Zugriff auf Active Directory

  • Artikel

Gilt für: Exchange Server 2013

Microsoft Exchange Server 2013 speichert alle Konfigurations- und Empfängerinformationen in der Active Directory-Verzeichnisdienstdatenbank. Wenn ein Computer, auf dem Exchange 2013 ausgeführt wird, Informationen zu Empfängern und Informationen zur Konfiguration der Exchange-Organisation benötigt, muss er Active Directory abfragen, um auf die Informationen zuzugreifen. Active Directory-Server müssen verfügbar sein, damit Exchange 2013 ordnungsgemäß funktioniert.

In diesem Thema wird erläutert, wie Exchange 2013 Informationen in Active Directory speichert und abruft, damit Sie den Zugriff auf Active Directory planen können. In diesem Thema werden auch Probleme behandelt, die Sie beachten sollten, wenn Sie versuchen, gelöschte Exchange 2013 Active Directory-Objekte wiederherzustellen.

In Active Directory gespeicherte Exchange-Informationen

In der Active Directory-Datenbank werden Informationen in drei Typen logischer Partitionen gespeichert. Diese werden in den folgenden Abschnitten beschrieben:

  • Schemapartition

  • Konfigurationspartition

  • Domänenpartition

Schemapartition

In der Schemapartition werden zwei Arten von Informationen gespeichert:

  • Schemaklassen definieren alle Objekttypen, die in Active Directory erstellt und gespeichert werden können.

  • Schemaattribute definieren alle Eigenschaften, die zum Beschreiben der in Active Directory gespeicherten Objekte verwendet werden können.

Wenn Sie die erste Exchange 2013-Serverrolle in der Gesamtstruktur installieren oder den Active Directory-Vorbereitungsprozess ausführen, fügt der Active Directory-Vorbereitungsprozess dem Active Directory-Schema viele Klassen und Attribute hinzu. Die dem Schema hinzugefügten Klassen werden zum Erstellen Exchange-spezifischer Objekte wie Agents und Connectors verwendet. Die dem Schema hinzugefügten Attribute werden zum Konfigurieren der Exchange-spezifischen Objekte sowie der E-Mail-aktivierten Benutzer und Gruppen verwendet. Zu diesen Attributen gehören Eigenschaften, z. B. Outlook Web App Einstellungen und Microsoft Exchange Unified Messaging (UM). Alle Domänencontroller und globalen Katalogserver in der Gesamtstruktur enthalten ein vollständiges Replikat der Schemapartition.

Weitere Informationen zu Schemaänderungen in Exchange 2013 finden Sie unter Exchange 2013 Active Directory-Schemaänderungen.

Konfigurationspartition

In der Konfigurationspartition werden Informationen zur Gesamtstrukturkonfiguration gespeichert. Diese Konfigurationsinformationen umfassen die Konfiguration von Active Directory-Standorten, globalen Exchange-Einstellungen, Transporteinstellungen und Postfachrichtlinien. Jeder Konfigurationsinformationstyp wird in der Konfigurationspartition in einem Container gespeichert. Exchange-Konfigurationsinformationen werden in einem dem Dienstecontainer der Konfigurationspartition untergeordneten Ordner gespeichert. Die in diesem Container gespeicherten Informationen umfassen Folgendes:

  • Adresslisten

  • Adressbuchrichtlinien für Postfächer

  • Administrative Gruppen

  • Clientzugriffseinstellungen

  • Verbindungen

  • Einstellungen für mobile Postfächer

  • Globale Einstellungen

  • Überwachungseinstellungen

  • Systemrichtlinien

  • Container für Aufbewahrungsrichtlinien

  • Transporteinstellungen

Alle Domänencontroller und globalen Katalogserver in der Gesamtstruktur enthalten ein vollständiges Replikat der Konfigurationspartition.

Domänenpartition

In der Domänenpartition werden Informationen in Standardcontainern und Organisationseinheiten gespeichert, die der Active Directory-Administrator erstellt. In diesen Containern werden domänenspezifische Objekte verwaltet. Diese Daten umfassen Exchange-Systemobjekte sowie Informationen zu den Computern, Benutzern und Gruppen in dieser Domäne. Wenn Exchange 2013 installiert ist, aktualisiert Exchange die Objekte in dieser Partition, um Exchange-Funktionen zu unterstützen. Diese Funktionen wirken sich auf die Speicherung von und den Zugriff auf Empfängerinformationen aus.

Jeder Domänencontroller enthält ein vollständiges Replikat der Domänenpartition der Domäne, für die er autoritativ ist. Jeder globale Katalogserver in der Gesamtstruktur enthält eine Teilmenge der Informationen in jeder Domänenpartition der Gesamtstruktur.

Zugriff von Exchange 2013 auf Informationen in Active Directory

Exchange 2013 verwendet eine Active Directory-API, um auf informationen zuzugreifen, die in Active Directory gespeichert sind. Der Microsoft Exchange Active Directory-Topologiedienst wird auf allen Exchange 2013-Serverrollen ausgeführt. Dieser Dienst liest Informationen aus allen Active Directory-Partitionen. Die abgerufenen Daten werden zwischengespeichert und von Exchange 2013-Servern verwendet, um den Active Directory-Standort aller Exchange-Dienste in der Organisation zu ermitteln.

Weitere Informationen zur Topologie und Diensterkennung finden Sie unter Planen der Verwendung von Active Directory-Standorten für das E-Mail-Routing.

Exchange 2013 ist eine Active Directory-Standort-fähige Anwendung, die es vorzieht, mit den Verzeichnisservern zu kommunizieren, die sich am gleichen Standort wie der Exchange-Server befinden, um den Netzwerkdatenverkehr zu optimieren. Jede Exchange 2013-Organisationsserverrolle muss mit Active Directory kommunizieren, um Informationen zu Empfängern und Informationen zu den anderen Exchange 2013-Serverrollen abzurufen. Die Daten, die jede Serverrolle erhält, werden in den folgenden Abschnitten beschrieben.

Wenn ein Exchange 2013-Server gestartet wird, wird er standardmäßig an einen zufällig ausgewählten Domänencontroller und einen globalen Katalogserver an seinem eigenen Standort gebunden. Sie können die ausgewählten Verzeichnisserver mithilfe des Cmdlets Get-ExchangeServer in der Exchange-Verwaltungsshell anzeigen. Sie können auch das Cmdlet Set-ExchangeServer verwenden, um eine statische Liste von Domänencontrollern zu konfigurieren, an die ein Exchange 2013-Server gebunden werden soll, oder eine Liste von Domänencontrollern, die ausgeschlossen werden sollen.

Wichtig

Ein Windows Server 2008-Domänencontroller kann als schreibgeschützter Verzeichnisserver konfiguriert werden. Diese Konfiguration ist nützlich, wenn Sie einen Domänencontroller oder globalen Katalogserver zu Authentifizierungs- und Autorisierungszwecken an einem Remotestandort bereitstellen möchten, administratoren an diesem Standort jedoch nicht erlauben möchten, Änderungen an Active Directory zu schreiben. Sie können jedoch keinen Exchange 2013-Server an einem Standort bereitstellen, der nur schreibgeschützte Verzeichnisserver enthält.

Mailbox (Serverrolle)

Die Postfachserverrolle speichert Konfigurationsinformationen zu Postfachbenutzern und -speichern in Active Directory. Darüber hinaus umfasst der Postfachserver für Exchange 2013 alle herkömmlichen Serverkomponenten in Exchange 2010: die Clientzugriffsprotokolle, den Transportdienst, Postfachdatenbanken und Unified Messaging. Der Postfachserver verarbeitet alle Vorgänge für die aktiven Postfächer auf diesem Server.

Clientzugriffsserverrolle

In Exchange 2013 bietet der Clientzugriffsserver Authentifizierung, eingeschränkte Umleitung und Proxydienste. Der Clientzugriffsserver führt kein Datenrendering durch. Der Clientzugriffsserver ist ein zustandsloser Thin Server. Auf einem Clientzugriffsserver werden keine Daten gespeichert oder in Warteschlangen gestellt. Der Clientzugriffsserver bietet alle üblichen Clientzugriffsprotokolle: HTTP, POP und IMAP und SMTP.

Wiederherstellung gelöschter Exchange-Objekte

Der Active Directory-Papierkorb hilft, die Downtime des Verzeichnisdiensts zu minimieren, da versehentlich gelöschte Active Directory-Objekte aufbewahrt und wiederhergestellt werden können, ohne Active Directory-Daten aus Sicherungen wiederherstellen oder Active Directory-Domänendienste (AD DS) oder Domänencontroller neu starten zu müssen.

Der wichtigste Aspekt bei der Wiederherstellung gelöschter, zu Exchange gehöriger Active Directory-Objekte ist der, dass Exchange-Objekte nicht isoliert vorhanden sind. Wenn Sie beispielsweise einen Benutzer für E-Mail aktivieren, werden für diesen Benutzer verschiedene Richtlinien und Verknüpfungen auf der Grundlage Ihrer aktuellen Exchange-Konfiguration berechnet. Zwei Probleme können bei der Wiederherstellung eines gelöschten Exchange-Konfigurations- oder -Empfängerobjekts auftreten:

  • Kollisionen: Einige Exchange-Attribute müssen in einer Gesamtstruktur eindeutig sein. So dürfen Proxyadressen (E-Mail-Adressen) nicht für zwei verschiedene Benutzer gleich sein. Active Directory erzwingt keine Eindeutigkeit der Proxyadresse, Exchange-Verwaltungstools überprüfen die Eindeutigkeit. Exchange-Richtlinien für E-Mail-Adressen lösen mögliche Konflikte außerdem automatisch bei der auf deterministischen Regeln basierenden Proxyadressenzuweisung auf. Auf diese Weise ist es möglich, ein Exchange-Benutzerobjekt wiederherzustellen und damit für eine Kollision mit Proxyadressen oder anderen Attributen, die eindeutig sein sollten, zu sorgen.

  • Fehlkonfigurationen: Exchange verfügt über automatische Regeln, die verschiedene Richtlinien oder Einstellungen zuweisen. Wenn Sie einen Empfänger löschen und dann die Regeln oder Richtlinien ändern, kann das Wiederherstellen eines Exchange-Benutzerobjekts dazu führen, dass einem Benutzer die falsche Richtlinie (oder auch eine bereits nicht mehr vorhandene Richtlinie) zugewiesen wird.

Mithilfe der folgenden Richtlinien können Sie Probleme bei der Wiederherstellung gelöschter, zu Exchange gehörender Objekte vermeiden:

  • Wenn Sie ein Exchange-Konfigurationsobjekte mithilfe von Exchange-Verwaltungstools gelöscht haben, sollten Sie das Objekt nicht wiederherstellen. Erstellen Sie stattdessen das Objekt mit den Exchange-Verwaltungstools (Exchange Admin Center oder Exchange-Verwaltungsshell) neu.

  • Wenn Sie ein Exchange-Konfigurationsobjekt ohne Verwenden der Exchange-Verwaltungstools gelöscht haben, sollten Sie dieses so bald wie möglich wiederherstellen. Je mehr Verwaltungs- und Konfigurationsänderungen seit dem Löschvorgang im System vorgenommen wurde, desto wahrscheinlicher ist es, dass die Wiederherstellung der Objekte zu einer Fehlkonfiguration führt.

  • Wenn Sie gelöschte Exchange-Empfänger (Kontakte, Benutzer oder Verteilergruppen) wiederherstellen, achten Sie genau auf Kollisionen und Fehler im Zusammenhang mit den wiederhergestellten Objekten. Falls Exchange-Richtlinien oder andere Einstellungen in Bezug auf Empfänger seit dem Löschvorgang möglicherweise geändert wurden, wenden Sie aktuelle Richtlinien neu auf die wiederhergestellten Empfänger an, um sicherzustellen, dass diese richtig konfiguriert sind.

Weitere Informationen

Schrittweise Anleitung zum Active Directory-Papierkorb

Einführung in Verbesserungen des Active Directory-Verwaltungscenters (Level 100)

Erweiterte AD DS-Verwaltung mit dem Active Directory-Verwaltungscenter (Level 200)