Exchange Fragen & AntwortenEdge- und Hub-Transport-Funktionen, virtuelle Computer und mehr
KC Lemson and Nino Bilic
Im Artikel zu Exchange Fragen & Antworten vom Mai 2007 wurden die Probleme bei der Speicherung von PST-Dateien auf Netzwerkfreigaben erörtert. Das Team, das sich mit der Leistung von Windows Server befasst, startete kürzlich einen Blog und diskutierte
dieses Thema in allen technischen Einzelheiten, und wir wollten Ihnen diesen Link nicht vorenthalten. Nun zu den Fragen.
F: Muss bei der Bereitstellung von Microsoft Exchange Server 2007 die Edge-Transport-Serverfunktion bereitgestellt werden?
A: Nein, bei der Bereitstellung von Exchange Server 2007 muss Edge-Transport nicht bereitgestellt werden. Die zentralen Serverfunktionen (z. B. Mailbox, ClientAccess und Hub-Transport) können von einem einzelnen Computer ausgeführt werden, der Internet-E-Mail für Ihre Domäne annimmt und Antispam- und Antivirenprogramme ausführt.
F: Was sind die Unterschiede zwischen den Edge- und den Hub-Transport-Serverfunktionen? Welche Funktionen gehen verloren, wenn Edge nicht bereitgestellt wird?
A: Der Hauptzweck der Hub-Funktion ist das Weiterleiten von E-Mail innerhalb der Organisation und das Anwenden von Geschäftsrichtlinien auf diese Nachrichten. Bei der Hub-Funktion basieren Transportregeln auf Active Directory®-Objekten wie Benutzern, Verteilerlisten und so weiter. Mithilfe der Hub-Funktion können außerdem Haftungsausschlüsse zu Nachrichten oder Journalnachrichten hinzugefügt werden, die an Benutzergruppen gesendet werden, da diese Regeln auf einer Active Directory-Mitgliedschaft basieren sollten. Beispielsweise können Sie alle Nachrichten erfassen, die an DLOfUsersOnLitigationHold gesendet werden oder Haftungsausschlüsse zu ausgehenden E-Mails hinzufügen, die von DLOfMembersOfLegalTeam gesendet werden. Obwohl es möglich ist, Antispamagents auf dem Hub-Server auszuführen, sind sie nicht standardmäßig aktiviert. Deshalb müssen sie manuell durch Ausführen des Skripts „install-antispamagents“ im \scripts-Verzeichnis auf dem Server installiert werden.
Der Hauptzweck der Edge-Funktion ist das Weiterleiten von E-Mail an und von Organisationen ebenso wie der Nachrichtenschutz (Antispam-, Antivirus-, Inhalts- oder Anhangfilterung und so weiter). Die Antispamfunktionalität wird bei der Installation des Edge-Servers aktiviert. Eine der einzigartigen Features der Edge-Funktion besteht darin, dass sie nicht an eine Windows®-Domäne angeschlossen werden muss. Sie kann auf einer eigenständigen Windows Server®-Installation ausgeführt werden, die nicht Teil einer Windows-Domäne ist. Edge kann jedoch weiterhin als Teil der Exchange 2007-Organisation in der Gesamtstruktur Ihres Unternehmens verwaltet werden.
Das ist besonders in einem Umkreisnetzwerk vorteilhaft, in dem der Server unter Umständen in einer Arbeitsgruppe organisiert sein sollte, oder wenn eine separate Gesamtstruktur für die Computer im Umkreisnetzwerk vorliegt. Günstigerweise können Edge-Server, die in einer solchen Situation bereitgestellt werden, alle Aufgaben des Nachrichtenschutzes und des Weiterleitens von E-Mail zwischen dem Unternehmensnetzwerk und dem Internet durchführen und trotzdem genau wie alle anderen Komponenten der Exchange 2007-Systemverwaltung verwaltet werden.
In einem Edge-Server basieren Transportregeln auf SMTP-Adressen und nicht auf Active Directory-Objekten. Selbstverständlich können die SMTP-Adressen von Verteilerlisten oder Benutzern in Active Directory verwendet werden. Die Edge-Transportregeln sind in erster Linie eine Teilmenge der Hub-Transportregeln, wobei die Quarantäneaktion eine Ausnahme bildet, da sie nur auf Edge-Servern verfügbar ist.
Einige Funktionen von Edge-Servern sind durch Agents verfügbar, die Hub-Transport-Servern nicht zur Verfügung stehen: Entfernen von Anlagen und Umschreiben von Adressen Das Entfernen von Anlagen ist die Fähigkeit, selektiv möglicherweise gefährliche Anlagen mit Erweiterungen wie .exe oder .com zu entfernen. Der Agent zum Umschreiben von Adressen ermöglicht das Umschreiben von E-Mail-Headern. Ihre Domäne und standardmäßigen SMTP-Proxyadressen auf Benutzerkonten lauten also beispielsweise @contoso.com, Nachrichten ins Internet scheinen allerdings von @northwindtraders.com zu kommen. Außerdem führen Edge-Server Routing nur basierend auf Domäne oder Adressbereich durch. Wenn Sie daher denselben SMTP-Adressbereich für Exchange und ein anderes E-Mail-System verwenden, müssen Sie die Weiterleitung entweder auf dem Hub-Server oder gemeinsam mit dem Agent zum Umschreiben von Adressen durchführen.
Eine andere wichtige Überlegung ist die Frage, ob ein Exchange 2007-Server direkt mit dem Internet verbunden ist (sei es über die Hub- oder die Edge-Serverfunktion). Anders ausgedrückt, sind Verbindungen zu Port 25 auf dem MX-Datensatz Ihrer Domäne auf eine Weise mit Exchange 2007 verbunden? Unter Umständen verwenden Sie bereits ein SMTP-Gateway, einen Virenschutz oder eine andere Lösung im Internet, die E-Mail von Ihrer Domäne annimmt und dann innerhalb des Unternehmensnetzwerks an Exchange weiterleitet. Wenn Sie Edge- oder Hub-Server mit direkter Verbindung zum Internet bereitstellen, wird eine der raffiniertesten Features von Exchange 2007 von Vorteil sein: die Aggregation von Listen sicherer Adressen. Wenn Benutzer Absender zu ihrer Liste sicherer Adressen in Microsoft Outlook® hinzufügen (normalerweise für Newsletter oder E-Mail von Einzelhändlern), werden diese Listen mithilfe der Aggregation von Listen sicherer Adressen sicher an die Edge- oder Hub-Funktionen weitergeleitet, sodass Nachrichten von diesen Absendern den Inhaltsfilter umgehen. Was für einen Benutzer Spam ist, ist für einen anderen ein nützlicher Newsletter. Daher findet die Aggregation von Listen sicherer Adressen auf individueller Basis statt. Näheres über die Funktionsweise erfahren Sie in der Dokumentation zu Exchange 2007.
Wenn in Ihrer Bereitstellung ein Server mit der Hub-Funktion Internet-E-Mails für Ihre Domäne akzeptieren soll, dann sollten Sie einige Dinge beachten. Stellen Sie zunächst sicher, dass eine gute Firewall oder Portfilterung eingerichtet wurde, damit der Server lediglich Verbindungen auf den erforderlichen Ports, z. B. Port 25 empfängt. Denken Sie außerdem daran, Antispamagents zu installieren, da diese nicht standardmäßig installiert oder aktiviert sind. Da das am weitesten verbreitete Bereitstellungsszenario des Hub-Servers innerhalb des Unternehmensnetzwerks ist, werden zunächst keine anonymen Verbindungen zugelassen. Sie müssen daher die AnonymousUsers-Berechtigungsgruppe auf dem Port 25-Empfangsconnector aktivieren. Außerdem sollten Sie die Aggregation von Listen sicherer Adressen aktivieren und deren regelmäßige Ausführung planen. Wenn Benutzer die Listen sicherer Adressen in ihren Postfächern aktualisieren, wird die Inhaltsfilterung für sichere Absender umgangen. Weitere Details stehen auf unserem Blog zur Verfügung.
Der folgende Code zeigt einen AT-Befehl, der alle Postfächer täglich um 23:00 Uhr auf allen Servern mithilfe einer Stapelverarbeitungsdatei namens SafeList.bat aktualisiert:
at 23:00 /every:M,T,W,Th,F,S,Su cmd /c
“D:\SafeList.bat”
Dieser Code zeigt den Inhalt der Datei SafeList.bat:
“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe”
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command
“get-mailbox | where {$_.RecipientType
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”
Weitere Informationen zur Überprüfung Ihrer Einstellungen finden Sie in der Dokumentation zu Exchange 2007.
F: Nach dem Start meines Virtual PC-Abbilds mit Exchange treten Probleme beim Kontaktieren des Verzeichnisses bzw. des LDAP-Servers auf. Die Telnetverbindung zu Port 389 funktioniert, und alle Dienste arbeiten. Woran liegt das?
A: Dieses Problem hatte ich im letzten Jahr bei der Tech•Ed. Ich hatte zu Demonstrationszwecken eine Kopie von Virtual PC von einem Computer im Büro auf meinen Laptop übertragen. Die versammelte Presse wollte nämlich wegen der im darauf folgenden Monat anstehenden Veröffentlichung von Exchange 2007 Beta 2 entsprechende Artikel veröffentlichen.
Ich hatte das Produkt bereits unzählige Male vorgeführt und wusste, dass es zuverlässig war. Deshalb bereitete ich mich nicht übermäßig vor. Sie können sich vorstellen, wie ich ins Schwitzen geriet, als ich am Montag morgen meinen Virtual PC startete, nur wenige Stunden vor der ersten Vorführung, und der Build absolut keine Verbindung mit einem Domänencontroller zuließ. Zum Glück hatte ich viele wirklich schlaue Leute um mich, und wir konnten das Problem schnell aufdecken.
Das Problem bei der Tech•Ed bestand darin, dass ich Virtual PC auf meinem extrem langsamen Laptop ausführte. Ursache des Problems war eine Racebedingung zwischen DNS und Active Directory. Der DNS-Server auf dem Abbild war so konfiguriert, dass er in Active Directory integriert war, doch aufgrund der Reihenfolge, in der die Dienste auf dem Abbild geladen wurden (und der fehlenden Geschwindigkeit meines Laptops), waren die benötigten Verzeichnisdienste noch nicht gestartet, als der DNS-Server versuchte, Active Directory zu kontaktieren.
Diese Situation kann auf jedem Server auftreten, bei dem DC und Exchange auf demselben Computer installiert sind (dabei muss es sich nicht um ein virtualisiertes Abbild handeln). Doch das Auftreten in einer virtualisierten Umgebung ist wahrscheinlicher, da es hier eine zusätzliche Verlangsamung gibt – vor allem mit einem wenig leistungsstarken Laptop wie meinem.
Ein ähnliches Problem tritt auch bei Virtual PC-Abbildern auf, die zwischen zwei Computern kopiert werden, insbesondere wenn sich einer dieser Computer in einem anderen Netzwerk befindet. Wenn Ihnen genau das passiert ist, überprüfen Sie die IP-Adresse des Betriebssystems im Abbild. Eventuell liegt eine feste IP-Adresse aus dem alten Netzwerk vor. Durch Aktualisieren erhalten Sie eine IP vom neuen Netzwerk. Unter Umständen hilft das bereits.
Das Problem kann vermieden werden, wenn der DNS-Server auf dem Gast nicht Active Directory-integriert und DNS sowohl auf dem Host als auch auf dem Gast installiert ist. Lassen Sie den Gast unbekannte Datensätze an den Host weiterleiten und den Host wiederum an den betreffenden DNS-Server. Wenn das Abbild gestartet wird und versucht, die DNS-Datensätze zu aktualisieren, ist es dann weniger fehleranfällig.
F: Das Exchange 2007-Setup scheint sich von früheren Exchange-Versionen erheblich zu unterscheiden. Wie funktioniert es genau?
A: Ja, es gibt in der Tat verschiedene Stufen des Exchange 2007-Setup. Im Folgenden finden Sie einen allgemeinen Überblick über die Funktionsweise des Prozesses.
Wenn Sie setup.exe das erste Mal ausführen, erhalten Sie Informationen zu Links für den Großteil von Voraussetzungen, die vor Installation der eigentlichen Serverfunktionen installiert werden müssen. Nach Installation aller dieser Voraussetzungen wird der Link zum Installieren von Microsoft Exchange aktiviert (siehe Abbildung 1).
Abbildung 1** Installationslink ist nach Installation aller Voraussetzungen verfügbar **
Wenn Sie setup.exe vom Netzwerk ausgeführt und auf den Installationslink geklickt haben, werden die zentralen Setupdateien in den Ordner %TEMP%\ExchangeServerSetup\ auf dem lokalen Computer kopiert. Danach wird der Setup-Assistent gestartet.
Der Setup-Assistent führt Sie durch die unterschiedlichen Auswahloptionen, darunter Lizenzvereinbarung, Fehlerberichterstattung und Installationstyp (dort können Sie die zu installierenden Serverfunktionen auswählen). Die angezeigten Assistentenseiten unterscheiden sich je nach Vorhandensein und Zustand der aktuellen Exchange-Organisation.
Nach Abschluss des Assistenten führt Setup eine Bereitschaftsprüfung durch. Dabei handelt es sich um eine optimierte Version des Microsoft Exchange Server Best Practice Analyzer (BPA), der sich standardmäßig mit dem Internet verbindet, um die aktuellste erforderliche XML-Datei herunterzuladen. Dadurch bietet sich die Möglichkeit, die Voraussetzungen regelmäßig zu aktualisieren oder Probleme zu beheben, die das Exchange-Team seit Auslieferung des Produkts entdeckt hat. Wenn die Voraussetzungsprüfung abgeschlossen ist, haben Sie die Möglichkeit, die Ergebnisse zu überprüfen und fortzufahren. Andernfalls werden Probleme angezeigt, die unter Umständen behoben werden müssen, bevor Sie mit dem Setup fortfahren können. Wenn die Voraussetzungsprüfung des Servers fehlschlägt, können Sie die Überprüfung in den meisten Fällen wiederholen.
Nach Bestehen der Voraussetzungsprüfung wird die Schaltfläche „Installation“ angezeigt, mit der Sie die Installation der zuvor ausgewählten Funktionen beginnen können. Es werden lediglich die Dateien für die zuvor ausgewählten Funktionen kopiert und installiert.
Am Ende des Setups können Sie die Exchange-Verwaltungskonsole starten und Exchange 2007-Aktualisierungen installieren, die möglicherweise verfügbar sind.
KC Lemson ist User Experience Manager für Exchange Server. Ihr Onlinebankkonto wurde vorübergehend gesperrt.
Nino Bilic ist Supportability Program Manager für Exchange Server. Er hat seiner Kreditkarte vor Kurzem eine zweite E-Mail-Adresse hinzugefügt.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.