Planung für eine große Exchange-Organisation

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2011-06-21

Wenn sich ein Unternehmen vergrößert, wächst normalerweise auch seine Infrastruktur. Dieses Wachstum führt häufig zu größerer Komplexität und neuen Sicherheitsherausforderungen. Von den vier definierten Organisationsmodellen für Microsoft Exchange Server 2007 ist die große Exchange-Organisation das größte Organisationsmodell, das in einer Umgebung mit einer einzigen Active Directory-Verzeichnisdienst-Gesamtstruktur bereitgestellt werden kann. Die Unterscheidungsmerkmale für die große Exchange-Organisation sind unter anderem:

  • Fünf oder mehr Routinggruppen oder fünf oder mehr Active Directory-Standorte mit mindestens einem bereitgestellten Exchange-Server. Mehrere geografische Orte und Active Directory-Standorte erfordern, dass Routingprotokolle für mehrere Standorte und Funktionserkennungsalgorithmen eingeführt und IP-Standortlinks verwendet werden.

    Hinweis

    Mehrere Routinggruppen können nur in einer großen Exchange-Organisation vorhanden sein, die Exchange 2007 enthält sowie entweder Exchange Server 2003 oder Exchange 2000 Server oder beide. In einer reinen Exchange 2007-Umgebung gehören alle Server zu einer einzigen Routinggruppe.

  • Eine einzige Active Directory-Gesamtstruktur. Die Einführung einer zweiten oder jeder weiteren Gesamtstruktur oder die Einführung von Verzeichnissynchronisierungstools, z. B. Microsoft Identity Integration Server definiert die Topologie automatisch als komplexe Exchange-Organisation neu. Weitere Informationen über komplexe Exchange-Organisationen finden Sie unter Planung für eine komplexe Exchange-Organisation.

  • Der Ort der Dienstübermittlung (Service Delivery Location, SDL) und der Ort des Clientdiensts (Client Service Location, CSL) befinden sich an verschiedenen physikalischen Standorten, und es besteht meist eine stärker Trennung zwischen diesen Standorten.

  • Obwohl die Exchange-Organisation in dieser Topologie über mehrere Präsenzpunkte verfügt, sind die externen Messaging- und clientprotokollspezifischen Namespaces an den meisten oder allen Standorten dieselben.

Eine Exchange-Organisation mit allen zuvor aufgeführten Eigenschaften gilt als große Exchange-Organisation.

Einzelne und mehrere Active Directory-Domänen

Die Topologie mit einer Domäne umfasst alle Szenarien, in denen eine einzige Active Directory-Domäne für alle Benutzer und Computerobjekte bereitgestellt wird. In einem Modell mit einer Domäne wird von allen Computerobjekten ein gemeinsames Domänennamensuffix verwendet, und dieses entspricht dem von Active Directory verwendeten Domänennamespace.

Große Exchange-Organisationen umfassen häufig mehrere Active Directory-Domänen. Innerhalb der Active Directory-Gesamtstrukturen bestehen große Unterschiede bezüglich der Organisation der Domänen. Grundsätzlich weisen Domänenmodelle, die auf geografischen Grenzen statt Unternehmensbereichsgrenzen basieren, eine größere Langlebigkeit und Flexibilität auf, weil geografische Grenzen sich seltener ändern als Unternehmensbereiche. Es ist zwar keine Voraussetzung für eine Umgebung mit mehreren Domänen, es empfiehlt sich jedoch, wann immer möglich, geografisch basierte Domänen bereitzustellen.

Das bekannteste Modell mit mehreren Domänen ist die Beziehung zwischen übergeordneten und untergeordneten Domänen. In diesem Modell dient die Stamm- oder übergeordnete Domäne in erster Linie dazu, einen Namespace für die Gesamtstruktur bereitzustellen. Eine weitere wichtige Funktion besteht darin, die Ausweitung von Domänen und die Aufgliederung der Gesamtstruktur zu verhindern. Das Hinzufügen von Domänen zu einer Gesamtstruktur erfordert den administrativen Zugriff auf die Stammdomäne, der normalerweise nur sehr wenigen Personen vorbehalten ist. Nach der Installation der übergeordneten Domäne können eine oder mehrere untergeordnete Domänen hinzugefügt werden. Eine untergeordnete Domäne ist von der übergeordneten Domäne abhängig. In einer untergeordneten Domäne werden üblicherweise Benutzerkonten, Dateiserver und Anwendungsserver installiert. In einer normalen Active Directory-Topologie ist der Domänennamespace zusammenhängend und spiegelt die Hierarchie der bereitgestellten Domänen wider. Wenn eine Stammdomäne z. B. "fabrikam.com" genannt wurde, können die untergeordneten Domänen beispielsweise "us.fabrikam.com", "eu.fabrikam.com" und "asia.fabrikam.com" heißen.

Neben den untergeordneten Domänen der ersten Ebene können noch weitere Hierarchieebenen bereitgestellt werden. Diese Ebenen werden normalerweise als "Enkel-Domänen" bezeichnet. Zur Vereinfachung der Exchange-Umgebungen empfiehlt es sich, Exchange nicht auf Enkel-Domänen zu hosten und die Exchange-Servermitgliedschaft auf untergeordnete Domänen zu beschränken. Dieser Ansatz bedeutet nicht, dass keine Enkel-Domänen zum Hosten von postfachaktivierten Benutzern verwendet werden können. Alle Domänen in einer Gesamtstruktur verfügen untereinander über transitive Vertrauensstellungen, und solange das DNS (Domain Name System) für alle Domänen in der Gesamtstruktur korrekt arbeitet, sollte diese Konfiguration von Benutzern und Servern normal funktionieren.

Hinweis

Bei Verwendung von Enkel-Domänen muss die DNS-Suffixsuchfolge auf jedem Host in der Gesamtstruktur möglicherweise zusätzlich konfiguriert werden, um einen ordnungsgemäßen Betrieb zu gewährleisten.

Die einfachste Implementierung mehrerer Beziehungen mit übergeordneten und untergeordneten Domänen liegt vor, wenn alle Domänen an einem einzigen Standort bereitgestellt werden. Diese Topologie kommt selten vor und beinhaltet oft eine Aufteilung der Verwaltungszuständigkeiten zwischen den verschiedenen Domänen. Ein häufigeres Bereitstellungsszenario mehrerer Beziehungen mit übergeordneten und untergeordneten Domänen ist die Bereitstellung der Domänen entlang der SDL-Grenzen.

Dedizierte Active Directory-Standorte

Wenn eine große Zahl von Exchange-Servern und -Clients an einem einzigen Ort der Dienstübermittlung (Service Delivery Location, SDL) unterstützt werden müssen, kann dies zu einem stark erhöhten Bedarf an Verzeichnisdiensten führen. Wenn neben Exchange weitere Anwendungen hinzugefügt werden, die Verzeichnisdienste, Clientauthentifizierung oder Verzeichnisreplikation benötigen, kann dies die Stabilität und Leistung von Exchange stark verringern. Um die Verzeichnisdienstüberlastung zu reduzieren, besteht eine bewährte Methode darin, einen dedizierten Active Directory-Standort zum Hosten der Exchange-Server mithilfe von dedizierten Controllern und globalen Katalogservern zu erstellen. Durch die Segmentierung eines SDL in mehrere Active Directory-Standorte wird es möglich, den durch die Exchange-Server und Microsoft Outlook-Clients generierten Verzeichnisdatenverkehr vom Datenverkehr anderer Verzeichnisdienste zu trennen.

Hinweis

Zurzeit wird Exchange 2007 Tests und Optimierung von Leistung und Skalierbarkeit unterzogen, einschließlich Tests der Leistungsmerkmale von Systemen mit 64-Bit-Verzeichnisservern. Nach Abschluss dieser Tests erfolgt eine Überarbeitung dieser bewährten Methode, und es werden zusätzliche Informationen bereitgestellt.

Bei einem Standort, der einen dedizierten Exchange Active Directory-Standort hostet, kann der Fremddomänencontroller sich an demselben Active Directory-Standort befinden, der für die allgemeine Clientauthentifizierung verwendet wird, statt an dem dedizierten Exchange Active Directory-Standort, vorausgesetzt, dass ein direkter IP-Standortlink zwischen den beiden Active Directory-Standorten besteht und die Aufteilung der Postfachbesitzrechte über die SDLs hinweg beibehalten wird.

Beispiele für große Exchange-Organisationen

Eine große Exchange-Organisation kann in verschiedenen Varianten vorkommen. Große Exchange-Organisationen weisen jedoch normalerweise gemeinsame Attribute auf. Es gibt eine größere Zahl von Exchange-unterstützten physikalischen Standorten, obwohl Exchange nicht allen Standorten bereitgestellt wird. Darüber hinaus verfügen viele große Exchange-Organisationen über mehrere Ausgangspunkte für das Internet und oft mehrere Internetdienstanbieter (ISPs), wobei sie aber gleichzeitig einen einzigen Messaging- und Clientprotokollnamespace beibehalten.

  • Abbildung 1 illustriert ein Beispiel für eine große Exchange-Organisation.

Abbildung 1   Große Exchange-Organisation

Topologie einer großen Exchange-Organisation

Planungserwägungen für große Exchange-Organisationen

  • Während der Planungsphase Ihrer Bereitstellung und bevor Exchange 2007-Server in einer großen Exchange-Organisation bereitgestellt werden, wird empfohlen, die folgenden Punkte zu berücksichtigen:

  • Wird ein Modell mit mehreren Domänen bereitgestellt, sollten die Domänencontroller so angeordnet werden, dass alle Domänen, die als Sicherheitsprinzipale für Exchange-Objekte verwendet werden, über besonders gute Konnektivität mit Standorten verfügen, die viele Exchange-Ressourcen hosten. Dies ist besonders wichtig in Exchange-Serverkonsolidierungsszenarien.

  • Wenn eine Organisation eine Größe erreicht, die einen dedizierten Active Directory-Standort für Exchange erforderlich macht, ist es recht üblich, diese Konfiguration über größere Datenzentrumsstandorte zu replizieren. Dies führt zusätzliche Replikationslinks ein, die bei der Topologieerkennung berücksichtigt werden müssen, sowie Active Directory-Standorte, ind denen Exchange nicht installiert ist.

  • Wenn Domänengrenzen auf Unternehmenseinheiten anstatt auf geografischen Grenzen basieren, kommt es häufig zu wesentlichen Überlappungen der Verteilung von Domänen und SDLs. Diese Situation kann dazu führen, dass ein einzelner Exchange-Server oder eine Gruppe von Exchange-Servern Ressourcen mehrerer Domänen eines gemeinsamen SDL hostet. Diese gemeinsame Nutzung von Infrastruktur erhöht die Notwendigkeit von Verzeichnisdiensten und zusätzlichen Domänencontrollern für jede der betroffenen Domänen aufgrund der zusätzlichen Authentifizierungsanforderungen für jede Domäne, für die Verwaltung von Verteilerlisten des Outlook-Clients und für Clientverweise auf einen globalen Katalogserver. Es muss eine angemessene Anzahl globaler Katalogserver von der entsprechenden Domäne für die Clients verfügbar sein, weil der Exchange-Server globale Katalogserververweise an einen Client sendet, der einen globalen Katalogserver der Domäne enthält, die das Postfachkonto hostet. Im Falle eines dedizierten Exchange Active Directory-Standorts bedeutet dies, dass die Domänencontroller aus jeder Domäne, für die die Exchange-Server Ressourcen hosten, im Exchange Active Directory-Standort enthalten sein müssen.

  • Bei der Bereitstellung einer großen Exchange-Organisation muss unbedingt berücksichtigt werden, dass Optionen zur Gewährleistung von Hochverfügbarkeit bereitgestellt werden. In Exchange 2007 gibt es mehrere Lösungen, mit deren Hilfe Hochverfügbarkeit für jede Serverfunktion bereitgestellt werden kann. Weitere Informationen zu Hochverfügbarkeitsstrategien und -features von Exchange 2007 finden Sie unter Hochverfügbarkeit.

Überführung einer großen Exchange-Organisation

Wenn Sie aus einer vorhandenen Exchange Server 2003- oder Exchange 2000 Server-Organisation zu einer Exchange 2007-Organisation wechseln, müssen Sie beachten, dass keine direkte Aktualisierung Ihrer Server durchgeführt werden kann. Sie müssen Ihrer vorhandenen Organisation mindestens einen Servercomputer mit Exchange 2007 hinzufügen, Postfächer und andere Daten auf den Servercomputer mit Exchange 2007 verschieben und dann den Servercomputer mit Exchange 2003 oder Exchange 2000 aus der Organisation entfernen.

Weitere Informationen zum Bereitstellen und Überführen einer großen Exchange 2007-Organisation finden Sie unter Bereitstellen einer großen Exchange-Organisation.