Planen des Zugriffs auf Active Directory

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Microsoft Exchange Server 2010 speichert alle Konfigurations- und Empfängerinformationen in der Active Directory-Verzeichnisdienstdatenbank. Wenn ein Computer mit Exchange 2010 Informationen zu den Empfängern sowie zur Konfiguration der Exchange-Organisation benötigt, muss er Active Directory abfragen, um auf diese Informationen zugreifen zu können. Active Directory-Server müssen verfügbar sein, um eine ordnungsgemäße Funktionsweise von Exchange 2010 sicherstellen zu können.

In diesem Thema wird erläutert, wie Exchange 2010 Informationen in Active Directory speichert und abruft, damit Sie den Zugriff auf Active Directory planen können. In diesem Thema werden auch Probleme erläutert, an die Sie denken sollten, wenn Sie versuchen, gelöschte Exchange 2010 Active Directory-Objekte wiederherzustellen.

In Active Directory gespeicherte Exchange-Informationen

In der Active Directory-Datenbank werden Informationen in drei Typen logischer Partitionen gespeichert. Diese werden in den folgenden Abschnitten beschrieben:

• Schemapartition

• Konfigurationspartition

• Domänenpartition

Schemapartition

In der Schemapartition werden zwei Typen von Informationen gespeichert: Schemaklassen und Schemaattribute. Schemaklassen definieren alle Objekttypen, die in Active Directory erstellt und gespeichert werden können. Schemaattribute definieren alle Eigenschaften, die zum Beschreiben der in Active Directory gespeicherten Objekte verwendet werden können.

Beim Installieren der ersten Exchange 2010-Serverrolle in der Gesamtstruktur oder beim Ausführen der Active Directory-Vorbereitung werden dem Active Directory-Schema durch die Active Directory-Vorbereitung viele Klassen und Attribute hinzugefügt. Die dem Schema hinzugefügten Klassen werden zum Erstellen Exchange-spezifischer Objekte (wie Agents und Connectors) verwendet. Die dem Schema hinzugefügten Attribute werden zum Konfigurieren der Exchange-spezifischen Objekte und der E-Mail-aktivierten Benutzer und Gruppen verwendet. Diese Attribute umfassen Eigenschaften wie MicrosoftOffice Outlook Web Access- und MicrosoftExchange Unified Messaging-Einstellungen (UM). Alle Domänencontroller und globalen Katalogserver in der Gesamtstruktur enthalten ein vollständiges Replikat der Schemapartition.

Weitere Informationen zu Schemaänderungen in Exchange 2010 finden Sie unter Exchange 2010 – Active Directory-Schemaänderungen.

Konfigurationspartition

In der Konfigurationspartition werden Informationen zur Gesamtstrukturkonfiguration gespeichert. Diese Konfigurationsinformationen umfassen die Konfiguration von Active Directory-Standorten, globalen Exchange-Einstellungen, Transporteinstellungen, Postfachrichtlinien sowie von UM-Wähleinstellungen. Jeder Konfigurationsinformationstyp wird in der Konfigurationspartition in einem Container gespeichert. Exchange-Konfigurationsinformationen werden in einem dem Dienstecontainer der Konfigurationspartition untergeordneten Ordner gespeichert. Die in diesem Container gespeicherten Informationen umfassen Folgendes:

• Adresslisten

• Adress- und Anzeigevorlagen

• Administrative Gruppen

• Clientzugriffseinstellungen

• Verbindungen

• Richtlinien für die Messaging-Datensatzverwaltung sowie für mobile und UM-Postfächer

• Globale Einstellungen

• E-Mail-Adressrichtlinien

• Systemrichtlinien

• Transporteinstellungen

Alle Domänencontroller und globalen Katalogserver in der Gesamtstruktur enthalten ein vollständiges Replikat der Konfigurationspartition.

Domänenpartition

In der Domänenpartition werden Informationen in Standardcontainern und Organisationseinheiten gespeichert, die der Active Directory-Administrator erstellt. In diesen Containern werden domänenspezifische Objekte verwaltet. Diese Daten umfassen Exchange-Systemobjekte sowie Informationen zu den Computern, Benutzern und Gruppen in dieser Domäne. Wenn Exchange 2010 installiert ist, werden die Objekte in dieser Partition zur Unterstützung der Exchange-Funktionen von Exchange aktualisiert. Diese Funktionen wirken sich auf die Speicherung von und den Zugriff auf Empfängerinformationen aus.

Jeder Domänencontroller enthält ein vollständiges Replikat der Domänenpartition der Domäne, für die er autoritativ ist. Jeder globale Katalogserver in der Gesamtstruktur enthält eine Teilmenge der Informationen in jeder Domänenpartition der Gesamtstruktur.

Zugreifen auf Active Directory-Informationen in Exchange 2010

Exchange 2010 verwendet eine Active Directory-API, um auf in Active Directory gespeicherte Informationen zuzugreifen. Der Active Directory-Topologiedienst wird für alle Serverrollen von Exchange 2010 ausgeführt. Dieser Dienst liest Informationen aus allen Active Directory-Partitionen. Die abgerufenen Daten werden zwischengespeichert und von Exchange 2010-Servern verwendet, um den Active Directory-Standort aller Exchange-Dienste in der Organisation zu erkennen. Weitere Informationen zur Topologie und Diensterkennung finden Sie unter Planen der Verwendung von Active Directory-Standorten für das E-Mail-Routing.

Exchange 2010 ist eine für Active Directory-Standorte aktivierte Anwendung, die zur Optimierung des Netzwerkdatenverkehrs mit Verzeichnisservern kommuniziert, die sich am selben Standort wie der Exchange-Server befinden. Jede einzelne Exchange 2010-Organisationsserverrolle muss mit Active Directory kommunizieren, um Informationen zu den Empfängern und anderen Exchange 2010-Serverrollen abrufen zu können. Die von den einzelnen Serverrolle abgerufenen Daten werden in den folgenden Abschnitten beschrieben.

Standardmäßig erfolgt bei jedem Start eines Exchange 2010-Servers die Bindung an einen zufällig ausgewählten Domänencontroller sowie an einen globalen Katalogserver am eigenen Standort. Sie können die ausgewählten Verzeichnisserver anzeigen, indem Sie die Eigenschaften des Exchange 2010-Servers in der Exchange-Verwaltungskonsole einblenden oder das Cmdlet Get-ExchangeServer in der Exchange-Verwaltungsshell verwenden. Sie können auch das Cmdlet Set-ExchangeServer verwenden, um eine statische Liste mit Domänencontrollern zu konfigurieren, an die die Bindung eines Exchange 2010-Servers erfolgen soll. Eine andere Möglichkeit besteht in der Konfiguration einer Liste mit Domänencontrollern, die ausgeschlossen werden sollen.

Hub-Transport-Serverrolle

Die Hub-Transport-Serverrolle stellt beim Kategorisieren von Nachrichten eine Verbindung mit Active Directory her. Das Kategorisierungsmodul muss Active Directory abfragen, um eine Empfängersuche und Routingauflösung ausführen zu können. Die bei der Empfängersuche vom Kategorisierungsmodul abgerufenen Informationen umfassen den Speicherort des Postfachs des Empfängers sowie ggf. für den Empfänger geltende Einschränkungen oder Berechtigungen. Darüber hinaus muss das Kategorisierungsmodul Active Directory auch abfragen, um die Mitgliedschaft von Verteilerlisten zu erweitern und die LDAP-Abfrageverarbeitung (Lightweight Directory Access Protocol) auszuführen, die beim Senden von Nachrichten an eine dynamische Verteilerliste erforderlich ist.

Bei der Routingauflösung verwendet das Kategorisierungsmodul die vom Active Directory-Topologiedienst zwischengespeicherten Topologieinformationen, um den Routingpfad einer Nachricht zu ermitteln. Der Hub-Transport-Server verwendet Konfigurationsinformationen des Active Directory-Standorts, um den Standort anderer Server und Connectors in der Topologie zu ermitteln.

Beim Auflösen des Speicherorts des Postfachs des Empfängers verwendet der Hub-Transport-Server zum Suchen des Postfachspeichers Active Directory-Standortinformationen. Wenn sich der Postfachspeicher am selben Active Directory-Standort wie der Hub-Transport-Server befindet, wird die Nachricht vom Hub-Transport-Server direkt an das Postfach des Benutzers übermittelt. Befindet sich der Postfachspeicher an einem anderen Active Directory-Standort als der Hub-Transport-Server, wird die Nachricht vom Hub-Transport-Server an einen Hub-Transport-Server am Active Directory-Remotestandort übermittelt.

Der Hub-Transport-Server speichert alle Konfigurationsinformationen in Active Directory und greift zum Abrufen dieser Informationen auf Active Directory zu. Die Konfigurationsinformationen umfassen Details von Transport- und Journalregeln sowie von Connectors.

Clientzugriffs-Serverrolle

Die Clientzugriffs-Serverrolle empfängt Verbindungen aus dem Internet für Benutzer, die über Outlook Web App (POP3, IMAP4 oder MicrosoftExchange ActiveSync) auf ihr Postfach zugreifen. Beim Entgegennehmen einer Benutzerverbindung stellt der Clientzugriffsserver eine Verbindung mit Active Directory her, um den Benutzer zu authentifizieren und den Standort des Postfachservers des Benutzers zu ermitteln. Wenn sich das Postfach des Benutzers am selben Active Directory-Standort wie der Clientzugriffsserver befindet, wird der Benutzer direkt mit dem zugehörigen Postfach verbunden. Befindet sich das Postfach des Benutzers an einem anderen Active Directory-Standort als der Clientzugriffsserver, der die erste Verbindung entgegengenommen hat, wird die Verbindung an einen Clientzugriffsserver am Active Directory-Remotestandort umgeleitet.

Unified Messaging-Serverrolle

Die Unified Messaging-Serverrolle greift auf Active Directory zu, um globale Konfigurationsinformationen wie Wähleinstellungen, IP-Gateways und Sammelanschlüsse abzurufen. Wenn der Unified Messaging-Server eine Nachricht empfängt, wird nach Active Directory-Empfängern gesucht, um die Telefonnummer einer Empfängeradresse zuzuordnen. Nach dem Auflösen dieser Informationen kann der Speicherort des Postfachspeichers des Empfängers vom Unified Messaging-Server ermittelt und anschließend die Nachricht an einen Hub-Transport-Server zwecks Routing an das Postfach übermittelt werden.

Postfachserverrolle

Die Postfachserverrolle speichert Konfigurationsinformationen zu Postfachbenutzern. Die Daten werden in Active Directory gespeichert. Darüber hinaus wird auch die Konfiguration von Agents, Adresslisten und Richtlinien in Active Directory gespeichert. Diese Informationen werden vom Postfachserver zur Durchsetzung von Postfachrichtlinien und globalen Einstellungen abgerufen.

Edge-Transport-Serverrolle

Die Edge-Transport-Serverrolle wird im Umkreisnetzwerk bereitgestellt und gehört keiner Domäne an. Der Edge-Transport-Server hat keinen Zugriff auf Active Directory und verwendet AD LDS (Active Directory Lightweight Directory Services, früher bekannt als Active Directory Application Mode oder ADAM), um Schema- und Konfigurationsinformationen zu speichern. Sie können ein Edge-Abonnement erstellen, um einen Active Directory-Standort für den Edge-Transport-Server zu abonnieren. Auf den Hub-Transport-Servern dieses Active Directory-Standorts wird der MicrosoftExchange EdgeSync-Dienst zum Synchronisieren von Active Directory-Daten mit AD LDS verwendet.

Es wird empfohlen, für jeden Edge-Transport-Server ein Edge-Abonnement zu erstellen. Durch diesen Vorgang werden die für die End-to-End-Nachrichtenübermittlung erforderlichen Sendeconnectors automatisch bereitgestellt. Sie müssen ein Edge-Abonnement erstellen, wenn Sie die Empfängersuche oder Antispamfunktionen für die Aggregation von Listen sicherer Adressen verwenden.

Wiederherstellung gelöschter Exchange-Objekte

Der Active Directory-Papierkorb hilft, die Downtime des Verzeichnisdiensts zu minimieren, da versehentlich gelöschte Active Directory-Objekte aufbewahrt und wiederhergestellt werden können, ohne Active Directory-Daten aus Sicherungen wiederherstellen oder Active Directory-Domänendienste (AD DS) oder Domänencontroller neu starten zu müssen.

Der wichtigste Aspekt bei der Wiederherstellung gelöschter, zu Exchange gehöriger Active Directory-Objekte ist der, dass Exchange-Objekte nicht isoliert vorhanden sind. Wenn Sie beispielsweise einen Benutzer für E-Mail aktivieren, werden für diesen Benutzer verschiedene Richtlinien und Verknüpfungen auf der Grundlage Ihrer aktuellen Exchange-Konfiguration berechnet. Zwei Probleme können bei der Wiederherstellung eines gelöschten Exchange-Konfigurations- oder -Empfängerobjekts auftreten:

• Kollisionen   Einige Exchange-Attribute müssen in einer Gesamtstruktur eindeutig sein. So dürfen Proxyadressen (E-Mail-Adressen) nicht für zwei verschiedene Benutzer gleich sein. Active Directory erzwingt keine eindeutigen Proxyadressen – die Eindeutigkeit wird von Exchange-Verwaltungstools überprüft. Exchange-Richtlinien für E-Mail-Adressen lösen mögliche Konflikte außerdem automatisch bei der auf deterministischen Regeln basierenden Proxyadressenzuweisung auf. Auf diese Weise ist es möglich, ein Exchange-Benutzerobjekt wiederherzustellen und damit für eine Kollision mit Proxyadressen oder anderen Attributen, die eindeutig sein sollten, zu sorgen.

• Fehlkonfigurationen   Exchange verfügt über automatische Regeln, die verschiedene Richtlinien oder Einstellungen zuweisen. Wenn Sie einen Empfänger löschen und dann die Regeln oder Richtlinien ändern, kann das Wiederherstellen eines Exchange-Benutzerobjekts dazu führen, dass einem Benutzer die falsche Richtlinie (oder auch eine bereits nicht mehr vorhandene Richtlinie) zugewiesen wird.

Mithilfe der folgenden Richtlinien können Sie Probleme bei der Wiederherstellung gelöschter, zu Exchange gehörender Objekte vermeiden:

• Wenn Sie ein Exchange-Konfigurationsobjekte mithilfe von Exchange-Verwaltungstools gelöscht haben, sollten Sie das Objekt nicht wiederherstellen. Erstellen Sie stattdessen das Objekt mit den Exchange-Verwaltungstools (Exchange-Verwaltungskonsole oder Exchange-Verwaltungsshell) neu.

• Wenn Sie ein Exchange-Konfigurationsobjekt ohne Verwenden der Exchange-Verwaltung gelöscht haben, sollten Sie dieses so bald wie möglich wiederherstellen. Je mehr Verwaltungs- und Konfigurationsänderungen seit dem Löschvorgang im System vorgenommen wurde, desto wahrscheinlicher ist es, dass die Wiederherstellung der Objekte zu einer Fehlkonfiguration führt.

• Wenn Sie gelöschte Exchange-Empfänger (Kontakte, Benutzer oder Verteilergruppen) wiederherstellen, achten Sie genau auf Kollisionen und Fehler im Zusammenhang mit den wiederhergestellten Objekten. Falls Exchange-Richtlinien oder andere Einstellungen in Bezug auf Empfänger seit dem Löschvorgang möglicherweise geändert wurden, wenden Sie aktuelle Richtlinien neu auf die wiederhergestellten Empfänger an, um sicherzustellen, dass diese richtig konfiguriert sind.

Weitere Informationen zum Verwenden des Active Directory-Papierkorbs finden Sie unter Schrittweise Anleitung zum Active Directory-Papierkorb.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.