Konfigurieren und Ausführen von Exchange Server 2003-Clustern in einer abgesicherten Umgebung

  • Artikel

 

Letztes Änderungsdatum des Themas: 2006-08-16

In diesem Thema wird erläutert, wie die Gruppenrichtlinienobjekt-Vorlagen für Exchange 2003-Clusterknoten auf die Microsoft® Exchange Server 2003-Clusterknoten angewendet werden. Es ist wichtig, vor dem Ausführen der in diesem Thema erläuterten Verfahren das Thema Running Exchange Server 2003 Clusters in a Security-Hardened Environment zu lesen.

Wichtig

Das Anwenden und Aktivieren der GPO-Richtlinien auf den Clusterknoten in Ihrer Organisation erfordert einen Neustart der Computer im Cluster. Daher wird empfohlen, die Richtlinien nicht innerhalb von Spitzenzeiten anzuwenden.

noteAnmerkung:
Laden Sie Konfigurieren und Ausführen von Exchange Server 2003-Clustern in einer abgesicherten Umgebung herunter, um das Dokument zu drucken oder offline zu lesen.

Voraussetzungen

Für die in diesem Thema behandelten Verfahren müssen die folgenden Voraussetzungen erfüllt sein:

  • Auf allen Exchange-Clusterknoten wird Exchange Server 2003 Service Pack 1 (SP1) auf Microsoft Windows Server™ 2003 ausgeführt.

  • In der Organisation wurden die Mitgliedsserversicherheit für Windows Server 2003 Enterprise-Clients und die Exchange 2003-Back-End-GPO-Vorlagen implementiert.

  • Die Hierarchie der Organisationseinheiten in der Organisation ist gemäß den Empfehlungen im Windows Server 2003 Security Guide und dem Exchange Server 2003-Sicherheitshandbuch konfiguriert. Wenn Ihre Hierarchie der empfohlenen Hierarchie der Organisationseinheiten nicht entspricht, gelten die in diesem Thema erörterten Verfahren dennoch, vorausgesetzt, dass Ihre Hierarchie (und die aus ihr resultierende GPO-Richtlinienvererbung) die gleichen wirksamen GPO-Richtlinien vererbt, die in den zuvor genannten Handbüchern empfohlen werden.

  • Sie haben die GPO-Dateien für Exchange 2003-Clusterknoten heruntergeladen. Die GPO-Dateien für Exchange 2003-Clusterknoten sind beim Herunterladen des Exchange Server 2003-Sicherheitshandbuchs verfügbar. Die GPO-Dateien für Exchange 2003-Clusterknoten müssen auf dem Computer verfügbar sein, auf dem das Exchange-Clusterknoten-Richtlinien-GPO erstellt werden soll.

    Wichtig

    Das isolierte Anwenden der GPO-Vorlagen für Exchange 2003-Clusterknoten bewirkt kein Absichern der Exchange-Umgebung. Für die GPO-Vorlagen für Exchange 2003-Clusterknoten wird davon ausgegangen, dass die GPO-Vorlagen sowohl für das Exchange-Back-End als auch für Mitgliedsserversicherheit für Windows Server 2003 Enterprise-Clients angewendet wurden und von der Organisationseinheit geerbt werden, in der die Exchange-Clusterknoten platziert sind.

Reihenfolge der Operationen

Zum Aktivieren von Umgebungen mit Exchange-Clusterfunktionalität, in denen die GPO-Vorlagen für Windows-Serversicherheit und die Exchange-Sicherheits-GPO-Vorlagen bereitgestellt werden, müssen die folgenden Schritte der Reihe nach ausgeführt werden.

So aktivieren Sie Exchange-Clusterfunktionalität

  1. Laden Sie den Clusterhotfix für NTLM-Version 2 (NTLMv2) auf alle Clusterknoten herunter, auf denen Exchange Server ausgeführt werden soll. Weitere Informationen über den NTLMv2-Clusterhotfix finden Sie im Microsoft Knowledge Base-Artikel 890761 mit der Aussage Beim Hinzufügen oder Beitreten eines Knotens zu einem Cluster mit NTLM Version 2 in Windows Server 2003 wird die Fehlermeldung "Error 0x8007042b" angezeigt (maschinelle Übersetzung).

  2. Erstellen und konfigurieren Sie die Organisationseinheit "Virtuelle Exchange-Server". Ausführliche Anweisungen finden Sie unter Erstellen und Konfigurieren der Organisationseinheit für virtuelle Exchange-Server.

    Um darüber hinaus sicherzustellen, dass auf die Computerkonten in dieser Organisationseinheit keine Sicherheitsrichtlinien angewendet werden, müssen Sie die Vererbung von GPO-Richtlinien in der Organisationseinheit für virtuelle Exchange-Server deaktivieren.

    Die Clusterdienstkonten in der Organisation müssen in der Lage sein, die Kontoeigenschaften der Computerkonten der virtuellen Exchange-Server zu verwalten. Daher muss den Clusterdienstkonten Vollzugriff auf die Organisationseinheit für virtuelle Exchange-Server erteilt werden.

  3. Wenn mindestens ein Computerkonto für virtuelle Exchange-Server vorhanden ist, müssen die betreffenden Konten in die Organisationseinheit für virtuelle Exchange-Server verschoben werden. Ausführliche Anweisungen finden Sie unter Erstellen und/oder Verschieben von Computerkonten für virtuelle Exchange-Server. Wenn Sie bereits über Computerkonten für virtuelle Exchange-Server verfügen, können Sie Schritt 3 und 4 dieses Verfahrens ignorieren. Wenn Sie in Zukunft neue Computerkonten für virtuelle Exchange-Server erstellen müssen, können Sie das Verfahren nach dem Absichern der Clusterumgebung als Referenz verwenden.

  4. Erstellen Sie die Organisationseinheit für Exchange-Clusterknoten. Erstellen Sie das Exchange Cluster Node Policy-GPO, und importieren Sie anschließend die Datei Exchange_2003-Cluster_Node_Base_V1_1.inf in das neue GPO. Das Exchange-Clusterknoten-GPO konfiguriert den Exchange-Cluster als einen Back-End-Postfachserver. Ausführliche Anweisungen finden Sie unter Erstellen der Organisationseinheit und der Gruppenrichtlinienobjekte für die Exchange-Clusterknoten und Importieren der Gruppenrichtlinienobjekt-Vorlage. Weitere Informationen über die von der GPO-Sicherheitsvorlage vorgenommenen Konfigurationen finden Sie im Handbuch Running Exchange Server 2003 Clusters in a Security-Hardened Environment.

  5. Erstellen und importieren Sie die POP3- oder IMAP4-GPO-Vorlagen nach den Bedürfnissen Ihrer Organisation. Ausführliche Anweisungen finden Sie unter Aktivieren der POP3- oder IMAP4-Funktionalität auf den Exchange-Clusterknoten. Dieser Schritt ist optional. Wenn Clients in der Exchange-Organisation POP3- oder IMAP4-Zugriff benötigen, müssen Sie diese Protokolle aktivieren, indem Sie die entsprechenden GPOs erstellen und importieren. Für dieses Thema wird angenommen, dass die erforderlichen Clientprotokoll-Clusterressourcen bereits erstellt wurden.

  6. Aktivieren und erzwingen Sie die neuen Sicherheitsrichtlinien. Ausführliche Anweisungen finden Sie unter Aktivieren einer neuen Sicherheitsrichtlinie auf Exchange-Clusterknoten. Nach dem Erstellen der neuen GPOs müssen die Richtlinienaktualisierungen auf den Clustern erzwungen werden. Sowohl für den Windows®-Hotfix als auch für das Erzwingen der Sicherheitsrichtlinien ist ein Neustart der Clusterknoten erforderlich. Daher sollten Sie warten, bis alle Aktualisierungen installiert sind, so dass ein Neustart der Clusterknoten nur einmalig erforderlich ist.

Weitere Informationen

Weitere Informationen hierzu finden Sie in den folgenden Ressourcen: