Sie vorgehen, bleibt Ihnen überlassen.

1 2 Abbildung 6.41: Assistent zum Verschieben von Datenbankdateien

3 4 5

6 7 8 9 10 Haben Sie den neuen Speicherort der Dateien ausgewählt und bestätigen diesen auf dem nächsten Fenster, wird die Bereitstellung der Datenbank aufgehoben, das heißt, alle noch verbundenen Benutzer werden zwangsweise getrennt.

11

Im Anschluss erhalten Sie eine Meldung, nach deren Bestätigung die Bereitstellung aufgehoben und die Datenbankdateien verschoben werden (siehe Abbildung 6.43).

12 13 14 15

357


Abbildung 6.42: Abschließen des Assistenten zum Verschieben von Postfachdatenbanken

Abbildung 6.43: Meldung beim Verschieben von Datenbankdateien

Hat der Assistent den Vorgang abgeschlossen, erhalten Sie wieder ein entsprechendes Fenster, in dem auch der Befehl für die Exchange-Verwaltungsshell angezeigt wird, über den Sie auch die Datenbank verschieben könnten (siehe Abbildung 6.44). Die Dauer dieses Vorgangs variiert natürlich mit der Größe der Datenbank. Das Aufheben der Bereitstellung und die anschließende Wiederbereitstellung dauern nur wenige Sekunden, das Kopieren ist dabei der am längsten dauernde Part. Werden Ihre Datenbanken gleich nach der Installation von Ihnen verschoben, dauert der Vorgang lediglich einige Sekunden, und die Benutzer können sich anschließend wieder anmelden. Arbeiten Sie bereits einige Zeit mit den Datenbanken, sollten Sie vor dem Verschiebevorgang die Größe der Dateien überprüfen.

358


Abbildung 6.44: Abschließen des Vorgangs zum Verschieben von Datenbankdateien

1 2 3 4 5

6 7

6.5.3

Verwalten von Postfachdatenbanken

8

Rufen Sie die Eigenschaften einer Datenbank auf, stehen Ihnen mehrere Registerkarten zur Verfügung, über die Sie einzelne Konfigurationen für die Datenbank durchführen (siehe Abbildung 6.45).

9

Die einzelnen Optionen unterscheiden sich darin, ob es sich bei der konfigurierten Datenbank um eine Postfach- oder öffentliche Ordner-Datenbank handelt.

10

Registerkarte Allgemein Auf der Registerkarte Allgemein wird zunächst der Name der Datenbank angezeigt (siehe Abbildung 6.45).

11

Haben Sie die fortlaufende Datensicherung für die Postfachspeicherdatenbank aktiviert, wird im Bereich Datenbankkopie-Pfad der Pfad zu den Kopien angezeigt. Dieser sollte sich natürlich vom Pfad der Datenbank unterscheiden, da ansonsten diese Funktion keinen Sinn ergeben würde.

12 13

Um sich den ganzen Pfad zu den Dateien anzeigen zu lassen, klicken Sie in den Text. Im Anschluss können Sie sich mit der Pfeiltaste nach rechts den vollen Pfad anzeigen lassen. Hier können Sie den Pfad allerdings nicht anpassen, sondern diesen nur anzeigen lassen.

14 15

359


Abbildung 6.45: Verwalten einer Postfachdatenbank

Über die Option Journalempfänger definieren Sie auf dieser Registerkarte, dass ein Bericht aller E-Mails, die an Postfächer in diesem Postfachspeicher zugestellt werden, zu einem speziellen Empfänger weiterversendet wird. Diese Einstellung ist aus datenschutzrechtlichen Gründen sehr vorsichtig anzugehen. Sie sollten deshalb Rücksprache mit Ihrer Geschäftsleitung und dem Betriebsrat halten. Interessant ist auch die Einstellung für den Wartungszeitplan. Exchange führt automatisch zu definierten Zeitpunkten Wartungsarbeiten an den Postfachdatenbanken durch. Während dieser Wartungsarbeiten wird zum Beispiel die Datenbank defragmentiert, gelöschte Postfächer, die ihren Aufbewahrungszeitraum (standardmäßig 30 Tage) überschritten haben, werden gelöscht. Außerdem wird während der Wartung überprüft, ob für alle Postfächer dieses Postfachspeichers noch ein Benutzer im Active Directory existiert oder ob das zugeordnete Benutzerobjekt gelöscht wurde. Wurde der Benutzer zum zugehörigen Postfach gelöscht, wird das Postfach ebenfalls als gelöscht markiert und nach 30 Tagen vom Server entfernt. Dies geschieht ebenfalls im Rahmen der Online-Wartung. Beachten Sie auch, dass die Online-Wartung während der Online-Datensicherung des Postfachspeichers unterbrochen wird. Sie sollten daher darauf achten, dass Datensicherung und Online-Wartung nicht unbedingt zum selben Zeitpunkt stattfinden. Sie riskieren zwar keinen Datenverlust, allerdings werden die notwendigen Online-Wartungsarbeiten der Datenbank verzögert oder durchgeführt, wenn Benutzer bereits mit dem System arbeiten. Die Performance ist unter diesen Umständen und je nach Anzahl der Benutzer nicht gerade berauschend.

360


Durch den Wartungsvorgang und die Online-Defragmentation wird jedoch nicht die Datenbank verkleinert, dazu müssen diese Dateien mit der Offline-Defragmentation und dem Tool Eseutil.exe bearbeitet werden. Die Online-Defragmentation fasst freie Bereiche der Datenbank, die nebeneinander liegen, zusammen, damit sie leichter und schneller wieder beschrieben werden können. Die Datenbankdateien insgesamt bleiben so groß wie vor der Online-Defragmentation.

INFO

1 2

Auf der Registerkarte Allgemein wird Ihnen auch der Zeitpunkt der letzten Sicherung des Postfachspeichers angezeigt. Während einer Vollsicherung werden die Datenbank und die Transaktionsprotokolle gesichert. Nach der Sicherung der Transaktionsprotokolle werden diese gelöscht. Der Löschvorgang wird nicht von Exchange, sondern durch das Datensicherungsprogramm durchgeführt.

3

Während der inkrementellen Sicherung werden nur die Transaktionsprotokolle gesichert und gelöscht. Die Datenbank wird nicht gesichert.

4

Sie können auf dieser Registerkarte auch definieren, dass dieser Postfachspeicher beim Starten des Servers nicht automatisch bereitgestellt wird. Diese Option ist standardmäßig nicht aktiviert, jeder neue Postfachspeicher wird mit dem Starten des Servers automatisch bereitgestellt.

5

6

Sie können die Bereitstellung jederzeit widerrufen, indem Sie mit der rechten Maustaste auf den Postfachspeicher klicken und aus dem erscheinenden Menü die Option Bereitstellung der Datenbank aufheben auswählen (siehe Abbildung 6.46). In diesem Fall können sich die Benutzer nicht mehr mit ihrem Postfach verbinden, die Daten bleiben aber erhalten.

7

Abbildung 6.46: Aufheben der Bereitstellung der Datenbank

8 9 10 11 12 13

Die Option Diese Datenbank kann bei einer Wiederherstellung überschrieben werden wird nur bei einem Wiederherstellungsvorgang benötigt. Dieser Punkt wird in Kapitel 11 genauer erörtert.

14

Registerkarte Grenzwerte Auf dieser Registerkarte können Sie verschiedene Grenzwerte definieren, die für die Postfächer in dieser Datenbank Gültigkeit haben. Sie können im Bereich Speichergrenzwerte festlegen, was mit Benutzern passieren soll, deren Postfächer eine bestimmte Größe überschreiten. Ihnen stehen drei gestaffelte Grenzwerte zur Verfügung (siehe Abbildung 6.47):

15

361


■

■ ■

Warnmeldung senden ab – Erreicht die Postfachgröße eines Benutzers diesen Wert, schickt der Exchange Server in regelmäßigen Abständen eine E-Mail an diesen Benutzer. Senden verbieten ab – Ab dieser Postfachgröße darf der Benutzer keine E-Mails mehr senden. Senden und Empfangen verbieten ab – Mit dieser Option sollten Sie sehr vorsichtig umgehen, da bei Überschreitung dieses Werts der Benutzer keinerlei Eintragungen mehr in seinem Postfach vornehmen kann. Er darf nur noch Objekte löschen. Andere Benutzer, die während einer solchen Sperrung des Postfachs E-Mails an diesen Benutzer senden, erhalten einen Unzustellbarkeitsbericht (NDR).

Abbildung 6.47: Registerkarte Grenzwerte in den Eigenschaften einer Postfachdatenbank

Darüber hinaus legen Sie an dieser Stelle weitere Einstellungen fest. ■

■

■

362

Mit der Option Zeitspanne zwischen Warnmeldungen legen Sie fest, wann und wie oft der Exchange Server eine Warnmeldung an Benutzer versenden soll, wenn Grenzwerte überschritten wurden. Die Meldung wird als E-Mail in das Postfach des Anwenders zugestellt. Gelöschte Objekte aufbewahren für (Tage) – Löschen Benutzer Objekte, werden diese in den gelöschten Objekten des Postfachs aufbewahrt. Exchange markiert diese Objekte nur als gelöscht. Sie können jedoch während des definierten Zeitraums wiederhergestellt werden. Zu diesem Zweck gibt es die Option Gelöschte Elemente wiederherstellen in Outlook (siehe nächster Abschnitt). Gelöschte Postfächer aufbewahren für (Tage) – Hier legen Sie fest, wie lange ein gelöschtes Postfach wieder mit einem neuen Benutzer im Active Directory verbunden werden kann, bevor es endgültig gelöscht wird.


Wiederherstellen gelöschter E-Mails innerhalb des Grenzwertes in Outlook – Der Exchange Server-Papierkorb Die Anwender können mithilfe von Outlook 2003/2007 solche gelöschten Elemente selbst wiederherstellen.

1

Dazu wird in Outlook am besten der Ordner Gelöschte Objekte markiert und anschließend über das Menü Extras/Gelöschte Elemente wiederherstellen gewählt (siehe Abbildung 6.48).

2

Damit dieser Befehl zur Verfügung steht, muss jedoch ein spezielles Add-In in Outlook aktiviert werden. Der Anwender kann das Snap-In bei Bedarf selbst installieren, wenn er das Menü aufruft. Die Installation wird anschließend von Outlook selbst durchgeführt.

3

Abbildung 6.48: Wiederherstellen gelöschter Objekte in Outlook

4 5

6 7 8 9 10 Nach der Auswahl des Menüpunktes werden die E-Mails angezeigt, die gelöscht wurden und sich nicht mehr im Ordner Gelöschte Objekte befinden. Diese E-Mails können in diesem Fenster vom Exchange Server wiederhergestellt werden und sind anschließend im Ordner Gelöschte Objekte wieder verfügbar (siehe Abbildung 6.49).

11 Abbildung 6.49: Wiederherstellen von E-Mails in Outlook

12 13 14

Registerkarte Clienteinstellungen Auf der Registerkarte Clienteinstellungen werden hauptsächlich Einstellungen bezüglich der öffentlichen Ordner und des Offline-Adressbuches durchgeführt (siehe Abbildung 6.50).

15

363


Abbildung 6.50: Registerkarte Clienteinstellungen für eine Postfachdatenbank

Über den Bereich Standarddatenbank für Öffentliche Ordner können Sie mit der Schaltfläche Durchsuchen festlegen, mit welcher Datenbank für öffentliche Ordner Benutzer in diesem Postfachspeicher automatisch verbunden werden. Will ein Benutzer, dessen Postfach in diesem Postfachspeicher liegt, in Outlook oder Outlook Web Access auf öffentliche Ordner zugreifen, versucht Exchange zunächst, den Ordner in dieser Datenbank für öffentliche Ordner zu finden. Wird der öffentliche Ordner dort nicht gefunden, verbindet Exchange den Benutzer mit einer anderen Datenbank für öffentliche Ordner innerhalb desselben Active Directory-Standortes. Wird der Ordner innerhalb des Standorts nicht gefunden, verbindet Exchange den Benutzer mit dem nächsten Active Directory-Standort und versucht dort, den Ordner zu finden. Dies läuft für die Benutzer unbemerkt ab (bis auf die Sanduhr, wenn es lange dauert). Über die Schaltfläche Durchsuchen im Bereich Offlineadressbuch legen Sie fest, wie die Standard-Offline-Adressliste des Benutzers lautet. Benutzer können sich jederzeit auch andere Offline-Adresslisten herunterladen, die konfigurierte ist lediglich die Offline-Adressliste, die dem Benutzer als Standard angeboten wird (siehe Kapitel 9). In der Exchange-Verwaltungsshell erhalten Sie mit dem Befehl get-logonstatistics ausführlichere Informationen über die letzten Anmeldungen an den Datenbanken und Servern. Hier können Sie erkennen, wann welche Anwender sich zum letzten Mal mit dem Server verbunden haben und welche Systembenutzer aktuell verbunden sind.

364


Abbildung 6.51: Anzeigen von Statistikinformationen

1 2 3

6.5.4

4

Datenbanken für öffentliche Ordner

Um eine Datenbank für öffentliche Ordner zu erstellen, gehen Sie wie bei der Erstellung eines Postfachspeichers vor. Auf jedem Exchange Server mit der Mailbox-Server-Rolle kann nur eine einzelne Datenbank für öffentliche Ordner erstellt werden.

5

Nach der Erstellung einer neuen Datenbank für öffentliche Ordner stehen Ihnen ebenfalls einige Registerkarten zur Verfügung, um den neuen Speicher an Ihre Bedürfnisse anzupassen. Viele Einstellungen sind mit den Einstellungen für Postfachdatenbanken identisch.

6 7

Auf der Registerkarte Replikation legen Sie das Replikationsverhalten der Datenbank fest. Durch Replikation werden die Inhalte der öffentlichen Ordner dieser Datenbank auf andere Exchange Server verteilt. Dadurch wird ein Lastenausgleich erzielt, der bei geografisch getrennten Exchange Servern den Benutzern eine deutliche Performanceverbesserung bringt.

8

Mit dem Replikationsintervall legen Sie einen Zeitplan fest, der die Replikation der öffentlichen Ordner steuert. Die Replikation von öffentlichen Ordnern innerhalb der Datenbank wird ausschließlich in diesem definierten Intervall durchgeführt.

9

Mit dem regulären Replikationsintervall legen Sie fest, wann die Replikation stattfinden soll, wenn die Option Replikationsintervall auf Immer ausführen steht.

10

Die Option Maximale Größe der Replikationsnachrichten legt die maximale Größe für Replikationsnachrichten innerhalb dieser Datenbank fest. Replikationsnachrichten sind E-Mails zwischen Exchange Servern, mit denen die öffentlichen Ordner repliziert werden. Sie sollten bei der Einrichtung der Replikation genau die Bandbreite Ihres Netzwerks, vor allem der W-LAN-Leitungen, beachten, da die Replikation der öffentlichen Ordner schnell eine Standleitung überlasten kann.

11 12 13 14 15

365


Abbildung 6.52: Registerkarte Replikation in den Eigenschaften einer Datenbank für öffentliche Ordner

Registerkarte Grenzwerte (Limits) Auf dieser Karte legen Sie, genau wie bei einem Postfachspeicher, die Grenzwerte fest, die öffentliche Ordner beschränken, deren Replikate auf diesem Informationsspeicher liegen (siehe Abbildung 6.53). Abbildung 6.53: Grenzwerte für öffentliche Ordner

366


■

■

■

■

Warnmeldung senden ab – Hier legen Sie fest, ab welcher Größe des öffentlichen Ordners eine Warnmeldung verschickt werden soll. Sollten diese Werte überschritten werden, erhalten die Benutzer, die Sie in den Eigenschaften der einzelnen öffentlichen Ordner als Kontaktperson festlegen, eine Benachrichtigung. Bereitstellen verbieten ab – Ab dieser Größe wird Benutzern nicht mehr gestattet, neue Objekte in die öffentlichen Ordner zu verschieben, die durch diese Datenbank für öffentliche Ordner verwaltet werden. Maximale Elementgröße – Hier können Sie die maximale Größe von Objekten festlegen, die in den öffentlichen Ordnern innerhalb dieser Datenbank angelegt werden. Mit der Verfallszeit steuern Sie, wann Exchange die Inhalte der öffentlichen Ordner innerhalb dieses Informationsspeichers automatisch löscht. Behandeln Sie diese Option mit Sorgfalt, da Sie sonst versehentlich auch E-Mails löschen, die zwar alt sind, aber dennoch benötigt werden. Die eingestellte Option gilt standardmäßig für alle öffentlichen Ordner, die ein Replikat in dieser Datenbank haben. Sie können diese Option zwar für jeden einzelnen öffentlichen Ordner überschreiben, die Standardeinstellung eines öffentlichen Ordners besagt jedoch, dass die Verfallszeit der Datenbank verwendet werden soll.

6.5.5

1 2 3 4 5

6

Löschen von Datenbanken

Wollen Sie eine Postfachdatenbank löschen, müssen Sie sicherstellen, dass keine Postfächer mehr darin enthalten sind. Exchange verweigert sonst die Löschung.

7

Wollen Sie eine Datenbank für öffentliche Ordner löschen, darf dieser keine Replikate von öffentlichen Ordnern enthalten und keiner Postfachdatenbank als Standardspeicher für –öffentliche Ordner zugewiesen sein. Sie finden diese Einstellung in den Eigenschaften der jeweiligen Postfachdatenbank.

8 9 Abbildung 6.54: Löschen einer Datenbank oder einer Speichergruppe

10 11 12 13 14

Eine Speichergruppe kann nur gelöscht werden, wenn sie keinerlei Datenbanken mehr enthält.

15

Löschen Sie Speichergruppen oder Datenbanken in der Exchange-Verwaltungskonsole, werden allerdings die entsprechenden Dateien auf dem Dateisystem nicht gelöscht. Diese Dateien müssen Sie manuell löschen, nachdem die entsprechende Datenbank aus der Exchange-Verwaltungskonsole entfernt wurde. 367


6.6

Verwalten des Exchange-Suchindex

Auch Exchange Server 2007 bietet einen Indexdienst, über den Anwender in Outlook ihr Postfach durchsuchen können. Durch den Index auf dem Exchange Server können Anwender deutlich schneller Nachrichten im Postfach durchsuchen als ohne Index. Die Indexierung wird automatisch für jede neue Postfachdatenbank aktiviert. Die Suche mit dem Index liefert auch Ergebnisse aus Dateianlagen, die ohne Index nur sehr ineffizient untersucht werden können. Exchange verwendet dazu die Microsoft Search Indexing Engine (MSSearch).

6.6.1

Informationen zum Index in Exchange Server 2007

Sobald eine neue Nachricht in eine Datenbank zugestellt wird, aktualisiert Exchange automatisch seinen Index. Die Daten des Index werden nicht in der Datenbank gespeichert, sondern in einer eigenen Datei, die im gleichen Verzeichnis auf dem Exchange Server abgelegt wird wie die Datenbankdateien. Die Größe eines Index beträgt in etwa 5 % der Größe der entsprechenden Postfachdatenbank. Im Vergleich zur Indexierung unter Exchange Server 2003 wurde diese Funktion in Exchange Server 2007 deutlich überarbeitet: ■

■

■ ■ ■

Die Indexierung wird bereits standardmäßig aktiviert und muss nicht konfiguriert werden. Unter Exchange Server 2003 war der Index noch deaktiviert und musste konfiguriert werden. Die Indexierung verbraucht bei Weitem nicht mehr so viel Performance wie noch unter Exchange Server 2003. Maximal werden 2–5 % CPU-Last verursacht und eine kaum bemerkbare Belastung der Festplatten und des Arbeitsspeichers. Neue Nachrichten werden nach maximal zehn Sekunden im Index aufgenommen. Der Index kann jetzt auch Dateianlagen indexieren, die auf Microsoft OfficeDateiformaten, PDF-, HTML- und Textdateien basieren. Outlook Web Access und Outlook 2007 bieten eine wesentlich bessere Unterstützung für die Indexierung.

6.6.2

Verwalten des Suchindex

Der Indexdienst wird standardmäßig für alle Postfachdatenbanken aktiviert. Sie sollten diesen nur deaktivieren, wenn die Hardware Ihrer Mailbox-Server über nicht genügend Performance verfügt. Normalerweise müssen Sie den Index nicht verwalten oder Änderungen vornehmen, da dieser Dienst ohne Zutun eines Administrators funktioniert.

Deaktivieren und Aktivieren des Indexdienstes Um den Indexdienst für einzelne Postfachdatenbanken zu deaktivieren, müssen Sie die Exchange-Verwaltungsshell starten. Geben Sie den Befehl set-mailboxdatabase -indexenabled $false ein (siehe Abbildung 6.55). Enthält der Name Ihrer Postfachdatenbank Leerzeichen, müssen Sie diese in Anführungszeichen im Befehl eingeben.

368

Verwalten des Exchange-Suchindex

Abbildung 6.55: Deaktivieren und Aktivieren des Index für eine Postfachdatenbank

Mit dem Befehl set-mailboxdatabase -indexenabled $true aktivieren Sie den Index für diese Postfachdatenbank wieder.

1 2

Wollen Sie den Indexdienst für einen kompletten Mailbox-Server deaktivieren, dann deaktivieren Sie den Systemdienst Microsoft Search (Exchange) auf dem Server (siehe Abbildung 6.56).

3 Abbildung 6.56: Deaktivieren des Indexdienstes auf einem Exchange Server

4 5

6 7 8 9 10

Überprüfen des Indexdienstes Um sicherzustellen dass die Indexierung auf einem Mailbox-Server funktioniert, sollten Sie als Erstes sicherstellen, dass der Systemdienst Microsoft Search (Exchange) auf dem Server gestartet ist.

11

Als Nächstes sollten Sie sicherstellen, dass die Indexierung für einzelne Postfachdatenbanken nicht deaktiviert wurde. Aktivieren Sie diese in diesem Fall wieder über den bereits beschriebenen Befehl.

12

Geben Sie in der Exchange-Verwaltungsshell den Befehl test-exchangesearch ein. Im Anschluss überprüft das CMDlet für das Postfach der Systemaufsicht den Index (siehe Abbildung 6.57).

13

Abbildung 6.57: Überprüfen des Exchange-Index

14 15

369


Im Anschluss wird das Ergebnis der Suche in der Verwaltungsshell angezeigt (siehe Abbildung 6.58). Abbildung 6.58: Anzeigen der Suchergebnisses

Über den Befehl test-exchangesearch -indetity können Sie sich die Indexierung für ein einzelnes Postfach anzeigen lassen (siehe Abbildung 6.59). Erhalten Sie eine Fehlermeldung, beenden Sie den Dienst Microsoft Search (Exchange), und starten Sie ihn erneut wieder. Oft hilft diese Maßnahme schon bei Problemen mit dem Index. Abbildung 6.59: Überprüfen des Index für einzelne Postfächer

6.7

Warten von Exchange-Datenbanken mit Eseutil.exe

Mit dem Befehlszeilenprogramm Eseutil.exe können Sie die einzelnen Datenbankdateien Ihres Exchange Servers bearbeiten und überprüfen. Sie können eine OfflineDefragmentierung durchführen, um die Datenbankdateien zu verkleinern. Außerdem sind Wiederherstellungsvorgänge und vieles mehr möglich. Sie finden Eseutil im Exchange-Installationsverzeichnis im Unterverzeichnis \bin. Um mit dem Tool zu arbeiten, stehen Ihnen verschiedene Optionen zur Verfügung, die im Folgenden besprochen werden.

6.7.1

Starten von Eseutil auf einem anderen Server

Sie müssen Eseutil nicht unbedingt auf einem Exchange Server starten. Bei der Offline-Defragmentierung der Datenbank kann es sinnvoll sein, Eseutil auf einen anderen Server auszulagern und von dort zu starten. Sie sollten aber darauf achten, dass zwischen den beiden Servern eine stabile und schnelle Netzwerkverbindung besteht. Da für die Defragmentierung zunächst eine temporäre Datenbank der Exchange-Produktiv-Datenbank angelegt wird, muss diese zunächst über das Netz auf den Server kopiert werden, von dem aus Sie Eseutil starten. Damit Eseutil funktioniert, müssen Sie folgende Dateien aus dem Verzeichnis \bin im Exchange-Installationsverzeichnis kopieren:

370

Warten von Exchange-Datenbanken mit Eseutil.exe

■ ■ ■ ■ ■

Eseutil.exe ese.dll jcb.dll exosal.dll exchmem.dll

6.7.2

1 2

Überprüfen der Datenbank

Sie können mit Eseutil überprüfen, ob Ihre Exchange-Datenbank noch konsistent ist. Ihnen stehen dazu zwei Optionen zur Verfügung:

3

Mit dem Befehl Eseutil /mh können Sie die Konsistenz der Datenbank feststellen. Sie müssen dazu dem Befehl Eseutil /mh den Pfad zu Ihrer Datenbank mitgeben. Befinden sich im Pfad Leerzeichen, müssen Sie den Pfad in Anführungszeichen schreiben, zum Beispiel:

4

Eseutil /mh C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\ Mailbox Database.edb

5

Bevor Sie jedoch mit dem Befehl Eseutil /mh arbeiten können, müssen Sie die Bereitstellung für die Datenbank in der Exchange-Verwaltungskonsole aufheben (siehe Abbildung 6.60) oder den Dienst für den Informationsspeicher beenden.

6

Klicken Sie dazu mit der rechten Maustaste auf die Datenbank, und wählen Sie aus den Optionen Bereitstellung der Datenbank aufheben. Je nach Größe Ihrer Datenbank kann der Test einige Sekunden bis Minuten dauern.

7

Abbildung 6.60: Bereitstellung einer Datenbank aufheben

8 9 10 11 12 13

Im Anschluss können Sie den Befehl entweder in einer normalen Befehlszeile oder der Exchange-Verwaltungsshell eingeben (siehe Abbildung 6.61).

14 Abbildung 6.61: Überprüfen der Datenbank mit Eseutil.exe

371

15


Ist mit Ihrer Datenbank alles in Ordnung, erhalten Sie eine entsprechende Ausgabe: Listing 6.1: Ausgabe einer DB-Überprüfung CODE

Extensible Storage Engine Utilities for Microsoft(R) Exchange Server Version 08.00 Copyright (C) Microsoft Corporation. All Rights Reserved. Initiating FILE DUMP mode... Database: C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\Mailbox Database.edb File Type: Database Format ulMagic: 0x89abcdef Engine ulMagic: 0x89abcdef Format ulVersion: 0x620,12 Engine ulVersion: 0x620,12 Created ulVersion: 0x620,12 DB Signature: Create time:11/23/2006 20:57:12 Rand:3587182 Computer: cbDbPage: 8192 dbtime: 37089 (0x90e1) State: Clean Shutdown Log Required: 0-0 (0x0-0x0) Log Committed: 0-0 (0x0-0x0) Streaming File: No Shadowed: Yes Last Objid: 334 Scrub Dbtime: 0 (0x0) Scrub Date: 00/00/1900 00:00:00 Repair Count: 0 Repair Date: 00/00/1900 00:00:00 Old Repair Count: 0 Last Consistent: (0xC,1B6,10D) 12/18/2006 10:58:30 Last Attach: (0x8,51,150) 12/18/2006 09:44:31 Last Detach: (0xC,1B6,10D) 12/18/2006 10:58:30 Dbid: 1 Log Signature: Create time:11/23/2006 20:57:07 Rand:3565046 Computer: OS Version: (5.2.3790 SP 1) Previous Full Backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 Previous Incremental Backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 Current Full Backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 Current Shadow copy backup: Log Gen: 0-0 (0x0-0x0) Mark: (0x0,0,0) Mark: 00/00/1900 00:00:00 cpgUpgrade55Format: 0 cpgUpgradeFreePages: 0 cpgUpgradeSpaceMapPages: 0 ECC Fix Success Count: none Old ECC Fix Success Count: none ECC Fix Error Count: none Old ECC Fix Error Count: none Bad Checksum Error Count: none (siehe Abbildung 7.4).

9 Abbildung 7.4: Anlegen eines untergeordneten öffentlichen Ordners

10 11 12 13 14 15

383

Öffentliche Ordner

Über den Befehl remove-publicfolder können Sie einzelne öffentliche Ordner in der Exchange-Verwaltungsshell wieder löschen. Die Syntax dazu ist identisch mit dem Erstellen öffentlicher Ordner.

7.2.2

Verwalten von öffentlichen Ordnern

Haben Sie den Ordner angelegt, können Sie mit der rechten Maustaste die Eigenschaften des Ordners aufrufen. Auf der Registerkarte Berechtigungen können Sie verschiedene Einstellungen vornehmen, welche die Zugriffsmöglichkeiten von anderen Benutzern betreffen (siehe Abbildung 7.5). Der Ersteller eines öffentlichen Ordners erhält von Exchange automatisch die Berechtigungsstufe Besitzer. Besitzer haben unter anderem das Recht, die Berechtigungen für diesen öffentlichen Ordner zu verwalten. Abbildung 7.5: Verwalten der Berechtigungen von öffentlichen Ordnern

Auf der Registerkarte Allgemein legen Sie den Namen des öffentlichen Ordners fest und können eine Beschreibung des Inhalts eintragen. Hier wählen Sie auch das Formular aus, mit dem diesem Ordner neue Elemente hinzugefügt werden können. Die Option Automatisch Microsoft –Exchange-Ansichten erstellen dient der Kompatibilität zu anderen E-Mail-Clients. Über die Schaltfläche Ordnergröße können Sie sich anzeigen lassen, wie viel Speicherplatz der öffentliche Ordner benötigt. Auf der Registerkarte Ordnerverwaltung konfigurieren Sie verschiedene Optionen der Ansicht des Ordners und dessen Verwaltung (siehe Abbildung 7.7): ■

384

Erste Ansicht des Ordners – Hier können Sie einstellen, wie der Inhalt des öffentlichen Ordners den Benutzern angezeigt wird. Sie können aus dem Menü verschiedene Sortierungen auswählen. Benutzer können die Einstellung für sich abändern, wenn ihnen diese Standardsortierreihenfolge nicht zusagt. Die Einstellungen dienen lediglich zur Definition eines Standards.

Erstellen und Verwalten von öffentlichen Ordnern

Abbildung 7.6: Allgemeine Verwaltung eines öffentlichen Ordners in Outlook 2003

1 2 3 4 5 6

7 Abbildung 7.7: Verwalten eines öffentlichen Ordners

8 9 10 11 12 13 14 15

385

Öffentliche Ordner

■

Drag/Drop führt Folgendes aus – Mit dieser Option können Sie einstellen, wie die Objekte im öffentlichen Ordner formatiert werden sollen. Durch diese Formatierung soll gekennzeichnet werden, wer die Nachricht in diesen öffentlichen Ordner gestellt hat. Ihnen stehen hier zwei verschiedene Möglichkeiten zur Auswahl: ■ Verschieben/Kopieren – Mit dieser Option werden die Objekte, zum Beispiel E-Mails, nicht neu formatiert. Zudem werden die Objekte nicht mit dem Benutzer gekennzeichnet, der sie in den öffentlichen Ordner verschoben hat. ■

■

■

■

■

Weiterleiten – Aktivieren Sie diese Option, werden die Objekte, die in diesen öffentlichen Ordner gestellt werden, als weitergeleitete Objekte umformatiert. Dadurch wird im Betreff festgehalten, welcher Benutzer dieses Objekt in den öffentlichen Ordner verschoben hat.

Ordneradresse hinzufügen zu – Hier können Sie diesen öffentlichen Ordner direkt in die Liste der Kontakte im Active Directory einfügen. Klicken Sie auf das Feld, wird dieser öffentliche Ordner Ihren Kontakten in Outlook hinzugefügt, und Sie können E-Mails direkt an diesen öffentlichen Ordner senden. Dieser Ordner steht zur Verfügung – Hier können Sie einstellen, wer auf diesen Ordner zugreifen darf. Wollen Sie Wartungsarbeiten an diesem öffentlichen Ordner durchführen, können Sie zeitweise diese Option aktivieren, um andere Benutzer als den Besitzer daran zu hindern, auf den Ordner zuzugreifen. Wird eine E-Mail an diesen öffentlichen Ordner geschickt, erhält der Benutzer eine automatische Benachrichtigung, dass derzeit nur Besitzer zugreifen dürfen. Ordner-Assistent – Mit diesem Assistenten können Sie Regeln erstellen, wie mit neuen Objekten verfahren werden soll, die in diesen öffentlichen Ordner verschoben werden. Diese Regeln sind ähnlich aufgebaut wie die Posteingangsregeln in Outlook. Moderierter Ordner – Ein moderierter Ordner verhält sich genauso wie ein moderiertes Forum im Internet. Sie können mithilfe dieser Schaltfläche einen Benutzer festlegen, der alle neuen Objekte des öffentlichen Ordners erst absegnen muss, bevor sie hinzugefügt werden.

Die Registerkarte Formulare dient zur Verwaltung der hinterlegten Formulare dieses öffentlichen Ordners. Formulare steuern die Eingabemaske und die Optionen, mit denen neue Objekte in diesem öffentlichen Ordner bereitgestellt werden. Hier können Sie sehen, welche Formulare dem Ordner bereits zugewiesen wurden oder noch zugewiesen werden können (siehe Abbildung 7.8). Auf der Registerkarte Berechtigungen steuern Sie, welche Benutzer auf den öffentlichen Ordner zugreifen dürfen und mit welchen Berechtigungen sie mit dem Ordner arbeiten können. Im oberen Bereich sehen Sie, welche Benutzer bereits Berechtigung auf den öffentlichen Ordner haben und welcher Berechtigungsstufe sie zugeordnet sind. Sie können neue Benutzer mit aufnehmen und vorhandene entfernen. Sie können hier auch die Berechtigungen der einzelnen Benutzer bearbeiten. (siehe Abbildung 7.9). Im Gegensatz zu den Berechtigungen im Postfach eines Benutzers können Sie bei öffentlichen Ordnern noch Berechtigungen für den Nutzer Anonym vergeben. Damit können Sie kontrollieren, ob E-Mails von außen aus dem Internet in den Ordner geschickt werden dürfen. Dies können Sie beispielsweise für Standardadressen wie info@ oder support@ einsetzen, wenn mehrere Mitarbeiter diese Nachrichten bearbeiten sollen. 386


Abbildung 7.8: Verwalten von Formularen in Outlook 2007

1 2 3 4 5 6

7 Abbildung 7.9: Verwalten von Berechtigungen

8 9 10 11 12 13 14

Es gibt in Outlook Standardberechtigungsstufen, die Sie vergeben können. ■

15

Keine – Benutzer mit dieser Stufe haben keinerlei Berechtigung. Verwenden Sie diese Stufe für die Standardbenutzer, wenn Sie für einen Ordner explizite Berechtigungen festlegen wollen. Sie können einzelne Benutzer oder Gruppen aufnehmen und sicherstellen, dass nur diese Berechtigung auf den Ordner haben. 387

Öffentliche Ordner

■ ■

■

■ ■

■ ■

■

Stufe 1 – Mit dieser Berechtigung dürfen Benutzer neue Objekte im Ordner erstellen, aber die Ansicht der bereits vorhandenen Objekte wird nicht erlaubt. Stufe 2 – Diese Stufe liegt zwar in der Hierarchie eine Stufe höher als Stufe 1, berechtigt aber nicht zum Schreiben in das Postfach, sondern lediglich zum Lesen des Inhalts. Stufe 3 – Die Stufe 3 ist die zusammengefasste Berechtigungsstufe 1 und Stufe 2. Benutzer mit Stufe-3-Berechtigung dürfen Objekte in diesem Ordner erstellen und den Inhalt lesen. Stufe 4 – Mit der Stufe 4 können Benutzer zusätzlich zur Stufe 3 noch die von ihnen erstellten Objekte in diesem Postfach bearbeiten und löschen. Stufe 5 – Diese Stufe beinhaltet die Berechtigung der Stufe 4 und zusätzlich das Recht, untergeordnete Objekte zu bearbeiten und zu löschen, allerdings nur für untergeordnete Objekte, die von dem jeweiligen Benutzer mit Stufe 5 in den Ordner gestellt wurden. Stufe 6 – Benutzer mit dieser Berechtigung können neue Objekte aufnehmen, vorhandene lesen und alle vorhandenen Objekte bearbeiten oder löschen. Stufe 7 – Benutzer der Stufe 7 haben dieselbe Berechtigung wie Benutzer der Stufe 6 und können zusätzlich untergeordnete Ordner in diesem Ordner erstellen. Stufe 8 (Besitzer) – Diese Berechtigungsstufe ist die höchste Stufe, die für einen öffentlichen Ordner erteilt werden kann. Benutzer mit Stufe 8 haben dieselben Rechte wie Benutzer der Stufe 7 und können zusätzlich noch Berechtigungen des Ordners bearbeiten, erteilen und entziehen.

Sie können Benutzern ebenfalls manuell gewisse Rechte vergeben, ohne die vorgefertigten Berechtigungsstufen zu verwenden. Nehmen Sie dazu den Benutzer in die Liste auf, und vergeben Sie ihm die Berechtigungsstufe, die am nächsten an die Rechte herankommt, die Sie erteilen wollen. Dazu stellt Outlook noch einige weitere Optionen zur Verfügung: ■ ■ ■ ■

Elemente erstellen – Gleichbedeutend mit Stufe 1. Benutzer können neue Objekte aufnehmen, aber vorhandene nicht lesen. Unterordner erstellen – Mit dieser Berechtigung können neue Ordner innerhalb des Postfachs erstellt werden. Besitzer des Ordners – Erteilt dem Benutzer die Berechtigungsstufe 8. Ordner sichtbar – Benutzern mit dieser Berechtigung wird der Ordner in ihren Clients, zum Beispiel in Outlook, angezeigt. Dies bedeutet jedoch nicht, dass sie Rechte auf den Ordner haben.

In der Rubrik Elemente löschen können Sie angeben, welche Elemente der Benutzer löschen darf: ■ ■ ■

388

Keine – Keine Objekte innerhalb des Postfachs können gelöscht werden. Eigene – Nur die vom Benutzer selbst erstellten Objekte können gelöscht werden, andere nicht. Alle – Alle Objekte können von diesem Benutzer gelöscht werden.


7.2.3

Erstellen von Top-Level-öffentlichen Ordnern

Eine der ersten Aufgaben eines Exchange-Administrators besteht nach der Installation darin festzulegen, welche Benutzer öffentliche Ordner der höchsten Ebene anlegen dürfen. Standardmäßig dürfen nur Administratoren öffentliche Ordner direkt im Root der Öffentlichen-Ordner-Struktur anlegen. Sie sollten einen Personenkreis definieren, der das zukünftig tun soll, wenn Sie sich nicht selbst darum kümmern wollen. Legen Sie dazu am besten eine eigene Sicherheitsgruppe in Windows an, der Sie dann diese Berechtigung erteilen. Sie müssen dazu lediglich Benutzer in diese Gruppe aufnehmen oder wieder entfernen.

1 2 3

Sicherheitsebenen in Exchange Server 2007 Zunächst sollten Sie wissen, dass die Eigenschaften Ihrer Organisation in der Exchange-Verwaltungskonsole nicht den obersten Punkt der Sicherheitshierarchie Ihrer Exchange-Organisation darstellen. Sie müssen zum Verändern der Berechtigungen noch eine Stufe höher gehen:

1. 2.

4 5

Starten Sie dazu das Snap-In Active Directory-Standorte und -Dienste. Ihnen werden zunächst lediglich die Standorte angezeigt. Um auch die Dienste anzeigen zu lassen, müssen Sie die Ansicht verändern. Klicken Sie mit der rechten Maustaste auf den Knoten Active Directory-Standorte und -Dienste ganz oben in der Hierarchie, und wählen Sie aus dem erscheinenden Menü den Punkt Ansicht und dann Dienstknoten anzeigen aus (siehe Abbildung 7.10).

6

7 Abbildung 7.10: Anzeigen des Dienstknotens im Snap-In Active Directory-Standorte und -Dienste

8 9 10 11

3. Hier werden auch die Dienste angezeigt, die in Ihrem Active Directory installiert 4.

5.

6.

12

sind. Außerdem finden Sie hier die oberste Ebene Ihrer Exchange-Organisation. Rufen Sie die Eigenschaften des Containers Microsoft Exchange und dann die Registerkarte Sicherheit auf. Wie Sie sehen, werden die Berechtigungen nicht vererbt, sondern direkt gesetzt (siehe Abbildung 7.11). Hier handelt es sich um die oberste Berechtigungsebene der Exchange-Organisation. Um die Berechtigung zum Anlegen von öffentlichen Root-Ordnern zu verändern, fügen Sie entweder eine neue Gruppe hinzu oder verändern die Eigenschaften einer bereits vorhandenen Gruppe. Sie benötigen für die öffentlichen Ordner zunächst zwei Berechtigungen dieser Liste. Sie können das Erstellen von öffentlichen Ordnern und Top-Level-öffentlichen Ordnern definieren. Die entsprechenden Berechtigungen finden Sie ganze unten in der Liste (siehe Abbildung 7.11):

13 14 15

389

Öffentliche Ordner

■ ■

Create Public Folder Create Top Level Public Folder

Abbildung 7.11: Berechtigungen zum Anlegen von Top-Level-öffentlichen Ordnern

7.2.4

Verwalten von öffentlichen Ordnern mit der Exchange-Verwaltungsshell

Mit dem Befehl new-publicfolder können Sie öffentliche Ordner in der ExchangeVerwaltungsshell erstellen, mit remove-publicfolder können Sie öffentliche Order löschen. Um die Eigenschaften von öffentlichen Ordnern zu bearbeiten, verwenden Sie den Befehl set-publicfolder.

Aufrufen der Konfiguration eines öffentlichen Ordners Um die Einstellungen der öffentlichen Ordner aufzurufen, geben Sie in der Exchange-Verwaltungsshell den Befehl get-publicfolder ein. Geben Sie den Befehl ohne weitere Optionen ein, werden Ihnen die Informationen der obersten Ebene der Öffentlichen-Ordner-Hierarchie angezeigt (siehe Abbildung 7.12). Abbildung 7.12: Anzeigen der Informationen für öffentliche Ordner

390


■

■

■

■

■ ■

Verwenden Sie den Befehl get-publicfolder –identity \, werden Ihnen alle Informationen über einen bestimmten öffentlichen Ordner angezeigt. Wollen Sie Unterordner anzeigen lassen, verwenden Sie den Befehl get-PublicFolder -Identity \\-ExternalAuthenticationMethod:'Basic-SSLOff loading:$false. In diesem Beispiel wird die Standardauthentifizierung aktiviert.

1

Stellen Sie als Nächstes sicher, dass im Snap-In Internetinformationsdienste-Manager für das virtuelle Web RPC SSL aktiviert wurde. Gehen Sie dazu genauso vor wie bei der Konfiguration von SSL für Outlook Web Access. Wurde dem Server bereits ein Zertifikat zugewiesen, müssen Sie lediglich in der Verzeichnissicherheit des Webs RPC den Zugriff für SSL und 128-Bit-Verschlüsselung aktivieren (siehe Abbildung 9.86). Unter Exchange Server 2007 ist nach der Aktivierung SSL für dieses Web standardmäßig immer aktiviert (im Gegensatz zu Exchange Server 2003). Kontrollieren Sie diese Einstellung dennoch nach.

2 3 4 Abbildung 9.86: Überprüfen der SSL-Konfiguration des virtuellen Verzeichnisses RPC

5 6 7 8

9 10 11 Deaktivieren von Outlook Anywhere

12

Wollen Sie Outlook Anywhere nicht mehr auf einem Server einsetzen, können Sie diese Funktion in der Exchange-Verwaltungskonsole auf dem gleichen Weg deaktivieren, wie Sie die Aktivierung durchgeführt haben: Serverkonfiguration/Clientzugriff/<Servername>/Outlook Anywhere deaktivieren (siehe Abbildung 9.87).

13

In der Exchange-Verwaltungsshell können Sie den Befehl disable-OutlookAnywhere -Server:<Server> zur Deaktivierung verwenden.

14 15

567

Clientzugriff und Anbindung mobiler Benutzer

Abbildung 9.87: Deaktivieren von Outlook Anywhere

Anpassen des externen Hostnamens und der Authentifizierung Bei der Aktivierung von Outlook Anywhere haben Sie den externen Namen eingegeben, unter dem der Server aus dem Internet erreichbar ist.

TIPP

Microsoft empfiehlt, für jeden Active Directory-Standort einen eigenen externen Hostnamen zu verwenden. Allerdings müssen Sie in diesem Fall auch getrennte Veröffentlichungen mit mehreren ISA-Servern durchführen. Um den externen Hostnamen nachträglich zu ändern, können Sie wieder die Exchange-Verwaltungskonsole verwenden:

1. 2.

Abbildung 9.88: Nachträgliche Anpassung des externen Hostnamens und der Authentifizierung

568

Klicken Sie auf Serverkonfiguration/Clientzugriff und wählen dann den ClientAccess-Server aus, den Sie verwalten wollen. Rufen Sie über den Aktionsbereich die Eigenschaften des Servers auf, und wechseln Sie auf die Registerkarte Outlook Anywhere (siehe Abbildung 9.88). Hier können Sie die Authentifizierung und den externen Hostnamen nachträglich anpassen.

Outlook Anywhere (RPC über HTTP)

Outlook Anywhere in einer gemischten Exchange Server 2003/2007Organisation nutzen Sie können Outlook Anywhere auch in einer gemischten Exchange Server 2003/ 2007-Organisation einsetzen, müssen hierbei aber bei der Konfiguration einige Punkte beachten.

1

Setzen Sie eine gemischte Umgebung ein, sollten Sie zunächst Ihre Exchange Server 2003-Front-End-Server gegen Exchange Server 2007-Client-Access-Server ersetzen. Diese Server können ohne Weiteres auf Exchange Server 2003-Back-End-Server zugreifen. Die Konfiguration der Client-Access-Server ist identisch mit dem Einsatz einer reinen Exchange Server-2007-Infrastruktur.

2 3

Konfiguration eines Exchange Server-2003-Back-End-Servers für RPC über HTTP Als nächsten Schritt führen Sie die Konfiguration der Back-End-Server für RPC über HTTP durch. Rufen Sie dazu den Exchange System-Manager von Exchange Server2003 auf, und navigieren Sie zu dem Server, auf dem die Postfächer der Benutzer liegen, die über RPC über HTTP eine Verbindung aufbauen sollen.

4 5

Rufen Sie die Eigenschaften des Servers auf, und wechseln Sie zur Registerkarte RPCHTTP, und aktivieren Sie die Option RPC-HTTP-Back-End-Server (siehe Abbildung 9.89). Es erscheint eine Warnmeldung, die Sie darüber informiert, dass noch kein RPC-Front-End-Server konfiguriert wurde, wenn dies noch nicht geschehen ist.

6

Abbildung 9.89: Konfiguration eines Exchange Server 2003-Back-EndServers für RPC-HTTP

7 8

9 10 11 12 13 Haben Sie Exchange Server 2003 auf einem Domänencontroller installiert, erscheint eine weitere Meldung, die Sie darauf hinweist, dass in diesem Fall zunächst Ports auf dem Server umkonfiguriert werden müssen. Mit OK können Sie diese Meldung bestätigen. Diese Änderungen werden erst nach dem Neustart des Servers aktiv. Sie müssen diese Schritte auf allen RPC-Back-End-Servern durchführen.

14 15

Testen Sie als Nächstes den Zugriff. Die Exchange Server 2007-Client-Access-Server können ohne weitere Konfiguration auf Exchange Server 2003-Back-End-Server zugreifen.

569


9.4.3

Konfiguration von Outlook 2003/2007 für Outlook Anywhere

Als nächsten Schritt müssen Sie bei Anwendern, die mit Outlook Anywhere arbeiten sollen, das E-Mail-Profil bearbeiten oder neu erstellen:

1. 2.

Melden Sie sich mit dem Benutzerkonto, mit dem RPC über HTTP zur Verfügung stehen soll, bei dem PC an. Erstellen Sie nach der Installation von Outlook 2003 mit SP2/2007 zunächst über Systemsteuerung/Mail ein neues Profil, oder bearbeiten Sie ein vorhandenes Profil auf dem PC. Klicken Sie auf die Schaltfläche Hinzufügen, und geben Sie einen Namen für das Profil ein (siehe Abbildung 9.90). Unter Windows Vista suchen Sie nach Mail, wenn Sie über Start/Systemsteuerung die Systemsteuerung geöffnet haben. Die weitere Einrichtung eines neuen Profils für Outlook Anywhere ist unter Windows XP und Vista nahezu identisch.

Abbildung 9.90: Einrichten eines neuen Profils in Outlook 2007 für Outlook Anywhere

3. Ist bereits ein Profil vorhanden, zum Beispiel auf einem Notebook, mit dem der

4.

570

Anwender bereits in der Firma arbeitet, können Sie an dieser Stelle auch die Einstellungen dieses Profils bearbeiten, anstatt ein neues zu erstellen. Bei Heimarbeitsplätzen erstellen Sie das Profil und wählen dann auf der nächsten Seite die Option Servereinstellungen oder zusätzliche Servertypen manuell konfigurieren (siehe Abbildung 9.91). Unter Outlook 2003 wählen Sie die Option Ein neues E-Mail-Konto hinzufügen. Im nächsten Fenster wählen Sie die Option Microsoft Exchange (siehe Abbildung 9.91).


Abbildung 9.91: Einrichten eines Outlook 2007Kontos für Outlook Anywhere

1 2 3 4 5 6

5. Im nächsten Fenster tragen Sie im Feld Microsoft Exchange Server den internen

6.

7

FQDN-Namen des Exchange Servers ein und aktivieren die Option ExchangeCache-Modus verwenden. Tragen Sie den Benutzernamen des Anwenders ein, und klicken Sie danach auf die Schaltfläche Weitere Einstellungen (siehe Abbildung 9.93).

8 Abbildung 9.92: Auswählen des Servertyps im neuen Outlook-Profil

9 10 11 12 13 14 15

571


Abbildung 9.93: Konfiguration des Benutzernamens und des Exchange Servers

7.

Da der Heimarbeitsplatz den internen FQDN des Exchange Servers nicht auflösen kann, erhalten Sie eine Fehlermeldung (siehe Abbildung 9.94). Diese spielt an dieser Stelle keine Rolle, sie ist normal, da der Server noch keine Verbindung über das Internet herstellen kann. Bestätigen Sie die Meldung daher einfach.

Abbildung 9.94: Fehlermeldung beim Einrichten von Outlook Anywhere

8. Nach der Bestätigung erscheint ein Fenster, in dem Sie die Eingaben noch ein-

9.

572

mal verändern können. Belassen Sie Ihre Eingaben, wie sie sind, und klicken Sie auf OK, damit diese Meldung verschwindet. Danach öffnet sich das Fenster zur Konfiguration der erweiterten Einstellungen für das Exchange Server-Konto.


Abbildung 9.95: Aktivieren der RPCüber-HTTP-Funktion in Outlook 2007

1 2 3 4 5 6 10. Öffnen Sie in diesem Fenster die Registerkarte Verbindung, und aktivieren Sie 7

die Option Verbindung mit Microsoft Exchange über HTTP herstellen (siehe Abbildung 9.96). 11. Klicken Sie dann auf die Schaltfläche Exchange-Proxyeinstellungen (siehe Abbildung 9.97).

8 Abbildung 9.96: Konfiguration der Exchange-Proxyeinstellungen

9 10 11 12 13 14 15

573


12. Es öffnet sich das Fenster, in dem Sie die Proxyeinstellungen vornehmen können. Tragen Sie bei den Verbindungseinstellungen die Adresse des Servers ein, mit dem er im Internet veröffentlicht wurde. Haben Sie zum Beispiel Ihren Server als webmail.meinefirma.de im Internet veröffentlicht, tragen Sie diese Bezeichnung hier ein. Diese Bezeichnung muss auch das Zertifikat haben, das Sie dem Server zugewiesen haben. 13. Wählen Sie im Bereich Proxyauthentifizierungseinstellungen die Standardauthentifizierung aus. 14. Schließen Sie danach alle Fenster mit OK. Die Erstellung des Kontos wird bestätigt (siehe Abbildung 9.96).

Importieren des Zertifikats auf dem Client-PC Wurde auf dem Client-PC die Zertifizierungsstelle Ihres Unternehmens noch nicht als vertrauenswürdig eingestuft (was normal ist, wenn der PC nicht Mitglied der Domäne ist), sollten Sie vor dem Verbindungstest zunächst das Zertifikat der Zertifikatsstelle auf dem PC importieren. Dieses Zertifikat hat nichts mit dem Webserverzertifikat zu tun, das Sie ausgestellt haben.

1.

Die vertrauenswürdigen Zertifizierungsstellen finden Sie am besten über den Internet Explorer. Rufen Sie nach dem Start über Extras/Internetoptionen die Registerkarte Inhalte und dann unter Zertifikate/Vertrauenswürdige Stammzertifizierungsstellen die Auflistung der Zertifizierungsstellen auf dem PC auf (siehe Abbildung 9.97).

2.

Ist die interne Zertifizierungsstelle Ihres Unternehmens hier nicht zu finden, kann Outlook Anywhere auf diesem PC nicht funktionieren. Rufen Sie auf dem Client-Access-Server das gleiche Menü auf. Hier sollte die Zertifizierungsstelle hinterlegt sein, da sich der Server in der Domäne befindet. Markieren Sie diese Zertifizierungsstelle, und klicken Sie auf die Schaltfläche Exportieren (siehe Abbildung 9.98). Es gibt unter Umständen mehrere Zertifi-

Abbildung 9.97: Überprüfen der vertrauenswürdigen Stammzertifizierungsstellen

3.

574


kate Ihrer Stammzertifizierungsstelle an dieser Stelle. Erscheint beim Exportieren eine Abfrage des privaten Schlüssels des Zertifikats, haben Sie das falsche erwischt, verwenden Sie dann das andere Zertifikat. Abbildung 9.98: Exportieren eines Zertifikats auf den Exchange Server

1 2 3 4 5 6 7 8

4. Exportieren Sie auf dem Client-Access-Server das Zertifikat in eine CER-Datei (siehe Abbildung 9.99). Diese Datei muss im Anschluss auf dem Client importiert werden. Klicken Sie doppelt auf das Zertifikat, wird es auf dem Client-PC angezeigt, und Sie können es installieren (siehe Abbildung 9.100). Klicken Sie auf die Schaltfläche Zertifikat installieren, damit das Zertifikat auf dem ClientPC installiert wird.

9 10 Abbildung 9.99: Importieren eines Zertifikats

11 12 13 14 15

575


5. Lassen Sie das Stammzertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen importieren (siehe Abbildung 9.100). Überprüfen Sie im Anschluss daran, ob das Zertifikat erfolgreich importiert wurde. Auf allen beteiligten Servern und Arbeitsstationen muss der Zertifizierungsstelle des Unternehmens auf dieser Registerkarte vertraut werden, das gilt auch später für den ISAServer. Das Zertifikat darf nicht als fehlerhaft dargestellt werden, wie in Abbildung 9.99 zu sehen. Abbildung 9.100: Importieren eines Zertifikats in die vertrauenswürdigen Stammzertifizierungsstellen eines PC

6. Starten Sie als Nächstes Outlook mit der Option /rpcdiag über Start -> Ausführen -> outlook /rpcdiag. Outlook sollte nach kurzer Zeit fehlerfrei eine Verbindung zum Exchange Server aufbauen (siehe Abbildung 9.101). Ist der Pfad zu Outlook nicht direkt erreichbar, müssen Sie in den Unterordner von Outlook wechseln und dort den Befehl eingeben. Abbildung 9.101: Fehlerfreier Verbindungsaufbau von Outlook Anywhere

576


7.

Ist Outlook gestartet, erscheint ein Anmeldefenster, und Sie müssen sich authentifizieren. An dieser Stelle muss der externe Name, den Sie in Outlook konfiguriert haben, zu der externen IP-Adresse Ihrer Firewall aufgelöst werden, welche die SSL-Anfrage zum Exchange Server weiterleitet. Alle Verbindungen im Diagnosefenster von Outlook 2007 müssen fehlerfrei angezeigt werden (siehe Abbildung 9.101).

1

Funktioniert der Verbindungsaufbau nicht, sollten Sie als Nächstes Schritt für Schritt vorgehen, um den Fehler einzugrenzen. Im nachfolgenden Abschnitt habe ich die Ansätze der Problemlösung für den Verbindungsaufbau dargestellt.

2 3

Importieren eines Zertifikats und Konfiguration der vertrauenswürdigen Stammzertifizierungsstelle

4

Eine weitere Möglichkeit, das Zertifikat der Stammzertifizierungsstelle zu importieren, ist über Outlook Web Access. Dieser Weg funktioniert allerdings nicht immer, da meistens nur das Webserver-Zertifikat übertragen wird, nicht zusätzlich noch das Zertifikat der Stammzertifizierungsstelle. Gehen Sie dazu folgendermaßen vor:

5

1.

Öffnen Sie eine Verbindung zu Outlook Web Access mit dem Internet Explorer. Bei diesem Vorgang wird das Zertifikat übertragen. 2. Klicken Sie im Anschluss auf das kleine Schloss unten rechts im Internet Explorer. Das Zertifikat der Seite wird angezeigt. 3. Öffnen Sie die Registerkarte Zertifizierungspfad. 4. Markieren Sie das oberste Zertifikat im Pfad, da dieses das Zertifikat der Zertifizierungsstelle darstellt. Uns geht es nicht darum, das Zertifikat zu importieren, sondern die Zertifizierungsstelle des Unternehmens als vertrauenswürdige Zertifizierungsstelle zu importieren. Wird hier kein weiteres Zertifikat angezeigt, funktioniert dieser Weg nicht, das Zertifikat der Zertifizierungsstelle wird in diesem Fall nicht übertragen. 5. Klicken Sie im Anschluss auf Zertifikat anzeigen. 6. Klicken Sie im neuen Fenster auf die Registerkarte Details und dann auf die Schaltfläche In Datei kopieren, um das Zertifikat in eine Datei zu exportieren. 7. Belassen Sie die Standardeinstellungen, und exportieren Sie das Zertifikat in eine Datei, die Sie zum Beispiel auf dem Desktop abspeichern. 8. Schließen Sie alle Fenster, und klicken Sie doppelt auf die Zertifikatdatei, damit sich der Assistent für den Import öffnet. 9. Klicken Sie auf die Schaltfläche Zertifikat installieren. 10. Wählen Sie auf dem Fenster Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern, und klicken Sie auf Durchsuchen. 11. Wählen Sie die Option Vertrauenswürdige Stammzertifizierungsstellen aus, und schließen Sie den Import ab.

9.4.4

6 7 8

9 10 11 12 13

Problemsuche bei der Outlook Anywhere-RPCHTTP-Verbindung

14

Bei der Verbindung von Outlook 2003/2007 über das RPC-über-HTTP-Protokoll laufen folgende Vorgänge ab, die berücksichtigt werden müssen:

1.

15

Der Outlook-Client muss über DNS den RPC-Proxy auflösen können. Es muss nicht der interne DNS-Name des Client-Access-Servers aufgelöst werden können, sondern der externe, über den der Server ins Internet veröffentlicht wird. 577


2. 3. 4. 5. 6. 7.

Der Clientcomputer muss sich über SSL (Port 443) mit dem RPC-Proxy verbinden können. Auf dem Clientrechner muss das Zertifikat hinterlegt und installiert sein, das auf dem RPC-Proxy installiert wurde. Der Client-Access-Server muss den internen Namen des Exchange Server 2007Mailbox-Servers auflösen können. Der RPC-Proxy muss eine Verbindung zum Mailbox-Server aufbauen können. Der Benutzer muss sich mit gültigem Benutzernamen und gültigem Kennwort verbinden. Der RPC-Proxy muss die Authentifizierungsdaten des Anwenders an den Mailbox-Server weiterleiten können.

Funktioniert die Verbindung vom Outlook-Client nicht, sollten Sie zunächst testen, ob das virtuelle RPC-Verzeichnis auf dem Client-Access-Server erreicht werden kann. Sie können den Test lokal auf dem Client-Access-Server oder über einen anderen Rechner erledigen, der Zugriff auf den Server hat. Sie sollten mit https://rpc eine Verbindung zum virtuellen Verzeichnis RPC aufbauen können. Erhalten Sie die Fehlermeldung in Abbildung 9.102, ist die Verbindung möglich, und der Fehler liegt nicht an einer Fehlkonfiguration des virtuellen RPC-Verzeichnisses. In diesem Fall kann die Verbindung hergestellt werden, nur die Authentifizierung funktioniert dann nicht. Abbildung 9.102: Erfolgreicher Verbindungstest zwischen Client und Exchange Server

Seit Windows Server 2003 SP1 erscheint beim Zugriff auf das virtuelle RPC-Verzeichnis mit einem Webbrowser nach der Eingabe der Zugangsdaten noch zweimal ein Fenster zur Authentifizierung.

578


Sie müssen bei beiden Fenstern die Zugangsdaten nicht noch einmal eingeben. Nach der dritten Bestätigung des Fensters erscheint die vorhin beschriebene Fehlermeldung. Damit der Verbindungsaufbau zwischen Outlook und Client-Access-Server funktionieren kann, muss das Zertifikat auf dem Clientrechner mit dem Zertifikat auf dem RPC-Proxyserver validiert werden. Kann das Zertifikat nicht validiert werden, erhalten Sie nicht die Fehlermeldung in Abbildung 9.102, sondern die Bestätigung einer Zertifikatanforderung (siehe Abbildung 9.103).

1 2 Abbildung 9.103: Fehler bei der Validierung des Zertifikats zwischen Client und ClientAccess-Server

3 4 5 6 7 8

Verwenden Sie ein Zertifikat einer Zertifizierungsstelle, die durch Microsoft nicht automatisch als vertraute Stelle hinterlegt ist, sollten Sie diese Zertifizierungsstelle über den Internet Explorer des Clientcomputers als vertraut konfigurieren. Das Zertifikat auf dem Client-Access-Server muss die gleiche Bezeichnung haben und sich auf die gleiche Domäne beziehen wie die Veröffentlichung über den ISA-Server. Es darf beim Zugriff auf diese Webseite keine Zertifikatsmeldung erscheinen, sonst kann Outlook keine Verbindung per RPC –über HHTP aufbauen. Es gibt im IIS außer dem virtuellen Verzeichnis RPC noch ein Verzeichnis RpcWithCert. Dieses Verzeichnis wird beim Installieren von Windows Server 2003 SP1 hinzugefügt, hat aber für die Konfiguration und den Verbindungsaufbau von RPC über HTTP keine Bedeutung und muss auch nicht konfiguriert werden.

9 10 11 INFO

12 Beispiel: Ihr Server ist über webmail.meinefirma.de im Internet veröffentlicht. Der interne FQDN Ihres Client-Access-Servers ist exfront01.contoso.com. Das Zertifikat muss die Bezeichnung webmail.meinefirma.de erhalten, da der Verbindungsaufbau über diesen Namen stattfindet und nicht über den internen Namen. Hat das Zertifikat einen gültigen Namen, aber der PC der Zertifizierungsstelle vertraut ihm nicht, sieht die Fehlermeldung wie in der Abbildung 9.104 aus.

13 14

Erst wenn keine Warnmeldung eines Zertifikats erfolgt und Sie sich im Fenster authentifizieren müssen, können Sie sicher sein, dass das Zertifikat erfolgreich importiert wurde. Versuchen Sie in diesem Fall, Outlook nochmals mit dem Schalter /rpcdiag zu starten, bis sichergestellt ist, dass die Verbindung hergestellt werden kann.

15

579


Abbildung 9.104: Probleme beim Verifizieren der Vertrauensstellung

Sie sehen, dass die Probleme meistens am Import der Zertifikate liegen. Ich habe Ihnen in diesem Kapitel gezeigt, wie Sie mit den Zertifikaten umgehen und die Fehlerbehebung für den Import von Zertifikaten durchführen. Es gehört einige Geduld dazu, bis eventuell auftretende Probleme gelöst sind, wenn die Verbindung nicht funktioniert. Mit den Hinweisen dieses Kapitels sollten Sie aber auch im Problemfall die Lösung finden.

9.5

Exchange ActiveSync (EAS)

Die mobilen Dienste, das heißt der Zugang mit drahtlosen Geräten wie Pocket-PCs oder Smartphones, sind eine neue Funktionalität seit Exchange Server 2003. Die Funktionalität dieser Dienste wird mit Exchange Server 2007 erweitert. Durch die Direct-Push-Funktionalität haben Benutzer mit Windows-PDAs die gleichen Möglichkeiten wie Blackberry-Nutzer, ohne zusätzliche Produkte lizenzieren zu müssen. Der Zugriff ist standardmäßig auf Client-Access-Servern nach der Installation aktiviert. Damit der Zugriff funktioniert, müssen Anwender ihre Smartphones nur entsprechend konfigurieren. Damit die Funktion auch unterwegs zur Verfügung steht, können Sie diese, wie Outlook Web Access und Outlook Anywhere, über einen ISAServer im Internet veröffentlichen (siehe Kapitel 15). Mit Exchange ActiveSync (EAS) können Pocket-PCs oder Smartphones eine Synchronisation mit Ihrem Postfach über das Netzwerk ausführen, ohne an eine Dockingstation angeschlossen zu sein. Smartphones können über das Internet mithilfe von GPRS oder UMTS auf Exchange zugreifen und Posteingang, Kalender sowie Aufgaben synchronisieren. Seit Exchange Server 2003 SP2 können mobile Benutzer mit Smartphones, die unter Windows Mobile 5 laufen, auch das globale Adressbuch auf dem Exchange Server durchsuchen und so noch effizienter mit dem Mailsystem arbeiten. Um alle Funktionen optimal nutzen zu können, die Exchange Server 2007 bietet, müssen Ihre

580


mobilen Benutzer mit Smartphones ausgestattet sein. Die Smartphones müssen mit dem neuen Windows Mobile 5 laufen, und das frei verfügbare Microsoft Message Security Feature Package sollte installiert sein (wird normalerweise vom Gerätehersteller per ROM installiert). Welchen Provider Sie für die Endgeräte verwenden, spielt keine Rolle, Hauptsache, Sie buchen einen Datenvertrag mit IP-Verbindung zum Internet. Die großen deutschen Hersteller bieten allesamt entsprechende Verträge und Endgeräte an.

1 2

Seine ganze Funktionalität spielt Exchange ActiveSync bei der Veröffentlichung im Internet aus. Mehr zu diesem Thema erfahren Sie in Kapitel 15. Mit Exchange Server 2007 erhalten Administratoren die Möglichkeit, verloren gegangene Pocket-PCs zu löschen. Dazu wird der Exchange Server so konfiguriert, dass er bei Verbindungsaufnahme des verlorenen Geräts (also sobald das Smartphone sich mit dem Internet verbindet) alle Daten auf dem Gerät löscht. Diese Funktionalität wird Remote Wipe genannt.

9.5.1

3 4

Allgemeine Infos zu EAS

5

Bei der beschriebenen Synchronisation zwischen mobilen Geräten und dem Exchange Server 2007 mittels Exchange ActiveSync (nicht zu verwechseln mit ActiveSync über eine Dockingstation) wird der Verbindungsaufbau mithilfe von HTTP/HTTPS durchgeführt. Die Tätigkeiten, für die Exchange Server 2007 auf HTTP zurückgreifen muss, laufen über den IIS des Servers. Um den Verbindungsaufbau zu steuern, legt Exchange Server 2007 ein neues virtuelles Verzeichnis unterhalb der Standardwebsite des Exchange Servers an. Alle Verbindungen, die mobile Endgeräte mit Exchange ActiveSync aufbauen, laufen über diese Seite. Sie können sich die Einstellungen im SnapIn für die Verwaltung des IIS ansehen und auch steuern (siehe Abbildung 9.105).

6 7 8

E-Mails auf Smartphones-Antworten und Weiterleiten Antworten Sie auf eine E-Mail, die zu Ihrem Endgerät gesendet wurde, wird vom Endgerät zum Exchange Server, also über die schmalbandige UMTS- oder GPRS-Verbindung, nur der Text übertragen, den Sie zum Antworten eingetippt haben. Der restliche Text der E-Mail, den also Antwort- oder Weiterleitungs-E-Mails enthalten, wird vom Server eigenständig lokal zusammengebaut und muss nicht erneut zurückübertragen werden. Diese Funktion spart natürlich extrem Bandbreite, je länger eine E-Mail durch Antworten und Rückantworten wird.

9 10 11

In dieser EAS-Webseite werden keinerlei Daten gesammelt und gespeichert. Es besteht also nicht die Notwendigkeit, dass Sie eine Datensicherung durchführen oder auf gewisse Daten achten müssen. Das Verzeichnis dient nur dazu, den Dienst zu steuern. Damit ein Benutzer sich mit seinem Pocket-PC synchronisieren kann, muss er eine Verbindung mit dieser virtuellen Webseite aufbauen. Steht die Verbindung, übernimmt der Dienst die weitere Steuerung. Er greift auf das Postfach des Benutzers zu und synchronisiert die Daten mit dem Smartphone oder Pocket-PC. Der Dienst baut mithilfe von Outlook Web Access (Port 80) eine Verbindung mit dem Postfach des Benutzers auf und gibt dabei die Authentifizierung des Benutzers mit. Im Anschluss werden die Daten mit dem Smartphone synchronisiert.

12 13 14 15

581


TIPP

Sie können diese Webseite mit dem Befehl New-ActiveSyncVirtualDirectory -WebSiteName Contoso.com wiederherstellen, wenn diese korrupt ist und Sie das virtuelle Verzeichnis fehlerhaft konfiguriert oder gelöscht haben.

Abbildung 9.105: Anzeigen des virtuellen Verzeichnisses für Exchange ActiveSync

Always-Up-To-Date (AUTD) – Direct Push Mit Always-Up-To-Date-Benachrichtigungen wird das Postfach des Benutzers auf dem Exchange Server 2007 ständig mit seinem mobilen Gerät synchronisiert. Wird eine neue E-Mail im Posteingang des Benutzers zugestellt, synchronisiert sich das Postfach sofort automatisch mit dem Smartphone. Bei dieser Technologie wird die Synchronisierung des Smartphones nicht durch eine SMS aktiviert, sondern Endgerät und Exchange Server bleiben dauerhaft verbunden. Da bei dieser Verbindung nur sehr geringe Datenmengen ausgetauscht werden, entstehen keine höheren Kosten bei Datenverträgen.

TIPP

Damit für mobile Endgeräte über das Internet Verbindung mit Direct Push zum Client-Access-Server aufgebaut werden kann, müssen Sie nur den SSL-Port 443 in der Firewall öffnen. Stellen Sie Outlook Web Access im Internet zur Verfügung, kann ohne große Konfiguration auch Direct Push oder die manuelle Synchronisierung durchgeführt werden.

Benutzerdefinierte Synchronisation mit dem Postfach Wie bereits eingangs beschrieben, können sich Benutzer mit ihrem Postfach jederzeit auch manuell synchronisieren. Zur Veröffentlichung von Exchange ActiveSync ins Internet bietet sich ein Microsoft ISA-Server an, der wiederum hinter einer Hardware-Firewall steht. Der ISA ist bereits mit Assistenten ausgestattet, die optimal mit der Veröffentlichung von ActiveSync zusammenarbeiten. Die Veröffentlichung wird ausführlich und Schritt für Schritt in Kapitel 15 erläutert.

582


9.5.2

Verwalten von Exchange Active Sync

Die Verwaltung von Exchange ActiveSync können Sie über die Exchange-Verwaltungskonsole durchführen:

1. 2. 3. 4.

1

Klicken Sie auf Serverkonfiguration/Clientzugriff. Klicken Sie im Ergebnisbereich auf den Client-Access-Server, den Sie verwalten wollen. Als Nächstes öffnen Sie im unteren Ergebnisbereich die Registerkarte Exchange ActiveSync Rufen Sie die Eigenschaften im Aktionsbereich auf (siehe Abbildung 9.106).

2 3 Abbildung 9.106: Konfiguration von Exchange ActiveSync

4 5 6 7 8

9

Ihnen stehen zur Verwaltung von EAS an dieser Stelle drei Registerkarten zur Verfügung (siehe Abbildung 9.107). Abbildung 9.107: Verwalten von Exchange ActiveSync

10 11 12 13 14 15

583


Ausführliche Informationen über das virtuelle Verzeichnis von Exchange ActiveSync erhalten Sie in der Exchange-Verwaltungsshell über den Befehl get-activesyncvirtualdirectory |fl (siehe Abbildung 9.108). Abbildung 9.108: Aufrufen der Eigenschaften von Exchange ActiveSync in der ExchangeVerwaltungsshell

Auf der Registerkarte Authentifizierung in den Eigenschaften von Exchange ActiveSync sollten Sie sicherstellen, dass die Standardauthentifizierung aktiviert ist und Clientzertifikate ignoriert werden. Auch wenn bei der Option Standardauthentifizierung die Information steht, dass das Kennwort in Klartext übermittelt wird, müssen Sie sich keine Sorgen machen. Da die gesamte Exchange-ActiveSync-Verbindung zwischen Endgerät und Client-Access-Server SSL-verschlüsselt ist, wird auch das Kennwort SSL-verschlüsselt übertragen, nicht in Klartext gesendet. Über die Registerkarte Remotedateiserver können Sie den Zugriff auf SharePoint Services oder Dateifreigaben konfigurieren. Die Einstellungen sind analog zur Konfiguration der entsprechenden Funktionen für Outlook Web Access. Hier können Sie den Zugriff auf die Windows SharePoint Services oder Dateifreigaben über Pocket-PCs konfigurieren (siehe Abbildung 9.110).

584


Abbildung 9.109: Konfiguration der Authentifizierung von Exchange ActiveSync

1 2 3 4 5 6 7

Abbildung 9.110: Konfiguration des Zugriffs auf Windows SharePoint Services oder Dateifreigaben über mobile Endgeräte

8

9 10 11 12 13 14 15

585


Deaktivieren von Exchange ActiveSync Sie können den Zugriff mit Exchange ActiveSync auf einzelnen Client-Access-Servern deaktivieren. In diesem Fall können Sie als Anwender zwar weiterhin mit anderen Möglichkeiten auf den Exchange Server zugreifen, aber sich nicht mehr mit mobilen Endgeräten synchronisieren. Die Deaktivierung von Exchange ActiveSync findet über das Snap-In Internetinformationsdienste-Manager statt. Exchange ActiveSync läuft als eigener Anwendungspool im IIS. Anwendungspools können für eine oder mehrere webbasierende Anwendungen definiert werden. Die Pools werden in getrennten Prozessräumen ausgeführt, sodass ein Fehler einer Anwendung in einem Pool keine Auswirkungen auf Anwendungen in anderen Pools hat. Tritt ein Fehler bei einer der mit ASP entwickelten Anwendungen, die einen Web Service liefern, auf, sind die anderen Anwendungen davon nicht betroffen. Durch die Trennung in verschiedene Anwendungspools können die Anwendungen voneinander separiert werden. So wie ein Fehler in Word nicht mehr dazu führt, dass Excel abstürzt, sind die Anwendungen ebenfalls voreinander geschützt. Alle Erweiterungen, sei es durch DLLs oder in Form von ASP-Anwendungen, erfolgen im User Mode. Damit können Fehler von Komponenten keine Probleme im Kernel Mode verursachen. Gleichzeitig bringt der Ansatz etwas für die Sicherheit, weil alle HTTP-Anforderungen durch einen kleinen, schlanken und damit unter dem Aspekt der Sicherheit gut beherrschbaren Treiber laufen. Gehen Sie zur Deaktivierung von Exchange ActiveSync auf einem Client-Access-Server folgendermaßen vor:

1. 2. 3. 4.

Starten Sie den Internetinformationsdienste-Manager. Öffnen Sie den Baum unter dem Servernamen. Öffnen Sie das Menü unter Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool MSExchangeSyncAppPool, und wählen Sie den Befehl Beenden (siehe Abbildung 9.111).

Abbildung 9.111: Deaktivieren von Exchange ActiveSync auf einem Server

Auf die gleiche Weise können Sie Exchange ActiveSync auf einem Client-AccessServer wieder aktivieren.

586


9.5.3

Benutzerverwaltung für die mobilen Dienste

Der mobile Zugriff auf ein Postfach ist standardmäßig für alle Benutzer aktiviert. Hat ein Anwender mit seinem Endgerät Verbindung zum Netzwerk oder Internet und steht der Client-Access-Server zur Verfügung, kann er seine E-Mails entsprechend synchronisieren. Sie können über die Exchange-Verwaltungskonsole für einzelne Benutzer Exchange ActiveSync aktivieren oder deaktivieren:

1. 2. 3. 4.

1 2

Klicken Sie dazu auf Empfängerkonfiguration/Postfach. Rufen Sie die Eigenschaften des entsprechenden Benutzerkontos auf. Klicken Sie auf die Registerkarte Postfachfeatures. Deaktivieren oder aktivieren Sie die Funktion für den mobilen Zugriff (siehe Abbildung 9.112).

3 4 Abbildung 9.112: Deaktivieren oder Aktivieren von Exchange ActiveSync

5 6 7 8

9 10 11 12 Über die Schaltfläche Eigenschaften können Sie eine Exchange-ActiveSync-Postfachrichtlinie zuweisen. Zu diesem Thema komme ich in den nächsten Abschnitten in diesem Kapitel.

9.5.4

13

Konfiguration eines Smartphones für Exchange ActiveSync

14

Damit Benutzer sich mit ihrem Postfach synchronisieren können, müssen diese noch ein paar Einstellungen auf ihren Endgeräten vornehmen. Damit sich ein Benutzer synchronisieren kann, muss sein Pocket-PC mit dem Netzwerk verbunden sein, zum Beispiel mit einem Wireless LAN. Alternativ kann ein Smartphone mittels GPRS oder UMTS an das Internet angebunden sein und so auf den Server zugreifen. Ist diese Vor-

15

587


aussetzung erfüllt, kann der Benutzer auf seinem Pocket-PC die Synchronisation mit dem Server konfigurieren. Dabei müssen folgende Einstellungen vorgenommen werden:

1.

Abbildung 9.113: Starten von ActiveSync auf dem Smartphone für die Einrichtung von EAS

Abbildung 9.114: Auswahl der Synchronisierungsfunktion

588

Öffnen Sie mit Start/ActiveSync und als Nächstes das Konfigurationsprogramm für ActiveSync auf dem Pocket-PC. Sie finden ActiveSync auch im Menü Programme (siehe Abbildung 9.113).


2.

3.

Aktivieren Sie im Konfigurationsmenü zunächst, dass Sie sich direkt mit einem Exchange Server synchronisieren wollen. Haben Sie auf einem Endgerät ActiveSync noch nicht eingerichtet, sieht das Menü so aus, wie in der Abbildung 9.114 zu sehen. Wählen Sie die direkte Synchronisation mit einem Exchange Server aus (siehe Abbildung 9.114). Tragen Sie als Server die externe IP-Adresse oder den Namen des Servers ein. Tragen Sie den Namen des Servers ein, sollten Sie zunächst die Namensauflösung auf dem Gerät überprüfen. Tragen Sie auch hier als Namen die Bezeichnung des Servers ein, wie Sie ihn im Internet über den ISA veröffentlichen wollen, in diesem Beispiel also webmail.meinefirma.de. Da dieser FQDN zu der externen IP-Adresse des Client-Access-Servers zeigt, können Sie diese auch für die anderen Veröffentlichungen (Outlook Web Access, Outlook Anywhere) verwenden. Sie müssen kein http oder https dazuschreiben (siehe Abbildung 9.115). Es ist nur wichtig, dass der vollständige DNS-Name eingetragen wird, der auch im Internet verfügbar ist. Stellen Sie auf dieser Seite zudem sicher, dass auch die SSL-Verschlüsselung aktiviert ist, da diese für die Synchronisierung benötigt wird. Den Namen, den Sie für den Server im Internet verwenden, bzw. dessen IP-Adresse sollten Sie zuvor festlegen.

1 2 3 4 5 Abbildung 9.115: Eintragen des externen Namens der Client-AccessServer-Veröffentlichung

6 7 8

9 10 11 12 13

4. Konfigurieren Sie als Nächstes den Benutzernamen, das Kennwort und Ihre Domäne, damit diese Daten bei der Synchronisation gleich mit übertragen werden. Tragen Sie die Anmeldedaten zu Ihrer Windows-Domäne ein. Achten Sie darauf, dass das Kennwort gespeichert wird, da ansonsten Direct Push nicht funktioniert. Auch für die manuelle Synchronisation ist die Verwendung eines gespeicherten Kennwortes um einiges bequemer (siehe Abbildung 9.116).

14 15

589


5. Auf der nächsten Seite konfigurieren Sie, welche Informationen synchronisiert werden sollen (siehe Abbildung 9.117). Sie können für jeden einzelnen Punkt spezielle Aufgaben festlegen und zum Beispiel nur aktuelle E-Mails synchronisieren lassen oder Dateianhänge ab einer bestimmten Größe ganz weglassen. Abbildung 9.116: Eintragen des Benutzernamens und des Kennworts

Abbildung 9.117: Auswählen der Objekte, die synchronisiert werden sollen

6. Lassen Sie E-Mails bei der Synchronisierung nach Größe filtern (siehe Abbildung 9.118), werden dennoch alle E-Mails synchronisiert. Ist eine E-Mail größer als in den Einstellungen vorgegeben, wird nur der Text synchronisiert, bis die maximale Größe erreicht ist. Sie können in der E-Mail die Option aktivieren, dass im Bedarfsfall bei der nächsten Synchronisation der ganze Text synchronisiert wird, das gilt auch für die Einschränkung bei den Dateianhängen. Dadurch können Sie beim Lesen entscheiden, ob bestimmte E-Mails oder Dateianhänge auch dann synchronisiert werden sollen, wenn diese den Grenzwert überschreiten.

590


Abbildung 9.118: Konfiguration der Größenbeschränkung für synchronisierte E-Mails

1 2 3 4 5 6

7.

Achten Sie darauf, dass das Serverzertifikat des IIS, das Sie auch für Outlook Anywhere benötigt haben, auf dem Pocket-PC installiert wird. Windows Mobile verwendet standardmäßig SSL zum Verbindungsaufbau. Ohne ein gültiges Zertifikat auf dem Endgerät wird die Synchronisierung über das Internet nicht funktionieren. Häufig wird beim Synchronisationsvorgang die Fehlermeldung in Abbildung 9.119 angezeigt. Der Fehler erscheint aus dem Grund, weil der Pocket-PC der Zertifizierungsstelle nicht vertraut und das Zertifikat dieser Zertifizierungsstelle nicht gültig für das Endgerät ist. Aus diesem Grund ist es wichtig, dass auf dem Pocket-PC die Stammzertifizierungsstelle Ihres Unternehmens als vertrauenswürdig eingestuft wird, erst dann ist die Synchronisierung mit Exchange ActiveSync möglich. 8. Achten Sie bei der Einstellung des Zeitplans auf dem mobilen Endgerät darauf, dass Sie die Einstellung so wählen, dass E-Mails immer dann synchronisiert werden, sobald diese auf dem Server eintreffen. Diese Einstellung ist von Gerät zu Gerät unterschiedlich. Wichtig ist an dieser Stelle, dass die Direct-Push-Funktionalität nur dann zur Verfügung steht, wenn es der Zeitplan auf dem Endgerät erlaubt. Sie können in Windows Mobile 5 sehr detaillierte Einstellungen vornehmen, wann diese Funktionalität zur Verfügung steht. Diese Einstellungen werden in ActiveSync auf dem Endgerät eingestellt.

7 8

9 10 11 12 13

Die Fehlermeldung kann sich von Gerät zu Gerät und eingesetzter Windows-MobileVersion etwas unterscheiden. Die Auswirkungen sind aber immer gleich: Das Endgerät beginnt mit der Synchronisierung und kann diese nicht abschließen. Anschließend wird auf dem Display eine entsprechende Zertifikatswarnung angezeigt (siehe Abbildung 9.119 oder 9.120).

14 15

591


Abbildung 9.119: Fehlermeldung des Sicherheitszertifikats auf dem Smartphone/Pocket-PC

Abbildung 9.120: Fehlermeldung auf dem Endgerät bei fehlendem Zertifikat

9. Sie finden die Zertifikate auf dem Pocket-PC über Start/Einstellungen/System/Zertifikate/Stamm. Ihnen werden alle Zertifizierungsstellen, denen das Gerät vertraut, angezeigt (siehe Abbildung 9.121). Wird hier Ihre Zertifizierungsstelle nicht angezeigt, kann die Synchronisierung nicht funktionieren. Damit Sie die Zertifizierungsstelle als vertrauenswürdig auf dem Pocket-PC hinterlegen können, benötigen Sie eine SD-Karte, auf der Sie eine Zertifikatdatei abspeichern können, oder eine Dockingstation. Diese Datei exportieren Sie am besten über einen Client, mit dem Sie per Outlook Web Access oder Outlook Anywhere eine Verbindung aufbauen können, oder direkt auf dem Server. Wie Sie ein solches Zertifikat exportieren können, habe ich Ihnen bereits im Abschnitt für die Einrichtung von Outlook Anywhere über RPC-HTTP gezeigt. Achten Sie beim Exportieren des Zertifikats der Stammzertifizierungsstelle darauf, dass Sie den privaten Schlüssel nicht mit exportieren müssen, es reicht der öffentliche Schlüssel.

592


Abbildung 9.121: Anzeigen der vertrauenswürdigen Stammzertifizierungsstellen eines Pocket-PC

1 2 3 4 5 6

10. Exportieren Sie das Zertifikat in eine Datei, wie im Abschnitt über Outlook Any-

7

where bereits besprochen. Diese Datei muss später per SD-Karte auf den PocketPC integriert werden. Alternativ können Sie die Datei auch über die ActiveSyncFunktion vom Arbeitsplatz auf das Gerät kopieren. Das Zertifikat muss auf jeden Fall zuerst auf dem Gerät zur Verfügung stehen, bevor Sie per Exchange ActiveSync Daten übertragen können. 11. Im Anschluss klicken Sie auf dem Pocket-PC auf die Zertifikatdatei und lassen diese in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Es reicht nicht aus, wenn das Zertifikat nur auf dem Pocket-PC installiert wird. Es ist wichtig, dass das Zertifikat bei den vertrauenswürdigen Stammzertifizierungsstellen hinterlegt wird. Lassen Sie die exportierte Zertifikatdatei per File Explorer (Datei Explorer) auf dem Endgerät anzeigen, reicht es aus, diese Datei anzuklicken, damit diese installiert werden kann (siehe Abbildung 9.122). 12. Haben Sie die Zertifikatdatei angeklickt, erkennt das Endgerät automatisch, dass es sich um ein Zertifikat handelt, und schlägt die Installation vor (siehe Abbildung 9.123).

8

9 10 11 12 Abbildung 9.122: Installieren eines Zertifikats mit dem File Explorer auf dem Endgerät

13 14 15

593


Abbildung 9.123: Installation eines Zertifikats auf dem Endgerät

13. Vertraut der Pocket-PC der Stammzertifizierungsstelle des Unternehmens, kann die Synchronisierung durchgeführt werden. Die erste Synchronisierung dauert etwas länger, da zuerst alle ausgewählten Elemente übertragen werden müssen. Weitere Synchronisierungen laufen schneller ab, da nur noch die Änderungen übertragen werden müssen.

9.5.5

Troubleshooting Exchange ActiveSync

Es gibt eine Vielzahl von Fehlerquellen, die verhindern, dass Exchange ActiveSync funktioniert. Generell ist es für die Fehlersuche wichtig zu wissen, dass der Benutzer mit seinem Pocket-PC eine Verbindung zum IIS des Exchange Servers aufbaut und dort das virtuelle Web Exchange ActiveSync verwendet. Als Erstes sollten Sie daher überprüfen, ob die Option für den entsprechenden Benutzer überhaupt aktiviert ist. Das wiederum setzt natürlich voraus, dass die mobilen Dienste an sich aktiviert sind. Hinter dem virtuellen Web Exchange ActiveSync in der IIS-Verwaltung steht die Funktion zur Synchronisierung, die mithilfe von Outlook Web Access eine Verbindung zum Postfach des Benutzers aufbaut. Funktioniert bereits die Verbindung mit dem Postfach des Benutzers mithilfe von OWA aus dem Internet nicht, können Sie auch davon ausgehen, dass eine Verbindungsaufnahme mit Exchange ActiveSync scheitern wird. Überprüfen Sie daher als Erstes, ob der OWA-Zugriff auf das Postfach funktioniert. Meistens liegen Synchronisierungsprobleme an dem bereits erwähnten Zertifikat, das zwingend auf dem Pocket-PC vorhanden sein muss, aber nicht automatisch übertragen werden kann, wie zum Beispiel bei Outlook Web Access.

594


9.5.6

Verwalten der mobilen Endgeräte

Synchronisiert sich ein Anwender mit seinem Postfach, kann er über Outlook Web Access Informationen über seine Endgeräte anzeigen lassen sowie den letzten Zeitpunkt der Synchronisierung. Melden Sie sich dazu in Outlook Web Access an, und klicken Sie oben im Fenster auf Optionen. Über den Menüpunkt Mobile Geräte kann sich der Anwender seine Geräte anzeigen und ein Gerät auch löschen lassen, wenn er es verloren hat (siehe Abbildung 9.124).

1 2 Abbildung 9.124: Verwalten der eigenen mobilen Geräte über Outlook Web Access

3 4 5 6 7 8

9 10 11 Hier können Sie auch erkennen, wann sich das Endgerät das letzte Mal synchronisiert hat. Es werden aber nur Geräte angezeigt, die zu dem verbundenen Anwender gehören.

12

Remote Wipe – ferngesteuertes Löschen eines Endgerätes Wählt ein Anwender das Löschen des Gerätes aus, wird im Active Directory eine entsprechende Einstellung hinterlegt. Sobald sich das Endgerät mit dem Server verbindet, um sich erneut zu synchronisieren, wird es sofort gelöscht, und alle Daten gehen verloren. Das Smartphone wird auf den Herstellerstandard zurückgesetzt und muss neu eingerichtet werden. Diese ferngesteuerte Löschfunktion zerstört Endgeräte nicht, sondern entfernt nur zuverlässig alle Synchronisierungsdaten vom System. Diese Funktion löscht den Gerätespeicher, aber nicht eventuell eingesteckte Speicherkarten, diese müssen gesondert abgesichert werden und können nicht remote durch diese Funktion gelöscht werden.

13 14 15

595


Anzeigen der mobilen Geräte aller Anwender in der Exchange-Verwaltungskonsole Hat sich ein Anwender das erste Mal mit einem mobilen Endgerät synchronisiert, wird dieses Gerät in seiner Liste angezeigt. Administratoren können die Liste der mobilen Geräte von Anwendern anzeigen lassen, indem Sie in der Exchange-Verwaltungskonsole auf Empfängerkonfiguration/Postfach klicken. Klicken Sie auf das Benutzerkonto, dessen Endgeräte Sie anzeigen wollen, und wählen Sie im Aktionsbereich die Anzeigen zu dessen mobilen Geräten aus. Der Menüpunkt steht erst dann zur Verfügung, wenn sich ein Benutzer bereits einmal synchronisiert hat und daher ein Gerät in der Liste auftaucht. In der Exchange-Verwaltungsshell können Sie den Befehl Get-ActiveSyncDeviceStatistics -Mailbox: verwenden, um sich die Geräte anzeigen zu lassen.

9.5.7

Exchange ActiveSync-Postfachrichtlinien

Wie ich Ihnen bereits in der Verwaltung der Benutzer für Exchange ActiveSync gezeigt habe, können Sie für Anwender Exchange ActiveSync-Postfachrichtlinien hinterlegen. Diese steuern die Sicherheitseinstellungen auf den Endgeräten. Diese Richtlinien werden in der Exchange-Verwaltungskonsole über Organisationskonfiguration/Clientzugriff gesteuert. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich, können Sie mit dem Menüpunkt Neue Exchange ActiveSync-Postfachrichtlinie Einstellungen für PocketPCs vorgeben. Diese Richtlinien können Sie dann bei den Anwendern als Richtlinie hinterlegen. Abbildung 9.125: Neue Exchange ActiveSync-Postfachrichtlinie

Damit diese Sicherheitseinstellungen übernommen werden, muss das mobile Gerät unter Windows Mobile 5 laufen sowie das Messaging Security Feature Package (MSFP) installiert sein. Die Einstellungen, die hier vorgenommen werden, speichert Exchange im Active Directory. Bei jedem Verbindungsvorgang eines Endgeräts mit Exchange ActiveSync überprüfen Endgerät und Server, ob die Richtlinien noch übereinstimmen. Ändert ein Administrator die Sicherheitsrichtlinien, werden die Änderungen beim nächsten Synchronisieren mit den Pocket-PCs abgeglichen. Der Zeitstempel für die letzte erfolgreiche Synchronisierung der Richtlinien wird im Postfach des Benutzers gespeichert.

596


Erstellen Sie eine neue Exchange ActiveSync-Postfachrichtlinie, startet der Assistent, auf dem Sie festlegen können, welche Einstellungen für die Geräte gelten sollen (siehe Abbildung 9.126). Abbildung 9.126: Erstellen einer neuen Exchange ActiveSync-Postfachrichtlinie

1 2 3 4 5 6 7 8

9

Sobald die Richtlinie erstellt wurde und sich ein Endgerät das nächste Mal verbinden will, erscheint eine entsprechende Meldung, und die Richtlinie wird angewendet (siehe Abbildung 9.127). Abbildung 9.127: Anwenden von Sicherheitsrichtlinien auf einem Pocket-PC oder Smartphone

10 11 12 13 14 15

597


Zuweisen von Sicherheitsrichtlinien zu Benutzern Standardmäßig werden die Sicherheitsrichtlinien nicht automatisch den Benutzern zugewiesen. Sie müssen diese einzelnen Benutzern manuell zuweisen:

1. 2. 3. 4. 5. 6.

Rufen Sie dazu die Eigenschaften des Benutzerkontos in der Exchange-Verwaltungskonsole unter Empfängerkonfiguration/Postfach auf. Wechseln Sie auf die Registerkarte Postfachfeatures. Markieren Sie den Eintrag Exchange ActiveSync, und klicken Sie auf Eigenschaften. Aktivieren Sie die Option Eine Exchange ActiveSync-Postfachrichtlinie anwenden, und klicken Sie auf Durchsuchen. Wählen Sie die entsprechende Richtlinie aus (siehe Abbildung 9.128). Bestätigen Sie alle Fenster mit OK.

Abbildung 9.128: Zuweisen einer Exchange ActiveSyncPostfachrichtlinie zu einem Benutzerkonto

Zuweisen einer Richtlinie zu allen Anwendern Richtig sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen Anwendern zuweisen. Diese Möglichkeit haben Sie allerdings nur in der Exchange-Verwaltungsshell. Um eine Richtlinie gefiltert nach einem benutzerdefinierten Attribut in den Benutzerkonten zuzuweisen, verwenden Sie zum Beispiel den Befehl Get-Mailbox | where { $_.CustomAttribute1 -match Manager } | Set-CASMailbox -activesyncmailboxpolicy(Get-ActiveSyncMailboxPolicy Policy Name).Identity. Um eine Richtlinie allen Anwendern zuzuweisen, verwenden Sie am besten den Befehl Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy ).Identity. 598

Outlook Voice Access (OVA)

Wiederherstellen eines Kennwortes auf einem Endgerät Unabhängig davon, ob Sie das Setzen eines Kennwortes auf den mobilen Endgeräten über eine Richtlinie vorgeben, können die Anwender auch ohne eine solche Richtlinie Kennwörter setzen oder Sicherheitseinstellungen auf den Smartphones anpassen. Vergisst ein Anwender das Kennwort, kann er nicht mehr auf die Daten auf seinem PC zurückgreifen. Für diesen Zweck gibt es in Exchange Server 2007 das Wiederherstellungskennwort, über das sich Anwender wieder am Gerät anmelden können.

1 2

Dieses Kennwort wird in Outlook Web Access über Optionen/Mobile Geräte/Wiederherstellungskennwort anzeigen angezeigt. Hat sich ein Anwender das erste Mal mit einem mobilen Endgerät synchronisiert, wird dieses Gerät in seiner Liste angezeigt. Administratoren können die Liste der mobilen Geräte von Anwendern anzeigen lassen, indem sie in der Exchange-Verwaltungskonsole auf Empfängerkonfiguration/Postfach klicken. Klicken Sie auf das Benutzerkonto, dessen Endgeräte Sie anzeigen wollen, und wählen Sie im Aktionsbereich die Anzeigen von dessen mobilen Geräten aus. Der Menüpunkt steht nur zur Verfügung, wenn sich ein Benutzer bereits einmal synchronisiert hat und daher ein Gerät in der Liste auftaucht. Über diesen Menüpunkt können Sie ebenfalls auch das Wiederherstellungskennwort anzeigen lassen.

9.6

3 4 5 6


7

OVA ist eine neue Funktion in Exchange Server 2007 (siehe Kapitel 10). Sie können Ihren Exchange Server an die Telefonleitung anschließen. Mobile Mitarbeiter können von unterwegs den Server anrufen und mit einem sprachgesteuerten System E-Mails abrufen und Kalendereinträge verwalten beziehungsweise sich vorlesen lassen. Diese Funktion gehört zum neuen Unified-Messaging-System von Exchange Server 2007 und wird im nächsten Abschnitt besprochen. Damit diese Funktion genutzt werden kann, muss auf einem Server die Unified-Messaging-Serverrolle installiert sein.

9.7

8

9 10

Verwenden von POP3 oder IMAP4 für den mobilen Verbindungsaufbau

11

Neben den bisher beschrieben Möglichkeiten, mobil auf das Postfach zuzugreifen, bietet Exchange Server 2007 auch die Möglichkeit, per POP3 oder IMAP Benutzer anzubinden. Ein weit verbreitetes Protokoll für Internet-E-Mail ist POP3. Dieses Protokoll wird für das Abholen von E-Mails verwendet, während SMTP für das Versenden zuständig ist. Ein Exchange Server stellt die Funktionalitäten eines POP3-Servers standardmäßig bereits zur Verfügung, kann aber nicht selbst mit einem POP3-Connector E-Mails aus dem Internet abholen. Diese Funktion wird nur im Small Business Server (SBS) unterstützt. Wollen Sie E-Mails mit POP3 abholen, müssen Sie auf Tools von Drittherstellern, wie zum Beispiel Pullmail oder Popbeamer, zurückgreifen. Haben Sie viele Benutzer, empfehle ich Ihnen, das externe Programme POPBeamer von der Internetseite http://www.dataenter.co.at zu verwenden. Das Programm ist extrem günstig, sehr zuverlässig und kann Sammelpostfächer abholen. Ich habe den POPBeamer mittlerweile bei zahlreichen Unternehmen im Einsatz, die alle sehr zufrieden mit dem Produkt sind. Sie können sich das Programm von der besagten

12 13 14 15

599


Seite herunterladen und 30 Tage ohne Funktionseinschränkung testen. Das Programm kann direkt online gekauft werden. Schalten Sie das Programm auf jeden Fall vor Ablauf der 30 Tage frei, da ansonsten E-Mails beim Zustellen gelöscht werden können. Die Einrichtung ist sehr einfach, das Programm kann als Systemdienst laufen und bietet gute Überwachungsmöglichkeiten. Der hauptsächliche Unterschied zwischen den beiden Protokollen POP3 und IMAP ist, dass bei POP3 die E-Mails vom Posteingangsserver auf Ihren PC heruntergeladen und anschließend auf dem Server gelöscht werden. Bei IMAP verbleiben die E-Mails auf dem Server, sie werden nur in Ihrem Posteingang angezeigt. Da die E-Mails auf dem Server erhalten bleiben, verringert sich der Datenverkehr zwischen Client und Internet, und Sie können E-Mails im Postfach löschen, wenn Sie diese nicht mehr lesen wollen. Damit Sie auf ein Postfach per IMAP zugreifen können, müssen Sie online sein. Besteht keine Internetverbindung, können Sie Ihre E-Mails nicht lesen. POP3 lädt komplette E-Mails aus dem Internet herunter und zeigt sie im Posteingang an. Sie können die E-Mails offline lesen und bearbeiten. Greifen Sie nicht nur von zu Hause auf Ihr privates Postfach zu, sondern von unterwegs, sind die E-Mails auf dem Postfach gelöscht und nur noch auf Ihrem PC zu lesen. Lassen Sie die E-Mails mit IMAP anzeigen, können Sie von mehreren PCs oder Notebooks auf Ihr Postfach zugreifen. Die E-Mails werden im E-Mail-Programm angezeigt, aber nur teilweise heruntergeladen. Der größte Teil der E-Mails bleibt auf dem Server. POP3 ist nur in der Lage, E-Mails herunterzuladen und zu löschen. Das Protokoll ist sehr eingeschränkt. IMAP kann nicht nur die E-Mails anzeigen, sondern eine Ordnerstruktur darstellen. Legen Sie im Postfach mehrere Unterordner an, kann auf diese mit IMAP zugegriffen werden. Dadurch können Sie E-Mails im Clientprogramm sortieren und verwalten. Verbindet sich ein POP3- oder IMAP-Client mit einem Server, überprüft dieser mit LDAP, auf welchem Mailbox-Server sich das Postfach des Benutzers befindet, und gibt die Authentifizierungsdaten an diesen Server weiter. Der Mailbox-Server authentifiziert den Benutzer, gibt das Ergebnis an den Client Access-Server weiter, der dann das Ergebnis wieder an den Benutzer übermittelt. Dieses Verfahren wird für alle POP3- oder IMAP-Befehle angewendet. Standardmäßig werden bei der Authentifizierung mit POP3 oder IMAP die Benutzernamen und Kennwörter im Klartext über das Netzwerk verschickt. Da diese Zugriffe hauptsächlich über das Internet abgewickelt werden, sollten Sie für diese beiden Protokolle SSL konfigurieren.

9.7.1

Aktivierung von POP3 und IMAP4

Exchange Server 2007 akzeptiert sowohl unsichere POP3-Verbindungen über Port 110 als auch SSL-gesicherte Verbindungen über den Port 995. Der Zugriff auf POP3 wird von Client-Access-Servern zur Verfügung gestellt. Standardmäßig ist POP3 auf einem Exchange Server deaktiviert. Wollen Sie den Zugriff per POP3 gestatten, müssen Sie zunächst den Systemdienst Microsoft Exchange POP3 auf Automatisch setzen und dann starten (siehe Abbildung 9.129).

600


Abbildung 9.129: Starten des POP3-Dienstes auf Exchange Server 2007

1 2 3 4 5 6

Standardmäßig ist auch IMAP4 auf einem Exchange Server deaktiviert. Wollen Sie den Zugriff per IMAP gestatten, müssen Sie zunächst den Systemdienst Microsoft Exchange IMAP4 auf Automatisch setzen und dann starten.

7

Im Anschluss können Sie den Verbindungsaufbau testen. Um mit einem POP3-Server eine Verbindung aufzubauen, müssen Sie mit einem Telnet-Client Verbindung mit dem Port 110 aufnehmen. Gehen Sie so vor, wie bereits beim SMTP-Protokoll beschrieben (siehe Kapitel 5), und bauen Sie eine Verbindung zu Ihrem Exchange Server mit Telnet auf den Port 110 auf: telnet <Server> 110 (siehe Abbildung 9.130).

8

9 Abbildung 9.130: Verbindungsaufbau mit dem POP3-Dienst von Exchange Server 2007

10 11 12

Nach dem Verbindungsaufbau erscheint eine Statusmeldung, die Sie darüber informiert, dass Sie mit dem POP3-Server verbunden sind.

13

Um mit einem IMAP4-Server eine Verbindung aufzubauen, müssen Sie mit einem Telnet-Client Verbindung mit dem Port 143 aufnehmen (siehe Abbildung 9.131). Abbildung 9.131: Testen von IMAP4 mit Telnet

601

14 15


Nach der Installation von Service Pack 1 für Exchange Server 2007 wird in der Exchange-Verwaltungskonsole die neue Registerkarte POP3 und IMAP4 zur Verfügung gestellt, über die Einstellungen der beiden Protokolle vorgenommen werden. Dazu wird in der Konsole auf Clientkonfiguration geklickt und der Server markiert, der verwaltet werden soll.

Konfiguration der maximalen Verbindungen Gestatten Sie zahlreichen Anwendern den Zugriff per POP3 oder IMAP4, sollten Sie die Anzahl der maximalen Zugriffe konfigurieren. Sie können die Anzahl der maximalen Verbindung für einen Client-Access-Server definieren, für einen einzelnen Benutzer oder eine einzelne IP-Adresse. Die Konfiguration der maximalen Verbindungen findet über die Exchange-Verwaltungsshell statt. Ihnen stehen drei verschiedene Möglichkeiten zur Verfügung, diese Verbindungen zu steuern: ■

■

■

MaxConnections – Maximale Anzahl von Verbindungen für einen Server. Dieser Wert gibt wieder, wie viele Verbindungen insgesamt von allen Anwendern zu diesem Client-Access-Server aufgebaut werden dürfen. Der Standardwert in Exchange Server 2007 sind 2000 Verbindungen. Sie können mit dem Befehl SetPopSettings -MaxConnections <Wert> einen Wert von 1 bis 25.000 konfigurieren. Der entsprechende Befehl für IMAP lautet Set-ImapSettings -MaxConnections <Wert>. MaxConnectionsFromSingleIP – Dieser Wert gibt wieder, wie viele Verbindungen insgesamt von einer IP-Adresse zu diesem Client-Access-Server aufgebaut werden dürfen. Der Standardwert in Exchange Server 2007 sind 20 Verbindungen. Sie können mit dem Befehl Set-PopSettings – MaxConnectionsFromSingleIP <Wert> einen Wert von 1 bis 1.000 konfigurieren. Der entsprechende Befehl für IMAP lautet Set-ImapSettings – MaxConnectionsFromSingleIP <Wert>. MaxConnections – Dieser Wert gibt wieder, wie viele Verbindungen insgesamt von einem Benutzer zu diesem Client-Access-Server aufgebaut werden dürfen. Der Standardwert in Exchange Server 2007 sind 10 Verbindungen. Sie können mit dem Befehl Set-PopSettings – MaxConnections <Wert> einen Wert von 1 bis 1.000 konfigurieren. Der entsprechende Befehl für IMAP lautet Set-ImapSettings – MaxConnections <Wert>.

Konfiguration der IP-Adressen und Ports für den POP3-Zugriff Sie können in der Exchange-Verwaltungsshell auch den Port und die Authentifizierungsoptionen konfigurieren, mit denen sich Anwender per POP3 verbinden können. Um IP-Adressen und Ports für den POP3-Zugriff zu konfigurieren, stehen hauptsächlich zwei Befehle zur Verfügung: ■ ■

Um die IP-Adresse für SSL-Verbindungen zu definieren, verwenden Sie den Befehl Set-PopSettings -SSLBindings: . Um Transport Layer Security-/TLS-Verschlüsselung für eine IP-Adresse zu aktivieren, verwenden Sie Set-PopSettings -UnencryptedOrTLSBindings .

Die entsprechenden Befehle für IMAP sehen ähnlich aus: ■ ■

602

Um die IP-Adresse für SSL-Verbindungen zu definieren, verwenden Sie den Befehl Set-ImapSettings -SSLBindings: . Um Transport Layer Security-/TLS-Verschlüsselung für eine IP-Adresse zu aktivieren, verwenden Sie Set-ImapSettings -UnencryptedOrTLSBindings .


Konfiguration des Verbindungs-Timeouts Sie können per POP3 auch Verbindungs-Timeouts für Clients festlegen. Führt ein Anwender innerhalb des Timeouts keine Aktionen durch, wird der Benutzer automatisch getrennt. Für die Konfiguration des Timeouts stehen zwei Befehle zur Verfügung: ■ ■

1

Set -PopSettings -AuthenticatedConnectionTimeout <Wert> Set -PopSettings -PreAuthenticatedConnectionTimeout <Wert>

2

Auch hier gibt es die entsprechenden Befehle für IMAP: ■ ■

3

Set -ImapSettings -AuthenticatedConnectionTimeout <Wert> Set -ImapSettings -PreAuthenticatedConnectionTimeout <Wert>

POP3-Verbindungen zwischen Exchange Server 2007 und Exchange Server 2003

4

Anwender können mit POP3 oder IMAP4 auch von Exchange Server 2007-ClientAccess-Servern auf Exchange Server 2003-Back-End-Server zugreifen. Standardmäßig wird für diesen Zugriff der POP3-Port 110 verwendet, IMAP4 verwendet 143. In diesem Fall müssen Sie auf SSL-Verschlüsselung für POP3 oder IMAP4 verzichten. Sie können für den gesicherten Datenverkehr zwischen Exchange Server 2007 und Exchange Server 2003 aber IPSec einrichten, um die Passwortverschlüsselung zu gewährleisten:

5

■

■ ■

■

6 7

Um eine POP3-Verbindung zwischen Exchange Server 2007-Client-Access-Servern auf Exchange Server 2003-Back-End-Server zuzulassen, verwenden Sie den Befehl Set-PopSettings -ProxyTargetPort 110. Um die POP3-Verbindung zu deaktivieren, verwenden Sie Set-PopSettings -ProxyTargetPort 0. Um eine IMAP4-Verbindung zwischen Exchange Server 2007-Client-Access-Servern auf Exchange Server 2003-Back-End-Server zuzulassen, verwenden Sie den Befehl Set-ImapSettings -ProxyTargetPort 110. Um die IMAP4-Verbindung zu deaktivieren, verwenden Sie Set-ImapSettings -ProxyTargetPort 0.

8

9 10 11

Aktivieren des POP3-Zugriffs für Benutzer Um für einzelne Benutzerkonten den Zugriff per POP3 oder IMAP zu aktivieren beziehungsweise zu deaktivieren, verwenden Sie die Befehle: ■ ■ ■ ■

12

Set-CASMailbox -PopEnabled $true (aktivieren) Set-CASMailbox -PopEnabled $false (deaktivieren) Set-CASMailbox -ImapEnabled $true (aktivieren) Set-CASMailbox -ImapEnabled $false (deaktivieren)

9.7.2

13 14

Protokollierung von POP3 und IMAP

Wollen Sie die Protokollierung des POP3- und IMAP-Dienstes konfigurieren, müssen Sie die beiden Dateien Microsoft.Exchange.Pop3.exe.config beziehungsweise Microsoft.Exchange.Imap4.exe.config in einem Editor bearbeiten.

15

Die beiden Dateien liegen im Verzeichnis C:\Programme\Microsoft\Exchange Server\ClientAccess\PopImap (siehe Abbildung 9.132). 603


Abbildung 9.132: Verwalten der Protokollierung von POP3/IMAP4

Protokollierung von POP3 konfigurieren Um die Protokollierung von POP3 zu aktivieren, öffnen Sie die Datei Microsoft.Exchange.Pop3.exe.config und suchen den Bereich . Ändern Sie den Wert zu . Der Bereich befindet sich ganz unten in der Datei (siehe Abbildung 9.133). Abbildung 9.133: Aktivierung der POP3Protokollierung

604

Mobiler Zugriff und Windows Server 2008

9.8


Während sich Windows Server 2008 an vielen Stellen nicht von Windows Server 2003 unterscheidet, zumindest wenn es um die Bedienung des Servers geht, gibt es vor allem beim externen Zugriff deutliche Unterschiede. Das liegt daran, dass Windows Server 2008 mit dem IIS 7 ausgeliefert wird, der sich deutlich vom IIS 6 unterscheidet. Auch die Zertifikatsverwaltung hat sich verändert. Im folgenden Abschnitt gehe ich die wichtigsten Änderungen des IIS 7 durch, die auch für den Einsatz mit Exchange eine wichtige Rolle spielen.

9.8.1

1 2 3

Neuerungen im IIS 7.0 von Windows Server 2008

Neben den bereits erwähnten Neuerungen wurde im IIS 7.0 auch einiges in der internen Struktur geändert. Http.sys, der Kernel-Modus-Treiber für Hypertext Transfer Protocol(HTTP-)Verkehr, wurde in Windows Server 2008 für folgende Elemente erweitert: ■

4

HTTP-Server-API 2.0 – Bei der HTTP-Server-API handelt es sich um einen HTTP-Protokolltreiber im Kernel-Modus, für den über Httpapi.dll APIs im Benutzermodus verfügbar sind. Die HTTP-Server-APIs ermöglichen einer Serveranwendung die Registrierung von HTTP-URLs sowie das Empfangen von Anfragen und von Dienstantworten. HTTP-Server-APIs beinhalten benutzerfreundliche HTTP-Listener-Funktionalität für Windows sowohl für systemeigene als auch für verwaltete Windows .NET-Anwendungen. Anwendungen können die HTTP-Server-API verwenden, um TCP-Ports gemeinsam mit Internet Information Services (IIS) 6.0 zu verwenden. Dadurch können viel genutzte TCP-Ports (z. B. 80 und 443) gleichzeitig sowohl von HTTP-Server-API-basierten als auch von IIS 6.0-Anwendungen verwendet werden, sofern diese verschiedene Teile des URL-Namespace bedienen.

5 6 7 8 Abbildung 9.134: IIS 7 wird mit einer komplett neuen Verwaltungsoberfläche ausgeliefert.

9 10 11 12 13 14 15

605


■

■

■

■

■

Serverseitige Authentifizierung – Http.sys führt nun eine serverseitige Authentifizierung durch. Bislang führten die Serveranwendungen eigene Authentifizierungen durch. Serveranwendungen können jetzt unter geringer privilegierten Konten ausgeführt werden. Es können verschiedene Konten verwendet werden, da Http.sys nun die Service Principle Name-(SPN-)Authentifizierung für Anwendungen übernimmt. Protokollierung – Http.sys bietet eine zentralisierte W3C-Protokollierung, wobei alle Einträge für sämtliche Sites einer Serveranwendung in einer einzigen Protokolldatei gespeichert werden. Innerhalb der zentralisierten Protokolldatei identifizieren ID-Felder die Site, zu der die Protokolleinträge gehören. Ereignisablaufverfolgung in Windows für HTTP-Ereignisse – Bei der Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW) handelt es sich um eine Möglichkeit, in Windows Informationen zu Komponenten und Ereignissen abzurufen, die in der Regel in Protokolldateien geschrieben werden. Mithilfe von ETW-Protokolldateien wird die Problembehebung deutlich erleichtert. Netsh-Befehle – Sie können die Konfigurationseinstellungen verwalten und die Diagnose für Http.sys über verschiedene Befehle im netsh-http-Kontext steuern. Netsh ist ein Befehlszeilentool. Mithilfe dieser neuen Unterstützung können Sie an einer Windows-Eingabeaufforderung zahlreiche Aufgaben durchführen: Konfigurieren von SSL-Zertifikatbindungen, URL-Reservierungen, IP-Überwachungslisten oder globalen Zeitüberschreitungen ist möglich. Auch das Löschen oder Leeren des HTTP-Zwischenspeichers oder das Protokollieren von Puffern. Das Anzeigen des Status des Http.sys-Dienstes oder des Zwischenspeichers kann in der Befehlszeile durchgeführt werden. Leistungsindikatoren – Http.sys verfügt über neue Leistungsdatenindikatoren, die bei der Überwachung, Diagnose und Kapazitätsplanung von Webservern helfen sollen: ■ Leistungsindikatoren für HTTP-Dienste ■ Anzahl an URLs im Zwischenspeicher, hinzugefügt seit dem Start, gelöscht seit dem Start und Anzahl an Zwischenspeicherleerungen ■ Cachetreffer/Sekunde und Cachefehlversuche/Sekunde ■ HTTP-Dienst-URL-Gruppen ■ Datensenderate, Datenempfangsrate, übertragene Bytes (gesendet und empfangen) ■ Maximale Anzahl an Verbindungen, Verbindungsversuchsrate, Rate für GET- und HEAD-Anfragen und Gesamtanzahl an Anfragen ■ Anfragenwarteschlangen des HTTP-Dienstes ■ Anzahl der Anfragen in der Warteschlange, Alter der ältesten Anfrage in der Warteschlange ■ Rate der Anfrageeingänge in der Warteschlange, Ablehnungsrate, Gesamtzahl der abgelehnten Anfragen und Rate der Cachetreffer

Anders als der Vorgänger IIS 6.0 bietet der IIS 7.0 um einen kleinen Webserverkern (Web Core Server) herum die Auswahl unter mehr als 40 IIS-Modulen für Netzwerkprotokolle, Protokollierung, Konfiguration, Authentifizierungsverfahren und Diagnose. Neben den Anwendungsentwicklungsframeworks wie ASP, ASP.NET, CGI und ISAPI kann der IIS 7.0 auch in den Bereichen HTTP-Features, Diagnose, Sicherheit und Verwaltungswerkzeuge selektieren. Im Bereich Sicherheit sind verschiedene Authentifizierungsverfahren (Basic, Windows, Digest, Zertifikate) wählbar. Bei den Management-Diensten steht zur Wahl, ob eine Fernverwaltung des IIS über 606


einen Management Service erlaubt sein soll. Im Hinblick auf Sicherheit reduziert dies die Angriffsfläche und erhöht die Sicherheit des Webservers. IIS 7.0 verwendet das .NET-basierte Konfigurationssystem. Alle Einstellungen einer Webanwendung, sowohl die von ASP.NET als auch die des IIS, werden in *.config-Dateien gespeichert. Web-Config-Dateien bieten gegenüber dem bisherigen Metabase-basierten Konfigurationsmodell einige Vorteile: ■ ■ ■ ■ ■

1

Die Konfigurationsdateien können mit einfachen Werkzeugen (Text- oder XMLEditoren) bearbeitet werden. Die Konfigurationsdateien können einfacher (per Dateikopie und auch per FTP) übertragen werden. Geänderte Konfigurationsdateien führen sofort zur Verhaltensänderung. Die Konfigurationsdateien liegen lokal in dem jeweiligen Webprojekt. Die Delegation von administrativen Aufgaben wird dadurch einfacher. In jedem Unterverzeichnis können Konfigurationsdateien existieren, wobei untergeordnete Konfigurationsdateien übergeordnete Einstellung überschreiben.

2 3 4 5

Zentrale Einstellungen, die für den ganzen Webserver gelten, befinden sich in der Datei ApplicationHost.config im Verzeichnis systemroot\System32\inetsrv. Die Datei erbt die Einstellungen von der Machine.config des .NET Frameworks. Unterhalb der ApplicationHost.config steht die globale web.config-Datei aus dem Verzeichnis systemroot\Microsoft.NET\Framework\\CONFIG. Zur automatisierten Administration bietet der IIS 7.0 ein neues Befehlszeilenwerkzeug appcmd.exe. Die Verwaltung der Zertifikate findet direkt über den Server im Internetinformationsdienste-Manager statt. An dieser Stelle können Sie Zertifikate hinzufügen und die Zertifikate des Servers verwalten.

6 7 8

Auf der Internetseite www.iis.net werden vom IIS-Entwicklungsteam ausführliche Informationen zum Server zur Verfügung stellt.

9

TIPP

9.8.2

Authentifizierung im IIS 7.0 10

Im Bereich der Authentifizierung und Berechtigungen hat Microsoft einige Anpassungen im Vergleich zum IIS 6.0 von Windows Server 2003 vorgenommen. Unterstützte Authentifizierungsverfahren sind vor allem NTLM, Kerberos, Standardauthentifizierung, Formulare und Zertifikate. Auch RSA und Herstellermethoden von Drittanbietern können integriert werden. Die einzelnen Authentifizierungsprotokolle können einzeln installiert werden. Diese Funktion ist neu unter Windows Server 2008. Klicken Sie dazu den Menüpunkt Webserver im Server-Manager mit der rechten Maustaste an, und wählen Sie Rollendienste hinzufügen. Auf diesem Weg können Sie auch Rollendienste entfernen, zum Beispiel Authentifizierungsmaßnahmen die Sie nicht auf Ihrem Webserver unterstützen wollen. Die Authentifizierungsprotokolle finden Sie unter Sicherheit. Hier können einzelne Protokolle an- oder abgewählt werden. Im Internetinformationsdienste-Manager können über den Menüpunkt Authentifizierung die einzelnen Authentifizierungsprotokolle für den kompletten Server aktiviert oder deaktiviert werden. Der erste Schritt nach der Einrichtung des Servers besteht daher darin, zunächst die unterstützten Authentifizierungsmaßnahmen auf dem Server zu konfigurieren. Über den Menüpunkt .NET-Benutzer können neue Benutzer angelegt werden, die unabhängig von Domänenbenutzerkonten zur Authentifizierung für den Webserver verwendet werden können. Ein Administrator kann sehr einfach über dieses Menü neue Benutzer anlegen und auf deren Basis Berechtigungen vergeben.

11 12 13 14 15

607


TIPP

Entwickler und Administratoren, die Authentifizierungsprobleme lösen müssen, sollten von der Internetseite www.fiddlertool.com das Tool des Herstellers kostenlos herunterladen. Das Tool bindet sich als Proxy zwischen Browser und IIS und liefert umfangreiche Debug-Informationen für Webentwickler und Administratoren.

9.8.3

Installieren, konfigurieren und erste Schritte

Der IIS 7.0 kann als Rolle über den Server-Manager hinzugefügt werden. Nach der Auswahl der zu installierenden Rollendienste können Sie die Verwaltung über den Internetinformationsdienste-Manager starten. Die Oberfläche des Verwaltungstools sind im Vergleich zu seinem Pendant in Windows Server 2003 deutlich verändert aus. Das Verwaltungstool kann auch über Start/Ausführen/inetmgr gestartet werden. Beim Installieren von Patches oder bei der Änderung von wichtigen Systemeinstellungen ist es oft nötig, den Webserver neu zu starten. Dazu muss nicht der ganze Server gebootet werden, sondern die Dienste des IIS können einzeln beendet und wieder gestartet werden. An dieser Vorgehensweise hat sich im Vergleich zum IIS 6.0 von Windows Server 2003 nichts geändert. Das Beenden und der Start des IIS kann über die Verwaltungskonsole durchgeführt werden, indem Sie die entsprechenden Punkte aus dem Kontextmenü des Servers oder im Aktionsbereich auswählen. Abbildung 9.135: Starten und Beenden des Webservers im IIS 7

Alternativ können Sie in der Befehlszeile auch den Befehl net stop w3svc zum Beenden und net start w3svc zum Starten des Dienstes eingeben. Neben dem Starten und Stoppen des kompletten Servers können Sie auch einzelne Webseiten zeitweise deaktivieren. Alle anderen Webseiten des Servers bleiben davon unbeeinflusst. Klicken Sie dazu im Internetinformationsdienste-Manager auf die Webseite, die neu gestartet oder beendet werden soll. Im Aktionsbereich der Konsole werden unter Website verwalten die Befehle zum Neustart und zum Beenden angezeigt.

9.8.4

IIS in der Befehlszeile verwalten – AppCMD.exe

Neben der Verwaltung in der grafischen Oberfläche bietet der IIS 7 auch ein neues Befehlszeilentool für die Verwaltung mit der Bezeichnung appcmd.exe an. Für die Verwaltung von IIS werden nicht mehr verschiedene Tools und Skripte benötigt wie noch für den IIS 6, sondern alle Verwaltungsaufgaben werden jetzt in einem Befehls-

608


zeilen-Tool zusammengefasst. Das Tool befindet sich allerdings nicht direkt im Pfad der Befehlszeile, kann also nicht direkt aufgerufen werden. Sie müssen zuvor in das Verzeichnis \Windows\System32\inetsrv wechseln. Das Tool muss mit Admin-Rechten gestartet werden. Eine ausführliche Hilfe erhalten Sie über appcmd /?. Da die Hilfe kontextsensitiv ist, können Sie auch für einzelne Befehle, wie zum Beispiel appcmd site /?, die entsprechende Hilfe aufrufen. Mit appcmd.exe können Einstellungen des Servers, einzelner Webseiten und von web.config-Dateien angepasst werden. Für die Systemverwaltung des IIS und einzelner Seiten spielen hauptsächlich die drei Dateien Machine.config, Web.config, und ApplicationHost.config eine wesentliche Rolle. In diesen drei Dateien werden die wichtigsten Systemeinstellungen des IIS vorgenommen. Standardmäßig liest und schreibt das Tool Änderungen in die Datei ApplicationHost.config. Soll der Fokus auf die Datei Machine.config oder der obersten Web.config gesetzt werden, muss zusätzlich noch die Option commit verwendet werden. Die zusätzliche Option MACHINE für commit setzt den Fokus auf Machine.config, die Option WEBROOT aktiviert oder liest Änderungen aus der obersten Web.config. Soll zum Beispiel der Bereich machineKey aus der obersten Web.config gelesen werden, verwenden Sie den Befehl appcmd list config /section:machineKey /commit:WEBROOT. Sollen Einstellungen in der web.config einzelner Seiten vorgenommen werden, muss die Bezeichnung der Seite in den Befehl integriert werden, zum Beispiel über appcmd set config Contoso /section:defaultDocument /enabled:false. Bei diesem Beispiel werden die Änderungen in der Datei web.config für alle Webseiten unterhalb der Seite Contoso vorgenommen. Sollen Änderungen nur in einzelnen Unterwebseiten oder virtuellen Verzeichnissen durchgeführt werden, muss auch dieser Pfad im Befehl mit angegeben werden, zum Beispiel über appcmd set config Contoso/Produkte /section:defaultDocument /enabled:true. Die aktuellen Einstellungen eines Servers lassen sich darüber hinaus mit appcmd auch sichern. Mit dem Befehl appcmd add backup kann ein Backup erstellt werden, zum Beispiel bevor Systemänderungen vorgenommen werden. Die erstellten Sicherungen lassen sich über appcmd list backups anzeigen und über appcmd restore backup wiederherstellen.

1 2 3 4 5 6 7 8

9

TIPP

10

Haben Sie eine Webseite erstellt, können die Bindungen, also das Protokoll, die IPAdresse und der Port, jederzeit über das Kontextmenü oder den Aktionsbereich der Seite erweitert werden. Über das Bindungsmenü können auch Hostheader von Webseiten nachträglich bearbeitet und hinzugefügt werden.

11

Grundeinstellungen von Webseiten bearbeiten Über den Menüpunkt Grundeinstellungen im Aktionsbereich der Verwaltungskonsole kann der physikalische Pfad und der Anwendungspool einer Webseite nachträglich angepasst werden. Die erweiterten Einstellungen einer Webanwendung oder der kompletten Seite lassen sich durch den Menüpunkt Erweiterte Einstellungen im Aktionsbereich oder über den Menüpunkt Anwendung verwalten beziehungsweise Website verwalten aufrufen. Auf diesem Fenster können detailliertere Änderungen vorgenommen werden als in den jeweiligen Grundeinstellungen.

12

9.8.5

15

13 14

Verwalten von Anwendungspools

Webseiten und Webanwendungen können unter Windows Server 2008 wie bereits unter Windows Server 2003 in eigenen Anwendungspools und daher Speicherbereichen laufen. Der Absturz einer einzelnen Anwendung führt dazu nicht unweigerlich 609


zum Absturz anderer Anwendungen oder des kompletten Servers. Bei der Erstellung einer neuen Webseite schlägt der Assistent automatisch auch das Erstellen eines eigenen Anwendungspools für die Seite vor. Alle Anwendungspools werden im Internetinformationsdienste-Manager über den Menüpunkt Anwendungspools angezeigt und konfiguriert. Im Gegensatz zum IIS 6 werden bei der Erstellung von neuen Anwendungspools im IIS 7 keine weiteren Einstellungen benötigt. Wollen Sie die Identität des Anwendungspools oder erweiterte Einstellungen anpassen, so müssen Sie nach der Erstellung den Menüpunkt Erweiterte Einstellungen oder Anwendungspoolstandardwerte festlegen im Kontextmenü oder in dem Aktionsbereich aufrufen. Auf dem neuen Fenster können dann die Grundeinstellungen, aber auch die erweiterten Einstellungen wie zum Beispiel die Identität angepasst werden. Der Windows Process Activation Services (WAS) überprüft in regelmäßigen Abständen, ob ein Anwendungspool noch funktioniert. Dabei wird, wie beim Pingen, das ICMP-Protokoll verwendet. In den erweiterten Einstellungen kann dieser Ping deaktiviert werden, in dem die entsprechende Einstellung von True auf False gesetzt wird.

9.8.6

Sicherheit im IIS 7 konfigurieren

Da sich vor allem in diesem Bereich einiges geändert hat, sollten Sie sich mit den Sicherheits- und Authentifizierungsoptionen gründlich auseinandersetzen.

Authentifizierung im IIS 7 Die Konfiguration der Authentifizierung ist eine der wichtigsten Konfigurationsmaßnahmen auf einem Webserver, vor allem wenn über OWA auf den Exchange Server zugegriffen werden soll. In diesem Bereich hat sich im Vergleich zum IIS 6 von Windows Server 2003 einiges geändert, vor allem die einzelnen Stellschrauben, um die Authentifizierung zu konfigurieren. Bei Windows Server 2008 können die verschiedenen Authentifizierungsoptionen nachträglich installiert oder einzeln deinstalliert werden. Auf dem Server stehen nur die Authentifizierungsoptionen zur Verfügung, die auch bei der Installation als Rollendienst ausgewählt wurden.

Konfiguration der Standardauthentifizierung Bei der Standardauthentifizierung müssen sich Anwender über ein Windows-typisches Fenster zuerst am Server authentifizieren, dabei werden allerdings Benutzername und Kennwort in Klartext übertragen. Die Standardauthentifizierung macht daher nur für Webseiten Sinn, bei denen SSL aktiviert ist, zum Beispiel Outlook Web Access. Die Standardauthentifizierung ist standardmäßig nach der Installation deaktiviert. Um diese zu aktivieren oder zu deaktivieren, rufen Sie im Internetinformationsdienste-Manager den Punkt Authentifizierung auf. Über das Kontextmenü der Option Standardauthentifizierung kann diese aktiviert oder deaktiviert werden. Über Bearbeiten legen Sie zum Beispiel die Standarddomäne fest. Gibt ein Besucher einen Benutzer ein, wird das Konto erst in der hier angegebenen Domäne gesucht. Über die Befehlszeile deaktivieren Sie die Standardauthentifizierung mit dem Befehl appcmd set config /section:basicAuthentication /enabled:false. Mit dem Befehl appcmd set config /section:basicAuthentication /enabled:true wird die Standardauthentifizierung aktiviert. Achten Sie darauf, dass das Verzeichnis C:\Windows\ System32\Inetsrv, in dem sich das Befehlszeilen-Tool appcmd.exe des IIS 7 befindet, nicht im Standardpfad des Servers enthalten ist. Sie müssen daher entweder den Pfad hinzufügen oder in der Befehlszeile zunächst in das Verzeichnis wechseln. Die erfolgreiche Aktivierung oder Deaktivierung wird in der Befehlszeile gemeldet und im IIS-Manager auch angezeigt. 610

Serverzertifikate verwalten

Auch die Windows-Authentifizierung kann getrennt installiert werden und ist, wie die Standardinstallation, zunächst deaktiviert. Im InternetinformationsdiensteManager über den Punkt Authentifizierung kann auch diese Authentifizierungsmethode konfiguriert werden. Über das Kontextmenü der Option Windows-Authentifizierung kann diese aktiviert oder deaktiviert werden. Über die Befehlszeile deaktivieren Sie die Windows-Authentifizierung mit dem Befehl appcmd set config /section:windowsAuthentication /enabled:false. Mit dem Befehl appcmd set config /section:windowscAuthentication /enabled:true wird die Windows-Authentifizierung aktiviert.

9.9

1 2 3

Serverzertifikate verwalten

Für die Verwendung von SSL und auch für die sichere Authentifizierung werden Serverzertifikate eingesetzt. IIS 7 bietet nach der Installation bereits standardmäßig ein selbst signiertes Zertifikat an. Es ist allerdings sicherer und auch professioneller, entweder ein Zertifikat im Internet zu erwerben oder eine eigene Zertifizierungsstelle, zum Beispiel mit Windows Server 2003/2008, zu verwenden. Die Serverzertifikate werden über den Menüpunkt Serverzertifikate im Internetinformationsdienste-Manager verwaltet. Hier werden alle ausgestellten Zertifikate angezeigt. Außerdem könne neue Zertifikate ausgestellt werden. Über das Kontextmenü oder den Aktionsbereich können bereits hinterlegte Zertifikate exportiert, neue importiert oder neue Anforderungen erstellt werden. Hier kann auch ein selbst signiertes Zertifikat ausgestellt werden, um die Installation einer eigenen Zertifizierungsstelle zu vermeiden. Durch Doppelklick auf ein Zertifikat werden die Informationen angezeigt sowie die Zertifizierungsstelle und die Gültigkeit des Zertifikats.

9.10

4 5 6 7 8

Secure Sockets Layer (SSL) im IIS 7 konfigurieren

9

Um Internetseiten sicher zur Verfügung zu stellen, zum Beispiel Outlook Web Access, ist die SSL-Verschlüsselung der einfachste und gebräuchlichste Weg. SSL kann für einzelne Webseiten, Anwendungen, Verzeichnisse und URLs konfiguriert werden. Die Konfiguration von SSL wird im Internetinformationsdienste-Manager über den Punkt SSL-Einstellungen durchgeführt. Im IIS 7.0 können SSL-Einstellungen nicht auf Serverebene durchgeführt werden. Damit der Menüpunkt SSL-Einstellungen erscheint, muss daher zunächst zum Beispiel eine Webseite wie die Standardwebseite angeklickt werden. In den SSL-Einstellungen kann die Verwendung von SSL vorgeschrieben sowie eine 128-Bit-Verschlüsselung aktiviert werden. Allerdings stehen diese Optionen nur dann zur Verfügung, wenn für eine Webseite eine HTTPSBindung konfiguriert und ein Zertifikat zugewiesen wurde. Hier unterscheidet sich Windows Server 2008 nicht von Windows Server 2003. Bei HTTPS-aktivierten Webseiten kann über die SSL-Einstellungen die Konfiguration aktiviert und eingestellt werden. Bereits bei der Erstellung von Webseiten kann eine HTTPS-Verbindung vorgegeben und ein Zertifikat hinterlegt werden. Diese Einstellungen lassen sich aber auch über den Menüpunkt Bindungen bearbeiten im Kontextmenü auch nachträglich vornehmen. Bei der Einrichtung einer Windows Server 2008-Zertifikatsstelle zeige ich Ihnen, wie Sie SSL für Outlook Web Access in Exchange Server 2007 SP1 einrichten.

10 11 12 13 14 15

611


9.11

IIS 7.0 überwachen und Logdateien konfigurieren

Vor allem bei der Fehlersuche beim Zugriff sind die verschiedenen Möglichkeiten der Überwachung ein wichtiger Punkt bei der Verwaltung des IIS. Die Überwachung kann auf Ebene des Servers, der Webseiten, von Applikationen und physischen wie virtuellen Verzeichnissen abgewickelt werden. Klicken Sie im Internetinformationsdienste-Manager auf den Menüpunkt Ablaufverfolgungsregeln für Anforderungsfehler, können Regeln erstellt und bearbeitet werden, mit denen die fehlerhaften Zugriffe auf den Server überwacht werden können. Neue Regeln können über das Kontextmenü oder den Aktionsbereich erstellt werden. Über den Assistenten kann auf verschiedenen Seiten festgelegt werden, was der Server überwachen soll. Neben der Ablaufverfolgung für fehlerhafte Anforderungen kann auch der normale Betrieb des IIS protokolliert werden. Dazu steht der Punkt Protokollierung auf der Startseite des Internetinformationsdienste-Managers zur Verfügung. Die Protokollierung kann für einzelne Seiten und Anwendungen getrennt aktiviert oder deaktiviert werden. Auch dazu steht der Punkt Protokollierung zur Verfügung, wenn Sie die entsprechende Seite oder Anwendung im IIS-Manager anklicken. Standardmäßig ist die Protokollierung für den Server an sich und für Webseiten aktiviert. Über den Aktionsbereich der Konsole kann diese für einzelne Bereiche gezielt deaktiviert werden. Die Protokolldateien können in einem beliebigen Verzeichnis abgelegt werden und befinden sich standardmäßig im Verzeichnis \inetpub\logs\Logfiles. Die Konfiguration der Protokollierung erfolgt in ähnlicher Weise wie bei Windows Server 2003. Über verschiedene Menüs und Felder werden die notwendigen Einstellungen vorgenommen. Vor allem das Format sollte an die Bedürfnisse angepasst werden. Hier stehen verschiedene Möglichkeiten zur Verfügung: W3C – Dies ist die Standardauswahl. Diese Protokolldateien werden textbasiert gespeichert, und über die Schaltfläche Felder auswählen wird festgelegt, was in der Datei protokolliert werden soll. Die einzelnen Felder werden durch Leerzeichen getrennt IIS – Bei dieser Auswahl werden die Protokolldateien ebenfalls im Textformat gespeichert. Die einzelnen Felder sind allerdings fest vorgegeben und können daher nicht angepasst werden. Die einzelnen Felder werden durch Kommas getrennt. Binär – Bei dieser Auswahl wird eine Protokolldatei für alle Webseiten auf dem Server erstellt, daher steht diese nur dann zur Verfügung, wenn die Protokollierung pro Server eingestellt wird, nicht pro Datei. Die Daten werden in binärer Form gespeichert. Der Vorteil bei dieser Auswahl ist, dass der Server extrem wenig belastet wird, da nur wenige Daten protokolliert werden. Vor allem Server mit hohem Besucheraufkommen, zum Beispiel Client-Access-Server in größeren Unternehmen, sollten dieses Format verwenden. Im Gegensatz zu den anderen Formaten können diese Dateien nicht mit einem Texteditor gelesen werden. Hier bietet sich das kostenlose Zusatztool Logparser an, das Microsoft kostenlos zur Verfügung stellt. Mithilfe des Protokollparsers können Einträge gefiltert, Protokolldateien in andere Formate konvertiert und Datenfilterung durchgeführt werden. Das Tool unterstützt unterschiedliche Eingabeformate, einschließlich sämtlicher IIS-Protokolldateiformate. Protokollparser unterstützt gleichermaßen mehrere Ausgabeformate, wie beispielsweise Textdateien und Datenbanktabellen. NCSA – Bei NCSA handelt es sich um die National Center For Supercomputing Applications. Auch hier werden die Felder fest vorgegeben, und es werden weniger Informationen protokolliert als bei den anderen Protokollmethoden. 612

Einrichten und Verwalten der Zertifikatdienste unter Windows Server 2008

Ebenfalls in diesem Fenster legen Sie fest, wann neue Protokolldateien erstellt werden sollen, also nach einem bestimmten Zeitplan (stündlich, täglich, wöchentlich oder monatlich), nach einer bestimmten Größe oder überhaupt nicht. Die Auswahl hängt unter anderem von der Besucheranzahl des Servers ab. Aktivieren Sie nicht die Option Lokale Zeit für Dateibenennung und Rollover verwenden, wird standardmäßig die UTC-Zeit (Universelle Weltzeit) verwendet (http://de.wikipedia.org/wiki/ Koordinierte_Weltzeit).

1 2

Über den Menüpunkt Arbeitsprozesse auf der Startseite des Internetinformationsdienste-Managers werden die laufenden Prozesse sowie deren Ressourcenverbrauch angezeigt. Anwendungspools können dabei auch mehrere Arbeitsprozesse, oft auch als Worker Processes bezeichnet, starten. Die eigentlichen Websites, sei es in Form von simplen statischen Websites oder als komplexe webbasierende Anwendungen, werden über diese Worker Processes abgewickelt, die eine Art von Mini-Webservern sind. Diese Arbeitsprozesse nutzen die Dienste der zentralen Komponenten, agieren also aus Sicht der Anwendungen als Webserver. Die Verwaltungskomponente überwacht den Status der Arbeitsprozesse, löscht sie, wenn sie nicht mehr erforderlich sind, und kann sie neu starten, wenn Fehler in diesen Prozessen auftreten.

9.12

3 4 5


6 7

Microsoft hat in Windows Server 2008 auch die Bezeichnung der Komponenten angepasst, die zur Identitätsverwaltung verwendet werden. Alle diese Funktionen und Serverrollen erhalten vor der eigentlichen Bezeichnung noch das Präfix Active Directory hinzu. So wird schnell ersichtlich, welche der Dienste direkt auf Active Directory aufbauen oder mit Active Directory einen erweiterten Funktionsumfang erhalten: Die Active Directory-Zertifikatdienste (Active Directory Certifikate Services, ADCS) stellen die neue Version der Zertifikatdienste unter Windows Server 2003 dar. Active Directory-Domänendienste (Active Directory Domain Services, ADDS) ist die Serverrolle, mit der ein Server zum Domänencontroller heraufgestuft werden kann, um entweder einer Gesamtstruktur beizutreten oder eine neue zu erstellen. Die Active DirectoryVerbunddienste (Active Directory Federation Services, ADFS) bieten eine webbasierte Single-Sign-On(SSO)-Infrastruktur. Mit den Active Directory-Rechteverwaltungsdiensten (Active Directory Rights Management Services, ADRMS) werden Daten mit digitalen Signaturen versehen, um sie vor unerwünschtem Zugriff zu sichern. Besitzer von Dateien können basierend auf Benutzerinformationen exakt festlegen, was andere Benutzer mit den Dateien machen dürfen. Dokumente können zum Beispiel als Nur Lesen konfiguriert werden oder stehen nur bestimmten Anwendern zur Verfügung.

8

9 10 11 12

Alle Funktionen sind in ähnlicher Form auch in Windows Server 2003 R2 vorhanden, wurden aber in Windows Server 2008 deutlich erweitert. Der Betrieb einer eigenen Zertifizierungsstelle lohnt sich zum Beispiel beim Einsatz von SSL-gesicherten Webseiten, bei der Verwendung von Exchange Server 2007 im Netzwerk oder bei der Absicherung des E-Mail-Verkehrs. Generell erfordert der Einsatz einer Zertifizierungsstelle keinen riesigen Verwaltungsaufwand. Schon nach der Installation steht eine Zertifizierungsstelle zur Verfügung und benötigt nur selten Verwaltungsaufwand. Auch wenn viele Serverdienste, wie der IIS 7 oder Exchange Server 2007, ein eigenes Zertifikat mitbringen, empfiehlt Microsoft die Einbindung eines eigenes Zertifikats für verschiedene Sicherheitskonzepte. Das Exchange-eigene Zertifikat wird zum Beispiel als nichtvertrauenswürdig eingestuft. Für die Veröffentlichung von Outlook Web Access,

13 14 15

613


RPC über HTTP (Outlook Anywhere) und Exchange ActiveSync (EAS), kann ohne Weiteres eine interne Zertifikatsstelle verwendet werden. In Zusammenhang mit einem ISA-Server empfiehlt Microsoft sogar diese Vorgehensweise. Bei der Installation der Active Directory-Zertifikatdienste legen Sie einen Namen für die Zertifizierungsstelle fest. Es muss sich dabei nicht unbedingt um den Namen des Servers handeln, auch wenn dieser vorgeschlagen wird. Der Name darf maximal 64 Zeichen lang sein. Sonderzeichen sollten möglichst nicht verwendet werden, da manche Netzwerkgeräte Probleme damit haben. Der Name kann nach der Installation nicht mehr geändert werden.

9.12.1

Neuerungen der Active Directory-Zertifikatdienste in Windows Server 2008

Auch wenn viele Funktionen der Zertifikatdienste unter Windows Server 2008 ähnlich wie die Funktionen in Windows Server 2003 sind, gibt es einige interessante Neuerungen. Eine wichtige Neuerung ist die automatische Bereitstellung (Enrollment) von Zertifikaten für Arbeitsstationen und andere Geräte im Netzwerk. Diese Funktion wird Network Device Enrollment Service (NDES) genannt. Die Funktion unterstützt das Simple Certificate Enrollment Protocol (SCEP) von Cisco. Ebenfalls neu ist der Online Responder, der das Online Certificate Status Protocoll (OCSP) implementiert. Dieser Dienst kann als Alternative zu Certificate Revocations Lists (CLR) eingesetzt werden, mit der Clients Informationen zum Status der Zertifikatsabfrage zur Verfügung gestellt werden (http://de.wikipedia.org/wiki/Online_Certificate_Status_ Protocol). Ebenfalls neu ist die Cluster-Unterstützung und eine verbesserte Verschlüsselung. Zusätzlich gibt es das Zusatztool PKIView, mit dem sehr schnell der allgemeine Zustand der Zertifizierungsstelle überprüft werden kann. Findet das Tool Fehler, werden diese in einer Konsole angezeigt. Die neue Webschnittstelle in den Zertifikatdiensten wurde für Windows Vista optimiert. Diese ist kompatibel zu Windows XP. Standardmäßig kann Windows Vista allerdings keine Zertifikate über die Webschnittstelle einer Windows Server 2003-CA abrufen. Hier besteht aber die Möglichkeit, die Webschnittstelle von Windows Server 2003 kompatibel mit Windows Vista zu machen. Ansonsten hat Windows Vista keinerlei Probleme mit einer Windows Server 2003-Zertifikatsstelle.

9.12.2 Installation einer Windows Server 2008Zertifizierungsstelle Die Installation wird über das Hinzufügen der Rolle Active Directory-Zertifikatdienste im Server-Manager gestartet. Der Ablauf ist ähnlich wie die Installation einer Windows Server 2003-Zertifizierungsstelle. Lesen Sie sich daher zunächst die Anleitung zur Installation einer Windows Server 2003-Zertifikatsstelle weiter vorne durch. Insgesamt können bei der Installation vier Rollentypen ausgewählt werden: Zertifizierungsstelle – Hierbei handelt es sich um den wichtigsten Rollendienst, der die Basis der Zertifikatdienste darstellt. Dieser Rollendienst wird für das Ausstellen und Verwalten der Zertifikate benötigt. Zertifizierungsstellen-Webregistrierung – Wird dieser Rollendienst installiert, können auch Zertifikate über die Webadresse http://<Servername>/certsrv angefordert werden. Hierbei handelt es sich sozusagen um die Webschnittstelle der Zertifizierungsdienste. Der Rollendienst setzt die Installation von IIS 7 auf dem Server voraus. 614


Online-Responder – Dieser Rollendienst stellt die OCSP-Funktion zur Verfügung, über die den Clients erweiterte Informationen über den aktuellen Zustand der Zertifikatsabfrage gegeben werden. Der Dienst setzt die Installation des IIS 7 voraus, es wird ein neues Web mit der Adresse http://<Servername>/ocsp erstellt.

1

Registrierungsdienst für Netzwerkgeräte – Diese Funktion kann nur alleine installiert werden, nicht zusammen mit einer Zertifizierungsstelle. Mit diesem Rollendienst wird die bereits erwähnte Funktion zum automatischen Ausstellen von Zertifikaten an Netzwerkgeräte ermöglicht.

2 Abbildung 9.136: Auswählen der Rollendienste der Active DirectoryZertifikatdienste

3 4 5 6 7 8

9 Die verschiedenen Editionen von Windows Server 2008 unterstützen nicht alle Funktionen einer Zertifizierungsstelle. Die Windows Server 2008 Web Edition unterstützt zum Beispiel die Installation einer Zertifizierungsstelle überhaupt nicht. Um Netzwerkgeräten automatisch ein Zertifikat zuweisen zu können, muss die Zertifizierungsstelle entweder auf der Windows Server 2008 Enterprise Edition oder Datacenter Edition installiert werden, die Standard Edition und Web Edition unterstützen diese Funktion nicht. Auch für die Schlüsselarchivierung, die Aufteilung der verschiedenen Rollendienste und die Einschränkungen in der Zertifikatverwaltung zur Delegierung wird entweder Windows Server 2008 Enterprise Edition oder Datacenter Edition benötigt.

10 11 12 13

Alle Mitgliedcomputer einer Domäne vertrauen einer internen Stammzertifizierungsstelle mit dem Typ Unternehmen automatisch. Das Zertifikat dieser Zertifizierungsstelle wird dazu auf den Clientcomputern und Mitgliedsservern in den Zertifikatspeicher der vertrauenswürdigen Stammzertifizierungsstellen integriert. Hier hat sich bei Windows Server 2008 im Vergleich zu Windows Server 2003 nichts geändert. Damit der Server fehlerfrei Zertifikate ausstellen kann, muss er Mitglied der Gruppe Zertifikatherausgeber sein. Diese Gruppe befindet sich in der OU Builtin.

14 15

Innerhalb einer Unternehmenszertifizierungsstelle werden die Zertifikate auf Basis von Zertifikatvorlagen ausgestellt. In den Eigenschaften der Vorlagen kann eingestellt werden, wer Zertifikate auf der Basis der Vorlage anfordern oder verwalten 615


darf. Die Zertifikatvorlagen werden mit dem Snap-In Zertifikatvorlagen verwaltet. Dieses wird gestartet, wenn im Kontextmenü Zertifikatvorlagen in der Verwaltungskonsole Zertifizierungsstelle auf den Menüpunkt Verwalten geklickt wird. Neben den Standardvorlagen gibt es noch zahlreiche weitere, die über die Verwaltungskonsole konfiguriert und aktiviert werden können. Jede Zertifikatvorlage verfügt über eine eigene Sicherheitsverwaltung, die über das Kontextmenü in den Eigenschaften auf der Registerkarte Sicherheit aufgerufen wird. Werden Zertifikate auf Basis der Zertifikatvorlagen erstellt, können die Zertifikatdienste die Daten und den Namen des Antragstellers automatisch aus dem Active Directory auslesen. Eigenständige Zertifizierungsstellen Eigenständige Zertifizierungsstellen werden dazu verwendet, S/MIME oder SSL-Zertifikate auszustellen, wenn keine Active Directory-Unterstützung benötigt wird. Diese Art der Zertifizierungsstellen läuft vollkommen unabhängig von Active Directory. Eigenständige Zertifizierungsstellen verwenden auch keine Vorlagen, und Anwender müssen beim Beantragen von Zertifikaten mehr Informationen angeben, da diese nicht aus dem Active Directory gelesen werden können. Administratoren müssen außerdem jede Anfrage manuell genehmigen. Wird eine eigenständige Zertifizierungsstelle auf einem Domänencontroller installiert, erhalten, wie bei der Unternehmenszertifizierungsstelle, alle Mitgliedscomputer das Zertifikat der Zertifizierungsstelle. Das Zertifikat wird im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt. Da keine Unterstützung für die Domäne integriert ist, werden alle Zertifikate ohne Benutzerüberprüfung ausgestellt, wenn die Funktion deaktiviert wird, dass der Administrator jedes Zertifikat genehmigen muss.

9.12.3 Sichern von Active Directory-Zertifikatdiensten Die wichtigsten Daten der Active Directory-Zertifikatdienste lassen sich auch sichern. Wählen Sie im Kontextmenü der Zertifizierungsstelle in der Verwaltungskonsole die Option Alle Aufgaben/Zertifizierungsstelle sichern. Anschließend startet der Assistent, über den die Zertifizierungsstelle und deren Daten gesichert werden können. Auf der nächsten Seite des Assistenten wählen Sie aus, welche Dateien gesichert werden sollen und in welcher Datei die Sicherung abgelegt wird. Anschließend vergeben Sie ein Kennwort für die Sicherung, damit niemand Zugriff auf die Daten erhält. Im Anschluss wird die Zertifizierungsstelle gesichert. Auf dem gleichen Weg lassen sich auch Daten wiederherstellen.

9.12.4 Exchange Server 2007 SP1 mit einer Windows Server 2008-Zertifikatsstelle verwenden Im folgenden Abschnitt zeige ich Ihnen, wie Sie von einem Exchange Server 2007 SP1-Computer unter Windows Server 2008, ein Zertifikat von einer Zertifizierungsstelle unter Windows Server 2008 anfordern und installieren. Generell können Sie bei der Zuweisung eines Zertifikates auch den Weg über die lokale Verwaltung der Zertifikate gehen, wie in Kapitel 16 erläutert, aber die Zuweisung über die Weboberfläche funktioniert ebenso zuverlässig: Um einem Server ein Zertifikat zuzuordnen, rufen Sie zunächst von diesem Server aus die Webseite der Zertifikatdienste mit der URL https://<Server>/Certsrv auf. Stellen Sie daher sicher, dass für die Zertifizierungsstellen-Webseite und den Webserver an sich SSL konfiguriert wurde. Der Verbindungsaufbau gelingt zwar auch ohne HTTPS, allerdings verlangt eine erweiterte Zertifikatsanforderung eine Verbin616


dung per SSL und bricht die Anfrage sonst ab. Der Server baut nach Abfrage des Benutzernamens und des Kennworts eine Verbindung zu den Zertifikatdiensten auf. Wählen Sie als Nächstes Ein Zertifikat anfordern aus, um ein Zertifikat vom Zertifikatserver anzufordern.

1

Auf der nächsten Seite wählen Sie aus, welches Zertifikat Sie anfordern wollen. Wählen Sie hier Erweiterte Zertifikatanforderung aus, wenn zum Beispiel ein neues Serverzertifikat für Exchange Server 2007 ausgestellt werden soll.

2

Haben Sie die Art des Zertifikats bestimmt, erscheint im nächsten Fenster eine Abfrage, welche Aktion Sie mit dem Zertifikat durchführen wollen. Wählen Sie hier Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen. In diesem Fall wird das Zertifikat sofort erstellt und kann auf dem Exchange Server installiert werden.

3 4

Auf der nächsten Seite geben Sie die Daten ein, die zur Ausstellung des Zertifikats benötigt werden. Zunächst müssen Sie auswählen, welches Zertifikat Sie anfordern wollen. Wählen Sie Webserver aus, da es sich bei Outlook Web Access um eine Erweiterung des lokalen IIS handelt. Geben Sie im Feld Name die Bezeichnung des Servers ein. Ohne die Eingabe eines Namens wird das Zertifikat verweigert. Aktivieren Sie zusätzlich die Option Zertifikat in lokalem Zertifikatspeicher aufbewahren. Diese Option erscheint nicht bei allen Zertifizierungsstellen. Aktivieren Sie diese Option nicht, kann unter Umständen das Zertifikat später nicht in den Webserver eingelesen werden. Ansonsten können Sie alle Einstellungen so lassen, wie sie sind. Dieses Zertifikat kann später nicht nur für die SSL-Verschlüsselung von Outlook Web Access, sondern auch für RPC über HTTPS (Outlook Anywhere) und die Anbindung der Smartphones über Exchange ActiveSync (EAS), das ebenfalls über SSL abgesichert wird, verwendet werden. Passen Sie im Feld Name die Bezeichnung des Zertifikats am besten gleich daran an, wie Sie später Outlook Web Access im Internet veröffentlichen. Veröffentlichen Sie zum Beispiel Outlook Web Access über einen ISA und verwenden den Namen webmail.firma.com, also nicht den internen FQDN des Servers, sollten Sie als Namen für das hier angeforderte Zertifikat auch den externen FQDN-Namen verwenden. Verbinden sich Benutzer über einen anderen Link, dann erhalten Sie eine Meldung, die Sie bestätigen müssen, wenn der Zertifikatname und der Verbindungsname nicht übereinstimmen. Bei der Veröffentlichung über einen ISA ist die identische Bezeichnung von Veröffentlichung und Zertifikat zwingend.

5 6 7 8

9 TIPP

10 11 12

Je nach Anforderung können Sie hier zudem die Verschlüsselungsstufe anpassen. Sie müssen an dieser Stelle aber keine weiteren Eingaben vornehmen. Die Voreinstellungen für ein Zertifikat sind vollkommen ausreichend für den Zugriff auf Outlook Web Access oder andere Webdienste. Eine intensivere Beschäftigung mit einzelnen Zertifikaten und deren Verschlüsselung würde allerdings den Rahmen des Kapitels und des Buches sprengen. Haben Sie alle Eingaben nach Ihren Vorstellungen durchgeführt, können Sie das Zertifikat von diesem Zertifikatserver mit Einsenden anfordern.

13 14

Wurde das Zertifikat erfolgreich angefordert, können Sie es auf dem Server installieren lassen. Es erscheint ein entsprechendes Fenster, in dem Sie die Installation durch Klicken auf den entsprechenden Link durchführen können. Mit der Installation des Zertifikats ist die Konfiguration allerdings noch nicht abgeschlossen. Das Zertifikat muss noch in Outlook Web Access integriert werden.

15

617


Um Outlook Web Access ein Zertifikat zuzuweisen und SSL zu verwenden, müssen Sie mit dem Snap-In zur Verwaltung des IIS arbeiten: Starten Sie dazu den Internetinformationsdienste-Manager aus dem Menü Verwaltung. Nach dem Start klicken Sie auf der linken Seite auf den Servernamen. In der Mitte des Bildschirms wird über den Punkt Serverzertifikate die Verwaltung der lokalen Serverzertifikate gestartet, die im IIS verwendet werden können. Hier werden das neue Zertifikat angezeigt sowie das selbst signierte Zertifikat des IIS und das selbst signierte Zertifikat von Exchange Server 2007. Über das Aktionsmenü lassen sich ebenfalls neue Zertifikate anfordern. Wird das Zertifikat nicht angezeigt, wurde es unter Umständen im Zertifikatspeicher des Benutzers, also des Administrators gespeichert. Erstellen Sie in diesem Fall eine neue Managementkonsole, und fügen Sie zweimal das Snap-In Zertifikate hinzu. Einmal wählen Sie als Speicher das Computerkonto, das andere Mal das Benutzerkonto aus. Überprüfen Sie, wo das Zertifikat gespeichert wurde. In beiden Bereichen befindet es sich unter Eigene Zertifikate/Zertifikate. Per Drag & Drop kann das Zertifikat in den Zertifikatspeicher des Computerkontos verschoben werden und steht dann im IIS zur Verfügung. Klicken Sie als Nächstes auf Sites/Default Web Site. Klicken Sie im Aktionsbereich auf Bindungen. Jetzt werden alle Ports, IP-Adressen und Protokolle angezeigt, auf welche die Webseite und alle untergeordneten Applikationen und Webseiten hören. Markieren Sie den SSL-Eintrag, und klicken Sie auf Bearbeiten. Jetzt kann das Webserverzertifikat ausgewählt werden, das von der Default Web Site und allen untergeordneten Webseiten verwendet wird. Das Zertifikat und dessen Daten können in diesem Fenster auch angezeigt werden. Um SSL für eine Webseite, in diesem Beispiel von Outlook Web Access, zu aktivieren, navigieren Sie im Internetinformationsdienste-Manager zu den Unterordnern OWA (für Zugriff auf Exchange Server 2007-Mailbox-Server) und Exchange (für Zugriff auf Exchange Server 2000/2003Mailbox-Server) der Standardwebsite: Klicken Sie auf SSL-Einstellungen. Aktivieren Sie hier die beiden Optionen SSL erforderlich und 128-Bit-Verschlüsselung erforderlich. Von nun an können sich Benutzer nicht mehr über HTTP mit Outlook Web Access verbinden, sondern nur noch mit HTTPS. Um eine Verbindung zu Outlook Web Access aufzubauen, müssen die Anwender zukünftig https://<Servername>/owa in ihren Browser eingeben. Bauen Benutzer eine Verbindung zum Server auf, wird immer zuerst ein Zertifikat übertragen. Der generelle Umgang unterscheidet sich nicht zwischen Windows Server 2003 und Windows Server 2008. Testen Sie nach der Einrichtung die Verbindung per OWA über den Client-Access-Server von Exchange Server 2007 SP1 ohne die Verbindung über den ISA-Server. Es müsste sich eine Verbindung aufbauen. Intern erhalten Sie unter Umständen die Zertifikatswarnung, da der Name der externen Verbindung hinterlegt ist, aber der interne Aufbau über den internen Namen durchgeführt wird. Ideal wäre es, wenn Sie zu Testzwecken auf den DNS-Servern im Active Directory eine neue Zone anlegen, welche die Bezeichnung Ihrer Internetdomäne trägt, unter der Sie später OWA veröffentlichen, zum Beispiel meinefirma.de. Tragen Sie in dieser Domäne einen statischen Eintrag webmail ein, und weisen Sie dem Eintrag die interne IP-Adresse des Client-Access-Servers zu. Jetzt können Sie im Internet Explorer den Verbindungsaufbau zu https://webmail.meinefirma.de/owa testen. Es sollte sich eine Verbindung ohne Fehlermeldung des Zertifikats aufbauen lassen, da der FQDN des Zertifikats jetzt stimmt. Funktioniert der interne Verbindungsaufbau, ohne eine Zertifikatmeldung anzuzeigen, können Sie mit der Veröffentlichung auf dem ISA-Server fortfahren. 618

Inhalt 1 2 3 4 5

10

Unified Messaging

6

Die neuen Unified-Messaging-Funktionen sind sicherlich eine der herausragendsten Neuerungen in Exchange 2007. Der Server unterstützt Fax und Voice-Mails für die Postfächer. Jedes Exchange-Postfach ist jetzt quasi auch ein Anrufbeantworter und kann Faxe auf einer eigenen Durchwahl empfangen. Telefonanlagen können ohne Zusatzsoftware direkt mit Exchange verbunden werden. Sprachnachrichten werden in einer E-Mail als *.wma-Datei gespeichert, die durch ein Media Player-Plug-In direkt in Outlook oder auch Outlook Web Access vorgespielt werden können. Auch das Abspielen auf Smartphones in Verbindung mit Exchange ActiveSync ist möglich. So können zum Beispiel Anrufe als Sprachdatei in das lokale Postfach des Anwenders zugestellt werden (siehe Abbildung 10.1). Anwender können jetzt Faxe empfangen, aber noch immer keine Faxe versenden, dazu ist auch zukünftig die Software eines Drittherstellers notwendig.

7 8 9

10 Abbildung 10.1: Unified Messaging in Exchange 2007 mit Outlook 2007

11 12 13 14

619

Index

15

Zusätzlich kann Exchange so konfiguriert werden, dass beim Eingang einer VoiceMail eine bestimmte Telefonnummer, zum Beispiel ein Handy, anruft und die VoiceMail vorspielt. Exchange Server 2007 kann auch angerufen werden. Anwender, die zum Beispiel im Auto unterwegs sind, erhalten dadurch die Möglichkeit, die Telefon-

Unified Messaging

nummer des Exchange Servers zu wählen und sich ihre E-Mails durch die neue Exchange Speach Engine vorlesen zu lassen. Über diese Technik können auch Termine vorgelesen und geplant werden. Die neue Funktion, sich E-Mails von unterwegs vorlesen zu lassen, wird Outlook Voice Access (OVA) genannt. Sie können sich per Telefon auch Termine vorlesen lassen und konfigurieren, wenn Sie zum Beispiel zu spät zu einem Termin kommen. OVA unterstützt daher auch die Sprachsteuerung des Exchange Servers. Es werden keine zusätzlichen Produkte mehr benötigt, die Funktion ist direkt in Exchange 2007 integriert. In den folgenden Abschnitten gehe ich ausführlicher auf die einzelnen Funktionen ein.

10.1


Mithilfe von Outlook Voice Access können Anwender von unterwegs auf ihr Postfach zugreifen. Sie müssen dazu keine größeren Konfigurationen vornehmen, die notwendigen Techniken sind bereits hinterlegt. Anwender werden durch ein bequemes Telefonmenü durch die Anwendung geführt und können sich E-Mails vorlesen lassen, Kalendereinträge abrufen und auf die meisten Funktionen des Postfachs zugreifen. Damit Sie diese Funktionen nutzen können, muss Unified Messaging installiert, konfiguriert und an eine Telefonanlage angeschlossen werden. Anwender können mit jedem beliebigen Telefon auf das Postfach zugreifen und müssen keine ausgebildeten EDV-Fachkräfte sein. Der Umgang mit OVA ist wie mit den meisten anderen Telefonmenüs, zum Beispiel der Mailbox bei einem Handy. Die Abfrage des Postfachs wird zusätzlich durch eine PIN geschützt. Kalendereinträge abrufen Anwender erhalten beim Verbindungsaufbau zunächst eine Übersicht über die aktuellen Termine und eingegangenen E-Mails. Mit OVA können Sie zum Beispiel über das Autotelefon eine laufende Besprechung durch wenige Klicks auf dem Telefon verschieben, Exchange unterstützt auch Tonwahltelefone. Eine Funktion zum Melden von Verspätungen wurde integriert. Sie können mit OVA auch zum Beispiel alle Termine eines Tages absagen, wenn Sie einen Flug verpassen oder im Stau stehen. Durch diese Sammelfunktionen verhält sich OVA wie eine Assistentin oder Sekretärin. Sie müssen nicht alle Termine einzeln bearbeiten, sondern können bequem über die Telefonwahltasten alle Termine auf einmal verschieben oder absagen. Die Sprachmenüs im Telefon sind so effizient und leicht bedienbar wie eine Mailbox bei einem Handyprovider. E-Mails abrufen E-Mails können vorgelesen werden wie Sprachnachrichten eines Anrufbeantworters. Die Stimme ist von einer echten kaum zu unterscheiden. Neben den Informationen über den Betreff und den Eingangszeitpunkt wird Ihnen der komplette Text der E-Mail vorgelesen. Voice-Mails abrufen oder hinterlassen Neben den bereits beschriebenen Funktionen können Sie auch eigene Sprachnachrichten abrufen oder Sprachnachrichten hinterlassen. Wird Exchange Server 2007 mit einer Telefonanlage verbunden, stehen alle Wege offen, per Exchange auf Telefoniefunktionen zuzugreifen.

620

Anbindung von Exchange 2007 an Telefonanlagen

10.2

Anbindung von Exchange 2007 an Telefonanlagen

Um die neuen Unified-Messaging-Funktionen nutzen zu können, ist etwas Wissen im Bereich Telefonanlagen notwendig. Ein Exchange Server der Exchange-Organisation muss dazu direkt an die Telefonanlage angeschlossen werden.

1

Exchange benötigt lediglich eine IP-Verbindung, um mit der Telefonanlage kommunizieren zu können. Sie können auch eine Ausfallsicherheit erreichen, indem Sie mehrere Exchange Server der Organisation an die Telefonanlagen anschließen. Die einzelnen Exchange Server kommunizieren untereinander und machen einen automatischen Failover, ein Cluster ist nicht notwendig. Alle Nachrichten bleiben dazu in einer Warteschlange, bis diese zugestellt werden können.

2 3 4

Exchange Server 2007 bringt als neue Funktion die direkte Integration von Unified Messaging mit sich. Darin enthalten ist Text-to-Speech für verschiedene Sprachen sowie Speech-to-Text für englische Sprecher.

5

Für die Entwicklung von Exchange Server 2007 wurde der Call Manager Version 5.0 von Cisco für direkte IP-Interoperabilität benutzt. Generell verwendet Exchange Server 2007 aus Sicherheitsgründen SIP over TCP. Bestehende Telefonanlagen sind allerdings oft nicht VoIP-fähig oder unterstützen nur SIP over UDP und nicht SIP over TCP. Diese benötigen ein Gateway, das die Anbindung an Exchange übernimmt. Empfehlenswert sind Gateways von Intel und Audiocodes. Diese Gateways unterstützen derzeit hauptsächlich folgende Telefonanlagen, die Liste ist jedoch nicht vollständig, sondern soll einen ersten Anhaltspunkt geben: ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■

6 7 8

Intel NetStructure PBX-IP Media Gateway (PIMG) Avaya Definity G3 Avaya Magix Mitel SX-200D, SX-200 Light, SX-2000 Light, SX-2000 S, SX-2000 VS, SX-200 ICP Nortel Meridian 1 – Option 11, 21, 21A, 51, 61, 71 und 81 Nortel Meridian SL1 – Generic X11, Release 15 oder höher Nortel Communication Server Nortel SL 100 NEC 2000, 2400, 2400 IPX Siemens HiCom 300E Siemens 8000 Ericsson MD110 über DTMF oder SMDI einige Anlagen von Alcatel und Toshiba Intel NetStructure T1/E1 Media Gateway (TIMG) Avaya Definity G3 Version 3 oder höher Avaya S8500 Communications Manager SW Mitel SX-2000 S, SX-2000 VS LW 34 Mitel 3300 Version 5.1.4.8 Nortel Meridian 1 – Option 11c Release 15 und Optionen 19 und 46 erforderlich NEC 2400 IMX Release 5200 Dec. 92 1b Siemens Hicom 300E CS Release 9006.4 Siemens HiPath 4000 V2 SMR 9 SMPO

9

10 11 12 13 14 15

621

Unified Messaging

■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■

AudioCodes Gateways (Mediant 2000, MediaPak 114 und MediaPak 118) Alcatel OmniPCX 4400 Avaya Definity G3 Avaya Magix/Merlin Intecom EADS2001 Mitel SX-200, SX-2000 NEC Electra, Elite, IPX, 2000, 2400 IPX NEC NEAX2400 Nortel CS – 1000M, 1000S, 1000E Nortel SL 100 Panasonic KX-TD Siemens HiCom 300, 9005, HiPath 3000/4000 Toshiba DK

Eicon Networks bietet mit dem Diva Server Unterstützung für Exchange Server 2007. Mit der auf Diva Server basierenden Media-Gateway-Lösung können bestehende PBX-Systeme in Microsoft Office Communications Server 2007 integriert werden. Anwender können damit nahtlos Anrufe zwischen IP- und bestehenden PSTN-Netzwerken durchführen. Abbildung 10.2: Mögliche Anbindung von Telefonanlagen an eine Exchange Server 2007-Infrastruktur

622

Installation der Unified-Messaging-Serverrolle

10.3

Installation der Unified-MessagingServerrolle

Standardmäßig wird die Unified-Messaging-Funktion nicht auf einem Exchange Server installiert. Sie können diese Funktion jedoch nachträglich hinzufügen.

1

10.3.1

2

Voraussetzungen für die Installation der Unified-Messaging-Serverrolle

Damit Sie UMS auf einem Server installieren können, müssen Sie zunächst einige Vorbereitungen treffen. Ohne diese Vorbereitungen schlägt die Installation der Rolle fehl. Die wichtigste Voraussetzung für diese Funktion ist natürlich zunächst, dass Sie in dem Server eine entsprechende Verbindung zu Ihrer Telefonanlage vorsehen. Alle Funktionen des Unified-Messaging-Servers werden durch die Telefonleitung zur Verfügung gestellt, eine herkömmliche Netzwerkverbindung reicht in diesem Fall nicht aus. Haben Sie die Hardware zur Verbindung des Servers beschafft und den Server angeschlossen, können Sie sich an die Installation der notwendigen Voraussetzungen für Unified Messaging machen.

3 4 5 6

Microsoft XML-Kerndienste (MSXML) 6.0 installieren Für die Installation der Unified-Messaging-Serverrolle benötigen Sie die Exchange Server 2007-Installationsdateien. Als Erstes müssen Sie auf dem UMS-Server zunächst die Microsoft XML-Kerndienste (MSXML) 6.0 installieren.

7

Sie finden diese Erweiterung von Windows Server 2003 auf der Internetseite http://go.microsoft.com/fwlink/?LinkId=70796. Laden Sie sich die entsprechende Version für Ihren Server herunter, und installieren Sie den Dienst auf dem Server (siehe Abbildung 10.3). Die Installation ist nach wenigen Sekunden abgeschlossen, und es werden keine Dienste beendet. Auch ein Neustart ist nach der Installation nicht notwendig.

8 9

Abbildung 10.3: Installation der XML-Kerndienste auf dem Exchange Server

10 11 12 13 14 15

623

Unified Messaging

Haben Sie die XML-Kerndienste auf dem UMS-Server installiert, können Sie die Exchange Server 2007-Installation aufrufen, um die Unified-Messaging-Serverrolle zu installieren.

10.3.2 Installation der Unified-Messaging-Serverrolle Um die Funktion auf einem bereits installierten Server zu installieren, gehen Sie am besten folgendermaßen vor:

1. 2. 3. 4.

Öffnen Sie die Systemsteuerung auf dem Server. Klicken Sie auf Software. Aktivieren Sie die Option Programme ändern oder entfernen. Markieren Sie den Eintrag Microsoft Exchange Server 2007, und klicken Sie auf Ändern (siehe Abbildung 10.4).

Abbildung 10.4: Nachträgliche Installation von Unified Messaging auf einem Exchange Server 2007

5. Im Anschluss öffnet sich die Exchange Server 2007-Installation im Wartungsmodus (siehe Abbildung 10.5).

6. Klicken Sie auf Weiter. 7. Setzen Sie auf dem nächsten Fenster den Haken bei der Option UnifiedMessaging-Funktion, und klicken Sie auf Weiter.

8. Der Assistent beginnt mit der Überprüfung der Voraussetzungen und stellt sicher, dass diese Funktion auf dem Server installiert werden kann.

624


Abbildung 10.5: Exchange Server 2007-Installation im Wartungsmodus

1 2 3 4 5 6 7 Abbildung 10.6: Auswahl der Unified-MessagingFunktion

8 9

10 11 12 13 14 15

625

Unified Messaging

9. Hat der Server die Voraussetzungen überprüft, können Sie mit der Schaltfläche Installieren die Installation der Rolle durchführen (siehe Abbildung 10.7). Abbildung 10.7: Installation der Unified-MessagingFunktion

Abbildung 10.8: Erfolgreiche Installation der UnifiedMessagingFunktion

626


10. Im Anschluss kopiert der Setup-Assistent die entsprechenden Dateien und startet die Installation. Sie sehen den aktuellen Status im Fenster und können erkennen, ob die einzelnen Funktionen ordnungsgemäß installiert werden (siehe Abbildung 10.8). Bricht die Installation der Unified-Messaging-Funktion mit einem Fehler ab, liegt es meistens daran, dass der Dienst Microsoft Exchange Speech Engine nicht gestartet werden kann. Brechen Sie in diesem Fall die Installation ab, und starten Sie den Dienst manuell. Wurde der Dienst erfolgreich gestartet, starten Sie die Installation der Unified-Messaging-Funktion erneut. Diese sollte jetzt ohne Probleme durchlaufen.

1 2

TIPP

3

Ist die Installation abgeschlossen, sollten Sie in der Diensteverwaltung auf dem Server überprüfen, ob die Exchange-Dienste, die für die Unified-Messaging-Funktion benötigt werden, gestartet wurden (siehe Abbildung 10.9): ■

■

4

Microsoft Exchange Speech Engine – Dieser Dienst wird auf Unified-MessagingServern benötigt. Er ist für die Verwendung der Outlook Voice Access-(OVA-) Funktion notwendig. Microsoft Exchange Unified Messaging – Dieser Dienst stellt die Unified-Messaging-Funktionen bereit. Er routet eingehende Faxe und Sprachnachrichten in die Postfächer der Anwender. Der Dienst läuft nur auf Unified-Messaging-Servern und ist von den beiden Diensten Microsoft Exchange Active Directory Topologiedienst und Microsoft Exchange Speech Engine abhängig.

5 6 7 Abbildung 10.9: Überprüfen der Systemdienste für Unified Messaging in Exchange Server 2007

8 9

10 11 12 13 14 Unified-Messaging-Rolle deinstallieren Zum Deinstallieren dieser Funktion gehen Sie genauso vor wie bei allen anderen Rollen (siehe Kapitel 4).

15

627

Unified Messaging

10.4

Verwalten eines Unified-MessagingServers

Nach der Installation der Unified-Messaging-Serverrolle wird diese Funktion automatisch aktiviert, und Sie können den Server verwalten.

10.4.1

Deaktivieren und Aktivieren von Unified Messaging

Um die Unified-Messaging-Funktionen zu aktivieren oder zu deaktivieren, verwenden Sie am besten die Exchange-Verwaltungskonsole. Gehen Sie zur Aktivierung oder Deaktivierung folgendermaßen vor:

1. 2. 3. 4.

Starten Sie die Exchange-Verwaltungskonsole. Klicken Sie auf Serverkonfiguration/Unified Messaging. Markieren Sie im Ergebnisbereich den entsprechenden Server. Wählen Sie die entsprechende Aktion im Aktionsbereich aus, um Unified Messaging auf diesem Server zu deaktivieren (siehe Abbildung 10.10).

Abbildung 10.10: Aktivieren und Deaktivieren von Unified Messaging in der ExchangeVerwaltungskonsole

Sie können auf einem installierten Unified-Messaging-Server diese Funktion in der Exchange-Verwaltungsshell deaktivieren und auch über die Shell wieder aktivieren. Sie verwenden dazu die beiden Befehle Enable-UMServer und Disable-UMServer (siehe Abbildung 10.11). Wollen Sie die Unified-Messaging-Funktion deaktivieren, erscheint noch eine Bestätigungsmeldung, beim Aktivieren erhalten Sie keine Rückmeldung. Abbildung 10.11: Deaktivieren und Aktivieren der Unified-MessagingFunktion

628

Verwalten eines Unified-Messaging-Servers

10.4.2 Verwalten der Unified-Messaging-Einstellungen Um die Servereinstellungen für Unified Messaging auf einem Server zu bearbeiten, verwenden Sie am besten die Exchange-Verwaltungskonsole:

1. 2. 3.

1

Klicken Sie auf Serverkonfiguration/Unified Messaging. Rufen Sie mit Rechtsklick auf den entsprechenden Server im Ergebnisbereich die Eigenschaften auf. Wechseln Sie auf die Registerkarte UM-Einstellungen (siehe Abbildung 10.12).

2 Abbildung 10.12: UM-Einstellungen eines Servers

3 4 5 6 7 8 9

10 Auf dieser Registerkarte können Sie einstellen, wie viele gleichzeitige Anrufe dieser Server entgegennehmen darf und welche Sprachen unterstützt werden. Hier wählen Sie auch die zugeordneten Wählpläne aus.

11

Erst wenn einem UM-Server ein Wählplan zugeordnet worden ist, nimmt er Anrufe entgegen. Auch dieses Thema wird in den nächsten Abschnitten behandelt.

12 HALT

Sie können den Status der UM-Server in der Organisation in der Exchange-Verwaltungsshell über den Befehl get-umserver anzeigen lassen (siehe Abbildung 10.13). Hier sehen Sie auch, welche Wählpläne einem Server zugeordnet worden sind.

13

Abbildung 10.13: Anzeigen des Status eines UM-Servers

14 15

629

Unified Messaging

Wählpläne und organisationsweite Einstellungen für Unified Messaging verwalten Sie in der Exchange-Verwaltungskonsole über Organisationskonfiguration/Unified Messaging (siehe Abbildung 10.14). Abbildung 10.14: Verwalten der organisationsweiten Einstellungen für Unified Messaging

10.4.3 Anzeigen der aktiven Anrufe Für die Überwachung eines Unified-Messaging-Servers ist es unerlässlich, die Anzahl der aktuellen aktiven Anrufe anzuzeigen. Sie können für diesen Vorgang entweder den Performance-Monitor oder die Exchange-Verwaltungsshell verwenden.

Anzeigen der aktiven Anrufe über den Performance-Monitor Um die aktiven Anrufe im Performance-Monitor anzuzeigen, gehen Sie folgendermaßen vor:

1. 2.

Abbildung 10.15: Hinzufügen neuer Leistungsindikatoren zur Serverüberwachung

630

Starten Sie den Performance-Monitor (zum Beispiel über Start/Ausführen/ perfmon.msc). Fügen Sie über die entsprechende Schaltfläche einen neuen Leistungsindikator hinzu (siehe Abbildung 10.15). Sie können auch die Tastenkombination [STRG9] + [I] verwenden.


3. Wählen Sie als Leistungsobjekt MSExchangeUMGeneral aus (siehe Abbildung 10.16).

4. Wählen Sie als Leistungsindikator Current Calls aus (siehe Abbildung 10.16). 5. Klicken Sie auf Hinzufügen, und schließen Sie das Fenster. Der Monitor zeigt 6.

1

jetzt die aktiven Anrufe an. Wollen Sie nur die Anrufe anzeigen lassen, entfernen Sie die bereits standardmäßig hinterlegten Leistungsindikatoren, dann wird die Ansicht übersichtlicher.

2 Abbildung 10.16: Hinzufügen von Leistungsindikatoren zum PerformanceMonitor

3 4 5 6 7 8 9

Anzeigen der aktiven Anrufe in der Exchange-Verwaltungsshell Wollen Sie die aktiven Anrufe in der Exchange-Verwaltungsshell anzeigen lassen, verwenden Sie den Befehl get-umActiveCalls –server <Servername>.

10

10.4.4 Verwalten und Zuweisen von Wählplänen 11

Bevor Sie einen Unified-Messaging-Server unter Exchange Server 2007 einsetzen können, müssen Sie einen Wählplan erstellen und diesen Wählplan einem Server zuordnen.

12

Ein Wählplan legt fest, welche Durchwahlen die Anwender erhalten, um per Outlook Voice Access auf ihren Mailbox-Server zugreifen zu können. Um einen neuen Wählplan zu erstellen, gehen Sie folgendermaßen vor:

13

1. Starten Sie die Exchange-Verwaltungskonsole. 2. Klicken Sie auf Organisationskonfiguration/Unified Messaging. 3. Klicken Sie im Ergebnisbereich auf die Registerkarte UM-Wählpläne (siehe

14

Abbildung 10.17).

15

631

Unified Messaging

Abbildung 10.17: Erstellen eines neuen UM-Wählplans

4. Klicken Sie mit der rechten Maustaste in den Ergebnisbereich, und wählen Sie die Option Neuer UM-Wählplan. Alternativ können Sie im Aktionsbereich auf diese Option klicken. 5. Im Anschluss startet der Assistent zum Erstellen eines neuen Wählplans (siehe Abbildung 10.18). 6. Haben Sie Ihre Eingaben vorgenommen, klicken Sie auf die Schaltfläche Neu, um den Wählplan zu erstellen (siehe Abbildung 10.18). Die Anzahl der Stellen für Durchwahlnummern basiert auf dem Telefoniewählplan, der auf einer Nebenstellenanlage erstellt wird. Dies ist ein erforderliches Feld mit Werten im Bereich von 1 bis 20. 7. Umfasst die vorhandene Telefonieumgebung Durchwahlnummern, dann müssen Sie eine Anzahl für die Stellen festlegen, die mit der Anzahl der Stellen in diesen Durchwahlen übereinstimmt. 8. Der Wählplan wird im Anschluss in der Exchange-Verwaltungskonsole angezeigt. Abbildung 10.18: Erstellen eines neuen UM-Wählplans

632


Zuweisen eines Wählplans Haben Sie einen Wählplan erstellt, sollten Sie diesen einem Server zuweisen. Erst wenn einem UM-Server ein Wählplan zugewiesen worden ist, kann dieser Anrufe entgegennehmen und steht als Outlook Voice Access-(OVA-)Server zur Verfügung. Um einen Wählplan zuzuweisen, gehen Sie folgendermaßen vor:

1. 2. 3. 4. 5. 6.

1

Starten Sie die Exchange-Verwaltungskonsole. Klicken Sie auf Serverkonfiguration/Unified Messaging. Rufen Sie im Ergebnisbereich die Eigenschaften des Servers auf. Wechseln Sie auf die Registerkarte UM-Einstellungen. Klicken Sie im Bereich Zugeordnete Wählpläne auf Hinzufügen. Wählen Sie im neuen Fenster den Wählplan aus, den Sie dem Server zuweisen.

2 3

Abbildung 10.19: Zuweisen eines neuen Wählplans

4 5 6 7 8 9

10 11 Verwalten der Eigenschaften eines Wählplans

12

Die meisten Einstellungen für Wählpläne werden nicht bei der Erstellung vorgenommen, sondern nach der Erstellung, wenn Sie die Eigenschaften aufrufen. Ihnen stehen zur Verwaltung verschiedene Registerkarten zur Verfügung, auf denen Sie den Wählplan exakt auf Ihre Bedürfnisse anpassen können (siehe Abbildung 10.20).

13

Registerkarte Allgemein Auf der Registerkarte Allgemein können Sie aktivieren, ob Absendern einer Sprachnachricht ein Nichtzustellbarkeitsbericht zugestellt werden soll, wenn ihre Nachricht nicht zum Empfänger vom Exchange Server zugestellt werden kann. Diese Option ist standardmäßig nicht aktiviert.

14 15

633

Unified Messaging

Hier aktivieren Sie auch die Funktion, dass Anwender auf ihrer Durchwahl Faxe empfangen können. Deaktivieren Sie an dieser Stelle diese Option, können die Anwender, die diesem Wählplan zugewiesen sind, keine Faxe empfangen. Diese Option ist standardmäßig aktiviert. Abbildung 10.20: Allgemeine Einstellungen eines Wählplans

Registerkarte Teilnehmerzugriff Auf der Registerkarte Teilnehmerzugriff stellen Sie zum Beispiel die Begrüßung ein, die den Anwendern beim Anrufen des Exchange Servers vorgespielt wird (siehe Abbildung 10.21). Sie können über die Schaltfläche Ändern beliebige *.wav-Dateien auswählen. Geben Sie keine Audiodatei als Begrüßungstext an, wird Anrufern eine Begrüßung mit folgendem Text abgespielt: »Willkommen. Sie sind mit Microsoft Exchange verbunden.« Die Begrüßung wird verwendet, wenn Outlook Voice AccessBenutzer oder andere Anrufer die Zugriffsnummer des Teilnehmers wählen. Diese Audiodatei wird als Standardbegrüßung eines bestimmten UM-Wählplans verwendet. Sie können diese Begrüßung jedoch auch ändern und stattdessen eine firmenspezifische Ansage verwenden. Möchten Sie diese Begrüßung anpassen, müssen Sie zuerst eine entsprechende Ansage aufzeichnen, diese als WAV-Datei speichern und dann den Wählplan so konfigurieren, dass diese Begrüßung verwendet wird.

INFO

634

Die standardmäßigen Sprachdateien, die den Anwendern vorgespielt werden, liegen alle im *.wav-Format vor. Die Dateien befinden sich auf dem Unified-Messaging-Server im Verzeichnis C:\Programme\Microsoft\Exchange Server\UnifiedMessaging\ Prompts\de.


Abbildung 10.21: Konfiguration des Teilnehmerzugriffs

1 2 3 4 5 6 7 Die Informationsansage wird für allgemeine Ankündigungen verwendet, die sich häufiger ändern als die Begrüßung, oder für Ankündigungen, die zur Einhaltung von Unternehmensrichtlinien erforderlich sind. Sollen Anrufer unbedingt die gesamte Informationsansage abhören, kann diese als nicht unterbrechbar konfiguriert werden. In diesem Fall kann ein Anrufer die Informationsansage nicht durch Drücken einer Taste oder Sprechen eines Befehls abbrechen. Standardmäßig ist keine Informationsansage konfiguriert.

8 9

10

Fügen Sie im Feld Zugeordnete Teilnehmerzugriffsnummern eine Telefonnummer hinzu, die ein Benutzer anrufen muss, um über Outlook Voice Access auf das Unified-Messaging-System zuzugreifen. Da in diesem Feld alphanumerische Zeichen zulässig sind, kann bei Verwendung einer IP-PBX-Ressource ein SIP-URL benutzt werden. Beim Erstellen eines Wählplans werden standardmäßig keine Teilnehmerzugriffsnummern konfiguriert. Um den Teilnehmerzugriff zu aktivieren, müssen Sie mindestens eine Telefonnummer konfigurieren.

11 12

Konfigurieren Sie diese Nummer im Wählplan, wird sie in den Voice-Mailoptionen von Outlook 2007 und Outlook Web Access für Exchange Server 2007 angezeigt. Die Nummer darf maximal 20 alphanumerische Zeichen enthalten.

13

Registerkarte Kurzwahlnummern Im Feld Amtskennziffer auf der Registerkarte Kurzwahlnummern (siehe Abbildung 10.22) können Sie die Nummern eingeben, die für den Zugriff auf eine Telefonnummer für ausgehende externe Anrufe verwendet werden. Diese Nummer wird vor der zu wählenden Telefonnummer eingefügt. Dieses Feld akzeptiert zwischen 1 und 16 Ziffern.

14 15

Das Feld enthält standardmäßig keinen Eintrag. Diese Einstellung wird häufig in Umgebungen verwendet, die vor Ort oder extern eine Nebenstellenanlage einsetzen. 635

Unified Messaging

Verwenden Sie das Feld Internationale VAZ zur Eingabe der Nummer, die für internationale Telefonnummern für ausgehende Anrufe verwendet wird. Diese Nummer wird vor der zu wählenden Telefonnummer eingefügt. Dieses Feld ist standardmäßig nicht ausgefüllt. Es akzeptiert zwischen einer und vier Ziffern. Im Feld Rufnummernpräfix, national geben Sie die Nummer ein, die zum Wählen von Telefonnummern außerhalb des Ortsnetzes, aber innerhalb des Landes verwendet wird. Diese Nummer wird ebenfalls vor der zu wählenden Telefonnummer eingefügt und ist standardmäßig nicht ausgefüllt. Das Feld akzeptiert zwischen einer und vieri Ziffern. Verwenden Sie das Feld Länder-/Regionscode zur Eingabe der Landes-/Regionskennzahl, die für ausgehende Anrufe verwendet werden soll. Diese Nummer wird vor der zu wählenden Telefonnummer eingefügt und ist standardmäßig nicht ausgefüllt. Das Feld akzeptiert zwischen einer und vier Ziffern. Verwenden Sie das Feld Nationales/regionales Nummernformat, um anzugeben, wie die Telefonnummer eines Benutzers von einem UM-Server in einem anderen Wählplan, der aber dieselbe Landeskennzahl hat, gewählt werden soll. Diese Information wird von einer automatischen Telefonzentrale verwendet und wenn ein Outlook Voice Access-Teilnehmer den Benutzer im Verzeichnis sucht und anzurufen versucht. Zur Ermittlung der Telefonnummer fügt UM die letzten Ziffern der Telefonnummer an, die im Verzeichnis zu dem angegebenen Präfix angegeben ist. Abbildung 10.22: Konfiguration von Kurzwahlnummern

Verwenden Sie das Feld Internationales Nummernformat, um anzugeben, wie die Telefonnummer eines Benutzers von einem UM-Server in einem anderen Wählplan, der eine andere Landeskennzahl hat, gewählt werden soll.

636


Registerkarte Features Für einen UM-Wählplan können zahlreiche Features konfiguriert werden. Hierzu gehören das Vermitteln von Anrufen und das Senden von Sprachnachrichten. Diese Funktionen werden auf der Registerkarte Features gesteuert. Vor allem auf dieser Registerkarte stehen Ihnen zahlreiche Möglichkeiten für die Vermittlung von Anrufen zur Verfügung (siehe Abbildung 10.23):

1

Abbildung 10.23: Registerkarte Features in den Eigenschaften eines Wählplans

2 3 4 5 6 7 8 9

■

■

10

Die Vermittlung an Benutzer durch Anrufer zulassen – Diese Option ist standardmäßig aktiviert. Dadurch können dem Wählplan zugeordnete Benutzer Anrufe an Benutzer innerhalb desselben UM-Wählplans vermitteln. Im Anschluss an das Aktivieren der Option können Sie die Gruppe von Benutzern festlegen, an die Anrufer vermitteln können, indem Sie auf dieser Seite die geeignete Option unter Anrufer können sich wenden an auswählen. Deaktivieren Sie diese Option und die Einstellung Anrufern das Senden von Sprachnachrichten ermöglichen, werden die Optionen unter Anrufer können sich wenden an ebenfalls deaktiviert. Anrufern das Senden von Sprachnachrichten ermöglichen – Aktivieren Sie diese Option, um Anrufern das Senden von Sprachnachrichten an Benutzer zu gestatten. Diese Option ist standardmäßig aktiviert. Dadurch können dem Wählplan zugeordnete Benutzer Sprachnachrichten an Benutzer innerhalb desselben UMWählplans senden. Im Anschluss an das Aktivieren der Option können Sie die Gruppe von Benutzern festlegen, an die Anrufer Sprachnachrichten senden können, indem Sie auf dieser Seite die geeignete Option unter Anrufer können sich wenden an auswählen. Deaktivieren Sie diese Option, wird Anrufern während einer Systemansage das Senden einer Sprachnachricht nicht zur Wahl gestellt.

11 12 13 14 15

637

Unified Messaging

■

■

■

■

■

■

638

Anrufer können sich wenden an – Standardmäßig ist die Option Benutzer in diesem Wählplan aktiviert. Sie können aber die Benutzergruppe, an die Anrufer Anrufe vermitteln oder Sprachnachrichten senden dürfen, über die globale Adressliste (GAL) ändern. Alle in der globalen Standardadressliste – Mithilfe dieser Option können Sie Anrufern, die mit der automatischen UM-Telefonzentrale eine Verbindung herstellen, erlauben, jeden Benutzer zu kontaktieren, der in der GAL aufgeführt wird. Hierzu gehören alle Benutzer, die postfachaktiviert sind. Nur an diese Durchwahl – Mit dieser Option können Sie Anrufern erlauben, eine Verbindung mit einer Durchwahlnummer herzustellen, die in dem zu dieser Option gehörenden Feld von Ihnen angegeben wurde. Dieses Feld akzeptiert nur numerische Eingaben. Die Anzahl der in diesem Feld definierten Ziffern muss der Anzahl von Ziffern entsprechen, die für den Wählplan konfiguriert ist, welcher der automatischen Telefonzentrale zugeordnet ist. Nur an diese automatische Telefonzentrale – Mithilfe dieser Liste können Sie Anrufern erlauben, zuerst eine Verbindung mit einer automatischen UM-Telefonzentrale herzustellen, um dann noch mit einer anderen automatischen Telefonzentrale verbunden zu werden. Sie müssen diese automatische Telefonzentrale erstellen, damit Anrufer an eine andere automatische Telefonzentrale, die angegeben ist, vermittelt werden können. An alle in der Adressliste – Mit dieser Option können Sie Anrufern, die mit der automatischen UM-Telefonzentrale eine Verbindung herstellen, erlauben, Benutzer zu kontaktieren, die sich in einer festgelegten, benutzerdefinierten Adressliste befinden. Hierzu gehören alle Benutzer, die postfachaktiviert sind. Auswahlmethode für zugeordnete Namen – Mithilfe dieses Felds können Sie die Methode auswählen, die vom Wählplan verwendet wird, um Benutzer mit ähnlichen Namen zu unterscheiden. Wird ein Anrufer aufgefordert, Buchstaben einzugeben, um einen bestimmten Benutzer in der Organisation zu finden, entsprechen manchmal mehrere Namen der Eingabe des Anrufers. Wählen Sie eine der Methoden aus, mit deren Hilfe dem Anrufer weitere Informationen bereitgestellt werden, um ihm beim Auffinden des richtigen Benutzers in der Organisation behilflich zu sein. Standardmäßig erben alle diesem UM-Wählplan zugeordneten automatischen UM-Telefonzentralen diese Einstellung. Sie können diese Einstellung aber auch für jede automatische UM-Telefonzentrale, die erstellt wird, einzeln ändern: ■ Keine – Bei der Auflistung der Entsprechungen werden keine zusätzlichen Informationen gegeben. Diese Methode ist standardmäßig aktiviert. ■

Titel – Die automatische Telefonzentrale fügt bei der Auflistung der Entsprechungen noch den Titel des Benutzers hinzu.

■

Abteilung – Die automatische Telefonzentrale fügt bei der Auflistung der Entsprechungen zu jedem Benutzer dessen Abteilung hinzu.

■

Ort – Die automatische Telefonzentrale fügt bei der Auflistung der Entsprechungen noch den Ort jedes Benutzers hinzu.

■

Ansage für Alias – Der Anrufer wird von der automatischen Telefonzentrale zur Angabe des Alias des Benutzers aufgefordert.


Registerkarte Einstellungen Konfigurieren Sie die Funktionen auf der Registerkarte Einstellungen, können Sie festlegen, wie interne und externe Anrufer im System nach Benutzern suchen, wie viele fehlgeschlagene Anmeldeversuche zulässig sind, wenn ein interner Benutzer versucht, auf seine Sprachnachricht zuzugreifen, und welche Standardsprache der Wählplan verwenden soll. Hier stehen Ihnen verschiedene Möglichkeiten zur Verfügung: ■

1 2

Primäre Methode für Wahl nach Namen – Wählen Sie in dieser Liste aus, welche primäre Methode Anrufer bei der Einwahl in das System zur Benutzersuche verwenden sollen. Standardmäßig ist Nachname Vorname ausgewählt. Bei dieser Einstellung geben Benutzer bei der Suche nach Benutzern im Verzeichnis zuerst den Nachnamen und dann den Vornamen ein. Verwendet ein Teilnehmer die Teilnehmerzugriffsnummer für den Zugriff auf das Unified-Messaging-System, hat er über das Menü die Möglichkeit, den Namen oder Alias zu buchstabieren, um den Benutzer im System zu suchen.

3 4

Abbildung 10.24: Registerkarte Einstellungen in den Eigenschaften eines Wählplans

5 6 7 8 9

10 11 12

■

■

13

Sekundäre Methode für Wahl nach Namen – Standardmäßig ist hier SMTPAdresse ausgewählt. Sucht ein Benutzer nach einem Benutzer im Verzeichnis, gibt er bei dieser Einstellung den E-Mail-Alias oder die SMTP-Adresse des Benutzers ein. Sie brauchen keine der vier unterstützten Methoden auszuwählen. Wählen Sie keine sekundäre Methode aus, steht den Anrufern jedoch nur eine Methode zur Verfügung, um den Namen eines Benutzers im System zu buchstabieren. Audiocodec – Wählen Sie in dieser Liste den vom Wählplan zu verwendenden Audiocodec aus. Folgende drei Audiocodecs werden unterstützt: Windows Media Audio (WMA), G.711 Pulse Code Modulation (PCM) Linear und Group

14 15

639

Unified Messaging

■

■

■

■

■

■

■

■

640

System Mobile 06.10 Global System for Mobile Communications (GSM). Standardmäßig wird WMA verwendet. WMA kann besonders stark komprimiert werden und verfügt über qualitativ hochwertige Formateigenschaften. G.711 PCM Linear ist ein Audiocodecformat mit Telefonqualität, das den niedrigsten Komprimierungsgrad und die geringste Formatqualität hat. GSM 06.10 ist ein Audiocodecformat, das von Mobiltelefonen verwendet wird. Durchwahl für Vermittlungsstelle – Geben Sie in diesem Textfeld die Telefonnummer oder eine Durchwahl für die Vermittlungsstelle des Wählplans ein. Sie können diese Einstellung so konfigurieren, dass die Anrufe an eine automatische Telefonzentrale, einen Vermittler, externe Rufnummern oder Durchwahlnummern umgeleitet werden. Drückt ein Anrufer bei Verwendung der Telefontastatur die Nummernzeichentaste (#) oder sagt er Empfang oder Vermittlungsstelle oder wird die Anzahl des Schwellenwerts der Wiederholungsversuche für die Eingabe überschritten, wird er an die in diesem Textfeld angegebene Nummer weitergeleitet. Bei der Telefonnummer kann es sich um eine externe Telefonnummer oder eine interne Durchwahl handeln. Lautet die Durchwahl zum Empfang oder zur Vermittlungsstelle 12345 und verwendet Ihre Organisation nur einen Wählplan, geben Sie 12345 ein. Diese Einstellung enthält standardmäßig keinen Wert. Geben Sie in diesem Feld keine Nummer ein, können keine Anrufe an die Vermittlungsstelle umgeleitet werden, und der Anruf wird mit einer Ansage beendet. Anmeldefehler vor dem Trennen der Verbindung – Geben Sie in diesem Feld die Anzahl der zulässigen erfolglosen Anmeldeversuche ein, bevor die Verbindung beendet wird. Der Wert dieser Einstellung kann zwischen 1 und 20 liegen. Maximale Anrufdauer (Min.) – Geben Sie in diesem Feld die maximale Anzahl der Minuten ein, für die bei einem eingehenden Anruf die Verbindung erhalten bleibt, bevor der Anruf abgebrochen wird. Der Wert dieser Einstellung kann zwischen 10 und 120 liegen. Maximale Aufzeichnungsdauer (Min.) – Geben Sie in diesem Feld die maximale Anzahl von Minuten ein, die pro Sprachaufzeichnung zulässig ist, wenn ein Anrufer eine Sprachnachricht hinterlässt. Der Wert dieser Einstellung kann zwischen 5 und 100 liegen. Leerlauftimeout für Aufzeichnung (Sek.) – Geben Sie in diesem Textfeld die Anzahl der Sekunden ein, in denen beim Aufzeichnen einer Sprachnachricht geschwiegen werden darf, bevor das Telefonat beendet wird. Der Wert dieser Einstellung kann zwischen 2 und 16 liegen. Leerlauftimeout (Sek.) – Geben Sie in diesem Feld die Anzahl der Sekunden ein, die ein System auf eine sprachliche Reaktion oder Tonwahleingabe des Benutzers wartet, bevor der Benutzer einen Sprachbefehl erhält. Wiederholungsversuche für Eingabe – Geben Sie in diesem Feld an, wie häufig das System einen Anrufer zur Eingabe auffordert, bevor dieser an einen Vermittler weitergeleitet wird, falls ein Vermittler im UM-Wählplan konfiguriert ist. Ist der Wert Wiederholungsversuche für Eingabe auf 1 gesetzt, wird der Anrufer lediglich einmal zur Wiederholung der Eingabe aufgefordert, bevor er an die Vermittlungsstelle des UM-Wählplans weitergeleitet wird. Der Wert dieser Einstellung kann zwischen 1 und 16 liegen. Eingabefehler vor dem Trennen der Verbindung – Geben Sie in diesem Textfeld die Anzahl der zulässigen fehlerhaften Eingaben durch einen Benutzer ein, bevor die Verbindung beendet wird. Ein Eingabefehler entsteht beispielsweise, wenn ein Anrufer eine nicht im System gefundene Durchwahl anfordert, wenn


■

das System die Durchwahl des Benutzers zum Weiterleiten des Anrufs nicht erreichen kann oder wenn der Anrufer eine nicht zulässige Menüoption drückt. Der Wert dieser Einstellung kann zwischen 1 und 20 liegen. Standardsprache – Mithilfe dieser Liste können Sie die von Anrufern verwendete Standardsprache festlegen. Ruft ein Anrufer einen Benutzer an, der einem Wählplan zugeordnet ist, wird diese Sprache standardmäßig bei der Sprachaufzeichnung der Vermittlungsstelle verwendet. Die Systemeingabeaufforderungen, die ein Anrufer hört, werden ebenfalls in der Standardsprache abgespielt. Installieren Sie die englische Version von Exchange Server 2007, stellt diese Liste standardmäßig nur eine Sprache zur Verfügung. Um weitere Sprachen zur Verfügung zu stellen, müssen Sie das UM-Sprachpaket der gewünschten Sprache installieren.

1 2 3 4

Registerkarte Wählregelgruppen Jede Wählregel bestimmt die Art der Anrufe, die Benutzer innerhalb einer Wählgruppe tätigen können. Haben Sie die Registerkarte Wählregelgruppen verwendet, um eine Wählregel zu konfigurieren, müssen Sie die UM-Postfachrichtlinie konfigurieren, um die entsprechende Wählgruppe zu verwenden. Haben Sie das UM-Postfach für die Verwendung einer Wählgruppe konfiguriert, gelten die konfigurierten Wählregeln für alle UM-aktivierten Benutzer, die der UM-Postfachrichtlinie zugeordnet sind. Sie können so eine Wählregel konfigurieren, bei der dem Wählplan zugeordnete Benutzer keinen Zugangscode für die Amtsleitung wählen müssen, wenn sie eine nationale Telefonnummer anrufen möchten.

5 6 7 Abbildung 10.25: Konfiguration von Wählregeln

8 9

10 11 12 13 14 15

641

Unified Messaging

■

■

Nationale/regionsinterne Regelgruppen – In diesem Feld können Sie die in den UM-Postfachrichtlinien verwendeten nationalen Wählregeln hinzufügen, löschen oder bearbeiten. Mit Hinzufügen können Sie einen nationalen Wählregeleintrag erstellen sowie die entsprechende Nummernmaske und die gewählte Nummer für den Wählregeleintrag konfigurieren. Internationale Regelgruppen – In diesem Textfeld können Sie die von den UM-Postfachrichtlinien verwendeten internationalen Wählregeln hinzufügen, löschen oder bearbeiten.

Hinzufügen und Entfernen von Sprachpaketen für Unified Messaging Auf der Registerkarte Einstellungen in den Eigenschaften eines Wählplans sehen Sie die installierten Sprachpakete im Feld Standardsprache. Mithilfe dieser Liste können Sie die von Anrufern verwendete Standardsprache festlegen. Ruft ein Anrufer einen Benutzer an, der einem Wählplan zugeordnet ist, wird diese Sprache standardmäßig bei der Sprachaufzeichnung der Vermittlungsstelle verwendet. Die Systemeingabeaufforderungen, die ein Anrufer hört, werden ebenfalls in der Standardsprache abgespielt. Wenn Sie die englische Version von Exchange Server 2007 installieren, stellt diese Liste standardmäßig nur eine Sprache zur Verfügung. Hier müssen Sie das deutsche Sprachpaket herunterladen und installieren. Um weitere Sprachen zur Verfügung zu stellen, müssen Sie das UM-Sprachpaket der gewünschten Sprache installieren. Installieren und Deinstallieren von Sprachpaketen Sie können Sprachpakete entweder bei Microsoft beziehen oder von der MicrosoftInternetseite herunterladen. Haben Sie die *.msi-Datei heruntergeladen, können Sie diese auf dem Exchange Server integrieren. Sprachpakete werden über die Exchange Server-Installationsroutine im System integriert, es reicht nicht das Ausführen der *.msi-Datei des Sprachpaketes. Um ein Sprachpaket zu installieren, verwenden Sie den Befehl setup.com aus dem bin-Verzeichnis der Exchange Server 2007-Installation. Geben Sie den Befehl nach der folgenden Syntax ein: Setup.com /AddUmLanguagePack: d:\. Um ein Sprachpaket zu deinstallieren, verwenden Sie den Befehl Setup.com /Remove UmLanguagePack: d:\.

10.4.5 Erstellen und Verwalten von UM-Postfachrichtlinien Mithilfe von UM-Postfachrichtlinien können Sie eine gemeinsame Menge von Einstellungen für mehrere Postfächer anwenden. Sie müssen eine UM-Postfachrichtlinie erstellen, bevor Sie Benutzer für Unified Messaging aktivieren können. Haben Sie einen UM-Wählplan erstellt, wird auf dessen Basis eine standardmäßige UM-Postfachrichtlinie erstellt. Diese Richtlinie müssen Sie später bei der Aktivierung von Unified Messaging für ein Postfach bei dem entsprechenden Anwender hinterlegen. Sie können weitere UM-Postfachrichtlinien anlegen oder die standardmäßig vorhandene Richtlinie bearbeiten.

642


Abbildung 10.26: Erstellen einer neuen UM-Postfachrichtlinie

1 2 3 4 Erstellen einer neuen UM-Postfachrichtlinie Die Erstellung und Verwaltung von UM-Postfachrichtlinien führen Sie am besten in der Exchange-Verwaltungskonsole über Organisationskonfiguration/Unified Messaging durch. Klicken Sie im Ergebnisbereich auf die Registerkarte UM-Postfachrichtlinie. Um eine neue Richtlinie zu erstellen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich und wählen den Menüpunkt Neue UM-Postfachrichtlinie aus. Sie finden den Befehl auch im Aktionsbereich (siehe Abbildung 10.26).

5

Nach dem Start des Assistenten geben Sie eine Bezeichnung für die neue UM-Postfachrichtlinie ein und wählen den zugeordneten Wählplan für die Richtlinie aus. Haben Sie Ihre Auswahl getroffen, können Sie die Richtlinie mit der Schaltfläche Neu erstellen lassen (siehe Abbildung 10.27).

7

6

8 Abbildung 10.27: Erstellen einer neuen UM-Postfachrichtlinie

9

10 11 12 13 14 15

643

Unified Messaging

Verwalten einer UM-Postfachrichtlinie Ändern Sie die in einer bestimmten UM-Postfachrichtlinie gefundenen Einstellungen, werden die Einstellungen auf alle Benutzer angewendet, die der UM-Postfachrichtlinie zugeordnet sind. Nach der Erstellung einer Richtlinie können Sie deren Eigenschaften über das Kontextmenü aufrufen (siehe Abbildung 10.28). Hier können Sie auf mehreren Registerkarten Einstellungen vornehmen, die auf die Benutzer angewendet werden, denen Sie die Richtlinie zuweisen. Registerkarte Allgemein Auf der Registerkarte Allgemein sehen Sie den Namen der Richtlinie, das Datum der letzten Änderung und Sie können zwei Optionen setzen (siehe Abbildung 10.28). Außerdem wird auf dieser Registerkarte der zugeordnete Wählplan der UM-Postfachrichtlinie angezeigt. Abbildung 10.28: Registerkarte Allgemein in den Eigenschaften einer UM-Postfachrichtlinie

■

■

644

Maximale Dauer der Begrüßung (Minuten) – Verwenden Sie dieses Feld, um die maximale Anzahl Minuten anzugeben, die Benutzer, die der UM-Postfachrichtlinie zugeordnet sind, zum Aufzeichnen von Voice-Mail-Begrüßungen verwenden können. Der gültige Bereich für die Begrüßung liegt zwischen einer und zehn Minuten. Die Standardeinstellung ist fünf Minuten. Benachrichtigungen über verpasste Anrufe zulassen – Eine Benachrichtigung über einen verpassten Anruf ist eine E-Mail-Nachricht, die an das Postfach eines Benutzers gesendet wird, wenn der Benutzer einen eingehenden Anruf nicht annimmt. Dies ist eine andere als die E-Mail-Nachricht, welche die für einen Benutzer hinterlassene Voice-Mail-Nachricht enthält. Normalerweise empfängt ein Benutzer zwei E-Mail-Nachrichten, wenn er einen eingehenden Anruf verpasst: eine E-Mail-Nachricht, welche die Voice-Mail-Nachricht enthält, und eine


Benachrichtigungsnachricht über einen verpassten Anruf. Standardmäßig wird die Benachrichtigung über verpasste Anrufe aktiviert, wenn eine UM-Postfachrichtlinie erstellt wird.

1

Registerkarte Nachrichtentext Sie können auf dieser Registerkarte den Text der E-Mail-Nachrichten angeben, die an einen Benutzer durch Unified Messaging zugesendet werden (siehe Abbildung 10.29).

2 Abbildung 10.29: Registerkarte Nachrichtentext in den Eigenschaften einer UM-Postfachrichtlinie

3 4 5 6 7 8 9

10 ■

■

Fax-Identität – Dieser Text enthält Identifikationsinformationen zum empfangenden Faxsystem. Diese Identifikationsinformationen werden auf der Anzeige des Faxgeräts des Absenders angezeigt, wenn eine Faxnachricht an einen UMaktivierten Benutzer gesendet wird. Der Text wird für Benutzer angezeigt, die Faxnachrichten von innerhalb und außerhalb Ihrer Organisation senden. Wird kein Text eingegeben, werden keine Informationen zum Identifizieren des Faxsystems des Empfängers bereitgestellt. Die Länge dieses Textfelds ist auf 32 Zeichen begrenzt. In der Standardeinstellung ist in diesem Textfeld der Text Microsoft Exchange eingestellt. Beim Aktivieren eines UM-Postfachs gesendeter Text – Der in dieses Textfeld eingegebene Text wird in der E-Mail-Nachricht angezeigt, die an Benutzer gesendet wird, wenn sie für Unified Messaging aktiviert werden (siehe nächster Abschnitt). Wird das Postfach eines Empfängers für Unified Messaging aktiviert, wird eine E-Mail-Nachricht an den Benutzer gesendet, welche die Durchwahl und die konfigurierte PIN enthält. Sie können dieses Textfeld für Informationen wie die Rufnummern des technischen Supports verwenden oder andere, allgemeingültige Informationen oder Unternehmensrichtlinien für die Nutzung von Unified Messaging. Wird in dieses Textfeld kein Text eingegeben, enthält die

11 12 13 14 15

645

Unified Messaging

■

■

■

E-Mail-Nachricht den Standardtext. Die Länge dieses Textfelds ist auf 512 Zeichen begrenzt. In der Standardeinstellung ist in diesem Textfeld kein Text vorhanden. Beim Zurücksetzen einer PIN gesendeter Text – Der in dieses Feld eingegebene Text wird in der E-Mail-Nachricht angezeigt, die an einen UM-aktivierten Benutzer gesendet wird, wenn seine UM-PIN zurückgesetzt wird. Eine PIN wird zurückgesetzt, wenn die Anzahl der Fehler bei Anmeldeversuchen größer als zehn ist (Standardeinstellung) oder der Benutzer seine PIN mithilfe der in Outlook 2007 oder Outlook Voice Access enthaltenen Unified-Messaging-Features über ein Telefon zurücksetzt. Wird in dieses Textfeld kein Text eingegeben, enthält die E-Mail-Nachricht den Standardtext. Die Länge dieses Textfelds ist auf 512 Zeichen begrenzt. In der Standardeinstellung ist in diesem Textfeld kein Text vorhanden. In eine Sprachnachricht eingefügter Text – Der in dieses Textfeld eingegebene Text wird in der E-Mail-Nachricht angezeigt, die an einen Benutzer gesendet wird, wenn er eine Voice-Mailnachricht von einem eingehenden Anrufer empfängt. Wird in dieses Textfeld kein Text eingegeben, enthält die E-Mail-Nachricht den Standardtext. Die Länge dieses Textfelds ist auf 512 Zeichen begrenzt. In der Standardeinstellung ist in diesem Textfeld kein Text vorhanden. In eine Faxnachricht eingefügter Text – Der in dieses Textfeld eingegebene Text wird in der E-Mail-Nachricht angezeigt, die an einen Benutzer gesendet wird, wenn er eine eingehende Faxnachricht in seinem Posteingang empfängt. Wird in dieses Textfeld kein Text eingegeben, enthält die E-Mail-Nachricht den Standardtext. Die Länge dieses Textfelds ist auf 512 Zeichen begrenzt. In der Standardeinstellung ist in diesem Textfeld kein Text vorhanden.

Registerkarte PIN-Richtlinien Verbinden sich Anwender per Outlook Voice Access mit dem Exchange Server über die Telefonleitung, müssen Sie eine definierte PIN eingeben, damit die Verbindung hergestellt werden kann. Sie können diese PIN bei der UM-Aktivierung angeben oder auf Basis einer PINRichtlinie vorgeben lassen. Wird die PIN automatisch erstellt, erhält der Anwender die entsprechende Information per E-Mail zugestellt. PIN-Richtlinien werden aus Basis von UM-Postfachrichtlinien erstellt. Sie können in einer PIN-Richtlinie, ähnlich wie in Gruppenrichtlinien für Kennwörter in Domänen, festlegen, wie oft Anwender die PIN ändern müssen, wie oft sich die PIN wiederholen kann und so weiter. Gestatten Sie Ihren Anwendern, Zugriff per Outlook Voice Access auf Ihre E-Mails und Kalendereinträge zu erlangen, sollten Sie mit der PINSicherheit genauso vorgehen wie bei der Sicherheit für Kennwörter in Domänen. Auf der Registerkarte PIN-Richtlinien können Sie diese Einstellungen vorgeben. Ihnen stehen dazu verschiedene Möglichkeiten zur Verfügung (siehe Abbildung 10.30). Indem Sie die Einstellungen auf dieser Seite konfigurieren, können Sie die Mindestanzahl von Ziffern für eine UM-PIN oder die Anzahl der fehlerhaften Anmeldeversuche angeben, bevor das Postfach eines Benutzers gesperrt wird: ■

646

Minimale PIN-Länge – Verwenden Sie dieses Textfeld, um die Mindestanzahl von Ziffern anzugeben, welche die PIN eines Unified-Messaging-Benutzers enthalten darf. Die Standardeinstellung sind sechs Ziffern. Der Wertebereich umfasst vier bis 24 numerische Stellen. Diese Einstellung kann nicht deaktiviert werden.


■

■

PIN-Gültigkeitsdauer (Tage) – Mithilfe dieses Textfeldes können Sie die Anzahl der Tage konfigurieren, nach denen die PIN des UM-aktivierten Benutzers abläuft. Ist die PIN abgelaufen, muss der Benutzer eine neue UM-PIN erstellen. Der Wert dieser Einstellung kann zwischen 0 und 999 liegen. Wird er auf 0 festgelegt, laufen PINs niemals ab. Anzahl der nicht zuzulassenden vorherigen PINs – Verwenden Sie diese Einstellung, um die Anzahl der PINs festzulegen, die ein Benutzer verwenden muss, bevor eine alte PIN erneut verwendet werden darf. Sie können den Wert für diese Einstellung zwischen 1 und 20 festlegen.

1 2

Abbildung 10.30: Konfigurieren von PIN-Richtlinien für den Outlook Voice Access-Zugriff

3 4 5 6 7 8 9

10 ■

■

Gängige Muster in PIN zulassen – Verwenden Sie diese Einstellung, um die PINKomplexitätsanforderungen festzulegen. Diese Komplexitätsanforderungen werden für PIN-Änderungen oder beim Erstellen neuer PINs erzwungen. Ist diese Einstellung aktiviert, dürfen Benutzer-PINs Folgendes nicht enthalten: ■ Sequenzzahlen wie z. B. 123456 oder 456789 ■

Wiederholte Zahlen wie z. B. 111111 oder 8888888

■

Suffix der Postfachdurchwahl

11 12 13

Anzahl fehlerhafter PIN-Einträge vor dem automatischen Zurücksetzen der PIN – Verwenden Sie dieses Textfeld, um die Anzahl der aufeinanderfolgenden nicht erfolgreichen oder fehlerhaften Anmeldeversuche festzulegen, die zulässig sind, bevor das Unified-Messaging-System die PIN eines Benutzers automatisch zurücksetzt. Der Wert dieser Einstellung kann zwischen 0 und 999 liegen. Wird er auf 0 festgelegt, ist diese Einstellung deaktiviert, und das System setzt die PINs von Benutzern niemals zurück. Diese Einstellung muss auf einen Wert festgelegt werden, der niedriger als der in der Einstellung Anzahl fehlerhafter PIN-Einträge vor dem Sperren des UM-Postfachs konfigurierte Wert ist.

14 15

647

Unified Messaging

■

Anzahl fehlerhafter PIN-Einträge vor dem Sperren des UM-Postfachs – Verwenden Sie dieses Textfeld, um die maximale Anzahl der aufeinanderfolgenden nicht erfolgreichen oder fehlerhaften Anmeldeversuche festzulegen, die zulässig sind, bevor das Postfach eines Benutzers gesperrt wird. Versucht ein Benutzer z. B. fünfmal erfolglos, sich an seinem Postfach anzumelden, setzt das System basierend auf der Einstellung die PIN des Benutzers zurück. Versucht der Benutzer mehr als fünfmal erfolglos, seine neue PIN zu verwenden, setzt das System seine PIN erneut zurück. Versucht der Benutzer anschließend nochmals fünfmal erfolglos, seine neue PIN zu verwenden, wird das Postfach des Benutzers gesperrt. Wurde das Postfach des Benutzers gesperrt, muss ein Administrator das Postfach für den Benutzer manuell zurücksetzen oder die Sperre aufheben. Dieser Wert kann zwischen 1 und 999 festgelegt werden. Dieser Wert muss größer als der unter Anzahl fehlerhafter PIN-Einträge vor dem automatischen Zurücksetzen der PIN festgelegte Wert sein.

Registerkarte Wähleinschränkungen Auf dieser Registerkarte können Sie verschiedene Einschränkungen vornehmen, die für die Benutzer angewendet werden, die dieser UM-Postfachrichtlinie zugeordnet werden (siehe Abbildung 10.31): ■

Abbildung 10.31: Konfigurieren von Wähleinschränkungen für UnifiedMessagingBenutzer

648

Anrufe an Teilnehmer innerhalb desselben Wählplans zulassen – Aktivieren Sie diese Option, um zuzulassen, dass UM-aktivierte Benutzer andere Benutzer innerhalb desselben Wählplans anrufen. Diese Option ist in der Standardeinstellung aktiviert. Deaktivieren Sie diese Einstellung, sind Benutzer, die dieser UMPostfachrichtlinie zugeordnet sind, nicht in der Lage, Benutzer innerhalb desselben Wählplans anzurufen, noch können sie andere Durchwahlnummern anrufen. Der Grund dafür ist, dass die Einstellung Anrufe an Durchwahlen zulassen standardmäßig deaktiviert ist.

Verwalten der Benutzereinstellungen für Unified Messaging

■

■

■

Anrufe an Durchwahlen zulassen – Ist diese Einstellung deaktiviert, können Benutzer, die dieser UM-Postfachrichtlinie zugeordnet sind, keine Benutzer ohne UM-Aktivierung oder andere Durchwahlnummern anrufen, die nicht einem UM-aktivierten Benutzer zugeordnet sind. Das Aktivieren dieser Einstellung erweist sich in einer Umgebung als hilfreich, in der nicht alle Benutzer UMaktiviert sind. Zugelassene nationale/regionsinterne Regelgruppen aus dem Wählplan auswählen – Standardmäßig sind keine nationalen/regionsinternen Wählgruppen für UM-Wählpläne oder für UM-Postfachrichtlinien konfiguriert. Sie müssen zuerst die entsprechenden nationalen/regionsinternen Gruppen für den Wählplan erstellen, welcher der UM-Postfachrichtlinie zugeordnet ist, um nationale/regionsinterne Wählgruppen hinzufügen zu können. Das Hinzufügen nationaler/regionsinterner Gruppen zur UM-Postfachrichtlinie kann sich als hilfreich erweisen, wenn Benutzer, die nationale/regionsinterne Telefonnummern anrufen, keinen Zugangscode für die Amtsleitung wählen möchten. Zugelassene internationale Regelgruppen aus dem Wählplan auswählen – Standardmäßig sind keine internationalen Wählgruppen für UM-Wählpläne oder für UM-Postfachrichtlinien konfiguriert.

10.5

1 2 3 4 5 6


7

Um Benutzer zu verwalten, verwenden Sie am besten die Exchange-Verwaltungskonsole. Navigieren Sie zum Menü Empfängerkonfiguration. Hier können Sie die Unified-Messaging-Funktion für Postfächer aktivieren, deaktivieren, PINs zurücksetzen und UM-Eigenschaften verwalten.

10.5.1

8 9

Aktivieren von Unified Messaging für Postfächer

Um ein Postfach für Unified Messaging zu aktivieren, klicken Sie es mit der rechten Maustaste an, und wählen Sie Unified Messaging aktivieren (siehe Abbildung 10.32). Sie finden den Befehl auch im Aktionsbereich, wenn Sie ein Benutzerkonto markieren.

10 Abbildung 10.32: Aktivieren eines Postfachs für Unified Messaging

11 12 13 14 15

649

Unified Messaging

Haben Sie den Menüpunkt ausgewählt, startet der Assistent für die Benutzeraktivierung. Sie müssen zunächst eine UM-Postfachrichtlinie auswählen. Haben Sie keine UM-Postfachrichtlinie erstellt, können Sie die standardmäßige Richtlinie auswählen, die auf Ihrem erstellten Wählplan aufbaut (siehe Abbildung 10.33). In diesem Assistenten legen Sie auch die Durchwahl sowie die Zugriffs-PIN des Anwenders fest (siehe Abbildung 10.33). Beide Informationen können auch automatisch erstellt und müssen nicht manuell eingetragen werden. Haben Sie die Daten eingegeben, können Sie das Postfach über die Schaltfläche Aktivieren für Unified Messaging aktivieren. Abbildung 10.33: Aktivieren von Unified Messaging für ein Postfach

INFO

Achten Sie darauf, dass der Unified-Messaging-Zugriff eine Funktion der PremiumVersion ist. Sie benötigen daher keine herkömmlichen Exchange Server-CALs, sondern Exchange-Enterprise-Clientzugriffslizenzen für Unified-Messaging-aktivierte Postfächer (siehe Kapitel 17). Wenn Sie einen Benutzer für Unified Messaging aktivieren, erhält dieser eine E-Mail mit den wichtigsten Informationen automatisch zugestellt (siehe Abbildung 10.34).

650


Abbildung 10.34: BestätigungsE-Mail für einen Benutzer bei der Aktivierung von Unified Messaging für sein Postfach

1 2 3 4 5 6 7

Deaktivieren von Unified Messaging für ein Postfach und Zurücksetzen der PIN Haben Sie ein Postfach für Unified Messaging aktiviert, können Sie dieses in der Exchange-Verwaltungskonsole wieder für Unified Messaging deaktivieren, indem Sie den entsprechenden Menüpunkt aus dem Kontextmenü oder dem Aktionsbereich auswählen.

8 9

Über diese Einstellung können Sie auch die PIN für den Zugriff anpassen, falls ein Anwender sie vergessen hat (siehe Abbildung 10.35).

10 Abbildung 10.35: Deaktivieren von Unified Messaging und Zurücksetzen der PIN für ein Postfach

11 12 13 14 15

651

Unified Messaging

10.5.2 Verwalten der Unified-Messaging-Eigenschaften für ein Postfach Rufen Sie in der Exchange-Verwaltungskonsole die Eigenschaften eines Postfachs auf, können Sie auf der Registerkarte Postfachfeatures die Einstellungen für das Postfach vornehmen. Markieren Sie die Option Unified Messagung, und klicken Sie auf Eigenschaften. Es öffnet sich ein neues Fenster, in dem Sie die Unified-Messaging-Einstellungen spezifizieren können (siehe Abbildung 10.36). Abbildung 10.36: Verwalten der Unified-MessagingEigenschaften für ein Postfach

In der Exchange-Verwaltungsshell können Sie sich die UM-Eigenschaften Ihrer Benutzer über den Befehl get-UMMailbox –identity <E-Mail-Adresse> anzeigen lassen. TIPP

10.6

Erstellen und Verwalten von UnifiedMessage-IP-Gateways

Mit Exchange Server 2007 haben Sie auch die Möglichkeit, eine Anbindung an ein bereits vorhandenes VoIP-System auf SIP-Basis herzustellen. Dazu wird auf einem Exchange Server 2007-Unified-Messaging-Server ein IP-Gateway erstellt, das die Verbindung zwischen der Exchange-Organisation und der VoIPTelefonanlage sicherstellt. Ein UM-IP-Gateway stellt einen logischen Link zwischen dem IP/VoIP-Gateway, dem UM-IP-Gateway und einem einzelnen oder mehreren UM-Sammelanschlüssen her. 652

Erstellen und Verwalten von Unified-Message-IP-Gateways

10.6.1

Erstellen und Verwalten eines neuen UnifiedMessaging-IP-Gateways

Um eine Verbindung zwischen Exchange Server 2007 und einer VoIP-SIP-Telefonanlage herzustellen, legen Sie auf Organisationsebene in der Exchange-Verwaltungskonsole ein neues UM-IP-Gateway an:

1. 2.

1

Öffnen Sie dazu zunächst den Menüpunkt Organisationskonfiguration/Unified Messaging (siehe Abbildung 10.37). Klicken Sie mit der rechten Maustaste in den Ergebnisbereich, und wählen Sie die Option Neues UM-IP-Gateway. Sie finden diesen Befehl auch im Aktionsbereich.

2 3 Abbildung 10.37: Erstellen eines neuen UM-IPGateways

4 5 6 7 8

Abbildung 10.38: Verbindungsaufbau mit einer VoIPAnlage

9

10 11 12 13 14 15 Haben Sie den Befehl ausgewählt, startet der Assistent, über den Sie die ExchangeOrganisation mit der VoIP-Telefonanlage verbinden können (siehe Abbildung 653

Unified Messaging

10.38). Bevor das IP/VoIP-Gatewaygerät Unified Messaging-Anrufe verarbeiten kann, muss es durch ein Objekt im Active Directory-Verzeichnisdienst dargestellt und anschließend mindestens einem UM-Wählplan zugewiesen werden. Geben Sie einen eindeutigen Namen für das UM-IP-Gateway ein. Hierbei handelt es sich um den Anzeigenamen, der auf der Exchange-Verwaltungskonsole angezeigt wird. Müssen Sie den Namen des UM-IP-Gateways nach dem Erstellen ändern, muss zuerst das vorhandene UM-IP-Gateway gelöscht und dann ein anderes UM-IP-Gateway mit dem entsprechenden Namen erstellt werden. Die maximale Länge eines UM-IP-Gateways beträgt 64 Zeichen, wobei Leerzeichen enthalten sein dürfen. Geben Sie im Feld IP-Adresse die IP-Adresse für das IP/VoIP-Gateway oder die SIPaktivierte (Session Initiation Protocol) PBX-Anlage (Private Branch eXchange) ein. Da ist die IP-Adresse, die auf dem Netzwerk oder der LAN-Schnittstelle des IP/VoIPGateways oder der SIP-aktivierten PBX-Anlage konfiguriert wurde. Sie können die IP-Adresse nach dem Erstellen des UM-IP-Gateways ändern. Beim Ändern dieser Einstellung kann jedoch die Kommunikation zwischen Unified-Messaging-Servern und IP/VoIP-Gateway oder der SIP-aktivierten IP/PBX-Anlage unterbrochen werden. Alternativ können Sie einen vollqualifizierten Domänennamen (FQDN) für das UMIP-Gateway eintragen. Dabei handelt es sich um den vollqualifizierten Domänennamen, der in einem Hosteintrag für das UM-IP-Gateway in der DNS-ForwardLookupzone auf dem autorisierenden DNS-Server konfiguriert ist. Abbildung 10.39: Erfolgreiche Erstellung eines UM-IP-Gateways

Wählen Sie einen UM-Wählplan für die Zuordnung zu einem UM-IP-Gateway aus, wird außerdem ein UM-Sammelanschluss erstellt und diesem UM-Wählplan zugeordnet. Wählen Sie keinen UM-Wählplan aus, müssen Sie einen UM-Sammelanschluss manuell erstellen und diesen dann dem erstellten UM-IP-Gateway zuordnen. 654


Haben Sie den UM-IP-Gateway einem UM-Wählplan zugeordnet, beantwortet der IP/VoIP-Gateway eingehende Anrufe. Haben Sie die Felder auf dieser Seite im Assistenten für einen neuen UM-IP-Gateway ausgefüllt, klicken Sie auf Neu, um den neuen UM-IP-Gateway zu erstellen. Die erfolgreiche Erstellung wird im Anschluss angezeigt (siehe Abbildung 10.39).

1

Das UM-IP-Gateway und der erstellte Sammelanschluss werden in der ExchangeVerwaltungskonsole angezeigt (siehe Abbildung 10.40). Sie können jederzeit weitere Sammelanschlüsse erstellen und diese zuweisen.

2 Abbildung 10.40: Anzeigen des UMIP-Gateways mit Sammelanschluss

3 4 5 6 7 8

Sie können das Gateway über das Kontextmenü oder den Aktionsbereich temporär deaktivieren, sodass zum Beispiel bei Wartungsarbeiten keine Anrufe weitergeleitet werden können. Der aktuelle Status des Gateways wird in der Exchange-Verwaltungskonsole angezeigt.

9 Abbildung 10.41: Deaktivieren eines UM-IP-Gateways

10 11 12 13 14 15

Die Einstellungen des Gateways können Sie jederzeit über die Eigenschaften aufrufen. Mit der Option Ausgehende Anrufe über diesen UM-IP-Gateway zulassen können Sie aktivieren, dass der UM-IP-Gateway ausgehende Anrufe akzeptiert und verarbeitet. Diese Einstellung wirkt sich nicht auf Anrufübergaben oder über einen IP/VoIPGateway eingehende Anrufe aus. Beim Erstellen des UM-IP-Gateways ist diese Ein655

Unified Messaging

stellung standardmäßig aktiviert. Deaktivieren Sie diese Einstellung, können Anrufer, die dem Wählplan zugeordnet sind, keine ausgehenden Anrufe über das im Feld Adresse angegebene IP/VoIP-Gateway tätigen. Abbildung 10.42: Eigenschaften eines UM-IP-Gateways

10.6.2 Verwalten von Sammelanschlüssen Erstellen Sie einen UM-Sammelanschluss, wird ein UM-Sammelanschlussobjekt im Active Directory-Verzeichnisdienst erstellt, das eine logische Darstellung einer vorhandenen Nebenstellenanlage oder eines Sammelanschlusses einer IP-Nebenstellenanlage ist. UM-Sammelanschlüsse fungieren als Verbindung zwischen einem UM-IPGateway und einem Wählplan. Klicken Sie mit der rechten Maustaste auf das erstellte UM-IP-Gateway, können Sie weitere Sammelanschlüsse, basierend auf Wählplänen, erstellen (siehe Abbildung 10.43). Wählen Sie dazu die Option Neuer UM-Sammelanschluss aus. Abbildung 10.43: Erstellen eines neuen UM-Sammelanschlusses

656


Möchten Sie die Einstellungen für den UM-Sammelanschluss ändern, müssen Sie den Sammelanschluss löschen und dann einen neuen Sammelanschluss mit den gewünschten Einstellungen erstellen: ■ ■

■

Zugeordnetes UM-IP-Gateway – Dieses reine Anzeigefeld zeigt den Namen des UM-IP-Gateways an, das dem UM-Sammelanschluss zugeordnet wird. Sammelanschlussname – Verwenden Sie dieses Textfeld, um den Anzeigenamen für den UM-Sammelanschluss zu erstellen. Ein UM-Sammelanschlussname ist erforderlich und muss eindeutig sein, wobei er jedoch nur zur Anzeige in der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell verwendet wird. Müssen Sie den Anzeigenamen des Sammelanschlusses nach dem Erstellen ändern, muss zuerst der vorhandene Sammelanschluss gelöscht und dann ein anderer Sammelanschluss mit dem gewünschten Namen erstellt werden. Ein UM-Sammelanschlussname kann bis zu 64 Zeichen lang sein und Leerzeichen enthalten. Er darf jedoch keines der folgenden Zeichen enthalten: / \ [ ] : ; | = , + * ? < >.. Wählplan – Die Zuordnung eines Sammelanschlusses zu einem Wählplan ist erforderlich. Ein UM-Sammelanschluss kann nur einem UM-IP-Gateway und einem UM-Wählplan zugeordnet werden.

1 2 3 4 5

Abbildung 10.44: Erstellen eines neuen UM-Sammelanschlusses

6 7 8 9

10 11 12 13

■

14

Pilot-ID – Verwenden Sie dieses Textfeld, um eine Zeichenfolge anzugeben, welche die Pilot-ID eindeutig kennzeichnet, die auf der Nebenstellenanlage (PBX) oder der IP-Nebenstellenanlage (IP-PBX) konfiguriert ist. In diesem Feld kann eine Durchwahlnummer oder ein SIP-URL (Session Initiated Protocol Uniform Resource Identifier) verwendet werden. Alphanumerische Zeichen sind in diesem Feld zulässig. Für ältere Nebenstellenanlagen wird ein numerischer Wert als Pilot-ID verwendet.

15

657

Unified Messaging

Haben Sie den Anschluss erstellt, wird dieser in der Exchange-Verwaltungskonsole unterhalb des zugeordneten UM-IP-Gateways angezeigt.

10.7

Erstellen und Verwalten von automatischen UM-Telefonzentralen

Exchange Server 2007 Unified Messaging (UM) ermöglicht die Einrichtung einer oder mehrerer automatischer UM-Telefonzentralen. Im Gegensatz zu anderen Unified-Messaging-Objekten, zum Beispiel UM-Wählplänen und UM-IP-Gateways, ist die Einrichtung automatischer UM-Telefonzentralen nicht unbedingt erforderlich. Automatische Telefonzentralen helfen in- und externen Anrufern jedoch beim Auffinden von Benutzern oder Abteilungen in einer Organisation, um an diese Anrufe weiterzuleiten.

10.7.1

Erstellen einer neuen automatischen Telefonzentrale

Um eine neue automatische Telefonanlage zu erstellen, gehen Sie folgendermaßen vor:

1. 2. 3. 4.

Öffnen Sie die Exchange-Verwaltungskonsole. Navigieren Sie zu Organisationskonfiguration/Unified Messaging. Öffnen Sie die Registerkarte Automatische UM-Telefonzentrale. Klicken Sie in den Ergebnisbereich mit der rechten Maustaste, und wählen Sie die Option Neue automatische UM-Telefonzentrale.

Abbildung 10.45: Erstellen einer neuen automatischen Telefonzentrale

Im Anschluss startet der Assistent zum Einrichten der neuen automatischen Telefonzentrale. Hier stehen Ihnen mehrere Felder zur Verfügung (siehe Abbildung 10.46). ■

658

Name – Ein Name für die automatische UM-Telefonzentrale ist erforderlich und muss eindeutig sein. In der Exchange-Verwaltungskonsole und der ExchangeVerwaltungsshell wird dieser Name jedoch nur zu Anzeigezwecken verwendet. Möchten Sie den Namen für die automatische Telefonzentrale ändern, nachdem sie erstellt wurde, müssen Sie zunächst die vorhandene automatische UM-Telefonzentrale löschen und anschließend neu erstellen. Die maximale Länge für den Namen einer automatischen UM-Telefonzentrale beträgt 64 Zeichen inklusive Leerzeichen.


■

Zugeordneten Wählplan auswählen – Klicken Sie auf Durchsuchen, um den mit der automatischen UM-Telefonzentrale verknüpften UM-Wählplan auszuwählen. Die Auswahl und Verknüpfung eines UM-Wählplans mit der automatischen UM-Telefonzentrale ist erforderlich. Eine automatische UM-Telefonzentrale kann jeweils nur mit einem UM-Wählplan verknüpft werden.

1 Abbildung 10.46: Erstellen einer neuen automatischen UM-Telefonzentrale

2 3 4 5 6 7 8 9

■

■

Durchwahlnummern – Verwenden Sie dieses Feld, um die Durchwahlnummer einzugeben, die Anrufer zum Erreichen der automatischen Telefonzentrale verwenden. Geben Sie eine Durchwahlnummer im Feld ein, und klicken Sie auf Hinzufügen, um die Durchwahl der Liste hinzuzufügen. Die Anzahl der Ziffern in der eingegebenen Durchwahlnummer muss nicht mit der Anzahl der Ziffern für eine auf dem verknüpften UM-Wählplan konfigurierte Durchwahlnummer übereinstimmen. Der Grund dafür ist, dass direkte Anrufe bei automatischen UM-Telefonzentralen zulässig sind. Es dürfen maximal 16 Durchwahlnummern eingegeben werden. Die neue automatische Telefonzentrale kann auch ohne eine in der Liste enthaltene Durchwahlnummer erstellt werden. Eine Durchwahlnummer ist nicht erforderlich. Sie können eine vorhandene Durchwahlnummer bearbeiten und löschen. Die automatische Telefonzentrale als aktiviert erstellen – Wählen Sie diese Option aus, um die automatische Telefonzentrale beim Beenden des Assistenten zu aktivieren, eingehende Anrufe zu beantworten. Standardmäßig wird eine neue automatische Telefonzentrale als deaktiviert erstellt. Erstellen Sie die automatische UM-Telefonzentrale als deaktiviert, können Sie den Aktionsbereich der Exchange-Verwaltungskonsole oder die Exchange-Verwaltungsshell verwenden, um die automatische Telefonzentrale nach Beendigung des Assistenten zu aktivieren.

10 11 12 13 14 15

659

Unified Messaging

■

Die automatische Telefonzentrale sprachaktiviert erstellen – Durch die Sprachaktivierung der automatischen Telefonzentrale können Anrufer auf Systemansagen oder benutzerdefinierte Ansagen antworten, die von der automatischen UM-Telefonzentrale anhand von Tonwahl- oder Spracheingaben verwendet werden. Standardmäßig ist die automatische Telefonzentrale bei ihrer Erstellung nicht sprachaktiviert. Um Anrufern eine sprachaktivierte automatische Telefonzentrale zur Verfügung zu stellen, müssen Sie das entsprechende Unified-Messaging-Sprachpaket installieren, das eine Unterstützung für die automatische Spracherkennung (Automatic Speech Recognition, ASR) enthält, und die Eigenschaften der automatischen Telefonzentrale für die Verwendung dieser Sprache konfigurieren.

10.7.2

Verwalten einer automatischen Telefonzentrale

Haben Sie die neue Telefonzentrale erstellt, können Sie diese in der Exchange-Verwaltungskonsole über das Kontextmenü deaktivieren oder aktivieren. Die Eigenschaften für weitere Einstellungen erreichen Sie ebenfalls über das Kontextmenü (siehe Abbildung 10.47). Rufen Sie die Eigenschaften einer automatischen Telefonzentrale auf, stehen Ihnen wieder verschiedene Registerkarten zur Verfügung, auf denen Sie die Telefonzentrale an Ihre Bedürfnisse anpassen können. Registerkarte Allgemein Auf dieser Registerkarte können Sie die Durchwahlnummern der automatischen UM-Telefonzentrale verwalten, den Status abrufen und weitere Einstellungen vornehmen (siehe Abbildung 10.47). Abbildung 10.47: Registerkarte Allgemein in den Eigenschaften einer automatischen UM-Telefonzentrale

660


Hier wird auch angezeigt, ob die automatische UM-Telefonzentrale aktiviert oder deaktiviert ist. Nach dem Erstellen einer automatischen Telefonzentrale kann der der automatischen Telefonzentrale zugeordnete Wählplan nicht geändert werden. Soll einer automatischen Telefonzentrale ein anderer Wählplan zugeordnet werden, müssen Sie den Wählplan löschen und der automatischen Telefonzentrale den gewünschten Wählplan zuordnen, nachdem Sie diesen neu erstellt haben.

1

Bei Verwendung der Option Die automatische Telefonzentrale ist sprachaktiviert können Anrufer auf Ansagen der automatischen Telefonzentrale antworten, um durch das Menüsystem zu navigieren. Standardmäßig ist eine automatische Telefonzentrale bei ihrer Erstellung nicht sprachaktiviert.

2 3

Aktivieren Sie die Option Diese automatische DTMF-Fallback-Telefonzentrale verwenden, damit die automatische UM-Telefonzentrale eine automatische MFVErsatzzentrale (Mehrfrequenzwählverfahren) verwenden kann. Eine automatische MFV-Ersatzzentrale kann nur dann verwendet werden, wenn die Option Die automatische Telefonzentrale ist sprachaktiviert ausgewählt ist. Sie müssen zuerst eine automatische MFV-Ersatzzentrale erstellen und dann auf die Schaltfläche Durchsuchen klicken, um nach der entsprechenden automatischen MFV-Telefonzentrale zu suchen. Eine automatische MFV-Ersatzzentrale wird verwendet, wenn die sprachaktivierte automatische UM-Telefonzentrale die Spracheingaben des Anrufers nicht erkennen kann. Beim Einsatz der automatischen MFV-Telefonzentrale muss der Anrufer MFV-Eingaben verwenden, um durch das Menüsystem zu navigieren, den Namen eines Benutzers zu buchstabieren oder eine benutzerdefinierte Menüansage zu verwenden. Ein Anrufer kann nicht mithilfe von Sprachbefehlen durch diese automatische Telefonzentrale navigieren.

4 5 6 7 8

Registerkarte Begrüßungen Beim Installieren der Serverfunktion Unified Messaging (UM) werden Standardaudiodateien für Systemansagen für UM-Wählpläne und für die automatische Telefonzentrale auf den Unified-Messaging-Server kopiert. Auch wenn Systemansagen nicht ersetzt oder geändert werden dürfen, möchten Sie möglicherweise die Audiodateien anpassen, die für Begrüßungen, Informationsansagen und Ansagen des Hauptmenüs verwendet werden. Vor der Aktivierung von benutzerdefinierten Sprachansagen für Anrufer müssen Sie die folgenden drei Schritte ausführen:

9

10

Zeichnen Sie die benutzerdefinierte Begrüßung auf, und speichern Sie sie als WAV-Datei. Der lineare PCM-Audiocodec (16 Bit/Sample) mit 8 KHz ist zum Erstellen der WAV-Datei erforderlich. Kopieren Sie die benutzerdefinierte Begrüßung in den gewünschten Ordner auf dem Unified-Messaging-Server, indem Sie das CMDlet Copy-UMCustomPrompt in der Exchange-Verwaltungsshell verwenden. Konfigurieren Sie die automatische Telefonzentrale zur Verwendung der benutzerdefinierten Begrüßung.

11

Sie können Standardbegrüßungen oder zuvor aufgezeichnete benutzerdefinierte Begrüßungen für Zeiten während und außerhalb der Geschäftszeit auswählen (siehe Abbildung 10.48).

14

1.

2.

3.

12 13

15

661

Unified Messaging

Abbildung 10.48: Konfiguration der Begrüßungen einer automatischen Telefonzentrale

■

■

■

■

662

Begrüßung während der Geschäftszeit – Da ist die Eingangsbegrüßung, die ein Anrufer hört, wenn er mit der automatischen Telefonzentrale während der Geschäftszeit Ihrer Organisation verbunden wird. Standardmäßig ist dies eine Systemansage mit dem Text »Willkommen bei der automatischen ExchangeTelefonzentrale.« Die Zeiten während und außerhalb der Geschäftszeit werden auf der Registerkarte Zeiten der automatischen Telefonzentrale konfiguriert. Begrüßung außerhalb der Geschäftszeit – Standardmäßig sind keine Zeiten während oder außerhalb der Geschäftszeit konfiguriert. Eine Standardbegrüßung außerhalb der Geschäftszeit ist daher nicht vorhanden. Auf der Registerkarte Zeiten können die Zeiten während und außerhalb der Geschäftszeit konfiguriert werden. Informationsansage – Bei Aktivierung dieser Option wird diese Aufzeichnung direkt nach der Begrüßung während oder außerhalb der Geschäftszeit abgespielt. Ansage für Hauptmenü innerhalb oder außerhalb der Geschäftszeit – Die Hauptmenüansage während der Geschäftszeit für eine automatische Telefonzentrale setzt sich aus der Liste der Optionen zusammen, die Anrufern während der auf der Registerkarte Zeiten festgelegten Geschäftszeit abgespielt wird. Wenn Sie zum Beispiel technischen Support benötigen, drücken oder sagen Sie 1. Wenn Sie mit Unternehmensstandorten oder der Unternehmensverwaltung verbunden werden möchten, drücken oder sagen Sie 2. Wenn Sie mit dem Vertrieb verbunden werden möchten, drücken oder sagen Sie 3.


Führen Sie die folgenden Schritte aus, um eine Hauptmenüansage während der Geschäftszeit zu aktivieren:

1.

2. 3.

Geben Sie eine benutzerdefinierte Audiodatei für die Menüansage an. Klicken Sie zum Verwenden einer Menüansage während der Geschäftszeit auf Ändern, und wählen Sie die Standardansage oder eine zuvor aufgezeichnete Ansage aus. Konfigurieren Sie die gewünschte Geschäftszeit auf der Registerkarte Zeiten. Wählen Sie auf der Registerkarte Tastenzuordnung die Option Tastenzuordnung für Geschäftszeit aktivieren aus, und konfigurieren Sie die Tastenzuordnungen auf der Registerkarte Tastenzuordnung für die automatische Telefonzentrale.

1 2 3

Registerkarte Zeiten Auf dieser Registerkarte legen Sie die Geschäftszeiten Ihres Unternehmens fest, auf deren Basis die einzelnen Begrüßungen auf der Registerkarte Begrüßungen abgespielt werden. Sie können hier auch die Zeitzone definieren, die als Grundlage für die Arbeitszeiten verwendet wird.

4 5

Wählen Sie mithilfe dieser Liste einen Standardzeitplan aus, oder klicken Sie auf Anpassen, um einen eigenen benutzerdefinierten Zeitplan zu erstellen. Weichen Ihre Geschäftszeiten nur geringfügig von einem der im System vordefinierten Zeitpläne ab, können Sie diesen Zeitplan auswählen und anschließend auf Anpassen klicken, um den Zeitplan exakt an Ihre Geschäftszeiten anzupassen.

6

Standardmäßig wird die Zeitzone unter Verwendung der Systemzeit des lokalen Servers bei der Installation der Serverfunktion Unified Messaging konfiguriert.

7 Abbildung 10.49: Konfiguration der Geschäftszeiten in den Eigenschaften einer automatischen UM-Telefonzentrale

8 9

10 11 12 13 14 15

663

Unified Messaging

Verwenden Sie den Zeitplan Feiertagszeitplan, um die Tage festzulegen, an denen Ihr Unternehmen geschlossen ist. Anrufer, welche die automatische Telefonzentrale während dieser Zeiten erreichen, hören eine von Ihnen festgelegte Audiodatei mit der benutzerdefinierten Begrüßung für Feiertage. Konfigurieren Sie den Feiertagszeitplan, müssen Sie auch das Startdatum der Feiertage und das Enddatum festlegen. Registerkarte Features Auf dieser Registerkarte können Sie Einstellungen vornehmen zum Festlegen von Features für Anrufer, welche die automatische UM-Telefonzentrale (Unified Messaging) anwählen. Ihnen stehen verschiedene Funktionen zur Auswahl (siehe Abbildung 10.50). Abbildung 10.50: Konfiguration der Features für eine automatische UMTelefonzentrale

■

■

664

Sprache – Verwenden Sie diese Liste zur Auswahl der Sprache, die für Ansagen der automatischen Telefonzentrale verwendet wird. Die Standardsprache wird bei der Installation von Exchange Server 2007 festgelegt. Achten Sie darauf, dass die Spracheinstellungen im Wählplan und in der automatischen Telefonzentrale übereinstimmen. Stimmen die Spracheinstellungen nicht überein und rufen Anrufer eine im Wählplan angegebene Durchwahlnummer an, erhalten Sie Ansagen in einer Sprache. Rufen die Anrufer eine der automatischen Telefonzentrale zugeordnete Durchwahlnummer an, werden Sie sonst mit Ansagen in einer anderen Sprache begrüßt. Die in dieser Liste ausgewählte Sprache wird verwendet, wenn Anrufer die Durchwahlnummer wählen, die in den Eigenschaften für die automatische UM-Telefonzentrale festgelegt wurde. Durchwahl für Vermittlungsstelle – Über diese Durchwahlnummer kann der Anrufer auch mit einer Person in der Telefonzentrale oder einem UM-aktivierten Postfach verbunden werden. Die Nummer kann auch so konfiguriert werden, dass eine externe Telefonnummer angerufen wird.


Die Vermittlung an Benutzer durch Anrufer zulassen – Diese Option ist standardmäßig aktiviert und erlaubt Benutzern, die dem Wählplan zugeordnet sind, die Vermittlung von Anrufen an Benutzer im selben UM-Wählplan. Nach dem Aktivieren dieser Option können Sie die Gruppe von Benutzern festlegen, an die Anrufe weitergeleitet werden können, indem Sie die entsprechende Option im Abschnitt Anrufer können sich wenden an auf dieser Seite auswählen. Deaktivieren Sie diese Option und die Option Anrufern das Senden von Sprachnachrichten ermöglichen, stehen die Optionen unter Anrufer können sich wenden an nicht zur Verfügung.

1 2

Anrufern das Senden von Sprachnachrichten ermöglichen – Diese Option ist standardmäßig aktiviert und ermöglicht Benutzern, die dem Wählplan zugeordnet sind, Sprachnachrichten an Benutzer im selben UM-Wählplan zu senden. Nach dem Aktivieren dieses Kontrollkästchens können Sie die Gruppe von Benutzern festlegen, an die Anrufer Sprachnachrichten senden können, indem Sie die entsprechende Option im Abschnitt Anrufer können sich wenden an auf dieser Seite auswählen. Bei Deaktivierung dieser Option fordert die automatische Telefonzentrale Anrufer nicht zum Senden von Sprachnachrichten während einer Systemansage auf.

3 4 5

Anrufer können sich wenden an – Standardmäßig ist die Option Benutzer im Wählplan ausgewählt. Die Gruppe der Benutzer kann auch geändert werden, um Anrufern die Vermittlung von Anrufen oder das Senden von Sprachnachrichten an Benutzer in der globalen Adressliste (GAL) oder an eine bestimmte Gruppe von Benutzern in benutzerdefinierten Adresslisten zu ermöglichen.

6 7

Auswahlmethode für zugeordnete Namen – Diese Methode wird verwendet, wenn mindestens zwei Benutzer mit demselben Namen im Verzeichnis vorhanden sind. Die automatische Telefonzentrale erbt standardmäßig aus dem Wählplan. Die automatische Telefonzentrale ist jedoch standardmäßig nicht in der Lage, zwischen zwei oder mehreren Benutzern mit demselben Namen zu unterscheiden, da die Standardeinstellung für die Auswahlmethode für zugeordnete Namen im Wählplan auf Keine gesetzt ist. Sie können diese Einstellung auf dieser Eigenschaftenseite konfigurieren oder die Standardeinstellung in der automatischen Telefonzentrale beibehalten und diese Einstellung im Wählplan festlegen.

8 9

10

Übergabe an Vermittlungsstelle während der Geschäftszeit zulassen – Aktivieren Sie diese Option, damit Anrufer während der Geschäftszeit an eine Person in der Vermittlungsstelle weitergeleitet werden, wenn sie die Durchwahlnummer verwenden, die im Feld Durchwahl für Vermittlungsstelle auf dieser Eigenschaftenseite konfiguriert wurde. Diese Option ist standardmäßig deaktiviert.

11

Übergabe an Vermittlungsstelle nach Ende der Geschäftszeit zulassen – Aktivieren Sie diese Option, damit Anrufer nach Ende der Geschäftszeit an eine Person in der Vermittlungsstelle weitergeleitet werden, wenn sie die Durchwahlnummer verwenden, die im Feld Durchwahl für Vermittlungsstelle auf dieser Eigenschaftenseite konfiguriert wurde. Diese Option ist standardmäßig deaktiviert.

12 13

Registerkarte Tastenzuordnung Verwenden Sie diese Registerkarte, um die Tastenzuordnungen festzulegen, die Anrufer drücken können, wenn Sie mit der automatischen UM-Telefonzentrale verbunden sind. Für die Geschäftszeit und die Zeit außerhalb der Geschäftszeit können unterschiedliche Tastenzuordnungen festgelegt werden. Eine Tastenzuordnung wird als Eintrag in einer Tabelle festgelegt, die höchstens neun Einträge enthalten darf. Die Taste 0 ist für eine Vermittlung an die Vermittlungsstelle reserviert.

14 15

665

Unified Messaging

Abbildung 10.51: Konfiguration Tastenzuordnung

Eine Tastenzuordnung, die während der Geschäftszeit verwendet wird, kann beispielsweise einen Anruf an eine andere Durchwahlnummer umleiten, über die ein Vermittler verfügbar ist. Für die Zeit außerhalb der Geschäftszeit ist die Option zur Weiterleitung an eine andere Durchwahl nicht verfügbar, oder der Anruf wird an ein UM-aktiviertes Postfach weitergeleitet, sodass der Anrufer eine Sprachnachricht hinterlassen kann.

10.8

Voice-Mail mit Outlook 2007 und Outlook Web Access

Anwender, die mit Outlook 2007 arbeiten und die für Unified Messaging aktiviert worden sind, können einige Einstellungen bezüglich Voice-Mail in Outlook durchführen. Rufen Sie dazu über Extras/Optionen die Einstellungen in Outlook 2007 auf. In Outlook Web Access finden Sie diese Einstellungen über Optionen/Voice-Mail. Die Einstellungen für Unified Messaging können Sie in Outlook 2007 über die Registerkarte Voice-Mail vornehmen. Diese Möglichkeiten stehen ausschließlich nur in Outlook 2007 und Outlook Web Access 2007 zur Verfügung (siehe Abbildung 10.52). Unter manchen Umständen scheitert der Verbindungsaufbau zwischen dem Exchange Server und Outlook 2007. In diesem Fall wird die Registerkarte Voice-Mail deaktiviert, und Sie erhalten eine Fehlermeldung. Schauen Sie sich in diesem Fall die nächsten Abschnitte in diesem Kapitel an.

666


Abbildung 10.52: Voice-MailEinstellungen von Outlook 2007

1 2 3 4 5 6 7 8

10.8.1

Voice-Mail in Outlook 2007 und Outlook Web Access verwenden

9

Wurde eine Sprachmitteilung empfangen und geöffnet, wird ein Voice-Mailformular verwendet. Andere Nachrichtentypen mit Sprachanlagen werden als Standardelemente verwendet, für die Outlook-Standardformulare benutzt werden. Das Outlook 2007-Voice-Mailformular ähnelt dem E-Mail-Standardformular, stellt Benutzern aber eine Schnittstelle bereit, um Aktionen wie das Wiedergeben, Beenden oder Anhalten von Sprachmitteilungen über ein Telefon sowie das Hinzufügen und Bearbeiten von Notizen ausführen zu können.

10 11

Das Voice-Mailformular enthält den eingebetteten Windows Media Player und ein Feld Notizen (siehe Abbildung 10.54). Der eingebettete Media Player und das Feld Notizen werden entweder im Vorschaufenster bei der Vorschau einer Sprachmitteilung angezeigt oder in einem gesonderten Fenster, wenn die Sprachmitteilung vom Benutzer geöffnet wird.

12 13

Ist ein Benutzer nicht für Microsoft Exchange Server 2007 Unified Messaging aktiviert oder ist auf dem Clientcomputer Outlook 2007 nicht installiert, erhält dieser Sprachmitteilungen nur als Anlagen, und das Voice-Mailformular ist nicht verfügbar.

14 15

667

Unified Messaging

Abbildung 10.53: Voice-Mail-Einstellungen in Outlook Web Access 2007

Ist eine Voice-Mailnachricht eingegangen, können Benutzer die Voice-Mailnachricht über die Lautsprecher oder den Kopfhörer ihres Computers wiedergeben oder das Feature Wiedergabe über Telefon verwenden (siehe Abbildung 10.54). Diese Funktion ist in den Outlook-Funktionen für Exchange Unified Messaging (UM) in Outlook 2007 enthalten. Arbeitet ein UM-aktivierter Benutzer in einem Großraumbüro oder verwendet er einen öffentlichen Computer, möchte er die Wiedergabe der Sprachnachricht möglicherweise nicht über die Computerlautsprecher vornehmen. Alternativ kann er die Sprachnachricht mithilfe eines privaten, geschäftlichen oder Mobiltelefons wiedergeben. Die Funktion Wiedergabe über Telefon ist in Outlook 2007 und auch in Outlook Web Access verfügbar. Klickt der Benutzer im Outlook 2007-Voice-Mailformular auf die Symbolleistenoption Wiedergabe über Telefon (siehe Abbildung 10.54), wird das Dialogfeld Wiedergabe über Telefon angezeigt. Das Dialogfeld stellt die Steuerelemente zum Auswählen oder Eingeben der Rufnummer, die für die Wiedergabe einer Sprachnachricht verwendet werden soll, ebenso wie die Steuerelemente zum Starten und Beenden des Anrufs sowie die Statusmeldung zum Überwachen des Anrufs zur Verfügung. Benutzer können eine Liste der Rufnummern im Feld Wiedergabe über Telefon anzeigen, die sie zuletzt verwendet haben. Die auf der Registerkarte Voice-Mail angegebene Rufnummer wird immer als erster Eintrag angezeigt und für den Benutzer automatisch als primäre Rufnummer ausgewählt. Benutzer können das Dropdown-Menü zum Auswählen anderer Rufnummern verwenden, die anstelle der Rufnummer gewählt werden sollen, die als primäre Rufnummer konfiguriert ist. Diese Funktion ist in Outlook Web Access nicht verfügbar.

668


Abbildung 10.54: Sprachnachrichten über das Telefon wiedergeben

1 2 3 4

10.8.2 Troubleshooting der Verbindung zum Exchange Server von Outlook 2007

5

Haben Sie Verbindungsprobleme in Outlook 2007, die sich nicht nur in Unified Messaging äußern, stehen Ihnen mit Outlook 2007 neben den bereits beschriebenen Optionen beim Starten weitere Möglichkeiten zur Verfügung. Ein fehlerhafter Verbindungsaufbau äußert sich zum Beispiel darin, dass Sie in Outlook 2007 über Extras/Optionen die Registerkarte Voice-Mail nicht anzeigen können, da sie deaktiviert ist. Gehen Sie zur Fehlerbehebung folgendermaßen vor:

1.

2.

6 7

Funktioniert zum Beispiel die Verbindung zum Unified-Messaging-Server nicht, können Sie zur Fehlerbehebung die [STRG]-Taste drücken und mit der rechten Maustaste auf das Outlook-Icon in der Taskleiste neben der Uhr klicken. Wählen Sie als Nächstes die Option E-Mail-Autokonfiguration testen (siehe Abbildung 10.55).

8

Abbildung 10.55: Testen der Autokonfiguration von Outlook 2007

9

10 11 12

3. Im Anschluss startet der Assistent, mit dessen Hilfe Sie die Verbindung zum Uni4. 5.

13

fied-Messaging-Server testen können (siehe Abbildung 10.56). Geben Sie im neuen Fenster die E-Mail-Adresse und das Kennwort des Anwenders an, den Sie testen wollen. Klicken Sie im Anschluss auf Test. Sie sehen das Ergebnis der Autokonfiguration auf drei Registerkarten, die zum großen Teil bereits in Kapitel 9 besprochen worden sind. Wichtig für das Troubleshooting der Verbindung zum UnifiedMessaging-Server ist auf der Registerkarte Ergebnisse die Zeile Unified Messaging Service URL (siehe Abbildung 10.57).

14 15

669

Unified Messaging

Abbildung 10.56: Testen der Verbindung zum UnifiedMessaging-Server

Abbildung 10.57: Informationen über die Verbindung zum Unified-MessagingServer

6. Wichtig ist an dieser Stelle die URL für die Verbindung zum Unified Messaging Server. Wechseln Sie als Nächstes zur Registerkarte XML. Hier sehen Sie den XML-Code für die Autokonfiguration von Outlook 2007. 7. Interessant sind an dieser Stelle die beiden Bereiche EXPR und EXCH (siehe Abbildung 10.58). Im Bereich EXCH wird die interne Verbindung zum Exchange Server hinterlegt (siehe Abbildung 10.58), während der Bereich EXPR für die Outlook Anywhere-Verbindung über das Internet zuständig ist (siehe Abbildung 10.59). Stellen Sie sicher, dass die richtigen Servernamen hinterlegt sind und diese auch per DNS oder WINS aufgelöst werden können. 8. Geben Sie anschließend die bereits beschriebene URL für Unified Messaging in einen Webbrowser ein. Es sollte keine Fehlermeldung erscheinen und sich der Webdienst für Unified Messaging öffnen. Die Seite sollte folgendermaßen aussehen (siehe Abbildung 10.60):

670


Abbildung 10.58: Interne Verbindungsinformationen für Outlook 2007

1 2 3 4 5

Abbildung 10.59: Automatische Konfiguration der externen Verbindung über Outlook Anywhere

6 7 8 9

10 11 Abbildung 10.60: Erfolgreicher Verbindungsaufbau zum UnifiedMessaging-Webdienst

12 13 14 15

Sollte das Problem immer noch nicht gelöst sein, so liegt vermutlich ein Authentifizierungsproblem vor. Versuchen Sie, ein neues MAPI-Profil auf dem PC anzulegen. Sollte auch das nicht helfen, überprüfen Sie die Konfiguration des Serverzertifikats des Client-Access-Servers (siehe Kapitel 9). 671

Inhalt 1 2 3 4 5

11

Datensicherung und Wiederherstellung

6 7

Die Datensicherung eines Exchange Servers gehört sicherlich zu den wichtigsten Aufgaben eines Exchange-Administrators. Da die Kommunikation mithilfe von E-Mails in Unternehmen eine immer größere Rolle spielt, verlassen sich Ihre Benutzer immer mehr auf das System. Bei Ausfall eines Servers oder einer ExchangeDatenbank sollten Sie rechtzeitig einen Plan ausarbeiten und testen, was bei einer Wiederherstellung zu tun ist. Auch das Zurücksichern einzelner E-Mails wird von vielen Benutzern inzwischen vorausgesetzt. Bei der Sicherung eines Exchange Servers müssen Sie immer Murphys Gesetz beachten: »Was schiefgehen kann, geht schief«, und zwar zum ungünstigsten Zeitpunkt. Seien Sie bei der Sicherung Ihres Exchange Servers auf der Hut. Viele Firmen sichern ihre Exchange-Daten nur aufgrund eines schlechten Gewissens, testen aber nie eine Rücksicherung. Wird die Datensicherung dann irgendwann benötigt, weiß kein Mensch, was genau zu tun ist und ob die Rücksicherung überhaupt funktioniert.

9 10

11 12 INFO

13 14 15

673

Index

Die fortlaufende lokale Datensicherung (Local Continuous Replication, LCR), fortlaufende Stand-by-Replikation (Neu in SP1) und die fortlaufende Clusterreplikation (Clustered Continuous Replication, CCR) stellen einen gewissen Schutz für Postfachdaten dar. Sie sind jedoch kein Ersatz für regelmäßige Datenbanksicherungen. Durch die LCR und die CCR werden zeitnahe Kopien der ausgeführten Datenbank erstellt. Diese werden fortlaufend aktualisiert und für schnelle Wiederherstellungen verwendet. Bei Sicherungen handelt es sich um statische Kopien einer Datenbank zu einem bestimmten Zeitpunkt, mit denen eine Datenbank in diesem Zustand wiederhergestellt werden kann.

8


11.1

Einführung in die Datensicherung von Exchange Server 2007

Es gibt zwei verschiedene Varianten der Datensicherung: die Online-Sicherung und die Offline-Sicherung. Da Exchange auf einer ESE-Datenbank aufbaut, die ständig online ist, werden zur Sicherung der Datenbank spezielle Exchange-Agenten benötigt. Bei der Installation von Exchange wird das Windows-Datensicherungsprogramm erweitert, damit es online die Exchange-Datenbanken sichern kann. Die Unterstützung des Volumenschattenkopie-Dienstes (Volume Shadow Copy Service, VSS) wurde in Exchange Server 2003 eingeführt und in Exchange Server 2007 umfangreich erweitert. Microsoft stellt keine VSS-basierte Sicherungslösung bereit, die Exchange-kompatibel ist. Das Sicherungsprogramm kann VSS-Schattenkopien der Datenbank und Protokolldateien von Exchange erstellen. Dieser Vorgang erfolgt jedoch auf Dateiebene, nicht auf Postfachebene. Diese Kopien sind keine Exchangekompatiblen Sicherungen. Zum Sichern der Exchange-Datenbank mit dem Volumenschattenkopie-Dienst sind Sicherungsprogramme von Drittanbietern, zum Beispiel Symantec Backup Exec, erforderlich. Sie müssen daher eine Exchange-kompatible Sicherungslösung erwerben, um die VSS-Funktionen zu nutzen. In diesem Kapitel werde ich detaillierter auf diese und andere Punkte der Datensicherung und Wiederherstellung eingehen. Achten Sie darauf, dass auf Ihrem Exchange Server immer genügend freier Plattenplatz zur Verfügung steht. Idealerweise sollte auf dem Datenträger genauso viel freier Platz zur Verfügung stehen, wie Exchange bereits für seine Datenbanken benötigt. Dadurch steht Ihnen genügend Spielraum zum Kopieren von Daten, für die Datensicherung und andere Tools, wie Eseutil zum Wiederherstellen Ihrer Datenbanken, zur Verfügung (siehe Kapitel 6). Durch die Dial-Tone-Portabilität kann das Postfach eines Benutzers verschoben werden, ohne dass Zugriff auf die Inhalte des Postfachs erforderlich ist. So kann ein anderer Server die Postfächer von Benutzern speichern, die sich zuvor auf einem anderen Server befunden haben, der nicht mehr verfügbar ist. Mit dem automatischen Erkennungsdienst (Autodiscover, siehe Kapitel 9) von Outlook 2007 und Exchange Server 2007 werden Clients auf den neuen Server umgeleitet, wenn sie versuchen, eine Verbindung herzustellen. Auf diese Weise entfällt die bisherige Anforderung, dass das Outlook-Profil geändert werden muss, um einen Benutzer an einen neuen Server umzuleiten. Benutzer werden anschließend auf diesen neuen Server verschoben und sind schnell wieder in der Lage, E-Mail-Nachrichten senden und empfangen zu können. In diesem Fall besteht eine weitere Alternative darin, eine neue Postfachdatenbank auf einem vorhandenen Mailbox-Server zu erstellen. Benutzer können dann auf den vorhandenen Server verschoben werden. Erstellen Sie eine Dial-Tone-Datenbank, verlieren Sie nicht nur alle Nachrichten, sondern auch alle Regeln, Formulare, Ansichten und anderen Postfachmetadaten. Das Dial-Tone-Wiederherstellungsfeature von Exchange Server 2007 bietet einige Vorteile: ■

674

Es ermöglicht Benutzern während des Wiederherstellungsvorgangs das Senden und Empfangen von E-Mail-Nachrichten ohne Zugriff auf die auf dem Server gespeicherten historischen Daten.

Was sollte gesichert werden?

■

■ ■

Es verschafft dem Exchange-Administrator Zeit für den Wiederherstellungsvorgang, um historische Postfachdaten online zu schalten, ohne dass die E-MailFunktionen vollkommen ausfallen. Es bietet Benutzern eingeschränkten Zugriff auf ihre in einer Offlineordnerdatei (OST-Datei) gespeicherten E-Mail-Nachrichten. Es ermöglicht das Zusammenführen der Dial-Tone- und wiederhergestellten Datenbank in einer einzigen, aktuellen Postfachdatenbank, nachdem die wiederhergestellte Datenbank erneut online geschaltet wurde.

11.2

1 2


3

Durch die verschiedenen neuen Serverrollen in Exchange Server 2007 besteht die Notwendigkeit, dass Sie auf verschiedenen Exchange Servern, abhängig von den installierten Rollen, unterschiedliche Daten sichern sollten, die für die Funktion der Exchange-Organisation eine wesentliche Rolle spielen. Natürlich sind auch weiterhin die Exchange-Datenbanken und die damit verbundenen *.edb-Dateien auf MailboxServern die wichtigsten Daten, die gesichert werden müssen. Im folgenden Abschnitt beschreibe ich einführend, welche Daten Sie auf den verschiedenen Serverrollen zunächst sichern sollten.

11.2.1

4 5 6

Daten auf Mailbox-Servern 7

Die wichtigsten Daten liegen auf den Mailbox-Servern. Hier liegen die Inhalte der Postfächer und öffentlichen Ordner, die Exchange-Datenbanken. Diese Daten werden in einzelnen *.edb-Dateien gespeichert, für jede Postfachdatenbank gibt es eine solche Datei. In der Extensible Storage Engine (ESE), die früher als JET-Datenbank (Joint Engine Technology) bezeichnet wurde, werden sämtliche von ExchangeClients übermittelten Daten gespeichert. Jeder Datenbank ist eine EDB-Datei zugeordnet. Die Größe der *.edb-Datei ist durch ESE auf 16 Terabytes beschränkt, tatsächlich sollte die Datenbank jedoch viel kleiner sein. Alle Änderungen an der Datenbank werden zunächst an Transaktionsprotokolldateien übergeben (siehe auch Kapitel 6). Ändert ein Benutzer die in einem Postfach gespeicherten Daten oder werden dem Postfach Daten hinzugefügt, wird die Änderung zunächst in eine Transaktionsprotokolldatei und dann in die Datenbank geschrieben. Die Änderung wird sofort an den RAM-internen Datenbankcache übergeben und anschließend wieder auf den Datenträger kopiert. Die Transaktionsprotokolldateien sind jeweils 1 MB groß (unter Exchange 2003 waren es noch 5 MB). Die Anzahl der erstellten Transaktionsprotokolldateien ist von der Clientauslastung auf dem Server abhängig. Verwenden Sie eine Exchange-kompatible Sicherungsanwendung, zum Beispiel das Sicherungsprogramm von Microsoft Windows Server 2003 oder ein Drittanbietertool, um regelmäßige Sicherungen der Exchange-Datenbank durchzuführen. Nach Übergabe der Transaktionsprotokolldateien sind diese durch Sicherungen geschützt. Werden keine regelmäßigen Sicherungen durchgeführt oder schlagen Sicherungsvorgänge fehl, sammeln sich die Transaktionsprotokolldateien im Dateisystem an.

8 9 10

11 12 13 14

Werden Transaktionsprotokolldateien nicht weitergegeben und gelöscht, können sie zu viel Speicherplatz auf Ihrer Festplatte belegen. Zu diesem Zeitpunkt hebt Exchange die Bereitstellung Ihrer Datenbank auf und nimmt keine Daten mehr an, bis Sie mehr Speicherplatz auf der Festplatte freigeben.

15

675


In einem Wiederherstellungsszenario nach Datenverlust für einen Mailbox-Server kann ein Großteil der Einstellungen für einen Mailbox-Server aus dem Active Directory durch Ausführen von Setup /m:RecoverServer wiederhergestellt werden. Durch diese Option des Installationsprogramms werden allerdings nur die Serverfunktionen selbst wiederhergestellt, nicht die Daten der Benutzer und keine Postfachdatenbanken. Weiterhin sollten folgende Daten regelmäßig gesichert werden: ■

■

■

■

■

Exchange-Datenbankdateien, einschließlich Postfach- und Öffentliche-OrdnerDatenbanken, durch eine Exchange-kompatible Datensicherung (wird im Abschnitt zur Online-Sicherung ausführlich besprochen). Exchange-Transaktionsprotokolldateien, die für jede Speichergruppe spezifisch sind, durch eine Exchange-kompatible Datensicherung (wird im Abschnitt zur Online-Sicherung ausführlich besprochen). Offlineadressbuch (OAB) – Standardmäßig liegt die OAB-Datei in folgendem Ordner auf dem Server, der das Offlineadressbuch generiert: C:\Programme\ Microsoft\Exchange Server\ExchangeOAB. Dieser Speicherort ist der autorisierende Speicher für die OAB-Dateien. Sie können ebenfalls das Verzeichnis <Exchange-Installationsverzeichnis>\OAB auf Ihren Client-Access-Servern sichern, welche die lokale zwischengespeicherte Kopie der OAB-Dateien enthalten. Diese Aktion ist aber nicht erforderlich, sie erübrigt jedoch das Replizieren aller OAB-Dateien vom Mailbox-Server, wenn der Client-Access-Server bei der Wiederherstellung nach Datenverlust wieder online geschaltet wird. Das Verzeichnis \ExchangeOAB auf dem Clientzugriffsserver (Client Access Server, CAS) muss nicht gesichert werden, dieses wird vom generierenden Mailbox-Server automatisch repliziert. Das Offlineadressbuch kann aber auch manuell nach der Wiederherstellung des Servers wieder neu erstellt werden. Windows-Registrierung – Sie sollten die Pfade HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Exchange und HKLM\SYSTEM\currentcontrolset\Services regelmäßig nach Änderungen exportieren.

11.2.2

Daten auf Hub-Transport-Servern sichern

Mit der Serverfunktion Hub-Transport werden alle Konfigurationsdaten im Active Directory-Konfigurationscontainer gespeichert. Neben den Konfigurationsdaten speichert der Hub-Transport-Server Warteschlangen in Microsoft-ESE-Datenbanken (Extensible Storage Engine), Nachrichtenverfolgungsprotokolle und Protokollaufzeichnungen in Dateien sowie einen Teil der Konfigurationsinformationen in der Registrierung. Die Warteschlangen und Protokolle sind für das Wiederherstellen der Funktionen eines Hub-Transport-Servers nicht wesentlich. Die Warteschlangendatenbank wird verwendet, um Nachrichten zu speichern, während sie von den Agenten verarbeitet und an ihr endgültiges Ziel auf dem Server weitergegeben werden. Wurde die Nachricht an einen internen oder externen Host übermittelt, wird sie aus der Warteschlangendatenbank gelöscht. Da die Daten in der Datenbank nur vorübergehend gespeichert werden, setzt diese Datenbank Umlaufprotokollierung ein und wird nicht gesichert. Sie können die Serverfunktion Hub-Transport durch Ausführen des Befehls Setup /m:RecoverServer wiederherstellen, sodass sie voll funktionsfähig ist.

676


11.2.3

Edge-Transport-Server

Im Gegensatz zu den anderen Exchange Server 2007-Serverfunktionen funktioniert Edge-Transport als eigenständiger Server und speichert keine Endbenutzerdaten im Active Directory.

1

Werden benutzerdefinierte Einstellungen angewendet, werden diese mit der Datei ExportEdgeConfig.ps1 gesichert. Die Daten liegen im Installationspfad im Unterverzeichnis \TransportRoles\data\Adam.

2

Die geklonte Konfiguration ist die Methode, die zum Sichern benutzerkonfigurierter Einstellungen auf einem Edge-Transport-Server verwendet wird (siehe Kapitel 5). Die meisten Einstellungen auf einem Edge-Transport-Server werden standardmäßig festgelegt, über das Web aktualisiert (Antispam) oder aus Active Directory repliziert. Hat sich auf dem Edge-Transport-Server nichts geändert, muss nichts gesichert werden.

3 4

In der Edge-Transport-Serverinstallation sind zwei Exchange-Verwaltungsshellskripte enthalten, welche die folgenden Aufgaben durchführen: ■

■

5

ExportEdgeConfig.ps1 – Dieses Skript exportiert alle vom Benutzer konfigurierten Einstellungen und Daten von einem Edge-Transport-Server und speichert die Daten in einer XML-Datei. ImportEdgeConfig.ps1 – Dieses Skript importiert alle benutzerkonfigurierten Einstellungen und Daten, die in einer XML-Datei gespeichert sind, die vom Skript ExportEdgeConfig.ps1 erstellt wurde.

6 7

Diese Skripte sind im Ordner \scripts in Ihrem Exchange-Installationsordner gespeichert. Der Standardspeicherort für diesen Ordner lautet C:\Programme\Microsoft\Exchange Server\Scripts.

8

11.2.4

9

Daten auf Client-Access-Servern (Clientzugriffserver)

Die Serverfunktion Client Access speichert Konfigurationsdaten im Active DirectoryVerzeichnisdienst, in der IIS-Metabase (Internet Information Services) und in lokalen Konfigurationsdateien. Teile der zwei Datenspeicher (IIS und Active Directory) sind nicht synchronisiert oder dupliziert. Aus diesem Grund stellt Setup /mode:RecoverServer Ihren Clientzugriffsserver im Standardinstallationszustand wieder her und ignoriert alle Anpassungen am Server, die im Anschluss an die Installation erfolgt sind. Von Ihnen erstellte nicht standardgemäße virtuelle Verzeichnisse gehen somit verloren, ebenso wie alle an diesen vorgenommenen Anpassungen.

10

Sind die IIS-Metabase und Active Directory nicht synchronisiert, weil eine Wiederherstellung ausgeführt wurde, kommt es bei dem Clientzugriffsserver zu Fehlern. Wegen dieser Situation ist es nicht empfehlenswert, die IIS-Metabase auf einem Clientzugriffsserver wiederherzustellen, nachdem Setup /mode:RecoverServer ausgeführt wurde.

13

11 12

INFO

14 15

Sie sollten ein detailliertes Änderungsprotokoll der am Clientzugriffsserver vorgenommenen Anpassungen führen. Im Falle einer Wiederherstellung des Clientzugriffsservers können Sie dann unter Bezugnahme auf das Änderungsprotokoll die Anpassungen erneut vornehmen. Folgende Dateien sollten Sie dabei beachten, vor allem wenn Sie vom Standard abweichen: 677


■

■ ■

Die Web.config-Dateien enthalten Konfigurationsdaten zur Steuerung von Parametern für ASP wie z. B. die Größe des Verbindungscaches (ConnectionCacheSize) oder die maximale Anforderungslänge (MaxRequestLength). Die Datei wurde bereits ausführlich in Kapitel 9 besprochen. Standardmäßig befinden sich die Web.config-Dateien in folgenden Pfaden: ■ C:\Programme\Microsoft\Exchange Server\ClientAccess\owa ■

C:\Programme\Microsoft\Exchange Server\ClientAccess\Sync\

■

C:\Programme\Microsoft\Exchange Server\ClientAccess\exchweb\ews

Die IIS-Metabase sichern Sie am besten über den Systemstatus im Datensicherungsprogramm. Die meisten IMAP4- und POP3-Konfigurationsinformationen werden in Active Directory gespeichert. In den Dateien Microsoft.Exchange.Imap4.Exe.Config und Microsoft.Exchange.Pop3.Exe.Config werden angepasste Einstellungen gespeichert. Diese Dateien wurden bereits in Kapitel 9 ausführlich besprochen. Standardmäßig befinden sich diese Dateien im Verzeichnis C:\Programme\ Microsoft\Exchange Server\ClientAccess\PopImap.

Wiederherstellen eines Clientzugriffsservers Zum Wiederherstellen eines Clientzugriffsservers können Sie eine der folgenden Aktionen ausführen: ■ ■

Erstellen eines neuen Servers mit einem neuen Namen Wiederherstellen des alten Servers mit identischem Namen durch Ausführen von Setup /mode:RecoverServer auf einem neuen oder dem alten Server

Im Anschluss an einen der beiden vorangehenden Vorgänge müssen Sie dann dieselben Anpassungen vornehmen, die zum letzten funktionsfähigen Zeitpunkt an diesem Server bestanden haben.

11.2.5

Unified-Messaging-Serverdaten

Der Unified-Messaging-(UM-)Server speichert die Mehrzahl seiner Konfigurationsinformationen in Active Directory, temporäre Nachrichtenwarteschlangen im Dateisystem, eingeschränkte Serversetupinformationen in der Registrierung, serverspezifische Konfigurationsdaten in XML-Dateien im Ordner \bin und benutzerdefinierte Audiodateien im Dateisystem. Die Warteschlangen sind für das Wiederherstellen der Funktionen eines Unified-Messaging-Servers nicht wesentlich. Der Ordner \temp der Warteschlange wird zum Speichern von Nachrichten verwendet, während diese vom Server verarbeitet werden. Wurde die Nachricht an einen Transportserver für die Zustellung übermittelt, wird sie aus dem Ordner \temp entfernt. Benutzerdefinierte Audiodateien, die für Ansagen von UM-Wählplänen und automatische UM-Telefonzentralen verwendet werden, werden auf alle Unified-MessagingServer repliziert. Sie sollten die Inhalte aller Dateien und Unterverzeichnisse auf dem ersten Unified-Messaging-Server, der dem Wählplan beitritt, sichern. Die anderen Unified-Messaging-Server, die dem gleichen Wählplan hinzugefügt werden, laden ihre zwischengespeicherten Kopien erneut, wenn dies erforderlich sein sollte. Standardmäßig ist der Publishing-Point für Telefonansagen eine Freigabe namens ExchangeUM auf dem ersten Unified-Messaging-Server, der einem Wählplan zuge-

678

Checkpoint-Datei und Soft-Recovery einer Postfachdatenbank

ordnet wird. Der Publishing-Point für Telefonansagen befindet sich standardmäßig im Pfad C:\Programme\Microsoft\Microsoft Exchange\UnifiedMessaging\Prompts\ Custom. Führen Sie Setup /m:RecoverServer auf einem neuen Server aus, der den gleichen Namen wie der alte Server trägt, wird der größte Teil der Daten und Konfigurationseinstellungen des Unified-Messaging-Servers wiederhergestellt. Wurden jedoch Anpassungen vor dem Serververlust vorgenommen, müssen einige Elemente separat wiederhergestellt werden.

1 2

Handelt es sich bei dem Server, der ersetzt wird, um den ersten Server mit dem für Telefonansagen und besitzt der Server benutzerdefinierte Telefonansagen, müssen diese auf dem neuen Server wiederhergestellt werden.

3

Eingehende Anrufe werden in zwei Dateien gespeichert, bis der Unified-MessagingServer die Nachrichten gesendet hat:

4

■

■

EML-E-Mail-Nachrichtendatei – Die EML-Datei ist eine E-Mail-Standardnachrichtendatei, die im PICKUP-Verzeichnis abgelegt und vom Servercomputer mit Exchange weitergeleitet wird. Die EML-Datei enthält die Nachrichtenroutinginformationen (siehe Kapitel 3 und 5). WAV-Audiodatei – Die WAV-Datei ist eine Aufzeichnung der Sprachnachricht, die vom Anrufer hinterlassen wurde.

5 6

Der Standardpfad für diese Dateien lautet C:\Programme\Microsoft\Microsoft Exchange\UnifiedMessaging\temp. Sollte ein Unified-Messaging-Server die Weiterleitung von Nachrichten einstellen oder nicht mehr funktionieren und Sie sind in der Lage, die EML- und WAV-Dateien aus dem Ordner \temp zu retten, können Sie diese Dateien an die beabsichtigten Empfänger senden, indem Sie die Dateien im Ordner Exchange Server\TransportRoles\Pickup auf einem Hub-Transport-Server speichern.

11.2.6

7 8 9

Sichern der Domänencontroller und des Active Directory

10

Die meisten Konfigurationsdaten von Exchange Server 2007 werden im Active Directory gespeichert. Aus diesem Grund gehört zur Datensicherung von Exchange Server 2007 auch die Sicherung des Active Directory. Die Datenbank des Active Directory wird durch den Systemstatus gesichert. Ich gehe auf diese Sicherung explizit in einem eigenen Abschnitt ein.

11.3

11 12


13

Exchange speichert in einer speziellen Datei, der Checkpoint-Datei, welche Transaktionsprotokolle bereits in die Datenbank geschrieben wurden (siehe hierzu auch Kapitel 6). Diese Datei liegt in dem Verzeichnis, das Sie in den Eigenschaften der Speichergruppe unter Systempfad eingetragen haben (siehe Abbildung 11.1):

1. 2. 3.

14

Um den Pfad zu erfahren, rufen Sie in der Exchange-Verwaltungskonsole den Punkt Serverkonfiguration/Postfach auf. Klicken Sie im Ergebnisbereich auf den Server, auf dem die Datenbank liegt, deren Checkpoint-Datei Sie suchen. Rufen Sie die Eigenschaften der Speichergruppe auf (siehe Abbildung 11.1).

15

679


4. Auf der Registerkarte Allgemein im Bereich Systempfad sehen Sie jetzt den Pfad zur Checkpoint-Datei. Klicken Sie mit der Maus in den Pfad, können Sie den ganzen Pfad anzeigen lassen, indem Sie die Cursortasten bewegen. Abbildung 11.1: Anzeigen des Systempfads einer Speichergruppe

Standardmäßig liegt die Checkpoint-Datei im selben Verzeichnis wie die Transaktionsprotokolle. Die Checkpoint-Datei hat die Syntax E0n.chk (siehe Abbildung 11.2). Bei jedem Beenden oder Starten des Exchange Servers überprüft Exchange anhand der Checkpoint-Datei, welche Transaktionsprotokolle noch nicht in die Datenbank geschrieben wurden, und schreibt die restlichen Transaktionsprotokolle in die Datenbank. Das Herunterfahren eines Exchange Servers kann etwas dauern, wenn viele Transaktionsprotokolle zu verarbeiten sind. Abbildung 11.2: Anzeigen der Checkpoint-Datei einer Speichergruppe

Wird ein Exchange Server beim Herunterfahren und Schreiben in die Datenbank unterbrochen, führt er diesen Vorgang beim Starten durch. Löschen Sie die Check680


point-Datei manuell, werden alle Transaktionsprotokolle, die dem Exchange Server zur Verfügung stehen, erneut in die Datenbank geschrieben. Prinzipiell können Sie mit einer leeren Datenbank und einem vollständigen Satz Transaktionsprotokollen Ihre Exchange-Datenbank wieder vollkommen herstellen. Dieser Vorgang wird Soft-Recovery genannt. Der Exchange Server führt diese Aufgabe vollkommen selbstständig, ohne Eingreifen eines Administrators, durch.

1 2

Beenden Sie den Dienst Microsoft Exchange-Informationsspeicher, und löschen Sie anschließend die Checkpoint-Datei, beginnt der Exchange Server beim Starten des Dienstes damit, die Datenbank wiederherzustellen, indem er alle vorhandenen Transaktionsprotokolle in die Datenbank schreiben will. Die Checkpoint-Datei wird in diesem Schritt automatisch neu angelegt. Wurde der Dienst gestartet, erkennt er, dass die Checkpoint-Datei fehlt, und meldet dies über die Ereignisanzeige im Anwendungsprotokoll (siehe Listing 11.1).

3 4

Listing 11.1: Exchange Server 2007 erkennt, dass eine Checkpoint-Datei fehlt, und beginnt mit der Wiederherstellung. Ereignistyp: Informationen Ereignisquelle: ESE Ereigniskategorie:Protokollierung/Wiederherstellung Ereigniskennung: 300 Datum: 12.01.2007 Zeit: 08:14:55 Benutzer: Nicht zutreffend Computer: X2007 Beschreibung: MSExchangeIS (600) First Storage Group: Die Datenbank initiiert Schritte zur Wiederherstellung.

5 CODE

6 7 8

Im Anschluss werden die einzelnen Transaktionsprotokolle in der Ereignisanzeige gemeldet, die vom Informationsspeicher-Dienst abgearbeitet und in die Datenbank geschrieben werden (siehe Listing 11.2). Für jedes Transaktionsprotokoll, das abgearbeitet wird, sehen Sie einen Eintrag in der Ereignisanzeige.

9

Listing 11.2: Meldung der einzelnen Transaktionsprotokolle im Soft-Recovery Ereignistyp: Informationen Ereignisquelle: ESE Ereigniskategorie:Protokollierung/Wiederherstellung Ereigniskennung: 301 Datum: 12.01.2007 Zeit: 08:14:56 Benutzer: Nicht zutreffend Computer: X2007 Beschreibung: MSExchangeIS (600) First Storage Group: Das Datenbankmodul gibt die Protokolldatei C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\E0000000001.log wieder.

10 CODE

11 12 13

Sind alle Transaktionsprotokolle erfolgreich in die Datenbank geschrieben worden, erhalten Sie eine abschließende Meldung, die Sie darüber informiert, dass die Wiederherstellung der Exchange-Datenbank erfolgreich durchgeführt werden konnte (siehe Listing 11.3).

14

Listing 11.3: Erfolgreicher Abschluss des Soft-Recoverys

15

Ereignistyp: Informationen Ereignisquelle: ESE Ereigniskategorie:Protokollierung/Wiederherstellung Ereigniskennung: 302

CODE

681


Datum: 12.01.2007 Zeit:0 8:15:00 Benutzer: Nicht zutreffend Computer: X2007 Beschreibung: MSExchangeIS (600) First Storage Group: Die Datenbank hat erfolgreich die Schritte zur Wiederherstellung abgeschlossen.

Deaktivieren Sie die Umlaufprotokollierung (siehe Kapitel 6 und Abbildung 11.3), legt Exchange immer neue Transaktionsprotokolle an. Dadurch wird zwar mehr Plattenplatz benötigt, der Vorteil besteht jedoch darin, dass die Daten, die in diesen Transaktionsprotokolldateien stehen, kaum verloren gehen können. Abbildung 11.3: Konfiguration der Umlaufprotokollierung in den Eigenschaften einer Speichergruppe

Exchange kann seine Datenbank automatisch aus diesen Transaktionsprotokolldateien wiederherstellen, ohne dass Sie dabei eingreifen müssen. Wird Exchange während des Speicherns der Daten aus den Transaktionsdateien unterbrochen, wenn zum Beispiel der Server einfach ausgeschaltet wird, überprüft der Server beim Starten der Dienste diese Vorgänge und schreibt noch nicht geschriebene Transaktionsprotokolldateien in die Datenbank.

11.4

Online-Sicherung einer ExchangeDatenbank

Die Online-Sicherung ist eigentlich der einzige richtige und professionelle Weg der Datensicherung von Exchange-Datenbanken. Dabei werden die Exchange-Daten durch das Datensicherungsprogramm gesichert, während die Exchange-Dienste weiterlaufen, und die Datenbank wird im Anschluss als gesichert markiert.

682

Online-Sicherung einer Exchange-Datenbank

Die Online-Sicherung kann zwar auch vom Windows-Datensicherungsprogramm durchgeführt werden, Sie sollten dieses Programm allerdings nur in Ausnahmefällen oder übergangsweise einsetzen. Auf Dauer sollten Sie nur Profitools, wie zum Beispiel Symantec Backup Exec für kleinere Firmen oder Veritas Net Backup für größere Systeme, und die entsprechenden Agenten für Exchange Server 2007 verwenden. Veritas ist im Bereich Datensicherung bei Windows Server 2003 und Exchange der Marktführer.

11.4.1

1 2

Ablauf einer Online-Sicherung

Bei einer Online-Sicherung liest das Sicherungsprogramm jede einzelne Datenbanktabelle Stück für Stück aus. Die Datensicherung sollten Sie immer nachts durchführen. Da aber Änderungen in der Datenbank auch stattfinden können, wenn kein Benutzer angemeldet ist, muss ein weiterer Mechanismus der Datensicherung diese Daten erfassen, wenn die Tabellen von der Sicherung bereits auf Band geschrieben wurden. Exchange schreibt solche Änderungen in sogenannten Patch-Dateien auf den Datenträger. Wurden alle Tabellen gesichert, werden zum Schluss die PatchDateien gesichert, damit auch wirklich alle Änderungen in der Datensicherung berücksichtigt wurden. Zum Abschluss sichert das Datensicherungsprogramm standardmäßig außerdem die Transaktionsprotokolle und löscht sie anschließend. Die Dateien sollten unter keinen Umständen manuell gelöscht werden.

3

11.4.2

7

4 5 6

Verschiedene Varianten der Online-Sicherung: Normal, inkrementell und differenziell

Um Ihre Exchange-Datenbanken zu sichern, stehen Ihnen für die verschiedenen Datensicherungsprogramme verschiedene Möglichkeiten zur Verfügung.

8

Vollständige, normale Sicherung

9

Die vollständige oder normale Sicherung ist die geläufigste Art der Sicherung und wird am meisten verwendet. Sie dauert sehr lange, da alle ausgewählten Daten gesichert werden. Da durch diese Sicherung alle Daten des Systems in einem Sicherungssatz vorliegen, kann eine Wiederherstellung damit sehr schnell erfolgen. Die vollständige oder normale Sicherung benötigt den meisten Platz auf dem Sicherungsmedium, da alle Daten gesichert werden. Alle gesicherten Daten werden als gesichert markiert, sodass auf dieser Sicherung aufbauende Datensicherungstypen, wie differenziell oder inkrementell, unterstützt werden. Die normale oder vollständige Exchange-Datensicherung sichert alle Datenbanken und Transaktionsprotokolldateien online. Die Transaktionsprotokolldateien werden nach der Sicherung gelöscht.

10

11 12 13

Kopiesicherungen Kopiesicherungen sind vollständige oder normale Sicherungen, bei denen gesicherte Dateien nicht als gesichert markiert werden. Eine Kopiesicherung löscht zudem keine Transaktionsprotokolle. Die Kopiesicherung sollte aus diesen Gründen nicht in eine Datensicherungsstrategie integriert werden, sondern nur zum temporären Sichern von Daten dienen, wenn an einem Server Wartungsarbeiten oder Optimierungen durchgeführt werden. Dadurch werden die Sicherungsstrategien mit inkrementeller oder differenzieller Sicherung nicht beeinflusst. Da gesicherte Dateien nicht als gesichert markiert werden, kann auf der Kopiesicherung keine inkrementelle oder differenzielle Sicherung aufbauen.

14 15

683


Inkrementelle Sicherungen Die inkrementelle Sicherung eines Exchange Servers sichert keine Exchange-Datenbanken, sondern nur die Transaktionsprotokolldateien. Nach der Sicherung der Transaktionsprotokolldateien werden diese durch das Sicherungsprogramm gelöscht. Da bei der inkrementellen Sicherung nur die Transaktionsprotokolldateien gesichert werden, sind die Dauer und der Plattenverbrauch dieser Sicherung sehr gering. Da dadurch aber auch die Exchange-Daten auf verschiedene Sicherungssätze verteilt sind, dauert eine eventuell notwendige Rücksicherung viel länger als bei der normalen Sicherung. Die Wiederherstellung mit der inkrementellen Sicherung dauert am längsten, denn außer der letzten vollständigen Sicherung müssen auch alle inkrementellen Sicherungen wiederhergestellt werden. In vielen Firmen werden inkrementelle Sicherungen mit der normalen Sicherung kombiniert. In regelmäßigen Abständen, zum Beispiel einmal pro Woche oder Monat, werden die Exchange-Datenbanken vollständig mit der normalen Sicherung gesichert. In dem Zeitraum zwischen diesen vollständigen Sicherungen werden die Datenbanken inkrementell gesichert. Das ist ein guter Kompromiss zwischen Dauer und Platzverbrauch der Datensicherung und einer schnellen Wiederherstellung der Daten. Um mit einer solchen Strategie eine Wiederherstellung durchzuführen, müssen zunächst die letzte vollständige Sicherung und danach die einzelnen inkrementellen Sicherungen wiederhergestellt werden. Aktivieren Sie für eine Speichergruppe die Umlaufprotokollierung, können Sie diese nicht mehr inkrementell sichern. Bei der Umlaufprotokollierung wird immer derselbe Satz Transaktionsprotokolle verwendet. Da bei der inkrementellen Sicherung die Transaktionsprotokolle gelöscht werden (nur sie werden ja gesichert), kann sie bei aktivierter Umlaufprotokollierung natürlich nicht verwendet werden.

Differenzielle Sicherung Bei der differenziellen Sicherung Ihres Exchange Servers werden, wie bei der inkrementellen Sicherung, keine Datenbanken gesichert, sondern nur die Transaktionsprotokolldateien. Im Gegensatz zu der inkrementellen Sicherung werden die Transaktionsprotokolle aber nach der Sicherung nicht gelöscht. Sie können beispielsweise Ihre Datenbanken wöchentlich mit der normalen Sicherung vollständig sichern und an den Wochentagen differenziell. Dadurch werden einmal in der Woche die Transaktionsprotokolle gelöscht, und unter der Woche geht die Sicherung sehr schnell, da lediglich die Transaktionsprotokolle gesichert werden. Der Plattenverbrauch von Exchange und die Dauer der Sicherung steigen zwar unter der Woche an, aber am Wochenende wird während der normalen Sicherung wieder Plattenplatz freigegeben. Mit der differenziellen Sicherung lässt sich eine Wiederherstellung viel schneller durchführen als mit der inkrementellen, da nur der letzte vollständige Sicherungssatz sowie der letzte differenzielle Sicherungssatz zurückgespielt werden müssen. Da die differenzielle Sicherung auf den Transaktionsprotokollen aufbaut, kann diese Sicherungsmethode nicht verwendet werden, wenn Sie für eine Speichergruppe die Umlaufprotokollierung aktiviert haben.

Tägliche Sicherungsoption Die Option Tägliche Sicherung sichert alle Daten, die sich am Tag der Sicherung geändert haben. Die Daten werden nicht als gesichert markiert, und die Transaktionsprotokolldateien werden nicht gelöscht. Sie sollten diese Sicherung nur in Aus684


nahmefällen verwenden. In Exchange Server 2007 hat diese Sicherungsvariante genau die gleichen Funktionen wie die Kopiesicherung.

Fazit:

1

Es gibt keine Königsmethode, welche Sicherung am besten für ein Unternehmen ist, das hängt von der jeweiligen Infrastruktur ab. Jeder Sicherungstyp bietet Vor- und Nachteile:

2

Die vollständige Sicherung ist die einfachste Sicherungs- und Wiederherstellungsmethode, da Sie einen einzelnen Sicherungssatz für die Wiederherstellung erhalten.

3

Bei der Kopiesicherung werden die Protokolldateien nicht gelöscht. Protokolldateien müssen gelöscht werden, andernfalls füllt sich das Laufwerk der Protokolldateien, und die Exchange-Datenbank wird offline geschaltet, bis die Protokolldateien gelöscht sind.

4

Für die vollständige Wiederherstellung anhand von differenziellen und inkrementellen Sicherungen sind mehrere Sicherungssätze erforderlich. Fehlt ein Sicherungssatz oder kann er nicht wiederhergestellt werden, erfolgt die Wiederherstellung nur bis zu dem nicht mehr vorhandenen Sicherungssatz. Wie der Kategorietyp besagt, werden in differenziellen und inkrementellen Sicherungen nur die Änderungen gespeichert. Daher sind die Sicherungsdateien kleiner als die Dateien einer Gesamtsicherung, und der Sicherungsvorgang nimmt weniger Zeit in Anspruch.

5 6 7

Alle vier Typen von Exchange-Sicherungen (vollständige Sicherung, Kopiesicherung, inkrementelle und differenzielle Sicherung) werden für die aktive Kopie der Datenbank unterstützt. Sicherungen können auf Datenbankebene ausgewählt werden, es kann jedoch nur ein Sicherungsauftrag für eine bestimmte Speichergruppe ausgeführt werden. Gesonderte Speichergruppen können gleichzeitig gesichert werden.

8

Alle vier Sicherungstypen können in der aktiven Kopie wiederhergestellt werden. VSS-Sicherungen können in derselben oder in einer anderen Speichergruppe auf demselben oder einem anderen Server oder an einem Speicherort außerhalb von Exchange wiederhergestellt werden. Dies wird von Exchange 2007 Store Writer unterstützt. VSS-Sicherungen können mit den VSS-Komponenten von Exchange nicht an Speicherorten von Replikaten erstellt werden, die Wiederherstellung auf Dateiebene ist jedoch möglich.

11.4.3

9 10

11

Sicherung mit der Windows Server 2003Datensicherung

12

Mit der Windows Server 2003-Datensicherung können Sie keine speziellen Features, wie das Rücksichern einzelner E-Mails oder Postfächer, durchführen (Brick-LevelBackup), sondern nur ganze Speichergruppen wiederherstellen. Das Programm ist im Vergleich mit Profiprogrammen deutlich eingeschränkt. Bei Windows Server 2008 wurde das Datensicherungsprogramm grundlegend geändert. Diesen Änderungen ist auch die Möglichkeit zum Opfer gefallen, Exchange-Datenbanken online zu sichern. Das Windows Server 2008-Datensicherungsprogramm unterstützt keine Möglichkeiten mehr, Exchange-Datenbanken online zu sichern.

13 14 INFO

15

Wollen Sie die Exchange-Datenbank auf einem anderen als dem Exchange Server sichern, müssen Sie auf dem Remote-Server die Exchange Server 2007-Systemverwal-

685


tungstools installieren. Diese erweitern die Funktionen des Windows Server 2003Datensicherungprogramms um die Möglichkeit, Exchange-Datenbanken online zu sichern.

Konfiguration der Windows-Datensicherung Um Ihren Exchange Server mit dem Windows-Datensicherungsprogramm zu sichern, starten Sie zunächst das Datensicherungsprogramm über Start/Programme/Zubehör/Systemprogramme/Sicherung:

1.

Es erscheint der Assistent, mit dessen Hilfe Sie die Datensicherung konfigurieren können. Wählen Sie im Dialog die Option Dateien und Einstellungen sichern aus (siehe Abbildung 11.4).

2.

Im nächsten Fenster aktivieren Sie die Option Elemente für die Sicherung selbst auswählen (siehe Abbildung 11.5).

Abbildung 11.4: Datensicherung eines Exchange Servers

Abbildung 11.5: Auswählen der zu sichernden Daten

686


3. Im nächsten Fenster können Sie unter dem Menüpunkt Microsoft Exchange Server den Exchange Server und die Datenbanken auswählen, die Sie sichern wollen. Markieren Sie die Speichergruppen, die in die Sicherung mit eingebunden werden sollen (siehe Abbildung 11.6).

1 Abbildung 11.6: Auswählen der Exchange-Datenbank für die Sicherung

2 3 4 5 6 7

4. Wählen Sie im nächsten Fenster aus, ob die Sicherung auf Band oder in einer Datei gespeichert werden soll. Aktivieren Sie den entsprechenden Pfad, und geben Sie der Sicherungsdatei einen Namen (siehe Abbildung 11.7).

8 Abbildung 11.7: Auswählen des Speicherorts der Sicherung

9 10

11 12 13 14 15

687


5. Danach erscheint die Zusammenfassung Ihrer Eingaben (siehe Abbildung 11.8). Klicken Sie in diesem Fenster auf die Schaltfläche Erweitert. Abbildung 11.8: Starten der erweiterten Einstellungen einer Datensicherung

6. Im nächsten Fenster wählen Sie den Sicherungstyp aus, mit dem Sie Ihre Exchange-Datenbank sichern wollen. Die Bedeutung der einzelnen Sicherungstypen wurde bereits weiter vorne in diesem Kapitel besprochen. Ist Ihre Exchange-Datenbank nicht zu groß und haben Sie genügend freien Plattenplatz, können Sie zum Beispiel für jeden Tag der Woche einen eigenen Sicherungsjob erstellen und als Sicherungstyp Normal auswählen (siehe Abbildung 11.9). Dadurch ist sichergestellt, dass in jeder Datensicherung alle Daten enthalten sind und diese notfalls schnell wiederhergestellt werden können. Abbildung 11.9: Auswählen des Sicherungstyps

688


7.

Nach der Auswahl des Sicherungstyps können Sie im nächsten Fenster die Option zur Überprüfung der gesicherten Daten aktivieren (siehe Abbildung 11.10). Ist diese Option aktiviert, überprüft die Datensicherung, ob alle Daten gesichert wurden.

1 Abbildung 11.10: Überprüfung der Sicherung aktivieren

2 3 4 5 6 7

8. Auf der nächsten Seite legen Sie fest, ob die gesicherten Daten immer an die bereits vorhandenen Daten angehängt werden sollen oder jeder Sicherungssatz eines Auftrags den vorherigen überschreiben soll (siehe Abbildung 11.11). Sie sollten die Sicherung immer wieder überschreiben lassen, indem Sie die Option Vorhandene Sicherungskopien ersetzen aktivieren. In diesem Fall wird jeden Tag eine neue Sicherung geschrieben. Wollen Sie die Sicherungen längere Zeit aufbewahren, sollten Sie entweder für jeden Tag eine eigene Sicherung erstellen oder die Sicherung auf Band in die Sicherungsstrategie mit einbauen.

8 9 10 Abbildung 11.11: Ersetzen der letzten Sicherung aktivieren

11 12 13 14 15

689


9. Auf der nächsten Seite legen Sie den Zeitpunkt der Sicherung sowie den Namen des Auftrags fest. Aktivieren Sie als Sicherungszeitpunkt Später, um einen genauen Zeitpunkt der Sicherung festzulegen (siehe Abbildung 11.12). Klicken Sie dann auf die Schaltfläche Zeitplan festlegen, damit Sie den Zeitpunkt der Datensicherung eingeben können. 10. Wählen Sie in dem Fenster Auftrag planen bei der Option Task ausführen die Option Täglich aus. Geben Sie eine passende Startzeit vor. Idealerweise sollten Sie einen Zeitpunkt wählen, an dem keine größeren Änderungen in der Datenbank zu erwarten sind (siehe Abbildung 11.12). Abbildung 11.12: Festlegen des Sicherungszeitpunktes

11. Bestätigen Sie Ihre Auswahl, erscheint ein Fenster, in dem Sie die Authentifizierung der Datensicherung angeben müssen. Wählen Sie hier entweder ein Administratorkonto, oder legen Sie zur Sicherung ein eigenes Dienstkonto an, das Sie dafür verwenden wollen. 12. Haben Sie sich authentifiziert, erscheint wieder das Fenster Auftrag planen, in dem Sie auf Weiter klicken. Es erscheint erneut der Authentifizierungsdialog. Geben Sie noch einmal die Authentifizierung ein. Mit dieser Auswahl ist die Konfiguration abgeschlossen, und Sie erhalten nochmals eine Zusammenfassung Ihrer Konfiguration.

11.4.4

Testen und Überwachen der Online-Datensicherung

Haben Sie die Datensicherung eingerichtet, ist die nächste Aufgabe der Test der Datensicherung. Hier wird festgestellt, ob die Datensicherung die Daten zum festgelegten Zeitpunkt auch korrekt sichert.

690


Nach der Konfiguration der Datensicherung wird vom Assistenten ein geplanter Task eingerichtet. Alle geplanten Tasks auf einem Server können Sie sich über Start/Programme/Zubehör/Systemprogramme/Geplante Tasks ansehen. Öffnen Sie als Nächstes die Steuerung der geplanten Tasks (siehe Abbildung 11.13).

1 Abbildung 11.13: Anzeigen der geplanten Tasks auf einem Server

2 3 4 5

Sie finden dort alle geplanten Tasks, darunter auch den Auftrag Ihrer ExchangeDatensicherung. Klicken Sie mit der rechten Maustaste auf den Task der Datensicherung, können Sie aus dem Kontextmenü die Option Ausführen auswählen (siehe Abbildung 11.14).

6 7 Abbildung 11.14: Manuelles Starten eines Sicherungsauftrages

8 9 10

11 12

Nach der Auswahl dieser Option beginnt der Assistent mit der Sicherung (siehe Abbildung 11.15). Diese sollte nach einigen Minuten abgeschlossen sein. Klicken Sie während der Sicherung auf keine Schaltflächen, damit der Assistent die Sicherung erfolgreich abschließen kann.

13 14 15

691


Abbildung 11.15: Anzeigen der Sicherung der ExchangeDatenbanken

Im Anschluss an diese Sicherung werden der letzte Zeitpunkt der Ausführung und das letzte Sicherungsergebnis angezeigt (siehe Abbildung 11.16). Im Verzeichnis der Datensicherung sollte sich anschließend die Backup-Datei befinden, an deren Größe Sie erkennen können, ob die Sicherung erfolgreich war oder nicht. Abbildung 11.16: Erfolgreicher Ablauf der OnlineSicherung

Sie können sowohl den Zeitpunkt der letzten Komplettsicherung als auch den Zeitpunkt der letzten inkrementellen Sicherung ersehen. Außerdem können Sie in der Spalte Letztes Ergebnis den Statuscode ablesen. Dieser lautet bei einem ordnungsgemäß durchgelaufenen Vorgang immer 0x0. Wurde ein Postfachspeicher gesichert, erhält er durch das Datensicherungsprogramm einen Zeitstempel. Diesen Zeitstempel können Sie in der Exchange-Verwaltungskonsole in den Eigenschaften des jeweiligen Postfachspeichers auf der Registerkarte Allgemein einsehen (siehe Abbildung 11.17).

692

Offline-Sicherung von Exchange Servern

Abbildung 11.17: Anzeigen des Zeitpunkts der letzten Sicherung

1 2 3 4 5 6 7

11.5

Offline-Sicherung von Exchange Servern 8

Die Offline-Sicherung ist im Gegensatz zur Online-Sicherung kein Sicherungssystem, bei dem Transaktionsprotokolle gelöscht und Dateien als gesichert markiert werden. Eine Offline-Sicherung beinhaltet nur das manuelle Kopieren des Exchange-Verzeichnisses in ein anderes Verzeichnis oder auf Band.

9

Damit die Exchange-Datenbank kopiert werden kann, müssen Sie notwendige, am besten alle Exchange-Dienste beenden. Nach dem Beenden der Dienste können Sie die Exchange-Daten kopieren und danach die Dienste wieder starten.

10

Sie sollten diese Sicherung nur in Ausnahmefällen einsetzen und keinesfalls in Ihre Sicherungsstrategie einbauen. In manchen Fällen, zum Beispiel beim Durchführen von Optimierungsarbeiten, Hardware-Änderungen am Server oder Fehlerbehebungen, kann eine zusätzliche Offline-Sicherung sinnvoll sein, aber auf keinen Fall als einzige Sicherungsstrategie.

11.5.1

11 12

Vorbereitung für eine Offline-Sicherung

13

Überprüfen Sie, ob für die Speichergruppe die Umlaufprotokollierung aktiviert wurde. Dies spielt zwar für die Offline-Sicherung direkt keine Rolle, wenn Sie aber eine Speichergruppe sichern, die für die Umlaufprotokollierung aktiviert wurde, können Sie später keine Transaktionsprotokolle nachträglich in das Offline-Backup einspielen. Das ist nur möglich, wenn die Umlaufprotokollierung deaktiviert ist. Standardmäßig ist bei Exchange Server 2007 die Umlaufprotokollierung immer deaktiviert, sie kann aber jederzeit für einzelne Speichergruppen aktiviert werden. Die Konfiguration für die Umlaufprotokollierung finden Sie in den Eigenschaften der Speichergruppe.

14 15

693


Als Nächstes sollten Sie überprüfen, auf welchem Datenträger und Pfad die einzelnen Datenbanken liegen. Auch der Speicherort der Transaktionsprotokolle und der Checkpoint-Datei ist wichtig. Diese Informationen finden Sie, wie die Umlaufprotokollierung, in den Eigenschaften der Speichergruppe und der Postfachspeicher. Um später Transaktionsprotokolle in ein Offline-Backup einzuspielen, müssen die Dateien der Datenbanken in dasselbe Verzeichnis zurückgespielt werden, aus dem sie gesichert wurden. Ändern Sie den Pfad der Datenbank nach einem Offline-Backup, müssen Sie zum Einspielen der Transaktionsprotokolle in die Datenbankdateien den alten Pfad wiederherstellen. Sie können in einem solchen Fall nur die Transaktionsprotokolle zurückspielen, die vor dem Ändern des Datenbankpfads erstellt wurden. Die Transaktionsprotokolle können hingegen auf einem beliebigen Pfad zurückgespielt werden. Das liegt daran, dass die Transaktionsprotokolle zwar den Pfad zu den Datenbankdateien beinhalten, die Datenbankdateien jedoch den Pfad zu den Transaktionsprotokollen nicht kennen. Sie sollten sich den Pfad zur Checkpoint-Datei ebenfalls merken. In dieser Datei speichert Exchange ab, welche Transaktionsprotokolle bereits in die Datenbank geschrieben wurden. Wollen Sie nach einem Offline-Backup die Transaktionsprotokolle in die Datenbank spielen, müssen Sie diese Datei eventuell löschen. Fehlt die Datei, schreibt Exchange alle vorhandenen Transaktionsprotokolle in die Datenbank, auch die bereits geschriebenen Protokolle. Dieses Soft-Recovery wurde bereits zu Beginn des Kapitels besprochen. Um einen Postfachspeicher oder Informationsspeicher für öffentliche Ordner offline zu sichern, müssen Sie zunächst dessen Bereitstellung aufheben. Sie brauchen nicht die Bereitstellung aller Datenbanken einer Speichergruppe aufzuheben oder gar den Informationsspeicherdienst zu beenden, wenn Sie nur einzelne Postfachspeicher sichern wollen. Abbildung 11.18: Aufheben der Bereitstellung einer Datenbank

694

Offline-Sicherung von Exchange Servern

Sie können die Bereitstellung einzelner Informationsspeicher aufheben, wenn Sie in der Exchange-Verwaltungskonsole mit der rechten Maustaste auf den Informationsspeicher klicken und die Option Bereitstellung der Datenbank aufheben auswählen (siehe Abbildung 11.18).

1

Konsistenzprüfung der Datenbanken Als Nächstes können Sie mit Eseutil die Datenbank auf Konsistenz prüfen. Verwenden Sie dazu den Befehl Eseutil /mh , zum Beispiel Eseutil /mh C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\ Mailbox Database.edb.

2 3

Nach der Eingabe des Befehls erscheint auf dem Bildschirm die Ausgabe der Abfrage (siehe Listing 11.4). Ich habe im Listing die einzelnen Bereiche markiert, auf die Sie achten sollten.

4

Listing 11.4: Überprüfen des konsistenten Beendens der Datenbank Extensible Storage Engine Utilities for Microsoft(R) Exchange Server Version 08.00 Copyright (C) Microsoft Corporation. All Rights Reserved. Initiating FILE DUMP mode... Database: C:\Programme\Microsoft\Exchange Server\Mailbox\First Storage Group\Mailbox Database.edb File Type: Database Format ulMagic: 0x89abcdef Engine ulMagic: 0x89abcdef Format ulVersion: 0x620,12 Engine ulVersion: 0x620,12 Created ulVersion: 0x620,12 DB Signature: Create time:02/11/2007 15:57:13 Rand:3687627 Computer: cbDbPage: 8192 dbtime: 18991 (0x4a2f) State: Clean Shutdown \ -EDBFilePath

4

Haben Sie die Speichergruppe für die Wiederherstellung angelegt, besteht der nächste Schritt darin, dass Sie die Datenbank, die Sie wiederherstellen wollen, mit dieser RSG verbinden. Sie müssen an dieser Stelle den Pfad zur produktiven Datenbank verwenden.

5 6 Abbildung 11.79: Anlegen und Verbinden einer Speichergruppe für die Wiederherstellung

7 8 9

Konfigurieren Sie die Wiederherstellungsdatenbank so, dass Überschreibvorgänge zulässig sind, indem Sie den folgenden Befehl der Exchange-Verwaltungsshell ausführen (siehe Abbildung 11.80):

10

set-mailboxdatabase -identity <Servername>\\ -AllowFileRestore $True

11 Abbildung 11.80: Konfiguration der Wiederherstellungsdatenbank

12 13

Konfigurieren Sie die Zieldatenbank so, dass Überschreibvorgänge zulässig sind, indem Sie den folgenden Befehl der Exchange-Verwaltungsshell ausführen (siehe Abbildung 11.81):

14

set-mailboxdatabase -identity <ServerName>\\ -AllowFileRestore $true

15

743


Abbildung 11.81: Aktivieren der Zusammenführung für die Zieldatenbank

Stellen Sie die Wiederherstellungsdatenbank bereit, indem Sie den folgenden Befehl der Exchange-Verwaltungsshell ausführen (siehe Abbildung 11.82): mount-database -identity <Servername>\\ Stellen Sie eine Datenbank bereit (mounten), erhalten Sie keine Meldung. Erscheint daher keine Fehlermeldung, war der Vorgang erfolgreich. Abbildung 11.82: Bereitstellen der Wiederherstellungsdatenbank

Haben Sie alle Eingaben korrekt vorgenommen, werden im konfigurierten Verzeichnis die Datenbankdateien sowie die Transaktionsprotokolle (siehe Abbildung 11.83) angezeigt. Abbildung 11.83: Anzeigen der Transaktionsprotokolle und der *.edbDatenbank der Speichergruppe für die Wiederherstellung

744

Speichergruppen für die Wiederherstellung

Stellen Sie das Postfach eines vorhandenen Benutzers wieder her, indem Sie den folgenden Befehl der Exchange-Verwaltungsshell ausführen: restore-mailbox -identity -rsgdatabase <Servername>\\

1

Beispiele für Befehle zum Wiederherstellen von Benutzerdaten Die folgenden Beispiele zeigen Befehle, die zum Wiederherstellen von Benutzerdaten aus einer Speichergruppe für die Wiederherstellung verwendet werden können:

2

Um ein Postfach aus der Datenbank der Speichergruppe für die Wiederherstellung im aktuell verwendeten Postfach Tamara Bergtold wiederherzustellen, führen Sie den Befehl restore-mailbox -identity Tamara Bergtold -rsgdatabase x2007\rsgx2007\Mailbox Database aus.

3 4

Um alle Postfächer in der Speichergruppe für die Wiederherstellung in ihren jeweiligen aktiven Postfächern wiederherzustellen, führen Sie den folgenden Befehl der Exchange-Verwaltungsshell aus: Get-MailboxStatistics –database \ | restore-mailbox

5

Möchten Sie ein Postfach in einer Speichergruppe für die Wiederherstellung in einem anderen aktiven Postfach wiederherstellen, führen Sie den folgenden Befehl der Exchange-Verwaltungsshell aus: Restore-Mailbox -RSGMailbox Tamara Bergtold -RSGDatabase rsg-x2007\Mailbox Database -id Ernst Joos -TargetFolder Tamara Bergtold-E-Mails

6 7

Um die Endbenutzerdaten zwischen zwei Datumsangaben wiederherzustellen, führen Sie den folgenden Befehl der Exchange-Verwaltungsshell aus: Restore-Mailbox -RSGMailbox Tamara Bergtold -RSGDatabase rsg-x2007\Mailbox Database -id Ernst Joos -TargetFolder Tamara Bergtold-E-Mails -StartDate 02/02/06–EndDate 02/05/06

8

Entfernen einer Speichergruppe für die Wiederherstellung Benötigen Sie eine angelegte Speichergruppe für die Wiederherstellung nicht mehr, gehen Sie am besten folgendermaßen vor:

1.

9 10

Entfernen Sie die Postfachdatenbanken aus der RSG, indem Sie den folgenden Befehl der Exchange-Verwaltungsshell ausführen (siehe Abbildung 11.84): Remove-MailboxDatabase –identity <Servername>\\. Es wird eine Warnung angezeigt, dass die Datenbankdateien in der RSG manuell entfernt werden müssen (siehe Abbildung 11.84).

11 Abbildung 11.84: Entfernen einer Datenbank aus der Speichergruppe für die Wiederherstellung

12 13 14

2.

15

Entfernen Sie die RSG, indem Sie den folgenden Befehl der Exchange-Verwaltungsshell ausführen: Remove-Storagegroup –identity <Servername>\. Es wird auch hier eine Warnung bezüglich des Entfernens der Protokolldateien angezeigt, die in der RSG enthalten sind (siehe Abbildung 11.85). 745


Abbildung 11.85: Entfernen der Speichergruppe für die Wiederherstellung

Als Letztes sollten Sie das Verzeichnis der Speichergruppe für die Wiederherstellung löschen, da die Dateien und das Verzeichnis durch die beschriebenen Befehle nicht entfernt werden.

11.10

Wiederherstellen eines Exchange Servers – Recover Server

In manchen Fällen, zum Beispiel bei einem Hardware-Ausfall, kann es notwendig sein, einen kompletten Exchange Server wiederherzustellen. Hierzu müssen Sie einige besondere Punkte beachten. Gehen Sie in einem solchen Fall sehr strukturiert und vorsichtig vor, da Sie sonst mehr Daten als notwendig verlieren. Nach einem solchen Vorfall sollten Sie zunächst Ruhe bewahren. Überprüfen Sie genau, wo Sie stehen: ■ ■ ■ ■ ■

Welche Daten des Exchange Servers sind mit welchem Stand wo gesichert? Gibt es Offline-Backups und, wenn ja, von wann? Können die Festplatten des Servers gerettet werden, oder handelt es sich um einen Totalausfall? Haben Sie ausreichend Ersatzhardware vorrätig, um den Server wiederherzustellen? Wie groß ist die Datenbank auf der Datensicherung? Danach richtet sich die Dauer der Wiederherstellung.

Steht Ihnen eine Offline-Sicherung der Datenbanken zur Verfügung oder – besser noch – eine Online-Sicherung, sollten Sie diese überprüfen und bereithalten. Besorgen Sie sich die Datenträger und die aktuellen Service Packs für Betriebssystem, Exchange und die Drittherstellersoftware, die auf dem Server installiert waren. Sie sollten alle notwendigen Datenträger zur Verfügung haben, damit Sie den Server nach und nach wiederherstellen können. Installieren Sie auf dem Ersatzserver beziehungsweise auf dem reparierten Server Windows Server 2003 mit allen Updates. Der Server sollte möglichst dieselbe IPAdresse, denselben Namen sowie dieselbe Struktur der Datenträger haben und auch sonst möglichst identisch mit dem ursprünglichen Server sein. Hier hilft es natürlich ungemein, wenn diese Informationen möglichst genau dokumentiert wurden. Integrieren Sie nach der Installation des Betriebssystems den Server in Ihr Active Directory.

746

Wiederherstellen eines Exchange Servers – Recover Server

11.10.1 Verwenden von setup /m:RecoverServer Nach der Installation des Betriebssystems können Sie mit der Installation von Exchange beginnen. Mit Setup /m:RecoverServer werden Server wiederhergestellt, die nicht zu einem Cluster gehören, Edge-Transport-Server ausgenommen.

1

Setup /m:RecoverServer kann nur für die Serverwiederherstellung verwendet werden. Die Verwendung als Reparaturtool zur Wiederherstellung einer fehlerhaften Installation oder Deinstallation sowie zur Neukonfiguration eines Servers ist nicht möglich. Rufen Sie den Befehl auf, wird versucht, die Informationen des Servers aus dem Active Directory auszulesen. Setup /m:RecoverServer migriert nur die Einstellungsinformationen, die in Active Directory gespeichert sind. Alle lokalen Anpassungen oder Datenbanken werden mit dieser Methode nicht migriert. Die Option geht von einer konsistenten Konfiguration in Active Directory für den Server aus. Ist ein Installationsfehler aufgetreten, wurden die Informationen in Active Directory möglicherweise nicht vollständig geschrieben. Unter diesen Umständen sollten Sie das Setup erneut ausführen und den Befehl ExSetup.exe verwenden.

2 3 4 5

Starten Sie das Exchange-Setup mit dieser Option, zieht sich das Setup möglichst viele Daten aus dem Active Directory, die den ursprünglichen Server betreffen. Exchange Server 2007 speichert seine Konfiguration normalerweise in der Metabase des lokalen IIS. In regelmäßigen Abständen werden die wichtigsten Daten durch diese in das Active Directory repliziert. Das Disaster Recovery-Setup versucht anhand der zur Verfügung stehenden Optionen, den Server so gut wie möglich wiederherzustellen. Die Pfade der Datenbank werden auf alle Fälle übernommen. Es ist daher sehr wichtig, dass der neue Server dieselbe Plattenkonfiguration besitzt wie der ursprüngliche Server. Installieren Sie die gleichen Komponenten wie bereits bei der ursprünglichen Installation.

6 7 8

Überprüfen Sie nach der Installation die Funktionsfähigkeit des Servers. Nach der erfolgreichen Installation von Exchange müssen Sie die Daten aktualisieren. Dazu benötigen Sie Ihre Datensicherung. Gehen Sie bei der Wiederherstellung der Daten so vor, wie bereits weiter vorne im Kapitel besprochen.

9 10

11.10.2 Nacharbeiten zur Serverwiederherstellung Setup /m:RecoverServer stellt die Exchange Serverkonfigurationsdaten aus Active Directory wieder her, kopiert die Exchange-Dateien auf den Server und legt Standardeinstellungen fest, wenn keine Alternativeinstellungen in Active Directory gefunden wurden. Der Befehl stellt keine angepassten Einstellungen wieder her, die auf dem Server gespeichert waren. Auch in den Exchange-Datenbanken auf dem Server gespeicherte Endbenutzerdaten werden nicht wiederhergestellt.

11

Für jede Serverfunktion sind unterschiedliche Schritte und Wiederherstellungen notwendig, damit die Funktion den Status besitzt, den sie vor der Wiederherstellung hatte:

13

■

12

14

Die Postfach- und Öffentliche-Ordner-Datenbanken auf einem Mailbox-Server müssen wiederhergestellt werden. Werden die öffentlichen Ordner auf dem Server alle auf einen anderen Server repliziert, könnten Sie eine neue leere Öffentliche-Ordner-Datenbank erstellen und diese aus anderen Replikaten abgleichen.

15

747


■

■ ■

Unified-Messaging-Telefonansagen und benutzerdefinierte Audiodateien auf einem Unified-Messaging-Server müssen wiederhergestellt werden, wenn der Server die Dateifreigabe für Telefonansagen für einen Wählplan war. Andernfalls werden die Daten vom Server für die Dateifreigabe für Telefonansagen wiederhergestellt. Alle benutzerdefinierten Outlook Web Access-Dateien oder virtuelle Verzeichnisse auf einem Clientzugriffsserver müssen erneut erstellt werden. Alle benutzerdefinierten Einstellungen, die auf den Servern konfiguriert waren, müssen erneut konfiguriert werden.

11.10.3 Weitere Möglichkeiten der Serverwiederherstellung Eine weitere Methode, mit der ein ausgefallener Server wiederhergestellt werden kann, besteht in der Verwendung einer Sicherungskopie des bereits beschriebenen Systemstatus (System State), den Sie mit dem Windows-eigenen Datensicherungsprogramm sichern können, und wichtiger Exchange-Dateien. Voraussetzung für diese Methode ist, dass für die Serverwiederherstellung dieselbe Hardware verwendet wird. Ihre Sicherung muss mindestens sowohl die Systemstatusdaten als auch die von Exchange installierten Exchange-Dateien enthalten. Sie benötigen die von Exchange-installierten Dateien, da sie zum Wiederherstellen Ihrer Exchange-Konfiguration nicht die Setup-Optionen ausführen können, wenn das Exchange-Setup erkennt, dass Exchange 2007 teilweise auf dem Server vorhanden ist.

11.10.4 Wiederherstellen eines Client-Access-Servers Ein Client-Access-Server speichert keine Benutzerdaten und kann grundsätzlich auch nur ganz normal wieder installiert werden. Eine weitere Möglichkeit ist das Exportieren der OWA-Einstellungen, wie nachfolgend besprochen: So sichern Sie die IIS-Konfiguration eines Clientzugriffsservers: Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus: get-owavirtualdirectory owa (default web site) | export-clixml owa.xml -depth 1 So stellen Sie die IIS-Konfiguration eines Clientzugriffsservers wieder her: Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus: restorevdir.ps1 owa.xml

11.11

Wiederherstellen der Datenbankwarteschlange auf Transportservern

Eine Warteschlange ist ein temporärer Speicherort für E-Mails, die auf den Eintritt in die nächste Verarbeitungsphase warten. Jede Warteschlange stellt einen logischen Satz von Nachrichten dar, die ein Exchange-Transportserver in einer bestimmten Reihenfolge verarbeitet. Warteschlangen sind nur auf Computern vorhanden, auf denen die Serverfunktion Hub-Transport oder Edge-Transport installiert ist. Exchange Server 2007 verwendet eine ESE-Datenbank für die Speicherung von Warteschlangennachrichten.

748


Die folgenden Szenarien können dazu führen, dass der Hub-Transport-Server oder der Edge-Transport-Server, der über eine Warteschlangendatenbank mit nicht zugestellten Nachrichten verfügt, nicht mehr antwortet: ■

Ein Exchange-Transportserver fällt aus, wenn die Warteschlangen mehrere nicht zugestellte Nachrichten enthalten. Ferner können Sie den Server nicht rechtzeitig wieder online schalten. Ein Exchange-Transportserver besitzt eine fragmentierte Warteschlangendatenbank, die so groß wird, dass der gesamte verfügbare Festplattenspeicherplatz belegt ist.

1

Sie können die Warteschlangendatenbank und die zugehörigen Transaktionsprotokolldateien an einen temporären Speicherort auf einem Exchange-Zieltransportserver verschieben, die vorhandene Warteschlangendatenbank reparieren, die vorhandene Warteschlangendatenbank auf dem Exchange-Zieltransportserver ersetzen und dann die reparierte Warteschlangendatenbank auf dem Exchange-Zieltransportserver starten. Dieser Exchange-Zieltransportserver kann sich in Ihrer ExchangeOrganisation oder in einer anderen Gesamtstruktur des Active Directory befinden.

3

■

Auf dem Exchange-Zieltransportserver, auf den die wiederhergestellte Warteschlangendatenbank verschoben werden soll, sollten dieselben Service Packs und Sicherheitsupdates von Exchange 2007 installiert sein wie auf dem Exchange-Quellserver. Zusätzlich sollte der Exchange-Zieltransportserver, auf den die wiederhergestellte Warteschlangendatenbank verschoben wird, dieselbe Transportserverfunktion aufweisen wie der Quellserver; diese Bedingung ist aber nur eine Empfehlung, sie ist nicht zwingend.

2

4 5 6 INFO

7 8

Gehen Sie zur Wiederherstellung der Warteschlangendatenbank folgendermaßen vor. Ich erkläre in den folgenden Abschnitten die einzelnen Schritte ausführlicher:

1. 2. 3. 4.

5.

9

Verschieben Sie die Warteschlangendatenbank an einen temporären Speicherort auf dem Exchange-Zieltransportserver. Stellen Sie die Warteschlangendatenbank mit Eseutil.exe wieder her. Führen Sie eine Offline-Defragmentierung der Warteschlangendatenbank mit Eseutil durch. Bereiten Sie die vorhandene Warteschlangendatenbank auf dem Exchange-Zieltransportserver für die Ersetzung durch die wiederhergestellte Warteschlangendatenbank vor. Starten Sie die reparierte Warteschlangendatenbank auf dem Exchange-Zieltransportserver.

10

11 12

Informationen zur Warteschlangendatenbank Standardmäßig befinden sich die Warteschlangendatenbank und die Transaktionsprotokolle im Verzeichnis C:\Programme\Microsoft\Exchange Server\Transport Roles\ data\Queue (siehe Abbildung 11.86).

13 14

Die Speicherorte der Warteschlangendatenbank und der Transaktionsprotokolle werden in der Konfigurationsdatei EdgeTransport.exe.config konfiguriert, die im Verzeichnis C:\Programme\Microsoft\Exchange Server\Bin liegt.

15

Der Parameter QueueDatabasePath bestimmt den Speicherort der Datenbankdateien, der Parameter QueueDatabaseLoggingPath den der Transaktionsprotokolldateien.

749


Abbildung 11.86: Verzeichnis der Warteschlangendatenbank

Die Warteschlangendatenbank besteht aus den folgenden Dateien: ■ ■

Mail.que – Warteschlangendatenbank-Datei Trn.chk – Prüfpunktdatei

Die Transaktionsprotokolle bestehen aus den folgenden Dateien: ■ ■ ■ ■

■ ■ ■

Trn.log –aktuelle Transaktionsprotokolldatei Trn.chk – Checkpoint-Datei der Warteschlangendatenbank Trntmp.log –als Nächstes bereitgestellte Transaktionsprotokolldatei, die im Voraus erstellt wird Trnnnn.log – weitere Transaktionsprotokolldateien, die erstellt werden, wenn Trn.log die durch den Parameter QueueDatabaeLoggingFileSize in der Konfigurationsdatei EdgeTransport.exe.config definierte Maximalgröße erreicht (die Standardeinstellung ist 5 MB) Trnres00001.jrs – Platzhalter-Protokolldatei Trnres00002.jrs – Platzhalter-Protokolldatei Temp.edb – Hierbei handelt es sich nicht um eine Transaktionsprotokolldatei, jedoch befindet sich diese Datei zur Überprüfung des Schemas der Warteschlangendatenbank an dem Speicherort der Transaktionsprotokolldateien.

Um die Warteschlangendatenbank zu verschieben, gehen Sie folgendermaßen vor:

1.

2.

3.

750

Beenden Sie den Microsoft Exchange-Transportdienst auf dem Exchange-Transportserver, auf dem sich die betroffene Warteschlangendatenbank befindet, zum Beispiel mit Net Stop MSExchangeTransport. Verschieben Sie alle Warteschlangendatenbank- und Transaktionsprotokolldateien in ein temporäres Verzeichnis auf dem Hub-Transport- oder EdgeTransport-Zielserver. In diesem Beispiel wird das Verzeichnis C:\QueueRecovery verwendet. Wurde der betroffene Exchange 2007-Transportserver wiederhergestellt, wird eine neue Datenbank erstellt, wenn der Microsoft Exchange-Transportdienst neu gestartet wird. Das ist jederzeit möglich, nachdem Sie das Kopieren der Warteschlangendatenbank-Dateien auf den Zieltransportserver beendet haben.


Wiederherstellen der Warteschlangendatenbank mit Eseutil Bevor Sie die Warteschlangendatenbank auf dem Zieltransportserver starten, sollten Sie mit Eseutil eine Datenbankwiederherstellung durchführen. Da die Warteschlangendatenbank die Umlaufprotokollierung verwendet, können alte Transaktionsprotokolle nicht in die Datenbank eingespielt werden. Es ist jedoch möglich, mit dem Eseutil /R-Wiederherstellungsmodus eine Datenbankwiederherstellung durchzuführen. Sie können Eseutil für die Offline-Wartung und -Reparatur der Warteschlangendatenbank verwenden.

1 2

Der Wiederherstellungsprozess liest die Prüfpunktdatei und übergibt die nicht durchgeführten Transaktionen aus dem Transaktionsprotokoll an die Warteschlangendatenbank. Ist keine Prüfpunktdatei (*.chk) vorhanden, beginnt das Einspielen mit dem ältesten Protokolldateieintrag, der im Transaktionsprotokoll verfügbar ist.

3

So führen Sie die Wiederherstellung einer Warteschlangendatenbank mit Eseutil durch:

4

1.

5

2.

Öffnen Sie an einer Eingabeaufforderung oder in der Exchange-Verwaltungsshell das Verzeichnis C:\QueueRecovery. Führen Sie den Befehl Eseutil /r Trn /d. /8 aus (siehe Abbildung 11.87). Trn gibt den aus drei Zeichen bestehenden Basisnamen der Protokolldatei an. /8 legt die Größe der Datenbankseiten für eine schnelle Wiederherstellung auf 8 Kilobytes fest. /d. gibt an, dass sich die wiederherzustellende Datenbank im aktuellen Verzeichnis befindet. Bei einer großen Warteschlangendatenbank kann die Datenbankwiederherstellung längere Zeit dauern.

6 7 Abbildung 11.87: Reparieren der Warteschlangendatenbank mit Eseutil

8 9 10

11 Nach Wiederherstellung der Warteschlangendatenbank sollte ebenfalls eine OfflineDefragmentierung der Datenbank durchgeführt werden. Bei der Offline-Defragmentierung einer ESE-Datenbank wird freier Speicherplatz in der Datenbank wieder zur Verfügung gestellt und die Größe der Datenbankdateien verringert sowie eventuelle Datenbankfehler werden beseitigt. Gehen Sie dazu folgendermaßen vor:

1. 2.

12 13

Öffnen Sie an einer Eingabeaufforderung oder in der Exchange-Verwaltungsshell das Verzeichnis C:\QueueRecovery. Führen Sie den Befehl Eseutil /d mail.que aus (siehe Abbildung 11.88). Bei einer großen Warteschlangendatenbank kann die Offline-Defragmentierung längere Zeit dauern.

14 15

751


Abbildung 11.88: Offline-Defragmentation der Warteschlangendatenbank

Sie könnten die Warteschlangendatenbank auf dem Exchange-Zieltransportserver mit der wiederhergestellten Warteschlangendatenbank überschreiben. Hierbei würden jedoch sämtliche vorhandenen Nachrichten in den Warteschlangen auf dem Exchange-Zieltransportserver gelöscht. Überschreiben Sie dazu alle vorhandenen leeren Warteschlangendatenbank- und Transaktionsprotokolldateien auf dem Exchange-Zieltransportserver mit allen Dateien aus dem Verzeichnis C:\QueueRecovery. Standardmäßig befinden sich die Warteschlangendatenbank und die Transaktionsprotokolle im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\data\Queue. Führen Sie an einer Eingabeaufforderung oder in der Exchange-Verwaltungsshell den Befehl Net Start MSExchangeTransport auf dem Exchange-Zieltransportserver aus, damit der Server wieder mit seiner Transportfunktion fortfahren kann. Mit dem Start der wiederhergestellten Warteschlangendatenbank auf dem Exchange-Zieltransportserver sollte die Nachrichtenübermittlung beginnen.

11.12

Exchange-Tools für die Datensicherung und Wiederherstellung

Microsoft stellt in Exchange Server 2007 bereits standardmäßig Tools bereit, mit deren Hilfe Sie eine Wiederherstellung oder Datensicherung durchführen können und die Ihnen bei der Fehlersuche helfen. Mit den Tools für die Datenbankwiederherstellungs-Verwaltung und Datenbank-Problembehandlung können Sie die Zeit zum Wiederherstellen von Daten reduzieren und den Wiederherstellungsprozess nach dem Auftreten von Datenbankproblemen auf Produktionsservern optimieren. Diese Tools sind Bestandteil von Microsoft Exchange Server Performance Troubleshooting Analyzer (ExTRA). Die Tools befinden sich in der Exchange-Verwaltungskonsole im Abschnitt Toolbox (siehe Abbildung 11.89).

752


Abbildung 11.89: Tools für die Verwaltung der Datenbankwiederherstellung in der Exchange-Verwaltungskonsole

1 2 3 4 5 6

11.12.1 Die Datenbankwiederherstellungs-Verwaltung

7

Das Tool Datenbankwiederherstellungs-Verwaltung ermöglicht Ihnen das Ausführen von Aufgaben, mit denen Sie Datenbankprobleme beheben können (siehe Abbildung 11.90). Dies umfasst beispielsweise Folgendes: ■

■

■

■

8

Datenbank- und Transaktionsprotokolldateien überprüfen – Mit dieser Option wird die Ursache dafür ermittelt, dass Datenbanken nicht erfolgreich bereitgestellt werden können. Außerdem werden die wiederhergestellten Datenbankdateien überprüft, um sicherzustellen, dass alle zum Ausführen einer Wiederherstellung erforderlichen Datenbank-, Streaming- und Protokolldateien verfügbar sind. Speicherplatz auf dem Protokolllaufwerk analysieren – Mit dieser Option werden Datenbanken, deren Bereitstellung aufgehoben wurde, die Prüfpunktdatei sowie Protokolldateien für jede Speichergruppe analysiert, um Speicherplatzprobleme auf dem Protokolllaufwerk ermitteln zu können. Datenbank reparieren – Mit dieser Option werden beschädigte Datenbanken repariert. Durch diesen Task können Daten dauerhaft verloren gehen. Daher sollten Sie vor dem Ausführen dieser Aufgabe eine Wiederherstellung anhand einer Sicherung in Erwägung ziehen. Informationen zur Wiederherstellung anhand einer Sicherung finden Sie unter »Durchführen einer einfachen Wiederherstellung von Exchange-Datenbanken«. Datenbankbezogene Ereignisprotokolle anzeigen – Mit dieser Option werden Ereignisprotokolleinträge innerhalb eines angegebenen Zeitbereichs überprüft. Aktuell werden über diesen Task ESE- und ESE-Sicherungsereignisse sowie Ereignisse des Microsoft Exchange-Informationsspeichers (MSExchangeIS) in einem Fenster mit einer Listenansicht angezeigt (siehe Abbildung 11.91).

9 10

11 12 13 14 15

753


Abbildung 11.90: Überprüfungsoptionen für Postfachdatenbanken im Exchange Troubleshooting Assistant (ExTRA)

Abbildung 11.91: Anzeigen datenbankbezogener Ereignisse im ExTRA

754


■ ■

■

■

■

Eine Speichergruppe für die Wiederherstellung erstellen – Mit dieser Option wird eine Speichergruppe für die Wiederherstellung erstellt. Datenbanken in der Speichergruppe für die Wiederherstellung bereitstellen oder deren Bereitstellung aufheben – Mit dieser Option werden die Datenbanken in der Speichergruppe für die Wiederherstellung bereitgestellt bzw. deren Bereitstellung aufgehoben, die Sie wiederherstellen wollen. Die Speichergruppe für die Wiederherstellung entfernen – Mit dieser Option wird die bestehende Speichergruppe für die Wiederherstellung entfernt, wenn sie nicht mehr benötigt wird. Postfachinhalte zusammenführen oder kopieren – Mit dieser Option werden Postfachinhalte aus den Datenbanken in der Speichergruppe für die Wiederherstellung in Produktionspostfächern zusammengeführt oder in diese kopiert. Option 'Diese Datenbank kann bei einer Wiederherstellung überschrieben werden' festlegen – Hiermit wird die Option Diese Datenbank kann bei einer Wiederherstellung überschrieben werden festgelegt, wenn Sie die Datenbankdateien wiederherstellen müssen.

1 2 3 4 5

11.12.2 Die Datenbank-Problembehandlung 6

Mit dem Tool Datenbank-Problembehandlung können Sie die folgenden ExchangeDatenbankprobleme beheben und analysieren. Bei der Datenbank-Problembehandlung wird das Windows Server 2003-Ereignisprotokoll auf Datenbankprobleme überprüft. Anschließend werden Ressourcen und mögliche Lösungen bereitgestellt. Dies umfasst beispielsweise Microsoft KnowledgeBase-Artikel und spezifische Tasks des Tools für die DatenbankwiederherstellungsVerwaltung.

7

11.12.3 Isinteg.exe

9

8

Die Integritätsüberprüfung für den Informationsspeicher (Isinteg.exe) sucht und beseitigt Fehler aus den Öffentliche-Ordner- und Postfachdatenbanken. Dieses Tool wird zur Verfügung gestellt, um Unterstützung bei der Notfallwiederherstellung zu leisten. Weil das Tool Isinteg auf der logischen Schemaebene arbeitet, kann es Daten wiederherstellen, die Eseutil.exe (Exchange Server Database Utilities, Datenbankdienstprogramme für Exchange Server) nicht wiederherstellen kann. Isinteg wird vorrangig verwendet, nachdem der Eseutil-Reparaturvorgang ausgeführt wurde. Das Tool führt zwei Hauptaufgaben aus: ■ ■

10

11 12

Es wendet einen Patch auf den Informationsspeicher an, nachdem eine Wiederherstellung aus einer Offline-Sicherung erfolgt ist. Es testet den Informationsspeicher und behebt optional Fehler in diesem.

13

Wenn bei Repair Count in der Konsistenzüberprüfung mit Eseutil nicht der Wert 0 steht, müssen Sie die Datenbank mit isinteg anpassen. Zunächst müssen Sie den Dienst für den Informationsspeicher starten, die Bereitstellung des Informationsspeichers, den Sie reparieren wollen, aber aufheben. Führen Sie auf dem Server folgende Befehlszeile aus:

14 15

Isinteg -s -fix –test alltests Sobald isinteg fertig ist, können Sie die Bereitstellung wiederherstellen.

755

Inhalt 1 2 3 4 5

12

Berechtigungen, Sicherheit und Server-Hardening

6 7

In diesem Kapitel zeige ich Ihnen die Bereiche von Exchange Server 2007, welche die Sicherheit, die Berechtigungen und das Server-Hardening betreffen. Dieses Kapitel soll Sie bei der Einrichtung und optimalen Verwaltung einer sicheren ExchangeInfrastruktur unterstützen. Exchange Server 2007 bietet die Möglichkeit, Berechtigungen zu delegieren, sodass Sie anderen Benutzerkonten als dem Administrator verschiedene Rechte zuweisen können. In Exchange Server 2007 ist eine Administratorrolle eine vordefinierte Sicherheitsgruppe, die bestimmte Berechtigungen bereitstellt, die Mitgliedern der Rolle das Verwalten von Exchange-Konfigurationsdaten ermöglicht.

8 9 10

Windows Server 2008 geht bei der Sicherheit eine neue Richtung ein. Werden neue Serverdienste installiert, sind diese bereits stark abgesichert, eine weitere Absicherung wird, im Gegensatz zu Windows Server 2003, selten benötigt. Außerdem wird die Windows-Firewall in Windows Server 2008 nach der Installation automatisch aktiviert und konfiguriert. Die neue Windows-Firewall kann jeglichen eingehenden Netzwerkverkehr ablehnen, der nicht als Antwort auf eine Anfrage von Ihrem Computer eingeht oder für den keine Ausnahme konfiguriert wurde (unverlangt eingehender Netzwerkverkehr). Dies ist bei einer Firewall die wichtigste Funktion. Sie sorgt dafür, dass der Computer nicht durch Viren und Würmer infiziert wird. Die neue Windows-Firewall kann jedoch auch den ausgehenden Netzwerkverkehr überwachen. Ein Netzwerkadministrator kann zum Beispiel Ausnahmen konfigurieren, die alle an bestimmte Ports gesendeten Pakete blockieren. Standardmäßig blockiert die Windows Server 2008-Firewall jeglichen eingehenden Netzwerkverkehr – es sei denn, er erfolgt aufgrund von Anfragen, oder es wurde eine Ausnahme konfiguriert. Die meisten Serverrollen und Funktionen tragen ihre eigenen Ausnahmen automatisch ein. Die Regeln der Windows-Firewall wurden intelligenter gemacht. Es kann genau festgelegt werden, welche Komponenten und Dienste nach extern kommunizieren dürfen. Unter Windows Server 2008 können auch komplexe Regeln erstellt werden. Regeln können mit Authentifizierung arbeiten und die Verschlüsselung für

11

12 13 14

757

Index

15


bestimmte Kommunikationsarten vorschreiben. Regeln können auch auf Basis von Active Directory-Gruppen oder -Benutzern erstellt werden. Die Firewall lässt ausgehenden Netzwerkverkehr automatisch zu, solange darauf keine konfigurierte Ausnahme zutrifft. Die Firewall von Windows Server 2003 blockiert nur eingehenden Netzwerkverkehr. Es gibt ein neues Snap-In für die Microsoft Management Console (wf.msc). In die Firewall wurden Einstellungen für die Firewall-Filterung und für IPsec (Internet Protocol Security) integriert. Für die Steuerung der IP-Sicherheit wird daher kein zusätzliches Programm benötigt. Ausnahmen können jetzt für Active Directory-Konten und -Gruppen, für Quell- und Ziel-IP-Adressen, für IP-Protokollnummern, für Quell- und Ziel-TCP- und UDP-Ports, für alle oder bestimmte TCPund UDP-Ports, für bestimmte Schnittstellen, für bestimmte Dienste und für ICMPund ICMPv6-Netzwerkverkehr konfiguriert werden. Der Kernel des Betriebssystems wird unter Windows Server 2008 besser geschützt. Die Anzahl der Komponenten, die im Kernel-Modus betrieben werden, sind deutlich reduziert worden. Durch diese Reduzierung können Kernel-Abstürze, die auch im Absturz des Servers resultieren, verhindert werden. Die meisten Dienste laufen jetzt im Kontext des Benutzers, sodass Abstürze das System nicht mehr gefährden können. Die Berechtigungsstufen der Dienste wurden im Vergleich zu Windows Server 2003 deutlich eingeschränkt. Dienste laufen jetzt nicht mehr mit maximaler Berechtigung, sondern nur mit minimalen Berechtigungen. Dienste werden auch durch die Windows-Firewall geschützt und eingeschränkt. Durch diese Einschränkungen werden Dienste daran gehindert, Manipulationen am Dateisystem und an der Registry durchzuführen. Wird ein Dienst kompromittiert, kann dieser mit zu vielen Rechten nicht ein ganzes System oder gar Netzwerk angreifen. DLLs und Dienste werden beim Starten ebenfalls validiert. Dazu erstellt Windows Server 2008 einen HashWert, der durch ein X.509-Zertifikat geschützt wird. Stellt der Server beim Starten fest, dass der Hash-Wert nicht mit den tatsächlichen Daten des Dienstes oder der DLL übereinstimmt, wird die Funktion blockiert. Im Bereich der Exchange-Berechtigungen und Delegationen gibt es zwischen Windows Server 2003 und Windows Server 2008 keine gravierenden Unterschiede.

12.1

Delegieren von Administratorberechtigungen

Exchange Server 2007 bietet die folgenden vier Administratorrollen: ■ ■ ■ ■

Exchange-Empfängeradministratoren Exchange-Organisationsadministratoren Exchange Serveradministratoren Exchange-Administratoren mit Leserechten

Während der Ausführung von Setup /PrepareAD in der Exchange-Installation (vergleichbar mit ForestPrep von Exchange Server 2007, siehe Kapitel 4) werden diese Exchange-Administratorrollen (ausgenommen die Exchange Serveradministratoren) in einer neuen Organisationseinheit (OU) als universale Sicherheitsgruppe erstellt. Die OU hat standardmäßig die Bezeichnung Microsoft Exchange Security Group (siehe Abbildung 12.1).

758


Abbildung 12.1: Anzeigen der Exchange-Sicherheitsgruppen

1 2

12.1.1

Informationen zu den ExchangeAdministratorrollen

3

Im folgenden Abschnitt gehe ich ausführlicher auf die einzelnen Berechtigungen der Exchange-Administratorrollen ein.

4

Exchange-Organisationsadministratoren Diese Rolle erteilt Administratoren Vollzugriff auf alle Exchange-Eigenschaften und -Objekte in der Exchange-Organisation. Während des Exchange-Setups erstellt Setup/ PrepareAD in der Stammdomäne diese Active Directory-Sicherheitsgruppe. Mitglieder der Rolle Exchange-Organisationsadministratoren verfügen über die folgenden Berechtigungen: ■

5 6

Besitzer der Exchange-Organisation im Konfigurationscontainer von Active Directory. Als Besitzer verfügen die Mitglieder der Rolle über Vollzugriff auf die Exchange-Organisationsdaten im Konfigurationscontainer in Active Directory und auf die lokale Gruppe Exchange Serveradministrator. Sie können sich diese Berechtigungen anzeigen lassen, wenn Sie mit ADSI-Edit in den Eigenschaften des Knotens CN=Microsoft Exchange auf die Registerkarte Sicherheit klicken (siehe Abbildung 12.2). Sie sehen, dass diese Berechtigungen direkt auf diesen Knoten gesetzt sind und nicht von oben vererbt werden. Hier handelt es sich um die oberste Ebene der Berechtigungen von Exchange 2007. Mehr zu diesem Thema erfahren Sie im vorangegangenen Kapitel 11 im Abschnitt zur Sicherung von Active Directory.

7 8 9 10 Abbildung 12.2: Anzeigen der Rechte für ExchangeOrganisationsadministratoren in ADSI-Edit

11

12 13 14 15

759


■

■ ■

Lesezugriff auf alle Domänenbenutzercontainer in Active Directory. Exchange erteilt diese Berechtigung beim Einrichten des ersten Servercomputers mit Exchange Server 2007 in der Domäne für jede Domäne in der Organisation. Lesezugriff auf alle Exchange-spezifischen Attribute in allen Domänenbenutzercontainern im Active Directory. Besitzer aller Konfigurationsdaten des lokalen Servers. Als Besitzer verfügen die Mitglieder über Vollzugriff auf den lokalen Servercomputer mit Exchange.

Benutzer, die Mitglieder der Rolle Exchange-Organisationsadministratoren sind, verfügen über den höchsten Berechtigungsgrad in der Exchange-Organisation. Für alle Aufgaben, die sich auf die gesamte Exchange-Organisation auswirken, ist die Mitgliedschaft in dieser Gruppe erforderlich. Bei der Installation von Exchange Server 2007 wird diese Rolle als Mitglied der lokalen Gruppe Administratoren auf dem Computer hinzugefügt, auf dem Exchange installiert wird. Beachten Sie, dass die lokale Gruppe Administratoren auf einem Domänencontroller über andere Berechtigungen verfügt als die lokale Gruppe Administratoren auf einem Mitgliedsserver. Wird Exchange Server 2007 auf einem Domänencontroller installiert, verfügen die Benutzer der Rolle Exchange-Organisationsadministratoren über zusätzliche Windows-Berechtigungen, über die sie nicht verfügen, wenn Exchange Server 2007 auf einem Computer installiert wird, der kein Domänencontroller ist. Exchange-Empfängeradministratoren Diese Rolle berechtigt, beliebige Exchange-Eigenschaften für einen Active DirectoryBenutzer, einen Kontakt, eine Gruppe, dynamische Verteilerlisten oder öffentliche Ordner zu ändern. Mit dieser Rolle können Sie Unified-Messaging-Postfacheinstellungen und Client-Access-Postfacheinstellungen verwalten. Mitglieder der Rolle Exchange-Organisationsempfängeradministratoren verfügen über die folgenden Berechtigungen: ■

■

INFO

Lesezugriff auf alle Domänenbenutzercontainer in Active Directory, für die Setup /PrepareDomain in diesen Domänen ausgeführt wurde (siehe auch Kapitel 4). Schreibzugriff auf alle Exchange-spezifischen Attribute für alle Domänenbenutzercontainer in Active Directory, für die Setup /PrepareDomain in diesen Domänen ausgeführt wurde.

Fügen Sie eine neue Domäne hinzu, stellen Sie sicher, dass Setup /PrepareDomain in der neuen Domäne ausgeführt wird, um den Exchange-Administratorrollen in dieser Domäne Berechtigungen zu erteilen. Exchange Serveradministratoren Die Rolle Exchange Serveradministratoren besitzt ausschließlich Zugriff auf die Exchange-Konfigurationsdaten des lokalen Servers, auf dem ihm Zugriff gewährt wurde. Unter Exchange 2003 wurden diese Berechtigungen noch mithilfe der Delegation über administrative Gruppen erteilt. Benutzer, die Mitglieder dieser Rolle sind, können einen bestimmten Server verwalten. Sie sind jedoch nicht berechtigt, Vorgänge auszuführen, die globale Auswirkungen auf die Exchange-Organisation haben.

760


Fügen Sie der Rolle Exchange Serveradministratoren einen Benutzer hinzu, wird dieser Benutzer ein Mitglied von Exchange Serveradministrator (<Servername>). (Exchange 2007 erstellt diese Administratorrolle während des Setups.) Mitglieder der Rolle verfügen über die folgenden Berechtigungen: ■

■ ■

1

Besitzer aller Konfigurationsdaten des lokalen Servers. Als Besitzer verfügen die Mitglieder der Rolle über Vollzugriff auf die Konfigurationsdaten des lokalen Servers. Lokaler Administrator des Computers, auf dem Exchange installiert ist. Mitglieder der Rolle Exchange-Administratoren mit Leserechten, damit diese Admins die Einstellungen der Organisation lesen können; sonst würde die Verwaltung eines einzelnen Servers keinen Sinn ergeben.

2 3

Exchange-Administratoren mit Leserechten Diese Rolle besitzt Lesezugriff auf die gesamte Struktur der Exchange-Organisation im Active Directory-Konfigurationscontainer sowie Lesezugriff auf alle WindowsDomänencontainer, die über Exchange-Empfänger verfügen.

4 5

Drei Arten von Exchange-Daten können von diesen Gruppen verwaltet werden: ■

■ ■

Globale Daten – Da sind die Daten in einem Active Directory-Konfigurationscontainer, die keinem bestimmten Server zugeordnet sind. Diese Daten sind zum Beispiel Postfachrichtlinien, Adresslisten und die Exchange Unified-MessagingKonfiguration. Globale Daten wirken sich auf die gesamte Organisation und potenziell auf alle Benutzer aus. Als bewährte Methode sollten Sie nur einer kleinen Anzahl vertrauenswürdiger Benutzer das Konfigurieren oder Ändern globaler Daten gestatten. Empfängerdaten – Empfänger in Exchange sind Active Directory-Benutzerobjekte, die E-Mail-Nachrichten senden oder empfangen können. Serverdaten – Exchange Serverdaten sind in Active Directory unter dem Knoten des angegebenen Servers enthalten. Beispiele für diese Daten sind Empfangsconnectoren, virtuelle Verzeichnisse, Einstellungen pro Server sowie Postfachund Speichergruppendaten.

12.1.2

6 7 8 9 10

Zuweisen von Benutzerkonten zu ExchangeAdministratorrollen

11

Um Benutzerkonten oder Gruppen entsprechende Rechte in der Exchange-Organisation zuzuweisen, verwenden Sie am besten die Exchange-Verwaltungskonsole:

1. 2.

12

Starten Sie die Exchange-Verwaltungskonsole. Klicken Sie in der Konsolenstruktur auf Organisationskonfiguration.

13 Abbildung 12.3: Hinzufügen von neuen ExchangeAdministratoren

14 15

761


3. Klicken Sie im Aktionsbereich auf Exchange-Administrator hinzufügen. Der Assistent zum Hinzufügen von Exchange-Administratoren wird angezeigt (siehe Abbildung 12.3). Abbildung 12.4: Starten des Assistenten zum Hinzufügen neuer ExchangeAdministratoren

Abbildung 12.5: Abschließen des Assistenten zum Hinzufügen von Benutzerkonten zu Administratorrollen

762


4. Klicken Sie auf der Seite Exchange-Administrator hinzufügen auf Durchsuchen, 5.

6. 7.

um den Benutzer oder die Gruppe auszuwählen, dem oder der Sie eine ExchangeAdministratorrolle hinzufügen möchten. Wählen Sie unter Wählen Sie die Rolle und den Bereich dieses Exchange-Administrators aus die gewünschte Exchange-Administratorrolle aus. Wählen Sie die Rolle Exchange Serveradministrator aus, müssen Sie auch die entsprechenden Exchange Server auswählen, auf die der Benutzer oder die Gruppe Zugriff haben soll. Klicken Sie auf Hinzufügen. Klicken Sie im nächsten Fenster auf Fertig stellen, um die Aufgabe zu beenden. Hier wird Ihnen auch der entsprechende Befehl aus der Exchange-Verwaltungsshell angezeigt (siehe Abbildung 12.5).

1 2 3

Delegieren Sie Exchange-Administratorberechtigungen an einen Administrator, dann muss dieser Administrator Mitglied der lokalen Gruppe Administratoren sein. Dieser Vorgang wird durch den Assistenten nicht durchgeführt, sondern Sie müssen das Benutzerkonto dieser Gruppe manuell hinzufügen.

4

In der Exchange-Verwaltungsshell können Sie den Befehl Add-ExchangeAdministrator -Role OrgAdmin -Identity verwenden, um einem Benutzer Exchange-Organisationsadministratorrechte zu erteilen.

5

Haben Sie einen neuen Administrator hinzugefügt, wird das Benutzerkonto im Ergebnisbereich angezeigt, wenn Sie in der Exchange-Verwaltungskonsole auf Organisationskonfiguration klicken. Außerdem wird das Benutzerkonto als Mitglied in der entsprechenden Sicherheitsgruppe aufgenommen, die Sie mit dem Snap-In Active Directory-Benutzer und -Computer anzeigen können (siehe Abbildung 12.6).

6 7

Wollen Sie einem Benutzerkonto die entsprechenden Rechte wieder entziehen, sollten Sie diesen in der Exchange-Verwaltungskonsole von der entsprechenden Berechtigung entfernen, nicht über das Snap-In Active Directory-Benutzer und -Computer. Da funktioniert zwar auch, aber der empfohlene Weg ist der über die Exchange-Verwaltungskonsole.

8 9 Abbildung 12.6: Anzeigen des neuen Administrators

10 11

12 13 14 15

763


In der Exchange-Verwaltungsshell können Sie mit dem Befehl Get-ExchangeAdministrator ebenfalls die einzelnen Exchange-Administratoren der Organisation anzeigen lassen (siehe Abbildung 12.7). Abbildung 12.7: Anzeigen der ExchangeAdministratoren in der ExchangeVerwaltungsshell

12.2

Zulassen des Postfachzugriffs

Anwender können in Outlook in den Eigenschaften für Ihr Postfach oder Ihren Unterordner im Postfach Berechtigungen für andere Anwender erteilen. Exchange-Administratoren können zusätzlich über die Exchange-Verwaltungsshell Berechtigungen erteilen. Bei Vollzugriffsberechtigungen kann der Benutzer den Inhalt des Postfachs öffnen und lesen. Er kann aber nicht als dieses Postfach senden, ohne zusätzliche Berechtigungen zu erhalten (siehe auch Kapitel 8). Werden einem Benutzer Empfangen als-Berechtigungen für eine Postfachdatenbank erteilt, kann sich dieser Benutzer bei allen in dieser Datenbank enthaltenen Postfächern anmelden, er kann aber keine E-Mail-Nachrichten aus diesen Postfächern senden. Werden Empfangen als-Berechtigungen auf Speichergruppenebene erteilt, kann sich der angegebene Benutzer außerdem bei allen Postfächern anmelden, die sich in allen in der Speichergruppe enthaltenen Datenbanken befinden. Vollzugriffs- oder Empfangen als-Berechtigungen werden erst gewährt, nachdem der Microsoft Exchange-Informationsspeicherdienst die Berechtigungen in den Cache übernommen und diesen aktualisiert hat. Möchten Sie die Berechtigung sofort erteilen, beenden Sie den Microsoft Exchange-Informationsspeicherdienst und starten ihn dann neu. Achten Sie aber darauf, dass in diesem Fall alle Benutzer von Exchange getrennt werden. Führen Sie den folgenden Befehl aus, um dem Postfach die Berechtigung direkt hinzuzufügen: ■

Add-MailboxPermission -AccessRights FullAccess So erteilen Sie mithilfe der Exchange-Verwaltungsshell Empfangen als-Berechtigungen für eine Postfachdatenbank: ■

764

Add-ADPermission -Identity -User – ExtendedRights Receive-As

Delegierung von Administrationsaufgaben im Active Directory

Mehr zu diesem Thema finden Sie in Kapitel 8. Durch die Installation von Exchange Server 2007 SP1 können diese Berechtigungen auch in der Exchange-Verwaltungskonsole über das Kontextmenü des Postfachs eingestellt werden.

12.3

1


2

Klicken Sie mit der rechten Maustaste auf eine Organisationseinheit oder eine Domäne, können Sie mithilfe des Menüpunkts Objektverwaltung zuweisen einzelne Aufgaben an verschiedene Benutzergruppen delegieren (siehe Abbildung 12.8). Die Delegierung von Berechtigungen im Active Directory kann auf verschiedenen Ebenen erfolgen: ■

■ ■

3

Sie kann auf der Ebene der Domäne mit Gültigkeit für die gesamte Domäne vorgenommen werden. Es können allerdings für untergeordnete Organisationseinheiten Abweichungen davon eingerichtet werden. Sie kann auf der Ebene von Organisationseinheiten durchgeführt werden. Sie kann auch über die Zugriffsberechtigungen für Objekte vorgenommen werden. So kann über die Sicherheitseinstellungen einer Gruppe festgelegt werden, dass diese nur von bestimmten Operatoren verwaltet werden darf. Allerdings kann die Delegierung nicht über den Assistenten für die Delegierung von administrativen Berechtigungen erfolgen, da dieser nur eine Delegierung auf der Ebene von Domänen und Organisationseinheiten unterstützt, sondern sie muss über die konkrete Konfiguration der Sicherheitseinstellungen des Objekts durchgeführt werden.

4 5 6 7

Abbildung 12.8: Delegieren von Administrationsaufgaben im Active Directory

8 9 10 11

12 13

Das wichtigste Werkzeug für die Delegierung von Berechtigungen ist ein Assistent, der über das Kontextmenü von Domänen und Organisationseinheiten aufgerufen werden kann. Er wird mit dem Befehl Objektverwaltung zuweisen gestartet. Der Assistent führt schrittweise durch die Konfiguration der Berechtigungen (siehe Abbildung 12.8).

14 15

Der erste Schritt bei der Delegierung von Berechtigungen ist die Auswahl der Benutzer oder Gruppen, denen Sie eine administrative Aufgabe zuweisen wollen. Durch Anklicken der Schaltfläche Hinzufügen können Sie aus einem weiteren Dialogfeld die Benutzer oder Benutzergruppen auswählen (siehe Abbildung 12.9). Der nächste Schritt ist die Auswahl der zuzuweisenden Aufgaben (siehe Abbildung 12.10). 765


Abbildung 12.9: Auswählen der Gruppe für die Delegierung

Die angebotene Liste unterscheidet zwischen Domänen und Organisationseinheiten. Auf der Ebene von Domänen stehen folgende Aufgaben zur Auswahl: ■ ■

Mit Fügt einen Computer einer Domäne hinzu kann delegiert werden, welche Benutzer neue Systeme in eine Domäne aufnehmen dürfen. Die Aufgabe Verwaltet Gruppenrichtlinien-Verknüpfungen gibt die Möglichkeit, vorhandene Gruppenrichtlinien Objekten zuzuordnen.

Wird dagegen auf der Ebene von Organisationseinheiten gearbeitet, werden folgende Aufgaben angeboten: ■

Abbildung 12.10: Auswahl der zu delegierenden Aufgabe

766

Die Auswahl von Erstellt, entfernt und verwaltet Benutzerkonten delegiert die Berechtigung für das Anlegen von Benutzern in einer Organisationseinheit.


■

■ ■

■

■ ■

Mit Setzt Kennwörter von Benutzerkonten zurück kann selektiv die Berechtigung vergeben werden, dass ein Benutzer Kennwörter anderer Benutzer ändern darf. Damit kann der operative Aufwand vom Helpdesk in die Fachabteilungen verlegt werden, indem dort ausgewählte Benutzer Kennwörter zurücksetzen können, wenn andere Benutzer ihr Kennwort vergessen haben. Die Option Liest alle Benutzerinformationen gibt den vollen Zugriff auf alle Informationen zu Benutzerkonten. Die Auswahl von Erstellt, löscht und verwaltet Gruppen beschränkt die administrativen Berechtigungen auf Benutzergruppen. Damit ist keine Berechtigung zur Verwaltung von Benutzern gegeben. Mit Ändert die Mitgliedschaft einer Gruppe können keine neuen Gruppen erstellt, aber Gruppenzugehörigkeiten von Benutzern und Gruppen angepasst werden. Die Aufgabe Verwaltet Drucker gibt das Recht, die Warteschlangen von Druckern zu verwalten. Allerdings können damit keine Drucker angelegt werden. Das Recht Erstellt und löscht Drucker ermöglicht es, dem System neue Drucker hinzuzufügen.

1 2 3 4 5

Szenario: Delegierung zum administrativen Verwalten einer Organisationseinheit

6

Ein gutes Praxisbeispiel für die Delegierung von Benutzerrechten im Active Directory ist das Zurücksetzen von Kennwörtern. Vergessen Anwender ihr Kennwort oder bekommen sie ein neues Kennwort zugewiesen, sollte das nicht die Aufgabe der Systemadministratoren sein. In diesem Fall könnte zum Beispiel der Abteilungsleiter oder ein Power-User diese Aufgaben übernehmen. Es besteht außerdem die Möglichkeit, an einen Benutzer genau diese Rechte für seine OU zu delegieren und ihm im Anschluss ein speziell angepasstes Administrationsprogramm zur Verfügung zu stellen, mit dem er diese Aufgabe durchführen kann.

7

Delegierung der Berechtigungen im Active Directory

10

Bei der Delegierung in diesem Beispiel wird dem entsprechenden Anwender nicht nur die Berechtigung zum Zurücksetzen der Kennwörter, sondern auch die komplette Verwaltung der Benutzer seiner OU zugewiesen.

11

In Ihrem Unternehmen können Sie dazu bei der Objektverwaltung statt des Vollzugriffs einfach nur das Recht zum Zurücksetzen von Kennwörtern delegieren. Gehen Sie dazu folgendermaßen vor:

12

12.3.1

1.

2.

3.

8 9

Legen Sie zunächst eine globale Benutzergruppe an, welche die Rechte der Delegierung enthält. Auch wenn die Gruppe zunächst nur einen Benutzer enthält, sollten Sie in den Berechtigungen des Active Directory niemals nur einzelne Konten eintragen. Wollen Sie Änderungen durchführen, zum Beispiel noch eine Urlaubsvertretung oder einen anderen Benutzer dazu berechtigen, müssen Sie den entsprechenden Benutzer nur in die Gruppe aufnehmen, ohne Änderungen in den Berechtigungen des Active Directory durchführen zu müssen. Klicken Sie mit der rechten Maustaste auf die OU, in der die Benutzerkonten abgelegt sind, deren Verwaltung Sie delegieren wollen. Wählen Sie aus dem Kontextmenü die Option Objektverwaltung zuweisen (siehe Abbildung 12.8). Fügen Sie dem Assistenten die angelegte Gruppe hinzu, der Sie das Recht zur Verwaltung der OU geben wollen (siehe Abbildung 12.9).

13 14 15

767


4. Wählen Sie im nächsten Fenster als zuzuweisende Aufgabe die Option Erstellt,

5.

entfernt und verwaltet Benutzerkonten. Wollen Sie den entsprechenden Nutzern nur das Recht zum Ändern der Kennwörter einräumen, können Sie hier auch die Option Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderungen verwenden. Beenden Sie den Assistenten. Die Delegierung ist damit abgeschlossen.

Die entsprechenden Rechte für diese Gruppe finden Sie, indem Sie zunächst im Snap-In Active Directory-Benutzer und -Computer über das Menü Ansicht/Erweiterte Funktionen die erweiterten Ansichtsfunktionen aktivieren. Rufen Sie danach die Eigenschaften der OU auf, wird die Registerkarte Sicherheit angezeigt (siehe Abbildung 12.11). Klicken Sie hier auf Erweitert, finden Sie im folgenden Fenster auf der Registerkarte Berechtigungen die genauen Rechte der Gruppe. Abbildung 12.11: Eingetragene Rechte bei der Delegierung

Wollen Sie die Delegierung wieder rückgängig machen, müssen Sie einfach an dieser Stelle die Rechte der Gruppe wieder entfernen.

Installation der Verwaltungsprogramme für die delegierten Aufgaben Hat die Gruppe die entsprechenden Rechte zur Verwaltung dieser OU bekommen und haben Sie die Benutzer in die Gruppe aufgenommen, sollten Sie den entsprechenden Benutzern noch ein Administrationsprogramm zur Verfügung stellen, über das sie die OU verwalten können. Danach können Sie die notwendigen Administrationstools auf der Arbeitsstation des Administrators der OU installieren. Die Administrationstools befinden sich auf jedem Windows Server 2003 im Verzeichnis \Windows\system32 in der Datei adminpak.msi. Delegieren Sie die Verwaltung mehrerer OUs, wäre es sinnvoll, wenn Sie die Datei in einer Netzwerkfreigabe speichern. Beachten Sie jedoch, dass die Installation der Datei adminpak.msi alle Administrationstools von Windows Server 2003 installiert. Delegieren Sie nur einzelne Aufgaben, sollten Sie auf den Clients nur die Snap-Ins aktivieren, welche die Administratoren auch benötigen. Dadurch erhöhen Sie deutlich die Sicherheit. Um nur einzelne Snap-Ins aus der Datei adminpak.msi zu installieren, müssen Sie die Befehlszeile msiexec /i adminpak.msi ADDLOCAL=AbkürzungfürSnap-In /qb ausführen. Die einzelnen Abkürzungen für die Snap-Ins lauten wie folgt: 768


■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■

FeCERTConsole – Zertifizierungsstelle FeClusterConsole – Clusterverwaltung FeCMAKConsole – Verbindungsmanager FeDHCPConsole – DHCP FeDFSConsole – Verteiltes Dateisystem (DFS) FeDNSConsole – DNS-Dienst (DNS = Domain Name System) FeIASConsole – Internetauthentifizierungsdienst (IAS) FeIISConsole – Internetinformationsdienste-Manager FeACSConsole – QoS-Zugangssteuerung FeRSConsole – Remotespeicher FeRRASConsole – Routing und RAS FeTAPIConsole – Telefonie FeTSClientConsole – Terminaldiensteclient FeTSMgrConsole – Terminaldienstetools FeWINSConsole – WINS FeADTools – Active Directory-Programme

1 2 3 4 5 6

Soll der Administrator einer OU nur Benutzer verwalten, können Sie die Abkürzung FeADTools verwenden. Die Befehlszeile zur Installation der Active Directory-Verwaltungsprogramme lautet dann msiexec /i adminpak.msi ADDLOCAL=FeADTools /qb.

7

Nach der Installation stehen die Programme dem Anwender zur Verfügung. Durch die Installation der Erweiterung FeADTools werden folgende Snap-Ins auf dem PC des Anwenders installiert:

8

1. Active Directory-Domänen und -Vertrauensstellungen 2. Active Directory-Standorte und -Dienste 3. Active Directory-Benutzer und -Computer

9

Erstellen einer angepassten Managementkonsole (MMC)

10

Sinnvollerweise sollten Sie zusätzlich eine angepasste MMC für die Administratoren erstellen und den delegierten Administratoren zur Verfügung stellen. Sie erstellen die MMC am besten auf Ihrem PC und speichern sie danach ab. Gehen Sie dazu folgendermaßen vor:

11

1. Öffnen Sie über Start/Ausführen/mmc eine neue Konsole. 2. Fügen Sie das Snap-In Active Directory-Benutzer und -Computer hinzu. 3. Klicken Sie mit der rechten Maustaste auf die OU, deren Verwaltung Sie dele-

12

giert haben, und wählen Sie aus dem Kontextmenü die Option Neues Fenster aus. Es öffnet sich eine neue Ansicht, in der ausschließlich die OU angezeigt wird. 4. Schließen Sie im Fensterhintergrund die Ansicht, die alle OUs anzeigt. 5. Geben Sie der Konsole über Datei/Optionen einen neuen Namen, zum Beispiel Verwaltungskonsole Buchhaltung. 6. Stellen Sie im Bereich Benutzermodus die Option Benutzermodus – beschränkter Zugriff, Einzelfenster ein (siehe Abbildung 12.12). 7. Deaktivieren Sie die Option Anpassen von Ansichten durch Benutzer zulassen (siehe Abbildung 12.12). 8. Speichern Sie die MMC als Datei ab.

13 14 15

769


Die erstellte Datei können Sie per Anmeldeskript aus den Gruppenrichtlinien auf die Arbeitsstationen der Administratoren verteilen lassen. Sie können die Datei auch in einem Intranet oder einer Freigabe zur Verfügung stellen. Abbildung 12.12: Erstellen einer Managementkonsole für die Verwaltung einer OU

12.4

Sicherheit für Edge-Transport-Server

Eine der herausragendsten Neuerungen im Bereich Sicherheit ist die Möglichkeit, Exchange Server 2007 mit verschiedenen Rollen zu installieren. Eine dieser Rollen ist der Edge-Transport-Server, der in der DMZ installiert werden und für das Scannen von E-Mails nach Viren und Scan zuständig sein kann. So kann ein Edge-TransportServer als Stand-alone-Server betrieben werden. Diese Server müssen kein Mitglied einer Active Directory-Domäne sein. Die Rolle Edge-Transport-Server wird standardmäßig nicht mit installiert, sondern muss explizit getrennt installiert werden, da sie nicht zusammen mit den anderen Rollen auf einem Server betrieben werden kann. Edge-Transport-Server dienen hauptsächlich der Spam- und Virenbereinigung von E-Mails. Der Edge-Transport-Server tauscht seine Daten durch die ADAM-Funktion mit dem Active Directory aus. ADAM ist eine Low-End-Variante von Active Directory. Es basiert auf der gleichen Technologie und unterstützt ebenfalls Replikation. Im Gegensatz zum Active Directory wird aber beispielsweise kein Kerberos für die Authentifizierung unterstützt. Mit ADAM können LDAP-Verzeichnisse für Anwendungen erstellt werden, die wiederum mit dem Active Directory synchronisiert werden können und dieses auch für die Authentifizierung nutzen. Es können mehrere ADAM-Instanzen parallel auf einem Server betrieben werden (siehe auch Kapitel 5). ADAM ist eine Alternative zu den Application Directory Partitions im Active Directory. ADAM wurde für Organisationen, die eine flexible Unterstützung verzeichnisfähiger Anwendungen benötigen, entwickelt. ADAM ist ein LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll), der als Benutzerdienst und nicht als Sys-

770

Absichern der Exchange-Organisation

temdienst ausgeführt wird. Mit den ADAM-Services können Unternehmen zum Beispiel andere LDAP-Verzeichnisse in Testumgebungen oder der DMZ installieren, ohne auf Software eines Drittanbieters zurückgreifen zu müssen.

12.5

1

Absichern der Exchange-Organisation – Verwenden des Security Configuration Wizards (SCW)

2

In den letzten Jahren hat die Kommunikation in Unternehmen zunehmend an Bedeutung gewonnen. Microsoft erweitert die Möglichkeiten seiner Produkte ständig mit zusätzlichen Sicherheitsfeatures. Nicht nur in großen Unternehmen ist es daher notwendig, Server so optimal wie möglich abzusichern. Mit Windows Server 2003 und dem nachgelieferten SP1 sowie der R2-Version und mit Exchange Server 2007 haben Administratoren bereits mit Bordmitteln optimale Möglichkeiten, die Sicherheit ihrer Exchange-Organisation zu optimieren. Der Exchange Server ist nur eine Komponente, die bei der Absicherung Ihrer E-Mail-Struktur eine Rolle spielt. Eine weitere, sehr wichtige Komponente ist der Client, also Outlook, der ebenfalls abgesichert werden sollte.

12.5.1

3 4 5 6

Allgemeine Informationen zur Sicherheit 7

Bevor Sie anfangen, einen Server abzuhärten, also extremere Sicherheitsmaßnahmen als die Standardeinstellungen zu verwenden, sollten zunächst andere Methoden in Angriff genommen werden. Dazu gehören zunächst folgende Punkte: ■

■

■ ■ ■

8

Aktuelle Betriebssysteme auf den Clientrechnern sowie die aktuellste OutlookVersion – optimal ist die Kombination Windows XP SP2/Vista (mit aktivierter Firewall) und Outlook 2003 SP2/2007 (mit aktiviertem Phishing-Schutz). Sie sollten beide Programme immer auf aktuellem Patchstand halten. Hilfreich ist der kostenfrei verfügbare WSUS (Windows Server Update Service), der Ihre Clients immer auf dem aktuellen Patchstand hält. Sehr wichtig ist ein installierter Virenschutz auf allen Clientrechnern sowie ein Postfachviren-Scanner auf Ihrem Exchange Server. Eine Firewall für die Verbindung ins Internet sollte heutzutage selbstverständlich sein. Ihr Exchange Server sollte immer mit den aktuellen Service Packs für Betriebssystem und Exchange Server versorgt sein. Auch sollten alle Patches installiert sein, die Microsoft zur Verfügung stellt (vorher natürlich testen).

9 10 11

12

Absicherung Ihrer Clients

13

Zunächst sollten Sie festlegen, welche Clients Sie überhaupt in Ihrem Unternehmen zulassen, welche Outlook-Version verwendet wird und ob Sie den Zugriff mit Pocket-PCs oder Smartphones erlauben wollen. Auch den Zugriff über Outlook Web Access, POP3 oder IMAP sollten Sie planen und nicht benötigte Protokolle deaktivieren. Ihre Anwender sollten geschult sein und mit den Begriffen Viren, Würmer, Phishing, gefährliche Dateianhänge etc. vertraut sein.

14 15

771


Absichern der Domäneninfrastruktur Bevor Sie Ihren Exchange Server 2007 absichern, sollten Sie sich Ihre Domänen und Domänencontroller (DCs) vornehmen. Exchange Server 2007 baut stark auf das Active Directory auf und ist ohne es nicht lauffähig. Die beste Exchange Server-Absicherung bringt nichts, wenn Ihr Active Directory aufgrund einer Sicherheitslücke beschädigt wird. Überprüfen Sie vorher alle Einstellungen in einer Testumgebung, da Sie durch zu strenge Sicherheitsrichtlinien leicht Ihre Exchange-Organisation oder sogar das ganze Active Directory außer Funktion setzen können.

Server-OUs und Gruppenrichtlinien Im ersten Schritt sollten Sie einen Plan aufstellen, welche Administratorgruppen in Ihrem Unternehmen Zugriff auf welche Server haben. In manchen Unternehmen sind die Administratoren für das Active Directory nicht unbedingt auch für die Exchange Server zuständig. Sobald Sie eine Dokumentation angefertigt haben und wissen, welche Administratoren welche Server verwalten, teilen Sie die Server in verschiedene OUs auf. Verwaltet bei Ihnen nur eine Admin-Gruppe die Server, verschieben Sie dazu einfach alle Server in die entsprechende OU. Belassen Sie die Domänencontroller in Ihrer Standard-OU. Auf dieser OU liegt bereits die Domain Controller Policy, mit der Sie Ihre DCs weiter absichern können. Haben Sie mehrere Servergruppen, zum Beispiel WINS, DHCP oder Exchange Server, können Sie auch eine OU Server und unter dieser OU weitere OUs für jede Servergruppe anlegen. Starten Sie den Delegations-Assistenten für die entsprechende OU, und geben Sie einer Gruppe den vollen Zugriff. Ob Sie hier die Gruppe Domänen-Admins verwenden oder eine eigene Gruppe anlegen, bleibt Ihnen überlassen. Sinn dieser Maßnahme soll sein, dass die entsprechenden Server in einer OU sind, die ausschließlich für diese Gruppe zugreifbar ist. So ist zumindest im ersten Schritt eine logische Trennung der Serverkonten von den Computerkonten erreicht, und entsprechende Benutzergruppen haben ausschließlich Rechte auf die Server. Sie können für diese Server-OU eine eigene Gruppenrichtlinie erstellen und Sicherheitseinstellungen so optimieren, dass die Server weiter gesichert werden. Sie können für die neu erstellte Gruppenrichtlinie auch die Option Kein Vorrang konfigurieren. So ist sichergestellt, dass die von Ihnen vorgenommenen strengeren Richtlinien nicht von einer übergeordneten Richtlinie überschrieben werden.

12.5.2

Security Configuration Wizard (SCW)

Microsoft hat mit Windows Server 2003 SP1 auch für den Windows-Server eine Firewall eingeführt. Die Steuerung dieser Firewall ist ähnlich der Steuerung in Windows XP SP2. Allerdings wird die Firewall beim Installieren standardmäßig deaktiviert. Sie sollten auf einem Windows Server 2003 mit installiertem SP1 niemals die Firewall manuell starten und konfigurieren. Die Gefahr, dass die einzelnen Serverdienste nach aktivierter Firewall nicht mehr richtig laufen, ist zu groß. Verwenden Sie besser den mitgelieferten Assistenten Security Configuration Wizard (SCW). Der SCW konfiguriert nicht nur die Firewall und aktiviert diese, sondern führt auch Änderungen in der Registry durch, die einen Server weiter absichern. Alle Änderungen, die der SCW an einem System durchführt, können in einem Schritt auch wieder rückgängig gemacht werden. Der SCW hat einen integrierten Assistenten, mit dem sich die Einstellungen eines Servers einfach steuern lassen. Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Server-

772


diensten eingebaut. Leider erkennt dieser Mechanismus einen Exchange Server nur, wenn Exchange im Standardverzeichnis installiert ist. Sollte dies bei Ihnen nicht der Fall sein (wie wohl bei den meisten Systemen), können Sie dennoch den SCW verwenden, müssen bei der Durchführung allerdings etwas sorgfältiger sein.

1

Der SCW hat einen integrierten Assistenten, mit dem sich die Einstellungen eines Servers einfach steuern lassen. Microsoft hat in den Security Configuration Wizard eine automatische Erkennung von Microsoft-Serverdiensten eingebaut. Der SCW besteht aus drei wichtigen Komponenten: ■ ■ ■

2

der grafischen Oberfläche zur Konfiguration der Sicherheitsrichtlinien einer Befehlszeilenversion für das Scripting der Sicherheitskonfigurations-Datenbank

3

Sichern Sie einen Exchange Server, Domänencontroller oder ein ganzes Active Directory mit dem SCW ab, werden Sie hauptsächlich mit der grafischen Oberfläche des Programms arbeiten. Mit der grafischen Oberfläche können alle maßgeblichen Aufgaben des SCW durchgeführt werden.

4 5

Das Befehlszeilenprogramm scwcmd.exe dient zum Automatisieren des SCW. Mit diesem Tool können Skripte erstellt werden, bei denen mehrere Server mit einer Sicherheitsrichtlinie versorgt werden. Mit dem Tool lassen sich auch Richtlinien wieder rückgängig machen, wenn Probleme auftreten. Nach der Installation des SCW finden Sie im Verzeichnis \Windows\Security\Msscw\KBs eine Sammlung von XMLDateien. Diese Dateien enthalten alle wichtigen Informationen über Dienste, Serverrollen und Ports, mit deren Hilfe ein Windows Server 2003 abgesichert werden kann. Die Erweiterungen für Exchange Server 2007 werden aus dem Exchange-Installationsverzeichnis gezogen. Diese Möglichkeit erkläre ich Ihnen auf den nächsten Seiten.

6 7 8

Installation des SCW

9

Nach der Installation finden Sie ein Icon auf dem Desktop, das Sie zu der Hilfe des SCW führt. Sollten Sie die Verknüpfung bereits gelöscht haben, können Sie eine neue anlegen oder über Start/Ausführen die Hilfe mit %SystemRoot%\hh.exe scwhelp.chm starten.

10

Durch Service Pack 1 für Windows Server 2003 wird unter Software bei den Windows-Komponenten ein neuer Eintrag für den SCW hinzugefügt. Sie können den SCW auch nachinstallieren. Wechseln Sie dazu über Systemsteuerung/Software zu den Windows-Komponenten, und setzen Sie dort den Haken bei Sicherheitskonfigurations-Assistent. Standardmäßig wird der SCW zwar auf der Festplatte abgelegt, aber nicht installiert (siehe Abbildung 12.13).

11

Haben Sie den Haken zur Installation gesetzt, beginnt Windows Server 2003 mit dem Setup. Sie müssen unter Umständen die Windows Server 2003-Installations-CD einlegen. Nach der Installation finden Sie unter Start/Programme/Verwaltung den neuen Sicherheitskonfigurations-Assistenten.

13

12

14

Starten Sie den Assistenten, erscheint sofort der Startbildschirm, der Sie über die Features des Assistenten informiert (siehe Abbildung 12.14).

15

773


Abbildung 12.13: Installation des Sicherheitskonfigurations-Assistenten

Abbildung 12.14: Aufrufen des Security Configuration Wizards

Führen Sie aber noch keine Maßnahmen durch. Damit Sie Exchange Server 2007 mit dem SCW absichern können, müssen Sie diesen zunächst um die neuen Funktionen von Exchange Server 2007 erweitern.

774


Registrieren der SCW-Erweiterungen für Exchange Server 2007 Die Erweiterungen der Exchange Server-Funktion ermöglichen Ihnen die Verwendung des SCW zum Erstellen einer Sicherheitsrichtlinie, die für die Funktionalität spezifisch ist, die für jede Microsoft Exchange Server-Funktion erforderlich ist. Die Erweiterungen werden mit Exchange 2007 bereitgestellt und müssen registriert werden, damit eine benutzerdefinierte Sicherheitsrichtlinie erstellt werden kann. Standardmäßig sind die Erweiterungen für Exchange Server 2007 noch nicht in den SCW integriert.

1 2

Dieses Registrierungsverfahren muss auf jedem Server mit Exchange Server 2007 ausgeführt werden, auf den eine SCW-Sicherheitsrichtlinie angewendet werden soll. Für die verschiedenen Exchange Server 2007-Funktionen sind zwei verschiedene Erweiterungen erforderlich: ■ ■

3 4

Für die Serverfunktionen Mailbox, Hub-Transport, Unified Messaging und Client-Access wird die Erweiterungsdatei Exchange2007.xml registriert. Für die Serverfunktion Edge-Transport wird die Erweiterungsdatei Exchange2007 Edge.xml registriert.

5

Die SCW-Erweiterungsdateien von Exchange Server 2007 befinden sich im Verzeichnis %Exchange%\Scripts. Das Standardinstallationsverzeichnis von Exchange lautet C:\Programme\Microsoft\Exchange Server.

6

Die SCW-Registrierung funktioniert auch, wenn Exchange Server 2007 in einem benutzerdefinierten Verzeichnis installiert ist. Zum Aktivieren von SCW müssen Sie aber Probleme manuell umgehen, damit das benutzerdefinierte Installationsverzeichnis erkannt wird. Weitere Informationen finden Sie im Microsoft KnowledgeBase-Artikel 896742. Nach dem Ausführen des Sicherheitskonfigurations-Assistenten in Windows Server 2003 SP1 können Outlook-Benutzer eventuell keine Verbindung zu ihren Konten herstellen.

7 8 9

Gehen Sie zur Registrierung folgendermaßen vor:

1.

Geben Sie den folgenden Befehl in der Befehlszeile ein, um das SCW-Befehlszeilentool zum Registrieren der Exchange 2007-Erweiterung in der lokalen Sicherheitskonfigurationsdatenbank zu verwenden: scwcmd register /kbname: Ex2007KB /kbfile: %programfiles%\Microsoft\Exchange Server\scripts\ Exchange2007.xml. Enthält der Pfad Leerzeichen, achten Sie auf die Anführungszeichen (siehe Abbildung 12.15).

10 11 Abbildung 12.15: Registrieren der SCW-Erweiterung für Exchange Server 2007

12 13 14

2.

Überprüfen Sie, ob der Befehl erfolgreich abgeschlossen wurde, indem Sie die Datei SCWRegistrar_log.xml anzeigen, die sich im Verzeichnis %windir%\security\msscw\logs befindet. Öffnen Sie die Datei mit dem Editor. Die Registrierung wird als erfolgreich angezeigt, wenn die Änderungen vorgenommen wurden (siehe Abbildung 12.16).

15

775


Abbildung 12.16: Erfolgreiche Registrierung der SCW-Erweiterungen für Exchange Server 2007

Der SCW arbeitet bei der Absicherung von Servern über Sicherheitsrichtlinien. Haben Sie auf einem Server eine Richtlinie erstellt und abgespeichert, können Sie diese Richtlinie auf einem anderen Server mithilfe des SCW importieren. Haben Sie den SCW gestartet, fragt der Assistent nach dem Startbildschirm, ob er eine bestehende Richtlinie importieren, eine neue Richtlinie erstellen, eine vorhandene Richtlinie vor dem Importieren bearbeiten oder schließlich die Durchführung der letzten Richtlinie zurücknehmen soll.

Erstellen einer Sicherheitsrichtlinie für Exchange Server 2007 mit dem Security Configuration Wizard Die Konfiguration der Sicherheitsrichtlinie unterteilt sich in unterschiedliche Bereiche. In jedem Bereich werden spezifische Serverdienste oder -funktionen abgeprüft. Sie sollten bei jedem Fenster genau überprüfen, ob der Assistent alle Dienste und Funktionen erkannt hat. Sie können jederzeit einzelne Punkte aktivieren oder deaktivieren. Der erste Bereich, der konfiguriert werden muss, ist der Bereich Rollenbasierte Konfiguration. Hier untersucht der Assistent die einzelnen Dienste und Funktionen des Servers und teilt diese den Rollen zu, die in der Sicherheitskonfigurationsdatenbank hinterlegt sind. Auch wenn Sie hier falsche Eingaben machen und diese später anwenden, sollte kein Problem auftreten, da Sie die Richtlinie jederzeit wieder deaktivieren können. Zur optimalen Vorgehensweise bleibt allerdings zu sagen, dass Sie zunächst eine Testumgebung aufbauen sollten, in der Sie die gleichen Voraussetzungen schaffen wie in Ihrer produktiven Umgebung. Sie können sich so besser einen Überblick verschaffen, was nachher funktioniert und was nicht. Auch wenn Sie die Sicherheitsrichtlinie zurücknehmen können, sollten Sie nicht ständig an Ihrer produktiven Umgebung herumdoktern, sondern genau wissen, was Sie wann und warum aktivieren oder deaktivieren. Haben Sie sich in einer Testumgebung einen 776


Überblick verschafft, welche Möglichkeiten Sie mit dem SCW haben, können Sie diese in Ihre produktive Umgebung integrieren. Beachten Sie aber, dass Sie nach der Einbindung der Sicherheitsrichtlinie Ihren Exchange Server durchstarten müssen. Machen Sie auf jeden Fall vor der Anwendung einer Sicherheitsrichtlinie ein volles Backup des Servers. Am besten erstellen Sie ein Image mit Symantec Ghost oder Acronis TrueImage. Auch wenn es sich bei Ihrem Server um die Rolle eines Exchange Servers handelt, besteht die Möglichkeit, dass Ihr Server über weitere Rollen verfügt. Es ist nicht zwingend vorgeschrieben, dass ein Server nur über eine oder zwei Rollen verfügen darf. Welche Rollen Ihr Server hat, sollten Sie zuvor dokumentieren, damit Sie nicht versehentlich die eine oder andere Rolle übersehen und aus diesem Grund die ganze Sicherheitsrichtlinie fehlerhaft ist.

1 2 3

Um Administratoren bei der Auswahl von Serverrollen zu unterstützen, hat Microsoft im SCW für jede verfügbare Rolle eine Beschreibung hinterlegt, die helfen soll, entsprechende Rollen eindeutig zuzuordnen. Stellen Sie also bei der rollenbasierten Konfiguration sicher, dass alle Rollen des Servers ausgewählt sind, aber natürlich auch nicht zu viele. Vor allem wenn Sie auf Ihrem Exchange Server auch einen Domänencontroller installiert haben, sollten Sie bei der Konfiguration des SCW sehr vorsichtig vorgehen. Manche Serverrollen sind von anderen abhängig und werden vom Assistenten notfalls automatisch hinzugefügt.

4 5 6

Ich gehe im Folgenden davon aus, dass eine neue Richtlinie für Exchange erstellt wird. Setzen Sie mehrere Exchange Server in der gleichen Konfiguration ein, können Sie später die erstellte Richtlinie auf diese Exchange Server importieren.

7

Haben Sie festgelegt, dass eine neue Richtlinie erstellt werden soll, müssen Sie zunächst entscheiden, welcher Server als Basis für diese Richtlinie verwendet werden soll. Der SCW schlägt den NetBios-Namen des lokalen Servers vor, den Sie übernehmen können. Sie könnten eine neue Richtlinie auch über das Netzwerk erstellen. Es bietet sich aber an, Richtlinien auf einem Server lokal zu erstellen, der die abzusichernden Dienste auch hostet (siehe Abbildung 12.17).

8 9 Abbildung 12.17: Auswählen des Servers für die Sicherheitsrichtlinie

10 11

12 13 14 15

777


Achten Sie darauf, dass das Benutzerkonto, unter dem Sie den SCW gestartet haben, über lokale Administratorrechte auf dem Server verfügt, da die erstellte Richtlinie sonst nicht angewendet werden kann und der Assistent nicht alle Informationen auslesen darf. Bestätigen Sie den Servernamen, liest der Assistent seine Datenbank aus und listet alle Serverrollen auf, die ihm bekannt sind. Der SCW definiert Serverrollen für verschiedene Aufgaben und erleichtert Ihnen so später die Auswahl, welches System Sie schließlich absichern wollen. Auch die Serverrolle eines Exchange Servers ist in den Assistenten integriert und kann ausgewählt werden. Im Anschluss scannt der SCW den Server. Klicken Sie auf die Schaltfläche Konfigurationsdatenbank anzeigen, können Sie sich alle Serverrollen ansehen, die der SCW absichern kann und die er auf dem lokalen Server erkannt hat (siehe Abbildung 12.18). Abbildung 12.18: Sicherheitskonfigurationsdaten bank des SCW nach der Erweiterung für Exchange Server 2007

Wurde die Datenbank des Servers gescannt, können Sie sich Informationen über die einzelnen Serverrollen ansehen. Durch die vorher durchgeführte Erweiterung der Konfigurationsdatenbank werden auch die installierten Exchange-Rollen angezeigt (siehe Abbildung 12.19). Sie sollten umfassend verstehen, was der Assistent alles absichern will, damit Sie später leichter analysieren können, wenn ein bestimmter Serverdienst nicht mehr funktioniert. Auch für Exchange gibt es eine solche Beschreibung.

778


Abbildung 12.19: Auswählen der installierten Serverrollen des Servers

1 2 3 4 5 6 7

Achten Sie genau darauf, welche Serverrolle Sie für einen Server anwenden, und wählen Sie immer die Rolle mit dem größten gemeinsamen Nenner aus. Es bringt nichts, wenn Sie einen Exchange Server optimal absichern, dieser aber nach dem Absicherungsvorgang nicht mehr funktioniert. Wählen Sie alle Funktionen ab, die nicht benötigt werden. Da die Zuordnungen trotz der Hilfe nicht immer eindeutig sind, halte ich es für sehr sinnvoll, in einer Testumgebung die genaue Konfiguration abzubilden und die einzelnen Schritte zur Absicherung genau zu dokumentieren. Dann können Sie sehr einfach in Ihrer produktiven Umgebung den gleichen Zustand herstellen und schon etwas sicherer sein, dass auch alles wie zuvor funktioniert.

8 9 10

Der SCW aktiviert nicht nur die neue Windows-Firewall und schließt damit nicht mehr benötigte Ports, sondern deaktiviert auch Systemdienste, deaktiviert Webdienste des IIS, greift in Protokolle wie SMB und LDAP ein und definiert Sicherheitsrichtlinien. Die Basis für die erstellten Sicherheitsrichtlinien sind XML-Dateien, in denen alle Absicherungsmaßnahmen gespeichert werden.

11

Auch notwendige Registry-Änderungen, die der SCW durchführt, werden in dieser XML-Datei gespeichert.

12

Haben Sie alle notwendigen Serverrollen des Servers ausgewählt, kommen Sie mit Weiter auf die nächste Seite des Assistenten. Auf dieser Seite wählen Sie die einzelnen Serverfunktionen aus, die wiederum auf Serverrollen beruhen. Die Serverfunktionen sind sozusagen das Feintuning der Serverrollen.

13 14

Sie können in diesem Fenster genauer auswählen, welche Funktionen auf dem Server aktiv sind, damit der SCW die Sicherheitsrichtlinie optimal anpassen kann. Hier steuern Sie zum Beispiel, ob der Server ein Domänenmitglied ist und welche Zusatzprogramme noch auf dem Server laufen.

15

779


Abbildung 12.20: Auswählen der installierten Serverfunktionen

Im nächsten Fenster werden schließlich noch feinere Unterscheidungen getroffen (siehe Abbildung 12.20). Hier wählen Sie aus, welche Optionen auf dem Server aktiviert sind und weiterhin funktionieren müssen. In diesem Fenster erhalten Sie auch Informationen über Dienste, die der Assistent nicht erkennt, und Sie können selbst entscheiden, welche Dienste deaktiviert werden und welche aktiv bleiben sollen. Da in den letzten drei Fenstern die Unterscheidungen und Konfigurationen der einzelnen Dienste immer feiner werden, sollten Sie sehr sorgfältig überlegen, welche Optionen Sie aktivieren und welche nicht. Ein zu schnelles Durchklicken ist eher kontraproduktiv, da Sie später bei einem einzigen Fehler die ganze Richtlinie nicht mehr anwenden können und noch einmal alle Fenster kontrollieren müssen, um herauszufinden, auf welche Option der Fehler zurückzuführen ist. Sie finden auch in diesem Fenster eine genaue Hilfe über die einzelnen Serverdienste. Legen Sie nebenher eine Dokumentation dieser Richtlinie an, können Sie auch die Beschreibung der einzelnen Dienste hinterlegen. Sie könnten zum Beispiel die allgemeine Beschreibung eines Dienstes dokumentieren sowie diese um Ihre Spezifikationen und Serverbeschreibungen erweitern. Ein solches ausführliches Sicherheitskonzept hält Ihnen den Rücken frei, wenn irgendwelche Sicherheitsprobleme in Ihrem Netzwerk auftreten. Außerdem kann die Geschäftsführung von einer solchen Dokumentation Gebrauch machen, um Banken oder dem Aufsichtsrat das Sicherheitskonzept des Unternehmens zu verdeutlichen. Im nächsten Fenster können Sie festlegen, wie der Assistent mit Diensten umgehen soll, deren Funktionalität er nicht kennt. Ich empfehle Ihnen, unbekannte Dienste zunächst aktiviert zu lassen, da Sie diese später immer noch gezielt manuell deaktivieren können. Nur weil der SCW diese Dienste nicht erkennt, heißt das nicht, dass sie von Ihrem Server nicht benötigt werden.

780


Haben Sie festgelegt, wie der SCW mit unbekannten Diensten verfahren soll, erhalten Sie im nächsten Fenster eine Zusammenfassung, welche Aktion mit den einzelnen Diensten durchgeführt wird. Bestätigen Sie dieses Fenster, werden die angezeigten Dienständerungen in der Sicherheitsrichtlinie übernommen. Es ist daher sehr empfehlenswert, diese Einstellungen noch einmal zu überprüfen. Auch an dieser Stelle erhalten Sie wieder eine Hilfe von Microsoft. In diesem Fenster können Sie schnell sehen, wie viele Dienste auf Ihrem Server gestartet waren, die überhaupt nicht verwendet wurden oder unnötig waren. Je nach Anzahl von deaktivierten Diensten erreichen Sie auch eine gewisse Performancesteigerung, da jeder Dienst Arbeitsspeicher und Prozessorlast belegt. Sie werden zwar keinen großen Performancesprung machen können, aber jedes Prozent mehr Performance, das nichts kostet, erhöht die Effizienz Ihrer Server. Haben Sie dieses Fenster bestätigt, ist die rollenbasierte Konfiguration abgeschlossen. Der Assistent beginnt mit der nächsten Konfigurationsmaßnahme, nämlich der Netzwerksicherheit.

1 2 3 4

Nehmen Sie hier falsche Konfigurationen vor, sind entweder zu viele Ports geöffnet, was eine Sicherheitslücke bedeutet, oder Sie haben zu viele Ports geschlossen. In diesem Fall kann es sein, dass Ihr Server nicht mehr mit dem Netzwerk kommunizieren oder sich kein Client mehr mit Outlook auf sein Postfach verbinden kann. Sie sollten dennoch an dieser Stelle zweimal hinsehen und sich genau überlegen, welche Ports offen bleiben und welche geschlossen werden sollen (siehe Abbildung 12.21).

5 6 Abbildung 12.21: Auswählen der geöffneten Ports auf dem Exchange Server

7 8 9 10 11

12 13 14

Sie können das Verhalten der Windows-Firewall auch abändern, indem Sie einen Dienst anklicken und dann Erweitert auswählen. Es öffnet sich ein neues Dialogfeld, in dem Sie genauere Eingaben zur Filterung des entsprechenden Ports machen können.

15

Sie können diesen Abschnitt auch überspringen, wenn Sie nicht wollen, dass der SCW die Windows-Firewall aktiviert und einzelne Ports sperrt. Die interne Windows-Firewall wird nur aktiviert, wenn Sie diesen Abschnitt in die Sicherheitsrichtli781


nie übernehmen. Da es sich bei der Windows-Firewall um die beste Absicherung Ihres Exchange Servers handelt und ein eventueller Angriff auf den Server noch am ehesten über das Netzwerk stattfindet, sollten Sie auf jeden Fall die Firewall aktivieren lassen. Der Assistent zeigt Ihnen alle offenen Ports des Servers und den dazugehörigen Dienst an. Sie können zusätzliche Ports manuell hinzufügen, offene Ports schließen lassen oder einzelne Portnummern bearbeiten. Haben Sie alle Einstellungen vorgenommen, erhalten Sie im letzten Fenster dieses Bereichs eine Zusammenfassung. Schließen Sie das Fenster für die Konfiguration der offenen Ports, wird nicht sofort die Firewall aktiviert. Auch diese Maßnahme wird erst bei Beenden des Assistenten ausgeführt. Haben Sie die Konfiguration der offenen Ports abgeschlossen, kommt der nächste Bereich des Assistenten. In diesem Abschnitt legen Sie die Authentifizierungsmaßnahmen für LDAP und SMB sowie verschiedene Sicherheitseinstellungen fest, welche die Authentifizierung und die Registry betreffen. Auch hier erhalten Sie wieder abschließend eine Zusammenfassung, welche Sicherheitseinstellungen vorgenommen werden. Abbildung 12.22: Konfiguration der SMB-Sicherheitssignaturen

Windows Server 2003 verwendet für die Zugriffe auf Dateien SMBs (Server Message Blocks). Hierbei handelt es sich um ein Protokoll, das Funktionen für die Kommunikation zwischen Clients und Servern bereitstellt. Damit kann ein Client eine Datei von einem Server anfordern. Neben SMB gibt es die Unterstützung für eine Reihe anderer Protokolle, mit denen Dateien vom Server geladen oder auf den Server gespeichert werden können. Sie sollten auf dem entsprechenden Fenster beide Optionen aktivieren, damit sichergestellt ist, dass die Sicherheit der Zugriffe auf den Server gewährleistet ist. Werden in Ihrem Unternehmen Arbeitsstationen betrieben, die noch älter sind als die beschriebenen, sollten Sie beide Optionen deaktivieren. Windows 2000, Windows XP und Windows Vista unterstützen die Signierung des SMB-Netzwerkverkehrs.

782


Auf der nächsten Seite des Assistenten sollten Sie die Option Windows 2000 Service Pack 3 oder höher für die LDAP-Signatur aktivieren, wenn in Ihrer Gesamtstruktur keine älteren Rechner Mitglied sind. Sind noch Windows NT 4.0-Rechner Mitglied in Ihrer Domäne, sollten Sie diese Option nicht aktivieren.

1 Abbildung 12.23: Konfiguration der ausgehenden Authentifizierung

2 3 4 5 6 7 8

Auf der nächsten Seite des Assistenten legen Sie fest, mit welcher Methode Sie sich an externen Servern anmelden. Verwenden Sie zur Anmeldung nur Domänenbenutzerkonten, müssen Sie lediglich die Option Domänenkonten aktivieren. Werden in Ihrem Netzwerk allerdings noch Server betrieben, die kein Mitglied einer Domäne sind, sollten Sie zusätzlich die Option Lokale Konten auf Remotecomputern aktivieren (siehe Abbildung 12.23).

9 10

Auf der nächsten Seite des Assistenten legen Sie danach fest, ob die anderen Computer im Netzwerk mindestens unter Windows NT 4.0 SP6a laufen. Diese Option sollten Sie aktivieren. Zusätzlich könnten Sie noch die Option Uhren, die mit der Uhr des ausgewählten Servers synchronisiert werden, aktivieren. Damit soll sichergestellt werden, dass der Server, auf den Sie sich verbinden, über aktuelle Benutzerinformationen verfügt. Standardmäßig ist diese Option jedoch deaktiviert.

11

Im Anschluss an dieses Fenster legen Sie die gleichen Einstellungen für die Anmeldung mit den lokalen Konten des Remotecomputers fest. Zum Abschluss zeigt Ihnen der Assistent noch einmal alle Registry-Änderungen, die durch die Richtlinie durchgeführt werden.

13

12

14

Als nächster Bereich erscheint die Überwachungskonfiguration. Hier konfigurieren Sie, welche Ereignisse der Exchange Server zukünftig in seinem Sicherheitsprotokoll speichern soll. Gerade die Überwachung ist ein sehr wichtiger Bereich in einem Netzwerk. Natürlich ist die Aktivierung der Überwachung nur dann sinnvoll, wenn Sie auch sicherstellen, dass die Ereignisanzeigen regelmäßig überprüft oder automatisch ausgelesen werden.

15

783


Im nächsten Schritt stellen Sie die Sicherheitseinstellungen des IIS ein. Da Exchange Server 2007 sehr eng mit dem IIS arbeitet, sollten Sie auch hier die notwendige Sorgfalt walten lassen. Da bei einem Angriff gerade der IIS oft das Ziel ist, behandelt der SCW diesen Bereich nochmals gesondert. Hier werden die einzelnen Verzeichnisse erneut stark gegen Eindringlinge abgesichert. Abbildung 12.24: Konfiguration der IIS-Sicherheitseinstellungen

Abbildung 12.25: Abspeichern der Sicherheitsrichtlinie

784


Zum Abschluss des Assistenten müssen Sie die Einstellungen in einer XML-Datei abspeichern und können wählen, ob die konfigurierten Optionen sofort ausgeführt werden sollen oder ob Sie später die Datei laden und diese danach ausführen wollen (siehe Abbildung 12.25).

1

Wie bereits erwähnt, können Sie die Anwendung einer Sicherheitsrichtlinie wieder zurücknehmen. Auch dieser Vorgang wird über den SCW ausgeführt. Haben Sie alle notwendigen Einstellungen vorgenommen, können Sie davon ausgehen, dass Ihr Exchange Server so optimal wie möglich gegen Angriffe geschützt ist.

2

Anwenden der erstellten Sicherheitsrichtlinie

3

Wenden Sie die Richtlinie sofort an, führt der SCW die XML-Datei aus und legt die eingestellten Sicherheitsvorgaben fest. Nach Abschluss der Anwendung müssen Sie den Server neu starten. Zur Anwendung von Sicherheitsrichtlinien stehen Ihnen außer der sofortigen Anwendung noch zwei andere Möglichkeiten zur Verfügung: ■ ■

4

Sie können die Sicherheitsrichtlinie später einlesen, wenn Sie die grafische Oberfläche des SCW starten. Sie können die Sicherheitsrichtlinie mit dem Befehlszeilenprogramm scwcmd.exe gleichzeitig mehreren Servern zuweisen.

5 6

Am besten erstellen Sie eine Sicherheitsrichtlinie in einer Testumgebung und speichern diese ab. Die abgespeicherte Sicherheitsrichtlinie können Sie dann entweder manuell über die grafische Oberfläche installieren oder per Batchdatei und Befehlszeilenprogramm scwcmd.exe verteilen lassen.

7

Das Anwenden einer Sicherheitsrichtlinie ist in wenigen Sekunden abgeschlossen. Nach dem erforderlichen Neustart sind die Einstellungen sofort aktiviert.

8 Abbildung 12.26: Sofortiges Anwenden einer Sicherheitsrichtlinie

9 10 11

12 13 14 15

785


Spätere Anwendung einer Sicherheitsrichtlinie Wollen Sie eine Sicherheitsrichtlinie später anwenden, reicht es, wenn Sie die Richtlinie zunächst abspeichern. Wollen Sie die Richtlinie später anwenden, starten Sie dazu wieder den Sicherheitskonfigurations-Assistenten. Wählen Sie als Option beim Startfenster Vorhandene Sicherheitsrichtlinie anwenden. Diesen Vorgang können Sie auch durchführen, wenn Sie die XML-Datei auf einen anderen Server kopieren und diese auf die gleiche Weise ausführen lassen. Haben Sie die Option ausgewählt, können Sie mit der Schaltfläche Durchsuchen die XML-Datei laden lassen. Als Nächstes gelangen Sie mit Weiter auf die nächste Seite des Assistenten. Auf dieser Seite können Sie den Server auswählen, auf dem Sie die Sicherheitsrichtlinie anwenden wollen.

INFO

Wollen Sie die Sicherheitsrichtlinie auf einem Remoteserver installieren, muss auf diesem Server ebenfalls zunächst der Sicherheitskonfigurations-Assistent installiert werden. Ohne die Installation des SCW kann auf einem Remoteserver keine Richtlinie angewendet werden. Anwenden einer Sicherheitsrichtlinie über die Befehlszeile Öffnen Sie eine Befehlszeile, können Sie eine Sicherheitsrichtlinie mit dem Befehlszeilentool scwcmd.exe anwenden. Um eine Richtlinie lokal anzuwenden, geben Sie den Befehl scwcmd configure /p: ein (siehe Abbildung 12.27). Der Assistent beginnt daraufhin die Richtlinie anzuwenden.

Abbildung 12.27: Anwenden einer Richtlinie über die Befehlszeile

Mit diesem Hilfsmittel können Sie zum Beispiel eine Batchdatei schreiben, die eine bestimmte Richtlinie anwendet. Im Anschluss müssen Sie nur noch die XML-Datei und die Batchdatei in die Niederlassungen kopieren. Die örtlichen Administratoren können die Richtlinie durch die Batchdatei ausführen, ohne sich mit dem SCW auseinanderzusetzen. Allerdings muss auch zur Installation über die Befehlszeile auf dem Server zuvor der Sicherheitskonfigurationsassistent installiert werden; es reicht nicht aus, die Datei scwcmd.exe auf den Remoteserver zu kopieren. Anwenden einer Sicherheitsrichtlinie auf einem Remotecomputer Um eine Sicherheitsrichtlinie auf einem Remotecomputer ausführen zu können, verwenden Sie auch am besten das Befehlszeilenprogramm scwcmd.exe. Geben Sie dazu in der Befehlszeile den Befehl scwcmd configure /m: /p: ein (siehe Abbildung 12.28). Abbildung 12.28: Anwenden einer Richtlinie über das Netzwerk

786


Geben Sie in der Befehlszeile scwcmd configure ein, erhalten Sie weitere Informationen über die Anwendung des Sicherheitskonfigurations-Assistenten über die Befehlszeile.

1

Überprüfen der Sicherheitsrichtlinie nach der Anwendung Wurde auf einem Server eine Sicherheitsrichtlinie angewendet, sehen Sie zunächst keine Änderung. Öffnen Sie zum Beispiel die Eigenschaften einer Netzwerkverbindung und wechseln auf die Registerkarte Erweitert, können Sie über die Schaltfläche Einstellungen im Bereich Windows Firewall die Konfiguration der internen Firewall sehen.

2 3 Abbildung 12.29: Überprüfen der Einstellungen des SCW

4 5 6 7 8 9 10 11

12 13 14

Die Firewall wurde durch den SCW aktiviert (siehe Abbildung 12.29). Auf der Registerkarte Ausnahmen sehen Sie alle Ports und Dienste, welche die Firewall durchlässt. Sie können an dieser Stelle ohne Weiteres Änderungen vornehmen und zusätzliche Dienste erlauben. Wenden Sie allerdings die Richtlinie erneut an oder nehmen Sie sie zurück, werden diese Änderungen nicht berücksichtigt. In jedem Fall haben Sie jedoch an dieser Stelle einen zentralen Einfluss auf die Netzwerksicherheit.

15

787


Analysieren der Sicherheitsrichtlinie Außer diesem oberflächlichen Blick haben Sie natürlich auch die Möglichkeit, die Anwendung einer Richtlinie gezielter zu überprüfen. Diese Analyse führen Sie wieder am besten mit dem Befehlszeilenprogramm scwcmd.exe durch. Geben Sie dazu in der Befehlszeile den Befehl scwcmd analyze /m: /p: /o: ein (siehe Abbildung 12.30). Die Analyse erstellt eine XML-Datei, welche die Änderung der Richtlinie enthält. Abbildung 12.30: Analysieren einer Umgebung

Haben Sie die Datei erstellt, können Sie entweder die XML-Datei betrachten oder über den Befehl scwcmd view /x: die Anzeige durch den SCW formatieren und anzeigen lassen (siehe Abbildung 12.31). Abbildung 12.31: Anzeigen des Berichtes der Anwendung der Sicherheitsrichtlinie

Rollback einer Sicherheitsrichtlinie Wollen Sie die Ausführung einer Sicherheitsrichtlinie wieder vollständig zurücknehmen, können Sie entweder wieder über die grafische Oberfläche die Maßnahme durchführen oder über die Befehlszeile die Sicherheitsrichtlinie zurücknehmen. Wollen Sie die Sicherheitsrichtlinie über die grafische Oberfläche zurücknehmen, starten Sie den Sicherheitskonfigurations-Assistenten. Wählen Sie die Option Auf die letzte angewendete Sicherheitsrichtlinie zurücksetzen. In diesem Fall wird die letzte Sicherheitsrichtlinie komplett zurückgenommen. Haben Sie zuvor keine Sicherheitsrichtlinie durchgeführt, erhalten Sie exakt den Stand vor der Einführung der Richtlinie.

788


Alternativ können Sie auch eine Sicherheitsrichtlinie in der Befehlszeile zurücknehmen. Geben Sie dazu in der Befehlszeile den Befehl scwcmd rollback /m: ein. Beschäftigen Sie sich mit dem SCW in einer Testumgebung, und sichern Sie einige weniger wichtige Server ab. Nach der Absicherung durch den SCW ist der abgesicherte Server erheblich vor Gefahren aus dem Netzwerk geschützt. Der Umgang mit dem SCW ist nicht kompliziert, allerdings sollten Sie genau aufpassen, welche Ports Sie schließen und welche nicht. Generell lässt sich sagen, dass durch den SCW ein Server zwar nicht vollkommen abgesichert wird, aber auf jeden Fall deutlich besser als ohne Sicherheitsrichtlinie.

1 2 3 4 5 6 7 8 9 10 11

12 13 14 15

789

Inhalt 1 2 3 4 5

13

Nachrichtenfilterung, Spam- und Virenschutz

6 7

Microsoft hat in Exchange Server 2007 einiges zum Schutz gegen Spams und Viren getan. Natürlich ist der Spamschutz mit Bordmitteln nicht so optimal wie mit Zusatztools. Mit ein bisschen Mühe erreichen Sie aber auch mit Bordmitteln einen nicht unerheblichen Schutz vor Spam-E-Mails. Microsoft hat auch in Outlook 2007 eine verbesserte automatische Spam-Filterung integriert. Abhängig vom Spamaufkommen Ihres Unternehmens können Sie mit Exchange Server 2007-/Outlook 2003-/ 2007-Bordmitteln Ihren Schutz vor Spams deutlich verbessern, ohne eine zusätzliche Lösung kaufen zu müssen.

8 9 10

Installation der Spamschutz-Funktionen 11

Die Einstellungen für den Spamschutz werden auf Edge-Transport-Servern automatisch installiert und aktiviert. Unternehmen, die keinen Edge-Transport-Server einsetzen, können diese Agenten auch auf einem Hub-Transport-Server installieren und aktivieren. Microsoft empfiehlt allerdings ausdrücklich das Verwenden eines EdgeTransport-Servers für das Internet. Setzen Sie keinen Edge-Transport-Server ein, sondern wollen Sie die Antispam-Filter auf einem Hub-Transport-Server einrichten, gehen Sie folgendermaßen vor:

1.

2. 3.

12

13

Damit Sie auf Hub-Transport-Servern die Spameinstellungen vornehmen können, starten Sie zunächst eine Exchange-Verwaltungsshell und wechseln in das Unterverzeichnis Scripts der Exchange Server 2007-Installationsdateien auf Ihrem Server. Geben Sie anschließend den Befehl .\Install-AntispamAgents ein (siehe Abbildung 13.1). Nach der erfolgreichen Installation starten Sie den Dienst Microsoft ExchangeTransport neu.

14 15

791

Index

13.1


Abbildung 13.1: Installation der Antispam-Agenten auf einem HubTransport-Server

Nach der Installation der Spam-Agenten finden Sie die neue Registerkarte Antispam, wenn Sie in der Exchange-Verwaltungskonsole auf Organisationskonfiguration/ Hub-Transport klicken (siehe Abbildung 13.2). Abbildung 13.2: Anzeigen der neuen Registerkarte Antispam nach der Installation der Antispam-Agenten auf einem HubTransport-Server

Sie finden die Steuerung dieser Agenten auf dem Edge-Transport-Server in der Exchange-Verwaltungskonsole, wenn Sie auf Edge-Transport klicken. Im Ergebnisbereich sehen Sie die gleichen Einstellungen, die Sie unter Organisationskonfiguration/Hub Transport/Antispam finden (siehe Abbildung 13.3). Abbildung 13.3: Antispam-Filterung auf Edge-TransportServern

792

Spam Confidence Level (SCL)

13.2

Spam Confidence Level (SCL)

Die Unterstützung von SCL wurde in Exchange Server 2007 und Outlook 2007 integriert. Bei SCL wird einer E-Mail beim Eingang auf dem Exchange Server ein Wert zwischen 0 und 9 zugeteilt. Microsofts Freemail-Dienst Hotmail, Outlook 2003/2007 und Exchange Server 2003/2007 arbeiten mit SCL-Filtern. Hauptsächlich werden Inhalt, Kopfzeile und Betreff überprüft. Die einzelnen Agenten verwenden SCL, um Nachrichten entsprechend zu klassifizieren, sodass diese entweder komplett blockiert oder in den Junk-Mail-Ordner von Outlook und Outlook Web Access verschoben werden.

1 2 3

Der SCL einer Nachricht wird beim Speichern in der Datenbank an die Nachricht angehängt. Ein Administrator kann auf dem Exchange Server auf Basis des SCL definieren, was mit einer Nachricht passieren soll, die einen gewissen Grenzwert überschreitet. Im Zusammenspiel mit Outlook 2003/2007 kann ein Administrator entscheiden, dass E-Mails mit einem gewissen Wert, zum Beispiel höher als SCL 5, direkt in den Junk-Mail-Ordner in Outlook geschoben werden. Benutzer können in Outlook wiederum – basierend auf dem SCL – gewisse Maßnahmen vornehmen und Nachrichten mit bestimmten SCL-Werten sofort löschen lassen.

4 5 6

Wurde die Nachricht mit einem bestehenden SCL-Level gespeichert, können Sie diese durch den später beschriebenen Inhaltsfilter löschen oder blockieren lassen. Zusätzlich gibt es in Exchange Server 2007 die Möglichkeit, mit Transportregeln (siehe Kapitel 5) E-Mails basierend auf Ihrem SCL-Wert zu behandeln (siehe Abbildung 13.4).

7 Abbildung 13.4: Verwenden von Transportregeln auf Basis des SCL-Wertes

8 9 10 11 12

13 14 15

793


Sie können auf diesem Weg zum Beispiel dem Betreff der E-Mail eine Erweiterung in der Form ***SPAM*** hinzufügen. Anwender können in Outlook dann wiederum Regeln definieren, was mit solchen E-Mails passieren soll. Abbildung 13.5: Erweitern des Betreffs von Spam-E-Mails

13.3

Verwalten der Antispam-Agenten

Unabhängig davon, ob Sie die Antispam-Agenten auf Hub-Transport- oder EdgeTransport-Servern konfigurieren, können Sie auf beiden Serverrollen die gleichen Einstellungen vornehmen. Ich gehe im folgenden Abschnitt ausführlicher auf die einzelnen Filter ein.

13.3.1

Absenderfilterung konfigurieren

Der Absenderfilter-Agent filtert Nachrichten bestimmter Absender von außerhalb der Organisation. Administratoren pflegen eine Liste von Absendern, denen das Senden von Nachrichten an die Organisation untersagt ist. Als Administrator können Sie einzelne Absender oder ganze Domänen blocken. Sie können außerdem konfigurieren, welche Aktion der Absenderfilter-Agent ausführen soll, wenn eine Nachricht von einem geblockten Absender gefunden wird. Nach der Installation des Filters wird dieser automatisch aktiviert, Sie können diesen Filter mit der rechten Maustaste deaktivieren oder aktivieren, wenn Sie diesen auf einzelnen Servern nicht verwenden wollen. Alternativ können Sie den Fehler in der Exchange-Verwaltungsshell mit Set-SenderFilterConfig -Enabled $true aktivieren und mit Set-SenderFilterConfig -Enabled $false deaktivieren.

794


Die Absenderfilterung gibt es schon in Exchange 2003 (siehe Abbildung 13.6). Diese Funktion kann Sinn machen, wenn Sie immer wieder vom gleichen Absender SpamE-Mails erhalten. Eine manuelle Pflege von Spamversendern ist allerdings sehr ineffektiv, da diese ständig die Adressen wechseln. Einzelne Absender können durch diese Funktion allerdings zuverlässig blockiert werden. Konfigurieren Sie einen Absenderfilter-Agenten, müssen Sie die folgenden Schritte ausführen:

1. 2. 3. 4.

1

Aktivieren des Absenderfilter-Agenten Hinzufügen blockierter Absender und Domänen Aktivieren der Blockierung leerer Absender Angeben der Blockieraktion

2 3

Rufen Sie die Eigenschaften dieses Filters auf, stehen Ihnen auf drei Registerkarten verschiedene Möglichkeiten der Konfiguration zur Verfügung. Aktivieren Sie den Absenderfilter-Agenten auf einem Server, filtert er alle Nachrichten, die durch alle Empfangsconnectoren auf diesem Server eingehen. Es werden nur Nachrichten aus externen Quellen gefiltert. Externe Quellen sind als nicht authentifizierte Quellen definiert.

4 5 Abbildung 13.6: Registerkarte Allgemein in den Eigenschaften des Absenderfilters

6 7 8 9 10 11 12

13 Auf der Registerkarte Allgemein sehen Sie, wann der Filter das letzte Mal bearbeitet wurde und ob er aktiv ist. Hier erhalten Sie auch eine kurze Hilfe, was der Filter alles kann (siehe Abbildung 13.6).

14

Konfigurationsänderungen, die Sie vornehmen, gelten nur für den lokalen Computer, auf dem die Serverfunktion Edge-Transport installiert ist. Werden in Ihrer Organisation mehrere Edge-Transport-Server ausgeführt, müssen Sie die Änderungen am Absenderfilter-Agenten auf jeden Computer anwenden. Nehmen Sie die Einstellungen in der Organisationskonfiguration für Hub-Transport-Server vor.

15

795


Auf der Registerkarte Geblockte Absender können Sie die Absender eintragen, von denen E-Mails blockiert werden sollen (siehe Abbildung 13.7). Abbildung 13.7: Konfiguration des Absenderfilters

Um einen bestimmten Absender zu blocken, wählen Sie die Option Individuelle E-Mail-Adresse aus und geben dann die E-Mail-Adresse ein. Um eine Domäne zu blocken, wählen Sie die Option Domäne aus, und geben Sie die Domäne ohne das @-Zeichen ein, beispielsweise spam.de. Um alle Unterdomänen der in dem Textfeld angegebenen Domäne zu blocken, zum Beispiel mail.spam.de, aktivieren Sie die Option Alle Unterdomänen einschließen. Sie können den Absenderfilter-Agent so konfigurieren, dass eingehende Nachrichten blockiert werden, die keinen Absender und keine Domäne in der MAIL: FROM SMTP-Kopfzeile angeben (siehe Abbildung 13.7). Aktivieren Sie dazu die Option Nachrichten ohne Absender. Sie können diese Maßnahmen auch in einem Skript hinterlegen und den Befehl SetSenderFilterConfig aus der Exchange-Verwaltungsshell verwenden. Hier sind einige Beispiele dazu: ■ ■ ■ ■

Set-SenderFilterConfig -BlockedSenders [email protected] Set-SenderFilterConfig -BlockedDomains spam.de Set-SenderFilterConfig -BlockedDomainsAndSubdomains spam.de Set-SenderFilterConfig -BlankSenderBlockingEnabled $true

Auf der Registerkarte Aktion legen Sie schließlich fest, auf welche Art und Weise der Agent mit den blockierten Nachrichten verfahren soll (siehe Abbildung 13.8).

796


■

■

Nachricht ablehnen – Um die Nachricht zurückzuweisen und einen SMTP-Sitzungsfehler 554 5.1.0 Sender Denied (Absender verweigert) an den sendenden Server zu senden, wählen Sie Nachricht ablehnen. Diese Einstellung ist die empfohlene Einstellung. Alternativ können Sie diese Maßnahme auch mit SetSenderFilterConfig -Action Reject in der Exchange-Verwaltungsshell ausführen. Nachricht mit geblocktem Absender stempeln und Verarbeitungsvorgang fortsetzen – Um die Metadaten der Nachricht so zu aktualisieren, dass angezeigt wird, dass diese Nachricht von einem geblockten Absender gesendet wurde, wählen Sie diese Einstellung. Dieser Stempel wird vom Inhaltsfilter beim Berechnen der SCL-Bewertung (Spam Confidence Level) für die Nachricht verwendet. Außerdem verwendet die Absenderzuverlässigkeit die SCL-Bewertung einer bestimmten Nachricht, wenn sie einen SRL-Wert (Absenderzuverlässigkeitsstufe) für den Absender der Nachricht berechnet.

1 2 3 4 Abbildung 13.8: Festlegen der Blockieraktion

5 6 7 8 9 10 11 12

13.3.2

Verwenden der AbsenderzuverlässigkeitsFilterung

13

Der Absenderzuverlässigkeits-Agent ist eine Antispam-Funktion, um Nachrichten anhand zahlreicher Eigenschaften des Absenders zu blocken. Die Absenderzuverlässigkeit verwendet bestehende Daten zum Absender, um die Aktion zu bestimmen, die für eine eingehende Nachricht ausgeführt werden soll. Dieser Filter arbeitet mit dem Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL), den er auf Basis verschiedener Informationen berechnet.

14 15

Die Absenderzuverlässigkeit verarbeitet eine Nachricht nur, wenn diese vom Verbindungsfilter-Agenten, vom Absenderfilter-Agenten, vom Empfängerfilter-Agenten oder vom Sender ID-Agenten geblockt oder anderweitig verarbeitet wurde. In einem 797


solchen Fall ruft die Absenderzuverlässigkeit die aktuelle SRL-Bewertung des Absenders aus dessen Absenderprofil ab. Nach dem Abrufen und Auswerten dieser Bewertung gibt die Konfiguration des Transportservers das Verhalten vor, das aufgrund des Sperrschwellenwerts bei der jeweiligen Verbindung auftritt. ■

■

■

■

798

HELO/EHLO-Analyse: Spammer fälschen oft die HELO/EHLO-Anweisung auf verschiedene Arten. Beispielsweise geben Sie eine IP-Adresse ein, die nicht der IP-Adresse entspricht, von der die Verbindung tatsächlich hergestellt wurde. Spammer fügen auch Domänen in die HELO-Anweisung ein, von denen bekannt ist, dass sie von dem empfangenden Server lokal unterstützt werden – in dem Versuch der Vortäuschung, dass sich die Domänen innerhalb der Organisation befinden. Ein Absender, der beispielsweise innerhalb eines bestimmten Zeitraums viele verschiedene, aber eindeutige HELO/EHLO-Anweisungen bereitstellt, ist mit höherer Wahrscheinlichkeit ein Spammer. Absender, die in der HELO-Anweisung konsistent eine IP-Adresse angeben, die nicht der UrsprungsIP-Adresse entspricht, wie sie vom Verbindungsfilter-Agenten ermittelt wird, sind ebenso mit höherer Wahrscheinlichkeit Spammer. Diese Überprüfung wird automatisch durchgeführt und kann nicht konfiguriert werden. Reverse-DNS-Lookup: Die Absenderzuverlässigkeit überprüft, ob die UrsprungsIP-Adresse, von welcher der Absender die Nachricht übermittelt hat, dem registrierten Domänennamen entspricht, der vom Absender mit dem SMTP-Befehl HELO oder EHLO übermittelt wird (siehe auch Kapitel 5). Die Absenderzuverlässigkeit vergleicht den von DNS zurückgegebenen Domänennamen mit dem Domänennamen, der vom Absender mit dem SMTP-Befehl HELO/EHLO übermittelt wurde. Entsprechen sich die Domänennamen nicht, ist der Absender wahrscheinlich ein Spammer. Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders: Verarbeitet der Inhaltsfilter-Agent eine Nachricht, weist er dieser eine SCLBewertung (Spam Confidence Level) zu. Die Daten über jeden Absender und die SCL-Bewertungen ihrer Nachrichten sind für die Analyse durch die Absenderzuverlässigkeit verfügbar. Die Absenderzuverlässigkeit berechnet die Statistik für einen Absender aus dem Verhältnis aller Nachrichten dieses Absenders mit einer niedrigen SCL-Bewertung in der Vergangenheit und allen Nachrichten dieses Absenders mit einer hohen SCL-Bewertung in der Vergangenheit. Zusätzlich fließt die Anzahl der Nachrichten mit einer hohen SCL-Bewertung, die der Absender innerhalb des letzten Tags versendet hat, in die SRL-Gesamtbewertung ein. Open-Proxy-Test für Absender: Ein Open Proxy (offener Proxy) ist ein Proxyserver, der ortsunabhängig alle Verbindungsanforderungen akzeptiert und den Datenverkehr so weiterleitet, als ob er von den lokalen Hosts stammt. Proxyserver leiten TCP-Verkehr durch Firewallhosts weiter, um Benutzeranwendungen einen transparenten Zugriff hinter die Firewall zu gestatten. Da Proxyprotokolle schlank und von Benutzeranwendungsprotokollen unabhängig sind, können Proxies von vielen verschiedenen Diensten verwendet werden. Proxies können auch zur gemeinsamen Nutzung einer Internetverbindung durch mehrere Hosts verwendet werden. Open Proxies, die häufig auch über unzureichende Protokollierung verfügen, bieten Spammern eine ideale Möglichkeit. Führt die Absenderzuverlässigkeit einen Open-Proxy-Test durch, wird eine SMTP-Anforderung formatiert, um von dem offenen Proxyserver aus eine Verbindung zurück zum Edge-Transport-Server herzustellen. Wird von dem Proxyserver eine SMTPAnforderung empfangen, stellt die Absenderzuverlässigkeit fest, dass es sich bei


dem Proxyserver um einen Open Proxy handelt, und aktualisiert die OpenProxy-Teststatistik dieses Absenders entsprechend. Sie können den OpenProxy-Test auf der Registerkarte Absenderzuverlässigkeit aktivieren oder deaktivieren. Standardmäßig ist dieser Test nach der Aktivierung des Filters aktiv.

1 Abbildung 13.9: Konfiguration der Absenderzuverlässigkeit

2 3 4 5 6 7 8 9

Die Absenderzuverlässigkeit wägt jede einzelne Statistik ab und berechnet einen Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) für jeden Absender. Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Spammer ist. Ein Wert von 0 gibt an, dass es sich bei dem Absender wahrscheinlich nicht um einen Spammer handelt. Ein Wert von 9 gibt an, dass es sich bei dem Absender mit großer Wahrscheinlichkeit um einen Spammer handelt.

10 11

Sie können einen Sperrschwellenwert zwischen 0 und 9 auf der Registerkarte Aktion konfigurieren, ab dem die Absenderzuverlässigkeit eine Anforderung an den Absenderfilter-Agenten ausgibt, wodurch der Absender dann am Senden einer Nachricht in die Organisation gehindert wird. Wird ein Absender geblockt, wird er der Liste der geblockten Absender für einen konfigurierbaren Zeitraum hinzugefügt.

12

13

Wurde ein Absender in die Sperrliste oder den IP-Zuverlässigkeitsdienst von Microsoft aufgenommen, gibt die Absenderzuverlässigkeit eine sofortige Anforderung an den Absenderfilter-Agenten aus, um den Absender zu blocken. Um von dieser Funktionalität profitieren zu können, müssen Sie die automatischen Antispam-Updates von Exchange aktivieren und konfigurieren (siehe später in diesem Kapitel).

14 15

799


Abbildung 13.10: Konfiguration des Absenderzuverlässigkeitsgrades

13.3.3

Verbindungsfilter konfigurieren

Der Verbindungsfilter in Exchange Server 2007 setzt sich aus der Konfiguration verschiedener Agenten zusammen. Diese Agenten sind die Anbieter für geblockte-IPAdressen, Anbieter für zugelassene IP-Adressen, die IP-Sperrliste und die IP-Zulassungsliste (siehe Abbildung 13.11). Abbildung 13.11: Konfiguration der einzelnen Agenten für die Verbindungsfilterung

Die Verbindungsfilterung wird verwendet, um von E-Mail-Servern, die auf einer Black List stehen, keine Verbindung anzunehmen. Wird der Verbindungsfilter-Agent aktiviert, ist er der erste Antispam-Agent, der ausgeführt wird, wenn eine eingehende Nachricht bewertet wird. Ist die Quell-IP-Adresse weder auf einer IP-Zulassungs- noch auf einer IP-Sperrliste zu finden, wird die Nachricht an weitere Antispam-Agenten übergeben, wenn solche konfiguriert sind.

800


Mindestens einer der Agenten mit IP-Adressen muss konfiguriert werden, damit der Verbindungsfilter-Agent funktioniert.

TIPP

Um den Verbindungsfilter-Agenten zu aktivieren, falls er nicht aktiviert ist, verwenden Sie den Befehl Enable-TransportAgent -Identity Connection Filter agent.

1

Verwenden von Anbietern für geblockte IP-Adressen

2

Dazu wird Exchange so konfiguriert, dass der Exchange Server mit bestimmten Realtime Blackhole Lists (RBL) zusammenarbeiten und diese abfragen kann.

3

Sehr ausführliche Informationen zum Thema RBL finden Sie auf der Internetseite http://de.wikipedia.org/wiki/Realtime_Blackhole_List. Exchange überprüft bei jeder SMTP-Verbindung, ob der absendende E-Mail-Server auf der RBL-Liste des konfigurierten RBL-Anbieters aufgeführt ist, und verweigert bei positiver Erkennung die Verbindung. Es wird also keine Mail von diesem E-Mail-Server akzeptiert.

4

Sie können die Reihenfolge, in der die RBL-Anbieter abgefragt werden, auf der Registerkarte Anbieter konfigurieren (siehe Abbildung 13.12). Diese Option kann nur verwendet werden, wenn Sie die E-Mails nicht per POP3 abholen, sondern wenn sie per SMTP zugestellt werden. Dazu muss der Exchange Server im Internet die Nachrichten selbst entgegennehmen (siehe Kapitel 15).

5

Klicken Sie auf die Schaltfläche Hinzufügen, können Sie in einer Eingabemaske die Verbindungsfilterung für diese Verbindung konfigurieren (siehe Abbildung 13.12). Es gibt mittlerweile im Internet Hunderte, wenn nicht sogar Tausende Anbieter. Googeln Sie einfach nach RBL-Anbietern, und testen Sie diese, wenn Sie diese Option verwenden wollen.

7

6

8

Über die Schaltfläche Fehlermeldungen tragen Sie den Text ein, den der absendende E-Mail-Server als Begründung für den Verbindungsabbruch erhält. Wurde der absendende Server so konfiguriert, dass er einen NDR an den Absender schickt, wird diese Fehlermeldung in diesen NDR integriert. Geben Sie in diesem Feld nichts ein, wird folgende Meldung zurückgegeben: IP-Adresse wurde blockiert von .

9 10

Der Rückgabestatuscode ist die Antwort, die Sie durch den RBL-Anbieter erhalten. Verschiedene Anbieter für geblockte IP-Adressen können unterschiedliche Codes zurückgeben. Die meisten Anbieter für geblockte IP-Adressen geben Bitmasken oder absolute Werte als Datentypen zurück. Innerhalb dieser Datentypen können mehrere Werte vorhanden sein, die den Typ der Liste angeben, auf der die übermittelte IP-Adresse gefunden wurde. Welches Feld Sie verwenden, sollten Sie in der Anleitung des Anbieters nachlesen. Standardmäßig ist die Option Jeden Rückgabecode zuordnen aktiviert, das heißt, der Server blockiert immer, wenn irgendein Statuscode zurückgegeben wird.

11 12

13

Im Feld Lookup-Domäne können Sie die Adresse des Black-List-Anbieters eintragen. Zu den beliebtesten zählen: ■ ■ ■ ■ ■

14

relays.ordb.org relays.visi.com bl.spamcop.net blackholes.wirehub.net list.dsbl.org

15

801


Weitere Anbieter finden Sie auf der Internetseite http://www.email-policy.com/Spamblack-lists.htm. TIPP

Abbildung 13.12: Konfiguration von Anbietern für geblockte IP-Adressen

Sie können einen oder mehrere Anbieter eintragen. Überprüfen Sie aber vorher auf der Internetseite des Anbieters, ob es spezielle Anleitungen gibt. Bei Exchange reicht es normalerweise, wenn Sie einfach verschiedene Einträge verwenden, damit dieser Schutz funktioniert. Sie können auch auf Basis von E-Mail-Domänen Ausnahmen konfigurieren. Dafür ist die Registerkarte Ausnahmen zuständig. Hier können Sie E-Mail-Adressen hinterlegen (zum Beispiel *@web.de). Exchange akzeptiert E-Mails an diese Adressen unabhängig davon, ob der sendende Server auf einer RBL-Liste steht oder verweigert wird. Sie können die Prioritätsbewertung konfigurieren, durch die festgelegt wird, in welcher Reihenfolge der Verbindungsfilter-Agent Anbieter für geblockte IP-Adressen abfragt. Erhält der Verbindungsfilter-Agent eine IP-Sperrlistenentsprechung, beendet er das Abfragen weiterer Anbieterdienste für geblockte IP-Adressen. Für jeden konfigurierten Anbieterdienst für geblockte IP-Adressen können Sie den SMTP-Fehler 550 anpassen, der an den Absender zurückgegeben wird.

802


Abbildung 13.13: Konfiguration der Ausnahmen für geblockte IP-Adressen

1 2 3 4 5 6 7

Anbieter für zugelassene IP-Adressen IP-Zulassungslisten werden auch als Safe Lists oder weiße Listen bezeichnet. Anbieter für zugelassene IP-Adressen pflegen Listen von IP-Adressen, von denen sicher bekannt ist, dass sie mit keiner Spamaktivität in Zusammenhang stehen. Gibt ein Anbieter für zugelassene IP-Adressen eine IP-Zulassungsentsprechung zurück, leitet der Verbindungsfilter-Agent die Nachricht an den nächsten Agenten in der Antispam-Kette weiter.

8

Auch in den Eigenschaften dieses Agenten können Sie Anbieter eintragen, ähnlich zur Konfiguration der Anbieter für geblockte IP-Adressen.

10

Konfiguration der IP-Sperrliste und der IP-Zulassungsliste

11

Bei den IP-Sperr- und IP-Zulassungslisten handelt es sich um definierte Listen, in denen IP-Adressen sowie IP-Adressbereiche angegeben sind, die vom Verbindungsfilter-Agenten verarbeitet werden. Der Verbindungsfilter-Agent trennt die SMTPVerbindung, nachdem alle MAIL FROM-Header in der Nachricht verarbeitet wurden, wenn die folgenden Bedingungen erfüllt sind:

12

■ ■

9

13

Der Transportserver ist direkt mit dem Internet verbunden. Eine IP-Absenderadresse entspricht einer IP-Adresse oder einem IP-Adressbereich in der IP-Sperrliste.

14

Sie können auch einen Tag und eine Uhrzeit für den Ablauf des IP-Sperrlisteneintrags angeben, den Sie erstellen. Geben Sie nur eine Uhrzeit und kein Datum an, wird der aktuelle Tag angenommen.

15

803


Abbildung 13.14: Konfiguration geblockter IP-Adressen

Für die IP-Zulassungsliste können in der Exchange-Verwaltungskonsole kein Ablaufdatum und keine Ablaufzeit konfiguriert werden. Verwenden Sie dazu die ExchangeVerwaltungsshell mit dem Befehl Add-IPAllowListEntry. Die Verwaltung der IP-Sperrlisten und der IP-Zulassungsliste ist ansonsten identisch. In den Eigenschaften beider Agenten können Sie IP-Adressen von Servern hinterlegen, die Sie entweder blockieren lassen oder die E-Mails zustellen dürfen. Die globale Annahmeliste ist der globalen Verweigerungsliste übergeordnet. Lassen Sie zum Beispiel einen IP-Bereich global verweigern und eine einzelne IP aus diesem Bereich global annehmen, hat die globale Genehmigung dieser Verbindung Vorrang. E-Mails von diesem Server werden also akzeptiert, auch wenn sich seine IP-Adresse in einem Bereich befindet, der eigentlich verweigert wird. Entspricht eine IP-Absenderadresse einer in der IP-Zulassungsliste enthaltenen IPAdresse oder einem IP-Adressbereich, sendet der Verbindungsfilter-Agent die Nachricht an ihr Ziel, ohne dass sie von weiteren Antispam-Agenten verarbeitet wird.

13.3.4 Empfängerfilterung konfigurieren Eine weitere Option zur Bekämpfung von Spam ist die Empfängerfilterung. Dieser Filter ist nach der Installation automatisch aktiv. Sie können ihn über das Kontextmenü aktivieren oder deaktivieren. Alternativ können Sie auch die Exchange-Verwaltungsshell verwenden: Set-RecipientFilterConfig -Enabled $true aktiviert den Filter, SetRecipientFilterConfig -Enabled $false deaktiviert ihn. Mithilfe dieses Filters können Sie E-Mails, die an bestimmte Empfänger innerhalb Ihres Unternehmens geschickt werden, blockieren (siehe Abbildung 13.15). Alternativ dazu können Sie E-Mails ablehnen, wenn die E-Mail-Adresse in Ihrem Unterneh-

804


men nicht vorhanden ist. Der Empfängerfilter-Agent verwendet die RCPT TO-SMTPKopfzeile, um die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll: ■

■

■

Enthält die eingehende Nachricht einen Empfänger, der in der Liste geblockter Empfänger steht, sendet der Transportserver einen SMTP-Sitzungsfehler 550 5.1.1 User unknown (unbekannter Benutzer) an den Absenderserver. Enthält die eingehende Nachricht einen Empfänger, der keinem Empfänger im Empfänger-Lookup entspricht, sendet der Transportserver einen SMTP-Sitzungsfehler 550 5.1.1 User unknown (unbekannter Benutzer) an den Absenderserver. Steht der Empfänger nicht in der Liste geblockter Empfänger und ist er auch nicht im Empfänger-Lookup zu finden, sendet der Edge-Transport-Server eine SMTP-Antwort 250 2.1.5 Recipient OK (gültiger Empfänger) an den Absenderserver, und der nächste Antispam-Agent in der Reihe verarbeitet die Nachricht.

1 2 3 4

Manche Organisationen akzeptieren E-Mail-Nachrichten für mehrere Domänen. So kann beispielsweise eine Organisation Nachrichten für beide Domänen Contoso.com und Woodgrovebank.com akzeptieren. Ein Edge-Transport-Server kann Nachrichten für mehrere Domänen akzeptieren, er kann aber nicht für alle diese Domänen autorisierend sein. Ein Edge-Transport-Server kann also beispielsweise so konfiguriert sein, dass er für alle Empfänger in der Domäne Contoso.com autorisierend ist, aber der Edge-Transport-Server akzeptiert immer noch Nachrichten für die Domäne Woodgrovebank.com und leitet sie weiter.

5 6 7 Abbildung 13.15: Konfiguration der Empfängerfilterung

8 9 10 11 12

13 14 15

805


Wird der Empfängerfilter-Agent aktiviert, führt er Empfänger-Lookups nur für die Domänen aus, die in der Transportserverkonfiguration als autorisierend angegeben sind. Akzeptiert ein Edge-Transport-Server Nachrichten im Auftrag einer anderen Domäne und leitet diese weiter, obwohl der Edge-Transport-Server nicht als autorisierend konfiguriert ist, führt der Empfängerfilter-Agent kein Empfänger-Lookup aus. Ist jedoch ein nicht autorisierter Empfänger in der Empfängersperrliste angegeben, wird der Empfänger dennoch gesperrt.

13.3.5 Verwenden der Inhaltsfilterung Der Inhaltsfilter-Agent stellt die nächste Generation des intelligenten Nachrichtenfilters (Intelligent Message Filter, IMF) von Exchange dar, der zum Funktionsumfang von Exchange Server 2003 (mit SP2) gehört. Der intelligente Nachrichtenfilter überprüft eingehende E-Mail-Nachrichten und bewertet die Wahrscheinlichkeit, dass eine eingehende Nachricht erwünscht oder unerwünscht (Spam) ist. Der InhaltsfilterAgent ist der letzte Filter, der eingehende Nachrichten scannt. Daher sind die Einstellungen von SCL-Schwellenwerten und Schwellenwertaktionen sehr wichtig. Aktivierung und Deaktivierung sowie Behandlung von internen und externen Nachrichten Nach der Installation des Filters ist dieser automatisch aktiviert. Sie können ihn über das Kontextmenü deaktivieren. Alternativ können Sie die Exchange-Verwaltungsshell dazu verwenden. Mit Set-ContentFilterConfig -Enabled $true aktivieren Sie den Filter, mit Set-ContentFilterConfig -Enabled $false deaktivieren Sie ihn. Standardmäßig ist der Inhaltsfilter-Agent für externe Nachrichten aktiviert. Die Exchange-Verwaltungskonsole kann nicht zum Aktivieren oder Deaktivieren der Inhaltsfilterung für interne oder externe Nachrichten verwendet werden: ■ ■

■ ■

Führen Sie den folgenden Befehl aus, um den Inhaltsfilter-Agenten für externe Nachrichten zu aktivieren: Set-ContentFilterConfig -ExternalMailEnabled $true. Führen Sie den folgenden Befehl aus, um den Inhaltsfilter-Agenten für externe Nachrichten zu deaktivieren: Set-ContentFilterConfig -ExternalMailEnabled $false. Um den Filter auch für interne Nachrichten zu aktivieren, verwenden Sie den Befehl Set-ContentFilterConfig -InternalMailEnabled $true. Mit Set-ContentFilterConfig -InternalMailEnabled $false deaktivieren Sie den Filter für interne Nachrichten.

Verwalten der Inhaltsfilterung Mithilfe dieses Filters können Sie Nachrichten auf Basis des SCL-Levels (der auch durch die anderen Agenten beeinflusst wird) konfigurieren oder spezielle Begriffe und Wörter hinterlegen, durch die E-Mails blockiert werden. In den Eigenschaften des Filters stehen Ihnen verschiedene Registerkarten zur Konfiguration zur Verfügung. Der Inhaltsfilter-Agent weist jeder Nachricht eine SCL-Bewertung zu. Die SCLBewertung ist eine Zahl von 0 bis 9. Eine höhere SCL-Bewertung zeigt an, dass es sich bei einer Nachricht mit größerer Wahrscheinlichkeit um Spam handelt. Sie können den Inhaltsfilter so konfigurieren, dass abhängig von der SCL-Bewertung die folgenden Aktionen auf Nachrichten angewendet werden:

806


■ ■ ■

Nachricht löschen Nachricht zurückweisen Nachricht in Quarantäneverzeichnis verschieben

1

Auf der Registerkarte Benutzerdefinierte Wörter hinterlegen Sie die Wörter, nach denen E-Mails durchsucht werden sollen, wenn diese durch den Filter geschickt werden (siehe Abbildung 13.16).

2 Abbildung 13.16: Verwalten von benutzerdefinierter Wörter

3 4 5 6 7 8 9 10

Erkennt der Inhaltsfilter-Agent in einer eingehenden Nachricht einen vorkonfigurierten zugelassenen Ausdruck, weist der Agent der Nachricht automatisch den SCLWert 0 zu. Erkennt der Inhaltsfilter-Agent dagegen in einer eingehenden Nachricht einen vorkonfigurierten geblockten Ausdruck, weist der Agent der Nachricht den SCL-Wert 9 zu.

11 12

Auf der Registerkarte Ausnahmen hinterlegen Sie die E-Mail-Adressen, die von der Filterung ausgeschlossen werden sollen (siehe Abbildung 13.17).

13

Auf der Registerkarte Aktion legen Sie fest, wie die Inhaltsfilterung mit den E-Mails verfahren soll, die blockiert werden sollen (siehe Abbildung 13.18). Der SCL-Schwellenwert ist der Wert, bei dem eine bestimmte Nachricht als möglicher Spam identifiziert und eine Aktion eingeleitet wird. Der Inhaltsfilter-Agent ist der letzte Filter, der eingehende Nachrichten scannt. Daher sind die Einstellungen von SCL-Schwellenwerten und Schwellenwertaktionen sehr wichtig.

14 15

807


Abbildung 13.17: Konfiguration der Empfänger, deren E-Mails nicht durch die Inhaltsfilterung abgesichert werden sollen

Sie können jede SCL-Schwellenwertaktion auf einen Wert zwischen 0 und 9 festlegen und aktivieren, wobei 0 mit geringerer Wahrscheinlichkeit und 9 mit höherer Wahrscheinlichkeit als Spam angesehen wird. Sie sollten die SCL-Schwellenwerte und die ihnen entsprechenden Aktionen wie folgt festlegen und aktivieren (siehe Abbildung 13.18): ■

■

■

808

Nachrichten löschen, deren SCL-Bewertung (Spam Confidence Level) größer als oder gleich folgendem Wert ist – Mit dieser Option wird die Nachricht gelöscht, der sendende Server wird jedoch nicht über die Löschung informiert. Tatsächlich sendet der Computer mit der installierten Serverfunktion Edge-Transport dem sendenden Server einen falschen SMTP-Befehl und löscht anschließend die Nachricht. Da der sendende Server annimmt, dass die Nachricht gesendet wurde, versucht er innerhalb der gleichen Sitzung nicht, die Nachricht erneut zu senden. Nachrichten ablehnen, deren SCL-Bewertung (Spam Confidence Level) größer als oder gleich folgendem Wert ist – Mit dieser Option wird die Nachricht abgelehnt und eine SMTP-Fehlerantwort an den sendenden Server gesendet. Nachrichten isolieren, deren SCL-Bewertung (Spam Confidence Level) größer als oder gleich folgendem Wert ist – Mit dieser Option wird die Nachricht isoliert und an das angegebene Quarantänepostfach gesendet.


Abbildung 13.18: Konfiguration des SCL-Schwellenwertes

1 2 3 4 5 6 7 Sie können die SCL-Schwellenwerte und SCL-Schwellenwertaktionen aktivieren und so konfigurieren, dass sie zusammenarbeiten. Berücksichtigen Sie beim Aktivieren mehrerer SCL-Schwellenwertaktionen für die Zusammenarbeit die folgenden Anforderungen: ■ ■

8 9

Der SCL-Schwellenwert für die Ablehnung muss größer sein als der SCL-Schwellenwert für die Quarantäne. Der SCL-Schwellenwert für das Löschen muss größer als der SCL-Schwellenwert für die Ablehnung und der SCL-Schwellenwert für die Quarantäne sein.

10

Verwenden der E-Mail-Poststempelüberprüfung von Outlook Diese Funktion reduziert die Wahrscheinlichkeit falsch positiver Ergebnisse (auch false positives genannt, also fälschlicherweise als Spam deklarierte E-Mails). Ist die Überprüfung des E-Mail-Poststempels von Outlook aktiviert, analysiert der Inhaltsfilter-Agent die eingehende Nachricht, ob eine Kopfzeile mit einem Rechenpoststempel vorhanden ist. Das Vorhandensein einer Kopfzeile mit einem gültigen, gelösten Rechenpoststempel in der Nachricht gibt an, dass der Clientcomputer, der die Nachricht generiert hat, den Rechenpoststempel aufgelöst hat. Standardmäßig ist die Outlook-E-Mail-Poststempelüberprüfung aktiviert.

11

Die Konfiguration dieser Funktion kann nicht mithilfe der Exchange-Verwaltungskonsole ausgeführt werden. Sie müssen die Exchange-Verwaltungsshell zum Aktivieren oder Deaktivieren der Outlook-E-Mail-Poststempelüberprüfung verwenden.

14

12

13

15

Um die Funktion zu aktivieren, verwenden Sie den Befehl Set-ContentFilterConfig -OutlookEmailPostmarkValidationEnabled $true, mit Set-ContentFilterConfig-Outlook EmailPostmarkValidationEnabled $false deaktivieren Sie den Filter.

809


13.3.6 Verwenden der Sender ID Dieses Feature reduziert die Möglichkeit, dass Ihr Exchange Server E-Mails von gefälschten E-Mail-Adressen entgegennimmt. Dabei überprüft Exchange anhand von DNS, ob Absenderdomäne und ausgehender E-Mail-Server übereinstimmen. Bei der Konfiguration der Absenderkennung haben Sie drei Möglichkeiten (siehe Abbildung 13.19): ■

■ ■

Nachricht mit Sender ID-Ergebnis stempeln… – Aktivieren Sie diese Option, wird der Status, dass die Nachricht nicht zurück bis zum Absender verifiziert werden kann, in der E-Mail gespeichert. Die E-Mail wird aber normal zugestellt. Diese Einstellung ist standardmäßig aktiviert. Nachricht löschen – In diesem Fall löscht Exchange die E-Mail, wenn die Absenderkennung fehlschlägt. Nachricht ablehnen – Exchange nimmt die E-Mail gar nicht erst entgegen, und der absendende E-Mail-Server ist dafür zuständig, ob ein NDR an den Absender geschickt werden soll oder nicht.

Abbildung 13.19: Verwenden der Sender ID

13.4

Automatische Antispamaktualisierungen

Der automatische Modus für Antispamaktualisierungen ist ein Premium-Feature (siehe Kapitel 17). Falls der Modus aktiviert ist, ist entweder eine Microsoft Exchange Enterprise-Clientzugriffslizenz für jedes Benutzerpostfach oder Forefront Security für Exchange Server erforderlich. Sie müssen den automatischen Modus auswählen, damit Spamsignaturaktualisierungen und IP-Zuverlässigkeitsaktualisierungen verfügbar sind. Spamsignaturaktualisierungen können mehrmals täglich heruntergeladen werden, um die Genauigkeit der Inhaltsfilter zu erhöhen. 810

Automatische Antispamaktualisierungen

IP-Zuverlässigkeitsaktualisierungen können mehrmals täglich heruntergeladen werden, um die Genauigkeit von Absenderzuverlässigkeitsinformationen zu IP-Adressen zu erhöhen, die als Absender von Spam bekannt sind. Sie finden die Konfiguration dieser Option in der Exchange-Verwaltungskonsole. Klicken Sie auf Serverkonfiguration/Hub-Transport. Im Kontextmenü des Hub-Transport- oder des Edge-Transport-Servers können Sie die Antispamaktualisierungen aktivieren. Sie können dazu auch den Befehl Antispamaktualisierungen aktivieren aus dem Aktionsbereich verwenden.

1 2 Abbildung 13.20: Antispamaktualisierungen aktivieren

3 4 5 6 7

Abbildung 13.21: Konfiguration der Antispamaktualisierungen

8 9 10 11 12

13 14 15

811


Im Anschluss startet der Assistent für die Einstellung der Antispamaktualisierung. Der Antispamaktualisierungsdienst von Forefront Security für Exchange Server fragt Microsoft Update mehrmals täglich ab, um Aktualisierungen herunterzuladen und zu ermitteln, ob sich der Zustimmungsstatus geändert hat. Es kann daher eine Stunde oder auch länger dauern, bis eine Änderung des Zustimmungsstatus auf Ihrem System widergespiegelt wird. Möchten Sie den geänderten Zustimmungsstatus sofort überprüfen, müssen Sie den Microsoft Exchange-Antispamaktualisierungsdienst neu starten.

13.5

Phishing- und Spamschutz in Outlook 2003 SP2/Outlook 2007

Im Bereich Spamschutz hat Microsoft in Outlook 2003 SP2 und Outlook 2007 auch einen Phishing-Schutz aktiviert. Der Schutz besteht darin, dass Outlook verdächtige Hyperlinks in E-Mails ausblendet. Diese Option ist nach der Installation bereits automatisch aktiviert. Sie finden diese Einstellung im gleichen Bereich wie die Konfiguration des Spamschutzes unter Extras/Optionen/Einstellungen/Junk-E-Mail (siehe Abbildung 13.22). Die Spamerkennungsregeln können durch Windows Update oder einen WSUS-Server automatisch aktualisiert werden. Abbildung 13.22: SpamschutzFunktionen in Outlook 2007

812

Spamschutz für Verteilergruppen

13.6

Spamschutz für Verteilergruppen

Die Einstellungen auf der Registerkarte Nachrichtenübermittlungseinstellungen in den Eigenschaften von Verteilergruppen können auch extrem hilfreich für den Spamschutz sein.

1

Es kann unter Umständen passieren, dass der Alias einer Verteilerliste im Internet bekannt wird. Schickt ein Spam-Versender an den Alias dieser Verteilerliste eine E-Mail, bekommen alle Mitglieder dieser Liste die E-Mail zugestellt. Sie können diese Gefahr allerdings recht schnell beseitigen, indem Sie die Option aktivieren, dass nur interne Benutzer an diese Gruppe E-Mails senden dürfen. Ab diesem Moment nimmt diese Liste keine E-Mails mehr von Benutzern außerhalb des Active Directory an (siehe Abbildung 13.23).

2 3 4

In Exchange Server 2007 ist für Gruppen standardmäßig die Option Authentifizierung aller Absender anfordern aktiviert. Ist diese Einstellung aktiviert, kann diese Gruppe nicht über das Internet erreicht werden (siehe Abbildung 13.23).

5 Abbildung 13.23: Absicherung von Verteilergruppen

6 7 8 9 10 11 12

13 14 15

813


13.7

GFI MailEssentials

Mit den GFI MailEssentials erhalten Sie einen einfach zu konfigurierenden und effizienten Spam-Schutz. Die Installation und Konfiguration des Produktes ist nicht sehr kompliziert (siehe Abbildung 13.24). Die GFI MailEssentials enthalten einen Filter, der ständig automatisch lernt und Spam-E-Mails effizient bekämpft. Zusätzlich zu dem Spamschutz enthalten die GFI MailEssentials zahlreiche weitere Möglichkeiten wie E-Mail-Archivierung und -Überwachung. Sie können bei den GFI MailEssentials Nachrichten so markieren, dass Spam-Mails entweder eine Erweiterung im Betreff bekommen oder direkt in bestimmte Ordner in Outlook verschoben werden. Bevor Sie sich eine teure Spam-Lösung anschaffen, sollten Sie zunächst die MailEssentials testen. Auf der Seite des Herstellers können Sie sich unter www.gfisoftware.de eine Testversion herunterladen. Abbildung 13.24: Verwaltungsoberfläche der GFI MailEssentials

814

Inhalt 1 2 3 4 5

14

Cluster und Hochverfügbarkeit

6 7

Exchange Server 2007 führt eine Reihe von Erweiterungen im Bereich der Hochverfügbarkeit ein. Neben einer vereinfachten Clustereinrichtung und -verwaltung stehen zusätzlich zum klassischen Cluster mit gemeinsam genutztem Festplattenplatz zur Speicherung der Clusterkonfiguration (Quorum) – bei Exchange Server 2007 jetzt Einzelkopiecluster (Single Copy Cluster, SCC) genannt – zwei neue Hochverfügbarkeitslösungen zur Verfügung, die fortlaufende Clusterreplikation (Cluster Continuous Replication, CCR) und die fortlaufende lokale Sicherung (Local Continuous Replication, LCR). In diesem Kapitel erläutere ich die Clusterfunktionalitäten von Windows Server 2003 und Exchange Server 2007. LCR wurde bereits in Kapitel 6 behandelt und kann auch ohne Cluster eingesetzt werden. Außerdem zeige ich Ihnen außer den theoretischen Erläuterungen noch folgende Praxisanleitungen, die Schritt für Schritt folgende Themen erklären: ■ ■ ■

9 10 11

Aufbau eines virtuellen Server Clusters mit Microsoft Virtual Server 2005 R2. Einrichtung eines Clusters mit Windows Server 2003 R2. Installation von Exchange Server 2007 in einem Cluster mit der Funktion Single Copy Cluster (SCC). Installation von Exchange Server 2007 in einem Cluster mit der Funktion Cluster Continuous Replication (CCR).

12 13

Exchange Server 2007 stellt keine Möglichkeit mehr zur Verfügung, einen ActiveActive-Cluster einzurichten. Mit Exchange Server 2003 war das möglich, bedurfte jedoch aufgrund einiger konzeptioneller Probleme wie der Speicherfragmentierung und der Lastberechnung einiges an Konfigurationsarbeit. Als weiteren Abschnitt in diesem Kapitel zeigen wir Ihnen die Installation von Exchange Server 2007 in einem Windows Server 2008-Cluster, auch für jeden als Testumgebung nachvollziehbar.

14 15

815

Index

■

8


14.1

Was ist ein Cluster?

Ein Cluster ist eine Gruppe unabhängiger Computer, die jeweils die gleichen Anwendungen ausführen und beim Zugriff durch einen Client als ein einziges System dargestellt werden. Die Computer sind physikalisch durch Kabel und Clustersoftware miteinander verbunden. Durch das Vorhandensein dieser Verbindungen können im Cluster Probleme für den zugreifenden Client transparent behoben werden, zum Beispiel durch die Umverteilung von Aufgaben bei Ausfall eines Knotens auf einen anderen (Failover in Serverclustern) oder eine Verteilung aller zu bearbeitenden Aufgaben über einen Lastenausgleich in Netzwerklastenausgleich- bzw. Network Load Balancing(NLB)-Clustern. Durch diese Trennung unterscheiden sich Clustersysteme grundlegend von Multiprozessorsystemen, bei denen sich mehrere Prozessoren eine gemeinsame Computerperipherie teilen. Netzwerklastenausgleich (NLB) ist eine Clustertechnologie, die von Microsoft als Teil von Windows 2000 Server Advanced und Datacenter Server angeboten wird. NLB steht auch unter Windows Server 2003 in der Enterprise und der Datacenter Edition zur Verfügung. NLB benutzt einen verteilten Algorithmus für den Lastenausgleich von IP-Datenverkehr über mehrere Hosts. Das führt zu einer besseren Skalierbarkeit und Verfügbarkeit unternehmenskritischer IP-basierter Dienste. Beispiele hierfür sind Webdienste, Virtual Private Networks, Terminaldienste, Proxydienste und viele andere mehr. NLB kann Ausfälle von Servern automatisch erkennen und den Datenverkehr an andere Hosts umleiten, dadurch wird eine Hochverfügbarkeit des NLB-Clusters erreicht. Viele Firmen setzen für die Arbeit mit Exchange einen Cluster ein. Dies geschieht vor allem aus dem Grund, dass mittlerweile auch das E-Mail-System eines Unternehmens nicht ausfallen darf und so ausfallsicher wie möglich sein soll. Bei einem Cluster laufen mehrere Knoten zusammen. Dies hat den Vorteil, dass bei Ausfall eines Servers die Funktionalitäten des Clusters nicht beeinträchtigt werden, da die anderen Server dessen Dienste auffangen. Allerdings ist die Konfiguration eines Clusters alles andere als einfach. Abbildung 14.1: Funktion eines Clusters mit Windows Server 2003

816


Mit einem Cluster ergibt sich der Nachteil, dass viele Konfigurationen, die bei einem Stand-alone-Server möglich sind, auf einem Cluster nur sehr schwer durchzuführen sind. Da auch der Clusterdienst eine Windows-Komponente ist, haben Sie bei einem Cluster zusätzlich einen weiteren Dienst zu verwalten, der dazu noch ungeheuer komplex ist.

14.1.1

1

Allgemeine Informationen zu Clustern mit Exchange Server 2007

2

Bevor Sie einen Cluster produktiv in Betrieb nehmen, sollten Sie sich ausführlich mit dessen Konfiguration befassen. Unter Exchange 2000 hat Microsoft noch einen Active-Active-Cluster empfohlen. Da diese Konfiguration aber nicht sehr populär war und auch nicht gut funktioniert hat, ist Microsoft bei Exchange 2003 wieder umgeschwenkt und empfiehlt Active-Passive-Clustering. Das heißt im Klartext, dass bei einem Exchange 2003-Cluster ein Server (Knoten) online die Exchange-Dienste zur Verfügung stellt und der zweite Knoten nur als Stand-by dient, wenn der Hauptknoten ausfallen sollte. Unter Exchange Server 2007 sind nur die Server mit der MailboxServer-Rolle clusterfähig. Es wird auch nur noch ein Active-Passive-Cluster unterstützt. Sie können in einem Cluster ohne Weiteres mehrere aktive Knoten betreiben, es muss aber mindestens ein passiver Knoten enthalten sein. Diese Rolle dient ausschließlich dem Speichern von Postfächern und öffentlichen Ordnern.

3 4 5 6

Diese Rolle kann auch auf einem einzelnen Exchange Server zusammen mit der Hub-Transport-, Client-Access- und Unified Messaging-Rolle installiert werden. Allerdings ist diese Rolle als einzige clusterfähig, alle anderen Rollen müssen durch Loadbalancing oder andere Absicherungsmethoden vor Ausfall geschützt werden. Exchange Server 2007 unterstützt mit der Single Copy Cluster(SCC)-Funktion einen Cluster für Postfachspeicher in einer Active-Passive-Clusterumgebung auf die gleiche Weise wie bereits die Vorgänger. Mit der Cluster Continuous Replication(CCR)Funktion wird die bereits hochverfügbare Lösung Local Continuous Replication (LCR, siehe Kapitel 6) auf Cluster angepasst. In diesem Kapitel gehe ich daher ausführlich auf den Aufbau eines Clusters mit Windows Server 2003 R2 ein. Auf Basis dieses Clusters lernen Sie anschließend die Installation und Verwaltung eines Single Copy Clusters (SCC) sowie der Cluster Continous Replication (CCR) von Exchange Server 2007 kennen.

7 8 9 10 11

Um einen Exchange-Cluster aufzubauen, benötigen Sie Windows Server 2003 Enterprise Edition als Betriebssystem und Exchange Server 2007 Enterprise Edition als Exchange-Version. Die Clusterunterstützung ist auch in Exchange Server 2007 ausschließlich der Enterprise Edition vorbehalten, Exchange Server 2007 Standard Edition unterstützt keine Clusterkonfiguration, aber die LCR. Innerhalb eines Clusters können Sie die Funktion der fortlaufenden Datensicherung (Local Continous Replication, LCR) von Exchange Server 2007 dazu verwenden, einen Cluster zu installieren, der über keinen gemeinsamen Datenspeicher verfügt. Sie können zum Beispiel die Replikatsdatenbank von LCR auf den passiven Knoten des Clusters in Echtzeit replizieren lassen. Fällt der aktive Knoten aus, kann der passive Knoten gestartet werden und stellt die replizierte Datenbank nahezu in Echtzeit und ohne Datenverlust zur Verfügung. Dadurch wird die Datensicherung deutlich ausgeweitet, und die Kosten für Hochverfügbarkeit werden reduziert.

12 13

14 15

817


Abbildung 14.2: Schematische Darstellung eines Clusters

14.1.2

Cluster mit Windows Server 2003 R2

Windows Server 2003 Enterprise Edition unterstützt bis zu acht Knoten gleichzeitig in einem Cluster. Unter Windows 2000 Advanced Server wurden dagegen nur zwei Knoten unterstützt. Die Ausfallsicherheit wurde deutlich erhöht. Der Clusterdienst wird unter Windows Server 2003 bereits bei der Installation mit installiert, er muss nur noch konfiguriert werden. Wollen Sie einen Cluster einsetzen, sollten Sie sich zuvor bei Microsoft oder Ihrem Lieferanten vergewissern, dass die Hardware in der Microsoft Hardware Compatibility List (HCL) für Cluster aufgeführt ist. Setzen Sie Hardware ein, die nicht auf der HCL für Cluster steht, erhalten Sie keinerlei Support von Microsoft, und eine stabile Funktion kann nicht garantiert werden.

818


Integration eines Clusters in das Active Directory Ein Cluster unter Windows Server 2003 wird in das Active Directory integriert. Bei der Erstellung eines Clusters werden die virtuellen Server als Computerobjekt in das Active Directory aufgenommen und können von Benutzern wie ein normaler Server angesprochen werden. Dadurch werden zwar keine Gruppenrichtlinien für die virtuellen Server unterstützt, Benutzer können aber mit Kerberos und Sitzungsschlüsseln deutlich sicherer arbeiten. Diese Form der Authentifizierung erlaubt es Benutzern, sich gegenüber einem Server ohne ein Kennwort zu authentifizieren. Anstelle eines Kennworts weisen Sie sich über ein Ticket aus, das Ihnen den Zugriff auf den Server erlaubt. Dies steht im Gegensatz zur NTLM-Authentifizierung, wie sie für den Clusterdienst unter Windows 2000 genutzt wird, der einen über das Passwort des Benutzers gebildeten Hashwert über das Netzwerk sendet.

1 2 3

Wie funktioniert Kerberos? Bei Kerberos werden die Identität des Benutzers und die Identität des authentifizierenden Servers festgestellt. Kerberos arbeitet mit einem sogenannten Ticket-System, um Benutzer zu authentifizieren. Kennwörter werden in einem Active Directory niemals über das Netzwerk übertragen.

4

Damit sich ein Benutzer an einem Server authentifizieren kann, um zum Beispiel auf sein Postfach zuzugreifen, wird ausschließlich mit verschlüsselten Tickets gearbeitet. Ein wesentlicher Bestandteil der Kerberos-Authentifizierung ist das Schlüsselverteilungscenter (Key Distribution Center, KDC). Dieser Dienst wird auf allen Windows Server 2003-Domänencontrollern ausgeführt und ist für die Ausstellung der Authentifizierungstickets zuständig. Der zuständige Kerberos-Client läuft auf allen Windows 2000-, XP- und Vista-Arbeitsstationen.

6

5

7 8

Meldet sich ein Benutzer an einer Arbeitsstation im Active Directory an, muss er sich zunächst an einem Domänencontroller und dem dazugehörigen KDC authentifizieren. Im nächsten Schritt erhält der Client ein ticketgenehmigendes Ticket (TGT) vom KDC ausgestellt. Hat der Client dieses TGT erhalten, fordert er beim KDC mithilfe dieses TGT ein Ticket für den Zugriff auf den Dateiserver an. Diese Authentifizierung führt der ticketgenehmigende Dienst (Ticket Granting Service, TGS) auf dem KDC aus. Nach der erfolgreichen Authentifizierung des TGT durch den TGS stellt dieser ein Dienstticket aus und übergibt dieses Ticket an den Client. Dieses Dienstticket gibt der Client an den Server weiter, auf den er zugreifen will, in diesem Beispiel den Mailbox-Server.

9 10 11

Durch dieses Ticket kann der Server sicher sein, dass sich kein gefälschter Benutzer mit einem gefälschten Benutzernamen anmeldet. Durch das Dienstticket werden sowohl der authentifizierende Domänencontroller als auch der Benutzer authentifiziert. Den genauen Ablauf dieses Verfahrens habe ich Ihnen in der Abbildung 14.3 skizziert. Sollten Probleme mit dem Schlüsselverteilungscenter oder Kerberos im Allgemeinen auftreten, besteht unter Umständen noch ein Problem bei der KerberosAuthentifizierung. In diesem Fall wird normalerweise allerdings eine entsprechende Fehlermeldung bei dcdiag.exe oder netdiag.exe angezeigt, die auf Probleme mit LDAP oder Kerberos hinweist (siehe auch Kapitel 16). Kerberos ist für die Anmeldung in Active Directory von existenzieller Wichtigkeit.

12 13

14 15

819


Abbildung 14.3: Kerberos-Authentifizierungsmechanismus in Active Directory

Verbessertes Failover für Cluster unter Windows Server 2003 Verliert ein Knoten unter Windows 2000 als Besitzer des Quorums alle Netzwerkschnittstellen, das heißt sowohl die öffentlichen als auch den Heartbeat, behält er trotzdem die Kontrolle über den Cluster, auch wenn die anderen Knoten weder mit ihm kommunizieren können noch funktionierende öffentliche Schnittstellen haben. Unter Windows Server 2003 wird nun der Status der öffentlichen Schnittstellen berücksichtigt, bevor über die Kontrolle des Clusters entschieden wird. Geht die Netzwerkverbindung verloren, wird beim Einsatz des Clusterdienstes der TCP/IPStack nicht aus dem Speicher entfernt, wie es unter Windows 2000 standardmäßig eingestellt ist. Es besteht damit nicht mehr die Notwendigkeit, den Registry-Schlüssel DisableDHCPMediaSense zu setzen. Durch das Entfernen des TCP/IP-Stacks aus dem Speicher bei Windows 2000-Clustern wurden alle Ressourcen, die von bestimmten IP-Adressen abhingen, offline genommen. Durch das standardmäßige Deaktivieren der Medienerkennung wird die Netzwerkrolle beibehalten, und alle Ressourcen, die von IP-Adressen abhängig sind, bleiben online. Multicast-Heartbeats sind zwischen Knoten eines Serverclusters erlaubt. MulticastHeartbeats sind automatisch ausgewählt, wenn der Cluster groß genug ist und die Netzwerkinfrastruktur Multicast zwischen den Clusterknoten unterstützen kann. Auch wenn die Multicast-Parameter manuell gesteuert werden können, muss zur Konfiguration dieser Funktion kein Eingriff durch den Administrator erfolgen. Schlägt eine Multicast-Kommunikation aus irgendeinem Grund fehl, wird die interne Kommunikation auf Unicast zurückgesetzt. Die gesamte interne Kommunikation ist signiert und sicher. Die Vorteile sind verminderter Netzwerkverkehr. Durch den Einsatz von Multicast wird die Menge des Netzwerkverkehrs innerhalb eines Clustersubnetzes reduziert. Das kann bei Clustern vorteilhaft sein, die mehr als zwei Knoten umfassen, oder bei geografisch verteilten Clustern.

820


Verbessertes Backup eines Windows Server 2003-Clusters Sie können die Konfiguration eines lokalen Knotens oder die Konfiguration aller Knoten im Cluster wiederherstellen. Die Wiederherstellung eines Knotens ist auch als Teil der automatischen Systemwiederherstellung (Automated System Recovery, ASR) möglich. Das Windows Server 2003-Datensicherungsprogramm wurde so erweitert, dass es eine nahtlose Backup-Sicherung der lokalen Clusterdatenbank ermöglicht. Außerdem kann es die Konfiguration lokal oder für alle Knoten eines Clusters wiederherstellen.

1 2

Sie können mit dem Windows-Datensicherungsprogramm eine ASR-Sicherung durchführen. Bei dieser Sicherung werden alle relevanten Betriebssystemkomponenten gesichert. Starten Sie von der Windows Server-CD das Installationsprogramm, können Sie mit (F2) diese Sicherung zur Wiederherstellung verwenden. ASR kann in vielen Fällen einen Cluster vollständig wiederherstellen: ■ ■ ■ ■

3 4

beschädigte oder fehlende Systemdateien vollständige Neuinstallation des Betriebssystems wegen eines Hardwarefehlers eine beschädigte Clusterdatenbank veränderte Festplattensignaturen (auch für gemeinsame Datenträger)

5 6

Diagnose eines Clusters Im Resource Kit von Windows Server 2003 steht ein neues Diagnoseprogramm, ClusDiag, zur Verfügung. Dieses Tool bietet folgende Möglichkeiten: ■ ■

7

Auslesen und Vergleichen der Clusterprotokolle aller Knoten. Damit lässt sich eine Fehlerbehebung im Clusterumfeld zielgerichteter durchführen. Durchführung von Belastungstests auf Ihren Servern, Speichermedien und auf der Clusterinfrastruktur. Clusdiag eignet sich dadurch als Testprogramm für einen Cluster, bevor er produktiv eingesetzt wird.

14.1.3

8 9

Vorbereitungen für die Clusterinstallation 10

Bevor Sie einen Windows Server 2003-Cluster installieren können, müssen Sie einige Vorbereitungen treffen. Diese Vorbereitungen gehe ich im folgenden Abschnitt durch.

11 Clustertaugliche Hardware Dazu gehört zunächst die Beschaffung von passender Hardware für Ihren Cluster. Diese Hardware sollte, wie bereits erwähnt, Bestandteil der HCL für Cluster sein. Das System sollte mindestens folgende Komponenten beinhalten:

12

■

13

■

■

Jeder der Knoten benötigt einen eigenen Controller für die Datenträger des Betriebssystems, am besten mit RAID 1 zur Absicherung der lokalen Servereinstellungen. Jeder Knoten benötigt einen clusterfähigen Adapter, der an den gemeinsamen Datenträger angeschlossen ist, auf den alle Knoten zugreifen können, zumindest dann, wenn Sie einen Cluster mit gemeinsamem Datenträger aufbauen wollen und nicht Cluster Continuous Replication (CCR) verwenden, um Transaktionsprotokolle zwischen Clusterknoten zu replizieren. Sie benötigen für einen Cluster einen gemeinsamen Datenträger, ein SAN oder einen SCSI-Festplattenturm, an den beide Knoten angeschlossen werden können, sowie passende Kabel für den Anschluss. An diesen gemeinsamen Daten-

14 15

821


■

träger muss jeder Knoten angeschlossen werden, zumindest dann, wenn Sie einen Cluster mit gemeinsamem Datenträger aufbauen wollen und nicht Cluster Continuous Replication (CCR) verwenden, um Transaktionsprotokolle zwischen Clusterknoten zu replizieren. In jedem Knoten sollten zwei Netzwerkkarten eingebaut werden. Eine Karte dient zur Kommunikation der Knoten untereinander (Heartbeat genannt), die zweite dient zur Kommunikation mit den Benutzern. Idealerweise sollten die Knoten noch eine dritte Netzwerkkarte haben, die für die Kommunikation der Knoten untereinander und die Kommunikation der Benutzer zur Ausfallsicherheit dient. So ist sichergestellt, dass der Cluster auch dann weiter funktioniert, wenn eine Netzwerkkarte ausfällt. Die Netzwerkkarten auf allen Knoten sollten identisch sein.

Clustertaugliche Software Zusätzlich zu der Hardware benötigen Sie noch die passende Software für den Aufbau des Clusters: ■ ■ ■

Windows Server 2003 Enterprise Edition (mit SP1 oder R2) Exchange Server 2007 Enterprise Edition Clusterfähige Produkte für Datensicherung und Virenschutz

Planung eines Clusters Außer diesen Vorbereitungen müssen Sie einige Einstellungen in Ihrem Netzwerk und dem Active Directory vornehmen. Sie benötigen zum Beispiel mehrere Servernamen für den Cluster und mehrere IP-Adressen in verschiedenen Subnets: ■

■

■

■

■

822

Legen Sie zunächst einen Namen für den Cluster als Ganzes fest. Dieser Name erhält kein Computerkonto, wird aber für die Administration des Clusters verwendet. Sie sollten einen Namen wählen, aus dem schnell deutlich wird, um was es sich handelt, zum Beispiel EXCLUSTER. Jeder physikalische Knoten des Clusters erhält ein Computerkonto in derselben Domäne. Daher benötigt jeder physikalische Knoten einen entsprechenden Rechnernamen, zum Beispiel VCN1 und VCN2. Die beiden Server werden später als Mitgliedsserver in die Domäne aufgenommen. Des Weiteren benötigen die virtuellen Exchange Server, die auf dem Cluster laufen, ebenfalls einen Namen. Erstellen Sie nur einen virtuellen Server, benötigen Sie natürlich nur einen Namen für den virtuellen Server. Diese virtuellen Server erhalten kein Computerkonto, sind in der Exchange-Konfiguration aber unter dem Namen zu finden, den Sie bei der Installation auswählen. Aus dem Namen sollte schnell ersichtlich sein, dass es sich um virtuelle Exchange Server handelt. Wählen Sie zum Beispiel EXV1. Anwender verwenden auch diesen Namen für den Zugriff auf Exchange. Sie benötigen für den Cluster mehrere IP-Adressen. Jeder physikalische Knoten benötigt je eine IP-Adresse, der Cluster als Ganzes erhält eine IP-Adresse, jeder virtuelle Exchange Server und die Netzwerkkarten für die private Kommunikation des Clusters erhalten je eine in einem getrennten Subnetz (wichtig!). Legen Sie für die Konfiguration des Clusters und von Exchange am besten ein neues Benutzerkonto in der Domäne an. Für die Installation des Clusters muss dieses Konto in der Gruppe der Domänen-Admins Mitglied sein.


Gemeinsamer Datenträger eines Clusters Der gemeinsame Datenträger ist später das Herz des Single Copy Clusters, da auf ihm sowohl die Daten aller Benutzer als auch die Konfiguration des Clusters im Quorum gespeichert ist.

1

Alle gemeinsamen Datenträger müssen an alle Knoten angeschlossen sein und auch von ihnen erreicht werden können, wenn Sie einen Single Copy Cluster aufbauen und nicht Cluster Continuous Replication (CCR) verwenden, um Transaktionsprotokolle zwischen Clusterknoten zu replizieren.

2

14.1.4

3

Installation eines Clusters

Für einen Cluster werden mindestens zwei Server benötigt. Jeder physikalische Server, der an einem Cluster teilnimmt, wird als Clusterknoten bezeichnet. Zunächst müssen Sie die notwendige Hardware miteinander verkabeln. Im Anschluss zeige ich Ihnen, wie Sie mit virtuellen Hilfsmitteln einen Testcluster aufbauen können, um sich mit dem Thema beschäftigen zu können.

4 5

Ich gehe auf den folgenden Seiten von der Installation eines Clusters mit zwei Knoten aus. Wollen Sie mehrere Knoten installieren, entsprechen die Schritte für weitere Knoten den Schritten des zweiten Knotens.

6

Installation des Betriebssystems auf den Cluster-Knoten

7

Installieren Sie zunächst auf den beiden Knoten Windows Server 2003 Enterprise Edition, am besten die R2-Version, und konfigurieren Sie diese zudem für Zugriff auf den Remote Desktop, damit Sie remote auf den Server zugreifen können. Bei der Installation des Betriebssystems müssen Sie keine Besonderheiten beachten.

8

Bei der Standardinstallation wird der Clusterdienst sofort mit installiert. Dieser muss nicht, wie bei Windows 2000 Advanced Server, nachträglich ausgewählt werden.

9

Konfiguration Netzwerk auf Clusterknoten 10

Haben Sie das Betriebssystem auf dem Server installiert, können Sie die IP-Einstellungen für die beiden Knoten vornehmen. Eine Netzwerkkarte dient dabei der Kommunikation der Server mit dem normalen Netzwerk und den anderen Exchange Servern und sollte deshalb von den Arbeitsstationen und den Servern in Ihrem Netzwerk erreichbar sein.

11

Die andere Netzwerkkarte dient nur zur Kommunikation der Knoten untereinander. Clusterknoten unterhalten sich über diese private Schnittstelle und stellen fest, ob der jeweils andere Knoten noch online ist. Diese Überprüfung wird im Allgemeinen als Heartbeat bezeichnet. Benennen Sie nach der Konfiguration der Netzwerkkarte die Verbindungen um, sodass sofort ersichtlich ist, um welche es sich handelt.

12 13

Ich verwende dazu oft die beiden Bezeichnungen private und public. Sie sollten für die beiden Karten zudem die Option aktivieren, dass die Verbindung in der Taskleiste angezeigt wird. Dadurch haben Sie bei der Administration des Clusters immer schnell einen Überblick über die Netzwerkverbindungen. Haben Sie auf beiden Knoten die Netzwerkkarten konfiguriert, sollten Sie die Verbindung zwischen den Knoten und die Verbindung zwischen den Knoten und Ihrem Firmennetzwerk testen.

14 15

823


Konfiguration gemeinsamer Datenträger Als Nächstes sollten Sie die Partitionen des gemeinsamen Datenträgers auf allen Knoten nacheinander einrichten. Einen gemeinsamen Datenträger benötigen Sie nur beim Single Copy Cluster. Wählen Sie identische Laufwerksbuchstaben auf allen Knoten. Legen Sie auch den Quorum-Datenträger an. Das Quorum ist sozusagen das Herz Ihres Clusters, da alle Informationen bezüglich des Clusters dort gespeichert sind. Das Quorum ist nicht sehr groß, Sie sollten ihm dennoch ca. 500 MByte Platz gewähren. Legen Sie dazu einen eigenen Datenträger an, und formatieren Sie ihn mit NTFS. Überprüfen Sie, ob Sie auf allen Knoten Dateien auf den gemeinsamen Datenträger kopieren können und ob auf das Quorum zugegriffen werden kann. Die Konfiguration eines Clusters ist genau identisch mit der Konfiguration auf Basis der virtuellen Cluster, die ich auf den folgenden Seiten genauer beschreibe. In einer Testumgebung können Sie Quorum und Exchange-Datenbank auf dem gleichen gemeinsamen Datenträger ablegen. In einer produktiven Umgebung sollten Sie aber möglichst zwei getrennte gemeinsame Datenträger verwenden (nicht zwei Partitionen des gleichen).

14.2

Testcluster mit Exchange Server 2007 unter Microsoft Virtual Server 2005 R2

Sie können mit dem kostenlos verfügbaren Microsoft Virtual Server 2005 R2 einen Cluster auf einem Test-PC aufbauen und benötigen dazu lediglich einen PC oder einen Server mit etwa 1–2 GB RAM. Auf den nachfolgenden Seiten zeige ich Ihnen, wie Sie einen solchen Cluster installieren können. Der Aufbau eines Clusters mit physikalischen Maschinen ist damit weitgehend identisch, natürlich mit dem Unterschied, dass Sie die Konfigurationen im Virtual Server nicht durchführen müssen. Sie können sich anhand dieser Installation ein Bild über die Installation und Verwaltung eines Clusters machen. Ich baue dafür auf die bereits beschriebene Testumgebung in Kapitel 2 auf und verwende exakt den dort beschriebenen Weg. Um einen Test-Cluster aufzubauen, sind zusätzlich weitere Maßnahmen notwendig, die ich auf den folgenden Seiten ausführlicher beschreibe. Viele diese Maßnahmen werden generell auch bei normalen virtuellen Servern benötigt, die Sie mit Virtual Server 2005 R2 betreiben können.

14.2.1

Vorbereitung mit Microsoft Virtual Server 2005 R2

Bevor Sie einen Cluster mit Virtual Server 2005 R2 installieren können, müssen Sie zunächst die Testumgebung so aufbauen, wie in Kapitel 2 beschrieben. Die beiden Clusterknoten in diesem Testcluster sind zwei weitere Testserver, die Sie als differenzierende virtuelle Festplatte erstellen. Im weiteren Verlauf erweitern Sie die Testumgebung um weitere Bereiche, die ich im folgenden Abschnitt ausführlicher bespreche.

Vorbereitung des Clusternetzwerkes Zunächst müssen Sie die beiden virtuellen Netzwerkkarten für den Cluster erstellen. Ein Cluster hat eine Netzwerkkarte für die Kommunikation mit dem Netzwerk und den Anwendern und eine zweite Netzwerkkarte, die für die interne Kommunikation zuständig ist:

824


1.

2.

3.

Die interne Kommunikation zwischen den Clusterknoten wird Heartbeat genannt. Dadurch können die einzelnen Clusterknoten gegenseitig feststellen, ob alle Knoten noch laufen oder ein Failover stattfinden muss. Starten Sie zunächst die Verwaltungswebseite des Virtual Servers. Klicken Sie dann im linken Bereich unter Virtuelle Netzwerke auf Erstellen. Geben Sie dem Netzwerk die Bezeichnung Private. Dieses Netzwerk dient später der internen Clusterkommunikation. Auch später, in einem produktiven Cluster, sollten Sie die LAN-Verbindung, die für den Heartbeat zuständig ist, in Private umbenennen. Wählen Sie bei Netzwerkadapter Keine (nur Gäste) aus, und geben Sie eine Beschreibung ein. Klicken Sie auf OK, wird der Adapter erstellt (siehe Abbildung 14.4)

1 2 3

Abbildung 14.4: Erstellen des Heartbeat-Netzwerkes für Clusterknoten

4 5 6 7 8 9 10 11

Für jeden Adapter, den Sie innerhalb des Virtual Servers erstellen, wird eine VNCDatei erzeugt. Haben Sie bei der Konfiguration eines Adapters einen Fehler gemacht, können Sie den Adapter auf der Verwaltungswebseite wieder entfernen. Alternativ löschen Sie die VNC-Datei im Verzeichnis.

12 TIPP

13

Bei einem produktiven Cluster sollten Sie in allen Knoten mindestens zwei Netzwerkkarten einbauen lassen, besser drei, um die Ausfallsicherheit zu erhöhen.

14

Erstellen des gemeinsamen Datenträgers für das Quorum 15

Der nächste wichtige Schritt besteht in der Konfiguration des gemeinsamen Datenträgers für das Quorum des Clusters. Das Quorum enthält später die Konfigurationsdateien des Clusters und wird dem aktiven Knoten zugewiesen. Das Quorum liegt in einem Verzeichnis auf einem Datenträger, auf den alle Clusterknoten zugreifen können müssen. Das Quorum ist sozusagen das Herz des Clusters. 825


Daher wird im nächsten Schritt der spezielle Datenträger konfiguriert, in dem später das Quorum gespeichert wird:

1.

2.

Klicken Sie auf der Verwaltungswebseite im Bereich Virtuelle Festplatten auf Erstellen, und wählen Sie Virtuelle Festplatte mit fester Größe aus (siehe Abbildung 14.5). Legen Sie bei Pfad den Pfad zum Verzeichnis der Festplatten fest, die Sie in den Suchpfaden des Virtual Servers in der Testumgebung in Kapitel 2 festgelegt haben, und geben der Festplattendatei die Bezeichnung shared. Legen Sie die Größe der Festplatte auf 8–16 GB fest.

Abbildung 14.5: Erstellen einer virtuellen Festplatte mit fester Größe

14.2.2

Erstellen und konfigurieren der Clusterknoten in Virtual Server 2005 R2

Wie bei der Erstellung der anderen Testserver in der Testumgebung müssen Sie zunächst die System-Festplatte des virtuellen Clusterknotens erstellen. Gehen Sie dabei folgendermaßen vor:

1.

2. 3.

4. 5.

826

Der erste Schritt besteht darin, dass Sie mithilfe des Menüs Virtuelle Festplatten auf der Hauptseite der Verwaltungswebsite des Virtual Servers eine neue Festplatte erstellen lassen. Klicken Sie dazu auf Erstellen. Wählen Sie aus dem Menü den Punkt Differenzierende virtuelle Festplatte aus. Wählen Sie den Speicherort der neuen Festplatte aus. Verwenden Sie das gleiche Verzeichnis, das Sie auch für die anderen Datenträger Ihrer restlichen Testserver verwendet haben. Geben Sie dem neuen Datenträger die Bezeichnung cn01 (clusternode1). Wählen Sie im Menü Bekannte virtuelle Festplatten die von Ihnen erstellte QuellVM.vhd aus. Aus dieser Platte erstellt der Assistent im Anschluss den neuen Datenträger des Clusterknotens.


Erstellen eines neuen virtuellen Servers als Clusterknoten Im Anschluss wählen Sie aus dem Hauptmenü im Bereich Virtuelle Computer wieder Erstellen und geben die notwendigen Angaben ein, um einen neuen virtuellen Server zu erstellen. Dieser neue virtuelle Server wird der erste Clusterknoten für die Clusterumgebung.

1. 2. 3. 4. 5.

6. 7. 8. 9.

10. 11. 12. 13.

1

Geben Sie als Namen den Pfad zu der virtuellen Festplatte ein, und hängen Sie die Bezeichnung cn01.vmc an. Weisen Sie dem Server mindestens 256 MB Arbeitsspeicher zu, besser 512 MB bis 1 GB. Aktivieren Sie die Option Eine vorhandene virtuelle Festplatte verwenden. Wählen Sie Pfad und Datei der oben erstellten virtuellen Festplatte cn01.vhd für den Clusterknoten aus. Wählen Sie als Nächstes für das Netzwerk den Anschluss LAN aus (der Netzwerkanschluss, der mit anderen Clients kommunizieren kann), und lassen Sie die Maschine erstellen. Klicken Sie doppelt auf die Vorschau des Servers, und lassen Sie den Server starten. Vervollständigen Sie die Eingaben wie Gebietsschema und Seriennummer. Ändern Sie den Namen des Servers auf cn01. Ändern Sie die IP-Konfiguration der öffentlichen Verbindung so ab, dass der Server eine statische IP-Adresse erhält im gleichen Subnetz wie der virtuelle Domänencontroller. Setzen Sie die IP-Adresse des DNS-Servers auf die IP-Adresse des Domänencontrollers, da der Clusterknoten Mitglied des Active Directory wird. Melden Sie sich lokal am Server an. Installieren Sie die Virtual Machine Additions, und passen Sie die Auflösung an. Nehmen Sie den Server in die virtuelle Domäne mit auf, und starten Sie ihn neu. Melden Sie sich als Domänenadministrator an der Maschine an.

2 3 4 5 6 7 8 9

Erstellen des zweiten Clusterknotens

10

Fahren Sie den ersten Clusterknoten herunter, und schalten Sie ihn aus. Erstellen Sie den zweiten Clusterknoten genauso wie den ersten Knoten:

1. 2. 3. 4.

5.

11

Erstellen der virtuellen Festplatte cn02. Erstellen des virtuellen Servers cn02. Abschluss der Konfiguration, die genau gleich abläuft wie beim cn01. Haben Sie beide Clusterknoten in der Domäne aufgenommen und sich an beiden mit dem Domänenadministrator angemeldet, sind Sie mit der Konfiguration der beiden Server an dieser Stelle fertig. Fahren Sie beide Clusterknoten herunter, und stellen Sie sicher, dass beide ausgeschaltet sind.

12 13

14

Konfiguration des ersten Clusterknotens Haben Sie beide Clusterknoten vorkonfiguriert, verfeinern Sie im nächsten Abschnitt die Konfiguration, sodass der Cluster mit den beiden Knoten aufgebaut werden kann. Gehen Sie dazu folgendermaßen vor:

15

827


1.

2.

Wählen Sie im Hauptmenü der Verwaltungswebseite im Bereich Virtuelle Computer den Menüpunkt Konfigurieren, und wählen Sie den ersten Clusterknoten cn01 aus. Es wird die Konfiguration des Servers angezeigt. Klicken Sie in der Konfiguration des virtuellen Servers auf den Link SCSI-Adapter (siehe Abbildung 14.6).

Abbildung 14.6: Bearbeiten der Konfiguration eines virtuellen Clusterknotens

3. Es öffnet sich ein neues Fenster. Klicken Sie auf die Schaltfläche SCSI-Adapter hinzufügen >>.

4. Aktivieren Sie auf dem nächsten Fenster die Option SCSI-Bus für Cluster freigeben. Belassen Sie die Option SCSI-Adapterkennung auf 7 (siehe Abbildung 14.7). Abbildung 14.7: Konfiguration des virtuellen SCSIAdapters für die Clusterunterstützung

5. Klicken Sie auf OK. Sie können an dieser Stelle dieses Fenster wieder verlassen. In der Konfiguration des Clusterknotens wird der neue SCSI-Bus angezeigt.

6. Klicken Sie als Nächstes auf den Link Netzwerkadapter. Es öffnet sich ein neues Fenster, über das Sie einen neuen Netzwerkadapter hinzufügen können (siehe Abbildung 14.8). 7. Klicken Sie auf Netzwerkadapter hinzufügen >>. 8. Wählen Sie an dieser Stelle unter Verbunden mit: den erstellten LAN-Anschluss private für den Heartbeat des Clusters aus. 9. Klicken Sie anschließend auf OK. In der Konfiguration des ersten Clusterknotens wird diese neue Hardware angezeigt.

828


Abbildung 14.8: Konfiguration des virtuellen Netzwerkadapters für die Clusterunterstützung

1 2 3

Konfiguration des zweiten Clusterknotens Führen Sie beim zweiten Clusterknoten exakt die gleichen Schritte aus. Der einzige Unterschied in der Konfiguration ist, dass Sie beim Hinzufügen des SCSI-Adapters dem neuen Adapter die ID 6 geben müssen.

14.2.3

4 5

Windows-Konfiguration eines Clusterknotens

Haben Sie die virtuelle Hardware der Clusterknoten konfiguriert, führen Sie als Nächstes Konfigurationen unter Windows durch. Diese Maßnahmen müssen Sie auch bei der Installation eines richtigen Clusters auf physikalischer Hardware durchführen.

6 7

Netzwerkkonfiguration auf dem ersten Clusterknoten Starten Sie den ersten Clusterknoten cn01, und melden Sie sich mit einem Domänenadmin-Konto an. Gehen Sie in die Netzwerkumgebung. Da Sie eine neue Netzwerkkarte hinzugefügt haben, wird in der Netzwerkverbindung diese neue LAN-Verbindung angezeigt. Insgesamt finden Sie auf jedem Clusterknoten zwei Netzwerkkarten.

8 9

Konfiguration des Heartbeats auf dem ersten Clusterknoten Die neue LAN-Verbindung 2 dient zur privaten Kommunikation der beiden Clusterknoten, dem Heartbeat. Benennen Sie daher am besten die LAN-Verbindung mit dem öffentlichen Netz in public um, die neu erstellte in private. Diese Vorgehensweise ist der Standard bei Clusterinstallationen. Dadurch können Sie bei der späteren Kommunikation oder Fehlersuche sofort erkennen. um welches Netzwerk es sich handelt. Konfigurieren Sie die Netzwerkverbindungen wie folgt beschrieben:

1.

2.

10 11

Konfigurieren Sie die Netzwerkeigenschaften der privaten Verbindung. Geben Sie dieser Verbindung zum Beispiel die IP-Adresse 192.168.100.1 und eine Subnetzmaske in einem vom öffentlichen Netzwerk getrennten Bereich. Das private Netzwerk eines Clusters sollte möglichst immer in einem eigenen Subnetz liegen, um störende Einflüsse anderer Teilnehmer am Netzwerk auszuschließen. Lassen Sie das Feld Standardgateway und DNS Server leer. Diese beiden Optionen werden beim Heartbeat auch bei der produktiven Umgebung nicht benötigt. Wichtig ist an dieser Stelle nur, dass die privaten Netzwerkkarten der beiden Clusterknoten sich untereinander auf IP-Basis unterhalten können. Klicken Sie danach auf Erweitert. Gehen Sie auf die Registerkarte DNS, und stellen Sie sicher, dass die beiden Optionen ganz unten Adressen dieser Verbindung in DNS registrieren und DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden deaktiviert sind, da DNS-Auflösung für ein Heartbeat-Netzwerk eher stört, als die Funktionssicherheit zu erhöhen.

12 13

14 15

829


3. Gehen Sie danach auf die Registerkarte WINS. Aktivieren Sie die Option NetBIOS 4. 5.

über TCP/IP deaktivieren, da NetBIOS die interne Kommunikation eines Clusters stören kann. Im Anschluss gehen Sie in die Eigenschaften der Netzwerkumgebung mit dem Menü Erweitert in die Erweiterten Einstellungen (siehe Abbildung 14.9). Hier können Sie die Bindungsreihenfolge festlegen. Diese Reihenfolge legt fest, in welcher Reihenfolge Netzwerkpakete über das Netzwerk geschickt werden und welche Verbindung zuerst verwendet wird. Ändern Sie die Reihenfolge so ab, dass die Public-Verbindung ganz oben ist.

Abbildung 14.9: Konfiguration der Bindungsreihenfolge für Netzwerkkarten

Fahren Sie nach diesen Einstellungen den ersten Clusterknoten wieder herunter.

Netzwerkkonfiguration auf dem zweiten Clusterknoten Führen Sie auf dem zweiten Clusterknoten genau die gleichen Aktionen durch. Geben Sie der privaten Verbindung die IP-Adresse 192.168.100.2, und stellen Sie die Bindungsreihenfolge und die anderen Optionen genau identisch zum ersten Knoten ein. Haben Sie die Einstellungen vorgenommen, fahren Sie auch diesen Knoten wieder herunter.

14.2.4 Konfiguration der gemeinsamen Datenträger Der oder die gemeinsamen Datenträger innerhalb eines Clusters haben sehr große Bedeutung. Alle Clusterknoten innerhalb eines Clusters müssen physikalisch auf den gleichen Datenträger zugreifen können, wenn Sie einen Single Copy Cluster aufbauen wollen. Dadurch ist sichergestellt, dass beim Ausfall eines Knotens ein anderer Server auf genau die gleichen Daten zugreifen kann. Der gemeinsame Datenträger eines Clusters ist meistens ein SAN, NAS oder ein RAID 5-System, an das alle Knoten eines Clusters gemeinsam angeschlossen werden. Welcher Knoten auf welchen Datenträger zugreifen darf, bestimmt der Clusterdienst. Der nächste Schritt besteht darin, den gemeinsamen Datenträger des Clusters zu konfigurieren. Auch hier müssen Konfigurationen auf beiden Clusterknoten durchgeführt werden. 830


Konfiguration auf dem ersten Clusterknoten 1. Gehen Sie über die Hauptverwaltungsseite im Virtual Server im Bereich Virtuelle Computer/Konfigurieren, und öffnen Sie die Verwaltungsseite des ersten Clusterknotens (cn01). 2. Klicken Sie im Menü auf Festplatten, um zur Konfiguration der Festplatten für diesen virtuellen Server zu gelangen. 3. Klicken Sie im Menü auf Datenträger hinzufügen >>, und wählen Sie bei Zuordnung die Option SCSI 0 ID 0 aus. 4. Bei Bekannte virtuelle Festplatten wählen Sie den Pfad zur erstellten shared.vhdFestplatte. Klicken Sie danach auf OK.

1 2 3 Abbildung 14.10: Hinzufügen des gemeinsamen Datenträgers

4 5 6 7

Auf einem physikalischen Cluster würden Sie an dieser Stelle den gemeinsamen Datenträger mit dem ersten Knoten verbinden, damit dieser für den Zugriff konfiguriert werden kann.

8

Einbindung der virtuellen Festplatte in Windows Starten Sie den ersten Knoten, und stellen Sie sicher, dass der zweite Knoten nicht eingeschaltet ist. Vor allem bei echter, physikalischer Hardware ist dieser Schritt wichtig, um zu verhindern, dass zwei Server gleichzeitig auf einen Datenträger zugreifen und diesen damit zerstören können.

9 10

Starten Sie die Datenträgerverwaltung, und legen Sie eine neue primäre Partition auf einem Basisdatenträger fest. Weisen Sie der Partition die gesamte Größe des Datenträgers zu, und lassen Sie ihn formatieren (Schnellformatierung reicht).

11

Geben Sie dem Datenträger die Bezeichnung shared. Kopieren Sie auf den Datenträger ein paar Dateien, um zu testen, ob die Datenübertragung fehlerfrei funktioniert. Können Sie ohne Probleme Dateien auf die Festplatte kopieren, sind Sie mit der Konfiguration des ersten Knotens fertig und können ihn herunterfahren.

12

Diese Vorgänge führen Sie auch bei der Installation eines richten Clusters durch, da die Kommunikation mit dem gemeinsamen Datenträger extrem wichtig ist.

13

Konfiguration des zweiten Clusterknotens Führen Sie für den zweiten Clusterknoten exakt die gleichen Schritte aus. Stellen Sie sicher, dass der erste Knoten bei der Konfiguration des zweiten Knotens heruntergefahren wurde, da derzeit noch kein gemeinsamer Zugriff auf den gemeinsamen Datenträger durchgeführt werden soll.

14 15

Legen Sie als Laufwerksbuchstaben für den Datenträger shared genau den gleichen Buchstaben fest wie beim ersten Knoten. Sie müssen bei der Erstellung des Datenträgers in Windows allerdings keine Neuformatierung durchführen, sondern nur einen 831


Laufwerksbuchstaben konfigurieren. Sie sollten die Dateien, die Sie auf dem ersten Knoten auf das Laufwerk kopiert haben, jetzt sehen. Verschieben Sie diese Dateien von dem gemeinsamen Datenträger auf Ihren Desktop im zweiten Knoten, und löschen Sie diese danach, um festzustellen, dass auch hier der Zugriff funktioniert. Funktioniert dieser Vorgang fehlerfrei, kann auch der zweite Knoten fehlerfrei auf den gemeinsamen Datenträger zugreifen. Geben Sie dem gemeinsamen Datenträger auch auf dem zweiten Knoten die Bezeichnung shared. Fahren Sie nach dieser Konfiguration den zweiten Knoten herunter. Ist der zweite Knoten ausgeschaltet, können Sie den ersten Knoten wieder starten.

14.2.5 Konfiguration des Clusterdienstes in Windows Server 2003 R2 Sie müssen zur Erstellung eines Clusters keine zusätzliche Software mehr installieren, sondern nur den Clusterdienst konfigurieren.

Konfiguration des Clusters auf dem ersten Knoten Starten Sie den Assistenten, sollten Ihnen bereits alle Informationen vorliegen, die zur Konfiguration eines Clusters notwendig sind. In einer Testumgebung können diese Entscheidungen auch ad hoc getroffen werden. In einer richtigen Clusterumgebung sollten Sie dagegen sehr gut planen. Gehen Sie zur Konfiguration des Clusters auf dem ersten Knoten folgendermaßen vor:

1. 2. 3. 4.

Abbildung 14.11: Erstellen eines neuen Clusters in der Clusterverwaltung

832

Stellen Sie zunächst sicher, dass der zweite Knoten heruntergefahren und ausgeschaltet ist. Starten Sie den ersten Clusterknoten, und melden Sie sich mit dem Domänenadministrator an der Domäne an. Um einen neuen Cluster zu erstellen, rufen Sie die Clusterverwaltung in der Programmgruppe Verwaltung auf. Wählen Sie aus dem Menü Neuen Cluster erstellen aus. Es öffnet sich das Startfenster des Assistenten zur Erstellung eines neuen Clusters (siehe Abbildung 14.11). Bestätigen Sie die Auswahl mit OK.


5. Im Anschluss startet der Assistent zur Erstellung eines neuen Clusters (siehe Abbildung 14.12). Abbildung 14.12: Erstellen eines neuen Clusters mit dem Cluster-Assistenten in Windows Server 2003 R2

1 2 3 4 5 6 7

6. Mit Weiter kommen Sie auf die nächste Seite des Assistenten. Auf dieser Seite

8

müssen Sie festlegen, in welcher Domäne der Cluster installiert werden und wie der NetBIOS-Name des Clusters lauten soll. Tragen Sie den Namen des Clusters in das entsprechende Feld ein. Der Name des Clusters dient später hauptsächlich zur Verwaltung des Servers, nicht für den Exchange-Zugriff (siehe Abbildung 14.13).

9 Abbildung 14.13: Festlegen der Domäne und der Bezeichnung des Clusters

10 11 12 13

14 15

833


7.

Haben Sie den Namen des Clusters eingegeben, gelangen Sie mit Weiter auf die nächste Seite des Assistenten. Auf der nächsten Seite des Assistenten legen Sie den Namen des Computers fest, der den ersten Knoten des Clusters bildet. Mit diesem ersten Knoten wird die Konfiguration des Servers durchgeführt. Auch auf diesen Namen greifen Benutzer nicht zu. Der erste Knoten ist, wie alle weiteren, ein physikalischer Rechner, der auch über ein Computerkonto in der Domäne verfügen muss. Der virtuelle Name des Clusters, den Sie auf der vorherigen Seite des Assistenten eingegeben haben, ist nur ein virtueller Name. Der physikalische Name des ersten Knotens ist identisch mit dessen Netzwerknamen. Legen Sie bereits vor dem Start des Assistenten den Namen des Knotens fest, damit dieser später als Teil des Clusters erkennbar ist.

Abbildung 14.14: Auswählen des ersten Clusterknotens für den Cluster

8. Haben Sie das entsprechende Computerkonto ausgewählt, gelangen Sie mit Weiter auf die nächste Seite des Assistenten (siehe Abbildung 14.15). Auf der nächsten Seite des Assistenten wird überprüft, ob alle Voraussetzungen für das Erstellen eines Clusters getroffen wurden. Ist die Überprüfung abgeschlossen, erhalten Sie eine detaillierte Anzeige über den Status des Clusters und können eventuell Nachbesserungen durchführen. 9. Mithilfe der Schaltfläche Protokoll anzeigen können Sie die einzelnen Schritte genau überprüfen und nachvollziehen, wie sie durchgeführt worden sind. 10. Nach der Überprüfung sollte vor allen Optionen des Clusters ein Haken stehen. Mit der Schaltfläche Details können Sie die einzelnen Aktionen des Assistenten zur Fehlerbehebung oder Dokumentation genauer nachverfolgen. Die Schaltfläche Erneut überprüfen bewirkt, dass alle Bedingungen nochmals überprüft werden. Sie können Nacharbeiten an der Konfiguration des Servers vornehmen und müssen den Assistenten dazu nicht neu starten.

834


Abbildung 14.15: Erfolgreiche Überprüfung der Clusterkonfiguration

1 2 3 4 5 6 7

11. Auf der nächsten Seite des Assistenten legen Sie die virtuelle IP-Adresse des Clusters fest. Diese IP-Adresse wird zusammen mit dem virtuellen Namen des Clusters im DNS registriert. Verwaltungsprogramme greifen auf diesen Namen und diese IP-Adresse zu, um den Cluster zu verwalten. Die IP-Adresse des Clusters muss eindeutig sein und sich im gleichen Subnetz befinden wie Ihre beiden Clusterknoten (siehe Abbildung 14.16). Hierbei handelt es sich aber nicht um die IP-Adresse des virtuellen Exchange Servers im Cluster, da dieser ebenfalls eine eigene IP-Adresse erhält.

8 9 Abbildung 14.16: Festlegen der IP-Adresse des Clusters

10 11 12 13

14 15

835


12. Auf der nächsten Seite des Assistenten müssen Sie den Benutzernamen festlegen, mit dem der Cluster konfiguriert (siehe Abbildung 14.17) und mit dem der Clusterdienst gestartet wird. In einer produktiven Umgebung müssen Sie den Cluster nicht unbedingt mit einem Domänenadministrator bzw. Schema-Administrator oder Enterprise-Administrator installieren. Da aber später auch für die Installation von Exchange ein Administrator mit mehr Rechten benötigt wird, schadet es nicht, wenn Sie einen neuen Benutzer anlegen und diesem Servicebenutzer alle Administratorrechte geben. Das Kennwort dieses Benutzers sollte sehr kompliziert sein und nur für die Installation oder zur Verwaltung verwendet werden. Haben Sie das Konto ausgewählt, können Sie wieder mit Weiter auf die nächste Seite des Assistenten wechseln. Abbildung 14.17: Festlegen des Clusterdienstkontos

13. Auf der nächsten Seite wird Ihnen eine Zusammenfassung Ihrer Angaben angezeigt. Hier können Sie nochmals das Quorum konfigurieren und das Installationsprotokoll einsehen. Der Assistent zur Clusterverwaltung erkennt automatisch den gemeinsamen Datenträger und konfiguriert diesen als Quorum. Bauen Sie einen Testcluster auf, können Sie Quorum und gemeinsame Daten auf einem Datenträger konfigurieren, in einer produktiven Umgebung sollten Sie jedoch getrennte Datenträger für Quorum und Daten verwenden. Bestätigen Sie das Fenster mit der vorgeschlagenen Clusterkonfiguration mit Weiter, werden vom Assistenten nochmals alle Bedingungen für den Aufbau des Clusters überprüft. Werden die Bedingungen erfüllt, wird der Cluster erstellt. Dies kann je nach Geschwindigkeit Ihres Rechners dauern (siehe Abbildung 14.18).

836


Abbildung 14.18: Zusammenfassung der Clusterkonfiguration und Auswahl des Quorums

1 2 3 4 5 6 7

14. Hat der Assistent den Cluster erstellt, erhalten Sie eine Zusammenfassung, die Sie über die einzelnen Schritte informiert. Nach der erfolgreichen Erstellung des Clusters können Sie den Assistenten beenden und in der Clusterverwaltung die Funktionsfähigkeit des Clusters überprüfen (siehe Abbildung 14.20).

8 Abbildung 14.19: Erstellen eines Clusters

9 10 11 12 13

14 15

837


15. Die Clusterverwaltung sollte keine Fehler melden. Nach dem Abschluss können Sie die einzelnen Menüpunkte des Clusters überprüfen. Der Cluster ist bereits funktionsfähig, und weitere Knoten können diesem Cluster mit dem Assistenten ohne Probleme hinzugefügt werden. Abbildung 14.20: Anzeigen der Clusterkonfiguration in der Clusterverwaltung

Konfiguration des Clusters auf dem zweiten und weiteren Knoten Im nächsten Schritt wird der zweite Knoten dem Cluster hinzugefügt. Lassen Sie den ersten Knoten gestartet, und fahren Sie den zweiten Knoten hoch.

1. Wurde der Knoten hochgefahren, öffnen Sie auch hier die Clusterverwaltung. 2. Wählen Sie die Option Knoten zum Cluster hinzufügen (siehe Abbildung 14.21). 3. Geben Sie den Namen des Clusters ein, den Sie zuvor bei der Erstellung auf dem ersten Knoten festgelegt haben. Abbildung 14.21: Beitreten eines Knotens zu einem Cluster

838


4. Wählen Sie nach dem Startfenster des Cluster-Assistenten den zweiten Knoten aus, und klicken Sie auf Hinzufügen (siehe Abbildung 14.22). Abbildung 14.22: Hinzufügen eines Clusterknotens

1 2 3 4 5 6 7 8

5. Klicken Sie im nächsten Schritt auf Weiter, überprüft der Assistent zunächst, ob eine Aufnahme in den Cluster möglich ist. Auch hier sollten wieder alle Optionen mit einem Haken versehen sein (siehe Abbildung 14.23).

9 Abbildung 14.23: Überprüfen der erfolgreichen Konfiguration des Clusters

10 11 12 13

14 15

839


6. Klicken Sie wiederum auf Weiter, müssen Sie das Kennwort für den Clusterbenutzer eingeben, den Sie bei der Erstellung des Clusters eingegeben haben, den Benutzer selbst können Sie an dieser Stelle nicht mehr ändern. Im Anschluss erhalten Sie eine Zusammenfassung Ihrer Eingaben, danach wird der Knoten dem Cluster hinzugefügt. Bei dieser Testumgebung erhalten Sie unter Umständen eine Warnung, dass die Clusterressource nicht gefunden wurde. Diese Meldung tritt auch bei manchen Produktivumgebungen auf und hat mit der Konfiguration des gemeinsamen Datenträgers zu tun. Der Assistent löst dieses Problem während des Setups. Sie können es daher ignorieren. Wollen Sie sich genauer mit diesem Fehler auseinandersetzen, empfehle ich Ihnen die Lektüre des KB-Artikels Q909668: You receive a 0x00138f Cluster resource not found error message when you try to join a second node to a Windows Server 2003 cluster. Abbildung 14.24: Fehlermeldung beim Hinzufügen eines Clusterknotens

7. Abbildung 14.25: Anzeigen der Knoten in der Clusterverwaltung

840

Ist die Installation abgeschlossen, verfügen Sie über einen voll funktionsfähigen Cluster. Im Anschluss sehen Sie in der Clusterverwaltung beide Knoten.


14.2.6 Nacharbeiten: Überprüfung des Clusters und erste Schritte mit der Clusterverwaltung Im nächsten Schritt sollten Sie sich etwas vertraut darin machen, mit einem Cluster umzugehen. Die zentrale Verwaltungsstelle eines Clusters ist die Clusterverwaltung, mit der Sie neue Cluster erstellen, neue Knoten hinzufügen oder einfach nur den Cluster verwalten.

1 2

Starten Sie die Clusterverwaltung, darf keine Fehlermeldung kommen. Kann der Clusteradministrator fehlerfrei eine Verbindung zum Cluster aufbauen, sehen Sie im Menü einige Optionen, die Ihnen zur Verwaltung des Clusters zur Verfügung stehen.

3

Ich gehe mit Ihnen die einzelnen Optionen durch, bevor wir zu weiterführenden Installationen kommen werden. Klicken Sie den Namen des Clusters in der Clusterverwaltung mit der rechten Maustaste an, können Sie die Eigenschaften des Clusters überprüfen und anpassen (siehe Abbildung 14.26).

4 Abbildung 14.26: Verwalten der Clustereigenschaften

5 6 7 8 9 10 11

In den Eigenschaften können Sie clusterspezifische Einstellungen vornehmen, die alle Knoten betreffen.

12

Auf der Registerkarte Quorum können Sie Einstellungen vornehmen, welche die Logdateien und die Konfigurationsdateien des Clusters auf dem gemeinsamen Datenträger steuern. Auf der Registerkarte Sicherheit können Sie Administratoren Zugriff auf den Cluster gewähren.

13

14

Konfiguration der Netzwerkpriorität im Cluster In Ihrer Produktivumgebung sollten Sie auf jeden Fall die Registerkarte Netzwerkpriorität aufrufen. Zunächst sollten Sie sicherstellen, dass die private Verbindung für die interne Clusterkommunikation ganz oben in der Reihenfolge steht. Meistens verwendet der Cluster nach der Installation die public-Verbindung (siehe Abbildung 14.27).

15

841


Abbildung 14.27: Konfiguration der Clusterpriorität

Über die private Verbindung soll das Heartbeat des Clusters laufen. Haben Sie die Reihenfolge angepasst, sollten Sie die Eigenschaften der beiden Verbindungen konfigurieren. Markieren Sie dazu erst die private-, dann die public-Verbindung, und rufen Sie die Eigenschaften auf. Stellen Sie sicher, dass bei der privaten Verbindung die beiden Optionen Dieses Netzwerk für die Verwendung im Cluster aktivieren und Nur interne Clusterkommunikation (privates Netzwerk) aktiviert sind (siehe Abbildung 14.28). Dadurch ist sichergestellt, dass dem Heartbeat ein privater Kanal im Netzwerk zur Verfügung steht und er nicht durch Benutzeranfragen beeinträchtigt wird. Abbildung 14.28: Konfiguration der privaten Clusterkommunikation

842


Bei den Eigenschaften der public-Verbindung sollten Sie die Option Jede Art von Kommunikation (gemischtes Netzwerk) aktivieren, damit sichergestellt ist, dass die Clusterverbindung intern auf jeden Fall funktioniert, auch wenn eine private Netzwerkkarte ausfällt.

1

Bei einer richtig guten Ausfallsicherheitskonfiguration hat jeder Clusterknoten drei Netzwerkkarten. Eine Karte dient der internen Kommunikation, eine ausschließlich der privaten, und die dritte dient als Ausfallsicherheit und ist für den gemischten Modus aktiviert. Nur dadurch erhalten Sie eine optimale Ausfallsicherheit.

2

Clustergruppen und Failover testen

3

Clustergruppen sind eine Sammlung von Clusterressourcen. Ein Cluster kann aus beliebig vielen Clustergruppen bestehen, die wiederum unterschiedliche Ressourcen beinhalten. Jede Ressource kann nur Bestandteil einer Gruppe sein.

4

Clustergruppen Nach der Erstellung eines Clusters gibt es immer die Gruppe Clustergruppe. Diese Gruppe enthält die Ressourcen Cluster-IP-Adresse, Clusternamen und den gemeinsamen Datenträger des Quorums (siehe Abbildung 14.29).

5

Abbildung 14.29: Anzeigen der Clustergruppe in der Clusterverwaltung

6 7 8 9

Wollen Sie weitere Gruppen erstellen, zum Beispiel für einen Exchange Server, müssen Sie mit der rechten Maustaste auf die Gruppen klicken und Neu/Gruppe wählen. Geben Sie der Gruppe den Namen, den sie im Netzwerk erhalten soll. Bei einem Exchange-Cluster würde Sie an dieser Stelle zum Beispiel eine neue Gruppe vex01 erstellen, die alle notwendigen Clusterressourcen für Exchange enthält. Nach der Installation ist eine Gruppe immer dem ersten Knoten zugewiesen und als Online gekennzeichnet.

10 11 12

Sie können die Gruppe auf den zweiten Knoten verschieben. Klicken Sie dazu die Gruppe mit der rechten Maustaste an, und wählen Sie Gruppe verschieben. Bei einem 2-Knoten-Cluster wird die Gruppe offline gesetzt und automatisch auf dem zweiten Knoten online geschaltet. Während des Verschiebens sind der Cluster und seine Ressourcen für Anwender nicht verfügbar. Sollte der aktive Knoten ausfallen, bemerkt das der zweite Knoten über das Heartbeat und übernimmt die Gruppe automatisch. Dieser Vorgang wird als Failover bezeichnet. Nach kurzer Zeit ist die Gruppe oder sind die Gruppen, wenn es mehrere gibt, auf dem zweiten Knoten wieder online, und die Benutzer können ungestört weiterarbeiten.

13

14 15

Bei schnellen Knoten und einem schnellen SAN dauert dieser Vorgang nur wenige Sekunden. Testen Sie diesen Vorgang, indem Sie die Gruppe manuell verschieben oder einfach den aktiven Knoten durchstarten.

843


Abbildung 14.30: Manuelles Verschieben einer Clustergruppe

Clusterressourcen Clusterressourcen sind immer einer Gruppe zugeordnet. Sie können neue Ressourcen erstellen oder die Eigenschaften einer Ressource konfigurieren. Sie können die Werte der einzelnen Ressourcen jederzeit ändern oder Ressourcen in Abhängigkeit von anderen Ressourcen setzen. Sie können in den Eigenschaften der Clusterressourcen auch festlegen, auf welchen Knoten die Ressource online geschaltet werden darf. Sie sollten sicherstellen, dass für alle Ressourcen Ihres Clusters alle Knoten als mögliche Besitzer aufgelistet sind. Nur so ist sichergestellt, dass alle Knoten sich gegenseitig vor Ausfall schützen können.

14.2.7

Notwendige Patches für die Installation von Exchange Server 2007 auf einem Cluster

Bevor Sie Exchange Server 2007 in einem Cluster installieren, müssen Sie sicherstellen, dass die Voraussetzungen und notwendigen Patches auf dem Server installiert worden sind. Bauen Sie einen Cluster mit Windows Server 2003 SP1 oder R2 auf, haben diese zunächst exakt den gleichen Patchstand. Normalerweise sollten Sie sicherstellen, dass Sie vor der Installation des Clusters über Windows Update oder einem WSUSServer die aktuellsten Patches installieren. Da viele Unternehmen nicht alle Patches installieren können, gehe ich in diesem Abschnitt die Patches durch, die auf jeden Fall auf einem Cluster mit Windows Server 2003 SP1 installiert werden müssen. Nach der Veröffentlichung des Service Packs 2 für Windows Server 2003 werden viele dieser Patches bereits integriert sein. Stellen Sie aber auch in diesem Fall sicher, dass alle Voraussetzungen getroffen worden sind.

Installation der notwendigen Komponenten vor der Installation von Patches Bevor Sie Patches für Komponenten installieren können, müssen Sie zunächst sicherstellen, dass die notwendigen Windows-Komponenten für einen ExchangeCluster installiert worden sind: Stellen Sie sicher, dass vor der Installation von Exchange Server 2007 das .Net-Framework 2.0 sowie die Windows PowerShell 1.0 und die Internetinformationsdienste auf dem Server installiert worden sind. Diese Installation ist identisch mit der Installation auf einem normalen Exchange Server (siehe Kapitel 2 und 4). 844


Installation notwendiger Patches für die Clusterunterstützung von Exchange Server 2007 – Update für .NET Framework 2.0 Im folgenden Abschnitt gehe ich auf die beschriebenen Patches ein, die nach der Installation des Clusters, der beschriebenen Komponenten für die Unterstützung von Exchange Server 2007 und des SP1 für Windows Server 2003 noch gesondert heruntergeladen und installiert werden müssen.

1 2

Zunächst müssen Sie vor der Installation von Exchange Server 2007 auf einem Clusterknoten mit Windows Server 2003 SP1 (auch R2) das Update von der Internetseite http://go.microsoft.com/fwlink/?linkid=74469 installieren. Bei diesem Update handelt es sich um eine 8 MB große Datei, die einige Fehlerbehebungen im .Net Framework 2.0 durchführt (siehe Abbildung 14.31).

3 Abbildung 14.31: Installation eines Pre-SP1-Updates für das .NET Framework 2.0

4 5 6

Laden Sie sich das Hotfix herunter, und führen Sie die Installation durch Doppelklick auf die Datei auf beiden Knoten durch. Nach der Installation ist zunächst kein Neustart erforderlich.

7 8

Allgemeine Hotfixes für Windows Server 2003 SP1 (R2) in einem Cluster Haben Sie die Aktualisierung des .NET Frameworks durchgeführt, müssen Sie noch einige weitere Updates für Windows Server 2003 SP1 installieren, bevor Sie Exchange Server 2007 in einem Cluster installieren können: ■

■

9

http://support.microsoft.com/kb/913446/en – Bei diesem Patch handelt es sich um eine Fehlerbehebung des TCP/IP-Stacks für Windows Server 2003. Wird dieser Patch nicht installiert, könnte ein Angreifer das System zum Absturz bringen. Laden Sie sich den etwa 1 MB großen Patch herunter, und installieren Sie ihn auf Ihrem Server. Achten Sie aber auf die richtige Sprache des Patches, er hat die MSNummer MS06-007. Nach der Installation müssen Sie den Knoten neu starten. http://support.microsoft.com/kb/898790/en – Diesen Patch sollten Sie installieren. Den Download-Link erhalten Sie auf der Seite des KB-Artikels. Der Patch behebt Fehler im Dateisystem von gemeinsamen Datenträgern, die in manchen Fällen auftreten können. Diesen Patch sollten Sie auf jeden Fall installieren. Nach der Installation müssen Sie den Knoten neu starten.

10 11 12 13

Optionale Patches, die im Fehlerfall installiert werden sollten ■ http://support.microsoft.com/kb/913648/en – Update für den Volumenschattenkopiedienst. Dieses Hotfix müssen Sie aber nur installieren, wenn der im KBArtikel beschriebene Fall eintritt. Sie müssen den Hotfix bei Microsoft anfordern. ■ http://support.microsoft.com/kb/923801/en – Dieses Hotfix wird nur benötigt, wenn Sie einen iSCSI-basierten gemeinsamen Datenträger einsetzen. Auch er muss bei Microsoft angefordert werden. Setzen Sie kein iSCSI im gemeinsamen Datenträger ein, müssen Sie diesen Patch nicht installieren.

14 15

845


Was ist iSCSI? iSCSI wird hauptsächlich bei NAS-Systemen eingesetzt. NAS steht für Network Attached Storage. Hierbei handelt es sich um Massenspeichergeräte, die direkt an das Netzwerk angeschlossen sind und mit einem eigenen Betriebssystem ausgestattet werden. Viele Betriebssysteme von NAS-Systemen sind webbasierend und im Gegensatz zu normalen Betriebssystemen deutlich eingeschränkt und nur auf den Einsatz als Dateiserverbetriebssystem optimiert. Ein Beispiel für ein solches Betriebssystem ist der Windows 2003 Storage Server, den es auch als Windows 2003 Storage Server R2 gibt. Durch die Einfachheit des Betriebssystems können NAS-Systeme ohne großen Aufwand schnell ins Netzwerk integriert werden. Meistens sind in NAS-Systemen SCSI-Platten eingebaut, die über ein RAID 5-System angesprochen werden. Ein weiterer Vorteil von NAS-Systemen ist, dass für das Betriebssystem der NAS-Einheit keine Lizenzen und keine CALs gekauft werden müssen, unabhängig von der Anzahl an zugreifenden Benutzern. NAS kann daher eine gute Alternative zu herkömmlichen Servern sein. Da NAS-Systeme direkt an das Netzwerk angebunden werden, belastet der Datenverkehr vom und zum NAS erheblich das Netzwerk. Viele Anwendungen, wie zum Beispiel Exchange Server, haben Probleme damit, wenn sie auf einem Server installiert sind und die dazugehörigen Daten über einen Netzwerkspeicher wie das NAS zur Verfügung gestellt werden. Da die Übertragung im Ethernet aber immer schneller wird und Microsoft Technologien wie den Windows 2003 Storage Server R2 zur Verfügung stellt, tritt dieser Nachteil immer mehr in den Hintergrund. Ein großer Nachteil von NAS-Systemen ist die bereits beschriebene Problematik, dass die Anbindung über das LAN erfolgt. Durch diesen Umstand muss keine eigene Speicherinfrastruktur aufgebaut werden, die zum Beispiel ein SAN benötigt. Manche Anwendungen haben allerdings Probleme damit, wenn der Datenspeicher im Netzwerk wird und mittels IP auf die Daten zugegriffen wird, anstatt den blockbasierten Weg über SCSI oder Fibre Channel zu gehen. Zu diesem Zweck gibt es die iSCSI-Technologie. iSCSI ermöglicht den Zugriff auf NAS-Systeme mit dem bei lokalen Datenträgern üblichen Weg als normales lokales Laufwerk. Die Nachteile der IP-Kommunikation werden kompensiert. iSCSI verpackt dazu die SCSI-Daten in TCP/IP-Pakete. Für den empfangenden Server verhält sich so ein NAS in einem schnellen GigabitNetzwerk wie ein lokales Festplattensystem. ■

■

■

846

http://support.microsoft.com/kb/910929/en – Diesen Patch müssen Sie ebenfalls bei Microsoft anfordern. Allerdings nur, wenn Sie auf dem Clusterserver auch DFS (Distributed File System) einsetzen beziehungsweise in Ihrer Ereignisanzeige der Fehler auftaucht, der in diesem KB-Artikel beschrieben wird. Taucht dieser Fehler nicht auf, können Sie auf die Installation des Patches verzichten. http://support.microsoft.com/kb/909360/en – Dieser Patch behebt einen Fehler im NTFS-Dateisystem, wenn der Server stark belastet wird. Auch diesen Patch müssen Sie erst installieren, wenn der beschriebene Fehler auftaucht. Sie müssen den Patch bei Microsoft anfordern. http://support.microsoft.com/kb/904160/en – Dieser Patch behebt Probleme bei Dateifreigaben auf Clusterknoten. Auch diesen Patch müssen Sie erst installieren, wenn der beschriebene Fehler auftaucht. Sie müssen den Patch bei Microsoft anfordern. Ansonsten ist keine Installation notwendig.


■

■

http://support.microsoft.com/kb/903929/en – Dieser Patch behebt Probleme in der Clusterverwaltungs-Konsole. Stürzt diese öfter bei Ihnen ab, sollten Sie den Patch bei Microsoft anfordern. Ansonsten ist keine Installation notwendig. http://support.microsoft.com/kb/923424/en – Dieser Patch behebt einen Fehler, der durch den Hotfix http://support.microsoft.com/kb/911030/en verursacht wird. Haben Sie den 911030-Hotfix installiert und der beschriebene Fehler des Artikels 923424 taucht bei Ihnen auf, sollten Sie den Hotfix installieren.

1 2

Ressourcenabhängige Patches Neben den beschriebenen notwendigen und optionalen Patches sollten Sie noch, abhängig von Ihren Ressourcen, weitere Patches installieren. Diese beschriebe ich im Folgenden ausführlicher.

3

■

4

■

■

■

http://support.microsoft.com/kb/912593/en – Diesen Patch benötigen Sie beim Einsatz von HP SecurePath auf einem Cluster. Erscheinen in der Ereignisanzeige einige Fehler, die im Artikel beschrieben werden, können Sie einen passenden Patch bei Microsoft anfordern. http://support.microsoft.com/kb/900609/en – Unter manchen Umständen kann die Performance eines Clusters mit Windows Server 2003 SP1 stark einbrechen. Trifft das bei Ihnen zu und erhalten Sie die Fehler, die im Artikel beschrieben sind, sollten Sie den beschriebenen Patch bei Microsoft anfordern und installieren. http://support.microsoft.com/kb/908510/en – Dieser Patch behebt ein Problem, das hauptsächlich nach der Installation von SP1 für Windows Server 2003 in einem bestehenden Cluster auftritt. Hauptsächlich behebt dieser Patch Probleme des gemeinsamen Datenträgers von geografisch weiter auseinanderliegenden Clusterknoten. Tritt der im Artikel beschriebene Fehler bei Ihnen auf, können Sie den passenden Patch von Microsoft anfordern. http://support.microsoft.com/kb/902069/en – Dieser Artikel beschreibt einen Workaround, wenn Sie beim Herunterfahren oder Neustarten eines Clusterknotens einen Stoppfehler mit der Nummer 0x0000000A erhalten. Führen Sie in diesem Fall die Maßnahmen im KB-Artikel durch.

5 6 7 8 9 10

14.2.8 Deinstallation eines Clusters 11

Wollen Sie einen Testcluster deinstallieren oder haben Sie bei der Konfiguration des Clusterdienstes einen Fehler, können Sie einen Cluster auch komplett wieder entfernen. Gehen Sie dazu folgendermaßen vor:

1. 2. 3.

4. 5.

12

Öffnen Sie die Clusterverwaltung auf dem aktiven Knoten. Klicken Sie mit der rechten Maustaste auf den passiven Knoten, und wählen Sie Clusterdienst beenden (siehe Abbildung 14.32). Nach kurzer Zeit wird der Clusterdienst als beendet angezeigt. Klicken Sie nochmals auf den passiven Knoten mit der rechten Maustaste, und wählen Sie dieses Mal Knoten entfernen (siehe Abbildung 14.33). Es erscheint eine Warnmeldung, und der Knoten wird aus dem Cluster entfernt. Gehen Sie auf exakt die gleiche Weise mit dem aktiven Knoten vor. Unter Umständen erscheint noch eine Fehlermeldung, die Sie aber ignorieren können.

13

14 15

847


Abbildung 14.32: Beenden des Clusterdienstes auf einem Knoten

Abbildung 14.33: Entfernen eines Knotens vom Cluster

6. Um die Konfiguration des Clusters sauber zu entfernen, sollten Sie als Nächstes auf beiden ehemaligen Knoten eine Befehlszeile öffnen. Geben Sie den Befehl cluster node /forcecleanup ein. Die Konfiguration des Clusters wird dadurch entfernt (siehe Abbildung 14.34). Abbildung 14.34: Bereinigen eines Clusterknotens in der Befehlszeile

TIPP

848

Haben Sie einen Clusterknoten von einem Cluster entfernt und wollen diesen Knoten erneut einem Cluster hinzufügen, funktioniert unter Umständen der Clusterdienst nicht mehr richtig. Geben Sie in diesem Fall in der Befehlszeile den Befehl sc create clussvc ein. Mit diesem Befehl werden die Registrierungsdaten des Clusters wiederhergestellt.

Single Copy Cluster mit Exchange Server 2007

14.3


Im Bereich Hochverfügbarkeit bietet Exchange Server 2007 einige Verbesserungen im Vergleich zu Exchange 2000/2003. Bereits mit der fortlaufenden Datensicherung (Local Continuous Replication, LCR) bietet Exchange Server 2007 bereits ohne einen Cluster eine Echtzeitreplikation der Exchange-Datenbank an. In diesem Fall sind Sie zwar nicht vor dem Ausfall eines Servers geschützt, aber vor dem Ausfall und der Zerstörung der Exchange-Datenbank.

1

Die herkömmlichste Herstellung einer Hochverfügbarkeitslösung ist ein Cluster. Im Verlauf dieses Kapitels habe ich Ihnen bereits gezeigt, wie Sie einen Cluster auf Basis von Windows Server 2003 R2 aufbauen können. Installieren Sie Exchange clusterfähig, baut die Installation von Exchange Server 2007 auf einem solchen Cluster auf. Der Single Copy Cluster dient dazu, einen Exchange Server 2007 mit der MailboxServerrolle auf einem Cluster mit gemeinsamem Datenträger zu installieren.

3

2

4 5

Diese Funktion ist grundsätzlich identisch mit der Installation von Exchange 2000/2003 in einem Cluster. Wie bereits bei Exchange Server 2003 empfiehlt Microsoft auch bei Exchange Server 2007 den Einsatz eines Active-Passive-Clusters. Es wird also ein virtueller Exchange Server erstellt, der auf einem Knoten aktiv geschaltet wird, während der passive Knoten auf den Ausfall des aktiven Knotens wartet und die Clustergruppe mit dem virtuellen Exchange Server übernimmt.

6 7

Bei dieser Installation sind Sie zwar vor Ausfall eines Exchange Servers geschützt, eine defekte Datenbank können Sie mit dieser Funktion nicht abfangen. Da bei einem Cluster mit dieser Installationsmethode die Exchange-Datenbank auf dem gemeinsamen Datenträger des Clusters liegt und von mehreren Servern verwaltet werden kann, wird der Cluster jetzt auch Einzelkopie-Cluster (Single Copy Cluster, SCC) genannt, da die Datenbank als einzelne Kopie auf dem gemeinsamen Datenträger vorliegt.

8 9

Wichtig ist bei dieser Architektur, dass allerdings immer nur ein Server (der aktive Knoten) auf die Datenbank zugreifen kann und erst bei Ausfall dieses Servers andere Server (die passiven Knoten) Zugriff erhalten. Damit Sie diese Funktion nutzen können, müssen Sie zunächst mit Windows Server 2003 Enterprise Edition den Windows-Clusterdienst konfigurieren und einen Failover-Cluster einrichten. Installieren Sie Exchange Server 2007 auf einem Clusterknoten, wird automatisch die clusterfähige Installation durchgeführt.

10 11 12

14.3.1

Voraussetzungen für einen Single Copy Cluster

Bevor Sie einen Exchange Server 2007 als Single Copy Cluster installieren können, müssen mehrere Voraussetzungen geschaffen werden: ■

■

13

Sie müssen einen Active-Passive-Cluster mit Windows Server 2003 Enterprise Edition installieren, wie bereits in diesem Kapitel ausführlich besprochen. Sie können auch Cluster mit mehreren Knoten erstellen, allerdings muss jeder Cluster über mindestens einen passiven Knoten verfügen. Auf dem Cluster darf nur die Mailbox-Serverrolle installiert werden, alle anderen Serverrollen (Hub-Transport, Edge-Transport, Client-Access, Unified Messaging) unterstützen keine Installation in einem Failover-Cluster. Installieren Sie also einen Mailbox-Server-Cluster, stellen Sie sicher, dass Sie zusätzliche

14 15

849


■ ■

■ ■ ■

■

■

■

■

■

■

■

■

Exchange Server für die anderen Rollen außerhalb des Clusters installieren müssen. Diese Rollen können auch nach der Installation des Clusters installiert werden. Sie benötigen Exchange Server 2007 Enterprise Edition, da Exchange Server 2007 Standard Edition kein Clustering unterstützt. Ihre DNS-Server müssen für dynamische Aktualisierung eingerichtet sein, da während der Installation eines Clusters automatisch DNS-Einträge erstellt werden (siehe auch Kapitel 2). Alle Knoten des Clusters müssen Mitglieder der gleichen Domäne sein. Die Knoten dürfen nur Mitgliedsserver sein, die Installation eines Single Copy Clusters auf Domänencontrollern wird nicht unterstützt. Ein Single Copy Cluster darf nur Exchange Server mit Exchange Server 2007 enthalten. Ein gemeinsamer Cluster mit Exchange Server 2000/2003 wird nicht unterstützt. Auf dem Cluster dürfen keine zusätzlichen Clusterfunktionen wie zum Beispiel SQL Server laufen, der Cluster muss explizit für Exchange Server 2007 zur Verfügung stehen. Sie müssen auf allen Knoten die gleiche Version von Exchange Server 2007 und Windows Server 2003 und exakt in den gleichen Verzeichnissen installieren. Die Datenbank wird automatisch auf den gemeinsamen Datenträger verschoben. Die Hardware des Clusters muss von Microsoft zertifiziert sein, ansonsten erhalten Sie im Fehlerfall keinen Support. Lassen Sie sich die Zertifizierung von Ihrem Lieferanten bestätigen. Jeder Clusterknoten muss mindestens zwei Netzwerkkarten eingebaut haben. Eine Netzwerkkarte dient für die Kommunikation mit den Clients und den anderen Servern, die zweite Netzwerkkarte dient für die interne Clusterkommunikation. Die private Netzwerkverbindung muss eine eigene statische IP-Adresse in einem eigenen Subnetz mit der privaten Netzwerkverbindung des anderen Knotens haben. Die öffentlichen Netzwerkverbindungen müssen mit den anderen Clients und Servern im Netzwerk kommunizieren können. Der gemeinsame Datenträger, auf dem die Datenbank von Exchange installiert wird, muss von allen Knoten aus zugreifbar sein. Verwenden Sie nur externe Datenträger, die für einen solchen Zugriff zertifiziert sind. Es ist zwar nicht unbedingt notwendig, aber Microsoft empfiehlt grundsätzlich, die Transaktionsprotokolle, Datenbankdateien und das Quorum auf verschiedenen LUNs in einem SAN abzulegen. Es spricht aber auch nichts gegen eine gemeinsame Ablage von Transaktionsprotokollen und Datenbankdateien. Das Quorum sollte dagegen immer in einem getrennten Laufwerk liegen. Nur bei einer Testumgebung können Sie hier eine Ausnahme machen und alle Daten auf dem gleichen Datenträger ablegen. Alle beteiligten Datenträger müssen selbstverständlich mit NTFS formatiert sein.

14.3.2

Installation eines Single Copy Clusters

Bevor Sie Exchange Server 2007 in einem Cluster als Single Copy Cluster installieren, müssen Sie zunächst den Cluster unter Windows Server 2003 erstellen und konfigurieren. Erst wenn der Cluster fehlerfrei funktioniert, sollten Sie mit der Installation 850


von Exchange Server 2007 fortfahren. Im folgenden Abschnitt gehe ich davon aus, dass die vorangegangenen Voraussetzungen erfüllt sind und der Cluster bereits funktioniert. Ich erkläre Schritt für Schritt die Installation eines Single Copy Clusters.

Installation der Mailbox-Serverrolle auf dem aktiven Knoten

1

Haben Sie den Cluster, wie bereits beschrieben, installiert und konfiguriert, installieren Sie Exchange Server 2007 zunächst auf dem aktiven Knoten.

2

Sie können die Installation auf dem aktiven Knoten entweder über die Befehlszeile oder die grafische Oberfläche durchführen.

3 Installation von Exchange Server 2007 auf dem aktiven Clusterknoten mit der grafischen Oberfläche 1. Stellen Sie sicher, dass alle Voraussetzungen für die normale Exchange-Installation getroffen worden sind. Klicken Sie dann im Anschluss auf die Installation von Exchange Server 2007 (Schritt 4 im Menü). 2. In dem ersten Fenster erhalten Sie eine kurze Einführung, welche der Installation auf einem normalen Server entspricht. Klicken Sie auf Weiter. 3. Auf der nächsten Seite bestätigen Sie den Lizenzvertrag, wie auch bei einer normalen Installation. Klicken Sie danach auf Weiter. 4. Auf der Seite mit der Fehlerberichterstattung deaktivieren Sie diese Funktion am besten wieder. Auch dieser Installationsschritt entspricht der normalen Installation. 5. Auf der nächsten Seite des Assistenten können Sie die Installationsart bestimmen (siehe Abbildung 14.35). Wählen Sie hier Benutzerdefinierte Installation von Microsoft Exchange Server aus.

4 5 6 7 8 Abbildung 14.35: Aus der benutzerdefinierten Installation von Exchange Server 2007 für die Installation in einem Cluster

9 10 11 12 13

14 15

851


6. Auf der nächsten Seite können Sie die Serverfunktionen auswählen. Aktivieren Sie hier die Option ActiveClusteredMailbox-Funktion. Die Verwaltungs-Tools werden dabei automatisch mit ausgewählt (siehe Abbildung 14.36). Abbildung 14.36: Installation von Exchange Server 2007 auf einem aktiven Clusterknoten

7.

Auf der nächsten Seite des Assistenten wählen Sie die Clusterinstallation aus, die Sie durchführen wollen. Aktivieren Sie hier die Funktion Einzelkopiecluster (siehe Abbildung 14.37). 8. Zusätzlich müssen Sie auf dieser Seite die Bezeichnung des Exchange Servers eingeben. Der Server erhält die Bezeichnung, die Sie hier eingeben, nicht die Bezeichnung eines der Knoten oder des Clusters selbst. Der hier gewählte Namen ist von allen anderen vollkommen unabhängig und wird von den Anwendern für den Zugriff auf ihre Postfächer verwendet. 9. Zusätzlich tragen Sie auf dieser Seite auch die IP-Adresse dieses neuen virtuellen Mailbox-Servers ein. Auch diese IP-Adresse muss sich von den anderen IPAdressen des Clusters unterscheiden und darf nicht identisch mit der IP-Adresse des Clusters selbst sein. Die IP-Adresse muss von den Clients und anderen Servern im Netzwerk erreichbar sein. 10. Zusätzlich wählen Sie auf diesem Fenster auch den Speicherplatz der Datenbankdateien und Transaktionsprotokolle auf dem gemeinsamen Datenträger aus. Achten Sie darauf, dass sich diese Dateien niemals in der Root eines Laufwerkes befinden dürfen, sondern immer in einem Unterverzeichnis. Legen Sie notfalls ein solches Verzeichnis an. 11. Auf der nächsten Seite findet eine Überprüfung statt, und Sie erhalten die notwendigen Ergebnisse dieser Überprüfung. Sind die Voraussetzungen erfolgreich geschaffen worden, können Sie über die Schaltfläche Installieren die Installation des aktiven Clusterknotens beginnen (siehe Abbildung 14.38). Kann die Installa-

852


tion nicht fortgeführt werden, erhalten Sie entsprechende Informationen. Beseitigen Sie zuerst alle Fehler, bevor Sie mit der Installation fortfahren. Wie Sie vor allem Fehler im Active Directory beheben können, zeige ich Ihnen in Kapitel 16. Abbildung 14.37: Konfiguration der Clustereinstellungen für den Mailbox-Server

1 2 3 4 5 6 7 8

Abbildung 14.38: Fehlermeldungen bei der Überprüfung der ClusterinstallationsVoraussetzungen

9 10 11 12 13

14 15

853


12. Treten Fehler auf, beheben Sie diese, und starten Sie die Installation erneut. Gehen Sie genauso vor, wie zuvor beschrieben. Erst wenn die Überprüfung der Installationsvoraussetzungen für einen aktiven Clusterknoten getroffen wurden, können Sie die Installation abschließen. Der Assistent unterscheidet bei der Überprüfung zwischen Warnungen und Fehlern. Treten Fehler auf, kann die Installation nicht fortgesetzt werden, bei Warnungen können Sie selbst entscheiden, ob Sie die Installation fortsetzen. Abbildung 14.39: Erfolgreiche Überprüfung der Installationsvoraussetzungen mit Warnungen

13. Nachdem Sie auf die Schaltfläche Installieren geklickt haben, beginnt der Assistent mit der Installation von Exchange Server 2007 auf dem aktiven Clusterknoten. Ist die Installation abgeschlossen, erhalten Sie entsprechende Meldungen und können das Fenster schließen. Mit diesem Schritt ist die Installation auf dem aktiven Knoten abgeschlossen, und Sie können mit der Installation auf dem passiven Knoten fortfahren. 14. Klicken Sie auf Fertig stellen, wird die Installation von Exchange Server 2007 abgeschlossen (siehe Abbildung 14.41). Standardmäßig ist die Option Installation mithilfe der Exchange-Verwaltungskonsole abschließen ausgewählt. Bleibt die Option aktiviert, wird automatisch nach der Installation die Exchange-Verwaltungskonsole gestartet.

854


Abbildung 14.40: Erfolgreiche Installation eines aktiven Clusterknotens

1 2 3 4 5 6 7 Abbildung 14.41: Fertigstellen der Installation auf einem Clusterknoten

8 9 10 11 12 13

14 15

855


Installation von Exchange Server 2007 auf dem aktiven Clusterknoten in der Befehlszeile Sie können die Installation des aktiven Clusterknotens auch in der Exchange-Verwaltungsshell durchführen. Gehen Sie dazu folgendermaßen vor:

1. 2. 3. 4. 5.

6.

Öffnen Sie eine Befehlszeile. Navigieren Sie dazu zu den Installationsdateien von Exchange Server 2007. Geben Sie den Befehl setup /roles:mailbox ein. Nach der Eingabe des Befehls wird das Schema des Active Directory aktualisiert, und die notwendigen Dateien für die Mailbox-Serverrolle werdenauf den Knoten kopiert. Navigieren Sie in der Befehlszeile zu den Systemdateien von Exchange Server 2007 in dem Verzeichnis, in dem Exchange Server 2007 auf dem Knoten installiert worden ist. Standardmäßig ist dies das Verzeichnis C:\Programme\Microsoft\ Exchange Server\bin. Geben Sie den Befehl Setup /newcms /CMSname: /CMSIPAddress: /CMSSharedStorage /CMSDataPath: ein.

Installation von Exchange Server 2007 auf dem aktiven Clusterknoten in der Befehlszeile mit einer Antwortdatei Neben der herkömmlichen Installation in der Befehlszeile können Sie die Installation des aktiven Knotens auch mit einer Antwortdatei durchführen. Gehen Sie dazu folgendermaßen vor:

1.

Zunächst müssen Sie eine textbasierte Antwortdatei, zum Beispiel c:\antwortdatei.txt, erstellen. Diese Datei muss den Inhalt aus dem Listing 15.1 haben.

Listing 14.1: Inhalt der Antwortdatei für die unbeaufsichtigte Installation von Exchange Server 2007 auf dem aktiven Clusterknoten CODE

CMSname: CMSIPAddress: CMSSharedStorage /CMSDataPath:

2.

Navigieren Sie als Nächstes in der Befehlszeile zu den Exchange Server 2007Installationsdateien. Geben Sie im Anschluss den Befehl Setup /roles:Mailbox /newcms /answerfile:c:\antwortdatei.txt ein.

Überprüfen der Installation des aktiven Clusterknotens Öffnen Sie nach der Installation des aktiven Clusterknotens die Clusterverwaltung, wird der neue virtuelle Exchange Server als neue Clustergruppe online angezeigt (siehe Abbildung 14.42). Abbildung 14.42: Anzeigen der neuen Clustergruppe für den virtuellen Exchange Server

856


In der Exchange-Verwaltungskonsole wird der neue virtuelle Exchange Server ebenfalls angezeigt. In der Exchange-Konsole sehen Sie nicht die physikalischen Knoten oder den Cluster selbst, sondern den Namen des virtuellen Exchange Servers (siehe Abbildung 14.43), wenn Sie auf Serverkonfiguration klicken.

1 Abbildung 14.43: Anzeigen des neuen virtuellen Exchange Servers in der Exchange-Verwaltungskonsole

2 3 4 5

Als Nächstes können Sie auf dem gemeinsamen Datenträger im konfigurierten Verzeichnis überprüfen, ob die Exchange-Datenbank abgelegt wurde (siehe Abbildung 14.44).

6 Abbildung 14.44: Überprüfen der gemeinsamen Datenbank im Exchange Cluster

7 8 9 10 11

Als Letztes sollten Sie noch in der Ereignisanzeige überprüfen, ob die Installation fehlerfrei durchgeführt worden ist. Hier sollten keine Fehlermeldungen der Exchange-Dienste und des Clusterdienstes protokolliert sein. Ist auch hier alles in Ordnung, sollten Sie sich an die Installation der restlichen Clusterknoten machen.

12 13

Installation der Mailbox-Serverrolle auf dem passiven Knoten des Clusters

14

Haben Sie die Installation auf dem aktiven Knoten abgeschlossen, können Sie Exchange Server 2007 auf dem passiven Knoten installieren. Achten Sie darauf, dass Sie vor der Installation von Exchange Server 2007 zunächst die Voraussetzungen und die notwendigen Komponenten und Patches installieren. Der aktive Knoten muss bei der Installation des passiven Knotens ebenfalls gestartet sein. Um Exchange Server 2007 auf dem passiven Knoten zu installieren, gehen Sie folgendermaßen vor:

15

857


1. 2. 3. 4. 5.

Installieren Sie zunächst wie beschrieben den aktiven Knoten. Installieren Sie auf dem Server die Internetinformationsdienste, .Net Framework 2.0 und die beschriebenen Patches. Starten Sie das Installationsprogramm für Exchange Server auf dem passiven Knoten. 6. Stellen Sie sicher, dass alle Voraussetzungen für die normale Exchange-Installation getroffen worden sind. Klicken Sie dann im Anschluss auf die Installation von Exchange Server 2007 (Schritt 4 im Menü). 7. Auf dem ersten Fenster erhalten Sie eine kurze Einführung, die der Installation auf einem normalen Server entspricht. Klicken Sie auf Weiter. 8. Auf der nächsten Seite bestätigen Sie den Lizenzvertrag, wie auch bei einer normalen Installation. Klicken Sie danach auf Weiter. 9. Auf der Seite mit der Fehlerberichterstattung deaktivieren Sie diese Funktion am besten wieder. Auch dieser Installationsschritt entspricht der normalen Installation. Abbildung 14.45: Installieren der Passive ClusteredMailbox-Funktion

10. Auf der nächsten Seite des Assistenten können Sie die Installationsart bestimmen. Wählen Sie hier Benutzerdefinierte Installation von Microsoft Exchange Server aus. 11. Auf der nächsten Seite können Sie die Serverfunktionen auswählen. Aktivieren Sie hier die Option Passive ClusteredMailbox-Funktion. Die Management-Tools werden dabei automatisch mit ausgewählt (siehe Abbildung 14.45).

858


12. Haben Sie die Funktion ausgewählt, überprüft der Installations-Assistent, ob alle Voraussetzungen getroffen worden sind. Werden keine Fehler protokolliert, können Sie die Installation abschließen. 13. Nach einigen Minuten wird die Installation abgeschlossen, und Sie erhalten eine Zusammenfassung. Schließen Sie das Fenster mit der Zusammenfassung, wird die Installation abgeschlossen (siehe Abbildung 14.47).

1

Abbildung 14.46: Erfolgreiche Installation von Exchange Server 2007 auf dem passiven Clusterknoten

2 3 4 5 6 7 8 9 10

14. Die Installation sollte keine Fehlermeldungen bringen, und alle Funktionen sollten erfolgreich abgeschlossen werden. Sie können sich den Inhalt des Fensters in eine Textdatei mit der Tastenkombination [STRG]+[C] kopieren. Wird die Installation erfolgreich abgeschlossen, können Sie das Fenster mit der Schaltfläche Fertig stellen schließen.

11

Installation von Exchange Server 2007 auf dem passiven Clusterknoten in der Befehlszeile Sie können die Installation des aktiven Clusterknotens auch in der Exchange-Verwaltungsshell durchführen. Gehen Sie dazu folgendermaßen vor:

12 13

1. Öffnen Sie eine Befehlszeile. 2. Navigieren Sie zu den Installationsdateien von Exchange Server 2007. 3. Geben Sie den Befehl setup /roles:mailbox ein.

14 15

859


Überprüfen des passiven Clusterknotens Die Installation eines passiven Clusterknotens ist wesentlich weniger umfangreich als die Installation eines aktiven Clusterknotens. Nach der Installation ist auch eine Diagnose des passiven Clusterknotens angebracht:

1. 2. 3.

Nach der Installation sollten Sie zunächst in der Ereignisanzeige überprüfen, ob irgendwelche Fehler protokolliert werden. Als Nächstes sollten Sie die Clusterverwaltung öffnen und überprüfen, ob die Verbindung zum Cluster fehlerfrei hergestellt werden kann. Der nächste Schritt besteht darin, dass Sie die Clustergruppen auf den passiven Knoten verschieben und diesen damit zum aktiven Knoten machen. Der bisherige aktive Knoten wird danach zum passiven Knoten. Dieser Vorgang wird von Microsoft als Handoff bezeichnet. Dieser Vorgang sollte in kurzer Zeit abgeschlossen sein und keinerlei Fehlermeldungen verursachen.

Um die Clustergruppen manuell vom aktiven zum passiven Knoten zu verschieben, gehen Sie folgendermaßen vor:

1. 2. 3.

4.

TIPP

Stellen Sie sicher, dass beide Clusterknoten gestartet wurden und fehlerfrei arbeiten. Starten Sie die Clusterverwaltung auf einem beliebigen Knoten. Klicken Sie mit der rechten Maustaste zunächst auf die Clustergruppe und danach auf die Exchange-Clustergruppe, und wählen Sie die Option Gruppe verschieben. Im Anschluss sollten beide Gruppen ohne Probleme auf den bisherigen passiven Knoten verschoben werden.

Neben der Möglichkeit, die Clustergruppen über die Clusterverwaltung von einem Knoten auf den anderen zu verschieben, können Sie auch einfach den aktiven Knoten herunterfahren. Durch den Heartbeat sollte das der passive Knoten nach kurzer Zeit bemerken und alle Clustergruppen automatisch übernehmen. Handoff über die Exchange-Verwaltungsshell durchführen Sie können den Handoff, also das manuelle Verschieben von Clustergruppen, auch über die Exchange-Verwaltungsshell durchführen. Gehen Sie dazu folgendermaßen vor:

1. 2.

3. 4.

860

Starten Sie auf einem der Knoten die Exchange-Verwaltungsshell. Geben Sie den Befehl Move-ClusteredMailboxServer –Identity: -targetmachine: -movecomment: ein. Im Anschluss wird die Gruppe des virtuellen Exchange Servers verschoben. Überprüfen Sie mit dem Befehl Get-ClusteredMailboxServerStatus –Identity: , ob das Verschieben funktioniert hat und jetzt der ehemalige passive Knoten der aktive Knoten ist (siehe Abbildung 14.47).


Abbildung 14.47: Überprüfen eines virtuellen Exchange Servers

1 2 3 Haben Sie nur einen virtuellen Exchange Server erstellt, reicht auch die Eingabe des Befehls Get-ClusteredMailboxServerStatus ohne weitere Optionen.

4

14.3.3 Deinstallation von Exchange Server 2007 von einem Cluster

5

Wollen Sie Exchange Server 2007 von einem Cluster deinstallieren, müssen Sie zunächst alle Postfächer auf andere Mailbox-Server verschieben. Eine Deinstallation kann auch sinnvoll sein, wenn es bei der Installation auf einem Knoten zu Problemen gekommen ist.

6 7

Entfernen von Exchange Server 2007 vom aktiven Clusterknoten Um Exchange von einem Knoten zu entfernen und den virtuellen Exchange Server aus der Organisation zu löschen, gehen Sie folgendermaßen vor:

8

1. 2.

9

3. 4.

Als Erstes sollten Sie eine Befehlszeile auf dem aktiven Serverknoten öffnen. Wechseln Sie in das Verzeichnis mit den Systemdateien auf dem Server. Standardmäßig handelt es sich um das Verzeichnis C:\Programme\Microsoft\ Exchange Server\bin. Geben Sie den Befehl setup /removeCMS /CMSName: ein (siehe Abbildung 14.38). Im Anschluss wird der virtuelle Exchange Server aus der Organisation und vom Cluster entfernt.

10 11 Abbildung 14.48: Entfernen eines virtuellen Exchange Servers

12 13

14 15

861


5. War die Installation eines Clusters nicht erfolgreich, erhalten Sie unter Umstän6.

den beim Entfernen des virtuellen Exchange Servers einen Fehler. Das ist aber nicht schlimm, da dennoch unnötige Komponenten entfernt werden. Wurde der virtuelle Exchange Server entfernt, können Sie Exchange vom Knoten entfernen. Geben Sie dazu in der Befehlszeile den Befehl setup /mode:uninstall ein. Im Anschluss wird Exchange vom Server entfernt (siehe Abbildung 14.49).

Abbildung 14.49: Entfernen von Exchange Server 2007 in der Befehlszeile

7.

Löschen Sie danach das Exchange-Installationsverzeichnis auf dem Server, um die letzten Spuren zu entfernen.

Abbildung 14.50: Deinstallation von Exchange Server 2007 von einem Clusterknoten

Entfernen von Exchange Server 2007 vom passiven Clusterknoten Wollen Sie Exchange vollständig von einem Cluster entfernen, müssen Sie zunächst den aktiven Clusterknoten deinstallieren. Im Anschluss müssen Sie Exchange vom passiven Knoten entfernen. Gehen Sie dazu folgendermaßen vor:

1. 2. 3.

862

Entfernen Sie Exchange Server 2007 und den virtuellen Exchange Server vom aktiven Clusterknoten. Öffnen Sie auf dem passiven Knoten eine Befehlszeile. Wechseln Sie in das Verzeichnis mit den Systemdateien auf dem Server. Standardmäßig handelt es sich um das Verzeichnis C:\Programme\Microsoft\ Exchange Server\bin.


4. Wurde der virtuelle Exchange Server vom Cluster entfernt, können Sie

5.

Exchange vom passiven Knoten entfernen. Geben Sie dazu in der Befehlszeile den Befehl setup /mode:uninstall ein. Im Anschluss wird Exchange vom Server entfernt. Löschen Sie das Exchange-Installationsverzeichnis auf dem Server, um die letzten Spuren zu entfernen.

1 2

14.3.4 Verwalten eines Single Copy Clusters Die Verwaltung der Exchange-spezifischen Konfiguration eines virtuellen Exchange Servers in einem Single Copy Cluster ist identisch zur Verwaltung herkömmlicher Exchange Server. Allerdings sind bei zahlreichen Aktionen, die den Cluster betreffen, weitere Maßnahmen notwendig. Im folgenden Abschnitt gehe ich ausführlicher auf die einzelnen Verwaltungsfunktionen eines Single Copy Clusters ein.

3 4

Erstellen eines zusätzlichen gemeinsamen Datenträgers

5

In den meisten Umgebungen werden der oder die gemeinsamen Datenträger bereits vor der Konfiguration des Clusterdienstes erstellt. Es ist jedoch durchaus möglich, dass Sie im laufenden Betrieb einen weiteren gemeinsamen Datenträger einbinden, um zum Beispiel die Transaktionsprotokolle oder Datenbankdateien voneinander zu trennen. Gehen Sie in diesem Fall folgendermaßen vor:

1.

2.

6

Schließen Sie den gemeinsamen Datenträger an den aktiven Knoten an, beziehungsweise halten Sie sich an die Hardware-Installationsanleitungen des Herstellers. Legen Sie für das Laufwerk auf dem aktiven Knoten in der Datenträgerverwaltung eine Partition mit einem zugewiesenen Buchstaben an. Stellen Sie sicher, dass Sie schreibend und lesend auf den Datenträger zugreifen können.

7 8 9

Wurde der neue Datenträger im Betriebssystem angelegt und funktioniert er, erfolgt im Anschluss die Integration in den Cluster. Dazu wird das neue Laufwerk als Clusterressource angelegt und der Clustergruppe des virtuellen Exchange Servers zugewiesen. Sie können alle Einstellungen der Ressourcen nach deren Erstellung in den Eigenschaften der Ressource anpassen.

10

Um eine neue Ressource zu erstellen, gehen Sie folgendermaßen vor:

1. 2. 3.

4. 5. 6. 7.

11

Öffnen Sie die Clusterverwaltung. Klicken Sie auf das Menü Gruppen, um die untergeordneten Gruppen anzuzeigen. Klicken Sie mit der rechten Maustaste auf die Clustergruppe des virtuellen Exchange Servers, und wählen Sie Neu/Ressource. Im Anschluss öffnet sich der Assistent zur Integration neuer Ressourcen in einen Cluster. Geben Sie der Ressource einen passenden Namen, damit diese in der Clusterverwaltung eindeutig zugewiesen wird. Geben Sie eine passende Beschreibung ein (optional). Wählen Sie als Ressourcentyp Physikalischer Datenträger aus (siehe Abbildung 14.51). Stellen Sie sicher, dass als Gruppe der virtuelle Exchange Server angezeigt wird.

12 13

14 15

863


Abbildung 14.51: Erstellen eines neuen physikalischen Datenträgers als Clusterressource

8. Auf der nächsten Seite wählen Sie die möglichen Besitzer der Ressource aus. Diese Option konfiguriert, auf welche Clusterknoten die Ressource verschoben werden darf. Sie sollten hier sicherstellen, dass beide Clusterknoten ausgewählt sind (siehe Abbildung 14.52). Abbildung 14.52: Auswahl der möglichen Besitzer für eine Ressource

9. Auf der nächsten Seite des Assistenten legen Sie die Abhängigkeiten der Ressourcen fest. Die Ressource lässt sich auf einem Clusterknoten erst dann online schalten, wenn alle Ressourcen, von denen sie abhängt, bereits online geschaltet worden sind. Ein physikalischer Datenträger sollte von keiner Ressource abhängen. Hier müssen Sie daher nichts auswählen, sondern sicherstellen, dass der physikalische Datenträger nicht von anderen Ressourcen abhängt (siehe Abbildung 14.53).

864


Abbildung 14.53: Konfiguration der Abhängigkeiten einer Ressource

1 2 3 4 5 10. Auf der nächsten Seite des Assistenten wählen Sie im Drop-down-Menü den

6

Datenträger aus, der die Clusterressource darstellt. Wird hier kein Datenträger angezeigt, stellen Sie sicher, dass dieser in der Datenträgerverwaltung ordnungsgemäß erstellt worden oder nicht bereits einer anderen Gruppe zugewiesen worden ist. Der Datenträger muss physikalisch von anderen Datenträgern getrennt sein; verschiedene Partitionen auf demselben physikalischen Datenträger können nicht als verschiedene Ressourcen angelegt werden. 11. Schließen Sie die Erstellung der Ressource ab.

7 8 Abbildung 14.54: Auswahl des zusätzlichen Datenträgers

9 10 11 12 13

14 12. Rufen Sie im Anschluss die Eigenschaften der Ressource auf, und wechseln Sie

15

auf die Registerkarte Erweitert. Stellen Sie sicher, dass die Option Diese Gruppe beeinflussen nicht gesetzt ist (siehe Abbildung 14.55). Ansonsten besteht die Gefahr, dass die Konfiguration des Datenträgers darin resultiert, dass der

865


gesamte virtuelle Exchange Server offline gesetzt wird. Wird die Ressource nicht automatisch online geschaltet, klicken Sie diese mit der rechten Maustaste an und schalten sie manuell online. 13. Im Anschluss können Sie in der Exchange-Verwaltungskonsole über den Menüpunkt Serverkonfiguration/Postfach, wie in Kapitel 6 beschrieben, die Transaktionsprotokolle oder die Datenbankdateien verschieben. Der Vorgang für diesen virtuellen Exchange Server ist identisch zum Verschieben von Dateien auf physikalischen Servern. Wichtig ist an dieser Stelle nur, dass die entsprechende Clusterressource zugewiesen wurde und auch online geschaltet ist. Abbildung 14.55: Erweiterte Konfiguration eines physikalischen Datenträgers

Ändern der Clustergruppe einer Ressource am Beispiel eines physikalischen Datenträgers Sind bei der Erstellung des Clusters die gemeinsamen Datenträger bereits konfiguriert worden und online geschaltet, werden diese normalerweise gleich der richtigen Clustergruppe zugeordnet. In diesem Fall müssen Sie keine zusätzlichen Ressourcen erstellen. Stellen Sie fest, dass ein physikalischer Datenträger einer falschen Gruppe zugewiesen worden ist, können Sie die zugewiesene Gruppe nachträglich ändern. Gehen Sie dazu folgendermaßen vor:

1. 2.

3.

4.

866

Öffnen Sie die Clusterverwaltung auf einem der Knoten. Klicken Sie auf den Menüpunkt Ressourcen. Auf der rechten Seite des Fensters werden jetzt alle Ressourcen angezeigt, die im Cluster konfiguriert sind (siehe Abbildung 14.56). Klicken Sie auf die Ressource, die Sie einer anderen Gruppe zuweisen wollen, mit der rechten Maustaste, und wählen Sie die Option Gruppe ändern (siehe Abbildung 14.56). Wählen Sie die neue Gruppe aus, also den virtuellen Exchange Server, dem Sie die Ressource zuweisen wollen.


Abbildung 14.56: Ändern der Gruppe einer Ressource

1 2 3 4

5. Haben Sie die Ressource der neuen Gruppe zugewiesen, stellen Sie im Falle

6. 7.

eines physikalischen Datenträgers sicher, dass keine Abhängigkeiten existieren und alle Knoten zu dem möglichen Besitzer gehören. Diese Einstellungen finden Sie in den Eigenschaften der Ressource. Stellen Sie auch hier sicher, dass auf der Registerkarte Erweitert die Option Diese Gruppe beeinflussen nicht gesetzt ist. Nach der Konfiguration sollten alle Ressourcen und auch der virtuelle Exchange Server als online angezeigt werden. Sie können jetzt bei Bedarf Transaktionsprotokolle und auch Datenbankdateien auf den virtuellen Server verschieben. Verwenden Sie dazu die Exchange-Verwaltungskonsole.

5 6 7

Abhängigkeiten der Exchange-Datenbanken

8

Microsoft empfiehlt, dass die Ressource der Exchange-Datenbanken, beziehungsweise der Speichergruppe, von der Ressource des physikalischen Datenträgers abhängig ist. Dadurch ist sichergestellt, dass die Clusterverwaltung die Datenbank erst dann online schaltet, wenn der physikalische Datenträger mit den Transaktionsprotokollen und Datenbankdateien online geschaltet wurde. Da diese Konfiguration auf jeden Fall Sinn macht, sollten Sie diese Abhängigkeit überprüfen und gegebenenfalls herstellen. Gehen Sie dazu folgendermaßen vor:

9 10

1. Öffnen Sie die Clusterverwaltung. 2. Klicken Sie auf den Menüpunkt Ressourcen. 3. Klicken Sie mit der rechten Maustaste auf die Ressource First Storage

4. 5.

11

Group/Mailbox Database (mbx), und rufen Sie deren Eigenschaften auf (siehe Abbildung 14.57). Wechseln Sie auf die Registerkarte Abhängigkeiten. Wird die Ressource des physikalischen Datenträgers noch nicht angezeigt, klicken Sie auf Ändern.

12 13

14 15

867


Abbildung 14.57: Hinzufügen von Ressourcenabhängigkeiten für die ExchangeDatenbanken

6. Wählen Sie in dem folgenden Fenster die Ressource des physikalischen Datenträgers aus, auf dem sich die Transaktionsprotokolle und Datenbankdateien befinden, und fügen Sie diesen den Abhängigkeiten hinzu (siehe Abbildung 14.58). Abbildung 14.58: Hinzufügen von Abhängigkeiten zu einer Ressource

Haben Sie das Quorum und die Exchange-Datenbankdateien auf demselben Datenträger abgelegt, ist keine weitere Konfiguration notwendig.

Anhalten und Starten eines virtuellen Exchange Servers Müssen Sie Wartungsarbeiten am Server vornehmen, können Sie den virtuellen Server für Anwender deaktivieren. Der Cluster selbst bleibt aktiviert, aber die Anwender können keine Verbindung mehr zum Server aufbauen. Sie können für diesen Weg entweder die Clusterverwaltung oder die Exchange-Verwaltungsshell verwenden.

868


Offline- und Online-Schalten einer Clustergruppe in der Clusterverwaltung Um eine Clustergruppe in der Clusterverwaltung zu deaktivieren, klicken Sie diese mit der rechten Maustaste an, und wählen Sie die Option Offline schalten (siehe Abbildung 14.59).

1 Abbildung 14.59: Offline-Schalten eines virtuellen Exchange Servers

2 3 4 5 6

Im Anschluss fährt der Cluster alle Ressourcen des Servers herunter. Der Cluster selbst bleibt dabei aktiviert, nur die Exchange-Dienste und der Zugriff für die Clients werden deaktiviert (siehe Abbildung 14.60).

7

Auf dem gleichen Weg können Sie die Gruppe wieder online schalten. Klicken Sie diese dazu mit der rechten Maustaste an, und wählen Sie Online schalten. Abbildung 14.60: Offline geschalteter virtueller Exchange Server

8 9 10 11

Offline- und Online-Schalten einer Clustergruppe in der Exchange-Verwaltungsshell Über die Exchange-Verwaltungsshell können Sie ebenfalls einen virtuellen Exchange Server herunterfahren:

1. 2. 3. 4. 5.

12 13

Starten Sie dazu die Shell, und geben Sie den Befehl Stop-ClusteredMailboxServer ein (siehe Abbildung 14.61). Im Anschluss erhalten Sie die Möglichkeit, einen Grund für das Herunterfahren anzugeben. Als Nächstes müssen Sie den Namen des virtuellen Exchange Servers eingeben, den Sie herunterfahren wollen. Es erscheint eine Warnung, die Sie mit Y bestätigen müssen, damit der Server heruntergefahren werden kann. Nach einiger Zeit erhalten Sie die Meldung, dass der virtuelle Server offline geschaltet wurde.

14 15

869


Abbildung 14.61: Herunterfahren eines virtuellen Exchange Servers in der ExchangeVerwaltungsshell

Über den Befehl Start-ClusteredMailboxServer können Sie einen solchen Server wieder starten (siehe Abbildung 14.62). Abbildung 14.62: Online-Schalten eines virtuellen Exchange Servers in der ExchangeVerwaltungsshell

14.4

Fortlaufende Clusterreplikation (Cluster Continuous Replication)

Die Cluster Continuous Replication (CCR) ist die Cluster-Version der fortlaufenden Datensicherung (Local Continuous Replication, LCR). Da die LCR neu in Exchange Server 2007 eingeführt wurde, gibt es auch die Cluster Continuous Replication erst in Exchange Server 2007. Die bereits beschriebene Clusterfunktion Single Copy Cluster war bereits ähnlich unter Exchange Server 2000/2003 verfügbar.

870


Auch CCR baut auf den Clusterdienst von Windows Server 2003 auf. Damit der Cluster das neue CCR unterstützen kann, müssen Sie vor der Erstellung des Clusters auf allen Clusterknoten zunächst ein Hotfix installieren, das auf Windows Server 2003 SP1 und damit auch R2 aufbaut.

1

Haben Sie bereits einen Testcluster installiert, um Single Copy Cluster einzusetzen, sollten Sie den Cluster löschen. Ich habe das Löschen eines Clusters weiter vorne in diesem Kapitel ausführlich erläutert. Die Installation des Hotfix und die technischen Hintergründe erläutere ich Ihnen auf den nächsten Seiten.

2

Während ein Single Copy Cluster den Ausfall eines einzelnen physikalischen Servers abfangen kann, verhindert die Cluster Continuous Replication (CCR) den Ausfall einer Datenbank. Im Gegensatz zu einem Single Copy Cluster gibt es keinen gemeinsamen Datenträger oder eine gemeinsame Datenbank für mehrere physikalische Server, sondern es werden verschiedene Datenbanken eingesetzt, die durch die Cluster Continuous Replication aktuell gehalten werden. Die Vorteile der Cluster Continuous Replication sind: ■ ■ ■ ■

3 4 5

Kein Single Point of Failure. Keine speziellen Hardwarevoraussetzungen wie bei einem Single Copy Cluster. Keine Anforderungen an einen gemeinsamen Datenträger wie beim Single Copy Cluster. Optimiert zusätzlich die Datensicherung und Verfügbarkeit der ExchangeDatenbanken.

14.4.1

6 7

Funktionsweise der Cluster Continuous Replication (CCR)

8

Cluster Continuous Replication (CCR) funktioniert im Grunde genommen genau so wie die Local Continuous Replication (LCR), eine Kopie der Exchange-Datenbank wird durch Replikation immer aktuell gehalten. Der passive Knoten eines Clusters hält dadurch immer eine Kopie der Produktivdatenbanken vor.

9 10

Bei CCR werden alle Speichergruppen und Datenbanken des produktiven und aktiven Clusterknotens auf den passiven Knoten repliziert. Der passive Knoten greift nicht auf die Produktivdatenbank zu, wenn der aktive Knoten ausfällt, sondern verwendet seine eigene Datenbank. Wollen Sie die Cluster Continuous Replication zur Absicherung Ihrer Exchange-Infrastruktur einsetzen, müssen Sie einige Schlüsselfakten kennen: ■

■

11 12

Die Kopiedatenbank auf dem passiven Clusterknoten ist asynchron. Das liegt daran, dass die Transaktionsprotokolle vom aktiven Knoten erst dann per CCR auf den passiven Knoten verschoben werden, wenn das Transaktionsprotokoll geschlossen wurde und ein neues geöffnet wird. Der Datenbestand zwischen aktiven und passiven Knoten variiert daher immer etwas. Die Aktionen, die zum Kopieren beziehungsweise Replizieren der Transaktionsprotokolle zwischen den Knoten durchgeführt werden, stellt der passive Knoten bereit. Der aktive Knoten wird dadurch entlastet, da der passive Knoten sich sozusagen selbst mit den entsprechenden Transaktionsprotokollen versorgt.

13

14 15

871


Voraussetzungen für die Cluster Continuous Replication Die Einrichtung von CCR ist etwas komplexer als der Aufbau eines Single Copy Clusters. Beabsichtigen Sie, einen CCR-Cluster aufzubauen, sollten Sie zuvor den kompletten nächsten Abschnitt durchlesen. Auch CCR baut auf den Clusterdienst von Windows Server 2003 Enterprise Edition auf, verwendet aber ein anderes Quorum, nämlich den Hauptknotensatz (Majority Node Set, MNS). Dieser muss bei der Installation eines Clusters vor der Installation von Exchange berücksichtigt werden. Der MNS wird in den nächsten Abschnitten noch ausführlicher besprochen. Außerdem benötigen Sie noch zusätzliche Hotfixes für Windows Server 2003, die ebenfalls in den folgenden Abschnitten des Kapitels besprochen werden. Neben diesen wichtigen Vorbedingungen müssen Sie weitere Voraussetzungen beachten: ■ ■

■

■

■ ■

■ ■ ■ ■

■

■

872

Jede Speichergruppe, für die Sie CCR verwenden, darf nur eine einzelne Postfachdatenbank enthalten. Betreiben Sie in der Organisation mehrere Exchange Server mit der Mailbox-Serverrolle neben dem Cluster, sollten Sie auf dem Cluster keine Datenbank für öffentliche Ordner anlegen, sondern zur Ausfallsicherheit der öffentlichen Ordner die Replikation zwischen den normalen Mailbox-Servern einsetzen. Sie müssen einen Active-Passive-Cluster mit Windows Server 2003 Enterprise Edition installieren, wie bereits in diesem Kapitel ausführlich besprochen. Sie können auch Cluster mit mehreren Knoten erstellen, allerdings muss jeder Cluster über mindestens einen passiven Knoten verfügen. Auf dem Cluster darf nur die Mailbox-Serverrolle installiert werden, alle anderen Serverrollen (Hub-Transport, Edge-Transport, Client-Access, Unified Messaging) unterstützen keine Installation in einem Failover-Cluster. Installieren Sie einen Mailbox-Server-Cluster, stellen Sie sicher, dass Sie zusätzliche Exchange Server für die anderen Rollen außerhalb des Clusters installieren. Diese Rollen können auch nach der Installation des Clusters installiert werden. Sie benötigen Exchange Server 2007 Enterprise Edition, da Exchange Server 2007 Standard Edition kein Clustering unterstützt. Ihre DNS-Server müssen für dynamische Aktualisierung eingerichtet sein, da während der Installation eines Clusters automatisch DNS-Einträge erstellt werden. Alle Knoten des Clusters müssen Mitglieder der gleichen Domäne sein. Die Knoten dürfen nur Mitgliedsserver sein, die Installation eines Clusters auf Domänencontrollern wird nicht unterstützt. Ein Cluster darf nur Exchange Server mit Exchange Server 2007 enthalten. Ein gemeinsamer Cluster mit Exchange Server 2000/2003 wird nicht unterstützt. Auf dem Cluster dürfen keine zusätzlichen Clusterfunktionen wie zum Beispiel SQL Server laufen, der Cluster muss explizit für Exchange Server 2007 zur Verfügung stehen. Sie müssen auf allen Knoten die gleiche Version von Exchange Server 2007 und Windows Server 2003 exakt in den gleichen Verzeichnissen installieren. Die Datenbank wird automatisch auf den gemeinsamen Datenträger verschoben. Jeder Clusterknoten muss mindestens zwei Netzwerkkarten eingebaut haben. Eine Netzwerkkarte dient der Kommunikation mit den Clients und den anderen Servern, die zweite Netzwerkkarte dient der internen Clusterkommunikation.


■

■ ■

■

Die private Netzwerkverbindung muss eine eigene statische IP-Adresse in einem eigenen Subnetz mit der privaten Netzwerkverbindung des anderen Knotens haben. Die öffentlichen Netzwerkverbindungen müssen mit den anderen Clients und Servern im Netzwerk kommunizieren können. Alle beteiligten Datenträger müssen selbstverständlich mit NTFS formatiert sein. Die beiden Server des Clusters sollten, müssen aber nicht exakt identisch sein. Sie sollten aber ähnliche Hardware haben, auf denen Exchange Server 2007 performant laufen kann. Bei einem CCR-Cluster wird kein gemeinsamer Datenträger benötigt, da das Quorum von jedem Knoten selbst verwaltet wird (Hauptknotensatz, wird später noch besprochen) und jeder Knoten eine eigene Kopie seiner Exchange-Datenbank verwaltet.

1 2 3 4

14.4.2 Installieren der Cluster Continuous Replication 5

Um CCR einzurichten, benötigen Sie zunächst einen Cluster mit Windows Server 2003 genauso wie ein Single Copy Cluster. Es wird kein gemeinsamer Datenträger für die Exchange-Datenbanken benötigt. Bevor Sie also CCR einrichten können, müssen Sie zunächst, wie in diesem Kapitel beschrieben, einen Cluster erstellen und konfigurieren.

6

Erstellen Sie einen Cluster für CCR, müssen Sie zunächst einen Hotfix installieren. Ich gehe auf diese Thematik auf den nächsten Seiten ausführlicher ein.

7

Haben Sie das Hotfix installiert, können Sie den Cluster neu erstellen. Achten Sie aber in diesem Fall auf der Seite Vorgeschlagene Clusterkonfiguration darauf, auf die Schaltfläche Quorum zu klicken und auf dem neuen Fenster Clusterkonfigurationsquorum die Option Hauptknotensatz auszuwählen (siehe Abbildung 14.63).

8 9 Abbildung 14.63: Konfiguration des Quorums für Cluster Continuous Replication

10 11 12 13

14 15

873


Die weitere Installation des Clusters ist identisch mit der Installation eines Single Copy Clusters. Bevor Sie einen CCR-Cluster auch in einer Testumgebung installieren, lesen Sie sich zunächst aufmerksam den nächsten Abschnitt durch.

File Share Witness und Majority Node Set für die Cluster Continuous Replication einrichten Die Cluster Continuous Replication nutzt eine Funktion des Clusterdienstes von Windows Server 2003 mit dem Namen Hauptknotensatz (Majority Node Set, MNS). Dabei handelt es sich um eine besondere Clusterart, die ohne ein gemeinsames Clusterquorum auskommt. Jeder Clusterknoten hat sein eigenes Quorum, und ein Witness (Zeuge) genannter Rechner übernimmt die Steuerung und Kommunikation der Clusterverwaltung. Dieser Server wird nicht Bestandteil des Clusters, sondern ist außerhalb des Clusters angeordnet. Microsoft empfiehlt, einen Hub-Transport-Server am gleichen Active Directory-Standort zu verwenden, der von allen Clusterknoten über das Netzwerk erreicht werden kann. Mithilfe von CCR können geografisch verteilte Cluster eingerichtet werden, ohne spezielle Applikationen und Hardware einsetzen zu müssen. Die Synchronisation der Clusterknoten erfolgt über die Replikation von ExchangeTransaktionsprotokolldateien. Im Gegensatz zu einem Single Copy Cluster empfiehlt Microsoft beim Einsatz der Cluster Continuous Replication diese Einbindung eines weiteren Servers für die Bereitstellung einer Freigabe. Diese Freigabe wird offiziell als File Share Witness (Dateifreigaben-Zeuge) bezeichnet und zur Absicherung des Datenflusses zwischen den beiden Knoten eingesetzt. Hauptsächlich wird diese Erweiterung in Zwei-Knoten-Clustern eingesetzt. Das hat den Grund, dass ein MNS-Cluster davon ausgeht, dass drei Knoten sich gegenseitig überwachen. Sind nur zwei Knoten verfügbar, muss ein dritter, außenstehender Server dafür sorgen, dass beide Clusterknoten immer einwandfrei funktionieren. Fügen Sie einem Zwei-Knoten-Cluster einen dritten Knoten hinzu, wird die Funktion File Share Witness automatisch ignoriert, und der dritte Server wird in die MNS-Funktion eingebunden. Installieren des Hotfix für MNS Damit der Cluster das neue Majority Node Set (MNS) unterstützen kann, müssen Sie vor der Erstellung des Clusters auf allen Clusterknoten zunächst ein Hotfix installieren, das auf Windows Server 2003 SP1 und damit auch R2 aufbaut. Haben Sie bereits einen Testcluster installiert, um Single Copy Cluster einzusetzen, sollten Sie den Cluster löschen. Ich habe das Löschen eines Clusters weiter vorne in diesem Kapitel ausführlich erläutert. Ist das Hotfix eingespielt worden, können Sie den Cluster erneut erstellen. Sie finden weitere Informationen zu diesen neuen Clusterfunktionen im KnowledgeBase-Artikel auf der Internetseite http://support.microsoft.com/kb/921181/en-us. Hier können Sie auch das etwa 1 MB große Hotfix herunterladen, das Sie auf den beiden Clusterknoten installieren müssen. Nach der Installation müssen Sie beide Knoten neu starten. Ist der Cluster eingerichtet und getestet, wird zunächst auf dem aktiven Knoten und dann auf dem passiven Knoten Exchange Server 2007 Enterprise Edition installiert.

874


Erstellen der Freigabe für das File Share Witness Haben Sie den Cluster mit beiden Knoten erstellt, bevor Sie CCR einrichten, sollten Sie die Freigabe für File Share Witness konfigurieren. Sie können diese Freigabe auf jedem Windows Server-System erstellen, optimal ist natürlich die Installation auf einem Windows Server 2003 R2 mit installiertem Exchange Server 2007 und der Hub-Transport-Rolle. Der Server sollte sich am gleichen Active Directory-Standort befinden wie der Cluster, auf dem Sie CCR einrichten wollen. Gehen Sie dazu folgendermaßen vor:

1. 2.

3. 4.

1 2

Melden Sie sich an dem Server, auf dem Sie die Freigabe für File Share Witness erstellen wollen, mit einem Domänenadmin-Konto an. Erstellen Sie ein neues Verzeichnis, und geben Sie diesem eine entsprechende Bezeichnung, zum Beispiel -MNSCluster. Geben Sie das Verzeichnis frei, und erteilen Sie dem Clusterkonto volle Zugriffsrechte auf Freigabe- und NTFS-Ebene. Melden Sie sich an beiden Clusterknoten an, und überprüfen Sie, ob Sie auf die Freigabe zugreifen können.

3 4 5 6

Konfiguration des MNS-Quorums für die Verwendung der File Share Witness Haben Sie die Freigabe erstellt und können Sie von den Clusterknoten fehlerfrei auf diese zugreifen, müssen Sie das Quorum des Clusters noch für die MNS-Unterstützung anpassen.

7

Stellen Sie dazu sicher, dass vor der Erstellung des Clusters das beschriebene Hotfix für die MNS-Unterstützung installiert worden ist und der aktive sowie der passive Knoten Bestandteil des Clusters sind. Gehen Sie folgendermaßen vor:

8

1. Melden Sie sich am aktiven Clusterknoten an. 2. Öffnen Sie eine Befehlszeile. 3. Geben Sie den Befehl Cluster res Hauptknotensatz/priv MNS-

9

4.

FileShare= ein (siehe Abbildung 14.64). Bei englischen Servern verwenden Sie statt Hauptknotensatz den Befehl Cluster res Majority Node Set/priv MNSFileShare=/<Speichergruppe>/ wiederherstellen (siehe Abbildung 14.77).

2 Abbildung 14.77: Bereitstellen einer Datenbank in der Exchange-Verwaltungskonsole

3 4 5 6 7 8

Verschieben der Postfachdatenbanken vor der Installation des passiven Knotens im CCR-Cluster Die Postfachdatenbanken verschieben Sie am besten auch über die Exchange-Verwaltungsshell. Gehen Sie dazu folgendermaßen vor:

9

1.

10

2. 3.

4. 5. 6.

Stellen Sie sicher, dass die Bereitstellung der Datenbank aufgehoben ist (siehe Kapitel 6 und vorheriger Abschnitt). Kopieren Sie die *.edb-Datei der Datenbank aus dem Standardpfad über den Windows-Explorer in das neue Verzeichnis. Geben Sie in der Exchange-Verwaltungsshell den Befehl Move-DatabasePath -Identity:<Server\Speichergruppe\Datenbank> -EdbFilePath: -ConfigurationOnly:$true ein. Bestätigen Sie wieder das Verschieben. Öffnen Sie die Exchange-Verwaltungskonsole. Stellen Sie die Bereitstellung der Datenbank wieder her (siehe Abbildung 14.77).

11 12 13

Installation der Mailbox-Serverrolle auf dem passiven Knoten des Clusters

14

Haben Sie die Installation auf dem aktiven Knoten abgeschlossen, können Sie Exchange Server 2007 auf dem passiven Knoten installieren. Achten Sie darauf, dass Sie vor der Installation von Exchange Server 2007 zunächst die Voraussetzungen und die notwendigen Komponenten und Patches installieren. Der aktive Knoten muss bei der Installation des passiven Knotens ebenfalls gestartet sein. Um Exchange Server 2007 auf dem passiven Knoten zu installieren, gehen Sie folgendermaßen vor:

15

883


1. 2. 3. 4. 5.

Installieren Sie zunächst wie beschrieben den aktiven Knoten. Installieren Sie auf dem Server die Internetinformationsdienste, .Net Framework 2.0 und die beschriebenen Patches. Starten Sie das Installationsprogramm für Exchange Server auf dem passiven Knoten. 6. Stellen Sie sicher, dass alle Voraussetzungen für die normale Exchange-Installation getroffen worden sind. Klicken Sie dann im Anschluss auf die Installation von Exchange Server 2007 (Schritt 4). 7. In dem ersten Fenster erhalten Sie eine kurze Einführung, die der Installation auf einem normalen Server entspricht. Klicken Sie auf Weiter. 8. Auf der nächsten Seite bestätigen Sie den Lizenzvertrag, wie auch bei einer normalen Installation. Klicken Sie danach auf Weiter. 9. Auf der Seite mit der Fehlerberichterstattung deaktivieren Sie diese Funktion am besten wieder. Auch dieser Installationsschritt entspricht der normalen Installation. Abbildung 14.78: Installieren der Passive ClusteredMailbox-Funktion

10. Auf der nächsten Seite des Assistenten können Sie die Installationsart bestimmen. Wählen Sie hier Benutzerdefinierte Installation von Microsoft Exchange Server aus. 11. Auf der nächsten Seite können Sie die Serverfunktionen auswählen. Aktivieren Sie hier die Option Passive ClusteredMailbox-Funktion. Die Management-Tools werden dabei automatisch mit ausgewählt (siehe Abbildung 14.78). 12. Haben Sie die Funktion ausgewählt, überprüft der Installations-Assistent, ob alle Voraussetzungen getroffen worden sind. Werden keine Fehler protokolliert,

884


können Sie die Installation abschließen. Klicken Sie dazu auf die Schaltfläche Installieren. 13. Nach einigen Minuten wird die Installation abgeschlossen, und Sie erhalten eine Zusammenfassung. Schließen Sie das Fenster mit der Zusammenfassung, ist die Installation abgeschlossen, und Sie können sich an die Konfiguration von CCR machen (siehe Abbildung 14.). 14. Die Installation sollte keine Fehlermeldungen bringen, und alle Funktionen sollten erfolgreich abgeschlossen werden. Sie können sich den Inhalt des Fensters in eine Textdatei mit der Tastenkombination [STRG]+[C] kopieren. Wird die Installation erfolgreich abgeschlossen, können Sie das Fenster mit der Schaltfläche Fertig stellen schließen.

1 2 3 Abbildung 14.79: Fertigstellen der Installation des zweiten Clusterknotens

4 5 6 7 8 9 10 11

Installation von Exchange Server 2007 auf dem passiven Clusterknoten in der Befehlszeile Sie können die Installation des aktiven Clusterknotens auch in der Exchange-Verwaltungsshell durchführen. Gehen Sie dazu folgendermaßen vor:

12 13

1. Öffnen Sie eine Befehlszeile. 2. Navigieren Sie dazu zu den Installationsdateien von Exchange Server 2007. 3. Geben Sie den Befehl setup /roles:mailbox ein. Haben Sie den passiven Knoten installiert, sollten Sie nach der Installation die Vorgänge durchführen, die ich im Abschnitt Seeding – Kopieren der Exchange-Datenbankdateien vom aktiven zum passiven Clusterknoten bespreche. Hierbei werden die Datenbank und die aktuellen Transaktionsprotokolle auf einen Schlag auf den passiven Knoten übertragen. Nach der ersten Einrichtung werden die Transaktionsprotokolle automatisch übertragen.

14 15 TIPP

885


Deinstallation eines CCR-Clusters Die Deinstallation eines CCR-Clusters ist identisch mit der Deinstallation eines Single Copy Clusters. Dieser Bereich wurde in diesem Kapitel bereits beschrieben.

14.4.3 Schnellanleitung zur Installation eines Clusters mit der fortlaufenden Clusterreplikation In diesem Abschnitt gehe ich nochmals in aller Kürze auf die Reihenfolge zur Installation eines CCR-Clusters ein:

1. Installation zweier Windows Server 2003 R2 mit Exchange Server 2007. 2. Voraussetzungen IIS und PowerShell (Achtung: kein SMTP mehr). 3. Konfiguration des Public- und Private-Netzwerks (die Clusterknoten brauchen 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

18. 19. 20. 21.

886

zwei Netzwerkkarten). Erzeugen des Clusters am ersten Knoten (dabei nicht das normale Quorum auswählen, sondern Hauptknotensatz verwenden). Installation des File Share Witness-Features, das mit SP1 eingeführt wurde (http://support.microsoft.com/?id=921181). Installation des zweiten Clusterknotens. Beide Knoten nach Installation des Fix booten. Konfiguration der externen Freigabe, Microsoft empfiehlt die Verwendung der Hub-Transport-Rolle. Freigabe für MNS anlegen und dem Clusterkonto volle Kontrolle auf die Freigabe und im Dateisystem geben, den Rest herausnehmen. MNS-Ressource konfigurieren mit: cluster.exe res Hauptknotensatz /priv MNSFileShare=\<Server\MNS-Share>. Clustergruppe einmal zum anderen Knoten verschieben und wieder zurück, um die Funktionsfähigkeit zu testen. Check mit: cluster res Hauptknotensatz /priv. Die Freigabe sollte im Ergebnis aufgelistet sein. Datenbank und Transaktionsprotokolle auf einer anderen Partition oder Festplatte vorbereiten. Exchange Server 2007-Installation auf dem ersten Knoten auswählen, dabei schon den neuen Pfad zur Datenbank angeben. Clusterverwaltung aufrufen und überprüfen, ob alle Ressourcen online sind. In der MNS-Freigabe überprüfen, ob dort Dateien und Verzeichnisse angelegt wurden. Transaktionsprotokolle aus dem Datenbankpfad herausnehmen, dazu die Postfachdatenbank dismounten: move-StorageGroupPath -Identity:<Server\Speichergruppe> -LogFolderPath: -SystemFolderPath: : – configurationonly:$true Alle Transaktionsprotokolle manuell in das neue Verzeichnis verschieben. Zweiten Knoten installieren. Verzeichnisse für Datenbankdateien und Transaktionsprotokolle exakt mit dem aktiven Knoten erstellen. Exchange-Installation starten, dabei passiven Knoten auswählen.


22. Konfiguration des Transport Dumpsters auf einem Hub-Transport-Server. Dieser Server hält Nachrichten vor und sendet sie selbstständig nach einem Failover zum passiven Knoten, um Verlust von Nachrichten zu vermeiden. Der passive Knoten hängt immer einige Logs hinterher. Folgender Befehl auf dem HubTransport-Server: Set-transportconfig -MaxDumpsterSizePerStorageGroup 20MB -MaxDumpsterTime 07.00:00:00. In diesem Fall wird der Dumpster mit 20 MB pro Speichergruppe konfiguriert. Maximal bleiben Nachrichten für sieben Tage im Dumpster erhalten. 23. Jetzt Failover und Failback testen mit move-clusteredMailboxServer.

1 2 3

14.4.4 Verwalten eines Clusters mit der fortlaufenden Clusterreplikation

4

Nach der Einrichtung der fortlaufenden Clusterreplikation werden automatisch alle Datenbanken auf dem aktiven Clusterknoten zum passiven Clusterknoten repliziert. Im folgenden Abschnitt gehe ich ausführlicher auf die wichtigsten Aufgaben ein, die für die Verwaltung eines Clusters mit der fortlaufenden Clusterreplikation (Cluster Continuous Replication, CCR) benötigt werden. Nach der Einrichtung sollte die Replikation der Postfachdatenbank als Fehlerfrei angezeigt werden. In diesem Fall können Sie sicher sein, dass die Replikation stattfindet (siehe Abbildung 14.80).

5 6 Abbildung 14.80: Fehlerfreier Kopierstatus nach der Einrichtung von CCR

7 8 9 10 11

Die Wartungsarbeiten, die identisch mit einem Single Copy Cluster sind, wurden bereits besprochen. Zu diesen Arbeiten gehört zum Beispiel das Offline- und OnlineSchalten von Exchange-Clustergruppen oder das Verschieben auf den passiven Knoten.

12 13

Den Status des installierten Clusters können Sie in der Exchange-Verwaltungsshell mit dem Befehl Get-ClusteredMailboxServerStatus -Identity: abrufen (siehe Abbildung 14.81).

14 Sie können die Exchange-Clustergruppe erst dann auf den passiven Knoten verschieben, wenn die Replikation der Datenbank durchgeführt worden ist und auf dem passiven Knoten eine Kopie der Datenbank abgelegt wurde. Liegt noch keine Kopie auf dem passiven Knoten, schlägt die Clusterressource der ersten Speichergruppe fehl. Sie können zu Beginn der Replikation die *.edb-Datei der Datenbank manuell auf den passiven Knoten in das Verzeichnis der Datenbank kopieren. Dieses muss identisch mit dem aktiven Clusterknoten sein.

HALT

15

887


Abbildung 14.81: Status des Clusters in der ExchangeVerwaltungsshell anzeigen

Wartungsarbeiten an den Datenträgern des Clusters Wollen Sie Wartungsarbeiten an den Datenträgern des Clusters durchführen, um zum Beispiel mehr Plattenplatz zur Verfügung zu stellen oder einen Datenträger auszutauschen, müssen Sie die Replikation stoppen und nach den Wartungsarbeiten wieder aktivieren. Im nächsten Abschnitt gehe ich noch ausführlicher darauf ein, wie Sie die Replikation im Cluster stoppen und starten können.

Starten und Stoppen der Clusterreplikation Sie können die Replikation der Transaktionsprotokolle vom aktiven zum passiven Knoten temporär stoppen, wenn Sie zum Beispiel Wartungsarbeiten an den Datenträgern durchführen wollen oder ab einem bestimmten Zeitpunkt keine Daten mehr in die kopierte Datenbank repliziert werden sollen. Der beste Weg, die CCR-Replikation zu stoppen, ist über die Exchange-Verwaltungsshell auf dem passiven Clusterknoten. Sie können manche Vorgänge auch auf dem aktiven Knoten durchführen, erhalten dann aber einige andere Zustände und Fehlermeldungen als auf dem passiven Knoten. Im folgenden Abschnitt gehe ich auf die Auswirkungen auf beiden Knoten ein. Den aktuellen Status der Replikation erhalten Sie, wenn Sie in der Shell den Befehl Get-StorageGroupCopyStatus -Identity:<Speichergruppe> eingeben (siehe Abbildung 14.82). Ist nur eine Datenbank vorhanden, reicht der Befehl Get-StorageGroupCopyStatus ohne weitere Option. Abbildung 14.82: Anzeigen des Status der CCR-Replikation in der ExchangeVerwaltungsshell

Stoppen der Replikation Um die Replikation temporär anzuhalten, geben Sie den Befehl Suspend-StorageGroupCopy -Identity:<Server\Speichergruppe> -suspendcomment: ein (siehe Abbildung 14.83). Der Status der Speichergruppe wird daraufhin mit dem Befehl Get-StorageGroupCopyStatus als Failed angezeigt.

888


Abbildung 14.83: Anhalten der CCR-Replikation in der ExchangeVerwaltungsshell

1 2 3 4

Auch in der Exchange-Verwaltungskonsole wird der Fehler entsprechend angezeigt. Am besten stoppen Sie die CCR auf dem passiven Knoten.

5

In diesem Fall wird die Replikation korrekterweise als Suspended angezeigt (siehe Abbildung 14.84). Abbildung 14.84: Anhalten der CCR auf dem passiven Knoten

6 7 8 9 10

Halten Sie die CCR auf dem passiven Knoten an, wird der Status der CCR in der Exchange-Verwaltungskonsole auch auf dem aktiven Knoten als Angehalten angezeigt (siehe Abbildung 14.85).

11 Abbildung 14.85: Anzeigen des Status beim Anhalten der CCR

12 13

14 15

889


Starten der Replikation Um die Replikation wieder zu starten, geben Sie den Befehl Resume-StorageGroupCopy -Identity:<Server\Speichergruppe> -suspendcomment: ein. Geben Sie den Befehl Get-StorageGroupCopyStatus ein, sollte der Wert wieder als Healthy angezeigt werden. In diesem Fall wurde die Replikation wieder gestartet.

14.4.5 Seeding – Kopieren der ExchangeDatenbankdateien vom aktiven zum passiven Clusterknoten Der Vorgang, bei dem die Datenbankdatei der produktiven Datenbank vom aktiven zum passiven Knoten übertragen wird, bezeichnet Microsoft als Seeding. Bei diesem Vorgang werden nicht nur die einzelnen Transaktionsprotokolle vom aktiven Knoten zum passiven per CCR repliziert, sondern die komplette Datenbank übertragen. Das hat den Vorteil, dass Sie auf einen Schlag eine Echtzeitkopie der produktiven Datenbank auf dem passiven Knoten zur Verfügung stellen können. Dieser Vorgang macht zum Beispiel Sinn, wenn Sie einen neuen Knoten in den Cluster aufnehmen und diesen sofort aktualisieren wollen. Ist die produktive Datenbank kopiert worden, wird dieser wieder durch die laufende Clusterreplikation (CCR) aktuell gehalten. Auch wenn auf dem passiven Knoten ein Fehler aufgetreten ist und die kopierten Daten verloren gegangen sind, können Sie durch Seeding diese wieder aktualisieren. Haben Sie eine Offline-Defragmentation Ihrer produktiven Datenbank durchgeführt, sollten Sie die defragmentierte Version auf den passiven Knoten übertragen. TIPP

Ein automatisches Seeding führt Exchange durch, wenn das erste Transaktionsprotokoll der Datenbank noch vorhanden ist und Sie eine neue Datenbank auf dem produktiven Server erstellen. Um einen manuellen Kopiervorgang der produktiven Exchange-Datenbank und deren *.edb-Dateien durchzuführen, geben Sie folgendermaßen vor:

1.

2. 3.

4.

890

Öffnen Sie auf dem passiven Knoten die Exchange-Verwaltungsshell. Auf dem aktiven Knoten kann dieser Weg nicht wie hier beschrieben durchgeführt werden. Geben Sie in der Shell den Befehl Suspend-StorageGroupCopy -Identity:<Server\Speichergruppe> ein, damit die Replikation angehalten wird. Löschen Sie auf dem passiven Knoten alle Transaktionsprotokolle und alle Datenbankdateien. Von diesem Löschvorgang sind auch die *chk-Dateien (siehe Kapitel 6) betroffen. Geben Sie in der Exchange-Verwaltungsshell auf dem passiven Knoten den Befehl Update-StorageGroupCopy -Identity: <Server\Speichergruppe> (siehe Abbildung 14.86) ein.


5. Haben Sie nicht alle Transaktionsprotokolle gelöscht oder sind sonst noch

6. 7.

Dateien vorhanden, erhalten Sie eine Fehlermeldung beim Seeding. Wurden alle Dateien ordnungsgemäß gelöscht und die Replikation angehalten, wird das Seeding fehlerfrei durchgeführt (siehe Abbildung 14.86). Der Befehl Update-StorageGroupCopy führt automatisch wieder einen Start der CCR-Replikation durch, Sie müssen diesen nicht manuell durchführen. Überprüfen Sie nach der Replikation, ob die Transaktionsprotokolle und die Datenbankdateien auf dem passiven Knoten vorhanden sind und kopiert wurden.

1 2

Abbildung 14.86: Manuelles Seeding einer Datenbank in einem CCR-Cluster

3 4 5 6 7

Überprüfen der Cluster Continuous Replikation mit Eseutil.exe

8

In Kapitel 6 bin ich bereits auf die Verwaltung von Exchange-Datenbanken mit Eseutil.exe eingegangen. Im folgenden Abschnitt zeige ich Ihnen, wie Sie mit diesem Befehlszeilenprogramm die Kopie der Cluster Continuous Replication überprüfen.

9

Wollen Sie die Kopie der Cluster Continuous Replication auf dem passiven Knoten überprüfen, müssen Sie zunächst mit Suspend-StorageGroupCopy -Identity:<Server\Speichergruppe> die Replikation temporär unterbrechen. Um im Anschluss die kopierte Datenbank zu überprüfen, gehen Sie folgendermaßen vor:

10

1. 2.

11

3.

Starten Sie die Exchange-Verwaltungskonsole. Um die Transaktionsprotokolle der Speichergruppe zu überprüfen, verwenden Sie den Befehl Eseutil /k (siehe Abbildung 14.87). Enthält der Datenbankname oder -pfad ein Leerzeichen, verwenden Sie Anführungszeichen (siehe Abbildung 14.87). Im Anschluss überprüft Eseutil die Konsistenz der LCR-Datenbank. Stellen Sie sicher, dass keine Fehler gefunden werden.

12 13

Als Nächstes können Sie mit Resume-StorageGroupCopy -Identity:<Server\Speichergruppe> die Replikation wieder starten. Überprüfen Sie den Status mit Get-StorageGroupCopyStatus wieder. Der Status muss wieder als Healthy angezeigt werden (siehe Abbildung 14.88).

14 15

891


Abbildung 14.87: Überprüfen der Konsistenz der LCR-Datenbank

Abbildung 14.88: Reaktivierung der Replikation und Überprüfen der Reaktivierung

Ändern des Speicherortes der produktiven Datenbank in einem CCR-Cluster Wollen Sie den Speicherort der Exchange-Datenbanken oder der Transaktionsprotokolle anpassen, nachdem Sie zusätzliche Knoten zum CCR-Cluster hinzugefügt haben, müssen Sie einige Schritte beachten. Sie können nicht wie bei herkömmlichen Servern einfach den Speicherort in der Exchange-Verwaltungskonsole anpassen, sondern müssen Schritt für Schritt vorgehen, damit nach dem Verschieben auch noch die Replikation zum passiven Clusterknoten funktioniert. Verschieben der Transaktionsprotokolle in ein anderes Verzeichnis Sie können die Transaktionsprotokolle und die Datenbankdateien in verschiedenen Verzeichnissen speichern. Sie müssen beide Vorgänge in verschiedenen Prozeduren durchführen. Um die Transaktionsprotokolle zu verschieben, gehen Sie folgendermaßen vor: 892


1. 2. 3.

Öffnen Sie auf dem passiven Knoten eine Exchange-Verwaltungsshell. Halten Sie die CCR-Replikation mit dem Befehl Suspend-StorageGroupCopy -Identity:<Server\Speichergruppe>an. Heben Sie die Bereitstellung der Postfachdatenbank unterhalb der Speichergruppe in der Exchange-Verwaltungskonsole auf (siehe Kapitel 6).

1 Abbildung 14.89: Bereitstellung der Postfachdatenbank aufheben

2 3 4 5 6

4. Öffnen Sie eine Exchange-Verwaltungsshell auf dem aktiven Knoten der pro-

7

duktiven Datenbank. 5. Als Nächstes können Sie den Pfad in der Exchange-Verwaltungskonsole auf dem aktiven Knoten anpassen. Verwenden Sie dazu den Befehl Move-StorageGroupPath –Identity:<Server\Speichergruppe> -LogFolderPath: –SystemFolderPath:. Im Systempfad wird die Checkpoint-Datei der Transaktionsprotokolle abgelegt. Die Checkpoint-Datei spielt für die Arbeit von Exchange mit den Transaktionsprotokollen und damit der Datenbank eine große Rolle. Jeder Satz Transaktionsprotokolle und jede Speichergruppe hat eine eigene Checkpoint-Datei. Diese Datei wird in dem Verzeichnis gespeichert, das Sie bei der Systempfadangabe gewählt haben. Die Datei hat die Endung *.chk. In dieser Datei hält Exchange fest, welche Änderungen aus den Transaktionsprotokollen bereits in die Datenbank geschrieben wurden. Geht diese Datei verloren, schreibt Exchange beim Starten des Servers alle Informationen, die in den Transaktionsprotokolldateien vorhanden sind, noch einmal in die Datenbank. Je nach Anzahl Ihrer Transaktionsprotokolle kann dieser Vorgang einige Minuten bis Stunden dauern, es müssen dazu alle Transaktionsprotokolle lückenlos vorhanden sein. 6. Verschieben Sie die Dateien jetzt auch auf dem passiven Knoten in die gleichen Verzeichnisse wie auf dem aktiven Knoten. 7. Stellen Sie die Bereitstellung der Datenbank auf dem produktiven Knoten wieder her. 8. Starten Sie mit Resume-StorageGroupCopy -Identity:<Server\Speichergruppe> die Replikation wieder, und überprüfen Sie in der Exchange-Verwaltungskonsole und über Get-StorageGroupCopyStatus ob diese wieder funktioniert. Der Status muss wieder als Healthy angezeigt werden.

8 9 10 11 12 13

14 15

893


Verschieben der Datenbankdateien in ein anderes Verzeichnis Neben den Transaktionsprotokollen können Sie auch die Datenbankdateien in ein anderes Verzeichnis verschieben. Die Vorgänge für Postfachdatenbanken und Datenbanken für öffentliche Ordner sind dabei identisch. Gehen Sie dazu folgendermaßen vor:

1. 2.

Öffnen Sie auf dem passiven Knoten eine Exchange-Verwaltungsshell. Halten Sie die CCR-Replikation mit dem Befehl Suspend-StorageGroupCopy -Identity:<Server\Speichergruppe>an. 3. Öffnen Sie auf dem aktiven Knoten eine Exchange-Verwaltungsshell. 4. Heben Sie auf dem aktiven Knoten die Bereitstellung der Datenbank auf, deren Datenbankdateien Sie verschieben wollen. Verwenden Sie dazu den Befehl Dismount-Database -Identity:<Server\Speichergruppe\Datenbank>. 5. Verschieben Sie auf dem aktiven Knoten mit dem Befehl Move-DatabasePath – Identity:<Server\Speichergruppe\Datenbank -EdbFilePath: die Datenbank. Die Datenbankdateien werden mit diesem Befehl auf dem aktiven Knoten verschoben, aber nicht die kopierten Dateien auf dem passiven Knoten. 6. Kopieren Sie mit dem Windows-Explorer auf dem passiven Knoten die Datenbankdateien in den gleichen Pfad. 7. Stellen Sie die Bereitstellung der Datenbank auf dem aktiven Knoten wieder her. 8. Starten Sie mit Resume-StorageGroupCopy -Identity:<Server\Speichergruppe> die Replikation wieder, und überprüfen Sie in der Exchange-Verwaltungskonsole und über Get-StorageGroupCopyStatus, ob diese funktioniert. Der Status muss wieder als Healthy angezeigt werden.

14.4.6 Wiederherstellen einer Postfachdatenbank in einem CCR-Cluster Ein CCR-Cluster offenbart seine Vorteile erst dann, wenn die produktive Datenbank auf dem aktiven Knoten nicht mehr funktioniert und wiederhergestellt werden muss. Ohne CCR muss ein Administrator dazu die Datenbank aus einer Sicherung wiederherstellen, was mehrere Stunden dauert. Alle Daten der Benutzer ab der letzten Datensicherung gehen bei diesem Vorgang verloren. Durch die Cluster Continuous Replication kann die produktive Datenbank in Sekunden bis Minuten nahezu ohne Datenverluste wiederhergestellt werden. Gehen Sie dazu folgendermaßen vor:

1. 2.

3. 4.

5.

894

Heben Sie die Bereitstellung der Datenbank auf dem produktiven Knoten auf. Kopieren Sie zunächst die vermeintlich defekte Datenbank des aktiven Knotens an einen sicheren Ort, damit diese später unter Umständen doch noch repariert werden kann. Stellen Sie die Bereitstellung wieder her. Verschieben Sie in der Clusterverwaltung den virtuellen Exchange Server auf den passiven Knoten. Sie können dazu auch die Exchange-Verwaltungsshell und den Befehl Move-ClusteredMailboxServer -Identity: -targetmachine:<Passiver Knoten> verwenden (siehe Abbildung 14.90). Sollte bei diesem Vorgang ein Fehler auftreten, sind unter Umständen noch nicht alle Transaktionsprotokolle vom aktiven auf den passiven Knoten verschoben worden. Versuchen Sie in diesem Fall in der Exchange-Verwaltungsshell auf dem aktiven oder passiven Knoten den Befehl Move-ClusteredMailboxServer -Identity: -targetmachine:<Passiver Knoten> -ignoredismounted.

Troubleshooting für Single Copy Cluster und Cluster Continuous Replication

Abbildung 14.90: Verschieben des virtuellen Exchange Servers vom aktiven auf den passiven Knoten

1 2 3 4 5

6. Verwenden Sie den Befehl Restore-StorageGroupCopy -Identity:<Server\Speichergruppe> in der Exchange-Verwaltungsshell auf dem passiven Knoten (dem jetzigen aktiven), um die Wiederherstellung abzuschließen, wenn die Datenbank nicht bereits als Bereitgestellt dargestellt wird. Mit diesem Befehl wird die kopierte Datenbank auf dem passiven Knoten als aktive Datenbank markiert. 7. Stellen Sie die Bereitstellung der Datenbank in der Exchange-Verwaltungskonsole wieder her. 8. Überprüfen Sie, ob alle Datenbanken wieder als Bereitgestellt in der ExchangeVerwaltungskonsole angezeigt werden. 9. Kann eine Datenbank nicht bereitgestellt werden, überprüfen Sie mit Get-StorageGroupCopyStatus, wie bereits in diesem Kapitel beschrieben, den Zustand der Kopie der Datenbank auf dem passiven Knoten. Es muss sich eine Kopie der produktiven Datenbank auf dem passiven Knoten befinden. 10. Laufen die Datenbanken wieder, sollten Sie die Probleme auf dem ehemaligen aktiven Knoten beheben und die Cluster Continuous Replication wieder einrichten.

14.5

6 7 8 9 10 11


12

Da eine geclusterte Umgebung immer eine Quelle für eine Vielzahl an Fehlern sein kann, sollten Sie bei der Fehlerbehebung immer sehr sorgfältig vorgehen. Im folgenden Abschnitt gehe ich ausführlicher auf die einzelnen möglichen Fehler in einem Exchange Server 2007-Cluster ein.

13

Vor allem in einer CCR-Infrastruktur können verschiedene Fehler auftreten. Sollten bei Ihnen verschiedene Funktionen der CCR Probleme bereiten, überprüfen Sie zunächst im entsprechenden Abschnitt in diesem Kapitel, ob die Einrichtung korrekt vorgenommen worden ist. Exchange Server 2007 und der Clusterdienst von Windows Server 2003 liefern darüber hinaus einige Hilfestellungen im Anwendungsund Systemprotokoll der Ereignisanzeige. Auf der Internetseite www.eventid.net finden Sie für die meisten Fehler aus den Ereignisanzeigen bereits entsprechende Hilfestellungen. Im folgenden Abschnitt gehe ich auf die verbreitetsten Fehler ein.

14 15

895


14.5.1

Eine Clusterressource lässt sich nicht online schalten

Dieser Fehler ist einer der häufigsten in Clusterumgebungen. Lässt sich eine Ressource des virtuellen Exchange Servers nicht online schalten, können die Anwender nicht mit dem Server eine Verbindung aufbauen, und auch die Administration ist nicht mehr richtig möglich (siehe Abbildung 14.91). Abbildung 14.91: Fehlerhafte Ressource eines Exchange Servers im Cluster

Der erste Schritt besteht darin, dass Sie in der Exchange-Verwaltungsshell den Status des geclusterten virtuellen Exchange Servers mit dem Befehl get-clusteredmailboxserverstatus anzeigen lassen (siehe Abbildung 14.92). Hier erhalten Sie bereits entsprechende Hinweise, wo das Problem begründet ist. Abbildung 14.92: Fehler beim OnlineSchalten einer Ressource

Eine erste Maßnahme in einem solchen Fall ist, dass Sie den Clusterdienst auf dem Knoten beenden, auf dem der Fehler auftritt. Der Cluster versucht, die Ressourcen auf den zweiten Knoten zu verschieben. Gelingt das nicht, ist das an dieser Stelle noch nicht weiter schlimm. Starten Sie den Clusterdienst wieder, und verschieben Sie die Clustergruppe zurück auf den aktiven Knoten. Normalerweise sollte jetzt die Ressource online geschaltet werden (siehe Abbildung 14.93).

896


Abbildung 14.93: Erfolgreich online geschaltete Clusterressource

1 2 3 Sollte noch immer ein Fehler auftreten, liegt das meistens an der Ressource für die Exchange-Datenbank. Überprüfen Sie in der Exchange-Verwaltungskonsole, in welchem Verzeichnis sich die Exchange-Datenbankdateien befinden müssen (siehe Abbildung 14.94). Stellen Sie sicher, dass sich am konfigurierten Ort sowohl die Transaktionsprotokolle als auch die Exchange-Datenbankdateien befinden. Liegen die Dateien an einem anderen Ort, überprüfen Sie im entsprechenden Abschnitt in diesem Kapitel, ob Sie diese Verzeichnisse korrekt konfiguriert haben, oder verschieben Sie die entsprechenden Dateien in das Verzeichnis, das in der Exchange-Verwaltungskonsole angezeigt wird.

4 5 6 Abbildung 14.94: Überprüfen des Pfads zu den Exchange-Datenbankdateien

7 8 9 10 11

14.5.2 Der Zustand der CCR-Replikation wird als Failed angezeigt

12

Wird die Replikation der CCR-Daten nicht korrekt angezeigt, sollten Sie immer als Erstes überprüfen, ob die produktive Datenbank des aktiven Knotens bereits durch Seeding auf den passiven Knoten übertragen worden ist (siehe weiter vorne in diesem Kapitel). Erst wenn sich im gleichen Verzeichnis auf dem passiven Knoten wie dem aktiven Knoten eine Datenbankdatei befindet, können die Transaktionsprotokolle per CCR vom aktiven auf den passiven Knoten übertragen werden.

13

14

Sollten noch immer Fehler auftreten, verwenden Sie den Exchange-Verwaltungsshell-Befehl Update-StorageGroupCopy. Den Zustand der CCR-Replikation können Sie in der Shell mit get-storagegroupcopystatus überprüfen lassen (siehe Abbildung 14.95).

15

897


Abbildung 14.95: Überprüfen der CCR-Replikation in der ExchangeVerwaltungsshell mit get-storagegroupcopystatus

Sollten noch immer Probleme auftreten, löschen Sie auf dem passiven Knoten alle Datenbankdateien, alle Transaktionsprotokolle und die *.chk-Datei der Transaktionsprotokolle, und führen Sie ein Seeding aus, das bereits weiter vorne beschrieben worden ist.

14.6

Wiederherstellen eines Clusters

In diesem Abschnitt wird die Wiederherstellung der Postfachclusterserver-Funktion in einer CCR-Konfiguration (Cluster Continuous Replication, fortlaufende Clusterreplikation) oder einer SCC-Konfiguration (Single Copy Cluster, Einzelkopiecluster) von Exchange Server 2007 besprochen. Die Serverfunktion Mailbox können Sie durch Eingabe von ExSetup.exe an der Eingabeaufforderung wiederherstellen. Eine Aufteilung von Postfachclusterservern von einem Einzelkopiecluster auf mehrere Microsoft Clusterdienstcluster oder umgekehrt wird im Rahmen der Wiederherstellung von Postfachclusterservern nicht unterstützt. Bevor Sie die Serverfunktion Mailbox auf einem Cluster wiederherstellen können, müssen Sie einen Microsoft Windows Server 2003-Cluster für einen Exchange 2007Postfachclusterserver mithilfe von Cluster.exe erstellen. Clusterknotennamen, Knoten-IP-Adressen, Clustername und IP-Adresse müssen nicht mit dem Namen und der Adresse des verlorenen Postfachclusterservers übereinstimmen. Alle Abhängigkeiten des Postfachclusterservers von diesen Variablen werden über ExSetup gesteuert. Um einen Mailbox-Server auf einem Clusterserver wiederherzustellen, müssen Sie sich mit einem Domänenkonto anmelden, das über Exchange-Administratorrechte verfügt, und ein Mitglied der lokalen Gruppe Administratoren auf diesem Computer sein. So stellen Sie einen Postfachclusterserver wieder her:

1. 2. 3.

4.

898

Installieren Sie die passive Serverfunktion Mailbox auf dem Knoten, auf dem Ihr Postfachclusterserver wiederhergestellt werden soll. Wechseln Sie zum Wiederherstellen des Postfachclusterservers in das Verzeichnis bin unter den Exchange-Programmdateien. Führen Sie den Befehl exsetup /recoverCMS /CMSName: /CMSIPaddress: aus. Die Speicherkonfiguration sollte der des verlorenen Postfachclusterservers vor dem Ausführen von ExSetup.exe entsprechen. Nach dem Wiederherstellen eines CCR-Clusters wird die Replikation angehalten. Die Replikation muss aktiviert werden, bevor der CCR-Cluster vollständig in Betrieb ist. Unter Umständen müssen Sie ein erneutes Seeding für die Replikatdatenbank ausführen. Stellen Sie Ihre Datenbanken wieder her.

Einzelkopiecluster mit Windows Server 2008 und Exchange Server 2007 SP1

5. Ist die Einstellung Diese Datenbank beim Start nicht bereitstellen festgelegt, entfer-

6.

nen Sie diese aus den Exchange-Datenbanken mithilfe des folgenden ExchangeVerwaltungsshell-Befehls: Set-MailboxDatabase -MountAtStartUp $true Handelt es sich bei dem wiederhergestellten Cluster um einen CCR-Cluster, müssen Sie ein Seeding des Replikats durchführen und die Replikation fortsetzen.

14.7

1 2


3

Im folgenden Abschnitt gehe ich auf die Erstellung eines Clusters mit Windows Server 2008 und Exchange Server 2007 ein. In diesem Zusammenhang zeige ich Ihnen auch die wichtigsten Neuerungen der Clusterdienste von Windows Server 2008.

4

14.7.1

5

Neuerungen von Clustern unter Windows Server 2008

Die neue Verwaltungsoberfläche der Clusterverwaltung basiert auf der neuen Microsoft Management Console (MMC) 3.0, die mit Windows Server 2003 R2 eingeführt und in Windows Server 2008 weiter verbessert wurde. Clusterverwalter können mit diesem leicht zu bedienenden und intuitiven Programm jetzt effizienter einen Cluster überwachen und verwalten. Microsoft hat bei der Konsole den Fokus auf die Verwaltung der Clusterapplikationen gesetzt, nicht auf die Verwaltung des Clusters selbst. Dadurch können viele Administratoren Clusterapplikationen wie zum Beispiel Exchange Server 2007 oder SQL Server 2005/2008 verwalten, ohne tief in die Clusterverwaltung vordringen zu müssen. In der Konsole können Ereignisse, die den Cluster betreffen, gezielt überwacht werden, die Konfiguration wird eindeutig und leicht verständlich angezeigt, ohne durch viele Untermenüs klicken zu müssen. Auch die Hardware des Clusters kann effizient überwacht werden. Diese neue Cluster Management Console bietet Clusterverwaltern eine neue Erfahrung. Verbessert wurden auch die Funktionen, um einen Cluster in der Befehlszeile zu verwalten, sowie die Unterstützung für WMI. Die Clusterkonfiguration kann mit dem Schattenkopiedienst gesichert und wiederhergestellt werden. Ebenfalls neu im Windows Server 2008Failover-Clustering sind die Verbesserungen in der Netzwerkschicht. Ein Cluster unter Windows Server 2008 profitiert vom neuen TCP/IP-Stack und der vollen IPv6Unterstützung. Die Kommunikation zwischen den Clusterknoten (Heartbeat) findet jetzt mit IPv6 statt. Es gibt keine Abhängigkeiten mehr von NetBIOS, sodass auch Umgebungen ohne WINS-Server oder NetBIOS-Paketen von der standardisierten Namensauflösung per DNS profitieren. Es werden keine Broadcasts mehr benötigt, was den Transport des SMB-Verkehrs deutlich verbessert.

6

Mit dem Cluster-Migrationsassistenten können bestehende Windows Server 2003Cluster leicht und effizient zu Windows Server 2008-Clustern migriert werden, sodass nicht zwingend Neuinstallationen notwendig sind. Es ist allerdings nicht möglich, dass in einem Cluster Windows Server 2003-Knoten und Windows Server 2008-Knoten betrieben werden, es wird nur ein einheitlicher Betriebssystemstand unterstützt. Ebenfalls neu sind Verbesserungen in der Sicherheit eines Clusters. Der Clusterdienst läuft unter Windows Server 2008 im Kontext des LocalSystem-Kontos, es ist nicht mehr zwingend ein eigenes Domänenkonto mit erweiterten Berechtigun-

14

7 8 9 10 11 12 13

15

899


gen notwendig. Auch innerhalb der Clusterstrukturen hat Microsoft viele Verbesserungen in der Sicherheit eingeführt. So arbeiten Applikationen und DLLs des Clusters mit so wenigen Rechten wie möglich und haben keine Berechtigungen mehr, uneingeschränkt mit dem Netzwerk zu kommunizieren. Angriffe auf Cluster, um Berechtigungen im Netzwerk zu erhalten, werden dadurch eingeschränkt. Das Quorum-Modell ist in Windows Server 2008 eine Mischung der besten Eigenschaften des bisherigen Shared Disks und des Majority Node Sets (MNS). Durch dieses neue Majority-Quorum-Modell wird die Stabilität eines Clusters erhöht. Die beiden Vorgängermodelle werden durch den neuen Quorum-Typ vollkommen ersetzt, es gibt keinen Single Point of Failure mehr. Ein Cluster überlebt ohne Weiteres, auch wenn er sein Quorum verliert. Dazu hält jeder Clusterknoten eine replizierte Offline-Kopie des Quorums vor, mit der die Zeit ohne das Quorum überbrückt werden kann. Der MNS kann weiter verwendet werden, profitiert aber auch von den Neuerungen. Durch diese neuen Funktionen profitieren vor allem auch Cluster für Exchange Server 2007, der verschiedene Clusterunterstützungen mitbringt, die teilweise auf MNS aufbauen, wie zum Beispiel die Cluster Continuous Replication. Durch die Verbesserungen in der Netzwerkschicht eines Clusters können die Knoten ein und desselben Clusters auch sehr weit auseinanderliegen. Durch dieses GeoClustering ist es möglich, dass sich ein Cluster über mehrere Niederlassungen erstreckt, was die Ausfallsicherheit auch bei größeren Katastrophen deutlich erhöht. Unternehmen mit einer echten Desaster-Recovery-Planung profitieren daher extrem von den neuen Funktionen. Clusterknoten müssen sich nicht mehr in einem gemeinsamen Subnetz befinden und können jetzt auch über Router zwischen verschiedenen Netzen kommunizieren. Aus diesem Grund ist es auch nicht mehr notwendig, Clusterknoten mit virtuellen LANs (VLANs) miteinander zu verbinden, was die Kosten für einen Cluster unter Windows Server 2008 weiter reduziert und die Einbindung in Desaster-Recovery-Szenarien mit Geo-Clustern erhöht. Der Heartbeat-Timeout kann konfiguriert werden, sodass Clusterknoten auch über schmalbandige WAN-Anbindungen konsistent miteinander kommunizieren können. Clusterknoten können durch diese neue Möglichkeit weiter voneinander entfernt positioniert werden. Cluster, die sich in einem gemeinsamen LAN befinden, profitieren von der Möglichkeit, den Timeout zu reduzieren, sodass der Ausfall eines Knotens noch schneller festgestellt und Wiederherstellungsaktionen in kürzerer Zeit durchgeführt werden können. Cluster mit gemeinsamen Datenträgern profitieren von der besseren Anbindung an SAN-Strukturen. Cluster unter Windows Server 2008 unterstützen serielles SCSI (SAS), iSCSI und Fibre Channel für die Anbindung von Datenträgern. Paralleles SCSI wird für gemeinsame Datenträger nicht mehr unterstützt. Es werden keine SCSI-Bus-Resets mehr verwendet, was bei Clustern mit gemeinsamen Datenträgern auf SANs viele Probleme bereitet hat. Die generelle Verwaltung des gemeinsamen Datenträgers wurde überarbeitet und optimiert. Cluster unter Windows Server 2008 unterstützen jetzt auch GPT-Datenträger. Das Datenträger-Partitionsformat MBR (Master Boot Record) unterstützt Volumes mit einer Größe von bis zu zwei Terabytes und bis zu vier Primärpartitionen pro Datenträger (oder drei Primärpartitionen, eine erweiterte Partition und eine unbegrenzte Anzahl logischer Laufwerke). Im Vergleich dazu unterstützt das Partitionsformat GPT (GUID-Partitionstabelle) Volumes mit einer Größe von bis zu 18 Exabytes und bis zu 128 Partitionen pro Datenträger. Anders als bei Datenträgern mit dem MBRPartitionsformat werden Daten, die für den Betrieb der Plattform zwingend erforderlich sind, in Partitionen abgelegt und nicht in Sektoren ohne Partition oder in versteckten Sektoren. Außerdem besitzen Datenträger mit dem GPT-Partitionsformat 900


redundante Primär- und Sicherungspartitionstabellen, wodurch die Integrität der Partitionsdatenstruktur verbessert wird. Auf GPT-Datenträgern können Sie dieselben Aufgaben wie auf MBR-Datenträger durchführen. Zusätzlicher Speicherplatz kann Clusterapplikationen zugewiesen werden, ohne dass diese Offline gesetzt werden müssen. Die Eigenschaften von Ressourcen können bearbeitet werden, während diese online sind, sodass die Verfügbarkeit des Clusters deutlich erhöht wird, da Applikationen auch während der Wartung des Clusters zur Verfügung stehen. Abhängigkeiten des Cluster-Netzwerknamens können für mehrere virtuelle IP-Adressen gesetzt werden und können mit ODER-Verbindungen verknüpft werden.

14.7.2

1 2 3

Windows Server 2003-Cluster migrieren 4

Cluster, die mit Windows Server 2003 betrieben werden, können relativ leicht auf Windows Server 2008 migriert werden. Dabei empfiehlt Microsoft folgende Vorgehensweise:

1. 2.

3.

4.

5.

5

Verschieben Sie alle Gruppen vom zweiten Clusterknoten, damit dieser im Cluster keine Rolle mehr spielt. Entfernen Sie den Knoten vom Cluster. Gehen Sie dazu folgendermaßen vor: Öffnen Sie die Clusterverwaltung auf dem aktiven Knoten. Klicken Sie mit der rechten Maustaste auf den passiven Knoten, und wählen Sie Clusterdienst beenden. Nach kurzer Zeit wird der Clusterdienst als beendet angezeigt. Klicken Sie nochmals auf den passiven Knoten mit der rechten Maustaste, und wählen Sie dieses Mal Knoten entfernen. Es erscheint eine Warnmeldung, und der Knoten wird aus dem Cluster entfernt. Haben Sie einen Clusterknoten von einem Cluster entfernt und wollen diesen Knoten erneut einem Cluster hinzufügen, funktioniert unter Umständen der Clusterdienst nicht mehr richtig. Geben Sie in diesem Fall in der Befehlszeile den Befehl sc create clussvc ein. Mit diesem Befehl werden die Registrierungsdaten des Clusters wiederhergestellt. Die physikalische Verbindung zum SAN, also dem gemeinsamen Datenträger, bleibt erhalten. Installieren Sie auf dem Server neu Windows Server 2008. Erstellen Sie dann mit dem Server einen neuen Cluster mit einem neuen Clusternamen. Eine Aktualisierung von Windows Server 2003 zu Windows Server 2008 ist zwar prinzipiell möglich, allerdings rät Microsoft dringend davon ab und empfiehlt eine komplette Neuinstallation. Starten Sie die Clusterverwaltung auf dem Windows Server 2008-Cluster. Klicken Sie mit der rechten Maustaste auf den Cluster, und wählen Sie Weitere Aktionen/Dienste und Anwendungen migrieren. Anschließend startet der Assistent zur Migration von Clusterdiensten. Hier werden auf mehreren Seiten der Quellcluster und die dazugehörigen Gruppen ausgewählt, die migriert werden sollen. Mit dem Assistenten kann Gruppe für Gruppe zum neuen Cluster migriert werden. Ob die Migration funktioniert, hängt von den Ressourcen ab. Windows-interne Ressourcen wie DHCP, DNS, Datei- und Druckdienste werden problemlos übernommen. SQL Server oder Exchange kann nur übernommen werden, wenn vor der Migration die entsprechende Software auf dem zweiten Knoten installiert wurde. Da die Ressourcen auf dem ersten Knoten ohnehin erhalten bleiben und nur kopiert, nicht verschoben werden, kann die erfolgreiche Übernahme auch getestet werden. Nach der

6 7 8 9 10 11 12 13

14 15

901


6. 7.

HALT

Migration sind die Ressourcen auf dem Windows Server 2008-Knoten online und müssen erst offline geschaltet werden. Nehmen Sie die Gruppen auf dem alten Cluster offline und auf dem neuen Cluster online. Installieren Sie den anderen Clusterknoten ebenfalls neu, und fügen Sie diesem dem Windows Server 2008-Cluster hinzu. Die Migration ist an dieser Stelle abgeschlossen.

Der Assistent für die Clustermigration kann nur von Windows Server 2003 zu Windows Server 2008 migrieren. Eine Migration zurück zu Windows Server 2003 kann nicht automatisiert werden.

14.7.3

Installation eines Clusters mit iSCSI-Testumgebung

Auf den folgenden Seiten zeige ich Ihnen den Aufbau eines Clusters mit Windows Server 2008 am Beispiel einer Testumgebung mit Virtual PC 2007. Die Installation eines Clusters läuft in einer produktiven Umgebung so ab wie in einer virtuellen Umgebung. Durch die Testumgebung haben Sie aber Gelegenheit, das Thema vorab zu testen.

Vorbereitungen für die Clusterinstallation Um einen Cluster zu installieren, in diesem Fall in einer virtuellen Testumgebung, müssen mehrere Vorbereitungen getroffen werden. Für die Testumgebung werden drei virtuelle Server benötigt, die Sie am besten mit Virtual PC 2007 erstellen. Ein virtueller Server wird mit Windows Server 2003 installiert. Für eine virtuelle Umgebung reichen 256 MB Arbeitsspeicher für den virtuellen Domänencontroller, der auch als iSCSI-Target konfiguriert wird. Aus diesem Server machen Sie einen Domänencontroller, damit für den Cluster eine Domäne in der Testumgebung zur Verfügung steht. In einer produktiven Umgebung benötigen Sie für einen Cluster natürlich keine eigene Domäne. Hier werden die Clusterknoten als Mitgliedsserver zur bereits vorhandenen Domäne installiert. Auf den anderen beiden virtuellen Servern installieren Sie Windows Server 2008 Enterprise Edition und nehmen diese in die Domäne des virtuellen Domänencontrollers auf. iSCSI installieren Im Gegensatz zu Windows Server 2003, unterstützt ein Cluster mit Windows Server 2008 keinen gemeinsamen SCSI-Bus mehr. Als gemeinsamer Datenträger für den Cluster kann also kein SCSI-Speicher mehr verwendet werden. Das gilt auch für die diversen Möglichkeiten einer virtuellen Testumgebung. Hier kann für Windows Server 2003-Cluster zum Beispiel mit Virtual Server 2005 R2 ein virtueller gemeinsamer SCSI-Bus für den gemeinsamen Datenträger verwendet werden. Um einen gemeinsamen Datenträger für einen Cluster mit Windows Server 2008 zu erstellen, wird daher ein SAN oder ein iSCSI-Gerät benötigt. Für eine virtuelle Testumgebung ist ein virtuelles iSCSI-Laufwerk der beste Weg, auch für dieses Beispiel. iSCSI wird hauptsächlich bei NAS-Systemen eingesetzt. NAS steht für Network Attached Storage. Hierbei handelt es sich um Massenspeichergeräte, die direkt an das Netzwerk angeschlossen sind und mit einem eigenen Betriebssystem ausgestattet werden. Viele Betriebssysteme von NAS-Systemen sind webbasierend und im Gegensatz zu normalen Betriebssystemen deutlich eingeschränkt und nur auf den Einsatz als Dateiserverbetriebssystem optimiert. Ein großer Nachteil von NAS-Systemen ist die

902


Problematik, dass die Anbindung über das LAN erfolgt. Durch diesen Umstand muss keine eigene Speicherinfrastruktur aufgebaut werden, die zum Beispiel ein SAN benötigt. Manche Anwendungen haben allerdings Probleme damit, wenn der Datenspeicher im Netzwerk bereitgestellt und mittels IP auf die Daten zugegriffen wird, anstatt den blockbasierten Weg über SCSI oder Fibre Channel zu gehen. Zu diesem Zweck gibt es die iSCSI-Technologie. iSCSI ermöglicht den Zugriff auf NAS-Systeme mit dem bei lokalen Datenträgern üblichen Weg als normales lokales Laufwerk. Die Nachteile der IP-Kommunikation werden kompensiert. iSCSI verpackt dazu die SCSI-Daten in TCP/IP-Pakete. Für den empfangenden Server verhält sich so ein NAS in einem schnellen Gigabit-Netzwerk wie ein lokales Festplattensystem.

1 2 3

Um eine Testumgebung mit einem Windows Server 2008-Cluster aufzubauen, wird daher ein solches iSCSI-Gerät benötigt. Laden Sie sich dazu die 30-Tage-Testversion von Starwind von der Internetseite www.rocketdivision.com herunter. Ab der Version 3.5 unterstützt diese Software auch Windows Server 2008. Nachdem Sie die etwa 5 MB große Software heruntergeladen haben, installieren Sie diese auf dem Windows Server 2003-Domänencontroller in der Testumgebung. Nach der Installation werden über die Software drei virtuelle Laufwerke erstellt, die im Cluster als gemeinsame Datenträger und Quorum verwendet werden. Die über diese Software zur Verfügung gestellten virtuellen Datenträger sind voll clusterfähig.

4 5 6 Abbildung 14.96: Erstellen von virtuellen iSCSILaufwerken mit Starwind

7 8 9 10

Um einen solchen Datenträger zu installieren, starten Sie die Software auf dem Testserver, klicken auf Localhost im Fenster und verbinden sich über Connection/Connect mit dem lokalen Server. Als Benutzernamen verwenden Sie test, als Kennwort auch. Nach der Verbindung können virtuelle iSCSI-Laufwerke erstellt werden. Nach der erfolgreichen Verbindung klicken Sie auf den Menüpunkt Add device. Es startet der Assistent, mit dem virtuelle iSCSI-Laufwerke erstellt werden. Auf der ersten Seite des Assistenten wählen Sie die Option Image file device aus. Auf der nächsten Seite starten Sie die Erstellung des Laufwerks über Create new image. Als Nächstes müssen die Daten und der Pfad des neuen virtuellen Laufwerks angegeben werden. Als Größe für eine Testumgebung reichen 2048 MB pro Laufwerk, als Pfad geben Sie den Pfad auf dem lokalen Server und den Namen der Clusterdatei an. Aktivieren Sie noch die Option Flat image file. Achten Sie darauf, der Datei die richtige Endung *.img zu geben und dass auf dem virtuellen Laufwerk des virtuellen Servers auch genügend Platz frei ist, sonst erscheint bei der Erstellung des Laufwerks eine Fehlermeldung. Am besten fügen Sie dem virtuellen Domänencontroller unter Windows Server 2003 eine zusätzliche virtuelle Festplatte mit ausreichender Größe hinzu, so etwa 16 GB.

11 12 13

14 15

903


Abbildung 14.97: Konfigurieren der Daten für das virtuelle Clusterlaufwerk

Auf der nächsten Seite des Assistenten aktivieren Sie die beiden Optionen Asyncronous mode und vor allem Allow multiple connections concurrent iSCSI connections (clustering). Lassen Sie das Laufwerk anschließend erstellen. Für den Cluster werden drei solche virtuellen Laufwerke erstellt, alle auf dem beschriebenen Weg. Ein Laufwerk wird als Quorum verwendet, die beiden anderen als gemeinsame Clusterlaufwerke. Nach der Erstellung werden die Laufwerke in der Verwaltungskonsole von Starwind angezeigt. Abbildung 14.98: Anzeigen der virtuellen iSCSILaufwerke für den Testcluster

Installation der Clusterknoten und des iSCSI-Initiators Nachdem der virtuelle Domänencontroller unter Windows, der auch als iSCSI-Target dient, installiert wurde, installieren Sie noch zwei virtuelle Windows Server 2008Computer und nehmen diese in die Umgebung mit auf. Als Nächstes wird erst auf dem einen, dann dem zweiten Clusterknoten eine Verbindung zu den iSCSI-Laufwerken auf dem Domänencontroller hergestellt. Dazu wird der iSCSI-Initiator verwendet, der zu den Bordmitteln von Windows Server 2008 gehört und über Start/Verwaltung gestartet wird. Beim ersten Start dieser Software muss der Start des entsprechenden Dienstes erst bestätigt und die Blockierung aufgehoben werden.

904


Anschließend kann der Dienst über mehrere Registerkarten konfiguriert werden. Gehen Sie zur Anbindung der Laufwerke folgendermaßen vor:

1. Wechseln Sie auf die Registerkarte Suche. 2. Klicken Sie auf die Schaltfläche Portal hinzufügen. 3. Geben Sie die IP-Adresse des Servers ein, auf dem Starwind installiert und konfi-

1

guriert wurde.

2 Abbildung 14.99: Verbinden mit dem iSCSI-Target

3 4 5 6 7 8 9 10

4. Wechseln Sie auf die Registerkarte Ziele. Hier werden jetzt die drei unter Starwind erstellten Laufwerke angezeigt.

11

5. Klicken Sie auf die Schaltfläche Anmelden. Damit wird eine Verbindung mit

6.

7.

dem Gerät hergestellt. Bisher ist das Gerät nur verfügbar, aber noch nicht mit dem Computer verbunden. Aktivieren Sie die Option Beim Neustart des Computers die Verbindung automatisch wiederherstellen. Diese Option muss für alle drei Laufwerke separat eingestellt werden. Wenn der Clusterknoten neu gestartet wird, muss dieser natürlich auf die notwendigen Freigaben zugreifen können. Diese Einstellung muss auch in einer produktiven Umgebung so konfiguriert werden. Nachdem die Laufwerke mit dem ersten Serverknoten verbunden wurden, müssen diese über die Festplattenverwaltung online geschaltet, initialisiert, partitioniert und formatiert werden. Weisen Sie den drei Laufwerken Buchstaben am Ende des Alphabets zu, also zum Beispiel Q für das Quorum und für die beiden gemeinsamen Datenträger V und W. Belassen Sie die Datenträger als Basis, eine Umwandlung in dynamische Datenträger wird für den Einsatz im Cluster nicht empfohlen (siehe Abbildung 14.100).

12 13

14 15

905


Abbildung 14.100: Die erstellten iSCSILaufwerke werden mit dem Cluster verbunden.

8. Gehen Sie auf dem zweiten Clusterknoten genauso vor wie beim ersten, und beginnen Sie bei Schritt 1. Da die Datenträger aber bereits auf dem ersten Knoten initialisiert und formatiert wurden, müssen Sie diesen Schritt auf dem zweiten nicht wiederholen. Auf dem zweiten Knoten reicht das Online-Schalten und das Ändern der Laufwerksbuchstaben, die mit dem ersten Knoten übereinstimmen müssen. Konfiguration des Netzwerks auf den Clusterknoten Haben Sie das Betriebssystem auf dem Server installiert und die iSCSI-Laufwerke verbunden, sollten Sie die IP-Einstellungen für die beiden Knoten vornehmen. Eine Netzwerkkarte dient dabei der Kommunikation der Server mit dem normalen Netzwerk und sollte deshalb von den Arbeitsstationen und den Servern in Ihrem Netzwerk erreichbar sein. Hier verwenden Sie eine IP-Adresse, die sich im gleichen Subnetz wie der andere Knoten und der virtuelle Domänencontroller befindet. Diese Einstellung haben Sie bereits vorgenommen, da alle drei Server im gleichen Netzwerk betrieben werden. Die andere Netzwerkkarte dient nur zur Kommunikation der Knoten untereinander. Clusterknoten unterhalten sich über diese private Schnittstelle und stellen fest, ob der jeweils andere Knoten noch online ist. Diese Überprüfung wird im Allgemeinen als Heartbeat bezeichnet. Benennen Sie nach der Konfiguration der Netzwerkkarte die Verbindungen um, sodass sofort ersichtlich ist, um welche es sich handelt. Empfohlen werden oft die beiden Bezeichnungen private und public. Sie sollten für die beiden Karten zudem die Option aktivieren, dass die Verbindung in der Taskleiste angezeigt wird. Haben Sie auf beiden Knoten die Netzwerkkarten konfiguriert, sollten Sie die Verbindung zwischen den Knoten und die Verbindung zwischen den Knoten und Ihrem Firmennetzwerk testen. Bei der Testumgebung fahren Sie die beiden virtuellen Clusterknoten herunter und gehen in die Einstellungen der virtuellen Maschinen. Erhöhen Sie die Anzahl der Netzwerkadapter auf zwei, und konfigurieren Sie die zweite Verbindung als Nur lokal. Fahren Sie dann beide Clusterknoten wieder hoch, benennen Sie die Netzwerkverbindungen entsprechend um, und wei906


sen Sie der neuen, privaten Verbindung eine IP-Adresse zu, die sich in einem anderen Subnetz befindet als das öffentliche Netzwerk, aber im gleichen Subnetz wie die private Verbindung zum zweiten Knoten. Testen Sie die private Verbindung zwischen den Knoten anschließend. Haben Sie die virtuelle Hardware der Clusterknoten konfiguriert, führen Sie als Nächstes die Konfigurationen unter Windows durch:

1

Starten Sie den ersten Clusterknoten cn01, und melden Sie sich mit einem Domänenadmin-Konto an. Gehen Sie in die Verwaltung der Netzwerkverbindungen (Start/Ausführen/ncpa.cpl). Da Sie eine neue Netzwerkkarte hinzugefügt haben, wird in der Netzwerkverbindung diese neue LAN-Verbindung angezeigt. Die neue LAN-Verbindung 2 dient zur privaten Kommunikation der beiden Clusterknoten, dem Heartbeat. Benennen Sie daher am besten die LAN-Verbindung mit dem öffentlichen Netz in public um, die neu erstellte in private. Diese Vorgehensweise ist der Standard bei Clusterinstallationen. Dadurch können Sie bei der späteren Kommunikation oder Fehlersuche sofort erkennen, um welches Netzwerk es sich handelt.

2 3 4

Konfigurieren Sie die Netzwerkeigenschaften der privaten Verbindung. Geben Sie dieser Verbindung zum Beispiel die IP-Adresse 192.168.100.1 und eine Subnetzmaske in einem vom öffentlichen Netzwerk getrennten Bereich. Das private Netzwerk eines Clusters sollte möglichst immer in einem eigenen Subnetz liegen, um störende Einflüsse anderer Teilnehmer am Netzwerk auszuschließen. Lassen Sie das Feld Standardgateway und DNS Server leer. Diese beiden Optionen werden beim Heartbeat auch bei der produktiven Umgebung nicht benötigt. Wichtig ist an dieser Stelle nur, dass die privaten Netzwerkkarten der beiden Clusterknoten sich untereinander auf IP-Basis unterhalten können.

5 6 7

Klicken Sie danach auf Erweitert. Gehen Sie auf die Registerkarte DNS, und stellen Sie sicher, dass die beiden Optionen ganz unten, Verbindung in DNS registrieren und DNSSuffix dieser Verbindung in DNS-Registrierung verwenden, deaktiviert sind, da DNSAuflösung ein Heartbeat-Netzwerk eher stört als die Funktionssicherheit zu erhöhen.

8 9

Gehen Sie danach auf die Registerkarte WINS. Aktivieren Sie die Option NetBIOS über TCP/IP deaktivieren, da NetBIOS die interne Kommunikation eines Clusters stören kann. Im Anschluss gehen Sie in die Eigenschaften der Netzwerkumgebung mit dem Menü Erweitert in die Erweiterten Einstellungen. Hier können Sie die Bindungsreihenfolge festlegen. Diese bestimmt, in welcher Reihenfolge Netzwerkpakete über das Netzwerk geschickt werden und welche Verbindung zuerst verwendet wird. Ändern Sie die Reihenfolge so ab, dass die Public-Verbindung ganz oben ist, damit die Kommunikation zu den Clients priorisiert wird. Diese Einstellung wird dringend empfohlen.

10 11 12

In den erweiterten Eigenschaften der Windows-Firewall, die über die Systemsteuerung gestartet werden, sollte auf der Registerkarte Erweitert die Firewall für das private Clusternetz und, falls vorhanden, für das Netzwerk zum iSCSI-Gerät deaktiviert werden. Für diese beiden Verbindungen stört die Firewall nur. Für das normale, öffentliche Netzwerk kann die Firewall weiterhin aktiv bleiben.

13

14

Führen Sie auf dem zweiten Clusterknoten genau die gleichen Aktionen durch. Geben Sie der privaten Verbindung die IP-Adresse 192.168.100.2, und stellen Sie die Bindungsreihenfolge und die andere Optionen genau identisch zum ersten Knoten ein.

15

Verwenden Sie als gemeinsamen Datenträger iSCSI, kann IPv6 deaktiviert werden, wenn das Speichergerät IPv6 nicht unterstützt. Nur wenn alle beteiligten Komponenten eines Clusters IPv6 unterstützen, sollte IPv6 in den Eigenschaften der Netzwerkkarte aktiviert bleiben. In einer Testumgebung kann IPv6 generell deaktiviert werden.

907


Clustering installieren und konfigurieren Nachdem die notwendigen Einstellungen vorgenommen wurden, kann der Cluster über den ersten Knoten erstellt werden. Clustering wird unter Windows Server 2008 als Feature installiert. Starten Sie daher den Server-Manager, und klicken Sie auf Features und dann Features hinzufügen. Wählen Sie das Feature Failover-Clusterunterstützung zur Installation aus. Während der Installation dieses Features werden noch keinerlei Einstellungen vorgenommen, sondern nur die notwendigen Systemdateien und die Clusterverwaltung installiert. Installieren Sie das Feature auf beiden Clusterknoten. Cluster erstellen und konfigurieren Nach der Installation des Features Failover-Clusterunterstützung auf beiden Clusterknoten gehen Sie dazu über, den Cluster zu konfigurieren. Starten Sie auf dem ersten Knoten die Failover-Clusterverwaltung über Start/Verwaltung. Der erste Schritt, um einen Cluster unter Windows Server 2008 zu erstellen, besteht darin, die Clusterknotenkonfiguration zu überprüfen. Klicken Sie dazu auf den Menüpunkt Konfiguration überprüfen. Diese Überprüfung muss aber nicht zwingend auf dem ersten Knoten, sondern kann unter Windows Server 2008 auch auf dem zweiten Knoten durchgeführt werden. Bei der Erstellung eines Clusters unter Windows Server 2008 können bereits bei der Erstellung des Clusters alle beteiligten Knoten auf einmal angegeben werden. Bestätigen Sie die Startseite des Assistenten. Auf der nächsten Seite geben Sie den Namen der beiden Clusterknoten ein. Auf der nächsten Seite des Assistenten wird ausgewählt, welche Tests der Assistent durchführen soll. Abbildung 14.101: Der Cluster-Assistent überprüft die Konfiguration der Clusterknoten.

Hier sollte möglichst immer die Option Alle Tests ausführen (empfohlen) gewählt werden. Anschließend erhalten Sie eine Zusammenfassung, was alles getestet wird, und der Assistent beginnt mit seinen Tests. Nachdem der Assistent alle wichtigen Punkte getestet hat, erhalten Sie nach Abschluss einen ausführlichen Bericht über die Konfiguration. Eventuell vorhandene Fehler sollten vor der Installation des Clusters behoben und anschließend sollte erneut getestet werden. Erst wenn die Clusterüberprüfung keine Fehler meldet, wird empfohlen, den Cluster zu erstellen. Bei dem

908


Test werden extrem viele Bereiche der Server getestet, sodass sichergestellt ist, dass der Cluster später auch fehlerfrei installiert werden kann. Überzeugen Sie sich selbst in der Testumgebung, welche Bereiche getestet werden. Der Test überprüft alle Clusterknoten, die auf dem vorherigen Fenster hinzugefügt wurden. Einer der Validierungstests der Clusterinstallation überprüft, ob sich der gemeinsame Datenträger wie ein SCSI 3-Datenträger verhält. Die beiden Standards SCSI 1 und SCSI 2 sind zu langsam und schmalbandig für einen Cluster unter Windows Server 2008. Der Bericht wird als MHT-Datei erstellt und im Internet Explorer angezeigt. Durch Klicken auf die einzelnen Tests werden ausführliche Informationen angezeigt. Wird ein Fehler gefunden, weist der Assistent darauf hin. In einer Testumgebung unter Virtual PC 2007 kann es durchaus sein, dass ein Fehler in der IP-Konfiguration gemeldet wird. Handelt es sich um keinen Fehler bei den Cluster-Netzwerkkarten, kann dieser ignoriert werden. Dieser ist darauf zurückzuführen, dass die beiden Clusterknoten auf dem gleichen physikalischen Computer betrieben werden.

1 2 3 4

Nachdem der Cluster überprüft wurde, kann die Erstellung in der Verwaltungskonsole über Cluster erstellen gestartet werden. Es startet der Assistent zum Erstellen des Clusters. Eine der Neuerungen in Windows Server 2008 ist, dass der Cluster zentral auf einem Knoten erstellt wird und keine Konfiguration auf beiden Knoten stattfinden muss. Auf der nächsten Seite des Assistenten werden die Clusterknoten hinzugefügt, mit denen der Cluster erstellt werden soll. Der Assistent versucht, den Servernamen per DNS aufzulösen, und fügt die Server hinzu. Auf der nächsten Seite erscheinen Meldungen, wenn die Clusterüberprüfung einen Fehler gefunden hat. Hier kann über die Schaltfläche Bericht der bereits erstellte Bericht der Clusterüberprüfung angezeigt werden. Standardmäßig ist die Option aktiviert, dass der Cluster erst nochmals überprüft und dann erst erstellt wird. Vor der Erstellung des Clusters sollte ohnehin immer zunächst eine fehlerfreie Überprüfung durchgeführt werden. Hier besteht aber nochmals die Möglichkeit, den Assistenten zur Überprüfung zu starten. Wird die Option Nein, Microsoft-Support für diesen Cluster nicht nötig … aktiviert, fährt der Assistent mit der Installation des Clusters fort. In produktiven Umgebungen sollte das niemals so durchgeführt werden. Hier muss sichergestellt sein, dass der Cluster ohne den kleinsten Fehler installiert wird. In einer Testumgebung spielen kleinere Fehler, die natürlich im Bericht erst überprüft werden sollten, keine Rolle. Hier kann mit der Erstellung des Clusters fortgefahren werden.

5 6 7 8 9 10 Abbildung 14.102: Festlegen des Namens und der IP-Adresse des Clusters

11 12 13

14 15

909


Auf der nächsten Seite legen Sie den Namen des Clusters als Ganzes fest. Über diesen Namen wird mit der Clusterverwaltung auf den Cluster zugegriffen. Hier wählen Sie auch eine IP-Adresse aus, mit welcher der Cluster an sich angesprochen wird. Die IPAdresse muss natürlich einzigartig im Netzwerk sein und von den Clients und Administratoren erreicht werden können. Legen Sie in diesem Fenster den Namen und die IP-Adresse des Clusters fest. Der Name wird mit der IP-Adresse genauso wie die physikalischen Knoten automatisch in der DNS-Zone der Domäne registriert. Auf der nächsten Seite des Assistenten erhalten Sie eine Zusammenfassung, wie der Cluster erstellt wird. Hier werden der Name und die IP-Adresse des Clusters sowie die Knoten, mit denen dieser erstellt wird, angezeigt. Schließlich wird der Cluster erstellt und die Verbindung zwischen den Knoten aufgebaut. Abhängig von der Geschwindigkeit der beteiligten Server und des gemeinsamen Datenträgers kann dieser Vorgang etwas dauern. Nachdem der Cluster erfolgreich erstellt wurde, wird eine Zusammenfassung angezeigt. Hier sehen Sie, ob das Erstellen erfolgreich war und der Cluster ordnungsgemäß installiert worden ist. Über die Schaltfläche Bericht wird ein ausführlicher Bericht angezeigt, welche Maßnahmen der Assistent bei der Erstellung des Clusters durchgeführt hat. Der Bericht wird im Internet Explorer angezeigt und kann auch gespeichert werden. Nach erfolgreicher Erstellung des Clusters wird dieser in der Clusterkonfiguration angezeigt und kann verwaltet werden. Die Erstellung ist an dieser Stelle abgeschlossen, und Sie können sich mit dem Cluster beschäftigen. Das Befehlszeilenprogramm Cluster.exe ermöglicht die Verwaltung von Clustern in der Eingabeaufforderung oder über Skripte. Eine ausführliche Hilfe über die Optionen erhalten Sie mit dem Befehl cluster /?. Abbildung 14.103: Die Verwaltung eines Clusters unter Windows Server 2008 erfolgt mit dem Snap-In Failover-Clusterverwaltung.

910


Nacharbeiten: Überprüfung des Clusters und erste Schritte mit der Clusterverwaltung Im nächsten Schritt sollten Sie sich etwas vertraut darin machen, mit einem Cluster umzugehen. Die zentrale Verwaltungsstelle eines Clusters ist die Failover-Clusterverwaltung, mit der Sie neue Cluster erstellen, neue Knoten hinzufügen und den Cluster verwalten. Starten Sie die Clusterverwaltung, darf keine Fehlermeldung erscheinen. Kann der Clusteradministrator fehlerfrei eine Verbindung zum Cluster aufbauen, sehen Sie im Menü einige Optionen, die Ihnen zur Verwaltung des Clusters zur Verfügung stehen. Klicken Sie den Namen des Clusters in der Clusterverwaltung mit der rechten Maustaste an, können Sie die Eigenschaften des Clusters überprüfen und anpassen. Ebenso bietet das Kontextmenü zahlreiche Verwaltungsmöglichkeiten an.

1 2 3

Auf der Registerkarte Allgemein wird der Name des Clusters angepasst. Ändern Sie diesen ab, werden auch der Clustername in der Clusterverwaltung sowie der dazugehörige Eintrag in der DNS-Zone angepasst. Auf der Registerkarte Ressourcentypen wird gesteuert, welche Windows-Ressourcen dem Cluster hinzugefügt werden können, auf der Registerkarte Clusterberechtigungen steuern Sie den administrativen Zugriff der Administratoren auf den Cluster. Über den Menüpunkt Speicher in der Clusterverwaltung werden die gemeinsamen Datenträger und das Quorum verwaltet und überprüft. Hier wird auch der derzeitig aktuelle Knoten angezeigt, der den Cluster aktiv verwaltet. Der zweite Knoten steht offline zur Verfügung. Hierüber werden neue Datenträger dem Cluster hinzugefügt oder vorhandene Ressourcen offline geschaltet.

4 5 6 7

In einer Produktivumgebung sollten Sie auf jeden Fall das Menü Netzwerke aufrufen. Hier werden die öffentlichen und privaten Verbindungen des Clusters verwaltet. In den Eigenschaften der Verbindungen wird eingestellt, ob diese den Clients zum Verbindungsaufbau, nur für den Heartbeat oder für beides zur Verfügung stehen. Über die private Verbindung soll das Heartbeat des Clusters laufen. Markieren Sie dazu erst die Private-, dann die Public-Verbindung, und rufen Sie die Eigenschaften auf. Stellen Sie sicher, dass bei der privaten Verbindung nur die Option Cluster die Verwendung dieses Netzwerks gestatten aktiviert ist und damit nur die interne Clusterkommunikation aktiviert wird. Dadurch ist sichergestellt, dass dem Heartbeat ein privater Kanal im Netzwerk zur Verfügung steht und er nicht durch Benutzeranfragen beeinträchtigt wird. Bei den Eigenschaften der Public-Verbindung sollten Sie die Option Cluster die Verwendung dieses Netzwerks gestatten und Clients das Herstellen einer Verbindung über dieses Netzwerk gestatten aktivieren, damit auf jeden Fall sichergestellt ist, dass die Clusterverbindung intern auf jeden Fall funktioniert, auch wenn eine private Netzwerkkarte ausfällt.

14.7.4

8 9 10 11 12

Exchange Server 2007 SP1 im Cluster installieren

13

Bevor Exchange Server 2007 im Cluster installiert werden kann, müssen das Schema und die Domäne auf Exchange vorbereitet werden. Auch in der Testumgebung sollten auf dem Domänencontroller vor der Installation des Exchange-Clusters entsprechende Vorbereitungen vorgenommen werden. Bevor Sie einen Exchange Server 2007 in einem Active Directory installieren können, muss dieses Active Directory um zahlreiche Klassen und Attribute erweitert werden. Einige dieser Attribute sind zum Beispiel die Exchange-Eigenschaften der Benutzer. Haben Sie jedoch mehrere Domänen an mehreren Standorten installiert, sollten Sie die Schemavorbereitung vor der Installation eines Exchange Servers durchführen. Da die Schemaerweiterungen erst noch auf alle Domänencontroller repliziert werden müssen, kann dieser Vorgang

14 15

911


etwas länger dauern. In einer Domäne, bei der den Domänencontrollern diese Erweiterungen noch nicht repliziert wurden, kann Exchange Server 2007 nicht installiert werden, bis die Replikation erfolgreich durchgeführt wurde. Um das Schema vorzubereiten, starten Sie das Exchange-Setupprogramm auf dem Domänencontroller mit der Option setup /PrepareSchema. Nach der Eingabe des Befehls verbindet sich das Installationsprogramm mit dem Schemamaster der Gesamtstruktur und importiert die entsprechenden Daten in das Schema Ihrer Gesamtstruktur. Um diesen Befehl ausführen zu können, muss sich das Konto, mit dem Sie sich angemeldet haben, in den Gruppen Schema-Admins und OrganisationsAdmins befinden. Sie müssen den Befehl setup /PrepareSchema immer auf einem Server durchführen, der sich in der gleichen Domäne und dem gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur. Haben Sie bei der Installation von Exchange Server 2007 in eine Exchange 2000/2003-Organisation vor der Ausführung von setup /PrepareSchema nicht die Domänen mit setup /PrepareLegacyExchangePermissions vorbereitet, wird dieser Befehl nachträglich automatisch gestartet. In diesem Fall muss der Server, auf dem Sie setup /PrepareSchema starten, Verbindung zu allen Domänen in der Gesamtstruktur aufbauen können. Damit das Installationsprogramm von Exchange Server 2007 SP1 zur Erweiterung des Active Directory-Schemas gestartet werden kann, müssen auf dem Server das .Net Framework 2.0 sowie die PowerShell installiert werden. Wird das Schema mit Exchange Server 2007 SP1 auf einem Windows Server 2003-Domänencontroller aktualisiert, muss das SP 1 für .Net Framework 2.0 installiert werden. Dieses wird ebenfalls von Microsoft zur Verfügung gestellt. Nach der Vorbereitung des Schemas müssen Sie noch den Befehl setup /PrepareAD ausführen, damit in der Gesamtstruktur Objekte für Exchange Server 2007 angelegt werden. Ist in der Organisation noch keine Exchange-Organisation angelegt, wird der Befehl setup /PrepareAD /organizationname: verwendet. Dieser Befehl legt zum Beispiel die notwendigen Sicherheitsgruppen für Exchange Server 2007 in der Stammdomäne (Root) der Gesamtstruktur an. Um diesen Befehl ausführen zu können, müssen Sie sich mit einem Benutzerkonto anmelden, das Mitglied in der Gruppe Organisations-Admins ist. Setzen Sie in der Organisation Exchange 2000oder 2003-Server ein, müssen Sie noch Mitglied der Exchange-Administratoren dieser Organisation sein. Sie müssen den Befehl auf einem Server durchführen, der sich in der gleichen Domäne und dem gleichen Active Directory-Standort befindet wie der Schemamaster der Gesamtstruktur. Haben Sie bei der Ausführung von setup /PrepareAD noch nicht setup /PrepareSchema ausgeführt, wird auch dieser Befehl nachträglich automatisch gestartet. Als Nächstes müssen noch die einzelnen Domänen in der Gesamtstruktur für die Installation von Exchange Server 2007 vorbereitet werden – setup /PrepareAllDomains bereitet alle Domänen in der Gesamtstruktur für Exchange Server 2007 vor. Führen Sie diesen Befehl aus, erhalten Sie unter Umständen eine Fehlermeldung bei Domänen, die sich an anderen Active Directory-Standorten befinden, wenn zum Beispiel die Replikation noch nicht abgeschlossen worden ist. Führen Sie in diesem Fall eine manuelle Replikation durch, oder warten Sie, bis die Replikation abgeschlossen worden ist. Starten Sie den Befehl dann noch einmal. Stellen Sie vor der Installation von Exchange Server 2007 sicher, dass alle Voraussetzungen für die normale Exchange-Installation getroffen worden sind, wie in den Kapiteln 2 und 4 beschrieben. Unter Windows Server 2008 bedeutet das die Installation der Serverrolle Webserver mit den zusätzlichen Rollendiensten Verwaltungsdienst, IIS 6-Verwaltungskompatibilität mit allen Unterdiensten und des Features Windows PowerShell auf allen beteiligten Knoten. 912


Klicken Sie dann im Anschluss auf die Installation von Exchange Server 2007 SP1. Auf dem ersten Fenster erhalten Sie eine kurze Einführung, die der Installation auf einem normalen Server entspricht. Klicken Sie auf Weiter. Auf der nächsten Seite bestätigen Sie den Lizenzvertrag, wie auch bei einer normalen Installation. Klicken Sie danach auf Weiter. Auf der Seite mit der Fehlerberichterstattung deaktivieren Sie diese Funktion wieder am besten. Auch dieser Installationsschritt entspricht der normalen Installation. Als Nächstes wird die Installationsart von Exchange Server 2007 bestimmt. Wählen Sie hier Benutzerdefinierte Installation von Microsoft Exchange Server aus, da nur die Mailbox-Rolle installiert werden darf. Auf der nächsten Seite können Sie die Serverfunktionen auswählen. Aktivieren Sie hier die Option ActiveClusteredMailbox-Funktion. Die Verwaltungs-Tools werden dabei automatisch mit ausgewählt.

1 2 3 Abbildung 14.104: Installieren des aktiven Knotens eines Clusters

4 5 6 7 8 9 10 11

Auf der nächsten Seite des Assistenten wählen Sie die Clusterinstallation aus, die Sie durchführen wollen. Aktivieren Sie hier die Funktion Einzelkopiecluster. Zusätzlich müssen Sie auf dieser Seite die Bezeichnung des Exchange Servers eingeben. Der Server erhält die Bezeichnung, die Sie hier eingeben, nicht die Bezeichnung eines der Knoten oder des Clusters selbst. Der hier gewählte Namen ist von allen anderen vollkommen unabhängig und wird von den Anwendern für den Zugriff auf ihre Postfächer verwendet. Zusätzlich tragen Sie auf dieser Seite auch die IP-Adresse dieses neuen virtuellen Mailbox-Servers ein. Auch diese IP-Adresse muss sich von den anderen IP-Adressen des Clusters unterscheiden und darf nicht identisch mit der IPAdresse des Clusters selbst sein. Die IP-Adresse muss von den Clients und anderen Servern im Netzwerk erreichbar sein. Außerdem wählen Sie auf diesem Fenster auch den Speicherplatz der Datenbankdateien und Transaktionsprotokolle auf dem gemeinsamen Datenträger aus. Achten Sie darauf, dass sich diese Dateien niemals in der Root eines Laufwerkes befinden dürfen, sondern immer in einem Unterverzeichnis. Legen Sie notfalls ein solches Verzeichnis an.

12 13

14 15

913


Abbildung 14.105: Auswählen der Clustereinstellungen für Exchange Server 2007

Als Nächstes legen Sie die IP-Adresse des virtuellen Exchange Servers fest. Auch diese muss einzigartig sein wie die beim Einsatz eines Datei- oder Druckservers im Cluster. In diesem Fenster kann übrigens auch die fortlaufende Clusterreplikation konfiguriert werden. Der generelle Ablauf ist ähnlich zu Windows Server 2003 und wird daher nicht näher beschrieben. Allerdings bietet die Installationsoberfläche neue Fenster zur besseren Konfiguration. Auf der nächsten Seite findet eine Überprüfung statt, und Sie erhalten die notwendigen Ergebnisse dieser Überprüfung. Sind die Voraussetzungen erfolgreich getroffen worden, können Sie über die Schaltfläche Installieren die Installation des aktiven Clusterknotens beginnen. Kann die Installation nicht fortgeführt werden, erhalten Sie entsprechende Informationen. Beseitigen Sie zuerst alle Fehler, bevor Sie mit der Installation fortfahren. Der Assistent unterscheidet bei der Überprüfung zwischen Warnungen und Fehlern. Treten Fehler auf, kann die Installation nicht fortgesetzt werden, bei Warnungen können Sie selbst entscheiden, ob Sie die Installation fortsetzen. Haben Sie die Installation auf dem aktiven Knoten abgeschlossen, können Sie Exchange Server 2007 auf dem passiven Knoten installieren. Achten Sie darauf, dass Sie vor der Installation von Exchange Server 2007 zunächst die Voraussetzungen und die notwendigen Komponenten und Patches installieren. Der aktive Knoten muss bei der Installation des passiven Knotens ebenfalls gestartet sein. Die Installation des Clusters ist damit abgeschlossen. Der generelle Umgang und die Verwaltung eines Clusters sind trotz der neuen Oberfläche in Windows Server 2008 noch sehr ähnlich zu Windows Server 2003. Lesen Sie sich daher auch die Abschnitte über einen Cluster mit Windows Server 2003 durch.

914

Inhalt 1 2 3 4 5

15

Exchange Server 2007 mit ISA Server 2004 SP2 und ISA 2006

6 7

Beim Internet Security & Acceleration Server (ISA) 2004 und der neuen Version ISA 2006 handelt es sich um einen Webproxy mit integrierten Firewall- und VPN-ServerFunktionalitäten. Die Bedienung des ISA Servers erfolgt über eine grafische Oberfläche, die es erlaubt, Firewallregeln, Proxyeinstellungen und die VPN-Konfiguration vorzunehmen.

8 9

Die meisten Unternehmen benötigen für ihren produktiven Betrieb einen Internetzugang. Ohne geeigneten Schutz lässt sich ein solcher Internetzugang nicht mehr betreiben. Mit keinem anderen Produkt arbeitet der ISA Server so gut zusammen wie mit Exchange. Wird auf dem ISA Server zusätzlich noch eine Antivirenlösung installiert, kann dieser als Mail-Relay dienen, um die Nachrichten vor der Zustellung zum Exchange Server auf Viren zu prüfen.

10 11

Outlook Web Access, Outlook Voice Access, Outlook Anywhere (RPC über http) und Exchange ActiveSync können mithilfe des ISA Servers sicher über das Internet zur Verfügung gestellt werden. Durch diese Funktion können Heimarbeitsplätze, Niederlassungen und mobile Mitarbeiter sehr effizient auf ihr E-Mail-Postfach zugreifen.

12 13

In diesem Kapitel zeige ich Ihnen die Möglichkeiten, einen ISA Server optimal in ein Microsoft-Netzwerk zu integrieren und mit Exchange Server 2007 zu verbinden. Hauptsächlich werden in diesem Zusammenhang folgende Aufgaben durchgeführt, die bei der Zusammenarbeit von Exchange und ISA notwendig sind: ■ ■ ■

Anbindung von Exchange Server 2007 an das Internet zum Mailversand. Anbindung von Exchange Server 2007 an das Internet zum Mailempfang. Veröffentlichen von Outlook Web Access (OWA) und Outlook Voice Access (OVA). Veröffentlichen von Outlook Anywwhere RPC über HTTPS.

15

915

Index

■

14


■ ■

Veröffentlichen von Exchange ActiveSync für Smartphones. Veröffentlichen von IMAP/POP3 (wird allerdings sehr selten konfiguriert).

Damit die Outlook Anywhere(RPC-über-HTTP)-Verbindung verschlüsselt hergestellt wird, sollten Sie die SSL-Verschlüsselung auch für RPC über HTTP verwenden. Sie müssen für den Einsatz des ISA Servers 2004/2006 einen Windows Server 2003 verwenden, in dem zwei oder mehr Netzwerkkarten eingebaut werden. Das Betriebssystem muss lizenziert werden, aber Sie benötigen keine Clientzugriffslizenzen (Client Access Licences, CALs). Außerdem benötigen Sie eine Lizenz für den ISA Server. Der ISA wird pro Prozessor lizenziert. Sie benötigen für den ISA keine CALs. Setzen Sie Prozessoren mit DualCore-Technologie oder Hyperthreading ein, die mehrere Prozessoren simulieren, benötigen Sie nur eine Lizenz. Microsoft verlangt bei der Lizenzierung pro Prozessor nur dann eine zweite Lizenz, wenn ein zusätzlicher physikalischer Prozessor eingebaut und verwendet wird. Die Prozessorlizenz erlaubt den Zugriff für eine beliebige Anzahl von Benutzern und PCs. Es gibt zwei Versionen des ISA Servers 2004/2006. ■ ■

ISA 2004/2006 Enterprise Edition ISA 2004/2006 Standard Edition

Die Standard Edition ist in einigen Punkten eingeschränkt, die in der Enterprise Edition zur Verfügung stehen: ■ ■ ■

■

Unterstützung von maximal vier CPUs und 2 GB RAM. Keine Network Load Balancing(NLB)-Clusterfunktionalität. Der Webcache wird auf dem lokalen Server gespeichert, die Enterprise Edition kann in einem Verbund (einem sogenannten Array) einen gemeinsamen Cache aufbauen. Richtlinien können nur lokal erstellt werden, die Enterprise Edition unterstützt Richtlinien auf Array-Basis, um eine Firewallrichtlinie auf mehrere ISA Server verteilen zu können.

Die meisten Unternehmen werden die Funktionen der Enterprise-Version nicht benötigen. Größere Unternehmen, die einen ausfallsicheren Internetverkehr gewährleisten wollen, zum Beispiel für ein hochverfügbares Rechenzentrum oder eine Exchange-Infrastruktur, sollten den Einsatz der Enterprise-Version vorsehen. Ein Standard-Edition-Server kann jederzeit auf ISA Server 2004/2006 Enterprise Edition upgedatet werden.

15.1

Optimale Internetanbindung mit dem ISA Server

Auch wenn es sich beim ISA Server um eine sichere Firewall handelt, ist ein zweistufiges Firewallkonzept immer der bessere Weg. Der ISA Server sollte zumindest vor den gröbsten Angriffen aus dem Internet durch eine Hardware-Firewall oder zumindest einen DSL-Router geschützt werden. Die Preise günstiger Router und Firewalls liegen für den Unternehmenseinsatz im Mittelstand bei unter 500 €. Die HardwareFirewall enthält mindestens zwei Netzwerkschnittstellen. Die erste Schnittstelle dient der Verbindung ins Internet. Über den zweiten Anschluss wird die Firewall mit dem ISA Server verbunden (siehe Abbildung 15.1). Alle Netzwerkpakete des Inter916

Optimale Internetanbindung mit dem ISA Server

nets werden dadurch zunächst durch die Hardware-Firewall gefiltert. Die interne Schnittstelle der Hardware-Firewall wird an die externe Schnittstelle des ISA Servers angeschlossen. Diese beiden Netzwerke sollten in einem gemeinsamen, aber vom Hausnetz getrennten Subnetz liegen.

1

Die Verbindung der externen Schnittstelle des ISA Servers mit der internen Schnittstelle des Routers erfolgt mit einer Switch, an der die beiden Geräte mit der jeweiligen Schnittstelle angeschlossen werden, oder einem Cross-over-Kabel. Viele DSLRouter und Hardware-Firewalls für kleine Unternehmen verfügen über eine eingebaute Switch, an der Sie die externe Schnittstelle des ISA Servers anschließen können. Dadurch ist sichergestellt, dass niemals ein Netzwerkpaket, ohne durch den ISA Server gefiltert zu werden, vom Internet ins Netzwerk geschickt werden kann. Die interne Schnittstelle des ISA Servers wird schließlich mit dem Firmen-LAN verbunden, das durch diese Konstruktion von einer zweistufigen Firewall geschützt wird.

2 3 4 Abbildung 15.1: Optimale Internetanbindung mit dem ISA Server

5 6 7 8 9 10 11

Manche Unternehmen möchten Server zuverlässig vor Angriffen aus dem Internet schützen, sie aber nicht direkt in das Hausnetz integrieren, da auf diese Server zum Beispiel aus dem Internet zugegriffen wird (beispielsweise ein Webserver für Lieferanten und Partner). Zu diesem Zweck besteht die Möglichkeit, Server in einen speziellen Bereich des Netzwerks zu verlegen – in eine demilitarisierte Zone (DMZ). In einer DMZ sind die Server zwar vor den Gefahren aus dem Internet geschützt, stehen aber dennoch nicht mit dem Hausnetz in Verbindung, ohne über eine weitere Firewall, in diesem Fall den ISA Server, gefiltert zu werden.

12 13 14

Um eine zuverlässige DMZ aufzubauen, wird in den ISA Server eine dritte Netzwerkkarte integriert. Auch diese Netzwerkkarte erhält wieder ein eigenes Subnetz. Typische Server für eine DMZ sind FTP-Server, Webserver oder Mail-Relays.

15

917


15.2

Tipps zur Installation von ISA Server 2004 mit SP2 und ISA 2006

Bevor Sie ISA Server 2004 auf einem Server installieren, sollten Sie zunächst auf einem Server mit mindestens zwei Netzwerkkarten Windows Server 2003 mit allen aktuellen Patches installieren. Jedes Netzwerk, das Sie durch einen ISA Server filtern lassen wollen, können Sie durch eine eigene Netzwerkkarte im ISA Server von anderen Netzwerken trennen. ISA 2006 und Exchange Server 2007 TIPP

Nach der Installation von ISA Server 2006 sollten Sie das Update for Publishing Microsoft Exchange Server 2007 for Microsoft Internet Security and Acceleration (ISA) Server 2006 in der jeweiligen Sprache von der Internetseite http://www.microsoft.com/ downloads/details.aspx?FamilyID=82b717ce-5b63-4098-8425-bbf4a5b7e09c&DisplayLang=de herunterladen. Erst wenn Sie dieses Update installieren, kann ISA Server 2006 problemlos mit Exchange Server 2007 zusammenarbeiten. Weitere Informationen sowie einen Downloadlink für dieses Update finden Sie im Knowledge-Base-Artikel auf der Seite http://support.microsoft.com/kb/925403.

Vorbereitungen für die Installation Benennen Sie die Netzwerkverbindungen in der Netzwerkumgebung so um, dass der Zweck der Verbindung bereits an der Bezeichnung erkannt wird. Geben Sie der Netzwerkkarte, die sich im Hausnetz befindet, die Bezeichnung intern. Die Karte, die mit der Hardware-Firewall verbunden ist, bezeichnen Sie am besten als extern. Setzen Sie eine dritte Karte ein, die Sie später unter Umständen für eine DMZ verwenden wollen, bezeichnen Sie diese am besten als dmz. Im nächsten Schritt sollten Sie den Netzwerkkarten entsprechende IP-Adressen zuweisen, die in getrennten Subnetzen liegen müssen: ■ ■ ■

Die interne Schnittstelle sollte eine IP-Adresse im Hausnetz bekommen. Die externe Schnittstelle sollte im gleichen Subnetz liegen wie die interne Schnittstelle der Hardware-Firewall. Die DMZ wiederum erhält ebenfalls ein eigenes Subnetz.

Haben Sie die IP-Adressen festgelegt, sollten Sie noch die Bindungsreihenfolge der Netzwerkverbindungen einstellen (siehe Abbildung 15.2 und Abbildung 15.3). Diese Einstellung finden Sie über das Menü Erweitert/Erweiterte Einstellungen in der Netzwerkumgebung. Abbildung 15.2: Konfiguration der Verbindungsreihenfolge

918


Die Reihenfolge der Verbindungen sollte immer erst die interne Schnittstelle, dann die externe und dann die DMZ sein, damit IP-Pakete zunächst immer der internen Schnittstelle zugeordnet werden (siehe Abbildung 15.3). Abbildung 15.3: Festlegen der Bindungsreihenfolge auf einem ISA Server

1 2 3 4 5 6 7

Entfernen Sie in den Eigenschaften der externen Verbindung auf der Registerkarte Allgemein den Haken bei den Optionen.

8

Da die externe Schnittstelle nur den Datenverkehr zum Internet verwalten soll, besteht keine Notwendigkeit, eine Sicherheitslücke entstehen zu lassen, indem auf Microsoft-Netzwerkverbindungen gewartet wird. Im Anschluss daran sollten Sie noch weitere Einstellungen in den Netzwerkverbindungen vornehmen:

9

■ ■

■ ■

10

Als bevorzugten DNS-Server für die interne Schnittstelle tragen Sie den DNSServer im Active Directory ein. Bei der externen Schnittstelle tragen Sie keinen DNS-Server ein. Die DNSNamensauflösung des ISA Servers erläutere ich später in diesem Kapitel noch ausführlicher. Als Standardgateway tragen Sie bei der externen Schnittstelle die IP-Adresse der Hardware-Firewall ein. Da es nur ein Standardgateway geben kann, tragen Sie bei der internen Schnittstelle kein Gateway ein.

11 12 13

Als Nächstes können Sie den ISA Server als Mitgliedsserver in die Domäne aufnehmen.

14

Installation von ISA 2004 und ISA 2006 Haben Sie diese Vorbereitungen durchgeführt, können Sie mit der Installation des ISA Servers beginnen. Die Installation von ISA 2004 und ISA 2006 unterscheidet sich kaum voneinander.

15

Wählen Sie bei der Installation des ersten ISA Servers die Option ISA Server-Dienste und Konfigurationsspeicherserver installieren. Bei der Installation weiterer ISA Server können Sie nur die Option ISA Server-Dienste installieren auswählen und bei der Aus919


wahl des Konfigurationsspeicherservers den ersten installierten ISA Server auswählen. Da die Standard Edition nicht Bestandteil eines ISA-Verbundes (Array) sein kann, wird bei dieser Version diese Auswahl nicht angezeigt. Stellen Sie auf jeden Fall sicher, dass während der Installation die internen IP-Bereiche des Netzwerkes erfasst werden. Bevor Sie mit der Verwaltung des ISA Servers beginnen, sollten Sie das aktuelle Service Pack 2 für ISA Server 2004 installieren, für den ISA 2006 gibt es derzeit noch kein Service Pack. Laden Sie sich das Service Pack bei Microsoft auf der Seite http://www.microsoft.com/germany/isaserver herunter. Setzen Sie ein ISA-Array ein, müssen Sie auf allen beteiligten ISA Servern immer den gleichen Service Pack- und Hotfix-Stand verwenden, da ansonsten die Kommunikation der Server untereinander nicht funktioniert. Haben Sie das Service Pack 2 heruntergeladen, können Sie es per Doppelklick auf die MSP-Datei installieren lassen. Mit der Installation von ISA Server 2004 SP2 ist die Installation abgeschlossen. Sie sollten auf der Downloadseite des ISA Servers im Internet überprüfen, ob noch Updates verfügbar sind. Sind Updates verfügbar, sollten Sie diese vor der Einrichtung installieren.

Überprüfung der Installation Die eigentliche Überprüfung der Installation erfolgt bei der Einrichtung des ISA Servers. Im folgenden Abschnitt zeige ich Ihnen, wie Sie nach der Installation feststellen können, ob der ISA Server fehlerfrei installiert wurde. Sie können nach dem Neustart die Managementkonsole des ISA Servers starten. Lässt sich diese starten, können Sie schon recht sicher sein, dass der ISA Server auch funktioniert (siehe Abbildung 15.4). Zusätzlich können Sie in den Diensten auf dem Server überprüfen, ob die Dienste des ISA Servers gestartet wurden: ■ ■ ■ ■ ■

Microsoft Firewall (nicht verwechseln mit der Windows Firewall aus Windows XP SP2 oder Windows Server 2003 SP1) MSSQL$MSFW (Konfigurationsspeicher) Microsoft ISA Server Auftragszeitplanung Microsoft ISA Server-Speicher Microsoft ISA Server-Steuerung

Die Dienste sind sowohl in ISA Server 2004 als auch ISA Server 2006 vorhanden. Abbildung 15.4: ISA Server 2004Verwaltung

920


Die Verwaltungsoberflächen von ISA 2004 und ISA 2006 sind weitgehend identisch (siehe Abbildung 15.4 und 15.5).

Deaktivieren der Datenübermittlung zu Microsoft

1

Starten Sie die ISA Server-Verwaltung das erste Mal, finden Sie oben auf der Seite den Link Klicken Sie hier, um mehr über das Programm zur Verbesserung der Benutzerfreundlichkeit zu erfahren (siehe Abbildung 15.4). Klicken Sie auf diesen Link, und wählen Sie die Option Nein, ich möchte nicht teilnehmen. Nehmen Sie teil, legt der ISA Server eine mehrere Hundert Megabyte große Datei an, die den ISA Server stark belasten kann. Die Teilnahme macht keinerlei Sinn und bringt Unternehmen auch keinen Nutzen.

2 3 Abbildung 15.5: Verwaltungsoberfläche von ISA Server 2006

4 5 6 7 8 9 10

15.2.1

ISA Server Best Practices Analyzer

Wie für Exchange (siehe Kapitel 16), gibt es auch für den ISA Server ein kostenloses Analysetool von Microsoft, das die Installation und Konfiguration eines ISA Servers überprüfen kann. Der ISA BPA analysiert dabei auf Basis der Konfigurationsdaten, ob ein ISA Server fehlerfrei installiert wurde, und gibt im Bedarfsfall entsprechende Meldungen aus. Laden Sie sich das Tool auf der Internetseite von Microsoft herunter, und führen Sie die Installation auf dem ISA Server durch.

11

Nach der Installation des Tools finden Sie den ISA BPA in der Programmgruppe Microsoft ISA Server/ISA-Tools. Haben Sie das Programm gestartet, können Sie mit dem Link Start a new Best Practices Scan eine erste Überprüfung des ISA Servers durchführen (siehe Abbildung 15.6).

13

12

14

Neben einem HealthCheck des ISA Servers können Sie im Menü auch die Konfiguration des ISA Servers anzeigen lassen.

15

921


Abbildung 15.6: Überprüfen der ISAKonfiguration

Wählen Sie dazu beim Starten des Scanvorgangs statt des HealthChecks einfach die Funktion Run ISAInfo aus. Dieser Scanvorgang dauert erheblich länger als der gewöhnliche HealthCheck. Abbildung 15.7: Auswählen des Testtyps

Microsoft veröffentlicht in regelmäßigen Abständen Aktualisierungen für die ISAKonfiguration. Diese Aktualisierungen können beim Starten des Programms automatisch von Microsoft heruntergeladen und integriert werden. Dadurch ist sichergestellt, dass die Analyse eines installierten ISA Servers immer auf der aktuellsten Basis erfolgt. Es gibt sicherlich keine schnellere Möglichkeit, einen ISA Server auf Herz und Nieren zu prüfen, als den ISA-BPA. Experimentieren Sie mit diesem Tool, und lesen Sie sich die ausführliche Hilfedatei durch. Normalerweise reicht der HealthCheck aus, um Ihnen einen Überblick über die Verbesserungsmöglichkeiten der Installation zu gewähren. Der Test prüft den ISA Server auf Herz und Nieren und gibt Ihnen entsprechende Hilfen und Fehlerbehebungsmaßnahmen.

922

Namensauflösung für die Internetanbindung des Exchange Servers 2007

Abbildung 15.8: Anzeigen des Berichtes mit Optimierungstipps

1 2 3 4 5 Gehen Sie allen Meldungen nach, und stellen Sie sicher, dass keine schwerwiegenden Fehler in der Konfiguration gemacht wurden.

15.3

6

Namensauflösung für die Internetanbindung des Exchange Server 2007 und ISA Server

7 8

Damit der Exchange Server eine Verbindung ins Internet aufbauen kann, müssen Sie dafür sorgen, dass der ISA Server die DNS-Namen im Internet auflösen kann. Die DNS-Server des Active Directory können nicht nur die internen Zonen auflösen, sondern können auch als Weiterleitungsserver die DNS-Server Ihres Providers verwenden. Dadurch ist sichergestellt, dass die DNS-Server des Unternehmens zuverlässig interne und externe DNS-Namen auflösen können.

9 10

Die interne Netzwerkkarte des ISA Servers verwendet als DNS-Server die Domänencontroller des Active Directory. Durch diese empfohlene Vorgehensweise, die Sie in Abbildung 15.9 sehen, ist immer sichergestellt, dass die Namen der Internetseiten aufgelöst werden können.

11

In den Eigenschaften der PCs und Mitgliedsserver der Domäne, auch auf dem ISA Server, stehen die DNS-Server des Active Directory, also die Domänencontroller. Dadurch ist sichergestellt, dass auch der ISA Server interne DNS-Namen auflösen kann. Die Active Directory-DCs fragen die DNS-Server Ihres Internetproviders oder die Internet-Stamm-DNS-Server nach DNS-Zonen, für die sie nicht selbst zuständig sind.

12 13

Damit die Domänencontroller die DNS-Namen bei den DNS-Servern im Internet abfragen können, müssen natürlich auf dem ISA Server entsprechende Regeln definiert werden.

14

15

923

Exchange Server 2007 mit ISA Server 2004 SP2 und ISA 2006 Abbildung 15.9:j DNS-Namensauflösung auf dem ISA Server

INFO

Sie sollten auf den DNS-Servern als Weiterleitungsserver nicht nur einen externen DNS-Server verwenden, sondern am besten mehrere. Dadurch ist sichergestellt, dass der Internetverkehr auch noch funktioniert, wenn ein DNS-Server des Providers nicht mehr zur Verfügung stehen sollte. Sie müssen für die Namensauflösung natürlich nicht diesen Weg wählen, sondern können für die Auflösung von DNS-Namen im Internet auf dem ISA Server einen DNS-Server konfigurieren, der wiederum die DNS-Server im Internet als Weiterleitungsserver verwendet. Die Möglichkeit, die DNS-Server des Active Directory zu verwenden, ist aber nach meiner Erfahrung vor allem für mittelständische Unternehmen die beste. Die internen DNS-Server können auch automatisch die DNS-Server verwenden, die auf der Registerkarte Stammhinweise in ihren Eigenschaften eingetragen sind (siehe Abbildung 15.10). Die Verwendung der externen DNS-Server des Providers wird jedoch empfohlen, auch wenn die Stammhinweise zuverlässig funktionieren.

924


Abbildung 15.10: Stammhinweise in den Eigenschaften der Active DirectoryDNS-Server

1 2 3 4 5 6

Ich habe schon beide Varianten eingerichtet, und beide funktionieren.

7

15.3.1

8

Erstellen der Regeln für die DNS-Abfrage

Haben Sie die DNS-Einstellungen vorgenommen, müssen Sie auf dem ISA Server zunächst eine Regel erstellen, die es den DNS-Servern erlaubt, Abfragen im Internet zu erstellen. Die Erstellung dieser Regel ist für ISA 2004 und 2006 identisch.

9

1.

Klicken Sie dazu mit der rechten Maustaste auf den Menüpunkt Firewallrichtlinie und wählen Neu/Zugriffsregel aus. 2. Es startet der Assistent für die Erstellung einer neuen Regel (siehe Abbildung 15.11). Geben Sie der Regel eine Bezeichnung, aus der schnell ersichtlich ist, welcher Zugriff mit dieser Regel gestattet wird, zum Beispiel DNS-Auflösung für DCs. 3. Auf der nächsten Seite wählen Sie die Option Zulassen als Regelaktion, da Sie explizit Datenverkehr zum Internet zulassen wollen (siehe Abbildung 15.12). Weitere Regeln, die den gewünschten Datenverkehr zulassen und den restlichen blockieren, werden zukünftig genau wie diese Regel erstellt.

10 11 12 13

Standardmäßig blockiert der ISA Server jeden Netzwerkverkehr zwischen seinen Netzwerkkarten, für den es keine Zulassungsregel gibt. Nach der Inbetriebnahme eines ISA Servers ist das Netzwerk also sofort zuverlässig geschützt.

INFO

14

15

925


Abbildung 15.11: Erstellen einer neuen Firewallregel

Abbildung 15.12: Festlegen der Regelaktion

4. Auf der nächsten Seite können Sie die Protokolle festlegen, die für diese Regeln verwendet werden sollen.

5. Klicken Sie auf die Schaltfläche Hinzufügen. Danach werden Ihnen alle Proto-

6. 7.

926

kolle angezeigt (siehe Abbildung 15.13). Wählen Sie aus dem Bereich Infrastruktur das Protokoll DNS aus. Auf der nächsten Seite legen Sie fest, für wen Sie dieses Protokoll zulassen wollen. Klicken Sie im Fenster Zugriffsregelquellen auf Hinzufügen. An dieser Stelle müssen Sie explizit die internen DNS-Server als berechtigte Quellen für das Protokoll angeben.


Abbildung 15.13: Auswählen der benötigten Protokolle für eine Regel

1 2 3 4 5 6 7 8 Abbildung 15.14: Erstellen eines neuen Computersatzes für eine neue Regel

9 10 11 12 13 14

15

927


8. Klicken Sie im Fenster Netzwerkidentitäten hinzufügen auf den Menüpunkt Neu, und wählen Sie Computersatz aus (siehe Abbildung 15.14).

9. Es öffnet sich ein Fenster, in dem Sie den Adressbereich der Computer hinterlegen können, die per DNS auf das Internet zugreifen sollen.

10. Geben Sie dem Computersatz einen Namen, aus dem klar wird, welche Server enthalten sind, zum Beispiel DC (siehe Abbildung 15.15).

11. Über Hinzufügen/Computer können Sie die IP-Adressen der Domänencontroller hinterlegen. 12. Zum Schluss sollte der Computersatz alle Computer enthalten, die von dieser Regel verwendet werden. Sie können später ohne Weiteres zusätzliche Computer zu diesem Computersatz hinzufügen, damit die neuen Server sofort über die ISA-Regel an das Internet angebunden werden. Abbildung 15.15: Erstellen eines neuen Computersatzes und Hinzufügen von Computern zu dem Computersatz

13. Haben Sie den Computersatz erstellt, können Sie ihn im Fenster Netzwerkidentitäten hinzufügen für diese Regel auswählen. Haben Sie den Computersatz hinzugefügt, wird dieser als Zugriffsregelquelle angezeigt. 14. Auf der nächsten Seite des Assistenten legen Sie fest, auf welche externen IPAdressen die Domänencontroller zugreifen dürfen. Klicken Sie auch an dieser Stelle auf Hinzufügen, und wählen Sie die entsprechende Netzwerkidentität aus, also die externe Schnittstelle des ISA (siehe Abbildung 15.15). Entweder Sie erstellen einen weiteren Computersatz, der wiederum die DNS-Server Ihres Providers enthält, oder Sie wählen über den Bereich Netzwerke den Punkt Extern aus, um den Zugriff auf alle externen DNS-Server zu genehmigen. In diesem Fall dürfen die Domänencontroller per DNS uneingeschränkt auf alle Server im Internet zugreifen. Diese Option ist sinnvoll, wenn Sie nicht mit Weiterleitungen auf den DNS-Servern arbeiten, sondern mit den Stammhinweisen.

928


Abbildung 15.16: Auswahl der Zugriffsregelziele

1 2 3 4 5 15. Auf der nächsten Seite wählen Sie Alle Benutzer als Benutzersatz aus, da die

6

Filterung des Zugriffs ohnehin bereits auf Basis der IP-Adresse und des DNSProtokolls stattfindet (siehe Abbildung 15.17). Abbildung 15.17: Zugriffsregel für Benutzer

7 8 9 10 11 12 13

16. Zum Abschluss erhalten Sie eine Zusammenfassung, und die Regel wird erstellt. 17. Haben Sie die Regel erstellt, muss diese noch übernommen werden. Klicken Sie

14

dazu in der Verwaltung des ISA Servers auf die Option Übernehmen (siehe Abbildung 15.18). Zukünftig müssen Sie alle Regeln, die Sie erstellen, nach der Konfiguration erst übernehmen. Die Übernahme dauert ein paar Sekunden, in denen kein Internetverkehr mehr zugelassen wird und alle Clients vom Internet getrennt werden.

15

929


Abbildung 15.18: Übernehmen einer Firewallrichtlinie

In der Verwaltungskonsole sehen Sie die Konfiguration der Regel auf einen Blick (siehe Abbildung 15.19). Abbildung 15.19: Regel für den externen DNS-Zugriff

Auch hier gibt es keinen Unterschied zwischen ISA Server 2004 und 2006. Die Erstellung der Regel ist identisch.

Testen der DNS-Namensauflösung Als nächsten Schritt können Sie die externe Namensauflösung testen. Geben Sie in der Befehlszeile auf dem Domänencontroller oder einem Client, der den Domänencontroller als DNS-Server verwendet, nslookup ein, und lassen Sie den Namen einer Internetseite auflösen, zum Beispiel www.mut.de. Der Name muss aufgelöst werden, da der interne DNS-Server die Abfrage an die Stammhinweise oder seine Weiterleitungsserver weiterleitet.

HALT

Damit die DNS-Server Zugriff auf das Internet haben, müssen Sie auf den Servern als Standardgateway die interne IP-Adresse des ISA Servers eintragen. In diesem Fall werden die notwendigen Abfragen für DNS automatisch an den ISA Server weitergeleitet. Bei der Namensauflösung finden folgende Schritte statt:

1. 2. 3.

Der interne DNS-Server schickt die DNS-Abfrage an sein Standardgateway, den ISA Server. Dieser prüft anhand der IP-Adresse, ob er eine Regel finden kann, die eine DNSAbfrage gestattet. Da Sie diese Regel angelegt haben, lässt er den Datenverkehr zu, und die Abfrage wird beantwortet. Da dieser Vorgang etwas dauert, kann es durchaus sein, dass Sie zunächst eine Zeitüberschreitung bei der Abfrage erhalten, der Name nach ein paar Sekunden jedoch fehlerfrei aufgelöst werden kann (siehe Abbildung 15.20).

Sie können an dieser Stelle jedoch noch nicht auf das Internet zugreifen. Derzeit ist nur der Zugriff per DNS gestattet, andere Protokolle wie HTTP, SMTP oder FTP haben noch keinen Zugriff, da es dafür noch keine Regeln gibt.

930

Anbindung der Server an den ISA Server

Abbildung 15.20: Erfolgreiche Namensauflösung per DNS

1 2 3 4

15.4

Anbindung der Server an den ISA Server

5

Generell haben Sie drei Möglichkeiten, über einen ISA Server eine Verbindung zum Internet aufzubauen:

6

1. Webproxyclient 2. SecureNAT-Client 3. Firewallclient

7

Sie sollten ein Grundverständnis der einzelnen Clientvarianten haben, damit Sie bei der Integration eines ISA Servers genau festlegen können, welche PCs oder Server sich mit welcher Variante mit dem ISA Server verbinden. Jede Variante hat Vor- und Nachteile, die genau gegeneinander abgewogen werden sollten.

8

Webproxyclient

9

Bei einem Webproxyclient wird in der proxyfähigen Anwendung, also meistens einem Webbrowser, der ISA Server als Proxyserver eingetragen. Exchange Server 2007 ist nicht proxyfähig. Baut ein Benutzer mit dieser Anwendung eine Verbindung zum Internet auf, verbindet sich die Software mit dem ISA Server, der die entsprechenden Daten aus dem Internet abruft und an den Client weitergibt. Eine weitere Verbindung gibt es nicht. Ein Webproxyclient kann nur über die Protokolle HTTP, HTTPS oder FTP eine Verbindung ins Internet aufbauen.

10 11

Damit ein Webproxyclient eine Verbindung ins Internet aufbauen kann, muss der ISA Server nicht als Standardgateway in den IP-Einstellungen des PC hinterlegt werden. Der Verbindungsaufbau wird ausschließlich über die Eintragung des ISA Servers in der entsprechenden Anwendung, also meistens einem Webbrowser, konfiguriert. Die meisten PCs in Unternehmen sind Webproxyclients. Damit ein PC Webproxyclient wird, muss keine Zusatzsoftware installiert werden. Bei der Verwendung des Internet Explorers zusammen mit dem ISA Server wird die Domänenanmeldung des Benutzers an den ISA Server übergeben. Der Benutzer muss sich nicht erneut beim ISA Server authentifizieren. Ist die Authentifizierung aktiviert, erhalten Sie in den Proxyberichten detaillierte Informationen über die einzelnen Benutzer auf Basis ihrer Domänenanmeldenamen aus dem Active Directory. Webproxyclients überlassen die Namensauflösung dem ISA Server. Dazu muss der ISA Server so konfiguriert werden, dass er Namen im Internet auflösen kann. Bei der Planung einer ISA Serverumgebung spielt es daher eine wichtige Rolle, bereits frühzeitig für die Namensauflösung ins Internet zu planen.

12 13 14

15

931


TIPP

Tragen Sie den ISA Server als Proxy ein, sollten Sie vorher sicherstellen, dass der Servername im DNS oder WINS nach der internen IP-Adresse aufgelöst wird, nicht nach der externen. Wird der ISA Server nach der externen aufgelöst, funktionieren Webproxyclients unter Umständen nicht mehr.

SecureNAT-Client Ein Client wird als SecureNAT-Client bezeichnet, wenn in den IP-Einstellungen des PC oder Servers der ISA Server als Standardgateway eingetragen wird. Beim Beispiel der Namensauflösung sind die DNS-Server im Active Directory SecureNAT-Clients, da diese Verbindung über das Standardgateway mit dem Internet aufbauen. Dieser Clienttyp wird meistens auf Servern verwendet, die Verbindung zum Internet aufbauen müssen, wie zum Beispiel ein Exchange Server für externe E-Mails. Wird bei einem PC oder Server der ISA Server als Standardgateway definiert, schickt dieser PC alle Netzwerkanfragen, die nicht an das interne Netzwerk geschickt werden, an den ISA Server. Der ISA Server dient in diesem Fall als normaler Router zum Internet. Client-PCs sollten nur in extremen Ausnahmen als SecureNAT-Clients definiert werden. Es sind keine weiteren Maßnahmen notwendig, um einen Client zum SecureNAT-Client zu machen. Es muss auch keine Software installiert werden. SecureNAT-Clients unterstützen außer HTTP und HTTPS auch die anderen Protokolle für das Internet wie SMTP, IMAP und POP3. Bei der Internetverbindung als SecureNAT-Client werden keine Regeln auf Benutzerbasis angewendet. Der SecureNAT-Client unterstützt keine Authentifizierung. Beim Verbindungsaufbau ins Internet wird nur die IP-Adresse des SecureNAT-Clients vom ISA Server erkannt. Sie sollten beim Einsatz dieser Clients daher Regeln planen, die nicht auf Basis von Benutzernamen verwendet werden, sondern die nach der IP-Adresse filtern (daher wurde auch die DNS-Regel entsprechend erstellt). SecureNAT-Clients lösen die Namen für den Internetzugriff selbst auf. Sie müssen daher dafür sorgen, dass der eingetragene DNS-Server auf dem Client die Internetnamen auflösen kann. Da auf den Clients und Servern ohnehin die DNS-Server im Active Directory verwendet werden und diese Internetnamen nach der oberen Konfiguration auflösen können, ist die Namensauflösung in dieser Richtung bereits optimal gelöst.

Firewallclient Der Firewallclient ist der einzige Client, für den eine spezielle Software auf dem PC oder Server installiert werden muss. Diese Software wird mit dem ISA Server mitgeliefert. Der Firewallclient ermöglicht es dem PC oder Server, sich direkt über den Firewalldienst des ISA Servers mit dem Internet zu verbinden. Der Firewallclient leitet alle Anfragen, die nicht an das interne Netzwerk gestellt werden, an den ISA Server weiter. Bei Anfragen für die Protokolle HTTP, HTTPS und FTP verhält sich der Firewallclient wie ein Webproxyclient. In der Client-Software ist dazu der ISA Server als Proxy eingetragen. Anfragen durch diese Protokolle können daher durch Regeln gesteuert werden, die auf Benutzerbasis erstellt wurden, da der Firewallclient die Authentifizierung unterstützt. Der Firewallclient kann allerdings nicht nur eine Authentifizierung mit HTTP, HTTPS oder FTP durchführen, sondern auch für alle anderen Protokolle.

932

Exchange Server 2007 – E-Mail-Versand ins Internet

15.5


Damit Exchange E-Mails nicht nur intern, sondern auch ins Internet zustellen kann, habe ich Ihnen in Kapitel 5 gezeigt, wie Sie einen SMTP-Sendeconnector einrichten, der die E-Mails zum E-Mail-Server Ihres Providers schicken kann.

1

Damit der E-Mail-Versand funktioniert, sollten Sie zunächst auf dem Exchange Server den ISA Server als Gateway eintragen oder sonst wie für das Routing zum Internet über den ISA sorgen. Der ISA Server dient in diesem Fall als Router, und der Exchange Server ist SecureNAT-Client für den ISA Server. Der Exchange Server verwendet die Domänencontroller als DNS-Server, die wiederum die Namen im Internet durch die ISA-DNS-Regel auflösen können, die ebenfalls bereits in diesem Kapitel besprochen wurde.

2

15.5.1

3 4

Erstellen einer Regel für den SMTP-E-Mail-Versand

5

Damit der Exchange Server per SMTP auf das Internet zugreifen kann, müssen Sie auf dem ISA Server zunächst eine Regel erstellen, die ihm das erlaubt. DNS ist nicht notwendig, da diese Abfrage weiterhin über die Domänencontroller durchgeführt wird.

6

Um eine SMTP-Regel zu erstellen, gehen Sie zunächst genauso vor wie bei der Erstellung der Regel für den DNS-Zugriff der Domänencontroller und dem Internetzugriff der Benutzer.

7

1. 2. 3.

Die neue Regel erstellen Sie wieder per Rechtsklick auf die Firewallrichtlinien, wählen Neu und dann Zugriffsregel. Geben Sie der Regel einen passenden Namen, wie zum Beispiel SMTP-Versand Exchange. Konfigurieren Sie diese Regel als Typ Zulassen. Auf der Seite Protokolle wählen Sie Hinzufügen und unterhalb des Protokolls Mail die Option SMTP aus (siehe Abbildung 15.21). Es ist nicht notwendig, an dieser Stelle weitere Protokolle einzutragen, Exchange benötigt zum Versenden von E-Mails lediglich SMTP.

8 9 10 Abbildung 15.21: Erstellen einer SMTP-Zugriffsregel für Exchange Server

11 12 13 14

15

933


4. Auf der nächsten Seite legen Sie fest, für welche Quellen diese Regel Gültigkeit hat. Hier erstellen Sie, analog zum Zugriff der Domänencontroller mit DNS, einen neuen Computersatz mit der Bezeichnung Exchange Server, der die einzelnen IP-Adressen Ihrer Exchange Server enthält. Hier müssen Sie nur den HubTransport- oder Edge-Transport-Server eintragen, der für den E-Mail-Versand zuständig ist. Erledigen Sie das im Fenster Zugriffsregelquellen über Hinzufügen/Neu/Computersatz. Wählen Sie als Namen am besten Exchange Server aus, und klicken Sie auf Hinzufügen, um einzelne Computer diesem Satz hinzuzufügen (siehe Abbildung 15.22). Abbildung 15.22: Erstellen eines neuen Zugriffssatzes für Exchange

5. Stellen Sie sicher, dass der erstellte Computersatz im Fenster Zugriffsregelquellen hinzugefügt ist (siehe Abbildung 15.23). Durch diese Maßnahme ist sichergestellt, dass ausschließlich die Exchange Server per SMTP auf das Internet zugreifen können. Andere Server benötigen diese Berechtigung nicht. Abbildung 15.23: Hinzufügen eines Computersatzes zu einer Regel

934


6. Auf der nächsten Seite legen Sie fest, auf welche Ziele die Exchange Server im Internet zugreifen dürfen. Hier bietet sich auch wieder der Zugriff auf das ganze Internet über Hinzufügen/Netzwerke/Extern an. Sie können auch eine Einschränkung auf die IP-Adresse des Providers vornehmen, indem Sie einen Computersatz erstellen. Aber grundsätzlich bietet es sich bei SMTP an, den Zugriff nicht noch weiter zu beschränken. Eine größere Sicherheitsproblematik entsteht dadurch nicht. 7. Die restliche Erstellung dieser Regel entspricht der Erstellung der DNS-Regel für die Domänencontroller, die weiter vorne bereits besprochen wurde. 8. Im Anschluss wird diese Regel auch in den Firewallrichtlinien angezeigt (siehe Abbildung 15.24).

1 2 3 Abbildung 15.24: SMTP-Versand für Exchange Server 2007 über ISA Server 2004/2006

4 5 6 7

15.5.2 Testen des Verbindungsaufbaus

8

Um die Funktion der Regel zu verifizieren, öffnen Sie am besten auf dem Exchange Server eine Befehlszeile. Geben Sie den Befehl telnet <Mailserver im Internet > 25 ein (siehe Abbildung 15.25).

9

SMTP verwendet den TCP-Port 25 zum Verbindungsaufbau. Bauen Sie eine Telnetsitzung auf Port 25 auf, sollte eine Antwort erfolgen und der Exchange Server sollte sich mit dem Remote-Mailserver verbinden.

10 Abbildung 15.25: Verbindungsaufbau mit einem E-MailServer

Wird die Verbindung aufgebaut, ist die Erstellung der Regel erfolgreich abgeschlossen. Kann der Exchange Server die Verbindung nicht aufbauen, versuchen Sie einen anderen E-Mail-Server, da nicht alle Server eine Verbindung per Telnet zulassen.

11 12 13

Lässt sich zum E-Mail-Server Ihres Providers und auch zu anderen E-Mail-Servern keine Verbindung aufbauen, überprüfen Sie, ob der Exchange Server mit nslookup den Namen auflösen kann, wenn Sie diesen eingetragen haben, und ob die IPAdresse stimmt, die Sie als Standardgateway eingetragen haben.

14

15

935


15.6

Exchange Server 2007 – E-Mail-Empfang aus dem Internet

Damit Ihr Exchange Server richtig mit dem Internet kommunizieren kann, ist es nicht nur notwendig, dass er sicher E-Mails versenden kann, sondern er muss auch in der Lage sein, E-Mails zu empfangen. Für den E-Mail-Empfang in Unternehmen gibt es zwei verschiedene Möglichkeiten, POP3 und SMTP. Bei POP3 werden die E-Mails vom Exchange Server abgeholt, bei SMTP werden die E-Mails direkt auf den Exchange Server geschickt. SMTP ist grundsätzlich schneller und stabiler. Allerdings verwenden vor allem kleinere Unternehmen noch POP3-Connectoren, die auf dem Exchange Server installiert werden und die E-Mails aus dem Internet vom Provider herunterladen. Abhängig davon, welche Variante Sie verwenden, müssen Sie unterschiedliche Regeln erstellen (siehe auch Kapitel 5 und 9).

15.6.1

E-Mail-Empfang mit POP3

Damit Sie E-Mails per POP3 vom Provider abrufen können, muss der Exchange Server per POP3 Zugriff auf das Internet bekommen. Sie können entweder eine eigene Regel für den POP3-Zugriff erstellen oder die bereits erstellte SMTP-Regel für den E-MailEmpfang ändern. Der Zugriff per POP3 ist schlussendlich nichts anderes als der Zugriff per SMTP, mit dem Unterschied, dass POP3 den Port 110 und SMTP den Port 25 verwendet. Wollen Sie eine neue Regel für den POP3-Zugriff erstellen, gehen Sie genauso vor wie bei der Erstellung der SMTP-Regel für den E-Mail-Versand, wählen aber als Protokoll POP3 und nicht SMTP aus. Abbildung 15.26: Erweitern einer Zugriffsregel für POP3

936


Wollen Sie die SMTP-Regel ergänzen, klicken Sie in der Managementkonsole des ISA Servers auf die Regel und öffnen mit einem Doppelklick deren Konfiguration. Ihnen stehen verschiedene Registerkarten zur Verfügung, auf denen Sie die einzelnen Einstellungen vornehmen können, wie bei der Erstellung der Regel bereits besprochen.

1

Wechseln Sie auf die Registerkarte Protokolle (siehe Abbildung 15.26), und klicken Sie auf Hinzufügen. Wählen Sie unter dem Punkt Mail die Option POP3 oder POP3S aus, je nachdem, wie Sie Ihren POP3-Connector konfiguriert haben. Bei POP3S werden Benutzernamen und Kennwort verschlüsselt, bei POP3 werden diese Daten unverschlüsselt zum Provider übertragen. Verwenden Sie POP3S, schaltet der ISA Server den Port 995 frei.

2 3

Haben Sie die Regel geändert, müssen Sie diese wieder wie gehabt übernehmen. Nach der Änderung wird die Regel in den Firewallrichtlinien mit den neuen Parametern angezeigt (siehe Abbildung 15.27).

4

Sie können in der Konfiguration der Regel auch die Bezeichnung ändern, damit diese auch auf die Regel Rückschlüsse zulässt. Ein Beispiel wäre SMTP/POP3 für Exchange Server.

5 Abbildung 15.27: Angepasste Regel für den Zugriff von Exchange per POP3

6 7 8 9

Testen der Regel Auch diese Zugriffsregel können Sie wieder auf dem Exchange Server mit Telnet testen. Geben Sie in der Befehlszeile telnet 110 ein. Es sollte sich dann eine Verbindung zum POP3-Server des Providers aufbauen lassen (siehe Abbildung 15.28).

10 11 Abbildung 15.28: Erfolgreicher Zugriff auf den POP3-Server

12

Funktioniert der Verbindungsaufbau, ist die Erstellung der Regel abgeschlossen, und der POP3-Connector auf dem Exchange Server kann die Nachrichten herunterladen.

13

15.6.2 E-Mail-Empfang per SMTP

14

Der E-Mail-Empfang per SMTP ist zwar deutlich schneller und stabiler, allerdings auch komplizierter in der Konfiguration. Beim E-Mail-Empfang über SMTP werden die E-Mails nicht vom Exchange Server abgeholt, sondern dieser erhält die E-Mails aus dem Internet. Damit dies möglich ist, muss Ihr Exchange Server auf genau die

15

937


gleiche Weise im Internet erreichbar sein wie der E-Mail-Server Ihres Providers, den Sie beim E-Mail-Versand verwenden. Bei dieser Konfiguration steht der Exchange Server also quasi mit einem Bein im Internet. Aus diesem Grund muss der Zugriff auf den Exchange Server aus dem Internet auch besonders abgesichert werden. Der ISA Server stellt für diese Funktion spezielle Assistenten zur Verfügung, die Sie bei der Einrichtung unterstützen. Microsoft empfiehlt, für die Internetanbindung einen Edge-Transport-Server zu verwenden, Sie können aber auch einen Hub-TransportServer im Internet zur Verfügung stellen.

Vorbereitungen für den SMTP-E-Mail-Empfang Wollen Sie E-Mails per SMTP empfangen, empfiehlt es sich, dass Sie eine statische IP-Adresse im Internet buchen, damit sich der Empfang nicht unnötig verzögert, wenn sich die IP-Adresse ändert. Zusätzlich wird diese IP-Adresse als sogenannter MX-Eintrag (Mailexchanger) für Ihre Internetdomäne auf den DNS-Servern im Internet veröffentlicht. Die E-Mail-Server im Internet befragen den MX-Record der Domänen, um zu erfahren, zu welchem Server SMTP-E-Mails geschickt werden sollen. Normalerweise werden MX10-, MX20- und MX30-Einträge erstellt. Zunächst versucht der sendende Server, den SMTP-Server zu erreichen, der unter MX10 eingetragen ist. Gelingt das nicht, wird die Nachricht zum MX20 geschickt und so weiter. Sie sollten als MX10 die IP-Adresse eintragen, die Sie statisch im Internet verwenden, also die Adresse, die der externen Schnittstelle der Hardware-Firewall zugewiesen wurde. Als MX20 sollten Sie die IP-Adresse des SMTP-Servers Ihres Providers einsetzen. Steht der MX10, also Ihr Exchange Server, nicht zur Verfügung, weil er zum Beispiel heruntergefahren ist, werden die E-Mails zum Provider geschickt, der diese zwischenspeichert, bis Ihr Exchange Server wieder erreichbar ist.

HALT

Für die Veröffentlichung eines Exchange Servers für SMTP, Outlook Web Access, Outlook Anywhere (RPC über HTTPS) und Exchange ActiveSync ist es unerlässlich, dass der Exchange Server als SecureNAT-Client definiert ist, also den ISA Server als Standardgateway in seinen IP-Einstellungen verwendet. Außerdem muss beim Einsatz einer zusätzlichen Hardware-Firewall darauf geachtet werden, dass auf dieser der Port 25 auf die externe Schnittstelle des ISA Servers weitergeleitet wird. Für den Router ist die externe Schnittstelle des ISA Servers die interne Schnittstelle seines Netzwerkes. Da der Router direkt mit dem Internet verbunden ist und nicht der ISA Server, werden ansonsten die Zugriffe per SMTP bereits auf dem Router blockiert.

Veröffentlichen des Exchange Servers über den ISA Server Um Exchange im Internet zu veröffentlichen, klicken Sie mit der rechten Maustaste in der Managementkonsole des ISA Servers auf die Firewallrichtlinien, wählen Neu und dann Mailserver-Veröffentlichungsregel (siehe Abbildung 15.29). Die Erstellung dieser Regel läuft in ISA 2004 und ISA 2006 analog ab.

938


Abbildung 15.29: Veröffentlichen eines Exchange Servers im Internet

1 2 3 4 1.

5

Geben Sie einen passenden Namen ein. Auf der nächsten Seite des Assistenten wählen Sie die Option Server-zu-Server-Kommunikation aus (siehe Abbildung 15.30). Abbildung 15.30: Veröffentlichen eines Exchange Servers im Internet

6 7 8 9 10 11 12

2.

Auf der nächsten Seite des Assistenten müssen Sie die Dienste festlegen, die aus dem Internet auf dem Exchange Server erreichbar sind (siehe Abbildung 15.31). Wählen Sie an dieser Stelle ausschließlich SMTP aus.

13 14

15

939


Abbildung 15.31: SMTP-Veröffentlichung des Exchange Servers

3. Auf der nächsten Seite geben Sie die interne IP-Adresse des Exchange Servers an, der veröffentlicht werden soll (siehe Abbildung 15.32). Abbildung 15.32: Konfiguration der IP-Adresse des zu veröffentlichenden Servers

4. Tragen Sie an dieser Stelle die interne IP-Adresse des Exchange Servers ein. Auf

5. 6.

INFO

940

der nächsten Seite des Assistenten wählen Sie im Fenster IP-Adresse die Schnittstelle Extern aus (siehe Abbildung 15.33). Klicken Sie dann auf Adresse, um die externe IP-Adresse zu konfigurieren, auf die der ISA Server hört (siehe Abbildung 14.13). Aktivieren Sie die Option Angegebene IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk. Stellen Sie sicher, dass im ausgewählten Netzwerk die IP-Adresse eingetragen wird, die der externen Schnittstelle des ISA Servers, die an die interne Schnittstelle der Hardware-Firewall angeschlossen ist, zugewiesen ist.

Der MX-Eintrag Ihrer Internetdomäne zeigt auf Ihre statische IP-Adresse, welche die externe Schnittstelle des Routers vom Provider erhält. In den Port-Weiterleitungen auf dem Router wird der Port 25 auf die externe Schnittstelle des ISA Servers weitergeleitet, der mit der internen Schnittstelle des Routers verbunden ist (siehe Abbildung 15.34).


Abbildung 15.33: Auswahl der externen IP-Adresse des ISA Servers

1 2 3 4 5 6 7 8 Abbildung 15.34: Schnittstellen und Verbindung in einem Beispiel

9 10 11 12 13 14

15

941


7.

Haben Sie diese Eingaben vorgenommen, wird die Regel erstellt, und Sie müssen diese wieder übernehmen. Die Regel wird wie alle anderen Regeln in den Firewallrichtlinien angezeigt (siehe Abbildung 15.35).

Abbildung 15.35: Neu erstellte Firewallregel

Testen der Mailserver-Veröffentlichung Auch die Erstellung dieser Regel können Sie mit Telnet testen. Öffnen Sie eine Befehlszeile, und geben Sie telnet 25 ein (siehe Abbildung 15.36). Verwenden Sie als IP-Adresse die externe IP-Adresse des Routers. Nach kurzer Zeit sollte die Verbindung aufgebaut werden, da der Router die Anfrage an die externe Schnittstelle des ISA Servers weiterleitet. Vor diesem Test müssen Sie diese Weiterleitung zunächst konfigurieren. Abbildung 15.36: Verbindungsaufbau über Telnet

Funktioniert der Verbindungsaufbau nicht, versuchen Sie, einen Testrechner in das gleiche Netz zu stellen, in dem sich die interne Schnittstelle des Routers und die externe des ISA Servers befinden. Normalerweise verbinden Sie die interne Schnittstelle der Hardware-Firewall mit einer Switch mit der externen Schnittstelle des ISA. Schließen Sie den Testrechner an diese Switch an. Versuchen Sie den Verbindungsaufbau zu Port 25, der externen Schnittstelle des ISA Servers, in diesem Beispiel die 10.0.0.100. Funktioniert der Verbindungsaufbau an dieser Stelle, liegt ein Verbindungsproblem von der Hardware-Firewall zum ISA Server vor. Testen Sie die Verbindung auch über eine alternative Internetverbindung, um auszuschließen, dass nicht andere Regeln den Zugriff blockieren.

15.6.3 Nachrichtenüberwachung auf dem ISA Server Um Ihre Exchange Server noch effizienter vor Spams oder Viren zu schützen (siehe auch Kapitel 13), besteht die Möglichkeit, auf dem ISA Server die Nachrichtenüberwachung zu installieren. Führen Sie diesen Vorgang durch, wird allerdings nicht Ihr Exchange Server im Internet veröffentlicht, sondern der SMTP-Server auf dem ISA Server. Der ISA Server wird sozusagen zum Relay-Server, der Nachrichten aus dem Internet empfängt und ins Internet versendet.

942


Setzen Sie die Nachrichtenüberwachung zu diesem Zweck ein, können Sie auf dem Exchange Server im SMTP-Connector als Bridgeheadserver den ISA Server eintragen, der wiederum die Nachrichten entgegennimmt und ins Internet weiterleitet. Umgekehrt werden die Nachrichten aus dem Internet dem ISA Server zugestellt, der diese dann an den Exchange Server weiterleitet.

1

Als SMTP-Server dient dabei der SMTP-Dienst auf dem ISA Server. Da diese Konfiguration aus meiner Sicht nur selten sinnvoll ist, erkläre ich Ihnen im nächsten Abschnitt nur kurz, wie Sie die Nachrichtenüberwachung installieren können. Eine ausführliche Erläuterung würde den Umfang dieses Buches sprengen.

2 3

Durch die Verwendung des ISA Servers als Mail-Relay wird die Mail-Kommunikation erheblich beeinflusst und verkompliziert. Sie sollten daher diese Maßnahmen nur dann durchführen, wenn Sie sich mit SMTP und Exchange Servern schon lange auseinandergesetzt haben. Achten Sie darauf, dass auf dem ISA Server die entsprechenden Regeln hinterlegt sind und funktionieren, die den E-Mail-Versand von Exchange zum ISA Server, vom ISA Server ins Internet, aus dem Internet zum ISA Server und vom ISA Server zum Exchange Server regeln. Die Erstellung dieser Regeln erfolgt analog zur Erstellung der bereits beschriebenen Regeln.

4 5

Auf den folgenden Internetseiten finden Sie ausführliche Anleitungen, wie Sie einen ISA Server in Verbindung mit dem SMTP-Dienst des IIS zu einem Mail-Relay konfigurieren können: ■ ■

6

http://www.isaserver.org/articles/2004inboundsmtprelay.html http://www.isaserver.org/articles/2004outboundsmtprelay.html

Wie ich Ihnen bereits empfohlen habe, sollten Sie auf dem ISA Server ohnehin eine Antiviren-Software installieren, die den HTTP- und den FTP-Verkehr filtert. Viele dieser Lösungen können auch SMTP-E-Mails filtern und bringen oft eigene SMTP-Server mit, zum Beispiel die Trend Micro InterScan VirusWall, die in ein solches Relay-Konzept eingebunden werden kann. Vor allem zur InterScan VirusWall gibt es vom Hersteller ausführliche Installationsanleitungen.

7 8 TIPP

9 10

Installation der Nachrichtenüberwachung auf ISA 2004 Für ISA Server 2006 steht die Nachrichtenüberwachung in dieser Form nicht mehr zur Verfügung. Sie können aber auch hier SMTP-Befehle filtern lassen. Setzen Sie einen ISA Server 2004 ein, können Sie die Nachrichtenüberwachung installieren, wie nachfolgend beschrieben.

11

Damit Sie die Nachrichtenüberwachung nutzen können, müssen Sie auf dem ISA Server jedoch den SMTP-Dienst des IIS installieren. Alle anderen Erweiterungen des IIS werden nicht benötigt. Sie finden den SMTP-Dienst über Systemsteuerung/Software/Windows-Komponenten hinzufügen/Anwendungsserver/Details/Internetinformationsdienste/Details/SMTP-Dienst.

12

Wählen Sie den SMTP-Dienst aus, werden außerdem alle benötigten Zusatzkomponenten automatisch mit ausgewählt. Sie können die Nachrichtenüberwachung jederzeit nachträglich installieren, indem Sie die ISA-CD einlegen und das Installationsprogramm starten. Wählen Sie aus den Installationsoptionen Modifizieren aus (siehe Abbildung 15.37).

14

13

15

943


Abbildung 15.37: Installation der Nachrichtenüberwachung auf dem Exchange Server

Im nächsten Fenster wählen Sie einfach die Nachrichtenüberwachung aus. Sie müssen die Nachrichtenüberwachung nicht unbedingt auf einem ISA Server installieren, sondern können einen weiteren Server in der DMZ installieren, auf dem Sie die Komponente Nachrichtenüberwachung von der ISA-CD installieren. Bei den meisten Umgebungen wird die Installation direkt auf dem ISA Server die beste Variante sein (siehe Abbildung 15.38). Abbildung 15.38: Installation der ISA Server-Nachrichtenüberwachung

Nach der Installation sollten Sie den ISA Server neu starten und danach die ISA-Verwaltung öffnen. Im Menü Konfiguration/Add-Ins finden Sie den Anwendungsfilter SMTP-Filter. Stellen Sie sicher, dass der Filter aktiviert ist, und rufen Sie seine Eigenschaften auf (siehe Abbildung 15.39).

944


Konfiguration der Nachrichtenüberwachung Im Anschluss daran können Sie die notwendigen Einstellungen des Filters vornehmen. Ihnen stehen verschiedene Registerkarten zur Verfügung, auf denen Sie den SMTP-Verkehr zwischen Internet und internem Netzwerk konfigurieren können.

1

Zunächst können Sie auf der Registerkarte SMTP-Befehle genau steuern, welche Befehle über das Internet auf dem Exchange Server ausgeführt werden dürfen. Die bereits integrierten Standardbefehle können nicht gelöscht, sondern nur deaktiviert werden. Sie sollten folgende SMTP-Befehle auf dieser Registerkarte deaktivieren, um die Angriffsmöglichkeiten auf Ihr Netzwerk zu verringern: ■ ■ ■

2 3

EXPN – Mit diesem Befehl könnte ein Angreifer die Mitglieder einer Verteilerliste auslesen. NOOP – Dieser Befehl wird nicht benötigt und kann deaktiviert werden, da mit ihm Statusmeldungen geprüft werden können. VRFY – Dieser Befehl dient dazu zu testen, ob gewisse Empfängeradressen in Organisationen vorhanden sind. Vor allem Spammer verwenden oft diese Funktion.

4 5

Diese Befehle lassen sich mit einem Klick deaktivieren.

6 Abbildung 15.39: Verwenden der Nachrichtenüberwachung auf dem ISA Server

7 8 9 10 11 12

Sie können die Registerkarte SMTP-Befehle auch verwenden, wenn die Nachrichtenüberwachung nicht installiert ist. Alle anderen Registerkarten werden jedoch nur aktiviert, wenn die Nachrichtenüberwachung installiert und konfiguriert wurde. Bei ISA Server 2006 können Sie die SMTP-Befehle wie bei ISA 2004 konfigurieren, die anderen Registerkarten stehen in ISA 2006 nicht mehr zur Verfügung.

13 TIPP

14

15

945


15.7

Veröffentlichen von Outlook Web Access über ISA Server 2004/2006

Outlook Web Access lässt sich mit einem ISA Server hervorragend und sicher im Internet veröffentlichen. Ideal ist die Veröffentlichung per SSL über einen ClientAccess-Server und mit eigener interner Zertifikatstelle.

15.7.1

Neuerungen in ISA Server 2006

ISA Server 2006 enthält eine Reihe von Verbesserungen im Bereich der Server- und Webserververöffentlichungen sowie eine Reihe neuer und erweiterter Authentifizierungsverfahren. ISA Server 2006 verteilt die Anforderungslast vom Client an mehrere Publishing-ISA Server. Auf diese Weise ist die Bereitstellung von NLB (Network Load Balancing) auf dem Publishing-Array nicht erforderlich. Die Funktionen für den Weblastenausgleich werden bei der Veröffentlichung von Outlook Web Access und Outlook Anywhere automatisch implementiert. Outlook Web Access sucht mit cookiebasiertem Lastenausgleich automatisch eine Regel aus. Beim Lastenausgleich mit Cookies werden alle mit derselben Sitzung verbundenen Anforderungen an den gleichen Server weitergeleitet. Outlook Anywhere verwendet Lastenausgleich basierend auf der Quell-IP. Beim Lastenausgleich basierend auf der Quell-IP werden alle Anforderungen von derselben Client-(Quell-)IP-Adresse an denselben Server weitergeleitet. Da externen Clients lediglich die ISA Server 2006-Firewall und externe Namespaces zur Verfügung stehen, werden Verweise als unterbrochene Verbindungen angezeigt. ISA Server 2006 beinhaltet ein Linkübersetzungsfeature, das zum Erstellen eines Definitionswörterbuchs für interne Computernamen verwendet werden kann, die öffentlich bekannten Namen zugeordnet werden. ISA Server 2006 implementiert diese Linkübersetzung automatisch, wenn Sie Webpublishing für Outlook Web Access konfigurieren. Für authentifizierten und verschlüsselten Clientzugriff bietet ISA Server 2006 Endto-End-Sicherheit und Filterung auf der Anwendungsebene unter Verwendung von SSL-to-SSL-Bridging. Verschlüsselte Daten werden hierbei untersucht, bevor sie den Exchange Server erreichen. Die ISA Server 2006-Firewall entschlüsselt den SSLStrom, führt eine Überprüfung des Zustands durch, verschlüsselt die Daten anschließend erneut und leitet sie an den Webpublishingserver weiter. Bei der Überprüfung des Zustands handelt es sich um eine Firewallarchitektur auf Netzwerkebene. Im Gegensatz zur statischen Paketfilterung, bei der ein Paket basierend auf den Kopfzeileninformationen untersucht wird, werden bei der Überprüfung des Zustands alle Verbindungen über die Firewallschnittstellen und deren Gültigkeit getestet. ISA Server 2006 implementiert die Unterstützung für SSL-Bridging automatisch bei der Konfiguration von Webpublishing.

15.7.2

Vorbereitungen der OWA-Veröffentlichung mit ISA Server

Zunächst sollten Sie wie in Kapitel 9 beschrieben Outlook Web Access einrichten und konfigurieren. Auf den folgenden Seiten gehe ich mit Ihnen die Konfiguration der Veröffentlichung über einen ISA Server 2004 und 2006 durch. Dabei wird ein SSL-

946


Tunnel zwischen Client und ISA Server und ein weiterer SSL-Tunnel zwischen ISA Server und Client-Access-Server aufgebaut. Diese Technik, bei der zwei verschiedene SSL-Tunnel zum Einsatz kommen, wird als SSL-Bridging bezeichnet.

1

Vorbereitungen auf dem Client-Access-Server Wird auf dem ISA Server und einem Front-End-Server unter Exchange Server 2003 mit der formularbasierten Authentifizierung, also der neuen Anmeldeseite von Outlook Web Access gearbeitet, können Anwender keine Verbindung aufbauen. Unter Exchange Server 2007 wurde dieses Manko beseitigt. Sie sollten aber dennoch für das virtuelle Web OWA auf dem Client-Access-Server die formularbasierte Authentifizierung deaktivieren und bei der Veröffentlichung über einen ISA Server 2006 die Option Mindestens ein Standardauthentifizierungsverfahren verwenden und dann integrierte Windows-Authentifizierung aktivieren. Das Formular für die Anmeldung an Outlook Web Access kann in diesem Fall durch den ISA Server zur Verfügung gestellt werden.

2 3 4

Aktuell gibt es allerdings noch kein Update für ISA 2004, in dem die neue Anmeldeseite von Exchange Server 2007 integriert ist. Aktuell ist in ISA Server 2004 nur die Anmeldeseite für die formularbasierte Authentifizierung von Exchange Server 2003 enthalten. Diese sollten Sie nicht zusammen mit Exchange Server 2007 einsetzen.

5 6

Veröffentlichen Sie Exchange Server 2007 über einen ISA Server 2004, sollten Sie die formularbasierte Authentifizierung auf dem Client-Access-Server verwenden, nicht die auf dem ISA Server. Sobald eine Aktualisierung für den ISA 2004 verfügbar ist, in dem neben der Anmeldeseite von Exchange Server 2003 auch die Anmeldeseite von Exchange Server 2007 integriert ist, können Sie die formularbasierte Authentifizierung auf dem Client-Access-Server deaktivieren und diejenige auf dem ISA Server 2004 verwenden. Für ISA 2006 gibt es solche Probleme nicht, da hier die entsprechenden Formulare schon integriert sind.

7 8 9

Sie finden diese Einstellung in der Exchange-Verwaltungskonsole unter Serverkonfiguration/Clientzugriff. Rufen Sie im Ergebnisbereich der Konsole die Eigenschaften des Webs OWA auf, und wechseln Sie auf die Registerkarte Authentifizierung. Hier können Sie die formularbasierte Authentifizierung aktivieren und deaktivieren. Haben Sie auch Clients auf Exchange Server 2003-Postfachserver im Unternehmen, müssen Sie diese Maßnahme auch in den Eigenschaften der anderen virtuellen Webs durchführen (siehe Abbildung 15.40).

10 11

Deaktivieren Sie die formularbasierte Authentifizierung nicht und aktivieren diese auf dem ISA Server 2006 auch noch, erhalten die Anwender nach der Authentifizierung am ISA Server nochmals eine Anmeldemaske des Client-Access-Servers, was viele Anwender verwirren wird.

12 13

Wollen Sie parallel zu OWA auch Outlook Anywhere mit ISA 2006 veröffentlichen und nur eine Netzwerkkarte am ISA mit dem Internet verbinden, können Sie nur einen Listener erstellen (siehe später in diesem Kapitel). Auf diesem Listener lauscht der ISA Server im Internet nach Abfragen. Pro Netzwerkverbindung kann nur ein Listener erstellt werden. Beim parallelen Einsatz von OWA und Outlook Anywhere können Sie die Standardauthentifizierung für OWA an dieser Stelle aktivieren, es funktioniert aber auch die integrierte Windows-Authentifizierung. Verwenden Sie für den ISA Server-Listener die Standardauthentifizierung und stellen im virtuellen Web OWA nicht die Standardauthentifizierung ein, erhalten die Anwender beim Zugriff auf OWA eine Fehlermeldung, dass der Zugriff verweigert wird.

14

15

947


Abbildung 15.40: Konfiguration der formularbasierten Authentifizierung

Zertifikate zur Absicherung der SSL-Verbindung installieren Erstellen Sie für den Client-Access-Server ein Zertifikat, das als Bezeichnung nicht den FQDN des internen Namens erhält, in diesem Beispiel exfront01.contoso.com, sondern den Namen, unter dem Sie OWA im Internet veröffentlichen, zum Beispiel webmail.meinefirma.de (siehe Kapitel 9). Dieser Punkt ist extrem wichtig, da bei einer Abweichung kein Verbindungsaufbau stattfinden kann, wenn Sie OWA später über den ISA Server veröffentlichen. Aktivieren Sie SSL für die vier Webs OWA, Exchange, Exchweb und Public, und stellen Sie sicher, dass für diese drei Webs die Standardauthentifizierung aktiviert wurde. Auf diese Konfiguration bin ich bereits in Kapitel 9 eingegangen. Testen Sie nach der Einrichtung zunächst die Verbindung per OWA intern ohne die Verbindung über den ISA Server. Ideal wäre es, wenn Sie zu Testzwecken auf den DNS-Servern im Active Directory eine neue Zone anlegen, welche die Bezeichnung Ihrer Internetdomäne trägt, unter der Sie später OWA veröffentlichen, zum Beispiel meinefirma.de. Tragen Sie in dieser Domäne einen statischen Eintrag webmail ein, und weisen Sie dem Eintrag die interne IP-Adresse des Client-Access-Servers zu. Jetzt können Sie im Internet Explorer den Verbindungsaufbau zu https://webmail.meinefirma.de/owa testen. Es sollte sich eine Verbindung ohne Fehlermeldung des Zertifikats aufbauen lassen, da der FQDN des Zertifikats jetzt stimmt (siehe Kapitel 9). Funktioniert der interne Verbindungsaufbau, ohne eine Zertifikatmeldung anzuzeigen, können Sie mit der Veröffentlichung auf dem ISA Server fortfahren.

Importieren des Zertifikats auf den ISA Server Verwenden Sie eine interne Zertifikatstelle, können Sie das Zertifikat des ClientAccess-Servers auf dem ISA Server importieren: 948


1.

2. 3.

4. 5. 6.

Öffnen Sie dazu auf dem Client-Access-Server das Snap-In des Internetinformationsdienste-Managers, und rufen Sie die Eigenschaften der Standardwebseite auf. Wechseln Sie auf die Registerkarte Verzeichnissicherheit, und klicken Sie auf die Schaltfläche Serverzertifikat. Nach dem Willkommensbildschirm wählen Sie die Option Aktuelles Zertifikat in eine PFX-Datei exportieren (siehe Abbildung 15.41). Erscheint dann die Option zum Exportieren des privaten Schlüssels, so deaktivieren Sie diese Option, der private Schlüssel wird nicht benötigt. Unter Umständen ist die Option zum Exportieren deaktiviert. Klicken Sie in diesem Fall auf die Option Zertifikat erneuern. Im nächsten Fenster wählen Sie die Option, dass Sie die Zertifikatanfrage sofort absenden wollen. Im nächsten Fenster wählen Sie Ihre Zertifikatsstelle aus und schließen die Erneuerung ab. Anschließend sollte die Option zum Exportieren des Zertifikats verfügbar sein.

1 2 3 4 5 Abbildung 15.41: Erneuern eines Zertifikats

6 7 8 9 10 11

Abbildung 15.42: Exportieren eines Serverzertifikats

12 13 14

15

949


7.

Wählen Sie im nächsten Fenster den Pfad, auf dem Sie die PFX-Datei speichern wollen. 8. Im nächsten Fenster müssen Sie ein Kennwort festlegen, das später beim Importieren des Zertifikats wieder verwendet werden kann. 9. Im Anschluss wird das Zertifikat exportiert und steht im gewählten Verzeichnis zur Verfügung. Abbildung 15.43: Verwalten der Zertifikate des Computerkontos

10. Kopieren Sie die Datei auf den ISA Server. 11. Öffnen Sie auf dem ISA Server die Verwaltung der lokalen Zertifikate über Start/Ausführen/MMC/Datei/Snap-In hinzufügen/Zertifikate. Wählen Sie bei der Auswahl des Speichers Computerkonto aus (siehe Abbildung 15.43). 12. Danach werden die Zertifikate des lokalen Computerkontos angezeigt. Klicken Sie auf den Menüpunkt Zertifikate (Lokaler Computer)/Eigene Zertifikate/Zertifikate mit der rechten Maustaste, und wählen Sie Alle Aufgaben/Importieren (siehe Abbildung 15.44). Abbildung 15.44: Importieren eines Zertifikats auf dem ISA Server

13. Wählen Sie die zuvor kopierte PFX-Datei aus. 14. Geben Sie im nächsten Fenster das Kennwort für den Importvorgang ein, und wählen Sie im nächsten Fenster als Zertifikatspeicher den Container Eigene Zertifikate (siehe Abbildung 15.44 und 15.45). Abbildung 15.45: Zertifikat der Stammzertifizierungsstelle

950


15. Stellen Sie zusätzlich sicher, dass das Zertifikat der Stammzertifizierungsstelle unter Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate erscheint (siehe Abbildung 15.45). Ist der ISA Mitglied der Domäne, in der Sie die Zertifikatsstelle installiert haben, sollte das Zertifikat der Zertifikatsstelle bereits bei den vertrauenswürdigen Stammzertifizierungsstellen hinterlegt sein.

1 Abbildung 15.46: Auswahl der PFXDatei für den Import

2 3 4 5 6 7

16. Ist der ISA kein Mitglied der Domäne, exportieren Sie über das Zertifikate-Snap-

8

In auf dem Exchange das Zertifikat der Stammzertifizierungsstelle und importieren dieses in die vertrauenswürdigen Stammzertifizierungsstellen auf dem ISA (siehe Kapitel 9).

9 Abbildung 15.47: Auswahl des Zertifikatspeichers für den Import

10 11 12 13 14

15

951


17. Als Nächstes müssen Sie auf dem ISA Server noch die Datei c:\windows\ system32\drivers\etc\hosts bearbeiten. Tragen Sie in dieser Datei, wie es in Abbildung 15.48 zu sehen ist, den FQDN des Client-Access-Servers so ein, wie Sie ihn im Internet veröffentlichen. Als IP-Adresse tragen Sie die interne IPAdresse des Client-Access-Servers im internen Netzwerk ein. Der ISA Server muss in der Lage sein, den Server aufzulösen und so zu kontaktieren, wie er von den Anwendern über das Internet angesprochen wird. Dieser Vorgang ist zwar unter ISA 2006 nicht mehr unbedingt notwendig, erleichtert aber die Konfiguration und erhöht die Stabilität. Abbildung 15.48: Konfiguration der Hosts-Datei auf dem ISA Server

18. Versuchen Sie in der Befehlszeile, ob der ISA Server den Server anpingen kann und damit der Name aufgelöst wird.

15.7.3

Erstellen einer Webveröffentlichungsregel für Outlook Web Access für ISA Server 2004

Haben Sie alle Vorbereitungen abgeschlossen, können Sie auf dem ISA Server 2004 Outlook Web Access veröffentlichen. Stellen Sie vor der Erstellung der Regel sicher, dass die notwendigen Vorbereitungen abgeschlossen wurden und intern der Zugriff funktioniert. Funktioniert bereits der interne Zugriff auf das Postfach nicht, wird auch der Zugriff über das Internet nicht funktionieren.

1.

2.

952

Klicken Sie mit der rechten Maustaste in der ISA Server-Verwaltung auf Firewallrichtlinie und wählen Neu/Mailserver-Veröffentlichungsregel. Geben Sie der Regel einen passenden Namen, zum Beispiel OWA-Veröffentlichung. Wählen Sie auf der nächsten Seite des Assistenten die Option Webclientzugriff:Outlook Web Access (OWA)….(siehe Abbildung 15.49).


Abbildung 15.49: Veröffentlichen von Outlook Web Access

1 2 3 4 5 6 3. Auf der Seite Dienste auswählen wählen Sie die Option Outlook Web Access aus

4.

(siehe Abbildung 15.50). Achten Sie darauf, dass die Option High Bit-Zeichen aktivieren, die von erweiterten Zeichensätzen verwendet werden aktiviert ist, da ansonsten Ansichtsprobleme der E-Mails in Outlook Web Access auftreten können. Auf der nächsten Seite aktivieren Sie die Option Sichere Verbindung mit Clients und Mailserver, damit das SSL-Bridging aktiviert ist (siehe Abbildung 15.51).

7 8

Abbildung 15.50: Veröffentlichen von Outlook Web Access

9 10 11 12 13 14

15

953


Abbildung 15.51: Aktivieren des SSL-Bridgings

5. Im nächsten Fenster legen Sie den Exchange Server fest, den Sie veröffentlichen wollen. Tragen Sie hier den FQDN-Namen des Front-End-Servers ein, wie er im Internet durch die Clients erreichbar ist (siehe Abbildung 15.52). Hier müssen Sie normalerweise die interne IP-Adresse bzw. den internen Namen des Servers auswählen. Da Sie den externen Namen mit der internen IP-Adresse in der Hosts-Datei hinterlegt haben, verwenden Sie hier auch den externen Namen. Verwenden Sie den internen Namen, kann es zu Problemen beim Zugriff über das Internet kommen. Abbildung 15.52: Festlegen des Servernamens für die Veröffentlichung

954


6. Auf der nächsten Seite müssen Sie den genauen Namen der Webveröffentlichung eintragen. Verwenden Sie auch hier wieder die Bezeichnung, mit der OWA im Internet erreichbar sein soll, also in diesem Beispiel webmail.meinefirma.de (siehe Abbildung 15.53).

1 Abbildung 15.53: Festlegen des öffentlichen Namens

2 3 4 5 6 7

7.

8

Als Nächstes können Sie einen neuen Weblistener erstellen. Mit diesem Listener wird der ISA Server darauf konfiguriert, mit seiner externen IP-Adresse auf einen Verbindungsaufbau zum Port 443 für SSL zu warten und die formularbasierte Authentifizierung von Exchange Server 2007 zu verwenden. Aktuell unterstützt der ISA Server 2004 diese Authentifizierung nicht, das heißt, ohne ein entsprechendes Update verwenden Sie den Standard-SSL-Listener und erstellen keinen neuen. Wurde die Aktualisierung veröffentlicht und ist die formularbasierte Authentifizierung von Exchange Server 2007 auf dem ISA 2004 verfügbar, können Sie den Listener wie hier beschrieben erstellen. Klicken Sie dazu auf der Seite Weblistener auf Neu, um die notwendigen Konfigurationen vorzunehmen (siehe Abbildung 15.54).

9 10 11 Abbildung 15.54: Erstellen eines neuen Weblisteners

12 13 14

15

955


8. Haben Sie auf die Schaltfläche Neu geklickt, startet der Assistent für die Erstellung eines neuen Weblisteners. Geben Sie dem Listener zunächst einen Namen, wie zum Beispiel OWA-SSL. 9. Auf der nächsten Seite legen Sie die Schnittstelle fest, auf der Ihr neuer Listener hören soll (siehe Abbildung 15.55). 10. Klicken Sie danach auf die Schaltfläche Adresse, und aktivieren Sie die Option Angegebenen IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk. 11. Wählen Sie die IP-Adresse aus, mit der Ihr ISA Server mit dem Router verbunden ist (siehe Abbildung 15.55). Abbildung 15.55: Festlegen der IP-Adresse für den Listener

12. Auf der nächsten Seite legen Sie zunächst die Option SSL aktivieren fest und deaktivieren HTTP (siehe Abbildung 15.56).

13. Danach klicken Sie im Bereich Zertifikat auf Auswählen und wählen das zuvor importierte Zertifikat aus (siehe Abbildung 15.56). 14. Danach erhalten Sie eine Zusammenfassung Ihrer Eingaben. Im Anschluss wird der Listener erstellt, und Sie können ihn in dem Fenster auswählen.

956


Abbildung 15.56: Auswahl des Zertifikates für die OWAVeröffentlichung

1 2 3 4 5 6 7 15. Der Listener ist allerdings noch nicht vollständig konfiguriert. Aus diesem

8

Grund wird auch angezeigt, dass er noch nicht für die formularbasierte Authentifizierung aktiviert ist (siehe Abbildung 15.57). Klicken Sie auf Bearbeiten, um die Einstellungen des Listeners anzupassen.

9 Abbildung 15.57: Erstellter Listener für OWA

10 11 12 13 14

15

957


16. Klicken Sie auf der Registerkarte Einstellungen auf die Schaltfläche Authentifizierung (siehe Abbildung 15.58).

17. Entfernen Sie den Haken bei Integriert, und aktivieren Sie die Option OWA Form Based (siehe Abbildung 15.58). Diese Option können Sie zusammen mit Exchange Server 2007 erst dann verwenden, wenn die Exchange Server 2007Formulare für ISA 2004 erschienen sind. Aktuell brauchen Sie keinen Listener zu erstellen, sondern verwenden den Standard-SSL-Listener und aktivieren auf dem Client-Access-Server, wie beschrieben, die formularbasierte Authentifizierung. 18. Klicken Sie dann auf Konfigurieren, um die formularbasierte Authentifizierung anzupassen (siehe Abbildung 15.58). 19. Aktivieren Sie die beiden Optionen Von OWA abmelden, wenn der Benutzer von der OWA-Site wechselt und Clients auf öffentlichen Computern, um die Anlagen für öffentliche Computerzugriffe auf OWA zu sperren (siehe Abbildung 15.58). Auf Wunsch können Sie auf dieser Seite auch die Zeitlimits für Leerlaufsitzungen konfigurieren, also die Zeitspanne, wann ein Benutzer abgemeldet wird, wenn keine Aktionen stattfinden. 20. Haben Sie alle Eingaben durchgeführt, können Sie die Fenster schließen. Der OWA-Listener ist jetzt für die formularbasierte Authentifizierung aktiviert. Achten Sie darauf, dass Sie auf dem Client-Access-Server die formularbasierte Authentifizierung deaktivieren. Vor allem bei der Veröffentlichung von Exchange Server 2003 ist das zwingend notwendig, da keine zwei hintereinander liegenden formularbasierten Authentifizierungen unterstützt werden. Abbildung 15.58: Konfiguration der formularbasierten Authentifizierung für OWA

21. Auf der nächsten Seite können Sie festlegen, für welche Benutzersätze die Regel gilt. Hier sollten Sie die Einstellung Alle Benutzer belassen.

958


Abbildung 15.59: Firewallrichtlinie für Outlook Web Access

1 2 3 4 5

22. Im Anschluss wird die Regel erstellt, und Sie können diese, wie die anderen Regeln, übernehmen. Nach der Erstellung wird die Regel in den Firewallrichtlinien angezeigt (siehe Abbildung 15.59).

6

Danach sollte der Verbindungsaufbau aus dem Internet funktionieren. Ihre Anwender müssen im Internet Explorer die Adresse https://webmail.meinefirma.de/owa eingeben. Dann wird die formularbasierte Authentifizierung geöffnet, und die Anwender können auf ihr Postfach zugreifen. Achten Sie beim Einsatz einer Hardware-Firewall noch darauf, dass der SSL-Port 443 von der Firewall zur externen Schnittstelle auf dem ISA Server weitergeleitet wird. Ansonsten ist keine Verbindung möglich.

7 8 HALT

9

15.7.4

Veröffentlichen von OWA über ISA 2006

Setzen Sie einen ISA Server 2006 ein, sieht die Konfiguration etwas anders aus. ISA Server 2006 bietet mehrere Vorteile. Zum Beispiel können Sie mit dem Feature Web Publishing Load Balancing (WPLB, Webpublishing-Lastenausgleich) Lasten mithilfe von Cookies ausgleichen. Sie können eine Clientserveraffinität sicherstellen, selbst wenn sich die Client-IP ändert. ISA Server 2006 bietet außerdem GZIP-Komprimierung und -Dekomprimierung, mit der Sie Datenverkehr analysieren oder Komprimierung auf Webservern vermeiden können. Mit ISA Server 2004 mussten Sie eine Entscheidung treffen: Sie konnten entweder HTTP-Komprimierung mit OWA oder formularbasierte Authentifizierung mit ISA Server verwenden. ISA Server 2006 unterstützt beides gleichzeitig.

10 11 12 13

Zusätzlich können Sie OWA-Linkübersetzung über ISA Server durchführen. Verwendet jemand in einer OWA-E-Mail einen Intranetlink, kann ISA Server diesen in einen richtigen Internetlink übersetzen. Dies kann recht nützlich sein, aber Sie müssen dabei sicherstellen, dass Sie die Intranetlinks in demselben ISA-Array veröffentlichen, das OWA veröffentlicht. Am wichtigsten dabei ist, dass ISA Server 2006 eine Vorauthentifizierung durchführt, um Ihr Netzwerk zu schützen. Durch die Vorauthentifizierung soll sichergestellt werden, dass kein nicht autorisierter HTTPDatenverkehr Ihre Server erreicht. Ist der Datenverkehr, der zu Ihrem Client-AccessServer (CAS) geleitet wird, gültig, wird der ISA Server ihn zur Domäne leiten. Haben

14

15

959


Sie alle Vorbereitungen abgeschlossen, können Sie auf dem ISA Server 2006 Outlook Web Access veröffentlichen.

1.

Klicken Sie mit der rechten Maustaste in der ISA Server-Verwaltung auf Firewallrichtlinie und wählen Neu/Veröffentlichungsregel für Exchange-Webclientzugriff (siehe Abbildung 15.60). Geben Sie der Regel einen passenden Namen, zum Beispiel OWA-Veröffentlichung.

2.

Wählen Sie auf der nächsten Seite des Assistenten die Option Outlook Web Access (OWA) und die passende Exchange-Version aus (siehe Abbildung 15.61). Die Option Exchange Server 2007 steht erst dann zur Verfügung, wenn Sie die Aktualisierung von der Internetseite http://support.microsoft.com/kb/ 925403 auf dem ISA Server 2006 installiert haben. Ohne diese Aktualisierung wird noch die Entwicklungsversion V12 von Exchange Server 2007 angezeigt. Aktivieren Sie die Option zur Veröffentlichung von Outlook Web Access, werden alle anderen Optionen deaktiviert.

Abbildung 15.60: Veröffentlichen von Outlook Web Access über ISA 2006

Abbildung 15.61: Auswählen des Dienstes für die Veröffentlichung

960


3. Auf der nächsten Seite wählen Sie den Veröffentlichungstyp (siehe Abbildung 15.62). Wählen Sie hier die Option Einzelne Webseite oder Lastenausgleich. Abbildung 15.62: Auswählen des Veröffentlichungstyps für Outlook Web Access über ISA 2006

1 2 3 4 5 6 7 8

4. Auf der nächsten Seite wählen Sie den Sicherheitstyp für die Verbindung zum Exchange Server. Aktivieren Sie hier die Verwendung von SSL (siehe Abbildung 15.63).

9 Abbildung 15.63: Aktivieren von SSL für OWA

10 11 12 13 14

15

961


5. Auf der nächsten Seite geben Sie den FQDN des Exchange Servers ein, den Sie veröffentlichen wollen. Schon seit Exchange 2000/ISA 2000 ist es sehr empfehlenswert, als internen FQDN des Servers den gleichen Namen zu verwenden, den die Anwender von extern verwenden. Aus diesem Grund haben Sie in den Vorbereitungen den externen Hostnamen mit interner IP-Adresse in der HOSTDatei auf dem ISA eingetragen. Auch wenn diese Konfiguration unter ISA 2004/2006 nicht mehr unbedingt sein muss, hat es sich in der Praxis herausgestellt, dass OWA-Verbindungen deutlich stabiler laufen und eingerichtet werden können, wenn das Zertifikat die externe Bezeichnung der Veröffentlichung verwendet und Sie auch diese Bezeichnung für die interne Auflösung von ISA zu Exchange verwenden (siehe Abbildung 15.64). Abbildung 15.64: Konfiguration des internen Namens des Exchange Servers

6. Auf der nächsten Seite des Assistenten geben Sie jetzt den externen Namen des Servers ein, über den er im Internet erreichbar ist. Hier verwenden Sie wieder den gleichen Namen wie zuvor. Wichtig ist an dieser Stelle, dass dieser Name auch im Internet durch die Anwender zur externen IP-Adresse der Firewall aufgelöst werden kann. Die Firewall leitet die Anfrage zum ISA und dieser schließlich zum Exchange weiter (siehe Abbildung 15.65).

962


Abbildung 15.65: Auswählen des externen Namens der OWA-Veröffentlichung

1 2 3 4 5 6 7

7.

Auf der nächsten Seite des Assistenten erstellen Sie mit Neu einen neuen Weblistener. Auf diesem Listener lauscht der ISA auf Anfragen, damit er diese an den Exchange Server weiterleiten kann (siehe Abbildung 15.66). Mit diesem Listener wird der ISA Server darauf konfiguriert, auf einen Verbindungsaufbau zum Port 443 für SSL zu warten und die formularbasierte Authentifizierung von Exchange Server 2007 zu verwenden. Im Gegensatz zu ISA 2004 können Sie bei ISA 2006 einen Listener erstellen, der die formularbasierte Authentifizierung unterstützt, und diesen Listener parallel für die Veröffentlichung von Outlook Anywhere und Exchange ActiveSync verwenden. 8. Haben Sie auf die Schaltfläche Neu geklickt, startet der Assistent für die Erstellung eines neuen Weblisteners. Geben Sie dem Listener zunächst einen Namen wie zum Beispiel OWA. 9. Auf der nächsten Seite des Assistenten zum Erstellen eines neuen Weblisteners wählen Sie wieder SSL für die Kommunikation, dieses Mal zwischen Client und ISA, aus (siehe Abbildung 15.67).

8 9 10 11 12 13 14

15

963


Abbildung 15.66: Erstellen eines neuen Weblisteners für die Veröffentlichung von OWA

Abbildung 15.67: Verwenden von SSL für die Kommunikation zwischen Client und ISA

964


10. Auf der nächsten Seite legen Sie die externe Schnittstelle fest, auf der Ihr neuer Listener hören soll (siehe Abbildung 15.68).

11. Klicken Sie danach auf die Schaltfläche IP-Adressen angeben, und aktivieren Sie die Option Angegebenen IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk. 12. Wählen Sie die IP-Adresse aus, mit der Ihr ISA Server mit dem Router verbunden ist. 13. Auf der nächsten Seite müssen Sie das Zertifikat hinterlegen, dass Sie zuvor vom Client-Access-Server auf den ISA 2006 importiert hatten. Der Name des Zertifikats sollte identisch sein mit dem externen Namen, über den die Anwender die Verbindung aufbauen. Aktivieren Sie hierzu die Option Ein einziges Zertifikat für diesen Weblistener auswählen und klicken auf die Schaltfläche Zertifikat auswählen. Im folgenden Fenster sollte das Zertifikat als gültiges Zertifikat angezeigt werden (siehe Abbildung 15.69). Wählen Sie das Zertifikat aus.

1 2 3 4 Abbildung 15.68: Festlegen der externen IP-Adresse des Listeners für OWA

5 6 7 8 9 10 11 12 13 14

15

965


Abbildung 15.69: Auswählen des Serverzertifikats

14. Auf der nächsten Seite legen Sie die Authentifizierung fest. Wollen Sie die formularbasierte Authentifizierung direkt am ISA ausführen und nicht über den Client-Access-Server, wählen Sie die Option HTML-Formularauthentifizierung aus. Wollen Sie eine herkömmliche Authentifizierung ohne die neue Anmeldeseite verwenden, aktivieren Sie die Option HTTP-Authentifizierung. Aktivieren Sie zusätzlich noch die Option Windows (Active Directory) (siehe Abbildung 15.70). Verwenden Sie die Formularauthentifizierung am ISA, sollten Sie diese, wie bereits beschrieben, am Client-Access-Server deaktivieren und auf dem Exchange Server nur mit der Standardauthentifizierung oder der integrierten Authentifizierung arbeiten. Das Formular für die Anmeldung wird in diesem Fall vom ISA zur Verfügung gestellt.

966


Abbildung 15.70: Konfiguration der Authentifizierung für OWA

1 2 3 4 5 6 7 15. Auf der nächsten Seite können Sie noch Single Sign On (SSO) für eine bestimmte Anzahl an veröffentlichten Webseiten aktivieren. Auf diesem Weg können Sie zum Beispiel mehrere Webseiten gleichzeitig veröffentlichen und müssen sich nur einmal am ISA authentifizieren (siehe Abbildung 15.71). SSO ist nur verfügbar, wenn Sie die NTLM-Authentifizierung verwenden.

8

Abbildung 15.71: Konfiguration von SSO für den Weblistener

9 10 11 12 13 14

15

967


16. Im Anschluss wird der Weblistener erstellt und gleich aktiviert. 17. Bevor Sie jedoch auf Weiter gehen, klicken Sie auf Bearbeiten und öffnen dann die Registerkarte Authentifizierung.

18. Klicken Sie anschließend auf Erweitert. 19. Tragen Sie bei Domänenname die Bezeichnung Ihrer internen Domäne ein, in der sich die Anwender authentifizieren (siehe Abbildung 15.72). Diese Maßnahme macht allerdings nur dann Sinn, wenn Sie die HTTP-Authentifizierung verwenden, nicht die Formularauthentifizierung. 20. Schließen Sie die Einstellungen ab. Abbildung 15.72: Konfiguration des neuen Weblisteners

21. Auf der nächsten Seite des Assistenten wählen Sie die Option NTLM-Authentifizierung, damit die Authentifizierungsdaten an den Exchange Server weitergesendet werden (siehe Abbildung 15.73). Wählen Sie hier eine andere Methode aus, müssen sich die Anwender erneut am Exchange Server authentifizieren. Haben Sie auch auf dem Exchange Server die formularbasierte Authentifizierung aktiviert, erscheint nach dem Formular zur Anmeldung am ISA Server noch das Formular zur Authentifizierung am Client-Access-Server. Aus diesem Grund sollten Sie auch möglichst auf dem Client-Access-Server für das virtuelle Web OWA die integrierte Authentifizierung aktivieren und die formularbasierte Authentifizierung deaktivieren, ansonsten müssen sich Anwender zweimal authentifizieren. Der Unterschied an der zweiten Anmeldemaske ist, dass unten nicht erwähnt wird, dass diese vom ISA Server stammt. Wollen Sie parallel zu Outlook Web Access noch Outlook Anywhere über den ISA im Internet zur Verfügung stellen, können Sie an dieser Stelle auch die Standardauthentifizierung verwenden. In diesem Fall müssen Sie auch darauf achten, dass Sie im virtuellen Web OWA in der Exchange-Verwaltungskonsole neben der integrierten 968


Authentifizierung auch die Standardauthentifizierung aktivieren. Auf jeden Fall müssen die beiden Authentifizierungsmethoden an dieser Stelle und für das virtuelle Web OWA auf dem Client-Access-Server übereinstimmen. Abbildung 15.73: Festlegen der Authentifizierungsdelegation vom ISA Server zum Exchange-ClientAccess-Server

1 2 3 4 5 6 7 8

22. Auf der nächsten Seite können Sie festlegen, für welche Benutzersätze die Regel gilt. Hier sollten Sie die Einstellung Alle authentifizierten Benutzer belassen. Sie können aber auch eine Windows-Gruppe anlegen, in der Sie nur die Anwender aufnehmen, die OWA oder Outlook Anywhere verwenden dürfen. Auf Basis dieser Gruppe können Sie auf diesem Fenster einen neuen Benutzersatz erstellen, der nur den Mitgliedern dieser Gruppe erlaubt, über den ISA Verbindung zu OWA oder Outlook Anywhere aufzubauen. 23. Im Anschluss wird die Regel erstellt, und Sie können diese, wie die anderen Regeln, übernehmen. Nach der Erstellung wird die Regel in den Firewallrichtlinien angezeigt. 24. Rufen Sie anschließend noch die Eigenschaften der neuen Richtlinie auf und wechseln auf die Registerkarte Datenverkehr. Aktivieren Sie die 128-Bit-Verschlüsselung für den Datenverkehr (siehe Abbildung 15.74).

9

Danach sollte der Verbindungsaufbau aus dem Internet funktionieren. Ihre Anwender müssen im Internet Explorer die Adresse https://webmail.meinefirma.de/owa eingeben. Dann wird die formularbasierte Authentifizierung geöffnet, und die Anwender können auf ihr Postfach zugreifen.

13

10 11 12

14

15

969


Abbildung 15.74: Aktivieren der 128-Bit-Verschlüsselung für die OWAVeröffentlichung

Abbildung 15.75: Formularbasierte Exchange Server 2007-OWA-Verbindung über ISA Server 2006

970


Die formularbasierte Authentifizierung von ISA 2006 sieht identisch aus wie das Anmeldeformular des Exchange Servers. Es wird noch eine zusätzliche Information eingeblendet, dass die Anmeldemaske vom ISA Server stammt (siehe Abbildung 15.75). Nach der Anmeldung am ISA erscheint unter Umständen eine weitere Anmeldemaske, dieses Mal direkt für den Exchange Server. In diesem Fall haben Sie auf dem Client-Access-Server noch die formularbasierte Authentifizierung aktiviert. Deaktivieren Sie diese wie zu Beginn dieses Kapitels beschrieben, und aktivieren Sie die integrierte Windows-Authentifizierung. Durch die Delegierung der NTLMAuthentifizierung werden dann die Anmeldedaten des Anwenders vom ISA Server zum Client-Access-Server weitergereicht, und die Anwender müssen sich nicht erneut authentifizieren.

1 2 3

Das Anmeldeformular finden Sie im Verzeichnis C:\Programme\Microsoft ISA Server\CookieAuthTemplates\Exchange\HTML. Haben Sie das Anmeldeformular für Outlook Web Access auf dem Exchange Server bearbeitet (siehe Kapitel 9), werden den Anwendern nach der Veröffentlichung dennoch die Standardanmeldemasken angezeigt. In diesem Fall müssen Sie die Grafiken auf dem ISA Server anpassen. Nach der Anpassung sollten Sie die Dienste des ISA neu starten, erst dann werden die Änderungen übernommen.

4 5

Achten Sie beim Einsatz einer Hardware-Firewall noch darauf, dass der SSL-Port 443 von der Firewall zur externen Schnittstelle auf dem ISA Server weitergeleitet wird. Ansonsten ist keine Verbindung möglich.

6

Sollte die Verbindung nicht funktionieren, können Sie noch versuchen, in den Eigenschaften der Veröffentlichungsregel anstatt den externen Namen zu verwenden, den echten internen Namen des Servers zu verwenden. Diese Einstellung finden Sie in den Eigenschaften der Regel auf der Registerkarte Bis (siehe Abbildung 15.76).

7 8 Abbildung 15.76: Festlegen des internen Servernamens

9 10 11 12 13 14

15

971


15.8

Veröffentlichen von Outlook Anywhere (RPC über HTTP)

In Kapitel 9 habe ich Ihnen ausführlich erläutert, wie Sie Outlook per RPC über HTTP über das Internet an Exchange anbinden können. Richtig sinnvoll wird diese Methode natürlich erst dann, wenn Sie diese Funktion zusätzlich über einen ISA Server ins Internet veröffentlichen. In diesem Fall können mobile Benutzer von zu Hause aus bequem mit Outlook arbeiten. Es ist kein Verbindungsaufbau über ein VPN notwendig. Es reicht, wenn der Benutzer zu Hause eine Internetverbindung herstellt und RPC über HTTPS im Unternehmen veröffentlicht wurde. Die Arbeit mit RPC über HTTPS ist auch von zu Hause extrem schnell möglich, da durch den Outlook Caching Modus die langsame Internetleitung keine Rolle spielt. Dieser Modus steht seit Outlook 2003 und jetzt auch in Outlook 2007 zur Verfügung.

TIPP

Beim ersten Verbindungsaufbau mit RPC über HTTPS synchronisiert Outlook den Inhalt des Postfachs auf den lokalen Rechner. Bei großen Postfächern dauert diese erste Synchronisierung, abhängig von der Datenmenge und der Leitungsgeschwindigkeit, unter Umständen mehrere Stunden. Entweder muss sich der Anwender zu Hause über eine Flatrate verbinden, da ansonsten die Verbindungskosten sehr schnell sehr teuer werden, oder die erste Verbindung sollte direkt in der Firma stattfinden, damit das Postfach einmalig übertragen wird. Zukünftig werden dann nur noch die Änderungen übertragen.

15.8.1

Veröffentlichung von Outlook Anywhere über ISA Server 2004

Die meisten Unternehmen werden OWA und RPC über HTTPS parallel veröffentlichen, da durch diese Verbindung der Nutzen einer ISA/Exchange-Infrastruktur weiter ausgebaut werden kann.

Vorbereitungen für die Veröffentlichung von RPC über HTTPS Zunächst sollten Sie sicherstellen, dass auf dem PC, der mit RPC über HTTPS zugreifen soll, in den vertrauenswürdigen Stammzertifizierungsstellen das Zertifikat der Zertifizierungsstelle angezeigt wird, wie in Kapitel 9 ausführlich besprochen. Auch auf dem ISA Server und dem Client-Access-Server sollte das Zertifikat der Stammzertifizierungsstelle angezeigt werden. Ist das nicht der Fall, habe ich Ihnen in Kapitel 9 und auf den vorangegangenen Seiten gezeigt, wie Sie das Zertifikat exportieren und auf einem Rechner wieder importieren können. Erst wenn die Zertifizierungsstelle auf dem Client, dem ISA und dem Client-Access-Server als vertrauenswürdig eingestuft wird, ist eine Verbindung mit RPC über HTTP möglich. Als Nächstes muss auf dem Client Outlook 2003 SP2, besser Outlook 2007, installiert werden. Stellen Sie außerdem sicher, dass die Einstellungen in Kapitel 9 vorgenommen wurden.

Anpassen der OWA-Veröffentlichungsregel Im nächsten Schritt können Sie auf dem ISA Server die Firewallrichtlinie öffnen, die bei der Veröffentlichung von Outlook Web Access erstellt wurde. Wichtig ist an dieser Stelle, dass Sie als Authentifizierungsinformationen für den Listener die Standardauthentifizierung verwenden und diese auch im virtuellen Web RPC im IIS-

972


Manager aktivieren (siehe Kapitel 9). Wollen Sie über einen ISA Server mit einer einzelnen Netzwerkkarte OWA und Outlook Anywhere veröffentlichen, wird nur die Standardauthentifizierung unterstützt, das gilt auch auf ISA 2006. Das liegt daran, dass Sie immer nur einen Listener pro IP-Adresse erstellen können und Outlook Anywhere (RPC über HTTP) die formularbasierte Authentifizierung nicht unterstützt.

1.

2.

1

Zunächst sollten Sie die Bezeichnung dieser Regel auf der Registerkarte Allgemein so ändern, dass bereits aus der Bezeichnung hervorgeht, dass diese Regel parallel zu Outlook Web Access auch RPC über HTTPS veröffentlicht. Als Nächstes sollten Sie auf die Registerkarte Datenverkehr wechseln und die Option 128-Bit-Verschlüsselung ist für HTTPS-Datenverkehr erforderlich aktivieren (siehe Abbildung 15.77).

2 3 Abbildung 15.77: Anpassen der OWA-Regel für die Veröffentlichung von RPC über HTTPS

4 5 6 7 8 9 10 11

3. Im nächsten Schritt wechseln Sie auf die Registerkarte Pfade und klicken auf

4. 5.

Hinzufügen (siehe Abbildung 15.78). Fügen Sie im Feld der Pfadzuordnung den Eintrag /rpc/* hinzu. Belassen Sie die Option Wie veröffentlichter Ordner. Schließen Sie die Eigenschaften der Regel wieder, und übernehmen Sie die Änderungen. Nach kurzer Zeit sollte die Regel aktiviert sein. Testen Sie, ob der Verbindungsaufbau funktioniert. Die einzelnen Testmöglichkeiten und Fehlerbehebungsmaßnahmen entnehmen Sie bitte dem Kapitel 9.

12 13 14

15

973


Abbildung 15.78: Hinzufügen des Pfades RPC zur Veröffentlichung von RPC über HTTPS

Ausschließliche Veröffentlichung von Outlook Anywhere Wollen Sie nur Outlook Anywhere und nicht Outlook Web Access veröffentlichen, gehen Sie so vor, wie in diesem Abschnitt beschrieben. Achten Sie darauf, dass Sie die Vorbedingungen erfüllen, wie in Kapitel 9 beschrieben. Der Unterschied besteht in der Erstellung der Veröffentlichungsregel. Sie benötigen die gleichen Voraussetzungen für die Zertifikate wie bei der Veröffentlichung von Outlook Web Access, das gilt auch für die Anpassung der Datei Hosts auf dem ISA Server.

1.

2. 3. 4. 5.

974

Um Outlook Anywhere ohne Outlook Web Access zu veröffentlichen, klicken Sie mit der rechten Maustaste in der ISA-Verwaltung auf Neu und wählen die Option Sichere Webveröffentlichungsregel aus. Geben Sie der Regel einen passenden Namen. Wählen Sie auf der nächsten Seite die Option SSL-Bridging, damit eine SSL-Verbindung zur Kommunikation hergestellt wird (siehe Abbildung 15.79). Wählen Sie im nächsten Fenster bei der Regelaktion die Option Zulassen. Auf der nächsten Seite wählen Sie die Option Sichere Verbindung mit Clients und Webserver. Dadurch ist sichergestellt, dass zunächst ein SSL-Tunnel zwischen Client und ISA Server und dann ein neuer SSL-Tunnel zwischen ISA Server und Front-End-Server aufgebaut wird (siehe Abbildung 15.80).


Abbildung 15.79: Aktivieren von SSL-Bridging für die Veröffentlichung von RPC über HTTPS

1 2 3 4 5 6

Abbildung 15.80: Aktivieren von zwei SSL-Tunneln

7 8 9 10 11 12 13

6. Auf der nachfolgenden Seite tragen Sie im Bereich Computername oder IPAdresse den Namen des Servers ein, wie er im Internet zur Verfügung gestellt werden soll, in diesem Beispiel webmail.meinefirma.de. Tragen Sie /rpc/* bei Pfad ein (siehe Abbildung 15.81). Verwenden Sie, wie bei der Veröffentlichung von Outlook Web Access, auch bei der Veröffentlichung von Outlook Anywhere immer den Servernamen, wie er extern zur Verfügung gestellt wird.

14

15 HALT

975


Pflegen Sie auf dem ISA Server die Datei hosts im Verzeichnis c:\windows\ system32\drivers\etc, damit er den Servernamen nach der internen IP-Adresse des Servers auflösen kann. Bei den Clients im Internet muss sichergestellt sein, dass sie den gleichen FQDN nach der externen IP-Adresse der Hardware-Firewall im Internet auflösen können. Abbildung 15.81: Festlegen der veröffentlichten Webseite

7.

Auf der nächsten Seite tragen Sie im Feld Öffentlicher Name wieder den gleichen Namen ein, unter dem dieser Server im Internet erreichbar sein soll (siehe Abbildung 15.82). In diesem Beispiel lautet der Name wieder webmail.meinefirma.de.

Abbildung 15.82: Festlegen des öffentlichen Namens der Veröffentlichung

8. Auf der nächsten Seite müssen Sie einen Weblistener erstellen. Mit diesem Listener wartet der ISA Server auf einem bestimmten Port mit den konfigurierten Einstellungen auf Verbindungen aus dem Internet. Wählen Sie in dem Fenster Weblistener auswählen die Schaltfläche Neu (siehe Abbildung 15.83). 976


9. Geben Sie dem Listener zunächst einen passenden Namen, zum Beispiel Listener RPC über HTTP. Abbildung 15.83: Erstellen eines neuen Weblisteners

1 2 3 4 5

10. Auf der nächsten Seite müssen Sie die Schnittstelle auswählen, auf der dieser Listener hören soll. Wählen Sie das Netzwerk Extern aus, und klicken Sie auf Adresse, um die IP-Adresse festzulegen, die der ISA Server verwenden soll (siehe Abbildung 15.84). 11. Wählen Sie die IP-Adresse aus, die mit der internen Schnittstelle der HardwareFirewall verbunden ist, also die externe IP-Adresse des ISA Servers.

6 7 Abbildung 15.84: Konfiguration der externen IP-Adresse

8 9 10 11 12 13 14

15

977


12. Auf der nächsten Seite deaktivieren Sie die Option HTTP aktivieren. Aktivieren Sie die Option SSL aktivieren, und wählen Sie das importierte Zertifikat aus, das den gleichen Common Name hat wie das Zertifikat auf dem Client-Access-Server, also den Namen des Servers im Internet (siehe Abbildung 15.85). Abbildung 15.85: Auswählen des Zertifikats für die Veröffentlichung

13. Auf der nächsten Seite sollte der neue Listener ausgewählt sein. Klicken Sie zunächst auf Bearbeiten, um die Einstellungen des Listeners anzupassen (siehe Abbildung 15.86). 14. Wechseln Sie auf die Registerkarte Einstellungen. 15. Klicken Sie als Nächstes auf die Schaltfläche Authentifizierung. Entfernen Sie den Haken bei Integriert, und setzen Sie den Haken auf Standard, da die SSLAuthentifizierung verschlüsselt stattfindet, aber keine integrierte WindowsAuthentifizierung unterstützt. Achten Sie in diesem Fall darauf, dass Sie in der Exchange-Verwaltungskonsole auch für die virtuellen Webs für OWA die Standardauthentifizierung aktiviert haben. Für das virtuelle Web RPC können Sie die Standardauthentifizierung über den Internetinformationsdienste-Manager einstellen. 16. Bestätigen Sie die beiden folgenden Meldungen. Mit diesen Einstellungen sind die Konfigurationen des Listeners abgeschlossen.

978


Abbildung 15.86: Anpassen des Weblisteners für RPC über HTTPS

1 2 3 4 5 6 7 17. Wechseln Sie mit Weiter auf die nächste Seite der Regelerstellung, und wählen Sie bei den Benutzersätzen Alle Benutzer aus.

8

18. Lassen Sie die Regel erstellen, und übernehmen Sie die Einstellungen. Die Regel wird dann bei den Firewallrichtlinien angezeigt (siehe Abbildung 15.87). Abbildung 15.87: Neu erstellte Firewallrichtlinie für RPC über HTTPS

9 10 11 12 13

19. Klicken Sie mit der rechten Maustaste auf die Regel, und rufen Sie die Eigenschaften dieser Regel auf, um die Konfiguration abzuschließen. 20. Als Nächstes sollten Sie auf die Registerkarte Datenverkehr wechseln und die Option 128-Bit-Verschlüsselung ist für HTTPS-Datenverkehr erforderlich aktivieren. 21. Übernehmen Sie diese Änderung wieder, und testen Sie, ob die Verbindung funktioniert. Auch hier finden Sie die Testmöglichkeiten und Fehlerbehebungsmaßnahmen in Kapitel 9.

14

15

979


15.8.2 Veröffentlichen von Outlook Anywhere über ISA 2006 Wollen Sie Outlook Anywhere über ISA 2006 veröffentlichen, können Sie den gleichen Listener verwenden wie für Outlook Web Access (siehe weiter vorne). Das gilt auch dann, wenn Sie für den Listener die formularbasierte Authentifizierung aktiviert haben.

Parallele Veröffentlichung von OWA und Outlook Web Access Wollen Sie Outlook Anywhere parallel zu OWA veröffentlichen, müssen Sie eine zusätzliche Webveröffentlichung erstellen. Gehen Sie dazu folgendermaßen vor:

1.

2.

Klicken Sie mit der rechten Maustaste in der ISA Server-Verwaltung auf Firewallrichtlinie und wählen Neu/Veröffentlichungsregel für Exchange-Webclientzugriff (siehe Abbildung 15.88). Geben Sie der Regel einen passenden Namen, zum Beispiel Outlook Anywhere. Wählen Sie die Option Outlook Anywhere und die passende Exchange-Version aus (siehe Abbildung 15.88). Die Option Exchange Server 2007 steht erst dann zur Verfügung, wenn Sie die Aktualisierung von der Internetseite http://support. microsoft.com/kb/925403 auf dem ISA Server 2006 installiert haben. Ohne diese Aktualisierung wird noch die Entwicklungsversion V12 von Exchange Server 2007 angezeigt. Aktivieren Sie die Option zur Veröffentlichung von Outlook Anywhere, werden alle anderen Optionen deaktiviert.

Abbildung 15.88: Veröffentlichen von Outlook Anywhere

3. Auf der nächsten Seite wählen Sie den Veröffentlichungstyp. Wählen Sie hier 4.

980

die Option Einzelne Webseite oder Lastenausgleich. Auf der nächsten Seite wählen Sie den Sicherheitstyp für die Verbindung zum Exchange Server. Aktivieren Sie hier die Verwendung von SSL.


5. Auf der nächsten Seite geben Sie den FQDN des Exchange Servers ein, den Sie

6.

veröffentlichen wollen. Schon seit Exchange 2000/ISA 2000 ist es sehr empfehlenswert, als internen FQDN des Servers den gleichen Namen zu verwenden, den die Anwender von extern verwenden. Aus diesem Grund haben Sie in den Vorbereitungen den externen Hostnamen mit interner IP-Adresse in der Hostdatei auf dem ISA eingetragen. Auch wenn diese Konfiguration unter ISA 2004/2006 nicht mehr unbedingt sein muss, hat es sich in der Praxis herausgestellt, dass OWA/Outlook Anywhere-Verbindungen deutlich stabiler laufen und eingerichtet werden können, wenn das Zertifikat die externe Bezeichnung der Veröffentlichung verwendet und Sie auch diese Bezeichnung für die interne Auflösung von ISA zu Exchange verwenden. Auf der nächsten Seite des Assistenten geben Sie jetzt den externen Namen des Servers ein, über den er im Internet erreichbar ist. Hier verwenden Sie wieder den gleichen Namen wie zuvor. Wichtig ist an dieser Stelle, dass dieser Name auch im Internet durch die Anwender zur externen IP-Adresse der Firewall aufgelöst werden kann. Die Firewall leitet die Anfrage zum ISA und dieser schließlich zum Exchange weiter.

1 2 3 4 5 Abbildung 15.89: Verwenden des vorhandenen Weblisteners für Outlook Anywhere

6 7 8 9 10 11 12 13

7.

Auf der nächsten Seite des Assistenten können Sie den Weblistener verwenden, den Sie für Outlook Web Access bereits erstellt hatten. Auf diesem Listener lauscht der ISA auf Anfragen, damit er diese an den Exchange Server weiterleiten kann. Mit diesem Listener wird der ISA Server darauf konfiguriert, auf einen Verbindungsaufbau zum Port 443 für SSL zu warten. 8. Auf der nächsten Seite des Assistenten wählen Sie die Option Standardauthentifizierung, damit die Authentifizierungsdaten der Anwender direkt an den Exchange Server weitergesendet werden (siehe Abbildung 15.90). Wählen Sie hier eine andere Methode aus, müssen sich die Anwender erneut am Exchange

14

15

981


Server authentifizieren. Achten Sie darauf, dass Sie im Internetinformationsdienste-Manager ebenfalls für das Web RPC die Standardauthentifizierung verwenden müssen. Abbildung 15.90: Verwenden der Standardauthentifizierung für die Anbindung von Outlook Anywhere

9. Auf der nächsten Seite können Sie festlegen, für welche Benutzersätze die Regel gilt. Hier sollten Sie die Einstellung Alle authentifizierten Benutzer belassen. Sie können aber auch eine Windows-Gruppe anlegen, in der Sie nur die Anwender aufnehmen, die Outlook Anywhere verwenden dürfen. Auf Basis dieser Gruppe können Sie auf diesem Fenster einen neuen Benutzersatz erstellen, der nur den Mitgliedern dieser Gruppe erlaubt, über den ISA Verbindung zu Outlook Anywhere aufzubauen. 10. Im Anschluss wird die Regel erstellt, und Sie können diese, wie die anderen Regeln, übernehmen. Nach der Erstellung wird die Regel in den Firewallrichtlinien angezeigt. 11. Rufen Sie anschließend noch die Eigenschaften der neuen Richtlinie auf und wechseln auf die Registerkarte Datenverkehr. Aktivieren Sie die 128-Bit-Verschlüsselung für den Datenverkehr.

15.9

Veröffentlichen von Exchange ActiveSync

Exchange Server 2007 bietet parallel zum Zugriff per Outlook Web Access oder Outlook Anywhere die Möglichkeit, Smartphones über eine Internetverbindung zu synchronisieren. Diese Funktionalität wird als Exchange ActiveSync (EAS) bezeichnet (siehe Kapitel 9). Veröffentlichen Sie Exchange ActiveSync (EAS) über den ISA Server, gehen Sie zunächst genauso vor wie bei der Veröffentlichung von Outlook Web Access.

982

Veröffentlichen von Exchange ActiveSync

15.9.1

Veröffentlichung von Exchange ActiveSync über ISA 2004

Die Veröffentlichung findet über eine Mailserver-Veröffentlichungsregel statt. Verwenden Sie zusätzlich zu OWA auch noch EAS als Dienste (siehe Abbildung 15.91). Outlook Mobile Access (OMA), also der Zugriff auf WAP, wird in Exchange Server 2007 nicht mehr unterstützt. Diese Option können Sie deaktivieren.

1 2 Abbildung 15.91: Veröffentlichen von Exchange ActiveSync und Outlook Mobile Access

3 4 5 6 7 8

■ ■ ■

9

Bei der Authentifizierung gehen Sie ebenfalls genauso vor wie bei der Veröffentlichung von Outlook Web Access. Achten Sie darauf, dass auf den Smartphones das Zertifikat des ISA Servers installiert ist, ansonsten ist keine Verbindung möglich (siehe Kapitel 9). Die Regel sieht nach der Erstellung fast wie die Regel für die Veröffentlichung von OWA aus, mit dem Unterschied, dass in den Pfaden auf der Registerkarte Pfade weitere Eintragungen vorgenommen wurden.

10 11

15.9.2 Veröffentlichen von Exchange ActiveSync über ISA 2006

12

Wollen Sie Exchange ActiveSync über einen ISA 2006 veröffentlichen, gehen Sie genauso vor wie bei Outlook Web Access. Auch hier müssen Sie zunächst wieder alle Vorbereitungen treffen, die in Kapitel 9 beschrieben worden sind. Gehen Sie ansonsten folgendermaßen vor:

13

1.

2.

14

Klicken Sie mit der rechten Maustaste in der ISA Server-Verwaltung auf Firewallrichtlinie und wählen Neu/Veröffentlichungsregel für Exchange-Webclientzugriff (siehe Abbildung 15.92). Geben Sie der Regel einen passenden Namen, zum Beispiel Exchange ActiveSync. Wählen Sie auf der nächsten Seite des Assistenten die Option Exchange ActiveSync und die passende Exchange-Version aus (siehe Abbildung 15.92).

15

983


Abbildung 15.92: Veröffentlichen von Exchange ActiveSync

3. Auf der nächsten Seite wählen Sie den Veröffentlichungstyp. Wählen Sie hier die Option Einzelne Webseite oder Lastenausgleich.

4. Auf der nächsten Seite wählen Sie den Sicherheitstyp für die Verbindung zum Exchange Server. Aktivieren Sie hier die Verwendung von SSL.

5. Auf der nächsten Seite geben Sie den FQDN des Exchange Servers ein, den Sie veröffentlichen wollen. Auch wenn diese Konfiguration unter ISA 2004/2006 nicht mehr unbedingt sein muss, hat es sich in der Praxis herausgestellt, dass OWAVerbindungen deutlich stabiler laufen und eingerichtet werden können, wenn das Zertifikat die externe Bezeichnung der Veröffentlichung verwendet und Sie auch diese Bezeichnung für die interne Auflösung von ISA zu Exchange verwenden. 6. Auf der nächsten Seite des Assistenten geben Sie jetzt den externen Namen des Servers ein, über den er im Internet erreichbar ist. Hier verwenden Sie wieder den gleichen Namen wie zuvor. 7. Auf der nächsten Seite des Assistenten wählen Sie den Weblistener für Outlook Web Access aus oder erstellen einen Weblistener, wenn Sie kein OWA veröffentlicht haben. Die Einstellungen des Listeners sind in diesem Fall identisch mit dem Unterschied, dass Sie keine formularbasierte Authentifizierung verwenden, sondern die HTTP-Authentifizierung mit der Standardauthentifizierung. 8. Auf der nächsten Seite des Assistenten wählen Sie die Option Standardauthentifizierung, damit die Authentifizierungsdaten an den Exchange Server weitergesendet werden. 9. Auf der nächsten Seite können Sie festlegen, für welche Benutzersätze die Regel gilt. Hier sollten Sie die Einstellung Alle authentifizierten Benutzer belassen. Sie können aber auch eine Windows-Gruppe anlegen, in der Sie nur die Anwender aufnehmen, die Exchange ActiveSync verwenden dürfen. Auf Basis dieser Gruppe können Sie auf diesem Fenster einen neuen Benutzersatz erstellen. 10. Im Anschluss wird die Regel erstellt, und Sie können diese, wie die anderen Regeln, übernehmen. Nach der Erstellung wird die Regel in den Firewallrichtlinien angezeigt. 984

Inhalt A B C D

A

Diagnose und Fehlerbehebung in Active Directory und Exchange

In diesem Kapitel zeige ich Ihnen die Möglichkeiten und Tools, mit denen Sie in Active Directory und Exchange Server 2007 Fehler finden, beheben und auch die Datenbank bereinigen können. Bereits standardmäßig schreibt ein Exchange 2007Server zahlreiche Erfolgs-, Warn- und Fehlermeldungen in das Anwendungsprotokoll des Servers. In den anderen Ereignisanzeigen werden vorwiegend Einträge von Windows vorgenommen. Sie sollten auch diese Einträge ständig beobachten. Die Überwachung der Ereignisanzeigen ist eine der wichtigsten Tätigkeiten eines Exchange-Administrators. Sie können hier schon frühzeitig Fehler erkennen und beheben, die im Laufe der Zeit immer schwerwiegender werden würden. Beobachten Sie diese Ereignisanzeigen regelmäßig. Es ist normal, dass bei der regelmäßigen Pflege Ihres Servers neben den Erfolgsmeldungen auch Warn- und Fehlermeldungen mitgeschrieben werden, Sie sollten jedoch jede Fehlermeldung genau analysieren und beobachten. Im Sicherheitsprotokoll werden die An- und Abmeldeaktivitäten auf einem Server festgehalten. Auch das Systemprotokoll sollten Sie nicht nur auf Exchange Servern regelmäßig beobachten. In dieses Protokoll werden von Windows alle Meldungen geschrieben, die systemseitig erfolgt sind. Auch hier können Sie frühzeitig Fehler und sogar Festplattendefekte erkennen.

985

Index

Exchange Server 2007 baut stark auf das Active Directory auf. Ich erläutere die Vorgehensweise, die ich zum Lösen von Active Directory-Problemen einsetze – und bisher habe ich noch jeden Fehler gefunden und behoben. Ein wichtiger Ansatz ist die strukturierte Vorgehensweise bei der Problemlösung in Active Directory. Sie müssen bei auftretenden Problemen Schritt für Schritt vorgehen und mögliche Fehlerquellen nacheinander eliminieren.


A.1

Exchange Server Best Practices Analyzer (ExBPA)

Der Exchange Server Best Practices Analyzer (ExBPA) ist ein kostenloses Tool von Microsoft, das in Exchange Server 2007 fest in die Exchange-Verwaltungskonsole integriert worden ist. Sie finden ihn im Bereich Toolbox. Er überprüft die Installation eines Exchange Servers und gibt Verbesserungsvorschläge für eventuell notwendige Nacharbeiten. Laut Microsoft sind 80 % aller Support-Anfragen auf fehlerhafte Konfigurationen zurückzuführen. Der ExBPA geht solchen Fehlkonfigurationen auf den Grund und gibt einen ersten Überblick über die Konfiguration der Exchange Server.

A.1.1

Einführung in den Exchange Best Practices Analyzer (ExBPA)

Der ExBPA ist mittlerweile nicht nur ein nettes Zusatztool, sondern extrem wichtig bei der Analyse von Problemen. Microsoft aktualisiert das Programm ständig und bietet neue Regeln zum Download an. Aktuell gibt es bereits über 2.000 integrierte Regeln, die jede einzelne auf die Exchange-Organisation angewendet wird. Sollte der ExBPA einen Fehler aufgrund einer solchen Fehlkonfiguration feststellen, gibt er einen Hinweis aus, wie das Problem behoben werden kann. Administratoren und Berater, die Fehler im Bereich Exchange beheben müssen, können mit diesem Werkzeug an zentraler Stelle die wichtigsten Informationen über die Exchange-Organisation abrufen und erhalten gleich Lösungsvorschläge, wie vorhandene Fehlkonfigurationen beseitigt werden können. Abbildung A.1: Best Practices Analyzer in der ExchangeVerwaltungskonsole

Der ExBPA behebt nicht nur Fehlkonfigurationen, sondern testet auch die Performance sowie den Patchlevel der Server. Der Vorteil des Tools sind das automatische Abarbeiten komplexer Konfigurationstests sowie die Dokumentation der Konfiguration und eventueller Fehler. Es ist nicht mehr notwendig, dass Administratoren zahlreiche Whitepapers durcharbeiten, um Exchange zu optimieren, sondern der ExBPA gibt detaillierte Informationen zur Optimierung von Exchange Server 2007. 986


Das Tool deckt Fehler auf, die aktuell noch nicht mal einem Administrator auffallen, erkennt Fehler bereits frühzeitig und hilft bei der Lösung. Der ExBPA in Exchange Server 2007 überprüft auch die notwendigen Berechtigungen und gibt entsprechende Berichte über die Konfiguration aus.

A Abbildung A.2: Anzeigen von Berichten über die Berechtigungen der ExchangeOrganisation

B C D

Die Oberfläche und der Umgang mit dem Tool sind sehr übersichtlich und leicht zu verstehen. Auch sehr komplexe Umgebungen können mit dem Tool gescannt und überwacht werden. Es gibt keine Enterprise- oder Standardversion, der Einsatz ist in allen denkbaren Szenarien möglich. Eine schnellere Möglichkeit, die Konfiguration einer Exchange-Organisation abzurufen, gibt es nicht, und Sie können durch die Verwendung extrem viel Zeit sparen, da Sie die Einstellungen nicht manuell überprüfen müssen. Das Tool basiert auf XML und ist mit C# programmiert. Microsoft Operations Manager Der ExBPA kann mit allen seinen Regeln in den Microsoft Operations Manager (MOM) integriert werden. Dadurch ist eine optimale Überwachung auch von größeren Exchange-Organisationen möglich. Bei dieser Integration zeigt der ExBPA beim Scannen von Exchange Servern Ereigniseinträge, die durch MOM erkannt werden, der dann entsprechende Aktionen ausführt. Der Scanvorgang kann auch direkt über die MOM-Konsole gestartet werden.

A.1.2

Arbeiten mit dem ExBPA

Starten Sie den ExBPA, können Sie zunächst die aktuellen Regeln aus dem Internet herunterladen lassen. Das Programm baut anschließend eine Verbindung ins Internet auf und lädt die aktuellen Informationen herunter. Es ist zum empfehlen, immer die aktuellsten Regeln herunterzuladen und die Organisation auf diese aktuellen Regeln hin zu überprüfen. Nach dem Download der aktuellen Informationen sollten Sie wieder auf die Willkommensseite wechseln und das Tool zunächst mit dem Active Directory verbinden (siehe Abbildung A.3). 987


Abbildung A.3: Verbindungsaufbau mit dem Active Directory herstellen

Sie können den Test, den Sie durchführen, entsprechend benennen und die Exchange Server auswählen, die in den Scanvorgang eingebunden werden sollen. Sie können eine Zustandsüberprüfung aktivieren oder weitere Tests zur Überprüfung der Organisation auswählen (siehe Abbildung A.4). Aktivieren Sie den Menüpunkt Basislinie, überprüft der ExBPA, ob alle notwendigen Einstellungen für Exchange Server 2007 standardmäßig konfiguriert sind, und gibt Abweichung in einem Bericht aus, vor allem solche Maßnahmen, die Probleme bereiten können. Abbildung A.4: Auswählen der Überprüfungsoptionen

988


Der interessanteste Test ist die Systemdiagnose, welche die Konfiguration des Servers überprüft sowie Fehler aufdeckt. Diesen Test sollten Sie immer zuerst aufrufen. Sie können sich im Anschluss nach der Überprüfung einen detaillierten Bericht erstellen lassen. In diesem Bericht können Sie auf verschiedenen Registerkarten alle Einstellungen der Server überprüfen, denen Sie nachgehen sollten. Zu allen Fehlern und Warnungen erhalten Sie bei Doppelklick ausführliche Hilfestellungen, wie Sie das Problem lösen können. Zusätzlich besteht die Möglichkeit, das Scanergebnis zu exportieren.

A B Abbildung A.5: Ausführlicher Bericht des Exchange Best Practices Analyzers

Klicken Sie auf einen Fehler, erhalten Sie mehrere Möglichkeiten zur Lösung: ■ ■ ■

Sie können sich weitere Informationen zur Fehlerbehebung anzeigen lassen. Sie können den Fehler bei zukünftigen Scans ignorieren lassen, wenn dieser zum Beispiel für Ihre Konfiguration keine Rolle spielt. Sie können den Fehler für den aktuellen Scan ausblenden und so die Fehler im aktuellen Scan Schritt für Schritt abarbeiten.

Über die einzelnen Registerkarten können Sie die Fehler, basierend auf Ihrer Priorität für die Stabilität, ein- oder ausblenden lassen. Sie können sich die Konfigurationselemente des Servers anzeigen lassen, und Sie können abfragen, wann die Konfiguration das letzte Mal geändert wurde. Neben der standardmäßigen sofortigen Ausführung können Sie den Scanvorgang auch planen und ihn zu Zeiten durchführen lassen, an denen Sie nicht anwesend sind oder an denen Sie gewisse Performance-Counter erfassen wollen. Klicken Sie dazu auf den Link Überprüfung planen im Fenster (siehe Abbildung A.6).

989

C D


Abbildung A.6: Planen einer Überprüfung

A.2

Diagnose von Domänencontrollern

Nach der Installation eines neuen Domänencontrollers oder einer neuen Domäne sollte immer eine Diagnose ablaufen, in der eventuell vorhandene Fehler schnell entdeckt und behoben werden können. Exchange Server müssen sich für eine stabile Anbindung der Anwender problemlos mit Domänencontrollern verbinden können. Treten in Ihrem Active Directory Probleme auf, können Sie unter Umständen mithilfe dieser speziellen Diagnose entweder schon die Lösung finden oder in der Microsoft Knowledge Base bzw. Google nach der speziellen Fehlermeldung suchen. Zur ordentlichen Diagnose von Domänencontrollern benötigen Sie die SupportTools von der Windows Server 2003-CD aus dem Verzeichnis \support\tools.

A.2.1

Verwenden von dcdiag.exe

Das wichtigste Tool für die Diagnose von Domänencontrollern ist dcdiag.exe. Sie können das Tool in der Befehlszeile aufrufen, indem Sie dcdiag eingeben. Eine ausführliche Diagnose erhalten Sie durch dcdiag /v. Wollen Sie eine ausführlichere Diagnose durchführen, sollten Sie die Ausgabe jedoch in eine Datei umleiten, da Sie dadurch das Ergebnis besser durchlesen und eventuell auch an einen Spezialisten versenden können. Die Befehlszeile könnte dann zum Beispiel dcdiag/v >c:\dcdiag.txt lauten. Für die erste Überprüfung reicht die normale Diagnose mit dcdiag jedoch vollkommen aus. Im Anschluss füge ich für Sie eine Beispielausgabe von dcdiag mit ein paar Kommentaren an: Listing A.1: Optimale Ausgabe von dcdiag CODE

990

Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\DC1 Starting test: Connectivity

Diagnose von Domänencontrollern

......................... DC1 passed test

Exchange Server 2007 SP1 und Outlook Kompendium

Microsoft Exchange Server 2007 (with SP1) - The Complete Reference

Microsoft Exchange Server 2007 Administrator's Pocket Consultant

Exchange Server 2007. Der schnelle Einstieg

Inside Microsoft Exchange Server 2007 Web Services

Microsoft Exchange Server 2007 for Dummies

Windows 2000 Server - Kompendium

CYA: Securing Exchange Server 2003 & Outlook Web Access

Exchange Server 2010 Unleashed

Learning Exchange Server 2003

Exchange 2010 SP1 - A Practical Approach

How to Cheat at Configuring Exchange Server 2007: Including Outlook Web, Mobile, and Voice Access

How to Cheat at Configuring Exchange Server 2007: Including Outlook Web, Mobile, and Voice Access

Administering Exchange 2000 Server

Outlook 2007 For Dummies

Outlook 2007 For Dummies

Professional Outlook 2007 Programming

Outlook 2007 For Dummies

Outlook 2007 For Dummies

Microsoft Outlook 2007 Bible

Windows 2000 Server - Kompendium GERMAN

Integrating ISA Server 2006 with Microsoft Exchange 2007

Integrating ISA Server 2006 with Microsoft Exchange 2007

Microsoft Office Outlook 2003 Kompendium GERMAN

Microsoft SQL Server 7.0 - Kompendium . Für Administration und Entwicklung GERMAN

Microsoft SQL Server 7.0 - Kompendium . Für Administration und Entwicklung

Using Microsoft Office Outlook 2007

Outlook 2007: Beyond the Manual

Microsoft Office Outlook 2007 QuickSteps

Programming Microsoft Outlook and Microsoft Exchange 2003

Exchange Server 2007 SP1 und Outlook Kompendium

Microsoft Exchange Server 2007 (with SP1) - The Complete Reference

Microsoft Exchange Server 2007 Administrator's Pocket Consultant

Exchange Server 2007. Der schnelle Einstieg

Inside Microsoft Exchange Server 2007 Web Services

Microsoft Exchange Server 2007 for Dummies

Windows 2000 Server - Kompendium

CYA: Securing Exchange Server 2003 & Outlook Web Access

Exchange Server 2010 Unleashed

Learning Exchange Server 2003

Exchange 2010 SP1 - A Practical Approach

How to Cheat at Configuring Exchange Server 2007: Including Outlook Web, Mobile, and Voice Access

How to Cheat at Configuring Exchange Server 2007: Including Outlook Web, Mobile, and Voice Access

Administering Exchange 2000 Server

Outlook 2007 For Dummies

Outlook 2007 For Dummies

Professional Outlook 2007 Programming

Outlook 2007 For Dummies

Outlook 2007 For Dummies

Microsoft Outlook 2007 Bible

Windows 2000 Server - Kompendium GERMAN

Integrating ISA Server 2006 with Microsoft Exchange 2007

Integrating ISA Server 2006 with Microsoft Exchange 2007

Microsoft Office Outlook 2003 Kompendium GERMAN

Microsoft SQL Server 7.0 - Kompendium . Für Administration und Entwicklung GERMAN

Microsoft SQL Server 7.0 - Kompendium . Für Administration und Entwicklung

Using Microsoft Office Outlook 2007

Outlook 2007: Beyond the Manual

Microsoft Office Outlook 2007 QuickSteps

Programming Microsoft Outlook and Microsoft Exchange 2003

Recommend Documents