Microsoft Exchange Server 2010: Serverrollen

Die Verwaltung und Konfiguration von Exchange Server-Serverrollen hat enorme Auswirkungen auf die Effizienz Ihrer Exchange Server-Infrastruktur.

Auszug aus „Exchange 2010 - A Practical Approach“, veröffentlicht von Red Gate Books (2009).

Jaap Wesselius

In Sachen Serverrollen und Exchange Server hat sich viel geändert. Vor Exchange Server 2003 mussten Sie alle Rollen auf einem Server installieren. Es gab keine Möglichkeit, die verfügbaren Features auszuwählen. Sie konnten zwar einen Server mit Exchange 2000 oder Exchange 2003 als so genannten Front-End-Server festlegen, aber dabei fungierte eigentlich nur ein normaler Exchange-Server als Protokoll-Proxy. Standardmäßig waren immer noch eine Postfachdatenbank und eine Öffentliche Ordner-Datenbank installiert.

Mit Exchange Server 2007 wurden die „Serverrollen“ eingeführt, und Exchange Server 2010 ist nun die gelungene Weiterentwicklung davon. Exchange Server 2010 enthält die folgenden Serverrollen, die jeweils eine bestimmte Funktion erfüllen:

• Postfachserverrolle
• Clientzugriffs-Serverrolle
• Hub-Transport-Serverrolle
• Edge-Transport-Serverrolle
• Unified Messaging-Serverrolle

Sie können diese Serverrollen auf dedizierter Hardware installieren, wobei jeder Computer über eine eigene Rolle verfügt. Das Kombinieren von Rollen auf einem einzelnen Server ist auch möglich. Bei einer typischen Serverinstallation werden beispielsweise die Serverrollen „Postfach“, „Clientzugriff“ und „Hub-Transport-Server“ kombiniert. Während der Installation werden immer Verwaltungstools installiert, unabhängig davon, welche Serverrolle installiert wurde.

Die Edge-Transport-Serverrolle kann jedoch mit keiner anderen Rolle kombiniert werden. Sie kann auch nicht Teil der internen Domäne sein, da sie im Umkreisnetzwerk installiert sein muss. Viele Gründe sprechen dafür, Exchange Server in mehrere Serverrollen aufzuteilen:

• Erweiterte Skalierbarkeit: Die Skalierbarkeit wird deutlich erweitert, da Sie einen Server gezielt für eine Serverrolle bereitstellen können. Sie können diesen speziellen Server für eine bestimmte Rolle konfigurieren und optimieren, wodurch Sie einen hochleistungsfähigen Server erhalten.
• Verbesserte Sicherheit: Mit dem Sicherheitskonfigurations-Assistenten können Sie die Sicherheit für einen dedizierten Server erhöhen. Da Sie nur eine Serverrolle für einen bestimmten Server verwenden, sind alle anderen Funktionen und Ports deaktiviert, was die Sicherheit des Systems verbessert.
• Vereinfachte Bereitstellung und Verwaltung: Ein dedizierter Server ist einfacher zu konfigurieren, zu sichern und zu verwalten.

Es folgt eine ausführliche Betrachtung der einzelnen Serverrollen.

Postfachserverrolle

Die Postfachserverrolle bildet das Kernstück Ihrer Exchange Server 2010-Umgebung. Hier werden standardmäßig die Postfachdatenbank und die Öffentliche Ordner-Datenbank installiert. Der einzige Zweck der Postfachserverrolle besteht darin, Postfächer und öffentliche Ordner zu hosten.

In früheren Versionen von Exchange Server, einschließlich Exchange Server 2007, wurden Outlook-Clients, die MAPI verwendeten, immer noch direkt mit der Postfachserverrolle verbunden. Das hat sich mit Exchange Server 2010 geändert. MAPI-Clients werden nun direkt mit dem so genannten RPC-Clientzugriffsdienst verbunden, der auf dem Clientzugriffsserver ausgeführt wird.

Mit der Postfachserverrolle werden keine Nachrichten weitergeleitet. Es werden lediglich Nachrichten in Postfächern gespeichert. Die Hub-Transport-Serverrolle ist für die Weiterleitung aller Nachrichten zuständig, auch zwischen Postfächern auf demselben Server oder in derselben Postfachdatenbank. Für den Zugriff auf Postfächer ist immer ein Clientzugriffsserver erforderlich. Zum Implementieren des rollenbasierten Zugriffssteuerungsmodells (RBAC) muss IIS auf einem Postfachserver installiert sein, auch wenn kein Client direkt auf den Postfachserver zugreift.

In Exchange Server 2010 sind keine Speichergruppen mehr vorhanden, aber Postfächer werden weiterhin in Datenbanken gespeichert, genau wie in Exchange Server 2007. Wie in früheren Versionen von Exchange Server wird das erweiterbare Speichermodul (ESE) verwendet, obwohl sich Datenbank und Datenbankschema gravierend geändert haben. Standardmäßig wird die erste Datenbank auf einem Server in dem Verzeichnis installiert: C:\Programme\ Microsoft\Exchange Server\V14\Postfach\Postfachdatenbank <<ID>>

Die <<ID>> ist eine eindeutige Zahl, um sicherzustellen, dass der Name der Postfachdatenbank innerhalb der Exchange-Organisation eindeutig ist.

Es empfiehlt sich, sowohl um eine hohe Leistung als auch um eine gute Wiederherstellung zu erreichen, die Datenbank und zugehörige Protokolldateien auf einem dedizierten Datenträger zu speichern. Dieser kann sich in einem Fibre Channel-SAN, einem iSCSI-SAN oder in einer DAS-Lösung (Direct-attached Storage, direkt angeschlossener Speicher) befinden. Das Ziel bei diesem Entwurf war, die Datenträger-E/A pro Sekunde so zu begrenzen, dass sowohl die Datenbank als auch die Protokolldateien auf einem 1 TB-SATA-Datenträger installiert werden können. Dies ist aber nur dann eine Option, wenn Sie Datenbankkopien konfiguriert haben und über mindestens zwei Kopien der Postfachdatenbank verfügen, um eine einzelne Fehlerquelle zu vermeiden.

Clientzugriffs-Serverrolle

Die Clientzugriffs-Serverrolle bietet allen verfügbaren Protokollen Zugriff auf Postfächer. In Exchange Server 2003 wurde von Microsoft das Konzept der „Front-End-“ und „Back-End-Server“ eingeführt. Die Clientzugriffs-Serverrolle ist vergleichbar mit einem Front-End-Server mit Exchange Server 2003.

Alle Clients stellen eine Verbindung zum Clientzugriffsserver her. Nach der Authentifizierung werden Anforderungen über einen Proxy dem entsprechenden Postfachserver übergeben. Die Kommunikation zwischen dem Client und dem Clientzugriffsserver erfolgt über die normalen Protokolle (HTTP, IMAP4, POP3 und MAPI). Die Kommunikation zwischen dem Clientzugriffsserver und dem Postfachserver erfolgt über Remoteprozeduraufrufe (RPCs).

Der Clientzugriffsserver von Exchange Server 2010 bietet folgende Funktionen:

• HTTP für Outlook Web App
• Outlook Anywhere (ehemals RPC/HTTP) für Outlook 2003, Outlook 2007 und Outlook 2010
• ActiveSync für PDAs
• Internetprotokolle POP3 und IMAP4
• MAPI on the Middle Tier (MoMT)
• Verfügbarkeitsdienst, AutoErmittlung und Exchange-Webdienste: Diese Features werden für Outlook 2007-Clients angeboten und ermöglichen Frei/Gebucht-Informationen, automatische Konfiguration des Outlook 2007- und Outlook 2010-Clients, Download des Offlineadressbuchs und Abwesenheitsfunktionen.

Vom Clientzugriffsserver werden keine SMTP-Dienste angeboten. Sämtliche SMTP-Dienste werden vom Hub-Transport-Server verarbeitet. Sie benötigen mindestens einen Clientzugriffsserver für jeden Postfachserver an einem Active Directory-Standort sowie eine schnelle Verbindung zwischen dem Clientzugriffsserver und dem Postfachserver. Für den Clientzugriffsserver ist außerdem eine schnelle Verbindung zu einem globalen Katalogserver erforderlich.

Sie sollten den Clientzugriffsserver im internen Netzwerk bereitstellen, nicht im Umkreisnetzwerk. Wenn Sie über das Internet auf einen Clientzugriffsserver zugreifen möchten, müssen Sie im Umkreisnetzwerk einen ISA-Server (Microsoft Internet Security & Acceleration) installieren. Anschließend sollten Sie auf diesem ISA-Server alle erforderlichen Exchange-Dienste im Internet veröffentlichen.

Hub-Transport-Serverrolle

Die Hub-Transport-Serverrolle ist für das Weiterleiten von Nachrichten zuständig, nicht nur zwischen dem Internet und Ihrer Exchange-Infrastruktur, sondern auch zwischen den einzelnen Exchange-Servern. Nachrichten werden immer mit der Hub-Transport-Serverrolle weitergeleitet, auch wenn sich Quell- und Zielpostfach auf demselben Server oder in derselben Postfachdatenbank befinden. Der Hub-Transport-Server leitet Nachrichten beispielsweise wie folgt weiter:

Schritt 1: Eine Nachricht wird an den Hub-Transport-Server gesendet.

Schritt 2: Befindet sich der Empfänger auf demselben Server wie der Absender, wird die Nachricht zurückgeschickt.

Schritt 3: Befindet sich der Empfänger auf einem anderen Postfachserver, wird die Nachricht an den entsprechenden Hub-Transport-Server weitergeleitet.

Schritt 4: Die Nachricht wird dann von dem zweiten Hub-Transport-Server an den Postfachserver des Empfängers weitergeleitet.

Der wichtigste Grund dafür, dass alle Nachrichten über den Hub-Transport-Server geleitet werden, ist die Einhaltung von Richtlinien. Sie können die Weiterleitung sämtlicher Nachrichten durch die Exchange-Organisation verfolgen und ggf. eingreifen, um die Einhaltung von gesetzlichen Bestimmungen (HIPAA - Health Insurance Portability and Accountability Act, SOX - Sarbanes-Oxley usw.) zu gewährleisten. Auf dem Hub-Transport-Server können Sie folgende Agenten konfigurieren, um die Einhaltung von Richtlinien zu erleichtern:

• Transportregel-Agenten: Sie können gemäß Regelfiltern oder -bedingungen Aktionen auf Nachrichten anwenden. Regeln können auf interne Nachrichten, externe Nachrichten oder beides angewendet werden.
• Journal-Agenten: Damit wird eine Kopie jeder gesendeten oder von einem bestimmten Empfänger empfangenen Nachricht gespeichert.

Da ein Postfachserver keine Nachrichten weiterleitet, ist für jeden Postfachserver innerhalb eines Active Directory-Standorts auch ein Hub-Transport-Server erforderlich. Für den Hub-Transport-Server ist außerdem eine schnelle Verbindung zu einem globalen Katalogserver erforderlich, um Active Directory abfragen zu können. Der globale Katalogserver sollte sich an demselben Active Directory-Standort befinden wie der Hub-Transport-Server.

Beim Senden an einen externen Empfänger wird die Nachricht vom Hub-Transport-Server über das Internet weitergeleitet. Das kann über einen Edge-Transport-Server mit Exchange Server 2010 in einem Umkreisnetzwerk erfolgen, aber der Hub-Transport-Server kann Nachrichten auch direkt an das Internet senden.

Sie können den Hub-Transport-Server mit Antispam- und Antivirusfunktionen konfigurieren. Antispamdienste sind auf einem Hub-Transport-Server standardmäßig deaktiviert, da dieser Dienst zur Ausführung auf einem Edge-Transport-Server im Umkreisnetzwerk vorgesehen ist. Microsoft bietet für jeden Hub-Transport-Server ein Skript, mit dem Antispamdienste aktiviert werden können.

Als Virenschutz können Sie Microsoft Forefront für Exchange verwenden. Wenn Sie dieses Programm auf dem Hub-Transport-Server verwenden, wird ein- und ausgehender SMTP-Datenverkehr geprüft. Auf dem Postfachserver wird der Inhalt einer Postfachdatenbank überprüft, was eine zusätzliche Sicherheitsebene darstellt.

Edge-Transport-Serverrolle

Die Edge-Transport-Serverrolle wurde mit Exchange Server 2007 eingeführt und bietet einen zusätzlichen Nachrichtenschutz. Sie wird in der Regel als SMTP-Gateway im Umkreisnetzwerk installiert. Externe Nachrichten werden als Erstes an die Edge-Transport-Serverrolle geliefert. Nachdem sie die Spam-und Virenfilter durchlaufen haben, werden sie an einen Hub-Transport-Server im internen Netzwerk weitergeleitet.

Der Edge-Transport-Server kann darüber hinaus folgende Dienste bereitstellen:

• Edge-Transport-Regeln: Mit diesen Regeln wird der gesendete oder über das Internet empfangene Nachrichtenfluss gesteuert, wenn diese Nachrichten bestimmte Bedingungen erfüllen.
• Adressumschreibung: Mit diesem Dienst wird die SMTP-Adresse der gesendeten oder über das Internet empfangenen Nachrichten geändert. Dies kann hilfreich sein, wenn Sie interne Domänen verbergen möchten.

Der Edge-Transport-Server wird im Umkreisnetzwerk installiert. Er darf nicht Mitglied einer internen Active Directory- und Exchange Server 2010-Organisation sein. Zum Speichern sämtlicher Daten wird vom Edge-Transport-Server AD LDS (Active Directory Lightweight Directory Services) verwendet.

In früheren Versionen von Windows wurde dieser Dienst Active Directory-Anwendungsmodus (ADAM) genannt. Mit AD LDS werden grundlegende Informationen zur Exchange-Infrastruktur gespeichert, beispielsweise die Empfänger und der Hub-Transport-Server, an den der Edge-Transport-Server seine Nachrichten sendet. Mit der Synchronisierungsfunktion namens EdgeSync bleibt die AD LDS-Datenbank auf dem neuesten Stand. Die Daten vom Hub-Transport-Server werden mit dieser Funktion regelmäßig an den Edge-Transport-Server übertragen.

Unified Messaging-Serverrolle

Die Unified Messaging-Serverrolle von Exchange Server 2010 kombiniert Postfachdatenbank und Sprach- sowie E-Mail-Nachrichten in einem Speicher. Diese Serverrolle ermöglicht den Zugriff auf alle Nachrichten im Postfach über ein Telefon oder einen Computer. Sie können ein IP-basiertes System oder ein klassisches analoges PBX-Telefonsystem verwenden, wobei Sie im letzteren Fall ein spezielles IP-Gateway für Unified Messaging benötigen, um eine Verbindung herzustellen.

Die Unified Messaging-Serverrolle bietet folgende Features:

• Mailboxansage: Dieses Feature dient als Anrufbeantworter. Für den Fall, dass Sie nicht an Ihr Telefon gehen können, zeichnen Sie eine persönliche Nachricht auf und senden diese als MP3-Datei an die Mailbox des Empfängers.
• Abonnentenzugriff: Wird auch als „Outlook Voice Access“ bezeichnet. Dieses Feature ermöglicht den Zugriff auf die Mailbox und das Abhören der Nachrichten über die normale Telefonleitung. Außerdem kann auf die Mailboxelemente wie Nachrichten und Kalendereinträge zugegriffen werden, und Termine können festgelegt und geändert werden.
• Automatische Telefonzentrale: Dieses Feature ermöglicht das Erstellen eines benutzerdefinierten Menüs im Unified Messaging-System mithilfe von Sprachansagen. Ein Anrufer kann über die Telefontasten oder mit Sprachbefehlen durch das Menü navigieren.

Der mit der Unified Messaging-Serverrolle installierte Unified Messaging-Dienst arbeitet eng mit dem Microsoft Exchange-Sprachmodul zusammen. Das Sprachmodul ermöglicht ein Mehrfrequenzwahlverfahren (auch als Tonwahlverfahren, automatische Spracherkennung und Text-Sprach-Modul bezeichnet) und ist für das Abrufen der Mailbox und Sprachmenüs verantwortlich.

Die Unified Messaging-Serverrolle sollte zusammen mit einem Hub-Transport-Server an einem Active Directory-Standort installiert sein. Über diesen Server werden Nachrichten an die Postfachserver weitergeleitet. Er sollte über eine schnelle Verbindung zu einem globalen Katalogserver verfügen. Falls möglich, sollten Sie die Postfachserverrolle so nah wie möglich an der Unified Messaging-Serverrolle installieren, bevorzugt an demselben Standort und mit einer guten Netzwerkverbindung.

Wenn es um eine hohe Verfügbarkeit, gute Verwaltung und sichere Einhaltung von Richtlinien geht, ist Exchange Server 2010 eine überzeugende Wahl. Mit den neuen Features von Exchange Server 2010 wird die Komplexität reduziert, was immer von Vorteil ist.

Jaap Wesselius ist der Gründer von DM Consultants, einem Unternehmen, das seinen Schwerpunkt auf Lösungen für Messaging und Zusammenarbeit gelegt hat. Nachdem er acht Jahre für Microsoft gearbeitet hatte, wollte er mehr Zeit der Exchange-Community in den Niederlanden widmen, was ihm 2007 die Auszeichnung zum Exchange Server-MVP einbrachte. Er schreibt außerdem regelmäßig für die niederländische Gruppe „Unified Communications“ und für die Reihe „Simple-Talk“.

Mehr über „Exchange 2010 - A Practical Approach“ erfahren Sie unter red-gate.com.

Verwandter Inhalt

• Sicherstellen hoher Verfügbarkeit in Microsoft Exchange Server 2010
• Exchange Q&A: A Second Look at Exchange 2010 Features and Improvements
• Exchange Server 2010: Exchange Server High Availability