Verwaltung von Exchange Server 2007

Teil I Grundlagen der Verwaltung von Exchange Server 2007 1 Überblick über die Verwaltung von Exchange Server 2007 Exchange Server 2007 definiert die Messagingplattform Exchange Server vollkommen neu und stellt die wesentliche Grundlage dar, auf der kleine, mittelgroße und große Organisationen die IT-Infrastruktur der nächsten Generation errichten können. Jede Implementierung von Exchange Server 2007 weist eine Architektur mit drei Schichten auf: b Netzwerkschicht Die Netzwerkschicht stellt die Grundlage für die Kommunikation zwischen Computern und wesentliche Funktionen zur Namensauflösung dar. Sie besitzt physische und logische Komponenten. Zu den physischen Teilen zählen die IP-Adressen, die IP-Subnetze, die LAN- oder WAN-Verbindungen, die von Messagingsystemen und Routern genutzt werden, und die Firewalls, die die Infrastruktur schützen. Logische Komponenten sind die DNS-Zonen, die die Benennungsgrenzen definieren und die wesentlichen Ressourcendatensätze für die Namensauflösung enthalten. b Active Directory-Schicht Auch die Active Directory-Schicht bietet die erforderlichen Grundlagen für Authentifizierung, Autorisierung und Replikation. Sie besteht ebenfalls aus physischen und logischen Komponenten. Die physischen Komponenten umfassen die Domänencontroller, die globalen Katalogserver sowie die zur Authentifizierung, Autorisierung und Replikation benötigten Verbindungen zu Standorten. Zu den logischen Komponenten gehören die Active Directory-Gesamtstrukturen, die Standorte, die Domänen und Organisationseinheiten, mittels derer Objekte zur gemeinsamen Nutzung von Ressourcen, zur zentralen Verwaltung und zur Replikationssteuerung in Gruppen zusammengefasst werden. Des Weiteren zählen dazu die Benutzer und Gruppen, die Teil der Active Directory-Infrastruktur sind. b Messagingschicht Die Messagingschicht bildet die Grundlage für Messaging und Zusammenarbeit. Auch sie besitzt physische und logische Komponenten. Die physischen Komponenten sind einzelne Exchange Server-Computer, die bestimmen, wie Nachrichten übermittelt werden, und Mailconnectors, die festlegen, auf welchem Weg Nachrichten außerhalb der Routinggrenzen eines Exchange Server-Computers weitergeleitet werden. Die logischen Komponenten legen die Grenzen für Messaging in der Organisation, die zum Speichern der Nachrichten ver-

4 Teil I Grundlagen der Verwaltung von Exchange Server 2007 wendeten Postfächer und die zum Verteilen der Nachrichten an mehrere Empfänger benutzten Verteilerlisten fest. Um sich in Exchange Server 2007 zurechtzufinden, sollten Sie sich auf folgende Bereiche konzentrieren: b Wie Exchange Server 2007 mit Ihrer Hardware zusammenarbeitet b Welche Versionen und Editionen von Exchange Server 2007 es gibt und wie sie sich für Ihre Bedürfnisse eignen b Wie Exchange Server 2007 mit Windows-Betriebssystemen zusammenarbeitet b Wie Exchange Server 2007 mit Active Directory zusammenarbeitet b Welche Tools für die Verwaltung zur Verfügung stehen Exchange Server 2007 und die Hardware Vor der Bereitstellung von Exchange Server 2007 sollten Sie die Messagingarchitektur sorgfältig planen. Im Rahmen der Implementierungsplanung müssen Sie sich die Anforderungen, die vor der Installation erfüllt sein müssen, und die Hardware, die Sie einsetzen wollen, genau anschauen. Exchange Server ist nicht mehr der einfache Messagingserver, der es einmal war. Es handelt sich inzwischen um eine komplexe Messagingplattform mit zahlreichen Komponenten, die in ihrer Gesamtheit eine umfassende Lösung für Routing, Übermittlung und Zugriff auf E-Mails, Faxnachrichten, Kontakt- und Kalenderdaten bilden. Die erfolgreiche Verwaltung von Exchange Server hängt von drei Faktoren ab: b Gute Exchange-Administratoren b Eine solide Architektur b Angemessene Hardware Die beiden ersten Bedingungen sind erfüllt: Sie sind Administrator und intelligent genug, um dieses Buch zu kaufen, das Ihnen über die schwierigen Stellen helfen soll, und Sie haben Exchange Server 2007 beschafft, damit Ihre anspruchsvollen Messagingbedürfnisse erfüllt werden. Damit kommen wir zum Thema Hardware. Exchange Server sollte auf einem System betrieben werden, bei dem Speicher, Verarbeitungsgeschwindigkeit und Plattenplatz angemessen sind. Außerdem benötigen Sie einen geeigneten Plan für den Schutz von Daten und System auf Hardwareebene. Zur Auswahl der Hardware für Exchange Server 2007 können Sie folgende Richtlinien heranziehen: b Arbeitsspeicher Exchange Server 2007 wurde für eine maximale Speicherkonfigurationen von 32 GB für Postfachserver und 8 GB für alle anderen Serverfunktionen entwickelt und getestet. Die zulässige Mindestmenge an RAM beträgt 1 GB, empfohlen werden mindestens 2 GB. In den meisten Situationen werden Sie mindestens das Doppelte des

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 5 empfohlenen Minimums haben wollen. Den wesentlichen Grund dafür stellt die Geschwindigkeit dar. Die meisten Exchange-Installationen mit nur einem Server, die ich betreibe, fangen mit 4 GB RAM an, auch bei kleinen Installationen. In Umgebungen mit mehreren Exchange Server- Computern sollte der Postfachserver mindestens 2 GB plus 10 MB RAM pro Postfach haben. In sämtlichen Exchange Server-Konfigurationen sollte die Auslagerungsdatei mindestens so groß sein wie der Arbeitsspeicher des Servers plus 10 MB. b Prozessor 64-Bit-Versionen laufen auf der X64-Prozessorfamilie von AMD und Intel einschließlich AMD64 und Intel Extended Memory 64 Technology (Intel EM64T). Exchange Server 2007 erreicht auf Intel Xeon 3,66 GHz, AMD Opteron 2,6 GHz und AMD Athlon 2,6 GHz solide Benchmarkwerte. Diese Prozessoren stellen alle eine gute Ausgangsbasis für das durchschnittliche Exchange Server-System dar. Erhebliche Leistungssteigerungen lassen sich mit einem hochwertigen Prozessorcache erreichen. Sehen Sie sich die verfügbaren Cacheoptionen L1, L2 und L3 genau an ein höherer Cache kann zu wesentlich besserer Gesamtleistung führen. Die Vorteile von 64-Bit- gegenüber 32-Bit-Prozessoren sind in erster Linie auf Arbeitsspeicherbeschränkungen und Datenzugriff zurückzuführen. Da 64-Bit-Prozessoren die 4-GB-Speichergrenze von 32-Bit- Prozessoren überschreiten können, können sie größere Datenmengen im Hauptspeicher ablegen, was direkten Zugriff darauf und schnellere Verarbeitung bietet. Außerdem können 64-Bit-Prozessoren doppelt so große Datenmengen verarbeiten und Befehlsgruppen ausführen wie ihre 32-Bit-Gegenstücke. Der Zugriff auf 64-Bit-Daten bedeutet bei der Verarbeitung komplexer Berechnungen, die hohe Präzision erfordern, einen deutlichen Vorteil gegenüber 32 Bit. HINWEIS Die 32-Bit-Versionen von Exchange Server 2007 laufen auf Intel- x86-prozessoren oder kompatibler Hardware und sind nur zum Testen, zur Schulung und zur Bewertung gedacht. Die 64-Bit-Versionen werden auf den Intel Itanium nicht unterstützt. b SMP Exchange Server unterstützt symmetrische Mehrfachprozessoren, und Sie werden deutliche Leistungssteigerungen feststellen, wenn Sie mit mehreren Prozessoren arbeiten. Microsoft hat Exchange Server 2007 für eine maximale Prozessorkonfiguration von vier Zweikernprozessoren für Postfachserver und zwei Zweikernprozessoren für alle anderen Serverfunktionen entwickelt und getestet. In einer kleinen Organisation mit nur einer Domäne dürfte allerdings eine CPU ausreichen. Falls der Server in einer mittleren oder großen Organisation eingesetzt wird oder Nachrichten für mehrere Domänen verwaltet, sollten Sie möglicherweise weitere Prozessoren hinzufügen. Alternativ kann die Arbeitslast auch auf virtuelle Server auf verschiedenen Systemen verteilt werden. b Festplattenlaufwerke Welche Speicherkapazität Sie für Daten benötigen, hängt ganz allein von Anzahl und Umfang der Daten ab, die den Exchange Server-Computer durchlaufen, für die Journale geführt oder

6 Teil I Grundlagen der Verwaltung von Exchange Server 2007 die gespeichert werden. Sie benötigen genügend Festplattenspeicher für alle Ihre Daten und Protokolle, den Arbeitsbereich, die Systemdateien und den virtuellen Speicher. Der E/A-Durchsatz ist ebenso wichtig wie die Laufwerkskapazität. In der Regel sind SCSI-Laufwerke (Small Computer System Interface) schneller als IDE/EIDE-Laufwerke (Integrated Device Electronics/Enhanced IDE) und daher vorzuziehen. Anstatt eines großen Laufwerks sollten Sie mehrere kleinere verwenden, sodass Sie Fehlertoleranz mit RAID (Redundant Array of Independent Disks) einrichten können. b Absichern der Daten Sorgen Sie mit RAID für Schutz gegen unerwartete Laufwerksausfälle. Wählen Sie für Daten RAID 0 oder RAID 5, für Protokolle RAID 1. RAID 0 (Festplattenstriping ohne Parität) bietet gute Schreib-Lese-Leistung, aber jeder Laufwerksausfall bedeutet, dass Exchange Server die Arbeit an einer betroffenen Datenbank erst fortsetzen kann, wenn das Laufwerk ersetzt und die Daten aus einer Sicherung wiederhergestellt sind. RAID 1 (Plattenspiegelung) erstellt Kopien der Daten auf getrennten Laufwerken, sodass Sie zur Wiederherstellung des normalen Betriebs die RAID-Einheit neu aufbauen können. RAID 5 (Festplattenstriping mit Parität) bietet einen guten Schutz gegen den Ausfall eines einzelnen Laufwerks, hat jedoch eine geringe Schreibleistung. Um höchste Leistung und Fehlertoleranz zu erreichen, wird RAID 0 + 1 empfohlen. Es besteht aus Festplattenspiegelung und Festplattenstriping ohne Parität. b Unterbrechungsfreie Stromversorgung Exchange Server 2007 ist so angelegt, dass die Datenbankintegrität jederzeit erhalten bleibt und Daten mithilfe von Transaktionsprotokollen wiederhergestellt werden können. Die Serverhardware ist dadurch jedoch nicht gegen plötzlichen Stromausfall oder Spannungsspitzen geschützt, wodurch sie schwer beschädigt werden kann. Um dies zu verhindern, schließen Sie den Server an eine unterbrechungsfreie Stromversorgung (USV) an. Die USV gibt Ihnen Zeit, die Server im Falle eines Stromausfalls normal herunterzufahren. Das ist besonders wichtig bei Servern, die Write-Back- Cachecontroller verwenden. Diese Controller speichern Daten vorübergehend im Cache, und ohne ein normales Herunterfahren können diese Daten verloren gehen, bevor sie auf die Festplatte geschrieben werden. Wenn Sie sich an diese Hardwarerichtlinien halten und sie für einzelne Messagingfunktionen modifizieren, wie es im nächsten Abschnitt gezeigt wird, sind Sie auf einem guten Weg, erfolgreich mit Exchange Server 2007 zu arbeiten. Die Editionen von Microsoft Exchange Server 2007 Es sind diverse Editionen von Exchange Server 2007 verfügbar, darunter Exchange Server 2007 Standard Edition und Exchange Server 2007 Enterprise Edition. Die verschiedenen Server-Editionen verfügen alle über die-

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 7 selben Kerneigenschaften und Verwaltungstools, was bedeutet, dass Sie alle Techniken, die in diesem Buch behandelt werden, nutzen können egal, welche Exchange Server 2007-Edition Sie verwenden. Die Standard und die Enterprise Edition unterscheiden sich in folgenden Punkten: b Exchange Server 2007 Standard Edition Diese Edition soll grundlegende Messagingdienste für kleine bis mittlere Organisationen und für Zweigstellen bieten. Sie unterstützt bis zu zehn Speichergruppen (darunter wiederum eine reservierte Speichergruppe für die Wiederherstellung von Datenbanken) und höchstens fünf Datenbanken pro Speichergruppe. Jede Datenbank ist auf eine Maximalgröße von 16 Gigabyte beschränkt. Außerdem werden keine Windows-Cluster unterstützt, und es gibt weder erweiterte Kompatibilitätsfähigkeiten noch Funktionen für Unified Messaging. b Exchange Server 2007 Enterprise Edition Sie soll grundlegende Messagingdienste für Organisationen mit höheren Ansprüchen an Verfügbarkeit, Zuverlässigkeit und Verwaltbarkeit liefern. Diese Server-Edition unterstützt bis zu fünfzig Speichergruppen (eine wird Speichergruppe für die Wiederherstellung genannt und ist für die Wiederherstellung von Datenbanken reserviert). Zwar sind pro Speichergruppe höchstens fünf Datenbanken zulässig, aber Sie können auf einem Server insgesamt nur fünfzig Datenbanken anlegen. Jede Datenbank ist auf eine Maximalgröße von 16 Terabyte beschränkt, was nur durch die Hardware begrenzt wird. Windows-Cluster werden vollständig unterstützt, und sowohl erweiterte Kompatibilitätsfähigkeiten als auch Funktionen für Unified Messaging sind vorhanden. HINWEIS In diesem Buch verwende ich für Exchange Server verschiedene Bezeichnungen, und jede hat eine andere Bedeutung. Das Softwareprodukt nenne ich gewöhnlich Exchange Server. Damit meine ich Microsoft Exchange Server 2007. Wenn nötig, benutze ich Exchange Server 2007, um klar zu machen, dass ich eine Eigenschaft bespreche, die neu ist oder sich gegenüber den vorherigen Versionen geändert hat. Beide Ausdrücke bedeuten im Grunde dasselbe. Beziehe ich mich auf eine frühere Version von Exchange Server, erwähne ich sie ausdrücklich, beispielsweise Exchange Server 2003. Schließlich verwende ich häufig den Begriff Exchange Server-Computer, wenn ich einen Serverrechner meine wie in dem Satz»In dieser Routinggruppe gibt es acht Exchange Server-Computer.«. Ein Client, der auf einen Exchange Server-Computer zugreift, benötigt eine Clientzugriffslizenz (Client Access License, CAL). Je nach der bertreffenden Edition von Exchange Server kann er eine Standard- oder eine Enterprise-Lizenz benutzen. Die Enterprise-Lizenz erlaubt die Verwendung von Unified Messaging, erweiterten Kompatibilitätsfunktionen und Schutz gegen Viren und Spam. Exchange Server 2007 läuft unter mehreren Editionen von Microsoft Windows Server 2003, solange Sie mindestens Release 2 oder Service Pack 1 installiert haben. Um Exchange Server 2007 zu installieren, müssen die Systempartition und alle von Exchange verwendeten Partitionen mit dem

8 Teil I Grundlagen der Verwaltung von Exchange Server 2007 Dateisystem NTFS formatiert sein. Vor der Installation müssen folgende weiteren Voraussetzungen erfüllt sein: b Auf dem Domänencontroller mit der Rolle des Schemamasters muss mindestens Windows Server 2003 SP 1 laufen. b Für alle Domänen in der Active Directory-Gesamtstruktur, in der Exchange Server 2007 installiert oder Empfänger untergebracht werden sollen, muss die Funktionsebene auf Windows 2000-pur oder höher gesetzt sein. b Um Delegierung zwischen Gesamtstrukturen und die Frei/Gebucht- Auswahl zu ermöglichen, müssen Sie ein Vertrauensverhältnis zwischen den Gesamtstrukturen errichten, in denen Exchange Server installiert ist. Die Funktionsebene muss mindestens Windows Server 2003 sein. HINWEIS Die Verwendung von Active Directory mit Exchange Server 2007 wird im Abschnitt»Exchange Server und Active Directory«dieses Kapitels und im Abschnitt»Integration von Exchange Server-Rollen in Active Directory«von Kapitel 2 ausführlicher behandelt. Exchange Server 2007 setzt Microsoft Management Console 3.0 oder höher, Microsoft.NET Framework 2.0 oder höher und Windows PowerShell for Exchange Management Shell voraus. Die Exchange-Verwaltungskonsole ist eine neue Befehlszeilenshell für die Systemadministration. Wenn Sie Exchange Server 2007 von einer Arbeitsstation aus verwalten wollen, müssen Sie Windows PowerShell for Exchange Management Shell sowie die Verwaltungstools von Exchange Server 2007 installieren. Exchange Server 2007 verwendet den Windows Installer und verfügt über einen vollständig integrierten Installationsprozess, was bedeutet, dass Sie Exchange Server 2007 weitgehend wie jede andere unter dem Betriebssystem installierte Anwendung mit Software in der Systemsteuerung konfigurieren können. Die Installation kann sowohl entfernt von einer Shell aus als auch lokal erfolgen. Kapitel 2,»Bereitstellen von Exchange Server 2007«, enthält detaillierte Anweisungen für die Installation von Exchange Server 2007. Bei der ersten Installation prüft der Installer zunächst die Systemkonfiguration, um den Status der erforderlichen Dienste und Komponenten zu ermitteln, wozu die Kontrolle der Active Directory-Konfiguration und der Verfügbarkeit von Komponenten, beispielsweise IIS (Internetinformationsdienste), sowie Service Packs für das Betriebssystem, Installationsberechtigungen für den Standardinstallationspfad, Arbeitsspeicher und Hardware gehört. Danach erlaubt Ihnen das Installationsprogramm, die zu installierenden Funktionen auszuwählen. Die Optionen sind bei der Standard und der Enterprise Edition ähnlich. Sie können Folgendes tun: b Einen internen Messagingserver installieren, indem Sie die einzelnen Serverfunktionen auswählen und nach Bedarf Ihrer Umgebung mit der Postfach-, Clientzugriffs-, Hub-Transport- und der Funktion für Unified Messaging kombinieren. Häufig soll ein interner Server auch als Domänencontroller mit einem globalen Katalog eingerichtet werden.

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 9 HINWEIS Einzelheiten über den Einsatz der verschiedenen Serverfunktionen können Sie in Kapitel 2 nachlesen. Es enthält außerdem Leitlinien für die Dimensionierung und Anordnung der Funktionen. b Einen Messagingserver in einer Umkreiszone außerhalb des Hauptnetzwerks der Organisation installieren, indem Sie nur die Edge-Transport-Funktion auswählen. Edge-Transport-Server gehören nicht zur Active Directory-Struktur und werden nicht auf Domänencontrollern eingerichtet. b Einen Postfachclusterserver installieren, indem Sie nach Bedarf die aktive oder passive Postfachclusterfunktion auswählen. b Die Verwaltungstools installieren. b Den Pfad für die Exchange Server-Installationsdateien festlegen. b Den Pfad für die Exchange Server-Installation festlegen. Wollen Sie die Konfiguration nach der Installation ändern, greifen Sie in der Systemsteuerung auf Software zu, wählen Microsoft Exchange Server 2007 und klicken auf Ändern, um das Setupprogramm für Exchange Server 2007 im Wartungsmodus zu starten. In Setup klicken Sie auf Weiter. Dann können Sie die Konfiguration der Exchange Server-Installation ändern. Exchange Server 2007 weist folgende Funktionen gegen Spamund Viren auf: b Filtern von Verbindungen Dies gibt Administratoren die Möglichkeit, Blockier- und Zulassungslisten für IPs einzurichten und Anbieter anzugeben, die solche Listen liefern. b Filtern von Inhalten Diese Funktion untersucht den Nachrichteninhalt mit intelligenten Filtern, um Spam zu ermitteln. Spam lässt sich automatisch löschen, in Quarantäne schicken oder als Junk-Mail ablegen. TIPP Mit den Verwaltungstools von Exchange kann der Administrator die an das Quarantänepostfach gesendeten Nachrichten bearbeiten und die erforderlichen Aktionen einleiten, sie zum Beispiel löschen, als Fehlalarm kennzeichnen oder die Übermittlung als Junk-Mail zulassen. Als Junk- Mail weitergeleitete Nachrichten werden in reinen Text umgewandelt, um potenzielle Viren zu beseitigen, die sie möglicherweise enthalten. b IP-Absenderzuverlässigkeitsdienst Gewährt den Kunden von Exchange Server 2007 exklusiven Zugriff auf eine IP-Blockierliste von Microsoft. b Aggregation der Filterliste für Junk-E-Mails von Outlook Ermöglicht die Weitergabe der Filterlisten einzelner Outlook-Benutzer für Junk- E-Mails an Exchange Server-Computer. b Empfängerfilterung Mit dieser Funktion kann der Administrator Empfängerdaten vom Unternehmen auf den Server replizieren, auf dem die Edge-Transport-Funktion ausgeführt wird. Anschließend kann der Server die Empfänger eingehender E-Mails überprüfen und Nachrichten blockieren, die an nicht vorhandene Benutzer gerichtet sind.

10 Teil I Grundlagen der Verwaltung von Exchange Server 2007 b Überprüfung der Absenderidentität Diese Funktion überprüft, ob eingehende E-Mail-Nachrichten von der darin angegebenen Internetdomäne kommen. Dazu untersucht Exchange die IP-Adresse des Absenders und vergleicht sie mit dem zugehörigen Sicherheitsdatensatz in seinem öffentlichen DNS-Server (Domain Name System). b Bewertung der Absenderzuverlässigkeit Trägt durch Überprüfen des Absenderbezeichners sowie durch Untersuchen des Nachrichteninhalts und des Verlaufs des Absenderverhaltens dazu bei, die relative Vertrauenswürdigkeit unbekannter Absender festzustellen. Anschließend kann der Absender vorübergehend in die Liste der blockierten Absender aufgenommen werden. Obwohl diese Funktionen zur Viren- und Spamabwehr ziemlich umfangreich sind, reichen sie nicht aus. Um umfassenden Schutz gegen Viren zu erreichen, müssen Sie Forefront Security For Exchange Server installieren. Dieses Programm trägt mithilfe mehrerer Virenscanmodule und Dateifilterungsfähigkeiten dazu bei, Exchange Server-Computer gegen Viren, Würmer und andere Schadprogramme zu schützen. Forefront Security bietet verteilten Schutz für Exchange Server-Computer mit den Postfach-, Hub- Transport- und Edge-Transport-Funktionen. Sie können das Tool zwar auf Exchange Server-Computern mit den genannten Funktionen installieren, um einen wesentlichen Schutz gegen Viren einzurichten, brauchen es aber auf Exchange Server-Rechnern nicht, auf denen nur die Clientzugriffsoder die Unified Messaging-Serverfunktion vorhanden ist. Mit dem Forefront Security-Setupprogramm installieren Sie die Administratorkonsole, die Serverkomponenten oder beides auf einem lokalen oder einem Remotecomputer. Werden Sie während der Einrichtung nach einem Installationsort gefragt, wählen Sie für einen lokalen Computer Lokale Installation, für eine Remotecomputer Remoteinstallation und klicken auf Weiter. Wählen Sie als Installationstyp Server Adminkonsole und Scannerkomponenten, um die Serverkomponenten von Forefront Security auf einem Exchange Server-Computer zu installieren. Um nur die Administratorkonsole auf dem Rechner zu installieren, wählen Sie dagegen Client nur Adminkonsole. Für Exchange Server-Computer in Clustern müssen Sie Forefront Security auf jedem Knoten lokal installieren, wobei Sie mit dem primären aktiven Knoten beginnen. Es gibt in Forefront Security zwei Betriebsmodi: b Sicherer Modus Dies ist der Standardmodus, in dem aus dem Quarantänepostfach übermittelte Nachrichten und Anhänge noch einmal auf Viren und Übereinstimmungen mit Filtern untersucht werden. b Kompatibilitätsmodus Dieser Modus ermöglicht die erneute Zustellung von Nachrichten, die bestimmten Filterkriterien entsprechen. In diesem Modus werden Nachrichten und Anhänge aus dem Quarantänepostfach noch einmal auf Viren, aber nicht auf Übereinstimmungen mit Filtern überprüft.

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 11 Der Betriebsmodus lässt sich bei der Installation festlegen und über die Administratorkonsole jederzeit ändern. Exchange Server und Windows Wenn Sie Exchange Server und Forefront Security auf einem Serverbetriebssystem installieren, nehmen sie umfangreiche Veränderungen an der Umgebung vor. Dazu zählen neue Systemdienste, integrierte Authentifizierung und neue Sicherheitsgruppen. Dienste für Exchange Server Bei der Installation von Exchange Server und Forefront Security unter Windows werden auf dem Server mehrere Dienste installiert und konfiguriert. Tabelle 1.1 fasst die wichtigsten Dienste, ihre Verwendung und die mit ihnen verknüpften Serverkomponenten zusammen. Tabelle 1.1: Zusammenfassung der von Exchange Server 2007 eingesetzten Dienste Dienstname Beschreibung Serverfunktion AntigenIMC AntigenMonitor AntigenService AntigenStore HTTP SSL IIS Admin Nimmt Verbindung mit dem SMTP-Stack auf, um sicherzustellen, dass der AntigenInternet-Prozess die Nachrichten untersucht. Überwacht den Informationsspeicher, SMTP/IMS und Antigen-Prozesse, um zu gewährleisten, dass Antigen fortlaufenden Schutz bereitstellt. Koordiniert sämtliche Echtzeit-, manuellen, IMC- und SMTP-Scanaktivitäten und ist der Agent, mit dem der Forefront Security-Administrator Verbindung aufnimmt. Forefront Security Forefront Security Forefront Security Sorgt dafür, dass Antigen korrekt mit Forefront Security dem Informationsspeicher initialisiert wird. Wird zusammen mit dem Informationsspeicher gestartet und beendet. Stellt das sichere Hypertext Transfer Protocol (HTTPS) bereit, das SSL (Secure Socket Layer) verwendet. Ermöglicht dem Server die Verwaltung von Webdiensten. Ist erforderlich für die Unterstützung von HTTP SSL und WWW-Veröffentlichungsdiensten. Clientzugriff Clientzugriff

12 Teil I Grundlagen der Verwaltung von Exchange Server 2007 Tabelle 1.1: Zusammenfassung der von Exchange Server 2007 eingesetzten Dienste (Forts.) Dienstname Beschreibung Serverfunktion Microsoft Exchange Active Directory- Topologie Microsft Exchange ADAM Stellt Exchange-Diensten Topologieinformationen über Active Directory zur Verfügung. Wird dieser Dienst beendet, können die meisten Exchange-Dienste nicht gestartet werden. Unterhält den ADAM-Datenspeicher von Active Directory. Hub-Transport, Postfach, Clientzugriff, Unified Messaging Edge-Transport Microsoft Exchange EdgeSync Microsoft Exchange IMAP4 Microsoft Exchange- Informationsspeicher Mailübergabedienst von Microsoft Exchange Microsoft Exchange- Postfach-Assistenten Microsoft Exchange- POP3 Microsoft Exchange- Replikationsdienst Microsoft-Suche (Exchange) Microsoft Exchange- Sprachmodul Microsoft Exchange- Systemaufsicht Microsoft Exchange- Unified Messaging WWW-Veröffentlichungsdienste Stellt EdgeSync-Dienste zwischen Hubund Randservern bereit. Stellt IMAP4-Dienste für Clients bereit. Verwaltet den Microsoft Exchange- Informationsspeicher. Dazu gehören Speicher für Postfächer und öffentliche Ordner. Übergibt Nachrichten vom Postfachserver an die Hub-Transport-Server. Verwaltet Assistenten, die für Kalenderaktualisierungen und das Buchen von Ressourcen zuständig sind. Hub-Transport, Edge- Transport Clientzugriff Postfach Postfach Postfach Stellt den Clients POP3-Dienste (Post Clientzugriff Office Protocol Version 3) zur Verfügung. Stellt die für die fortlaufende Replikation erforderliche Funktionalität bereit. Stellt Suchdienste für Postfächer, Adressenlisten usw. bereit. Postfach Postfach Stellt Sprachverarbeitungsdienste für Unified Messaging Microsoft Exchange bereit. Wird dieser Dienst beendet, stehen Unified Messaging-Clients keine Erkennungsdienste für gesprochene Sprache zur Verfügung. Stellt Überwachungs-, Wartungs- und Active Directory-Nachschlagedienste bereit. Ermöglicht das Speichern von Sprachund Faxnachrichten in Exchange und gewährt den Benutzern telefonischen Zugriff auf E-Mails, Sprachmails, Kalender, Kontakte oder eine automatisierte Aufsicht. Stellt Webanbindung und Verwaltungsfunktionen für IIS bereit. Postfach, Clientzugriff Unified Messaging Clientzugriff

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 13 Authentifizierung und Sicherheit in Exchange Server In Exchange Server 2007 werden E-Mail-Adressen, Verteilergruppen und andere Verzeichnisressourcen in der von Active Directory bereitgestellten Verzeichnisdatenbank gespeichert. Active Directory ist ein Verzeichnisdienst, der auf Windows-Domänencontrollern ausgeführt wird. Existieren mehrere Domänencontroller, so replizieren sie Verzeichnisdaten untereinander automatisch unter Verwendung eines Multimaster-Replikationsmodells. Darin kann jeder Domänencontroller Verzeichnisänderungen verarbeiten und diese anschließend auf andere Domänencontroller replizieren. Bei der ersten Installation von Exchange Server 2007 in einer Windows- Domäne aktualisiert und erweitert der Installationsprozess Active Directory dergestalt, dass von Exchange 2007 verwendete Objekte und Attribute eingeschlossen sind. Anders als in früheren Exchange-Versionen umfasst dieser Vorgang keine Aktualisierungen des Snap-Ins Active Directory- Benutzer und -Computer für die MMC (Microsoft Management Console). Außerdem setzen Sie das Snap-In nicht mehr zur Verwaltung von Postfächern, Messagingfunktionen und -optionen oder E-Mail-Adressen ein, die mit Benutzerkonten verknüpft sind. Diese Aufgaben werden jetzt ausschließlich in der Exchange-Verwaltungskonsole durchgeführt. Exchange Server 2007 unterstützt das Sicherheitsmodell von Windows Server vollständig und steuert darüber den Zugriff auf Verzeichnisressourcen. Sie können also den Zugriff auf Postfächer und die Mitgliedschaft in Verteilergruppen steuern und andere Verwaltungsaufgaben der Exchange-Sicherheit über die Standardberechtigungen von Windows Server ausführen. Wenn Sie zum Beispiel einen Benutzer in eine Verteilergruppe aufnehmen möchten, machen Sie ihn einfach im Snap-In Active Directory-Benutzer und -Computer zu einem Mitglied der Verteilergruppe. Da Exchange Server die Sicherheitsfunktionen von Windows Server verwendet, können Sie ein Postfach erst erstellen, nachdem Sie ein Benutzerkonto angelegt haben, welches das Postfach verwendet. Jedes Exchange- Postfach muss mit einem Domänenkonto verknüpft sein, selbst die Konten, die von Exchange für allgemeine Messagingaufgaben verwendet werden. Die Postfächer SMTP und Systemaufsicht, die Exchange Server verwendet, sind standardmäßig dem internen Benutzer System zugeordnet. In der Exchange-Verwaltungskonsole können Sie beim Anlegen eines neuen Postfachs auch ein neues Benutzerkonto erstellen. Um das Nebeneinander von Exchange 2000 Server oder Exchange Server 2003 und Exchange Server 2007 zu unterstützen, werden sämtliche Exchange Server 2007-Computer bei der Installation von Exchange Server 2007 automatisch in dieselbe Verwaltungsgruppe aufgenommen. Diese Gruppe wird in der Exchange-Systemverwaltung von Exchange Server 2003 als Exchange-Verwaltungsgruppe erkannt. Um Exchange-Objekte zum Delegieren der Berechtigung für deren Verwaltung zu erfassen, setzen

14 Teil I Grundlagen der Verwaltung von Exchange Server 2007 Exchange 2000 Server und Exchange Server 2003 zwar Verwaltungsgruppen ein, Exchange Server 2007 jedoch nicht. Exchange Server-Computer werden nämlich entsprechend ihrer Funktionund der zu handhabenden Art von Informationen mithilfe der Exchange-Verwaltungskonsole verwaltet. Mehr darüber erfahren Sie in Kapitel 5,»Grundlagen der Verwaltung von Exchange Server 2007«. Exchange Server-Sicherheitsgruppen In Exchange Server 2003 konnten Sie mithife des Assistenten für die Zuweisung von Verwaltungsberechtigungen die einfache und die vollständige Administrator-Sicherheitsrolle und die mit ausschließlich Leserechten anlegen. Exchange Server 2007 verwendet vordefinierte universelle Sicherheitsgruppen, um die Verwaltung von Exchange-Berechtigungen von der anderer Berechtigungen zu trennen. Bei der Aufnahme eines Administrators in eine dieser Gruppen erbt er die Berechtigungen der betreffenden Rolle. Die vordefinierten Sicherheitsgruppen haben die Berechtigung, folgende Arten von Exchange-Daten in Active Directory zu verwalten: b Knoten Organisationskonfiguration Daten dieser Art sind nicht mit einem bestimmten Server verknüpft, sondern dienen zur Verwaltung von Richtlinien, Adressenlisten und anderen Einzelheiten der Organisationskonfiguration. b Knoten Serverkonfiguration Daten dieser Art sind mit einem einzelnen Server verknüpft und dienen zur Verwaltung der Messagingkonfiguration dieses Servers. b Knoten Empfängerkonfiguration Daten dieser Art sind mit Postfächern, E-Mail-aktivierten Kontakten und Verteilergruppen verknüpft. Es gibt folgende vordefinierte Gruppen: b Administratoren der Exchange-Organisation Mitglieder dieser Gruppe haben vollständigen Zugriff auf alle Exchange-Eigenschaften und Objekte der Exchange-Organisation. b Exchange-Empfängeradministrator Mitglieder dieser Gruppe haben die Berechtigung, sämtliche Eigenschaften eines Benutzers, eines Kontakts, einer Gruppe, einer dynamischen Verteilerliste oder eines Objekts in einem öffentlichen Ordner in Active Directory zu ändern. Außerdem dürfen sie Postfacheinstellungen für Unified Messaging und Clientzugriff verwalten. b Exchange Server-Administratoren Mitglieder dieser Gruppe haben nur Zugriff auf Exchange-Konfigurationsdaten auf dem lokalen Server, entweder in Active Directory oder auf dem physischen Rechner, auf dem Exchange 2007 installiert ist. Auf diese Weise können sie einen einzelnen Server verwalten, aber nichts unternehmen, was globalen Einfluss in der Exchange-Organisation hat.

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 15 b Exchange-Administrator mit Leserechten Mitglieder dieser Gruppe haben schreibgeschützten Zugriff auf die gesamte Exchange-Organisationsstruktur im Active Directory-Konfigurationscontainer und auf alle Windows-Domänencontainer mit Exchange-Empfängern. b Exchange2003Interop Mitglieder dieser Gruppe erhalten Sende- und Empfangsberechtigungen, die für Routinggruppenverbindungen zwischen Exchange Server 2007 und Echange 2000 Server oder Exchange Server 2003 erforderlich sind. Bridgeheadserver mit Exchange 2000 Server und Exchange Server 2003 müssen in diese Gruppe aufgenommen werden, um den ordnungsgemäßen Fluss von E-Mails in der Organisation zu gewährleisten. Weitere Informationen über Interoperabilität finden Sie in Kapitel 2. Exchange Server und Active Directory Anders als Exchange 2000 Server und Exchange Server 2003 ist Exchange Server 2007 fest in Active Directory integriert. Es speichert dort nicht nur Informationen, sondern setzt auch die Routingtopologie von Active Directory ein, um zu ermitteln, wie Nachrichten innerhalb der Organisation weiterzuleiten sind. Das Routing zu und von der Organisation übernehmen die Transportserver. Informationsspeicherung in Exchange Exchange legt in Active Directory vier Arten von Daten ab: Schemadaten (in der Schemapartition), Konfigurationsdaten (in der Konfigurationspartition), Domänendaten (in der Domänenpartition) und Anwendungsdaten (in anwendungsbezogenen Partitionen). In Active Directory legen die Schemaregeln fest, welche Arten von Objekten zur Verfügung stehen und welche Attribute diese Objekte haben. Bei der ersten Installation von Exchange Server in der Gesamtstruktur fügt der Active Directory-Vorbereitungsprozess zahlreiche Exchange-spezifische Objektklassen und Attribute in die Schemapartition ein. Dadurch wird es möglich, Exchange-spezfische Objekte wie Agents und Connectors anzulegen. Darüber hinaus werden vorhandene Objekte, beispielsweise Benutzer und Gruppen, um neue Attribute erweitert, darunter solche, die die Verwendung von Benutzerobjekten zum Senden und Empfangen von E-Mails ermöglichen. Jeder Domänencontroller und jeder globale Katalogserver der Organisation besitzt eine vollständige Kopie der Schemapartition. Bei der Installation des ersten Exchange Server-Computers in der Gesamtstruktur werden Exchange-Konfigurationsdaten erstellt und in Active Directory abgelegt. Wie die übrigen Konfigurationsdaten werden auch sie in der Konfigurationspartition gespeichert. Für Active Directory beschreiben die Konfigurationsdaten die Struktur des Verzeichnisses, wobei der Konfigurationscontainer sämtliche Domänen, Strukturen und

16 Teil I Grundlagen der Verwaltung von Exchange Server 2007 Gesamtstrukturen sowie die Speicherorte der Domänencontroller und globalen Kataloge enthält. Exchange benutzt die Konfigurationsdaten, um die Struktur der Exchange-Organisation zu beschreiben. Der Konfigurationscontainer enthält Listen von Vorlagen, Richtlinien und weitere organisationsbezogene globale Aufgaben. Jeder Domänencontroller und jeder globale Katalogserver der Organisation besitzt eine vollständige Kopie der Schemapartition. In Active Directory nimmt die Domänenpartition domänenspezifische Objekte, beispielsweise Benutzer und Gruppen, sowie die gespeicherten Werte von Attributen auf, die mit diesen Objekten verknüpft sind. Beim Anlegen, Ändern und Löschen von Objekten legt Exchange die entsprechenden Einzelheiten in der Domänenpartition ab. Bei der Installation des ersten Exchange Server-Computers in der Gesamtstruktur werden in der aktuellen Domäne Exchange-Objekte angelegt. Immer, wenn neue Empfänger erstellt oder Exchange-Details geändert werden, kommen die betreffenden Änderungen auch in der Domänenpartition zum Tragen. Jeder Domänencontroller besitzt eine vollständige Kopie der Domänenpartition seiner Domäne. Jeder globale Katalogserver in der Gesamtstruktur unterhält Informationen über einen Teil aller Domänenpartitionen in der Gesamtstruktur. Nachrichtenrouting in Exchange Innerhalb der Organisation ermitteln Hub-Transport-Server aus den Informationen über die in Active Directory gespeicherten Standorte, wie sie Nachrichten weiterleiten sollen, und können sie auch über Verknüpfungen zwischen Standorten übermitteln. Dazu fragt der Transportserver bei Active Directory seine und die Standortmitgliedschaft anderer Server ab und benutzt die gewonnenen Daten, um die Nachrichten ordnungsgemäß zu befördern. Deshalb ist beim Bereitstellen einer Exchange Server 2007- Organisation keine zusätzliche Konfiguration erforderlich, um das Routing in der Active Directory-Gesamtstruktur einzurichten. Für die Übermittlung von E-Mails innerhalb der Organisation ist nur in folgenden Situationen eine zusätzliche Routingkonfiguration erforderlich: b Wenn Sie Exchange Server 2007 in einer vorhandenen Exchange 2000 Server- oder Exchange Server 2003-Organisation bereitstellen, müssen Sie einen bidirektionalen Routinggruppenconnector von der Exchange- Routinggruppe zu jeder Exchange Server 2003-Routinggruppe einrichten, die mit Exchange Server 2007 kommuniziert. Außerdem müssen Sie Linkstatusaktualisierungen dafür unterdrücken. b Wenn Sie eine Exchange Server 2007-Organisation mit mehreren Gesamtstrukturen bereitstellen, müssen Sie Exchange Server 2007 in jeder Gesamtstruktur installieren und die Gesamtstrukturen dann mit den erforderlichen gesamtstrukturübergreifenden Vertrauensstellungen verbinden. Die Vertrauensstellung ermöglicht den Benutzern, gesamtstrukturübergreifend Adress- und Verfügbarkeitsdaten zu sehen.

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 17 b Wenn Sie innerhalb einer Exchange Server 2007-Organisation direkten E-Mail-Verkehr zwischen Exchange Server-Computern in verschiedenen Gesamtstrukturen wünschen, müssen Sie SMTP-Sende- und Empfangsconnectors auf den Hub-Transport-Servern einrichten, die direkt miteinander kommunizieren sollen. Die Mailtransportserver der Organisation erledigen die Übermittlung und den Empfang von E-Mail nach und von außen. Ihnen stehen zwei Arten von Mailtransportservern zur Verfügung: Hub-Transport-Server und Edge- Transport-Server. Erstere werden innerhalb der Organisation bereitgestellt. Letztere können optional im Umkreisnetzwerk der Organisation platziert werden, um die Sicherheit zu erhöhen. Bei Hub-Transport-Servern ist keine weitere besondere Einrichtung erforderlich, um Nachrichten an externe Ziele weiterzuleiten. Sie brauchen nur die übliche Maileinrichtung durchzuführen, die die Angabe von DNS-Servern zum Nachschlagen einschließt. Mit Edge-Transport-Servern lassen sich Routing und Übermittlung von E-Mails optimieren, indem Sie eine einseitige Synchronisierung von den internen Hub-Transport-Servern zu den Edge-Transport-Servern im Perimeternetzwerk einrichten. Darüber hinaus ist zum Weiterleiten und Übermitteln von E-Mail keine besondere Konfiguration erforderlich. Die grafischen Verwaltungstools Exchange Server 2007 bietet verschiedene Arten von Werkzeugen für die Verwaltung. Am häufigsten werden Sie die grafischen Tools einsetzen. Exchange Server 2007 und Forefront Security haben jeweils eine eigene Verwaltungskonsole. Wenn Sie die Anleitung zur Installation von Exchange Server 2007 in Kapitel 2 befolgen, können Sie auf diese Konsolen zugreifen, indem Sie erst Start, dann Programme oder Alle Programme wählen und dann das Menü Microsoft Exchange Server 2007 benutzen. Exchange Server 2007 umfasst mehrere grafische Tools, die Funktionen der früheren Editionen ersetzen oder kombinieren. Die Verwaltungskonsole von Exchange (Abbildung 1.1) ersetzt den Exchange-System-Manager. Wie in den Kapiteln 17 und 18 weiter ausgeführt wird, stellt der Knoten Toolbox in der Verwaltungskonsole Zugriff auf ein Paket zugehöriger Werkzeuge bereit: b Best Practices Analyzer Prüft die Konfiguration und den Zustand Ihrer Exchange-Organisation, um zu gewährleisten, dass sie den von Microsoft empfohlenen bewährten Vorgehensweisen entspricht. Da diese in gewissen Abständen aktualisiert werden, enthält das Tool eine Aktualisierungsfunktion, um sicherzustellen, dass die neuesten empfohlenen Vorgehensweisen beachtet werden. b Datenbankwiederherstellungs-Verwaltung Hilft Administratoren beim Wiederherstellen der Serververfügbarkeit. Gibt außerdem Schritt-für- Schritt-Verfahren für die Wiederherstellungsprozeduren an.

18 Teil I Grundlagen der Verwaltung von Exchange Server 2007 b Datenbank-Problembehandlung Hilft bei der Behebung von Problemen, die mit dem Bereitstellen von Datenspeichern zusammenhängen, und bei sonstigen Schwierigkeiten mit Exchange- und Transaktionsdatenbanken, die die Wiederherstellung verhindern. b Nachrichtenübermittlungs-Problembehandlung Hilft bei Problemen mit der E-Mail-Übermittlung und der Transportkonfiguration durch Vorschläge mit Lösungen für die von den Administratoren beobachteten Symptome. b Nachrichtenverfolgung Gibt den Administratoren die Möglichkeit, Nachrichten bei der Weiterleitung durch die Exchange-Organisation zu verfolgen. b Warteschlangenanzeige Gibt den Administratoren die Möglichkeit, Nachrichtenwarteschlangen und E-Mail-Übermittlung zu verfolgen. Ermöglicht außerdem die Verwaltung der Warteschlangen und das Entfernen von Nachrichten. b Systemmonitor Erlaubt den Administratoren, die Systemleistung grafisch darzustellen. Außerdem können sie Leistungsprotokolle anlegen und Warnungen einrichten. Zum Überwachen der Leistung stehen zahlreiche Exchange-Leistungsobjekte zur Verfügung. b Leistungsproblembehandlung Hilft bei Leistungsproblemen, indem mögliche Engpässe ermittelt und Lösungen vorgeschlagen werden. Weitere Verwaltungstools, die Sie für Exchange Server verwenden können, sind in Tabelle 1.2 aufgeführt. Tabelle 1.2: Schnellreferenz zu den Verwaltungstools für Exchange Verwaltungsprogramm Assistent für die Active Directory-Bereinigung Computerverwaltung Serverkonfiguration DNS Ereignisanzeige IIS-Manager Microsoft Netzwerkmonitor Zweck Erkennen und Zusammenführen mehrerer Konten eines Benutzers Starten und Beenden von Diensten, Verwalten von Festplatten und Zugriff auf andere Systemverwaltungstools Hinzufügen, Entfernen und Konfigurieren von Windows-Diensten für das Netzwerk Verwalten des DNS-Dienstes Verwalten von Ereignissen und Protokollen Verwalten von Webservern, die Exchange verwendet Überwachen des Netzwerkverkehrs und Beheben von Netzwerkproblemen Die meisten der in dieser Tabelle aufgeführten Tools sind in der Programmgruppe Verwaltung enthalten. Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Verwaltung.

Kapitel 1 Überblick über die Verwaltung von Exchange Server 2007 19 Abbildung 1.1: Die Exchange-Verwaltungskonsole Die Befehlszeilenverwaltungstools Die grafischen Tools bieten einfach alles, was Sie zur Arbeit mit Exchange Server benötigen. Dennoch werden Sie gelegentlich an der Befehlszeile arbeiten wollen, insbesondere, wenn Sie die Installation, die Verwaltung oder die Wartung mithilfe von Skripts automatisieren wollen. Für Ihre diesbezüglichen Bedürfnisse bietet Exchange Server die Exchange-Verwaltungsshell. Dabei handelt es sich um eine Erweiterung für die Microsoft Command Shell, die ein umfangreiches Spektrum von Befehlen für die Arbeit mit Exchange Server enthält. Die Befehle der Microsoft Command Shell werden als Commandlets (oder»cmdlets«) bezeichnet, um sie von den weniger leistungsfähigen in die Befehlszeile integrierten Befehlen und von Hilfsprogrammen mit vollem Funktionsumfang zu unterscheiden, die sich von der Befehlszeile aus aufrufen lassen. HINWEIS Um das Lesen und Nachschlagen zu erleichtern, bezeichne ich die Befehle der Befehlszeile, die Commandlets der Command Shell und die an der Befehlszeile aufgerufenen Hilfsprogramme einfach als Befehle. Sie erreichen die Exchange-Verwaltungsshell (Abbildung 1.2), indem Sie erst Start, dann Programme wählen und anschließend auf Exchange-Verwaltungsshell klicken. Die Grundlagen der Arbeit mit der Exchange-Verwaltungsshell sind ziemlich unkompliziert. b Mit get-command blenden Sie eine vollständige Liste der auf dem Server verfügbaren Commandlet-Befehle ein.

20 Teil I Grundlagen der Verwaltung von Exchange Server 2007 b Mit get-excommand blenden Sie eine vollständige Liste der verfügbaren Exchange-spezifischen Commandlet-Befehle ein. b Mit help cmdletname blenden Sie Hilfeinformationen ein, wobei cmdlet Name der Name des gesuchten Befehls ist. Abbildung 1.2: Die Exchange-Verwaltungsshell Eine umfangreiche Abhandlung über die Exchange-Verwaltungsshell und die Microsoft Command Shell finden Sie in Kapitel 6,»Konfigurieren von Exchange Server mit der Exchange-Verwaltungsshell«, Beispiele für die Verwendung von Commandlet-Befehlen zur Verwaltung von Exchange Server im gesamten Buch.