Bereitstellen des Exchange Server 2003 Management Packs

Artikel
10/25/2013

Letztes Änderungsdatum des Themas: 2006-04-10

Im Lieferumfang des Exchange Management Packs ist ein Konfigurations-Assistent enthalten, der Ihnen bei Konfigurationsaufgaben helfen soll. Der Konfigurations-Assistent bietet eine bequeme Möglichkeit zum Konfigurieren einzelner Server mit Microsoft® Exchange Server 2003 und stellt sicher, dass diese mit Microsoft Operations Manager (MOM) 2005 reibungslos funktionsfähig sind. Der Assistent generiert eine Konfigurationsdatei (Configuration.xml), die Sie bearbeiten können, um die Überwachungslösung anzupassen, und dann mit dem Befehlszeilenprogramm ExchangeMPConfig.exe übernehmen können.

Es wird empfohlen, vor dem Starten einer Neuinstallation oder einer Aktualisierung die vorhandenen Konfigurationen zu dokumentieren, insbesondere wenn Sie vom Exchange 2000 Management Pack aktualisieren. Zusätzliche Anweisungen für Neuinstallationen und Aktualisierungen finden Sie weiter unten in diesem Abschnitt.

Zum Bereitstellen des Exchange Management Packs müssen Sie mit folgenden Punkten vertraut sein:

Installieren des Exchange Management Packs Sie können das Exchange Management Pack sowohl in einer neuen Exchange 2003-Umgebung als auch in einer von Exchange 2000 aktualisierten Umgebung installieren. Sie können auch das Exchange 2000 Management Pack auf das Exchange Management Pack aktualisieren. Die Kenntnis der Details beider Installationstypen erleichtert das erfolgreiche Bereitstellen des Management Packs.
Konfigurieren des Exchange Management Packs Die für die Bereitstellung verwendete Konfigurationsdatei kann manuell in einem Text-Editor oder über eine Befehlszeilenschnittstelle bearbeitet werden. Das Befehlszeilenprogramm ist hilfreich in komplexen Szenarien und bei der Problembehandlung.

Vorbereiten der Bereitstellung des Exchange Management Packs

Bevor Sie das Exchange Management Pack bereitstellen, sollten Sie etwas Zeit in die Auswertung der Überwachungsanforderungen der Organisation und der Topologie der Exchange-Organisation investieren. In der Planungsphase können Sie die Überwachungsziele klären, die Leistungserwartungen ermitteln, die Eskalationsverfahren definieren und die Bereitstellung des Exchange Management Packs optimieren.

Zum Vorbereiten der Bereitstellung sollten Sie die folgenden Schritte ausführen:

Identifizieren der Empfänger der vom Exchange Management Pack generierten Warnungen.
Erstellen eines Bereitstellungsplans für das Installieren und Konfigurieren der Überwachung und der überwachten Server.

Anmerkung:
Die meisten Umgebungen sind so konfiguriert, dass die Standardüberwachungseinstellungen im Exchange Management Pack den Anforderungen der Organisation entsprechen. In manchen Fällen sollte jedoch eine Analyse der Anforderungen für die Überwachung in der Umgebung ausgeführt werden. Zu dieser Analyse würde das Erstellen einer Leistungsbasis und das Ermitteln benutzerdefinierter Schwellenwerte für Regeln gehören, die von MOM-Agents auf den Computern mit Exchange Server ausgeführt werden. Weitere Informationen zum Erstellen einer Leistungsbasis finden Sie im Handbuch zur Leistung und Skalierbarkeit von Exchange Server 2003 unter https://go.microsoft.com/fwlink/?linkid=47576.

Die meisten Umgebungen sind so konfiguriert, dass die Standardüberwachungseinstellungen im Exchange Management Pack den Anforderungen der Organisation entsprechen. In manchen Fällen sollte jedoch eine Analyse der Anforderungen für die Überwachung in der Umgebung ausgeführt werden. Zu dieser Analyse würde das Erstellen einer Leistungsbasis und das Ermitteln benutzerdefinierter Schwellenwerte für Regeln gehören, die von MOM-Agents auf den Computern mit Exchange Server ausgeführt werden. Weitere Informationen zum Erstellen einer Leistungsbasis finden Sie im Handbuch zur Leistung und Skalierbarkeit von Exchange Server 2003 unter https://go.microsoft.com/fwlink/?linkid=47576.

Identifizieren der Empfänger der vom Exchange Management Pack generierten Warnungen

Wenn Sie die zu überwachenden Messagingfunktionen identifiziert und das Basisverhalten sowie die Leistungsschwellenwerte berechnet haben, müssen Sie identifizieren, wer im Fall einer Warnung benachrichtigt wird, welche Methode für das Ausführen der Benachrichtigung verwendet wird und welcher Schweregrad die Warnung auslöst.

Zum Vereinfachen der Verwaltung sollten Sie die folgenden Schritte ausführen:

Identifizieren der Administratoren, die im Fall eines Exchange-Problems benachrichtigt werden müssen.
Hinzufügen der einzelnen Administratoren zur Sicherheitsgruppe MOM Operators.
Konfigurieren der einzelnen Administratoren mit dem richtigen Zeitplan für die Benachrichtigung mittels Pager und Messaging.
Hinzufügen der einzelnen Administratoren zur Benachrichtigungsgruppe Mailadministrator.

Erstellen eines Bereitstellungsplanes für das Installieren und Konfigurieren der Überwachung und der überwachten Server.

Der letzte Planungsschritt besteht im Erstellen eines Plans für die Bereitstellung des Exchange Management Packs in der Umgebung. Dieser Plan muss folgende Aspekte berücksichtigen:

Welche Server werden überwacht?
Welche Server werden überwachen?
Wer wird die Installation ausführen?
Welche Berechtigungen sind erforderlich?
Wie sieht der Zeitplan aus?
Welche Risiken können auftreten, und wie können sie reduziert werden?

Weitere Informationen zum Erstellen eines Bereitstellungsplans finden Sie in der Microsoft Solutions Framework-Dokumentation unter https://go.microsoft.com/fwlink/?linkid=39530.

Sichern der Bereitstellung

Bevor Sie das Exchange Management Pack installieren, müssen Sie die Überwachungsumgebung sichern. Dies muss vor der Installation geschehen, da das Exchange Management Pack Warnungen für diese Probleme generiert. Wenn Sie die Umgebung nicht vor dem Installieren des Exchange Management Packs sichern, empfangen Sie Warnungen, wenn diese Sicherheitskonfigurationen überprüft werden.

Zum Sichern der Umgebung gehört Folgendes:

Ausführen von IIS-Lockdown
Konfigurieren von SSL
Überprüfen, ob die Nachrichtenverfolgungsprotokoll-Freigaben gesperrt sind.
Überprüfen, ob sich die SMTP-Verzeichnisse in einer mit dem NTFS-Dateisystem formatierten Systempartition befinden.
Sicherstellen, dass SMTP nicht anonym per Relay weiterleiten kann.

Ausführen von IIS-Lockdown

Sie sollten IIS-Lockdown auf allen Front-End-Servern ausführen. Das Programm sucht nach Sicherheitslöchern und hilft Ihnen beim Konfigurieren der Server für den Internetzugang, sodass diese weniger anfällig für böswillige Angriffe sind.

Weitere Informationen zum Installieren und Ausführen von IIS-Lockdown finden Sie im Microsoft Knowledge Base-Artikel 325864 zum Installieren und Verwenden des IIS-Lockdown-Assistenten unter https://go.microsoft.com/fwlink/?linkid=3052&kbid=325864.

Das Exchange Management Pack erkennt, ob IIS-Lockdown ausgeführt wurde und sendet eine Warnung an Sie, wenn normalerweise durch dieses Programm gesicherte Sicherheitslöcher erkannt werden.

Konfigurieren von SSL

Zum Verwenden der Überwachungsfeatures für die Front-End-Serververfügbarkeit für Exchange 2003 muss SSL auf dem Front-End-Server für alle virtuellen Verzeichnisse von Microsoft Office Outlook® Web Access, Outlook Mobile Access und Exchange ActiveSync® konfiguriert sein. Führen Sie auf dem Front-End-Server die folgenden allgemeinen Schritte aus, um SSL zu konfigurieren:

Richten Sie das Zertifikat ein.
Fügen Sie den Zertifikatserver (certsrv) den vertrauenswürdigen Stämmen hinzu.
Aktivieren Sie SSL erforderlich auf den Websites mit Outlook Web Access, Outlook Mobile Access und Exchange ActiveSync.
Aktivieren Sie die formularbasierte Authentifizierung.

Weitere Informationen zum Konfigurieren von SSL finden Sie im Handbuch zur Front-End- und Back-End-Topologie in Exchange Server 2003 und Exchange 2000 Server unter https://go.microsoft.com/fwlink/?linkid=34216.

Überprüfen, ob die Nachrichtenverfolgungsprotokoll-Freigaben gesperrt sind

Wenn die Nachrichtenverfolgung aktiviert ist, werden alle von SMTP behandelten Nachrichten in Nachrichtenverfolgungsprotokollen auf den einzelnen Computern mit Exchange Server protokolliert. Standardmäßig befinden sich die Nachrichtenverfolgungsprotokoll-Dateien unter C:\Programme\exchsrvr\Servername.log. Dieser Ordner ist freigegeben, sodass Administratoren ihre Informationen von jeder Exchange-System-Manager-Konsole aus anzeigen können. Sie sollten Berechtigungen für diese Freigabe konfigurieren, sodass der Gruppe Jeder nicht explizit Berechtigungen erteilt werden. Wenn der Gruppe Jeder Berechtigungen für die Nachrichtenverfolgungsprotokoll-Freigabe erteilt wurden, sollten Sie die Gruppe entfernen. Das Exchange Management Pack erkennt diese Konfiguration und sendet Ihnen eine Warnung, wenn die Gruppe Jeder in der Freigabe identifiziert wird.

Überprüfen, ob sich die SMTP-Verzeichnisse in einer NTFS-Partition befinden

Da SMTP-Nachrichten nicht immer sicher sind, sollten Sie zum Schutz ihres Inhalts beitragen, indem Sie sie in einer NTFS-Partition speichern. Sie können überprüfen, ob sich das Verzeichnis in einer NTFS-Partition befindet, indem Sie das SMTP-Verzeichnis im Windows-Explorer suchen und auf seine Eigenschaften zugreifen. Auf der Registerkarte Allgemein ist das verwendete Dateisystem angegeben.

Wenn sich die SMTP-Verzeichnisse nicht in einer NTFS-Partition befinden, sollten Sie sie verschieben oder die Partition für die Verwendung von NTFS konfigurieren.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 318230 zum Ändern des Speicherorts des Exchange 2000 SMTP-Mailroot-Verzeichnisses unter https://go.microsoft.com/fwlink/?linkid=3052&kbid=318230.

Informationen zum Konfigurieren einer Partition für die Verwendung von NTFS finden Sie in der Hilfe zu Windows Server™ 2003.

Das Exchange Management Pack erkennt diese Konfiguration und sendet eine Warnung an Sie, wenn sich das SMTP-Verzeichnis nicht in einer NTFS-Partition befindet.

Sicherstellen, dass SMTP nicht anonym per Relay weiterleiten kann

Die virtuellen SMTP-Server sind standardmäßig so konfiguriert, dass nur von authentifizierten Benutzern gesendete Nachrichten per Relay weitergeleitet werden.

So stellen Sie sicher, dass dies nicht geändert wurde

Starten Sie den Exchange-System-Manager, und suchen Sie das Serverobjekt, für das Sie die E-Mail-Weiterleitung per Relay verhindern möchten.
Erweitern Sie im linken Bereich unter dem Serverobjekt den Knoten Protokolle, und erweitern Sie dann SMTP.
Klicken Sie im linken Bereich mit der rechten Maustaste auf den virtuellen SMTP-Server, für den Sie die E-Mail-Weiterleitung per Relay verhindern möchten, und klicken Sie dann auf Eigenschaften.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Zugriff, und klicken Sie dann auf Relay.
Stellen Sie im Dialogfeld Relayeinschränkungen sicher, dass Folgendes zutrifft:
- Nur Computer in der Liste unten ist ausgewählt, und das Listenfeld ist leer.
- Das Kontrollkästchen Jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste oben das Relay erlauben ist aktiviert.
Klicken Sie auf Abbrechen, wenn Sie keine Änderungen vornehmen möchten.

Das Exchange Management Pack erkennt diese Konfiguration und sendet eine Warnung an Sie, wenn der SMTP-Server so konfiguriert ist, dass er anonyme Weiterleitung per Relay zulässt.