Um den ersten Exchange 2000-Server zu installieren, müssen Sie ein Benutzerkonto verwenden, das Mitglied der folgenden Sicherheitsgruppen von Windows 2000 ist:

● Domänen-Admins

● Organisations-Admins

● Schema-Admins

Anmerkung Um Exchange 2000 Server erfolgreich zu installieren, müssen Sie das Setupprogramm in einer Acüve Directory-Umgebung aufeinem Computer ausführen, aufdem Windows 2000 Server, Windows 2000 Advanced Server oder Windows 2000 Datacenter Server installiert ist. Die Installation muss mit Windows 2000 Service Pack 1 aktualisiert worden sein.

1.1 Übung 1: Zentralisierte Verwaltung von Exchange 2000 Server

^bwohl Sie ein Administratorkonto verwenden, das die untergeordnete Domäne vollständig verwalten kann (dezentralisiert), sind Sie nicht in der Lage, Exchange 2000 Server zu installieren, denn das organisationsweite Messagingund Groupwaresystem bevorzugt standardmäßig die zentralisierte Systemverwaltung.

1.2 Hierarchiegrenzen von Exchange 2000

Es gibt drei separate Hierarchiegrenzen, die Sie bei der Planung Ihrer Exchange 2000Infrastruktur berücksichtigen sollten. Diese sind derNamensraum, die administrativen Gruppen und die Routinggruppen (siehe Abbildung 4.3). Der Namensraum entspricht Ihrer Active Directory-Gesamtstruktur, die alle Verzeichnisinformationen zu Ihrer Exchange 2000-Umgebung umfasst. Um die Ressourcenverwaltung innerhalb des SJamensraumes weiter zu unterteilen, können Sie adminisürative Gruppen verwenden. Es ist häufig angebracht, die administrativen Strukturen entsprechend den Abteilungen und Sparten in Ihrem Untemehmen aufzubauen. Die physische Netzwerktopologie sollte die Konfiguration der Routinggruppen beeinflussen, denn diese definieren, wie Nachrichten im Netzwerk übertragen werden. Routinggruppen dienen darüber hinaus der Optimierung des Zugriffs auf öffentliche Ordner. Server werden Routinggruppen zugeordnet und Routinggruppen gehören typischerweise zu adininistrativen Gruppen, Sie können aber in einer Routinggruppe auch die Server von mehreren administrativen Gruppen zusammenfassen (siehe Abbildung 4.3).

Namensraum von Exchange 2000 Alle Exchange 2000-Ressourcen müssen sich im gleichen Namensraum (Active Directory-Gesamtstruktur) befinden. Dementsprechend können Exchange 2000-Organisationen nicht mehrere Namensräume (also mehrere Gesamtstrukturen) umfassen.

1.3 Routinggruppen

Ahnlich den Windows 2000-Standorten, können Sie Routinggruppen definieren, um insbesondere Bereiche in Direm Netzwerk mit Hochgeschwindigkeitsverbindungen zu beschreiben. Wenn Bir Untemehmen beispielsweise an nur einem physischen Standort beheimatet ist und über ein lokales Netzwerk (LAN) verfügt, brauchen Sie überhaupt keine Routinggruppen zu konfigurieren. Weisen Sie einfach alle Server der ersten Routinggruppe zu, die von Exchange 2000 Server automatisch angelegt wird, und die Nachrichten können einfach und schnell übertragen werden. Nachrichten, die zu Servern in der gleichen Routinggruppe weitergeleitet werden müssen, werden vom Simple Mail Transfer Protocol (SMTP)-Transportdienst sofort und direkt übertragen.

Eine manuelle Konfiguradon ist nur dann notwendig, wenn Sie zwei oder mehr Routinggruppen miteinander verbinden oder wenn Sie Connectoren zu fremden Messagingsystemen einrichten müssen. Sie können einen Routinggruppen-Connector, X.400-Connector oder einen SMTP-Connector verwenden, um die Übertragung zwischen Exchange 2000-Routinggruppen sicherzustellen.

1.4 Gruppierungen von Servern

Wenn Sie den ersten Server installieren, erstellen Sie automatisch eine administrative Gruppe und eine Routinggruppe (siehe Ubung 2). Sie werden nicht zur Erstellung dieser Gruppen aufgefordert. Wenn Sie allerdings weitere Exchange 2000-Server in anderen Gruppen mstallieren wollen, müssen Sie die administrative Gruppe und die Routinggruppe, zu denen Sie die Server hinzufügen wollen, ausdrücklich angeben. Jeder Server in Ihrer Organisation muss zu einer administrativen und einer Routinggruppe gehören. Nach der Installation können Sie die Server zwischen den Routinggruppen verschieben, was sinnvoll sein kann, wenn sich die physischen Gegebenheiten in Ihrem Netzwerk geändert haben. Es ist nicht möglich, Server zwischen administrativen Gruppen zu verschieben.

1.5 Zusammenfassung der Übung

Wenn Ihre Situation eine zentralisierte Verwaltung erlaubt, sollten Sie eine einzelne administrative Gruppe verwenden, die alle Serverressourcen umfasst. Diese könnte dann über eine Anzahl von Routinggruppen verteilt werden. Dadurch erhalten Sie die vollständige Kontrolle über Exchange 2000 Server mit minimalem Koordinierungsaufwand für Verwaltungsaufgaben. Das zentralisierte Modell ist für kleine und mittelgroße Organisationen am geeignetsten.

Wenn Ihre Umgebung über mehrere Abteilungen verfügt, die unabhängig voneinander ihre eigenen Serverressourcen und Benutzerkonten verwalten, sollten Sie mehrere administrative Gruppen im Exchange System-Managerkonfiguneren. Richten Sie eine oder mehrere administrative Gruppen fürjede Abteilung ein und weisen Sie die Berechtigungen entsprechend den Erfordemissen zu, um eine dezentrale Administration zu ermöglichen. Jede der Abteilungen ist dann in der Lage, eine eigene Routinggruppentopologie zu definieren. Dieses Modell ist für große Untemehmen geeignet, in denen eine zentrale IT-Abteilung für Geschäftsstandards und Richtlinien verantwortlich ist, aber nicht für die tägliche Systemverwaltung. Sie können mehr über die Ver

1.6 Gemischter Modus

Die folgenden Beschränkungen gelten im gemischten Modus:

● Administrative Gruppen werden ähnlich wie Standorte in Exchange Server 5.5 gehandhabt.

● Es ist nicht möglich, Postfacher zwischen Servern in unterschiedlichen administrativen Gruppen zu verschieben,

● Routinggruppen können nur Server aus der gleichen administrativen Gruppe umfassen. Zwar kann eine administrative Gruppe mehrere Routinggruppen enthalten, aber Routinggruppen können nicht mehrere administrative Gruppen umspannen (siehe Abbildung 4.5). Es istjedoch möglich, Server zwischen Routinggruppen in der gleichen administrativen Gruppe zu verschieben.

Anmerkung Exchange 2000 Server wird standardmäßig im gemischten Modus ausgeführt, um eine maximale Interoperabilität mit früheren Versionen von Exchange Server sicherzustellen.

1.7 Einheitlicher Modus

Routinggruppen können dann Server aus verschiedenen administrativen Gruppen enthalten und Sie können administrative Gruppen unabhängig von der Routinginfrastruktur Ihrer Organisation anordnen. Leider ist es nicht möglich, Server zwischen administraüven Gruppen zu verschieben. Sollte die Netzwerkinfrastruktur diese Art von Änderungen erfordem, müssen Sie die Server neu installieren. Allerdings ist es im einheitlichen Modus möglich, Postfächer und öffentliche Ordner über die Grenzen von administrativen Gruppen hinweg zu verschieben.

Anmerkung Die Aktivierung des einheitlichen Modus ist ein irreversibler Prozess. Sie können nicht wieder zurück zum gemischten Modus wechseln und Sie können keine früheren Versionen von Exchange Server in einer im einheitlichen Modus ausgeführten Organisation installieren.

Das Active Directory-Attribut msExchMixedMode definiert den Modus Ihrer Exchange 2000 Server-Organisation als gemischten oder einheitlichen Modus. Wenn Sie das Dienstprogramm ADSI Edit verwenden, können Sie überprüfen, ob Ihre Organisation im einheitlichen Modus ausgeführt wü-d. Allerdings sollten Sie das msExchMixedMode-Attribut nicht manuell wieder auf TRUE setzen, um die Organisation wieder in den gemischten Mode zurückzuversetzen. Dieser Schritt würde lediglich die Anzeige des Modus im Exchange System-Manager betreffen. Sie sollten das msExchMixedMode-Attribut nicht in ADSI Edit manipulieren, um Konfigurationsunstimmigkeiten zu vermeiden.

1.8 Anforderungen von Exchange 2000 Server

>ie müssen sich entscheiden, ob Sie den Server zur standardmäßigen administrativen Gruppe und Routinggruppe hinzufügen wollen oder zu neuen Gruppen, die Sie vorher im Exchange System-Manager angelegt haben. Verschiedene andere Voraussetzungen, wie Software- und Hardwareanforderungen, müssen ebenfalls erfüllt werden.

1.9 Hardwareanforderungen

Die tatsächlichen Hardwareanforderungen von Exchange 2000 Server sind schwer zu definieren. Microsoft empfiehlt für die Minimalkonfiguration einen Pentium 300 oder schnelleren Prozessor und 128 oder 256 MB Arbeitsspeicher. Das ist für kleine und mittelgroße Organisationen eventuell ausreichend, aber liefert nicht die bestmögliche Systemleistung. Um bessere Leistungsparameter zu erzielen, sollten Sie eine leistungsfähigere und intelligenter aufgebaute Hardwarekonfiguration, beispielsweise ein Multiprozessorsystem mit 512 MB Arbeitsspeicher und Festplatten-An-aycontroller mit Cache, einsetzen.

Microsoft empfiehlt für einen typischen Exchange 2000-Server die folgende Ausrüstung:

● 128 MB RAM (unterstützt) oder 256 MB RAM (empfohlea) Arbeitsspeicher

● 2 GB verfügbarer Festplattenplatz auf dem Laufwerk für Exchange 2000 Server

● 500 MB freier Platz auf der Systempartition

● CD-ROM-Laufwerk

● Intel Pentium- oder kompatibler Prozessor mit 300 Megahertz (MHz) oder schnel

● Auslagemngsdatei doppelt so groß wie Arbeitsspeicher

● VGA-kompadbler Videoadapter

Darüber hinaus sollten Sie Beispielkonfigurationen von Abbildung 4.7 und 4.8 bei der Planung Ihrer Serverhardware berücksichtigen.

Abbildung 4.7 Eine Hardwarekonfiguration für Exchange 2000 Server für kleine und mittlere Organisationen

Abbildung 4.8 Eine Hardwarekonfiguration für Exchange 2000 Server für mittlere bis große Organisationen

1.10 Softwareanforderungen

Exchange 2000 Server kann auf Computem mit Microsoft Windows 2000 Server, Windows 2000 Advanced Server oder Windows 2000 Datacenter Server mit Service Pack 1 installiert werden. Es ist wichtig zu bemerken, dass die Intemet-Informationsdienste (IIS) 5.0 mit SMTP- und Network News Transportprotokoll (NNTP)-Dienst vor der Installation von Exchange 2000 Server aufdem Computer eingerichtet werden müssen. Während der Installation von Windows 2000 müssen Sie den NNTP-Dienst manuell auswählen. Der SMTP-Dienst ist Bestandteil der Standardinstallation.

Exchange 2000 Server unterstützt den Clusterdienst von Windows 2000. Um diese Konfigurationsoption zu nutzen, müssen Sie jedoch die Advanced Server- oder Datacenter Server-Edition von Windows 2000 verwenden.

1.11 Active Directory-Abhängigkeiten

~Der Computer muss sich in Ihrer eigenen Domäne oder in einer Domäne, die der Ihren vertraut, befinden. Wenn dies nicht der Fall ist, können Sie nicht unter Verwendung Ihres Benutzerkontos auf den Computer zugreifen und können den Exchange 2000-Server weder installieren noch konfigurieren. Eine einzelne Exchange 2000-Organisation kann nicht mehrere Active Directory-Gesamtstrukturen umfassen.

1.12 Lizenzierung

Wenn Sie sich über das Lizenzprogramm von Microsoft nicht im Klaren sind, besuchen Sie die Website http://www.microsoft.com/germany/Iizenzierung/ und suchen Sie nach dem Begriff "license● für das Produkt, an dem Sie interessiert sind.

1.13 Installationsvorbereitungen

Wenn Sie beabsichtigen, Exchange 2000 Server in einer Umgebung mit mehreren Domänen in einer Gesamtstruktur zu installieren, könnte es vorteilhaft sein, die Exchange-spezifischen Schemaerweiterung vor der eigentlichen Installation zu importieren. Diese Vorgehensweise eliminiert die Anforderung nach den Berechtigungen eines Windows 2000-Schema-Admins, wenn Sie Exchange 2000 Server zu einem späteren Zeitpunkt bereitstellen. Das Setupprogramm von Exchange 2000 Server unterstützt zum Zweck der Active Directory-Vorbereitung zwei besondere Modi, die Sie über die Befehlszeilenoptionen /ForestPrep und /DomainPrep aufrufen können.

Sollten Sie jedoch Ihre Messagingumgebung getrennt von Windows 2000 verwalten, müssen Sie die Active Directory-Administratoren bitten, die Gesamtstruktur für Sie mit Hilfe der ForestPrep-Option vorzubereiten.

Jm ForestPrep erfolgreich ausführen zu können, müssen Sie ein Mitglieder der Gruppen Organisations-Admins und Schema-Admins und der lokalen Administratoren aufdem Computer sein, aufdem Sie ForestPrep ausführen wollen. Verwenden Sie einfach den Befehl setup /ForestPrep, um das Setupprogramm aus dem Verzeichnis \Setup\i386 Ihrer Exchange 2000-Installations-CD zu starten.

ForestPrep erstellt darüber hinaus das Containerobjekt für die Exchange 2000-Organisation in Active Directory und weist dem von Ihnen angegebenen Konto die Berechtigung ExchangeAdministrator - Vollständig auf das Organisationsobjekt zu. Dieses Konto verfügt damit über die Berechtigung, Exchange 2000 Server in der Gesamtstruktur zu installieren und zu verwalten, und kann darüber hinaus weiteren Administratoren die Berechtigung Exchange-Administrator - Vollständig zuweisen, nachdem der erste Server installiert wurde.

1.14 Vorbereiten der Windows 2000-Domänen

Um die Installation von Exchange 2000 Server in Ihrer Gesamtstruktur zu vereinfachen, sollten Sie Setup mit der Befehlszeilenoption /DomainPrep in allen Domänen, einschließlich der Domäne, in der Setup /ForestPrep ausgeführt wurde, starten, um weitere Exchange-spezifische Konfigurationsinformationen zu Active Directory hinzuzufügen. Sie müssen ein Mitglied der Gruppe Domänen-Admins in der Domäne sein, die Sie vorbereiten, und Sie benötigen administrative Berechtigungen auf dem Computer, auf dem Sie DomainPrep ausführen wollen.

Der Server, aufdem Sie DomainPrep ausführen, wird in Ihrer Domäne die Funktion eines Servers für die Empfängeraktualisiemng (Recipient Update Server, RUS) übemehmen. Das ist besonders wichtig, wenn Sie nicht beabsichtigen, Exchange 2000 Server in vollem Umfang in der Domäne zu installieren (wenn sich der Exchange 2000-Server Ihrer Benutzer in einer anderen Domäne befindet).

Anmerkung Wenn Sie Exchange 2000 zu einem späteren Zeitpunkt bereitstellen, sollten Sie die Installation auf dem Server durchführen, auf dem DomainPrep ausgeführt wurde.

1.15 Rollen und Berechtigungen für Exchange 2000 Server

Ein Exchange 2000-Administrator ist typischerweise ein Windows 2000-Administrator, allerdings ist das umgekehrt nicht unbedingt der Fall. In der Standardkonfiguration verfügt nur der Administrator, der den ersten Server installiert hat oder während der Vorbereitung der Gesamtstruktur angegeben wurde, über explizite administrative Berechtigungen in Exchange 2000. Darüber hinaus ererben die Mitglieder der Organisations-Admins und der lokalen Domänen-Admins administrative Berechtigungen. Diese sind damit in der Lage, die gesamte Domänenumgebung sowie die E-MailAdressen und Postfachressourcen Ihrer Windows 2000-Benutzerkonten zu verwalten. Wenn weitere Benutzer Berechtigungen erhalten sollen, müssen deren Windows 2000Konten die Berechtigungen manuell zugewiesen werden. Sobald dies erledigt ist, können diese Benutzerden Exchange System-Manager verwenden, um Konfigurationsaufgaben auszuführen oder weitere Exchange 2000 Server zu installieren.

Der Exchange System-Manager verfügt über einen Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte, der die Verwaltung von Berechtigungen vereinfacht.

Unter Einsatz des Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte können Sie Ihren Exchange 2000-Administratoren (oder Sicherheitsgruppen) die folgenden Rollen und Berechtigungen zuweisen:

● Exchange-Administrator - Vollständig Kann die Exchange-Organisation verwalten und Berechtigungen aufExchange-Konfigurationsobjekte zuweisen.

● Exchange-Administrator Kann die Exchange-Organisation verwalten, istjedoch nicht in der Lage, die Berechdgungen aufExchange-Konfigurationsobjekte zu verändem.

● Exchange-Administrator - Nur Ansicht Kann die Exchange-Konfigurationsinfonnationen nur im schreibgeschützten Modus anzeigen.

Microsoft empfiehlt, den Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Obiekte nach der Installation des ersten Exchange 2000-Servers. aber noch vor der Installation weiterer Server, auszuführen.

Anmerkung Organisations- und Domänenadministratoren, denen die Rolle ExchangeAdministrator - Nur Ansicht zugewiesen wird, verbleiben weiterhin in der Lage, die Exchange 2000-Organisation vollständig zu administrieren, denn die Berechtigungen werden über die Sicherheitsgruppe Organisations-Admins bzw. Domänen-Admins ererbt. Der Assistent für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte wird diese Administratoren zwar mit der Berechtigung ExchangeAdministrator - Nur Ansicht anzeigen, allerdings bleiben diese vollständige Administratoren.

1.16 Front-End-/Back-End-Konfigurationen

Konfigurationen, in denen zahlreiche Server als Front-End-Systeme die eingehenden Clientverbindungen für eine geringere Anzahl von Back-End-Servern handhaben, auf denen die eigentlichen Postfächer gespeichert sind, sind nur dann interessant, wenn Sie beabsichtigen, Intemet-basierte Clientprogramme, wie IMAP4-Messagingclients oder Outlook Web Access, zu unterstützen.

1.17 Konfigurieren von Back-End-Servern

Back-End-Server smd gewöhnliche Exchange 2000-Server, auf denen Postfächer und öffentliche Ordner gespeichert sind. Da diese Server für die Verwaltung der Messagingdatenbanken zuständig sind, werden diese unter Umständen auch Infonnationsspeicherserver genannt.

1.18 Konfigurieren von Front-End-Servern

Front-End-Server sind Server, die eingehende Clientverbindungen zu den Back-EndSystemen, aufdenen die Postfächer der Benutzer gespeichert sind, weiterreichen (siehe Abbildung 4.14). Sie können einen Server als Front-End-System konfigurieren, wenn Sie das Kontrollkästchen Dies ist ein Front-End-Server in den Eigenschaften des Servers im Exchange System-Manager aktivieren. Es sind keine weiteren Konfigurationsschritte erforderlich. Der Informationsspeicher kann auf dem Front-End-Server erhalten bleiben, allerdings greifen Intemet-basierte Clients nicht auf diesen Speicher zu.

AbbUdung 4.14 Konzentrieren von eingehenden CIientverbindungen mit Hilfe von Front-End-Servern

1.19 Vorteile der Front-End-/Back-End-Architektur

Der Hauptvorteil der Front-End-/Back-End (FE/BE)-Architektur ist die Konzentration der eingehenden Clientverbindungen mit Hilfe von Front-End-Servern. Jede Clientverbindung konsumiert Ressourcen auf dem Server und erhöht den Datenverkehr im Netzwerk. Eingehende CUentverbindungen von Millionen von Benutzem können mit Sicherheit ein einzelnes Serversystem überwältigen. Sie werden die eingehenden Ver- j bindungen über mehrere Server verteilen müssen, die entsprechend die Verbindungen konzentrieren und zu den eigentlichen Back-End-Systemen weiterreichen, auf denen sich die Postfächer befinden,

1.20 Internet-Sicherheitsfragen

fa einerFE/BE-Konfiguration haben Sie die Möglichkeit, verschlüsselte Verbindungen zwischen den Front-End-Servern und den Internet-basierten Clientprogrammen über Secure Sockets Layer (SSL) zu erfordem, wobei die Server selbst ohne den durch die SSL-Verschlüsselung entstehenden Overhead im Backbone kommunizieren können. Die für Verschlüsselung und Entschlüsselung erforderlichen Verarbeitungsschritte müssen nur auf dem Front-End-System ausgeführt werden. Die Arbeitslast auf den Back-End-System steigt dadurch nicht.

1.21 Sicherheit l

Für ein Maximum an Sicherheit können Sie erweiterte Firewall-Konfigurationen zwischen den Clients und den Front-End-Servern und zwischen den Front-End- und den tack-End-Systemen implementieren. Große Umgebungen im Intemet werden diese Art der Installation besonders passend finden. Sie können mehr über Firewall-Konfigurationen in Kapitel 19 Implementieren der erweiterten Sicherheit● erfahren.

1.22 Installieren von Exchange 2000 Server in geclusterten Umgebungen

Die Advanced Server- und Datacenter Server-Editionen von Windows 2000 unterstützen die Clustertechnologie, die verwendet werden kann, um mehrere Server so eng miteinander zu koppeln, dass diese wie eine logische Einheit funktionieren.

^lustering ist eine Methode, die Systemzuverlässigkeit über komplexe Hardwareredundanzen zu erhöhen. Die Server in einem Cluster stehen miteinander in Wechselwirkung, um einander über Failovermechanismen in Notsituationen zu unterstützen. Wenn ein bestimmter Prozess auf einem der Server fehlschlägt, übemimmt ein anderer Server diesen Prozess, um die serverseitigen Ressourcen weiterhin im Netzwerk zur Verfügung zu stellen. Clustering kann die Zuverlässigkeit Ihrer serverseitigen Anwendungen, z.B. Microsoft SQL Server oder Exchange 2000 Server, erheblich verbessern.

1.23 Die Hardwareanforderungen eines Clusters sind wie folgt:

● Zentrales Festplattensystem, auf das alle Knoten zugreifen können.

● Dedizierte und isolierte LAN-Verbindungen zwischen den Knoten.

● LAN-Verbindungen und TCP/IP-Unterstützung zwischen dem Cluster und den Clients.

● Lokale Festplatten in jedem Knoten für das Betriebssystem und andere Programmdateien

1.24 Zusammenfassung des Kapitels

Sie müssen sich zwischen einer zentralisierten oder dezentralisierten Systemverwaltung entscheiden. Exchange 2000 Server kann nur in einer Active Directory-Umgebung mit Windows 2000 Server, Windows 2000 Advanced Server oder Windows 2000 Datacenter Server installiert werden und Sie müssen ein Mitglied der Gruppen Domänen-Admins, Organisations-Admins und SchemaAdmins sein. Für Installationen weiterer Server ist die Mitgliedschaft in der Gruppe der Schema-Admins nicht erforderlich.

Die physische Netzwerktopologie wird besser durch Routinggruppen beschrieben. Routinggruppen definieren die Wege der Nachrichtenübertragung über das Netzwerk.

Wenn Sie eine Exchange 2000 Server-Umgebung im gemischten Modus betreiben, ist ein Ll-Verhältnis zwischen administrativen und Routinggruppen und Exchange Server-Standorten aus Gründen der AbwärtskompatibiUtät mit früheren Versionen von Exchange Server empfehlenswert.

Wenn die Verwaltung der Messagingumgebung von der Windows 2000-Administration getrennt erfolgt, müssen Sie Ihre Active Directory-Administratoren bitten, die Gesamtstruktur unter Verwendung des Setupprogramms im ForestPrep-Modus für Sie vorzubereiten, bevor Exchange 2000 Server installiert werden kann.

Jm die Bereitstellung von Exchange 2000 Server weiter zu vereinfachen, können Sie das Setupprogramm mit der Option /DomainPrep injeder Ihrer Domänen verwenden, um weitere Exchange-spezifische Konfigurationsinformationen zu Active Directory hinzuzufügen.

Der Zweck der FE/BEKonfiguration ist es, die eingehenden Clientverbindungen durch zahlreiche Front-EndServer zu konzentrieren und somit die Arbeitslast auf den Back-End-Systemen zu verringem.

5. Welche Einschränkungen gelten für Exchange 2000-Organisationen, die im gemischten Modus ausgeführt werden?

^dministrative Gruppen werden ähnlich wie Standorte von Exchange Seryer 5.5 behandelt. Es ist deshalb nicht möglich, Postfächer zwischen den Servern in unterschiedlichen administrativen Gruppen zu verschieben. Es ist außerdem nicht möglich, Server zwischen den administrativen Gruppen zu verschieben. Auch wenn eine administrative Gruppe mehrere Routinggruppen imfassen kann, können Routinggruppen nicht mehrere administrative Gruppen einschließen.

2 KAP I TE L 5: Installieren von Microsoft Exchange 2000 Server 135

2.1 Installation des ersten Servers

LJnangenehme Meldungen werden beispielsweise angezeigt, wenn Sie versuchen, Exchange 2000 Server auf einem Computer zu installieren, der nicht zu einer Windows 2000-Domäne gehört (siehe Abbildung 5.1). Die gleiche Fehlermeldung erscheint, wenn aufActive Directory nicht zugegriffen werden kann. Sollten Sie vergessen haben, den Network News Transportprotokoll (NNTP)-Dienst von Windows 2000 zu installieren, werden Sie wiederum die Meldung Die NNTP-Komponente von Microsoft Intemet Infonnation Services (IIS) ist nicht installiert.● erhalten. ietupprobleme werden auch auftreten, wenn das Verzeichnis \Programme\Exchsrvr\Mdbdata bereits aufder Partition existiert, auf der Sie Exchange 2000 Server installieren wollen, und dieses Verzeichnis alte Datenbanken des Infonnationsspeichers enthält. Benennen Sie das Verzeichnis um oder löschen Sie die alten Datenbankdateien i

2.1.1 Installationsschritte

Wenn Sie Ihre Active Directory-Gesamtstruktur nicht mit der Option /ForestPrep vorbereitet haben, muss das Setupprogramm die Active Directory-Umgebung während der Erstserverinstallation erweitem.

Wichtig Der Name Ihrer Exchange 2000-Organisation kann nach der Installation nicht mehr geändert werden.

2.1.2 Erstellen der Initialisierungsdatei

Angenommen, Sie wollen eine Initialisierungsdatei namens Setup.ini erstellen, dann brauchen Sie nur den Befehl e:\Setup\i386\Setup.exe /Createünattend c:\Setup.ini (wobei E:\ für Ihr CD-ROM-Laufwerk steht) zu verwenden.

2.1.3 Verschlüsseln der Initialisierungsdatei

(e:\Setup\i386\Setup.exe /EncryptedMode /CreateUnattend c:\Setup.ini).

2.1.4 Einsetzen der Initialisierungsdatei

^e:\Setup\i386\Setup.exe /UnattendFile c:\Setup.ini) i

2.2 Lektion 2: Abschließen der Installation

Nach einer erfolgreichen Installation sind meist eine Reihe von Routineaufgaben zu erledigen, wie die Delegiemng administradver Berechtigungen oder der Schutz der Serverressourcen und Verzeichnisfreigaben vor unbefugtem Zugriff. Darüber hinaus ist es empfehlenswert, mittels Windows 2000 Backup eine vollständige Sicherung des Systems durchzuführen, einschließlich des Systemstams, um Änderungen in der Registrierung und in Active Directory zu erfassen.'.

2.3 Systemverwaltungstools unter Windows 2000 Professional

Die Kommunikation über Remoteprozeduraufrufe (Remote Procedure Calls, RPCs) istjedoch erforderlich, wenn Sie die Verwaltungstools in vollem Umfang nutzen wollen.

2.4 Verwaltungstools und Outlook 2000

Die Exchange-Systemverwaltungstools basieren auf einer neueren Version des Messaging Application Protocol Interface (MAPI), welche Outlook 2000 dazu veranlasst, Wammeldungen anzuzeigen. Die Wammelduagen weisen auf einen Versionskonflikt in den grundlegenden MAPI-Dateien, insbesondere Mapi32.dll, hin. Da Outlook versucht, die neuere Mapi32.dll von Exchange 2000 mit einer älteren Version zu überschreiben, ist es nicht empfehlenswert, Outlook 2000 und die Exchange-Systemverwaltungstools auf der gleichen Arbeitsstation zu installieren. Das ist unter anderem auch der Grund, warum Ihre Testumgebung eine dedizierte Arbeitsstation zusätzlich zu zwei Servern erfordert. Wenn Siejedoch sowohl Outlook 2000 als auch die ExchangeSystemverwaltungstools auf dem gleichen Computer verwenden müssen, sollten Sie sicherstellen, dass die Systemverwaltungstools zuerst installiert werden. Anderenfalls tritt der erwähnte Versionskonflikt auf. Um diesen zu lösen, müssen Sie die vorhandene Mapi32.dll umbenennen und danach Outlook 2000 erneut installieren.

2.5 Zuweisen administrativer Aufgaben

Um dies beispielsweise auf BLUESKY-SRV1 zu testen, brauchen Sie aufdiesem Computer nur den Exchange System-Manager zu starten, mit der rechten Maustaste auf das Organisationsobjekt mit der Bezeichnung Blue Sky Airlines (Exchange) zu klicken, den Befehl Eigenschaften zu wählen und dann das Kontrollkästchen Administrative Gruppen anzeigen zu markieren. Dies ist erforderlich, um den Assistenten für die Zuweisung von Verwaltungsberechtigungen auf der Ebene der ersten administrativen Gruppe aufzurufen. Nachdem Sie das Dialogfeld Eigenschaften geschlossen und den Exchange System-Manager neu gestartet haben, können sie mit der rechten Maustaste auf Blue Sky Airlines (Exchange) klicken und aus dem Kontextmenü den Befehl Objektverwaltung zuweisen wählen, um den Assistenten für die Zuweisung von Verwaltungsberechtigungen aufzumfen.

2.6 Berechtigungsvererbung

Die Vererbung von Berechtigungen vereinfacht die Aufgabe der Zuweisung administrativer Privilegien und deren Verwaltung, denn:

● Funktionen und Berechtigungen werden vom übergeordneten Objekt konsistent an alle untergeordneten Objekte weitervererbt,

● Anderungen an den Berechtigungen können auf einfache Weise über das übergeordnete Objekt vorgenommen werden.

● Die manuelle Zuweisung von Funktionen und Berechtigungen kann auf ein einzelnes übergeordnetes Objekt konzentriert werden, statt zahlreiche untergeordnete Objekte konfigurieren zu müssen. Untergeordnete Objekte erben die Einstellungen automatisch.

2.7 Deaktivieren der Vererbung

Jm dies für ein bestimmtes Verzeichnisobjekt zu bewerkstelligen, z.B. das Serverobjekt BLUESKY.SRV1 in der Gruppe Erste administrative Gruppe, klicken Sie mit der rechten Maustaste aufdas Objekt und wählen Sie den Befehl Eigenschaften aus, um das entsprechende Eigenschaften-Dialogfeld anzuzeigen. Wechseln Sie zur Registerkarte Sicherheit und deaktivieren Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen übemehmen.

2.8 Exchange-Systemverwaltung über Gruppenkonten

Die Rechtevergabe in Exchange 2000 stützt sich komplett aufdas Sicherheitskonzept von Windows 2000 und Active Directory. Das bedeutet unter anderem, dass Sie Sicherheitsgruppen von Windows 2000 für die Systemverwaltung von Exchange 2000 einsetzen können, Es ist viel einfacher, Berechtigungen für eine Gruppe zu vergeben, statt die gleichen Rechte individuellen Benutzem wiederholt zuzuweisen.''

Im einheitlichen Modus unterstützt Windows 2000 die folgenden Sicherheitsgruppen:

● Lokale Domäne Dieser Gruppentyp kann Benutzerkonten, globale Gruppen und universelle Gruppe aus beliebigen Domänen sowie lokale Gruppen aus der gleichen Domäne enthalten.

● Global Dieser Gruppentyp kann Benutzerkonten und globale Gruppen aus der gleichen Domäne enthalten.

● üniversal Dieser Gruppentyp kann überall in einer Active Directory-Gesamtstruktur mit mehreren Domänen verwendet werden und kann Benutzerkonten, globale Gruppen und universelle Gruppen aus beliebigen Domänen enthalten.

Denken Sie daran, dass die von übergeordneten Konfigurationscontainem in Active Directory geerbten Einstellungen nicht im Assistenten für die Zuordnung von Verwaltungsberechtigungen auf Exchange-Objekte dargestellt werden. Nichtsdestotrotz sollte dieser Assistent Ihr primäres Tool für die Zuweisung administrativer Berechtigungen bleiben, denn dieser Assistent verhindert, dass Administratoren oder Systemprozessen essentielle Zugriffsrechte verweigert werden.

Die Registerkarte Sicherheit, die Sie für die Organisation und die administrativen Gruppen über den Registrierungsparameter ShowSecurityPage aktivieren können, HKEY_CURRENT_USER\Software\Microsoft\Exchange\ExAdmin

gibt auf der anderen Seite akkurate und detaillierte Sicherheitsinformationen wieder.

2.9 Verzeichnisfreigaben

3s ist empfehlenswert, den Zugriff auf diese Freigaben einzuschränken, um die Sicherheit der Serverressourcen zu erhöhen.:

Die folgenden Freigaben werden auf einem Exchange 2000-Server automatisch angelegt:

● Address

● <Servername>.log

● Maildat$

Exchange 2000 Server stützt sich weitgehend auf Intemettechnologien und bevorzugt dementsprechend eine Kommunikaüon auf der Basis von Windows Sockets (Winsock). Winsock ordnet den Anwendungen bestimmte Portnummem zu, die verwendet werden, um den von und zu den Anwendungen gerichteten Datenverkehr zu identifizieren. Sie können einen einfachen, in Visual Basic geschriebenen TCP-Portscanner verwenden, um die aktiven Ports zu analysieren. Es ist empfehlenswert die in Ihrer Umgebung nicht benötigten Intemetdienste (d.h. deren Ports) zu schließen und diejenigen, die benötigt werden (z.B. TCP-Port 25 für SMTP) durch eine Firewall abzusichem.

2.10 Das lokale Systemkonto

ieim Angriff auf einen Computer durch Erraten der Kennwörter werden bevorzugt Dienstkonten benutzt, denn die Kontosperrmechanismen sind hier meist deaktiviert.

In Exchange 2000 brauchen Sie hingegen kein benutzerähnliches Konto für die Dienste angeben. Stattdessen können die Dienste genauso gut das Windows 2000-Konto LocalSystem verwenden, was die Erfolgschancen von Kennwortrateangriffen erheblich verringert. Sie brauchen noch nicht einmal das Kennwort für dieses Dienstkonto zu ändern, denn Windows 2000 ändert dieses automatisch alle 7 Tage. Darüber hinaus ist das Kennwort sehr sicher, denn es besteht aus einer zufällig gewählten Zeichenfolge,

2.11 Neuinstallation und Service Packs

Die Datenbanken und Vorlageninformationen werden nicht überschrieben. Das bedeutet, dass die Neuinstallation kaum ein Risiko darstellt und besonders dann sinnvoll ist, wenn Registriemngswerte aktualisiert oder zerstörte Dateien repariert werden sollen, oder es einfach zu lange dauert, die tatsächliche Ursache des Problems zu finden.

2.12 Entfernen einer Exchange 2000 Server-lnstallation

Um eine Serverinstallation vollständig zu entfemen, müssen Sie im Dialogfeld Komponentenauswahl unter Aktion den Eintrag Entfemen für Microsoft Exchange 2000 auswählen. Sie müssen den Server neu starten, um diesen Prozess abzuschließen. Die Deinstallation eines Exchange 2000-Servers führt nicht dazu, dass die ExchangeVerzeichnisstrukturen von den Festplatten des Servers gelöscht werden. Das Verzeichnis VMtadata und noch wichtiger das Verzeichnis \MDBData enthält Dateien von früheren Nachrichtenwarteschlangen und Datenbanken.:

Wenn Sie zu einem späteren Zeitpunkt Exchange 2000 Server auf dem gleichen Server emeut installieren, werden die alten Konfigurationseinstellungen angewendet, denn das Organisationsobjekt wird in Active Directory nicht überschrieben. Um noch einmal ganz von vorn zu beginnen, müssen Sie das Dienstprogramm ADSI Edit verwenden und das Containerobjekt mit der Bezeichnung CN=Microsoft Exchange manuell entfemen. Sie können dieses Objekt im Configuration-Container Ihrer Domäne (z.B. CN=Configuration, DC=BIueSky-inc-10, DC=com) unterhalb des Knotens mit der Bezeichnung CN=Services finden (siehe Übung 2 weiter oben in dieser Lektion).

2.13 Zusammenfassung des Kapitels

Der gesamte Setupvorgang unterscheidet sich dabei in Abhängigkeit davon, ob der erste oder ein weiterer Server installiert wird. Während einer Erstserverinstallation müssen Sie nonnalerweise einen Namen für Ihre (neue) Messagingorganisation angeben. Installationen weiterer Server setzen hingegen ein Organisationsobjekt in Active Directory voraus und fordem Sie zur Eingabe anderer Informationen auf. Sie müssen die administrative Gruppe und die Routinggruppe festlegen, zu der die neuen Server hinzugefügt werden sollen.

3 KAPITEL 6 - Koexistenz mit früheren Versionen von Microsoft Exchange Server (Ab S. 171)

Anders als frühere Versionen, verwendet Exchange 2000 Server keinen eigenen Verzeichnisdienst, sondem stützt sich auf Active Directory. Sie müssen deshalb Exchange Server 5.5 mit Active Directory integrieren, wenn Sie die beiden Exchange-Versionen zusammenbringen wollen. In der Tat ist die Integration von Exchange Server 5.5 mit Active Directory eine wichtige Aufgabe injedem Aktualisierungsprojekt.

Es ist möglich, den Migrationsprozess in drei allgemeine Phasen zu unterteilen: Vorbereitung, Aktualisierung und Systembereinigung. Während der Vorbereitungsphase integrieren Sie Exchange Server 5.5 mit Active Directory. Dies könnte zunächst eine Aktualisierung des Betriebssystems auf Microsoft Windows 2000 Server Service Pack 1 und die Installation von Exchange Server 5.5 Service Pack 3 erfordem. Danach, in der Aktualisierungsphase, installieren Sie Exchange 2000 Server. Die Systemumstellung könnte eine längere Phase der Koexistenz notwendig machen, bis Sie Exchange 2000 Server in vollem Umfang bereitgestellt haben. Die Phase der Systembereinigung umfasst dann die Löschung von Exchange-Objekten aus Active Directory, den Wechsel der Organisation in den einheitlichen Modus, sowie die Entfemung von duplizierten Benutzerkonten, die während der Migration eventuell angelegt wurden.

3.1 Aktualisieren des primären Domänencontrollers

Um die Implementierung separater Windows 2000-Domänen zu vermeiden, sollten Sie die direkte Aktualisierung der PDC(s) in Ihrer existierenden Domänenumgebung in Erwägung ziehen. Das ist wahrscheinlich die einfachste Aktualisierungsmethode, denn sämtliche Kontoinformationen bleiben erhalten, einschließlich der ursprünglichen Sicherheits-IDs (Security Identifiers, SIDs). Ein SED ist ein Wert, der ein Benutzerkonto eindeutig identifiziert und von Windows 2000 verwendet wird, um Zugriffsberechtigungen zu bestimmen. Wie dem auch sei, die Aktualisierung des PDCs umfasst weitere Konfigurationsschritte, wenn Ihr PDC darüber hinaus ein Exchange-Server ist (siehe Übung 1).

3.2 Aktualisieren des Standortdienstkontos

Exchange 2000 Server kann nicht mit Windows NT 4.0-basierten Sicherheitsinformationen arbeiten. Das betrifft unter anderem das Dienstkonto im Standort, das für die Kommunikation nüt früheren Exchange Server-Versionen benötigt wird. Da Exchange 2000 Server nun einmal das Standortdienstkonto verwenden muss, sollten Sie zunächst den PDC der Domäne aktualisieren, in der sich dieses spezielle Konto befindet. Während der Aktualisierung wird das Dienstkonto zu einem Windows 2000-Sicherheitsprincipal konvertiert.;

Anmerkung Sie müssen nicht die gesamte Windows NT 4.0-Umgebung auf Windows 2000 aktualisieren, um aufExchange 2000 Server umstellen zu können. Allerdings ist es vorteilhaft, wenigstens alle PDCs in den Domänen zu aktualisieren, in denen Benutzerkonten verwaltet werden.

3.3 ActiveDirectory-Migrationsprogramm

Neben der Aktualisierung der vorhandenen Domänen aufWindows 2000 Server haben Sie auch die Möglichkeit, separate Windows 2000-Domänen einzurichten und das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) zu verwenden, um die existierenden Sicherheitsinformationen zu klonen. Zwar haben die Kontoobjekte andere primäre SIDs, als die Quellkonten, allerdings werden die SIDs der Quellkonten in das SIDHistory-Attribut der entsprechenden Klone kopiert.

Das ADMT-Dienstprogramm eignet sich besonders für komplexe Windows NT-Umgebungen, die sich aus mehreren Windows NT 4.0-Domänen zusammensetzen, denn dieses Programm ermöglicht die Konsolidierung der existierenden Domänenumgebung.

3.4 Vermeiden von LDAP-Portkonflikten

Wenn Sie einen PDC oder einen Sicherungsdomänencontroller (Backup Domain Controller, BDC) aktualisieren wollen, der Exchange Server 5.5 ausführt, müssen Sie den Lightweight Directory Access Protocol (LDAP)-Port für den Exchange-Verzeichnisdienst ändem.

Anmerkung: Microsoft empfiehlt, den LDAP-Port für den Exchange-Verzeichnisdienst vor der Aktualisierung auf Windows 2000 und Active Directory zu ändem.

3.5 Aktualisieren des Betriebssystems

iVenn Sie also beabsichtigen, einen existierenden Computer direkt von Exchange Server 5.5 aufExchange 2000 Server zu aktualisieren, müssen Sie zunächst das Betriebssystem umstellen. Exchange 2000 Server kann nur auf einem Computer installiert werden, der Windows 2000 Server, Windows Advanced Server oder Windows Datacenter Server mit Service Pack l (oder höher) ausführt.

3.6 Konfigurieren des Active Directory-Connectors

Um eine gemeinsame globale Adressliste für alle Benutzer, ob diese noch mit Postfächem in Exchange Server 5.5 arbeiten oder bereits zu Exchange 2000 Server migriert wurden, aufzubauen, müssen die Verzeichnisse miteinander synchronisiert werden. Sie müssen den Active Directory-Connector installieren und Empfängerverbindungsvereinbarungen konfigurieren, um die Verzeichnissynchronisation zu aktivieren. Verbindungsvereinbamngen können Empfängerinformationen und Informationen zu öffentlichen Ordnem zwischen Exchange Server 5.5 und dem globalen Katalog replizieren.

3.7 Windows 2000- und Exchange 2000 Server-Versionen des Active Directory-Connectors

Tipp: Aus Leistungsgründen sollten Sie alle ADC-Instanzen mit der Version von Exchange 2000 Server aktualisieren.

3.8 Synchronisieren von Verzeichnisinformationen

Sobald Sie die Windows NT-Benutzerkonten zu Active Directory migriert haben, sollten Sie diese Konten über eine ADC-Verbindungsvereinbarung mit den entsprechenden Postfachinfonnationen synchronisieren. Die Verzeichnissynchronisation wird zwischen dem globalen Katalog und dem Exchange-Verzeichnisdienst durchgeführt (siehe Abbildung 6.5). Selbst wenn Sie nicht vorhaben, ADC in allen Ihren Domänen zu installieren, müssen Sie dennoch die Domäne des Schemamasters mit Hilfe des ADC-Setupprogramms und der Option /Schemaonly erweitem. Wie bereits erwähnt, ist die Erweitemng des Schemas notwendig, um zusätzliche Exchange 2000-spezifische Objektklassen und Attribute zu unterstützen.

3.9 Automatische Kontoerstellung

Exchange Server 5.5 gestattet die Angabe eines Windows NT-Kontos als primäres Windows-Konto für mehrere Postfächer. In Exchange 2000 Server sind Konto- und Postfachinformationen dem gleichen Active Directory-Objekt zugeordnet. Also kann ein Windows 2000-Konto nur über ein direkt zugeordnetes Postfach verfügen. Um die Informationen der zusätzlichen Postfächer mit Active Directory zu synchronisieren, müssen zusätzliche Benutzerkonten in Active Directory angelegt werden. Der ADC ist in der Lage, die Windows-Konten für Postfachobjekte automatisch zu erstellen, wenn ein entsprechendes Active Directory-Objekt nicht gefunden werden konnte. Sie können die automatische Erstellung der Active Directory-Konten über die Registerkarte Erweitertderjeweiligen Verbindungsvereinbarungen kontrollieren. Standardmäßig werden deaktivierte Windows-Benutzerkonten angelegt. Allerdings können Sie dieses Verhalten anpassen und aktivierte Konten oder Windows-Kontaktobjekte erstellen, wenn Sie die passenden Optionen aus dem Listenfeld Beim Replizieren eines Postfachs, dessen primäres Windows-Konto in der Domäne nicht vorhanden ist auswählen.

Nachdem Sie eine Verbindungsvereinbarung erfolgreich konfiguriert haben, werden die Empfängerinformationen erfolgreich zwischen Active Directory und der Exchange Server-Organisation repliziert. Der Standardkonfiguration entsprechend erstellt der ADC für alle Postfächer von Exchange Server 5.5, denen kein entsprechendes Active Directory-Objekt zugeordnet werden konnte, deaktivierte Windows 2000-Benutzerkonten. Sie können diese deaktivierten Konten in der OU finden, die Sie in Ihrer Verbindungsvereinbarung angegeben haben, beispielsweise dem Users-Container.

3.10 Lektion 2: Aktualisierungs- und Migrationsstrategien

Die Lektion stellt Ihnen zwei allgemein nützliche Upgradestrategien vor. In Umgebungen mit mehreren Servern wird die Aktualisierung von einer Phase der Koexistenz begleitet, die wiederum besondere Anforderungen stellt, die ebenfalls an dieser Stelle angesprochen werden.

3.11 Aktualisierungsstrategien

Im Allgemeinen müssen Sie sich zwischen zwei Aktualisiemngsstrategien entscheiden. Sie können Exchange 2000 Server entweder direkt auf dem Computer installieren, aufdem Exchange Server 5.5 ausgeführt wird und so eine direkte Aktualisiemng durchführen, oder Sie treten dem existierenden Exchange Server 5.5-Standort mit einem neuen Server bei und verschieben die Postfächer und anderen Ressourcen manuell zu Exchange 2000 Server, was einer indirekten Aktualisierung entspricht.

3.12 Direkte Aktualisierung

Die direkte Aktualisierung (In-place Upgrade) ist einfach und schnell abgeschlossen, wirdjedoch nur für Exchange Server 5.5 Service Pack 3 oder höher unterstützt. Wenn Sie das Setupprogramm direkt aufeinem Computer aufrufen, der Exchange Server 5.5 Service Pack 3 ausführt, wird die frühere Version automatisch erkannt und das Setupprogramm schaltet in den Upgrademodus, in dem es Ihnen nicht möglich ist, zusätzliche Komponenten auszuwählen oder die existierende Konfiguration auf irgendeine Weise zu verändem. Um Anderungen durchzuführen, müssen Sie das Setupprogramm nach der Aktualisierung im Wartungsmodus emeut starten. Der Wartungsmodus wurde in Kapitel 5 Installieren von Microsoft Exchange 2000 Server● vorgestellt.

3.13 Datenbankkonvertierung

Während der direkten Aktualisierung beendet das Setupprogramm die Dienste von Exchange Server, um die Datenbanken des Informationsspeichers zu aktualisieren. Der Aktualisierungsvorgang arbeitet in etwa mit einer Geschwindigkeit von 8 GB/Stunde,

3.14 Voraussetzungen für die Aktualisierung

● Der Computer, auf dem Exchange Server ausgeführt wird, wurde auf Windows 2000 Server SP1 (oder höher) aktualisiert und ist Bestandteil einer Active Directory-Domäne.

● Die Intemet-Informationsdienste (Intemet Information Services, IIS) 5.0 wurden zusammen mit dem Simple Mail-Transportprotokoll (SMTP)- und dem Network News-Transportprotokoll (NNTP)-Dienst installiert.

● Die Serverhardware erfüllt die minimalen Systemvoraussetzungen von Exchange 2000 Server.

● Sie verwenden Exchange Server 5.5 Service Pack 3 oder höher.

● Sie verfügen über die erforderlichen Berechtigungen zur Installation von Exchange 2000 Server, wie in Kapitel 4 Planung der Installation von Microsoft Exchange 2000 Server● vorgestellt.

3.15 Indirekte Aktualisierung

Ein wesentlicher Nachteil der direkten Aktualisierung besteht in der Nichtverfügbarkeit des Servers, denn die Dienste von Exchange Server müssen während des Upgrades beendet werden. Darüber hinaus erfordert die direkte Aktualisierung eine Installation von Windows 2000 Server und möglicherweise eine Umstellung aufExchange Server Version 5.5 mit Service Pack 3, was ebenso zur Nichtverfügbarkeit des Systems für gewisse Zeit beiträgt. Wenn Ihre Organisation 24 Stunden am Tag, sieben Tage die Woche zur Verfügung stehen muss, sollten Sie die indirekte statt der direkten Aktualisierung in Betracht ziehen. Während der indirekten Aktualisierung {Move-Mailbox Upgrade) treten Sie dem existierenden Standort mit einem Computer bei, auf dem Exchange 2000 Server ausgeführt wird, und verschieben alle Ressourcen vom alten Exchange-Server auf diese Maschine. Sobald alle Ressourcen verschoben wurden, kann das alte System aus dem Standort entfemt werden.

3.16 Leapfrog-Upgrade

1. Exchange 2000 Server zum bestehenden S tandort hinzufügen.

2. Die Ressourcen zum neuen System verschieben.

3. Das alte System deinst allieren.

4-MöglJcherweisedieHardwarefürdie AktualisierungweitererServerwiederveiwenden.

3.17 Einem existierenden Standort beitreten

Bereiten Sie den neuen Computer entsprechend den Hardware- und Softwareanforderungen vor, die in Kapitel 5 Installieren von Microsoft Exchange 2000 Server● aufgeführt wurden, rufen Sie das Setupprogramm auf und geben Sie während der Installation an, dass Sie einer bestehenden Organisation beitreten wollen. Sie müssen einen existierenden Server, aufdem Exchange Server 5.5 mit Service Pack 3 ausgeführt wird, angeben. Der Name der Organisation wird von diesem Server abgefragt und in Active Directory übemommen. Der Exchange 2000-Server tritt daraufhin dem ausgewählten Standort bei. Sobald Exchange 2000 Server im Standort ausgeführt wird, können Sie mit dem Verschieben der Postfächer und der Replikation der öffentlichen Ordner zum neuen System beginnen. Dies wirkt sich nicht auf die installierte Clientbasis aus, denn die Clients werden automatisch zu den Postfächem und öffentlichen Ordnem auf dem neuen Server umgeleitet - vorausgesetzt der alte Homeserver ist noch im Netzwerk verfügbar (siehe Abbildung 6.9).

Anmerkung: Wenn Sie einem Standort beitreten wollen, müssen Sie einen Server angeben, aufdem Exchange Server 5.5 mit Service Pack 3 ausgeführt wird.

1. Administrator fügt Exchange 2000 Server zum S tandort hinzu.

2. Administrator verschiebt die Postfächerder Benutzerzum neuen System.

3. Das alte System leitet beim nächsten V erbindungsversuch die Outlook-Benutzer an das neue System um.

4. Outlook 2000 greift von nun an direkt aufdas neue System zu.

Abbildung 6.9 Umleiten von Outlook 2000 zu Exchange 2000 Server

3.18 Dedizierte Serverkonfigurationen

Die indirekte Migrationsstrategie funktioniert am besten für Postfächer und öffentliche Ordner. Vorhandene Connectoren müssen jedoch auf dem neuen Server neu konfiguriert werden, wenn Sie den alten Server aus dem Standort entfemen wollen. Dies trifft auch dann zu, wenn Sie den Schlüsselverwaltungsdienst (Key Management Service, KMS) in Ihrer Organisation installiert haben. Um Server zu aktualisieren, auf denen Connectoren eingerichtet sind (Bridgeheadserver) oder die den KMS ausführen, sollten Sie die direkte Aktualisierungsmethode in Erwägung ziehen.

3.19 Aktualisierungsreihenfolge

Sie können auf Exchange 2000 Server in beliebiger Reihenfolge umstellen, was besagt, dass Sie die Bridgehead- oder Connectorserver nicht zuerst behandeln müssen. In der Tat könnte es vorteilhaft sein, diese Server zuletzt zu aktualisieren, besonders dann, wenn diese Connectoren Funktionen ausführen, die in Exchange 2000 Server nicht unterstützt werden, z.B. ein Professional Office System (PROFS)-Connector. Es ist empfehlenswert, zuerst die öffentlichen Ordner- und Postfachserver zu aktualisieren, sodass die Benutzer unmittelbar mit den erweiterten Messaging- und Groupwarefunktionen von Exchange 2000 Server arbeiten können.

3.20 Venwalten heterogener Exchange-Organisationen

Während der Phase der Koexistenz ist es wichtig, die Systemverwaltung und -wartung sorgfältig zu koordinieren. Auch wenn die Ressourcen von Exchange 2000 Server in der Verzeichnisinformationsstruktur (Dü-ectory Infonnation Tree, DIT) im ExchangeAdministratorprogramm zu sehen sind, werden Anderungen, die Sie an diesen Konfigurationsobjekten vomehmen, nicht zu Exchange 2000 Server repliziert und werden damit nicht wirksam. Wenn Sie hingegen die Konfiguration der Organisation im Exchange System-Manager anzeigen, erscheinen die Ressourcen früherer ExchangeVersionen als transparente Objekte. Der Exchange System-Manager zeigt die Informationen schreibgeschützt an, um Sie daran zu hindem, die Einstellungen zu ändem.

3.21 Verwalten von Benutzerkonten und Postfächern

Sie sollten für die Verwaltung von Postfächem nur das Dienstprogramm Active Directory-Benutzer und -Computer einsetzen. Verwenden Sie also das Exchange-Administratorprogramm zu diesem Zweck nicht mehr. Immerhin wollen Sie von Exchange Server 5.5 weg migrieren.

3s ist deshalb vorteilhaft, Postfächer für neue Windows 2000-Konten ausschließlich auf Servern anzulegen, die Exchange 2000 Server ausführen. Venneiden Sie die Erstellung weiterer Postfächer auf den alten Systemen.

3.22 Verzeichnisreplikation mit früheren Versionen von Exchange Server

Ob Sie nun einem existierenden Standort einen neuen Exchange 2000-Server hinzufügen oder eine direkte Aktualisierung durchführen und somit einem Standort automatisch beitreten, in beiden Fällen muss sich Exchange 2000 Server im Standort als Exchange Server 5.5 präsentieren.

3.23 Standortreplikationsdienst

Der Trick beruht aufeinem Hilfsdienst, den das Setupprogramm von Exchange 2000 Server automatisch installiert. Sie können diesen Dienst entdecken, wenn Sie das SnapIn Dienste aus der Programmgruppe Verwaltung aufmfen. Suchen Sie nach dem Microsoft Exchange- Standortreplikationsdienst (Site Replication Service, SRS).

3.24 Verzeichnisreplikation innerhalb und zwischen Standorten

Innerhalb eines Standortes repliziert der SRS seine Verzeichnisinformationen automa tisch über Remoteprozeduraufrufe (Remote Procedure Calls, RPCs). Zwischen Stand orten repliziert der SRS die Verzeichnisinformationen aufder Grundlage von E-MailNachrichten, ganz genauso wie der Exchange-Verzeichnisdienst (siehe Abbildung 6.11). Der SRS deaktiviert die Verzeichnisreplikation mit Servern im lokalen Standort und zu Standort Replikations-Bridgeheadservem automatisch, sobald diese auf Exchange 2000 Server aktualisiert wurden.

3.25 Verbindungsvereinbarungen für die Synchronisation von Konfigurationsinformationen

Der SRS repliziert die Daten lediglich mit früheren Exchange-Verzeichnissen. Verbindungsvereinbarungen im ADC replizieren auf der anderen Seite die Anderungen zwischen dem SRS und Active Directory, wie das in Abbildung 6.11 angedeutet wurde.

Abbildung 6.11 Verzeichnisreplikation zwischen Exchange 2000 Server und Exchange Server 5.5

Während der ersten Installation von Exchange 2000 Server in einem existierenden Standort wird automatisch eine Verbindungsvereinbarung für die Synchronisation von Konfigurationsinfonnationen angelegt. Sie können die Existenz dieser Verbindungsvereinbarung überprüfen, wenn Sie das Snap-In Active Directory Conncetor aus der Programmgruppe Microsoft Exchange aufrufen.

Anmerkung: Wenn Sie den ersten Exchange 2000-Server auf einem Windows 2000Domänencontroller installieren, aufdem keine frühere Version von Exchange Server ausgeführt wird, und Sie einem existierenden Standort beitreten, verwendet SRS automatisch den TCP-Port 379, um LDAP-Portkonflikte mit Active Directory zu vermeiden.

Anmerkung: Wenn Sie zwei oder mehrere Exchange 2000-Server in einem Standon installiert haben, werden diese Server sich über Active Directory erkennen und Nachrichten zueinander über den SMTP-Dienst statt des MTAs weiterleiten.

3.26 RPCs und Authentifizierungsabhängigkeiten

Wenn Sie einem existierenden Standort beitreten, werden Sie zur Angabe des Dien kontos aufgefordert. Sie können die Einstellungen jederzeit korrigieren oder das Dienstkonto ändem, wenn Sie im Exchange System-Manager die Eigenschaften d< administrativen Gruppe anzeigen, die Du-em Standort entspricht i

Anmerkung: Das in den Eigenschaften der administrativen Gruppe angegebene Dienstkonto wird nur für die Kommunikation mit älteren Exchange-Systemen verwendet. Exchange 2000-Server verwenden für die eigene Kommunikation das lokale Systemkonto.

3.27 Aktualisieren von Outlook Web Access

Anmerkung: Sie können mit OWA von Exchange 2000 Server nicht auf Exchange Server5.5 zugreifen.

3.28 Vom gemischten in den einheitlichen Modus wechseln

Wie in Kapitel 5 eriäutert, ist es vorteilhaft, die Exchange 2000 Server-Organisation den einheitlichen Modus zu schalten, sobald alle früheren Versionen von Exchange Server aktualisiert wurden.

lolange es allerdings noch Computer mit früheren Versioner in Ihrer Organisation gibt, ist der Wechsel in den einheitlichen Modus nicht möglich.

Wichtig: Um die Organisation in den einheitlichen Modus zu schalten, müssen alle Computer, die frühere Versionen von Exchange Server ausführen, entweder aktualisi oder deinstalliert werden. Der Wechsel in den einheitlichen Modus deaktiviert die Abwärtskompatibilität zu früheren Versionen. Dies ist ein irreversibler Prozess

3.29 Zusammenfassung der Übung

Die indirekte Aktualisiemng ist eine interessante Altemative zum direkten Upgr; Allerdings erfordert diese Migration zahlreiche manuelle Konfigurationsschritte. Nachdem Sie einen Server mit einer früheren Version von Exchange Server aus den Standort entfemt haben, müssen Sie dessen Einträge in Active Directory über das Exchange-Administratorprogramm löschen. Der letzte Exchange-Server muss manut aus der SRS-Datenbank entfemt werden, da kein anderer Exchange-Verzeichnisdien im Standort diese Aufgabe über die Verzeichnisreplikation mehr ausführen kann.

3.30 Verwenden des Assistenten für die Active DirectoryKontenbereinigung

Wenn Sie eine große Anzahl duplizierter Benutzerkonten aus Active Directory entfernen müssen, werden Sie den Assistenten für die Active Directory-Kontenbereinigung hilfreich finden. Dieses Dienstprogramm steht in der Programmgruppe Microsoft Exchange zu Verfügung. Der Assistent durchsucht die Active Directory-Gesamtstruktur nach möglichen duplizierten Benutzerkonten und zeigt eine Liste aller gefundenen Duplikate an.

Abbildung 6.15 Duplizieren von Benutzerkonten

1. DerADC muss neue Konten anlegen, da die Postfächerzwar im ExchangeVerzetehnis exisferen, aberdie Benutzertonten nicht in der Windows 2000-Domäne gefünden werdenkönnen.

2. Aktualisieren des PDCs und einfügen in die Active DirectoryGesamtstmktur führt zur Konvertierung derWindows NT3enutzerkonten zu Windows 2000. | AufdieseWeise können Kontoduplikate in der Gesamtstnjkturvermieden werden.

3.31 Zusammenfassung des Kapitels

Sie müssen Windows 2000 und Active Directory bereitstellen, wenn Sie Exchange 2000 Server installieren wollen. Da Exchange 2000 Server das Dienstkonto für die Kommunikation mit früheren Versionen verwenden muss, sollten Sie zuerst den PDC der Domäne aktualisieren, in der sich das Dienstkonto von Exchange Server befindet. Wenn Sie eine direkte Aktualisierung des vorhandenen Exchange Server 5.5-System planen, müssen Sie das Betriebssystem aktualisieren und möglicherweise die TCPPortnummer der LDAP-Schnittstelle des Exchange-Verzeichnisdienstes anpassen.

Bei der Aktualisierung des PDCs migrieren Sie die Windows NT-Benutzerkonten automatisch zu Active Directory. Die dazugehörigen Postfachinformationen befinden sich allerdings zunächst ausschließlich im Exchange-Verzeichnis. Dementsprechend müssen Sie beide Verzeichnisse miteinander über eine Verbindungsvereinbarung synchronisieren, um die Postfachinformationen zu den Benutzerkontoobjekten hinzuzufügen.

Unabhängig davon, ob Sie einem bestehenden Standort mit einem neuen Exchange 2000-Server beitreten oder eine direkte Aktualisierung durchführen, muss Exchange 2000 Server die Verzeichnisinformationen mit der früheren Version von Exchange Server replizieren. Dies wird über den SRS gewährleistet. Eine Verbindungsvereinbarung für die Synchronisation von Konfigurationsinformationen übemimmt dann die Verzeichnisinformationen aus der SRS-Datenbank in Active Directory. Ressourcen von früheren Exchange Server-Versionen erscheinen als transparente Objekte. Im Exchange-Administratorprogramm werden Exchange 2000-Server ähnlich wie Server mit früheren Versionen von Exchange Server angezeigt.

Um eine Organisation in den einheitlichen Modus zu schalten, müssen alle Computer, die frühere Versionen ausführen, aktualisiert oder entfemt werden. Der Wechsel in den einheitlichen Modus deaktiviert die Kompatibilität mit früheren Versionen.

3.32 223 Lektion 3: Clusterunterstützung in Exchange 2000 Server

Deshalb sollten Sie einen Exchange 2000Cluster in eine Umgebung mit nicht geclusterten Servern integrieren, die als Bridgeheadserver zu anderen Messagingsystemen arbeiten. Das ist eine akzeptable Strategie, denn permanente Verfügbarkeit ist selten eine Forderung für Bridgeheadserver, die keine Postfächer oder öffentlichen Ordner enthalten. Dementsprechend ist es außerdem nicht vorteilhaft, den Windows 2000-Clusterdienst für Front-End-Server einzusetzen.

3.33 Installieren von Exchange 2000 Server in einem Cluster

Wichtig: Es ist nicht möglich, Exchange 2000 Server auf einem nicht geclusterten Server zu installieren und dieses System danach in einen Cluster zu integrieren. Weiterhin ist es vorteilhaft, die Installation auf einem Cluster vor der Bereitstellung von Exchange 2000 Server in der Produktionsumgebung zu testen. Exchange 2000 Server könnte unter Umständen nicht fehlerfrei mit Ihrer Clusterhardware zusammenarbeiten. Stellen Sie sicher, dass ein dedizierter physischer Datenträger für Exchange 2000 Server zur Verfügung steht.

3.34 Zusammenfassung der Übung

Die Installation von Exchange 2000 Server ist ein geradliniger Prozess. Das Setupprogramm erkennt automatisch, dass es aufeinem Clusterknoten gestartet wurde und konfigunert die Komponenten und Dienste von Exchange 2000 dementsprechend. Die Exchange 2000-Dienste werden für den manuellen Start konfiguriert. Starten Sie diese Dienste in einem Cluster jedoch nicht im Snap-In Dienste. Eine derartige Vorgehensweise untergräbt die Clusterumgebung. Geclusterte Dienste werden über die Clusterverwaltung gesteuert.

Wichtig: Konfigurieren Sie für die Dienste, die in einem Cluster installiert wurden, iro Snap-In Dienste keine Neustartoptionen. Dies führt zu Konflikten mit der Clusterverwaltungssoftware.

3.35 Zusammenfassung der Übung

Sie können die Clusterverwaltung verwenden, um in einem Cluster Exchange 2000Ressourcen zu konfigurieren und zu administrieren. Separate physische Datenträger sind fürjeden virtuellen Server erforderlich, sowie eine eindeutige IP-Adresse und ein Netzwerkname. Danach können Sie eine Exchange SA-Ressource hinzufügen, überdie implizit die übrigen clusterfähigen Dienste von Exchange 2000 zum virtuellen Server hinzugefügt werden. Der letzte Schritt besteht darin, den Server online zu schalten, was schnell über einen rechten Mausklick aufden virtuellen Server und den Befehl Online schalten erledigt werden kann.

3.36 Konfigurieren von zusätzlichen virtuellen Servern

Jeder virtuelle Server erscheint im Netzwerk als ein separater Server. Fürjeden Server müssen Sie einen bevorzugten Besitzer angeben, um die Ressourcen gleichmäßig zwischen den Clusterknoten aufzuteilen.

Beachten Sie, wenn Sie weitere virtuelle Server einrichten, dass Sie nur einen öffentlichen Informationsspeicher im Cluster konfigurieren können. Wenn Sie also weitere virtuelle Serverhinzufügen, müssen Sie den öffentlichen Informationsspeicher aus den neuen Gruppen löschen, bevor Sie die Ressourcengruppe online schalten können.

Sobald Sie einen virtuellen Exchange 2000-Server konfiguriert haben, können Sie den Exchange System-Manager verwenden, um weitere virtuelle Server für die IntemetZugriffsprotokolle zu erstellen. Denken Sie jedoch daran, dass Sie den System-Manager nicht verwenden dürfen, um die virtuellen Server online zu schalten.

3.37 Testen der Failover-Prozeduren für Exchange 2000

Wenn Sie die Clusterverwaltung verwenden, können Sie die Failover-Prozedur für Exchange 2000-Ressourcen auf einfache Weise testen. Klicken Sie einfach nüt der rechten Maustaste aufeine Exchange 2000-Ressource und wählen Sie den Befehl Fehler initiieren. Alle Ressourcen in der Clustergruppe werden dann Offline geschaltet und danach auf einem anderen zur Verfügung stehenden Knoten im Cluster wieder in den Online-Zustand versetzt. Der Vorgang des Beendens und Startens der Ressourceninstanzen wird automatisch durchgeführt und dauert nur Sekunden.

3.38 Aktualisieren von Exchange Server 5.5-CJustern

Eine direkte Aktualisierung von Exchange Server 5.5-Clustem ist nicht möglich. Allerdings können Sie Exchange 2000 Server in einem bestehenden Standort installieren und die indü-ekte Aktualisiemngsstrategie anwenden, um die vorhandenen Postfächer in den neuen Exchaage 2000-Cluster zu verschieben.

4 Kapitel 8 Bereitstellen von Microsoft Outlook 2000 _241

4.1 Installationsarten von Microsoft Outlook 2000

Wenn Sie Outlookjedoch in einer Exchange 2000 Server-Organisation bereitstellen, sollten Sie stets die Option für Untemehmens- und Arbeitsgruppenumgebungen wählen.

4.2 Setup-Befehlszeilenparameter

iine vollständige Referenz aller verfügbaren Schalter und Optionen, anpassbarer Eigenschaften und deren Formate steht in Form einer Tabelle namens Setupref-xls zur Verfügung, die Sie in der Programmgruppe Office Information finden können, wenn Sie die Tools von Microsoft Office 2000 - Die technische Referenz installiert haben (klicken Sie aufStart, zeigen Sie dann aufProgramme, dann Microsoft Office Tools und dann Microsoft Office 2000 Resource Kit Documents). m die Tools herunter zu laden, besuchen Sie die Website http ://www.microsoft.com/office/ork/default.htm i

4.3 Setup.ini

Es ist einfacher, die erforderlichen Eigenschaften in einer Setup.ini-Datei anzugeben. Eine Setup.ini-Beispieldatei mit hilfreichen Kommentaren können Sie auf der Installations-CD von Outlook 2000 im Stammverzeichnis finden. Jeder Befehlszeilenopüon entspricht ein bestimmter .ini-Parameter.:

Altemativ dazu können Sie die Installationsdateien in einen freigegebenen Netzwerkinstallationspunkt kopieren und die Setup.ini in diesem Verzeichnis editieren. Wenn keine andere Datei über die Befehlszeile angegeben wird, verwendet das Setupprogramm die Setup.ini aus dem Installationsverzeichnis als Standardinitialisierungsdatei.

4.4 Anpassen des Installationspaketes

Sie haben die Möglichkeit, den Custom Installation Wizard zu verwenden, um den Outlook-Installationsprozess weiter anzupassen. Wie bereits zu Beginn dieses Kapitels erwähnt, ist dieser Assistent Bestandteil der Tools von Microsoft Office 2000 - Die technische Referenz. Dieses Tool ermöglicht Ihnen die Erstellung von .mst-Transformationsdateien, die vom Windows-Installationsdienst während des Setupprozesses angewendet werden. Transformationsdateien geben Ihnen die Möglichkeit, die Einstellungen aus der .msi-Datenbank für den Windows-Installationsdienst zu überschreiben.

4.5 Anlegen eines administrativen Installationspunktes

Ein administrativer Installationspunkt ist ein freigegebenes Netzwerkverzeichnis, das angepasste Dateien für eine Netzwerkinstallation enthält. Der administrative Installationspunkt muss explizit über den Setupparameter /A angelegt werden. Innerhalb des Installationspunktes können Sie die Setup.ini editieren oder eine Transformationsdatei erstellen und dann Outlook über das Netzwerk bereitstellen.

Sie können die Befehlszeile Setup.exe /a Datal.msi verwenden, um die OutlookDateien in einen Installationspunkt auf einem Netzwerkserver zu kopieren. Sie müssen den CD-Key und einen Organisationsnamen angeben. Diese Informationen werden für alle Outlook-Installationen von diesem Verzeichnis verwendet. Darüberhinaus müssen Sie den Lizenzvereinbarungen zustimmen.

Anmerkung: Über den Befehl Setup /a wird die Paketdatei Datal.msi modifiziert, um das Netzwerkverzeichnis als administrativen Installationspunkt zu identifizieren.

4.6 Der Profilassistent

Inmittelbar nach der Erstinstallaüon von Outlook aufeinem neuen Computer gibt es noch kein Messagingprofil. Allerdings ist der Client ohne dieses nicht funktionstüchtig und dementsprechend fragt Outlook automatisch alle erforderlichen Informationen beim ersten Start des Clients ab, um ein güldges Messagingprofil zu erstellen. Um Messagingprofile bequemer zu erstellen, verwenden die meisten Organisationen den Custom Intallation Wizard. Nachdem Sie diesen Assistenten aufgerufen haben, können Sie im Dialogfeld Customize Outlook Installation Options die Option Customize Outlook Profile and Account Information auswählen und dann die Einstellungen wie gewünscht vomehmen (siehe Übung 2). Der Custom Installation Wizard speichert Ihre Änderungen in der Transfonnationsdatei ab. Während der Installation von Outlook werden diese Einstellungen dann in die Registrierung des Clients übernommen. Sie brauchen also keine Outlook.prf mehr in das Windows-Verzeichnis zu kopieren, und haben die Möglichkeit, das vorhandene Profil zu überschreiben, was bei Einsatz der Outlook.prf nicht möglich ist.

4.7 Hinzufügen von Features

Der Custom Maintenance Wizard ermöglicht Ihnen die Erstellung von .cmw-Dateien, die Sie dann zur Modifizierung emer vorhandenen Installation verwenden können.

4.8 Neuinstallation von Outlook 2000

wenn Sie ein ActiveX-Steuerelement, beispielsweise Outlctlx.dll, in Ihre Installation aufgenommen haben und ein Benutzer löscht diese Datei aus Versehen vom Computer, dann wird eine einfache Neuinstallaäon von Outlook im Wartungsmodus das Problem nicht beseitigen. Selbst die komplette Deinstalladon und erneute Installation von Outlook 2000 bringt keine Lösung. Die Outlctlx.dll wird nicht noch einmal während der nachfolgenden Installation unter Verwendung der Transformationsdatei auf den Computer kopiert. Da die zur Transfonnationsdatei hinzugefügten Inhalte als dauerhaft angesehen werden, müssen Sie die Registrierung auf dem Clientcomputer vor dem emeuten Start des Setupprogramms editieren, um die Neuinstallation oder Löschung zu erzwingen.

4.9 Konfigurieren des Exchange-Transports

Der Exchange Server-Transport ist die wichtigste MAPI-Komponente, die Outlook zur Kommunikation mit Exchange 2000 Server verwendet.

Diese Lektion behandelt die Konfiguration und Optimierung des Exchange-Transportdienstes. Die kann automatisch, vor der Installation von Outlook, durchgeführt werden (wie in Lektion 1 demonstriert), oder manuell, wie im Folgenden besprochen.

4.10 Exchange-Transportkomponenten

Der Exchange-Transportdienst stützt sich für die Client/Server-Kommunikation auf RPCs. RPCs werden für die gesamte Kommunikaüon des Clients mit dem Server verwendet, selbst wenn Sie nur den Exchange-Transportdienst konfigurieren.

Die Softwarekomponenten, die miteinander über RPCs in Verbindung treten, können über eine Vielzahl von Netzwerkprotokollen Daten austauschen, einschließlich lokale RPCs (Local Procedure Calls, LPCs), Transmission Control ProtocoVIntemet Protocol (TCP/U3), Intemetwork Packet Exchange/Sequenced Packet Exchange (IPX/ SPX), Banyan Vines, Named Pipes und NetBIOS.

5 Kapitel9 Auf MAPI basierende Clients (Ab Seite 287 )

5.1 Messaging Application Proaramminq Interface

MAPI ist nur eine Spezifikation aber in sich selbst kein Messagingsystem. MAPI stellt eine allgemeine Möglichkeit dar, aufMessagingsysteme im Backbone zuzugreifen. Sie benötigen also einen MAPI-Informationsdienst für die vorhandene Messagingumgebung, bevor Sie irgendeinen MAPI-Client in dieser verwenden können.

5.2 Das MAPI-Subsystem

Eines der wichtigsten Aufgaben des MAPI-Subsystems ist es, mehrere Messagingsysteme gleichzeitig oder in separaten Sitzungen zu unterstützen.

MAPI definiert standardisierte Schnittstellen auf zwei Ebenen für die Erstellung von Clientanwendungen und die Entwicklung von Informationsdiensten.

5.2.1 Teilschnittstellen von MAPI

Informationsdienste

Adressbücher

Nachrichtenspeicher

5.2.1.1 Informationsdienste

Vie bereits angesprochen, verwendet der Client die Transportdienste, um auf die verschiedenen Backbones unabhängig von deren Datenformaten oder Mechanismen zum Senden und Empfangen von Nachrichten zuzugreifen.

5.2.1.2 Adressbücher

Der Adressbuchprovider ist eine wesentliche Komponente des MAPI-Subsystems, denn ohne verfügbare Empfängerobjekte wäre es nicht möglich, neue Nachnchten zu erstellen. Um die Adressauflösung auszuführen, kommuniziert der Client mit dem MAPI-Adressbuchdienst - beispielsweise dem Exchange Server-Adressbuch.

5.2.1.3 Nachrichtenspeicher

MAPI-Clients speichem alle E-Mail-Nachrichten, Textdokumente, Tabellenkalkulationen, Multimediadateien und elektronische Fonnulare, sowie andere Objekte in Ordnerstmkturen ab, die sich auf einem Server oder dem lokalen Computer befinden können.

5.2.1.4 Transportprovider

Die Nachrichtentransportprovider sind für die physische Nachrichtenzustellung verantwortlich. Diese Dienste erhalten ausgehende Nachrichten vom MAPI-Subsystem und übergeben diese dem zugrunde liegenden Messagingbackbone, für das sie zuständig sind. Der Nachrichtentransportprovider übergibt außerdem empfangene Nachrichten zur Zustellung an den Client an das MAPI-Subsystem.

5.3 Erstellen von Messaqinqprofilen

Ein Messagingprofil, auch MAPI-Profil genannt, ist eine Zusammenstellung derjenigen Informationsdienste, die in einer bestimmten Sitzung aktiviert werden sollen. Alle erforderlichen Konfigurationsparameter werden im Profil gespeichert.

Das MAPI-Subsystem ist nicht in der Lage, mit mehreren Profilen gleichzeitig zu arbeiten, allerdings können mehrere Profile aufeinem Computer angelegt werden. Ein Profil könnte dem Zugriff auf Ihr Postfach auf einem Exchange 2000-Server dienen und ein anderes eine Verbindung zu einem Intemetdiensteanbieter (Internet Service Provider, ISP) herstellen,

5.4 Konfigurieren von Offlineordnern

Wichtig Eventuell existiert bereits eine .ost-Datei (standardmäßig \Winnt\Outlook.ost, wenn Sie bei der Erstellung des Profils im Setup-Assistenten die Frage, ob Sie den Computer auf Reisen verwenden, mit Ja beantwortet haben. Die .ost-Dateien werden Messagingprofilen zugeordnet. Wenn Sie ein neues Profil erstellen, müssen Sie eine neue .ost-Datei anlegen und diese synchronisieren, bevor die Offlineordner mit dem neuen Profil verwendet werden können.

Sie können den Offlineordnerspeicher über die Eigenschaften des Exchange-Transportdienstes innerhalb des Messagingprofils konfigurieren. Sie können die Eigenschaften z.B. über den Befehl Dienste aus dem Menü Extras von Outlook anzeigen, wenn Sie auf der Registerkarte Dienste den Eintrag Microsoft Exchange Server auswählen und dann aufdie Schaltfläche Eigenschaften klicken. Wechseln Sie zur Registerkarte Erweitert. Hier werden Sie eine Schaltfläche mit der Bezeichnung Einstellungen Offlineordnerdatei finden, über die das Dialogfeld EinsteIIungen für Offlineordnerdatei angezeigt werden kann.

5.5 Konfigurieren von Nachrichtenordnern für die Offlinearbeit

In Outlook 2000 können Sie die lokale Replikation von serverseidgen Nachrichtenordnem über die Registerkarte E-MaiI-Dienste des Dialogfelds Optionen konfigurieren. Sie müssen allerdings zuerst eine .ost-Datei anlegen. Dann können Sie auf die Schaltfläche Offlineordner-Einstellungen klicken, um die Ordner für die Offlinearbeit auszuwählen. Die Systemordner Posteingang, Postausgang, Gelöschte Objekte, Gesendete Objekte, Kalender, Entwürfe, Kontakte, Journal, Notizen und Aufgaben werden automatisch repliziert, sobald Sie die Offlineordner in Outlook aktivieren. Im Dialogfeld OfHineordner-Einstellungen können Sie jedoch weitere serverseitige private oder öffentliche Ordner für die lokale Replikation konfigurieren.

Es ist außerdem möglich, zusätzliche Ordner explizit für die Synchronisation zu konfigurieren, wenn Sie die Eigenschaften des jeweiligen Ordners anzeigen. Bei dieser Vorgehensweise müssen Sie mit der rechten Maustaste auf den gewünschten Ordner klicken, um den Befehl Eigenschaften auszuwählen. Auf der Registerkarte Synchronisierung, die angezeigt wird, sobald Sie den Offlineordnerspeicher eingerichtet haben, können Sie unter Dieser Ordner steht zur Verfügung die Option Im Online und Offlinebetrieb auswählen. Der ausgewählte Ordner kann von nun an synchronisiert werden.

Tipp: Wenn Sie einen öffentlichen Ordner für die lokale Replikation konfigurieren wollen, müssen Sie den Ordner zunächst zum Container Favoriten hinzufügen. Sie können den öffentlichen Ordner dann genauso wie einen privaten Ordner konfigurieren.

5.6 Zusammenfassung des Kapitels

Alle MAPI-Clients erfordem ein Messagingprofil, das den Satz an Informationsdiensten, wie Adressbuchprovider, Nachrichtenspeicher und Transportdienste, beschreibt, die in einer bestimmten Clientsitzung verwendet werden sollen. Sie können zwar mehrere Profile im Microsoft Outlook Setup-Assistenten konfigurieren, aber nur ein Profil zu einem gegebenen Zeitpunkt verwenden.

6 Kapitel 10 - MAPI-CIients in Novell NetWare-Umgebungen (Ab S. 315)

6.1 Lektion 1: Integration von Windows 2000 mit Novell NetWare

Native Novell NetWare-Arbeitsstationen können auf Exchange 2000-Resourcen nicht ohne eine zusätzliche Netzwerkkomponente zugreifen - den Client für Microsoft Netzwerke.

Dieses Kapitel behandelt in Lektion 1 die wichtigsten Aspekte der Integration von Windows 2000 Server und NetWare und stellt einige Tools vor, die die tägliche Arbeit erleichtem können

Diese Lektion behandelt die Verwaltungs- und Konfigurationsaufgaben, denen Sie gegenübergestellt werden, wenn Sie Windows 2000 Server und NetWare in einem Netzwerk zusammenschalten.

Die Konfiguration von Netwerkkomponenten wird vorgestellt, z.B. des NWLink IPX/SPX-kompatiblen Transports, des Gateway Service für NetWare (GSNW) und des Service Advertising Protocol (SAP)-Agenten.

6.2 NWLink-gestützte Verbindungen

In NetWare-Netzwerken wird häufig das Intemetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX)-Protokoll verwendet. Die entsprechende WindowsImplementierung trägt den Namen NWLink IPX/SPX-kompatibler Transport, der Einfachheit halber aber auch oft als IPX/SPX bezeichnet.

Um Arbeitsstationen mit IPX/SPX zu unterstützen, müssen Sie NWLink auf Ihrem Exchange 2000-Server aufder Windows 2000-Ebene installieren.

6.3 Rahmentypen

In der Standardkonfiguraüon wird der Rahmentyp automatisch erkannt. Wenn Sie allerdings mit Kommunikationsproblemen konfrontiert werden, ist die Deaktivierung der automatischen Rahmentyperkennung eine gute Idee.

Ethemet II, 802.3, 802.2, SNAP

Ethemet

Token Ring, SNAP

Token Ring

802.2, SNAP

FDDI

ArcNet-Pakets

ArcNel

6.4 Konfigurieren der externen Netzwerknummer

Wenn Sie Rahmentypen manuell konfigurieren, müssen Sie auch eine exteme Netzwerknummer fürjeden Rahmentyp festlegen. Die exteme Netzwerknummer entspricht einer achtstelligen Zahl, die als IPX-Netzwerk-ID bekannt ist und die das NetWareNetzwerk identifiziert.

Anmerkung Windows 2000 kann die exteme Netzwerknummer automatisch erkennen. Wenn Siejedoch mehrere Rahmentypen oder Netzwerkkarten verwenden, müssen Sie diese manuell angeben.

6.5 Konfigurieren der internen Netzwerknummer

Die inteme Netzwerknummer identifiziert die NetWare-Server und möglicherweise auch Windows 2000-Server. Diese Nummer ist vom Rahmentyp unabhängig und mu- ünNetWare-Netzwerk eindeutig sein.

6.6 NetBIOS über NWLink

Allerdings müssen die Router zwischen den Arbeitsstationen und den Servern auch den IPX-Pakettyp 0x1 routen, sonst kann keine NetBIOS-Kommunikation über IPX stattfinden

6.7 IP-basierte Verbindungen

31ücklicherweise unterstützt Novells aktuelle Versior (NetWare 5) echtes IP und ermöglicht Ihnen den Einsatz von Arbeitsstationen, die nur mit TCP/IP konfiguriert sind.;

6.8 Vorteile von TCP/IP

Es ist vorteilhaft, TCP/IP in NetWare-Umgebungen einzusetzen, denn TCP/IP vereinfacht die Integration von Exchange 2000 Server weitestgehend. Exchange 2000 Sen er erfordert ohnedies TCP/IP und wenn NetWare TCP/IP ebenfalls unterstützt, können Sie die Installation von NWLink auf dem Exchange 2000-Computer und damit den Protokoll- und Konfigurationsoverhead vermeiden.

6.9 Installieren der Gateway (und Client) Services für NetWare

GSNW ist ein zusätzlicher Dienst, der Windows 2000 Server für die Kommunikation mit NetWare-Servern konfiguriert. Wenn Sie GSNW installieren können Sie mit ihrem Exchange 2000-Server auf NetWare-Ressourcen zugreifen.

Anmerkung Die Gateway (und Client) Services für NetWare erfordem NWLink und werden in Umgebungen, die ausschließlich TCP/IP verwenden, nicht unterstützt.

6.10 Konfigurieren von Windows 2000 Server als Gateway zu NetWare-Servern

Windows 2000 Server greift auf die NetWare-Server über ein spezielles NetWare-Konto zu, das ein Mitglied der speziellen NetWare-Gruppe NTGATEWAY sein muss. Ein Novell NetWare-Administrator muss das Konto und die Gruppe aufdem NetWare-Server anlegen, bevor Sie die Gateway (und Client) Services für NetWare über das Dienstprogramm GSNW aus der Systemsteuerung konfigurieren können.

Windows 2000 Server als Gateway zu NetWare arbeiten und die eingehenden Pakete der Microsoft-Clients in das korrekte NetWare-Format umsetzen kann, um so den nativenen Microsoft-Arbeitsstationen den Zugriff auf NetWare-Ressourcen zu ermöglichen.

6.11 Datei- und Druckdienste für NetWare

Die Datei- und Druckdienste für NetWare versetzen die Benutzer von NetWareArbeitsstationen in die Lage, mit Dateien, Druckem und Anwendungen auf einem Windows 2000-Server zu arbeiten.

6.12 SAP-Agent

Die Unterstützung von SAP ist erforderiich, da NetWare-CUents dieses Protokoll für die Namensauflösung verwenden.

Der SAP-Agent gibt den Windows 2000-Server im NetWare-Netzwerk nicht selbst bekannt. Dies ist die Aufgabe von GSNW. Allerdings sind beide Komponenten erforderiich, damit der Windows 2000-Server sich im IPX-Netzwerk unter Verwendung von SAP-Broadcastpaketen registrieren kann. Die SAP-Broadcastpakete enthalten den Servernamen und die inteme IPX-Netzwerknummer.

6.13 NDS und Active Directory

Wenn Sie Exchange 2000 Server in eine NetWare-Umgebung integrieren wollen, müssen Sie Benutzerkonten und Postfachinformationen in einer Active Directory-Gesamtstruktur zusätzlich zum NetWare-Verzeichnis pflegen. Leider gibt es zwischen den beiden Systemen ohne Einsatz zusätzlicher Komponenten keine Benutzerkonto- oder Kennwortsynchronisierung.

6.14 Manuelle und Automatische Anmeldung

Wenn Sie mit einer nativen NetWare-Arbeitsstation arbeiten, melden Sie sich zuerst an NetWare an. Wenn Sie später Outlook 2000 aufrufen, um auf ein Postfach auf einem Exchange 2000-Server zuzugreifen, müssen Sie sich in einem zweiten Schritt an der Active Directory-Domäne anmelden. Dementsprechend wird das Dialogfeld Anmelden beim Start des Clients angezeigt, das Sie zur Eingabe von Benutzemame, Domäne und Kennwort auffordert.

Um die automatische Anmeldung zu ermöglichen, müssen Sie die Kontoinformationen in beiden Umgebungen gleich halten.

6.15 Verzeichnissynchronisatior

Es ist schwierig, die Kontoinformationen von NetWare und Windows 2000 manuell zu synchronisieren. Glücklicherweise istjedoch ein automatischer Synchronisationsmechanismus in Form der Microsoft Directory Synchronization Services (MSDSS) von Microsoft erhältlich.

MSDSS ermöglicht Ihnen die Synchronisierung von Active Directory-Benutzerkonten mit Konten in NDS oder der Bindery, einschließlich der Kennwortinformationen.:

6.16 Lektion 2: Outlook- und NetWare-Clientanforderungen

Die Integration von Exchange 2000 Server in ein NeiWare-Netzwerk erfordert nur wenige Konfigurationsschritte auf den NetWare-Arbeitsstationen.

Diese Lektion diskutiert die Komponenten, die Sie auf einer NetWare-Arbeitsstation konfigurieren müssen, um auf einen Exchange 2000-Server zugreifen zu können.

6.16.1 Netzwerkkommunikationsanforderungen

Wenn Sie Microsoft Windows 95/98, Windows NT Workstation oder Windows 2000 Professional einsetzen, können Sie den Microsoft Client Service ffir NetWare installieren. Eine andere mögliche Option ist die Installation der Novell NetWare-Clientsoftware, die das volle Spektrum der NetWare-Funktionalität, einschließüch verbindungsloser Anmeldungen, unterstützt.

6.16.2 Kommunikation mit einem Exchange 2000-Server

In Novell NetWare 5-Umgebungen kann stattdessen auch TCP/ IP verwendet werden, wenn dieses Protokoll in der Umgebung unterstützt wird.

6.16.3 ActiveDirectory-Authentifizierung

Wie bereits erwähnt, kann Outlook 2000 unter Windows 2000 Professional die für die NetWare-AnmeIdung verwendeten Benutzerinformationen automatisch verwenden.

6.16.4 Novell NetWare Client

Wenn Sie die Novell NetWare-Clientsoftware auf Ihrer Arbeitsstation installiert haben, sollten Sie sicherstellen, dass Ihr Computer Mitglied einer Windows 2000-Domäne ist, anderenfalls funktioniert die automatische Anmeldung an Exchange 2000 nicht.

6.16.5 Clientverbindungsprobleme und das Dienstprogramm RPCPing

RPCPing ist eher eine Programmfamilie als ein einzelnes Dienstprogramm für die Ubeqmifung der RPC-basierten Client/Server-Kommunikation. Ein Teil muss auf dem Server aufgerufen werden und der andere Teil aufder Arbeitsstation

6.16.6 Optimieren des Clientstarts

Der Exchange-Transportdienst versucht über verschiedene RPC-Kommunikationsmethoden der Reihe nach eine Verbindung aufzubauen, bis dies erfolgreich durchgeführt werden kann. Unter Windows 2000 wird die Reihenfolge über den Wert RPC_ BINDING_ORDER in der Registrierung unter folgendem Schlüssel bestimmt

Um die Clientkonfiguration zu optimieren, sollten Sie RPCs über SPX als bevorzugten Kommunikationsmechanismus angeben, wenn Ihr primäres Netzwerkprotokoll IPX/ SPX ist. Wenn Sie das Schlüsselwort ncacn_spx an den Anfang der Zeichenkette stellen (erste Position), wird der Client zuerst RPCs über SPX versuchen und überflüssige Verbindungsversuche werden vermieden.

Die Standardeinstellung ist:

HKEV-LOCALMACHINE \SOFTWARE \Microsoft \Exchange \Exchange Provider

nca1rpc,ncacn_ip_tcp,ncacn_spx,ncacn_np,netbios,ncacn_vns_spp

6.16.7 Zusammenfassuna des Kapitels

Die Integration von Exchange 2000 Server in eine NetWare-basierte Umgebung wirft mehrere Fragen auf, die erledigt werden müssen, um den NetWare-Benutzern den Zugriff auf ein Postfach in Outlook 2000 zu ermöglichen. Auf den Clientcomputern ist die Installation des Clients für Microsoft-Netzwerke erforderlich, denn nur dieser unterstützt die RPC-Kommunikation. Auf dem Server müssen Sie NWLink installie-en, wenn Ihre NetWare-Arbeitsstationen nicht für die Verwendung von TCP/IP konfiguriert sind.

Sie können auch FPNW installieren, um die Windows 2000-Server wie NetWare-ähnliche Server im Netzwerk zu präsentieren.

7 Kapitel 11 - Unterstützung von Internet-Clients (Ab S. 333)

7.1 Lektion 1: Unterstüteung von Internet-Protokollen... 332

7.1.1 Versenden von Nachrichten über SMTP

Im SMTP/ESMTP-Sendeprozess muss zunächst eine Verbindung zu TCP-Port 25 des Remotecomputers aufgebaut werden, um Nachrichten übertragen zu können. Das SMTP-Remotesystem, beispielsweise ein Exchange 2000-Server, beantwortet die eingehende Anforderung. Die SMTP-Sitzung wird aufgebaut und die E-Mail-Nachrichten können gesendet werden (siehe Abbildung 11.1).

Die wichtigsten Elemente einerjeden SMTP-Kommunikation sind die Willkommensnachricht, die vom Server zum Client übertragen wird, der HELO-Befehl (oder EHLO-Befehl für ESMTP) für die Initiiemng der Sitzung, der MAIL FROM-Befehl, um die Absenderadresse bekanntzugeben, RCPT TO, um Mailempfänger anzugeben, und DATA, um die Übertragung der Nachrichten einzuleiten. Der Befehl QUIT beendet die aktuelle Sitzung und leitet den Abbau der Verbindung ein (siehe Abbildung 11.2).

Anmerkung Alle ESMTP-Sitzungen beginnen mit dem Befehl EHLO, im Gegensatz zum Befehl HELO, welcher eine normale SMTP-Sitzung einleitet.

7.1.2 Namensauflösung

Wndows 2000 unterstützt mehrere Mechanismen für die Namensauflösung, die HOSTS-Datei, DNS, Windows Intemet Name Service (WINS), die LMHOSTS-Datei und Active Directory. Exchange 2000-Server, die zur gleichen Organisation gehören, können einander über Active Directory lokalisieren.

Abbildung 11.2 Senden von SMTP-Nachrichten

7.1.3 Mail Exchanger-Einträge

In DNS werden Mail Exchanger (MX)-Einträge verwendet, um auf die Computer zu verweisen, die SMTP-Verbindungen handhaben können. Es ist allgemein üblich, mehrere SMTP-Server in einer Organisation zu betreiben. AIso können mehrere MX-Einträge pro Intemet-Domäne existieren. Es ist möglich, mehr oder weniger wichtige Hosts zu identifizieren, denn den MX-Einträgen müssen Prioritäten zugewiesen werden. Nur wenn die höher priorisierten Hosts (diejenigen mit den geringsten Prioritäi.swerten) nicht erreicht werden können, werden die Hosts mit geringem Prioritäten verwendet. 3er Einsatz mehrerer Mail-Exchanger ermöglicht die Lastverteilung und die Erhöhung der Fehlertoleranz für eingehende Nachrichtenverbindungen.

7.1.4 Um NSLookup für die Abfrage von DNS-MX-Einträgen zu verwenden

Geben Sie den Befehl cmd ein und klicken Sie auf OK, um die Windows 2000-Eingabeaufforderung zu öffnen. Geben Sie nslookup ein und drücken Sie die EINGABETASTE. Geben Sie set type=mx ein und drücken Sie die EINGABETASTE. 3eben Sie microsoft.com ein und drücken Sie die EINGABETASTE. An dieser Stelle sollten Sie die MX-Einträge der Domäne microsoft.com einsehen können

7.1.5 Postoffice-Protokoll, Version 3

Abbildung 11.4 Der Verlauf einer POP3-Sitzung

7.1.6 Internet-Mail-ZugangsprotokoII, Version 4

IMAP4 ist ein modemes Intemet-Protokoll, das Ihnen die Möglichkeit gibt, mit allen Arten von serverseitigen Nachrichtenordnem zu arbeiten. Mit anderen Worten, wenn Sie einen IMAP4-konformen Client verwenden, sind Sie nicht aufdie Arbeit mit dem Posteingang wie bei POP3 beschränkt. Sie können alle Nachrichten komplett auf dem Server belassen. Allerdings ist es auch möglich, einen lokalen Nachrichtenspeicher einzurichten, um beispielsweise vom Server getrennt zu arbeite

IMAP4 ist leistungsfähiger als POP3, denn es ermöglicht Ihnen die Arbeit mit allen möglichen Arten von Nachrichtenordnem, einschließlich den öffentlichen Ordnem.

7.1.7 Network-News-Transferprotokoll

Das USENET ist ein Kommunikaüonsnetzwerk, das NNTP verwendet und aus verteil ten Diskussionsforen besteht, die Newsgroups genannt werden auf jeden Fall baut der Client eine Verbindung zu TCP-Port 119 auf, um Befehle und Antworten mit dem Server auszutauschen (sieb

7.1.8 Lightweight-Directory-Zugangsprotokoll

LDAP ist ein Derivat des X.500-Verzeichniszugangsprotokolls (Directory Access Protocol, DAP). Dieses Protokoll wurde ursprünglich an der Universität von Michigan entwickelt, um hierarchische Verzeichnisse auf der Grundlage von Objektattributen effizienter aufbauen und auf diese zugreifen zu können. Dieser Industriestandard ist in RFC 1777 beschrieben.

7.1.9 LDAP-Features

Da LDAP fiir die Kommunikation über das Intemet entwickelt wurde, verwendet dieses Protokoll TCP/IP für die Client/Server-Kommunikation. Der Server wartet● normalerweise an TCP-Port 389 aufeingehende Anforderungen.

Für möglichst plattformunabhängige Funktionalität zwischen Client und Server, verwendet LDAP das X.500-Namensschema. Mit anderen Worten, Systeme, die Verzeichnisobjekte über Distinguished Names (DNs) referenzieren (z.B. ein globaler Katalogserver von Windows 2000), stellen ideale Umgebungen für LDAP-Clients dar.

Wenn Sie mit einem Intemet-Mailclient, wie Outlook Express, in einer Exchange 2000 Server-Organisation arbeiten, werden die erforderlichen Adressinformationen über LDAP und Active Directory bereitgestellt. Bei der Konfiguration Ihres LDAP-Clients, sollten Sie den TCP-Port 3268 statt des standardmäßigen Ports 389 angeben, um den globalen Katalog zu erreichen.

Die folgenden Ports ermöglichen Ihnen die Kommunikation mit Active Directory über LDAP:

● Port 389 für Active Directory-Domänencontroller

● Port 636 für Active Directory-Domänencontroller über Secure Sockets Layer

● Port 3268 für globale Katalogserver

● Port 3269 für globale Katalogserver über SSL

Anmerkung Wenn Sie aufTCP-Port 389 zugreifen, können Sie nur die Objekte innerhalb der lokalen Domäne des Active Directory-Domänencontrollers abfragen. Über TCP-Port 3268 können Sie auf Adressinfonnationen aus der gesamten Active Directory-Gesamtstruktur zugreifen. Allerdings werden nur die für die Replikation mit dem globalen Katalog markierten Attribute zurückgeliefert.

7.2 Lektion 2: Konfigurieren von virtuellen Protokollservern

Wenn Sie beispielsweise beabsichtigen, den Zugriff auf Exchange-Ressourcen ausschließlich über HTTP zu unterstützen, sollten Sie die Dienste Microsoft Exchange POP3, Microsoft Exchange IMAP4 und Network News-Transportprotokoll (NNTP) im Snap-In Dienste beenden und dann deren Starttyp auf Manuell setzen.

7.2.1 Konfigurationen von virtuellen Protokollservern

IIS unterstützt das Konzept von virtuellen Servern. Uber virtuelle Server kann ein einzelner Computer wie mehrere Server erscheinen. Das ist insbesondere für IntemetDienstanbieter (Intemet Services Providers, ISPs) interessant, die zahlreiche unabhängige Websites für ihre Kunden auf einer kleinen Anzahl von Servern bereitstellen. Sie können mehrere virtuelle Server auf einem einzelnen Computer ausführen.

7.2.2 Standardmäßige virtuelle Server

Im Exchange System-Manager können Sie zusätzliche virtuelle Protokollserver auf Ihrem Exchange 2000-Computer mittels einiger weniger Mausklicks erstellen. Wenn Sie die Knoten in der Konsolenstmktur erweitem, werden Sie einen Container namens Protokolle unterjedem Serverobjekt finden. Jedes Intemetprotokoll wird als separater Container dargestellt, der die entsprechenden virtuellen Protokollserver enthält. In der Standardkonfiguration existiert nur ein virtueller Server pro Protokoll.

7.2.3 Hinzufügen von virtuellen Servern

Wenn Sie nüt der rechten Maustaste auf einen Protokollcontainer klicken (HTTP, IMAP4, NNTP, POP3 oder SMTP) und auf Neu zeigen, können Sie den Befehl Virtueller <ProtokolI>-Server wählen, um einen virtuellen Protokollserver zur Konfiguration hinzuzufügen.

7.2.4 IP-Adresse und Portnummer

Ein zweiter virtueller Server kann nicht dieselben Portnummern verwenden, weil nur ein Prozess auf einen bestimmten Socket (IP-Adresse+Portnummer) gleichzeitig zugreifen kanr

Tabelle 11.1 Standard.Ports für Internet-ZugriffsprotokoUe

HTTP 80

IMAP4 143

POP3 110

SMTP 25

7.2.5 Anpassen von virtuellen Servereinstellungen

Um die Einstellungen eines virtuellen Servers zu konfigurieren, sollten Sie den entsprechenden Protokollcontainer öffnen, mit der rechten Maustaste auf den gewünschten virtuellen Server (z.B. Virtueller Standardserver für IMAP4) klicken und dann aus dem Kontextmenü den Befehl Eigenschaften wählen. Auf der Registerkarte Allgemein können Sie beispielsweise auf Erweitert klicken, um das Dialogfeld Erweitert anzuzeigen, in dem Sie die erforderlichen Änderungen der IP-Adresse und der Portzuordnungen vornehmen können.

7.2.6 Metabase und Active Directory

Wie in Kapitel 3 Die Architektur von Microsoft Exchange 2000 Server● erläutert wurde, verwaltet der IIS seine Konfigurationsinformationen primär in einer Metabase, wogegen Exchange 2000 Server die Konfigurationsinformationen hauptsächlich in Active Directory speichert. Wenn Sie die Intemetprotokolle im Exchange SystemManager verwalten, konfigurieren Sie Einträge in Active Directory. Es ist die Aufgabe des Metabase-Aktualisierungsdienstes, die Anderungen in die Metabase zu übertragen. Da die Metabase-Aktualisierung einige Minutea in Anspruch nehmen kann, werden iie Änderungen nicht sofort wirksam.

7.2.7 Authentifizierungsmethoden

Auf der Registerkarte Zugriff können Sie die Schaltfläche Authentifizierung finden, über die Sie die Clientauthentifiziemngsmethoden (anonyme Anmeldung, Standardauthentifizierung, integrierte Windows-Authentifizierung) aktivieren oder deaktivieren können.

7.2.8 Anonymer Zugriff

Exchange 2000 Server unterstützt den anonymen Zugriff auf öffentliche Ordner über HTTP und NNTP. Bei aktivierter anonymer Anmeldung brauchen die Benutzer für den Zugriff keine Benutzerinformationen zum Server zu übertragen. Mehrere Konfigurationsschritte sind erforderlich, um diese Form des Zugriffs zu aktivieren. Zunächst müssen Sie die anonyme Anmeldung für das entsprechende Protokoll oder virtuelle HTTPVerzeichnis im Exchange System-Manager aktivieren. Darüber hinaus müssen Sie ein anonymes Konto an gleicher Stelle angeben. Normalerweise ist dies das IIS-Gastkonto IUSR_<Servername>. In einem dritten Schritt müssen Sie innerhalb des Exchange System-Managers oder Outlook 2000 anonyme Zugriffsberechtigungen auf die gewünschten öffentlichen Ordner gewähren.

7.2.9 Standardauthentifizierung

Bei aktivierter Standardauthentifiziemng (die Standardeinstellung), brauchen die Clients den Benutzemamen und das Kennwort nicht zu verschlüsseln. Die Clients können diese Informationen in unverschlüsseltem (und leicht dekodierbarem) Textformat an den Server senden. ;s ratsam, die Standardauthentifiziemng zu deaktivieren, wenn Sie den ZugriffaufExchange 2000-Ressourcen über das Intemet zulassen wollen

Für die Standardauthentifizierung genügt normalerweise die Angabe Dires Benutzernamens und des Kennworts.

7.2.10 Digestauthentifizierung

Die Digestauthentifizierung ist ein wichtiger Authentifizierungsmechanismus, wenn Sie Instant Messaging-Benutzer unterstützen wollen, die auf ihre Homeserver über einen HTTP-Proxy zugreifen. Tedoch müssen Sie die reversible Kennwortverschlüsselung unter Windows 2000 Server aktivieren, um die Digestauthentifizierung zu unterstützen. Aktivieren Sie die Option Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern in einer Gruppenrichtlinie, z.B. der Sicherheitsrichtline für Domänen.

7.2.11 IntegrierteWindows-Authentifizierung

Die integrierte Windows-Authentifiziemng (früher als Microsoft Windows NT Challenge/Response-Authentifiziemng bezeichnet) ist komplexer und sicherer als die Standard- oder die Digestauthentifizizierung, denn diese Methode stützt sich auf die Netzwerksicherheitsmechanismen von Windows,

Zusätzlich zum Challenge/Response-Mechanismus wird bei Verwendung der Windows-Authentifizierung das Authentifizierungsprotokoll Kerberos Version 5 unterstützt. Allerdings muss auch Dir Browser, wie Intemet Explorer 5.0 von Windows 2000, das Kerberos-Protokoll unterstützen, sonst muss das Challenge/Response-Protokoll verwendet werden

7.2.12 Konfigurieren von Sicherheitsoptionen

Die integrierte Windows Authentifizierung funktioniert gut in Umgebungen, in denen die Benutzer mit Clients arbeiten, die diese Authentifizierungsmethode unterstützen (Internet Explorer und ähnliche Programme) und wenn das Netzwerk das Challenge/ Response-Protokoll und das Kerberos-Protokoll unterstützt. Dies ist normalerweise im Intranet der Fall. Über das Intemet, besonders über HTTP-Proxyverbindungen, kann die Windows-Authentifizierung allerdings nicht verwendet werden. Wenn Sie beispielsweise auf einer Uriaubsreise mit einem Webbrowser in einem Intemet Cafe auf Ihr Postfach zugreifen wollen, werden Sie sich wahrscheinlich nicht an Ihrer Windows 2000-Domäne direkt anmelden können.

7.2.13 Standardauthentifizierung über verschlüsselte Kommunikationswege

Ein verschlüsselter Kommunikationskanal ermöglicht den Schutz der Benutzerinformationen plus aller nachfolgenden Daten. Um die Kommunikationsstrecken abzusichem, sollten Sie die zur Verfügung stehenden Sicherheitsfeatures aufder Grundlage von SSL aktivieren und erzwingen.

7.2.14 Secure Sockets Layer

Jm die Clientdaten über SSL zu verschlüsseln, müssen sich Client und Server auf ein Sicherheitsniveau einigen, das sie während der Sitzung verwenden wollen. Diese Informationen werden automatisch in Form eines X.509-Zertifikats währenddes Sicherheits-Handshakes getauscht, welcher Bestandteil der Initialisierung der TCP/IPVerbindung ist.

7.2.15 Installieren eines Sicherheitszertifikats auf dem Server

Um den IMAP4-basierten Zugriff auf die Postfachressourcen über das Intemet in verschlüsselter Form zu ermöglichen, müssen Sie ein Sicherheitszertifikat aufdem Server über die Registerkarte Zugriffdes virtuellen IMAP4-Servers installieren. Klicken Sie auf dieser Registerkarte auf die Schaltfläche Zertifikat, um den Assistenten zur Ver

7.2.16 Erzwingen der sicheren Kommunikation

Sollten Sie über eine Onlinezertifikatsstelle verfügen, wird das angeforderte Sicherheitszertifikat unmittelbar nach dem oben beschriebenen Prozess installiert. Sie können nun die Verschlüsselung der Client/Server-Kommunikation erzwingen, wenn Sie auf der Registerkarte Zugriff auf die Schaltfläche Kommunikation klicken und das Kontrollkästchen Sicherer Channel erforderlich auswählen. Wenn in Ihrer Umgebung die stärkere 128-Bit-Verschlüsselung unterstützt wird, können Sie darüber hinaus das Kontrollkästchen 128-Bit-Verschlüsselung aktivieren.

Anmerkung Ohne ein gültiges Zertifikat von einer Zertifikatberechtigung werden Sie nicht in der Lage sein, die Verschlüsselung zu aktivieren.

7.2.17 Authentifizierung durch Clientzertifikatszuordnungen

Jedes Mal, wenn sich ein Benutzer mit einem Clientzertifikat anmeldet, kann Ihr virtuiller Protokollerserver den Benutzer automatisch einem passenden Benutzerkonto zuordnen. Dementsprechend werden Ihre Benutzer automatisch angemeldet und brauchen keine weitere Authentifizierungsmethode einzusetzen. Allerdings kann die manuelle Zuordnung zahlreicher Clientzertifikate zu Windows 2000-Benutzerkonten eine enorme Verwaltungsaufgabe darstellen.

7.2.18 Konfigurieren von virtuellen NNTP-Servern

7.2.19 Newsgroup-Hierarchien

hre Benutzer können mit Outlook 2000 an Diskussionen in Newsgroups teilnehmen, die Sie mit dem USENET replizieren.:

7.2.20 Bereitstellen von Internet-Newsgroups

Der öffentliche Ordner namens Internet Newsgroups ist der Standardordner, zu dem

eingehende Newsgroups auf Ihrem Exchange 2000-Server repliziert werden.

iie können im Exchange lystem-Manager unterhalb dieses Stammordners öffentliche Ordner aber auch manuell erstellen.

7.2.21 Erstellen von Newsgroup-Hierarchien

Wenn Sie Ihre Newsgroups in mehreren Strukturen von öffentlichen Ordem außerhalb des Stammordners Internet Newsgroups bereitstellen wollen, müssen Sie zusätzliche Newsgroup-Hierarchien erstellen.

7.2.22 Moderierte Newsgroups

; moderierter öffentlicher Ordner oder moderierter Newsgroup-Ordner kann neue Nachrichten an einen Moderator weiterleiten. Der Moderator überprüft die neuen Infonnationen und stellt die zulässigen Beiträge im Newsgroup-Ordner bere

7.2.23 Newsgroup-Ablaufrichtlinien

iVie der Name verrät, können Sie dieses Objekt zur Konfiguration von Richtlinien verwenden, die bestimmen, wie lange die Artikel in den Newsgroups gespeichert werden.

7.2.24 Aktuelle Sitzungen

Altemativ dazu können Sie auch aufden Befehl Alle Beenden klicken. AIlerdings ist diese Form der Trennung nur eine temporäre Maßnahme, denn die meisten Newsreader-Clients stellen die Verbindung sofort wieder her, wenn die Benutzer Artikel lesen.

7.2.25 Konfigurieren von Newsfeeds

Der verbleibende Knoten unterhalb eines jeden virtuellen NNTP-Servers trägt die ezeichnung Newsfeeds. Wie der Name verrät, dient dieses Objekt der Konfiguration und Verwaltung von Newsfeeds.

7.2.26 Kontrollieren von eingehenden Newsgroups

Auf der Registerkarte Allgemein können Sie das Kontrollkästchen Newsfeed aktivien finden, das Ihnen die Möglichkeit gibt, einen bestimmten Newsfeed vorubergs hend zu deaktivieren. Dies kann besonders dann nützlich sein, wenn Sie bemerken, dass ein Newsfeed zu viele Artikel zu Direm Server repliziert. Deaktivieren Sie den Newsfeed, fügen Sie weitere Hardware hinzu oder verschieben Sie andere Exchange 2000-Ressourcen (z.B. Postfächer) zu einem anderen Server

7.2.27 Zusammenfassung der Übung

Exchange 2000 Server und Outlook Express unterstützen sämtliche wichtigen InternetClientprotokolle. Daher können Sie Outlook Express als Mehrzweck-Exchange-Client konfigurieren und verwenden. Sie können auflhren Posteingang über POP3 zugreifen. Alle Nachrichtenordner einschließlich der öffentlichen Ordner sind außerdem über IMAP4 zugänglich. Darüber hinaus können Sie auf öffentliche Ordner, die als Newsgroups konfiguriert wurden, über NNTP zugreifen. Das Senden von Nachrichten erfolgt via SMTP und Verzeichnisabfragen werden über LDAP ausgeführt. Die Konfigurationsparameter zur Anbindung an Exchange 2000 Server unterscheiden sich nicht von den Einstellungen, die für irgendeinen anderen Intemet-Host notwendig wären.

7.2.28 Zusammenfassung des Kapitels

Der IIS von Windows 2000 verwaltet alle Intemet-Clientprotokolle. SMTP- und NNTP-Dienst werden in Exchange 2000 Server bei der Installation integriert. Das Setupprogramm von Exchange 2000 Server fügt darüber hinaus die IMAP4- und POP3-Protokolldienste zum IIS-Prozess hinzu. LDAP wird direkt von Windows 2000 über Active Directory unterstützt.

Auf der Serverseite verwalten Sie die Intemet-Protokolleinstellungen vorwiegend im Exchange System-Manager, mit einer Ausnahme: Der virtuelle Standardserver für HTTP muss aus Gründen der Kompatibilität mit existierenden Exchange-fremden Websites im Intemetdienste-Manager administriert werden. Jedoch muss die Erstellung von zusätzlichen virtuellen Servern, die Änderung von Einstellungen für virtuelle Server und die Konfiguration von Newsgroups und des Web Storage Systems mit Hilfe des Exchange System-Managers ausgeführt werden.

Auf der Seite des Clients können Sie mit einer Vielfalt von Intemet-fähigen Programmen wie POP3- und IMAP4-Clients, Newsreadem oder sogar Windows-Explorer arbeiten, um auf Exchange 2000-Ressourcen zuzugreifen. Das Web Storage System, zugänglich über HTTP und WebDAV, kann neue Wege für die betriebssystemunabhängige Zusammenarbeit eröffnen. Praktisch kann jede Anwendung, einschließlich Microsoft OfFice und andere Win32-Programme, auf Exchange 2000-Ressourcen zugreifen.

8 Kapitel 12 Verwaltungsprogramme für Microsoft Exchange 2000 Server 375

8.1 Lektion 1: Tools und Snap-lns von Windows 2000

8.1.1 Internetdienste-Manager

Sobald Sie Exchange 2000 Server aufeinem Computer installiert haben, sollten Sie die Konfiguration der Intemet-Protokolle nicht mehr mit dem Internetdienste-Manager vomehmen - mit Ausnahme der Standard-Website, wie das in Kapitel 11 Unterstützung von Intemet-Clients● erklärt wurde

Wenn Sie den Intemetdienste-Manager für die Konfiguration von Websites verwenden, werden diese Anderungen direkt in die Metabase geschrieben und nicht zu Active Directory repliziert.

8.1.2 Registrierungseditoren von Windows 2000

legedit.exe ist einfacher zu verwenden als Regedt32.exe, wogegen Regedt32.exe mehr Funktionalität bietet (z.B. das Menü Sicherheit)

8.1.3 ADSI Edit

ADSI Edit bietet den Zugriff auf alle Attribute der Verzeichnisobjekte.

Das Snap-In ADSI Edit wird zwar nicht automatisch installiert, doch ist dieses Dienstprogramm im Lieferumfang von Windows 2000 Server enthalten. Sie können es auf der Windows 2000 Server-CD im Ordner \Support\Tools finden. Um dieses Dienstprogramm zu installieren, müssen Sie das Setupprogramm aus diesem Ordner aufrufen.

8.2 Lektion 2: Tools und Snap-lns von Exchange 2000 Server

Die systemeigenen Verwaltungsprogramme für Exchange 2000 Server werden während der Standardinstallaüon installiert.

Für die flexible Administration verteilter ixchange 2000-Server können Sie den Exchange System-Manager auf Ihrem Arbeitsplatz-PC einrichten.

8.2.1 Exchange-Systemverwaltungstools

Assistent für die Active Directory-Bereinigung, Active Directory-Benutzer und -Computer, Assistent für die Migration und System-Manager.

Mit dem Assistenten für die Active DirectoryBereinigung können Sie duplizierte Benutzerkonten zusammenführen, die eventuell während einer Phase der Koexistenz mit Exchange Server 5.5, wie in Kapitel 6 Koexistenz mit früheren Versionen von Microsoft Exchange Server● erklärt, angelegt wurden.

Der Assistent für die Migration ermöglicht Ihnen wiederum die Migration von Benutzerdaten und Adressinformationen aus fremden E-Mailsystemen.

Der Exchange System-Manager, um die Aufzählung abzuschließen, ist das Universalverwaltungstool für die Administration aller Aspekte von Exchange 2000 Server.

8.2.2 Verwaltungstools und Outlook 2000

Die Exchange-Systemverwaltungstools kommen mit einer neuen Version des Messaging Application Programming Interfaces (MAPI), die Outlook zur Anzeige von Warnmeldungen veranlasst. Da diese Konflikte nicht beseitigt werden können, ist es nicht empfehlenswert, Outlook 2000 zusammen mit den Exchange-Systemverwaltungstools auf dem gleichen Computer zu installieren.

Eine interessante Altemative für die Remoteadministration der Exchange 2000-Ressourcen, ohne direkte Installation der Dienstprogramme von Exchange 2000 Server auf einer Arbeitsstation, ist der Temünaldienst von Windows 2000

8.2.3 Systemrichtlinien

Die Systemrichtlinien werden in einem Container namens Systemrichtlinien venvaltet. Dieser Container existiert in der Standardkonfiguration allerdings nicht. Sie müssen diesen explizit zu Ihrer administrativen Gruppe hinzufügen, indem Sie aufdie administrative Gruppe mit der rechten Maustaste klicken, auf Neu zeigen und den Befehl Systemrichtliniencontainer wählen. Wenn Sie danach mit der rechten Maustaste aufden Container Systemrichtlinien klicken und aufNeu zeigen, können Sie neue Server-, Postfachspeicher- und öffentliche Informationsspeicherrichtlinien erstellen.

8.2.4 Serverrichtlinien

Serverrichtlinien dienen der Verwaltung des Nachrichtentrackings für mehrere Server. Nachrichtentracking ist ein Feature zur Protokolliemng von Informationen über die Nachrichtübertragung in einer Protokolldatei.

8.2.5 Richtlinien für Postfachspeicher

Die Richtlinien für Postfachspeicher ermöglichen Ihnen unter anderem die Planung von Wartungszyklen, die Definition von Speicherbegrenzungen und die Konfiguration der Volltextindizierung. Die Verwaltung von Postfachressourcen ist das Thema von Kapitel 13 Erstellen und Verwalten von Empfängerobjekten".

Sie können die folgenden Registerkarten für die Konfiguration von Richtlinien für Postfachspeicher verwenden:

● Allgemein Um einen öffentlichen Standardinformationsspeicher (siehe Kapitel 17 Verwalten von öffentlichen Ordnem") und ein Offlineadressbuch (siehe Kapitel 14 Verwalten der Serverkonfiguration") anzugeben und festzulegen, ob die Nachrichten aller Benutzer, die unter diese Richtlinie fallen, archiviert werden sollen.

● Datenbank Um ein Wartungsintervall zu definieren, während dessen die Systemaufsicht die Onlinedefragmentierung der Datenbanken derjenigen Server veranlasst, die unter diese Richtlinie fallen.

● Genzwerte Um Speichergrenzwerte (für Wammeldungen, Sendeverbot und Sende- und Empfangsverbot) anzugeben und einen Zeitabstand für die Wammeldungen zu definieren. Sie haben darüber hinaus die Möglichkeit, Aufbewahrungszeiten für gelöschte Objekte zu definiei

● Volltextindizierung Um ein Intervall für die Aktualisierung und die Neuerstellung des Indexes für die in den Postfächem gespeicherten Daten der Server zu definieren, die unter diese Richtlinie fallen.

8.2.6 Richtlinien für öffentliche Informationsspeicher

Die Richtlinien für öffentliche Infonnationsspeicher ermöglichen Ihnen die Konfiguration ähnlicher Einstellungen wie Postfachspeicherrichtlinien

Darüber hinaus können Sie Replikationsintervalle und Replikationsbegrenzungen definieren.

Sie können die folgenden Registerkarten für öffentliche Informationsspeicherrichtlinien konfigurieren:

● Allgemein Um anzugeben, ob die Messaging-Clients S/MIME-Signaturen unterstützen und ob eingehende Nachrichten aus dem Intemet in einer Schrift mit fester Größe dargestellt werden sollen.

● Datenbank Um ein Wartungsintervall zu definieren, in dem die Systemaufsicht die Onlinedefragmentiemng der Datenbanken veranlasst.

● Replikation Um ein Replikationsintervall zu definieren,

● Grenzwerte Um Speichergrenzwerte sowie ein Intervall für die Wammeldungen zu definieren.

● Volltextindizierung Um ein Intervall fiir die Aktualisierung und die Neuerstellung des Indexes für die in den öffentlichen Ordnem gespeicherten Daten der Server zu definieren

8.2.7 Richtlinienkonflikte

Der Exchange SystemManager verweigert deshalb die Zuweisung von mehreren widersprüchlichen Richtlinien zu einem einzelnen Server.

9 Kapitel 13 Erstellen und Verwalten von Empfängerobjekten (Ab S. 401)

Empfängerobjekte sind ein wesentlicher Bestandteil eines jeden Messagingsystems. Diese Objekte bilden die Adresslisten, aus denen die Benutzer die Nachrichtenempfänger auswählen, gegen die die Clientprogramme die Empfängeradressen auflösen und durch die Nachrichtenübermittlungsprozesse die Übertragungsziele bestimmen können. Microsoft Exchange 2000 Server verwaltet Empfängerinformationen komplett in Active Directory. Dies gestattet Ihnen unter anderem die Erstellung von Postfachinformationen für neu angelegte Benutzerkonten im Dienstprogramm Active DirectoryBenutzer und -Computer.

9.1 Lektion 1: Konfigurieren von Empfängerobjekten

9.1.1 Überblick zu Empfängerobjekten

Die potentiellen Empfängerobjekte in Active Directory sind Benutzerkonten, Kontakte und Gruppen. Diese werden zu Empfängerobjekten, sobald Sie diesen E-Mail-Adressinformationen hinzufügen.

Ganz allgemein sind Postfach-aktivierte Empfängerobjekte Benutzerkonten mit dazugehörigen Postfachinformationen.

Ein E-Mail-aktiviertes Objekt verfügt über eine E-Mail-Adresse, ist aber keinem Exchange-Postfach zugeordnet.

Abbildung 13.1 Unterschiede zwischen Postfach-aktivierten und E-Mail-aktivierten Benutzerkonten

9.1.2 Erstellen von Postfach- und E-Maihaktivierten Empfängerobjekten

Die Erstellung von Postfach- und E-Mail-aktivierten Empfängerobjekten entspricht der Erstellung von Benutzerkonten, Kontakten und Gruppen. Allerdings erfordem besoniers die E-Mail-aktivierten Empfängerobjekte einige Überlegungen zum Verzeichnisobjekt, das für diese angelegt werden soll.

9.1.3 Erstellen von Postfach-aktivierten Empfängern

Um auf der anderen Seite einem bereits existierenden Benutzerkonto ein Postfach zuzuweisen, müssen Sie auf das entsprechende Verzeichnisobjekt mit der rechten Maustaste klicken und aus dem Kontextmenü den Befehl Exchange-Aufgaben wählen.

Wie bereits erwähnt erstellen Sie nicht wirklich eine Postfachressource, wenn Sie einem Benutzerkonto Postfachinformationen hinzufügen. Empfängerobjekte werden in Active Directory gespeichert, wogegen Postfächer Repositories im Informationsspeicher darstellen. Wenn Siejedoch ein Benutzerkonto Postfach-aktivieren, geben Sie unter anderem einen Postfachspeicher an, in dem das Postfach angelegt werden soll. Wenn der Benutzer nun ein Clientprogramm startet, z.B. Outlook 2000, und sich am Server anmeldet, ermittelt der Client die Postfachinfonnationen via Active Directory. intaktiert den angegebenen Informationsspeicher und fordert die Erstellung des eigentlichen Postfachs an.

9.1.4 Erstellen von E-Mail-aktivierten Empfängern

Wenn Sie ein E-Mail-aktiviertes Benutzerkonto erstellen wollen, müssen Sie das Kontrollkästchen Exchange-Postfach erstellen während der Erstellung des Benutzerkontos deselektieren. Dies ergibt ein neues Benutzerkonto ohne dazugehörige Postfachinformationen

9.1.5 Verwalten von E-Mail-aktivierten Benutzerkonten und Kontakten

E-Mail-aktivierte Benutzerkonten sind Postfach-aktivierten Objekten sehr ähnlich. Diese haben lediglich (noch) kein Exchange-Postfach. Allerdings können diese Benutzer an Instant Messaging-Kommunikationen teilnehmen, denn dieses Feature ist nicht an ein bestimmtes Exchange-Postfach gebunden.

9.1.6 Besonderheiten von E-Mail-aktivierten Gruppen

Microsoft empfiehlt die E-Mail-Aktivierung von universellen Gruppen. Der offensichtlichste Nachteil von globalen Gruppen in einer Umgebung mit mehreren Domänen ist, dass dieser Gruppentyp keine Empfänger aus anderen Domänen umfassen kann.

Der Vorteil von universellen Gruppen ist, dass deren Mitgliedschaftsinformationen zum globalen Katalog repliziert werden.

9.2 Lektion 2: Postfach- und Ressourcenverwaltuna

Das Single Instance Storage-Feature Wenn Sie eine einzelne Nachricht an mehrere Benutzer auf dem gleichen Server senden, wird zunächst nur eine Kopie der Nachricht in der Datenbank gespeichert und alle Empfänger erhalten einen Zeiger auf dieses einzelne Objekt.

9.2.1 Speicherbegrenzungen

Jber Speichergrenzwerte können Sie Ihre Benutzer wamen, wenn deren Postfächer eine bestimmte Größe überschreiten (Warnmeldung senden ab [KB]), das Senden von Nachrichten verhindern (Senden verbieten ab [KB]) und das Senden sowie die Zustellung von Nachrichten unterbinden (Senden und Empfangen verbieten ab [KB]). Um die Grenzwerte zu konfigurieren, sollten Sie die Eigenschaften des gewünschten Postfachspeichers im Exchange System-Manager anzeigen und zur Registerkarte Grenzwerte wechseln. Altemativ dazu können Sie die Standardwerte für Ihre Server auch in einer Systemrichtlinie festlegen

Anpassen der Einstellungen der Standardrichtlinie Sie können die Einstellungen der Standardrichtlinie im Exchange System-Manager anpassen, wenn Sie den Container Empfänger erweitem und dann den Container Empfängerrichtlinien auswählen. Im Detailfenster wird das Objekt Default Policy (Standardrichtlinie) aufgelistet. Wenn Sie aufdieses Objekt doppelklicken, um dessen Eigenschaften anzuzeigen, können Sie feststellen, dass diese Richtlinie für alle Empfänger gilt (mailnickname=* unter Filterregeln auf der Registerkarte Allgemein). Wechseln Sie zur Registerkarte E-Mail.Adressen, wählen Sie den Eintrag für SMTP aus, klicken Sie auf Bearbeiten und fügen Sie die Zeichenfolge %g.%s am Anfang der Adressdefinition ein, beispielsweise %g.%[email protected]. (Tabelle 13.1 listet die verfügbaren Optionen auf).

TabeIIe 13.1 Optionen für Adressgenerierungsregeln

9.2.2 Empfängeraktualisierungen in Umgebungen mit mehreren Domänen

Da ein einzelner Empfängeraktualisierungsdienst nur eine einzelne Domäne aktualisieren kann, müssen Sie einen separaten Empfänger-Aktualisierungsdienst fürjede Domäne in Ihrer Organisation einrichten, die Benutzerkonten enthält. Wenn Sie wenigstens einen Exchange 2000-Server in allen Ihren Domänen installieren, werden die erforderlichen Objekte für Sie automatisch eingerichtet. Existieren jedoch Domänen ohne Exchange 2000 Server, müssen Sie diese Aufgabe manuell ausführen.

9.2.3 Export- und Importfeatures

9.2.3.1 Verzeichnisexport und -import mit LDIFDE

Windows 2000 Server umfasst eine sehr leistungsfähige befehlszeilenorientierte Anwendung (Ldifde.exe), die Massenverarbeitungen auf der Grundlage von LDIFDateien (LDIF = LDAP Directory Interface Format) ermöglicht. LDIF ist ein Standarddateifonnat für Stapelverarbeitungen in LDAP-konfonnen Verzeichnissen. Exchange 2000 Server kommt beispielsweise mit einer großen Anzahl von LDIF-Dateien, die in Active Directory während der Erstserverinstallation importiert werden.

9.2.3.2 Verzeichnisexport und -import mit CSVDE

In der Tat werden in großen Netzwerken mit heterogenen Messagingumgebungen die Adressbuchinformationen häufig im .csv-Format ausgetauscht, um die Adressinformationen bequem in das Exchange-Verzeichnis importieren zu können. Auch in Exchange 2000 Server können Sie .csv-Dateien zu diesem Zweck einsetzen.

Wie der Name verrät, können Sie das Dienstprogramm von Windows 2000 Server namens CSVDE für den Export und Import von CSV-stmkturierten Active DirectoryInfonnationen verwenden. "Commagetrennte Dateien eignen sich besser für die halbautomatisierte Verarbeitung in Microsoft Excel 2000.

10 Kapitel 14 - Verwalten der Serverkonfiguration (Ab S. 431)

10.1 Lektion 1: Verwalten von Serverressourcen

10.1.1 Speicherverwaltung im Exchange System-Manager

Der Exchange System-Manager kann aufjeden beliebigen Microsoft Windows 2000Domänencontroller zugreifen, um die Konfigurationsinformationen von Exchange 2000 abzufragen

Wichtig Wenn Sie Speichergruppen und Servereigenschaften konfigurieren wollen, sollten Sie sicherstellen, dass der ausgewählte Server im Netzwerk verfügbar und dessen Informationsspeicherdienst gestartet ist.

10.1.2 Speichergruppen und Informationsspeicher

Die Speichergruppen entsprechen Ansammlungen von Postfach- und öffentlichen Ordnerspeichem. Innerhalb einer Speichergruppe nutzen alle Informationsspeicher einen gemeinsamen Satz von Transaktionsprotokolldateien. Dementsprechend ist der Pfad zu den Transaktionsprotokollen der wichtigste Konfigurationsparameter einer Speichergruppe.

10.1.3 Für Speichergruppen stehen die folgenden Parameter zur Verfügung:

● Pfad des Transaktionsprotokolls

● Systempfad Gibt den Pfad zu den temporären Dateien an, die während einer Onlinesicherung oder der normalen Serverarbeit angelegt werden können. Der Systempfad verweist normalerweise ebenfalls auf das Verzeichnis der Transaktionsprotokolle.

● Präfix für Protokolldatei

● Gelöschte Datenbankseiten unwiderruflich löschen

● Umlaufprotokollierung aktivieren

10.1.4 Konfigurieren von Informationsspeichern

Sie können die Informationsspeicher in den Speichergruppen individuell oder bequemer über Systemrichtlinien verwalte

10.1.5 Konfigurieren von dedizierten Servern

Große Organisationen werden es sinnvoll finden, die Gesamtmenge von Postfächem auf mehrere Server zu verteilen. Dies erhöht die Skalierbarkeit der Umgebung, denn mehrere Server können dann gemeinsam die beim Postfachzugriff entstehende Arbeitslast bewältigen. Das trifftjedoch nicht aufdie öffentlichen Ordner zu. Ohne Replikation von öffentlichen Ordnem, die explizit eingerichtet werden muss, befindet sich jeder öffentliche Ordner nur auf einem einzigen Server

Die in Abbildung 14.1 dargestellte Organisation verwendet einen Server, aufdem alle öffentlichen Ordner gespeichert sind. Mehrere weniger leistungsfähige Computer ermöglichen jeweils einer Teilmenge von Benutzem den Zugriff auf die Postfächer. Selbst wenn alle Benutzer gleichzeiüg auf den öffentlichen Server zugreifen, wird davon die Leistungsfähigkeit der Postfachserver nicht beeinträchtigt.

Abbildung 14.1 Konfigurieren von dedizierten Postfach- und öffentlichen Ordnerservem

10.1.6 Erstellen zusätzlicher Speichergruppen und Informationsspeicher

Wenn Sie die Konzentration von Tausenden von Postfächem und öffentlichen Ordnem aufeinem einzelnen und leistungsstarken Computerbeabsichtigen, sollten Sie mehrere nformationsspeicher und Speichergruppen einrichten. Es wäre nicht ratsam, alle Resourcen in einen einzelnen Postfachspeicherbzw. öffentlichen Informationsspeicher zu packen, denn die Größe der Datenbankdateien könnte dann ins Unermessliche wachsen. Riesige Datenbanken können die Sichemngs- und Wiederherstellungsprozeduren sowie die normalen Wartungsarbeiten in wahre Alpträume verwandeln. Es ist äußerst ratsam, zeitraubende Wartungsarbeiten zu vermeiden.

Verteilen Sie wenigstens die Postfächer über mehrere Postfachspeicher in einer Spei;hergruppe. Sie können dann die einzelnen Datenbanken unabhängig voneinander bereitstellen oder die Bereitstellung aufheben. Mit anderen Worten, Sie können die Datenbanken getrennt sichem und wiederherstellen, ohne die anderen Datenbanken zu beeinträchtigen

Mehrere Informationsspeicher können die Leistungsfähigkeit erhöhen - vorausgesetzt, Sie platzieren die Transaktionsprotokolle und Datenbankdateien auf physisch separaten Festplattensystemen, wie in Abbildung 14.2 dargestellt. Die Speicherung der Transaktionsprotokolle von mehreren Speichergruppen auf einem gemeinsamen physischen Datenträger bringt keine Leistungsvorteile.

Abbildung 14.2 Mehrere Speichergruppen auf einem einzelnen Server

10.1.7 Volltextindizierung

10.1.8 Integration mit dem Microsoft Search-Dienst

Die gute Nachricht für Wissensarbeiter ist, dass Exchange 2000 Server intelligente Suchen nach Worten und Phrasen in Dokumenten und Nachrichtenanhängen unterstützt. Diese Funktionalität wird durch die Integraüon der Suchmaschine des Informationsspeichers mit dem Microsoft Search-Dienst erzielt (siehe Abbildung 14.6).

10.1.9 Der Microsoft Search-Dienst unterstützt die folgenden Aufgaben:

● Indizierung Verwaltet die Volltextkataloge und Indexe für Postfach- und öffentliche Informationsspeicher und aktualisiert die Volltextindexe.

● Abfragen Verarbeitet Volltextsuchen, die vom Informationsspeicher an die Suchmaschine übergeben werden, und liefert die Einträge aus dem Index zurück, die den Kriterien der Volltextsuche entsprechen, zurück

10.1.10 Indexieren des Informationsspeichers

Die Volltextindizierung kann fürjeden einzelnen Postfach- und öffentlichen Informationsspeicher separat aktiviert werden. Zuerst müssen Sie den Volltextindex für einen Informationsspeicher erstellen. Danach müssen Sie den Volltextkatalog des Speichers aufbauen. Sobald diese Arbeiten abgeschlossen sind, können Sie den Katalog für Volltextsuchen durch Clients verwenden. Sie können Aktualisierungs- und Wiederherstellungsintervalle definieren, um sicherzustellen, dass die Suchinformationen immer aktuell sind.

10.2 Lektion 2: Verwalten von administrativen Gruppen

Exchange 2000 Server unterstützt die Gruppierung von Servern auf zwei Ebenen. Physisch können die Server in Routinggruppen angeordnet werden. Routinggruppen defi zugestellt werden können.

Abängig vom physischen Netzwerk, können Sie die Server zu Zwecken der besser strukturierten Administration ebenfalls zusammenfassen. Diese Anordnungen werden administrative Gruppen genannt.

Sie müssen einen Server neu installieren, wenn Sie diesen zwischen zwei administrativen Gruppen verschieben wollen.

Administrative Gruppen dienen primär der Zuweisung von Berechtigungen. Wenn Sie im Exchange System-Manager mit der rechten Maustaste auf eine administrative Gruppe klicken, können Sie den Befehl Objektverwaltung zuweisen wählen, um den Assistenten für die Zuweisung von Verwaltungsberechtigungen auf ExchangeObjekte aufzurufen.

Ein Administrator mit passenden Berechtigungen auf der Ebene einer administrativen Gruppe kann die einzelnen Server in dieser Gruppe, die Routinggruppen, allgemeine Systemrichtlinien und öffentlichen Ordnerressourcen für alle oder eine Teilmenge von Servern konfigurieren. Dementsprechend sind die Konfigurationscontainer (d.h. Server, Systemrichtlinien, Routinggruppen und Ordner) direkt unterhalb einerjeden administrativen Gruppe angeordnet.:

10.2.1 Einrichten mehrerer administrativer Gruppen

Große nationale und internationale Organisationen mit mehreren IT-Abteilungen in verschiedenen Regionen oder Bereichen und dezentralisierten Ressourcen werden hingegen eine dezentralisierte Verwaltungsstruktur für ihre Bedürfnisse geeigneter finden. In eser Situation kann eine administrative Gruppe fürjede geographische Region oder Abteilung angelegt werden.

Verwenden Sie den Assistenten für die Zuweisung von Verwaltungsberechtigungen aufExchange-Objekte statt ADSI Edit, um die Berechtigungen für administraüve Gruppen zu verwalten.

10.2.2 Hinzufügen von Servern zu einer administrativen Gruppe

Sie können Server nur während der Installation zu einer administrativen Gruppe hinzufügen. Es ist nicht möglich, die Server zwischen administrativen Gruppen zu verschieben und es ist ebenfalls nicht möglich, Postfächer auf bequeme Art und Weise über die Grenzen von administrativen Gruppen hinweg im gemischten Modus zu verschieben. Sie sollten also die Topologie Ihrer administrativen Gruppen sorgfältig planen, bevor Sie Exchange 2000 Server installieren.

10.2.3 Entfernen eines Servers aus Active Directory

Es gibt zwei Strategien, einen Server aus einer Organisation zu entfemen. Die einfachste Möglichkeit ist, das Setupprogramm von Exchange 2000 auf dem Server, den Sie entfemen wollen, aufzurufen und im Dialogfeld Komponentenauswahl die Aktion Entfernen zu wählen,

Die zweite Methode ist, mit der rechten Maustaste aufdas Serverobjekt im Exchange System-Manager zu klicken, auf Alle Tasks zu zeigen und den Befehl Server entfernen zu wählen Nur Server, die nicht mehr verfügbar sind, können mit dieser Vorgehensweise gelöscht werden. Das ist normalerweise der Fall, wenn Sie den Server physisch aus dem Netzwerk entfemt oder das Betriebssystem ohne Wiederherstellung von Exchange 2000 Server von einem Backup neu installiert haben.

10.3 Lektion 3: Verwalten von serverseitigen Adresslisten

Die serverseitigen Adresslisten stellen eine Möglichkeit dar, die Strukturen Ihres Untemehmens detailliert im Adressbuch von Outlook 2000 wiederzugeben.

10.3.1 Domäneninformationen und globale Kataloge

Ein angemeldeter Benutzer, der das Adressbuch von Outlook verwendet, kann alle verfügbaren, zum globalen Katalog replizierten Attribute abfragen. Diese stellen somit eine gute Möglichkeit dar, eine detaillierte Ansicht der Strukturen Ihres Untemehmens im Outlook 2000-Adressbuch bereitzustellen.

10.3.2 Serverseitige Adresslisten

Serverseitige Adresslisten sind Verzeichnisobjekte, die in den Adressbüchem der CUents als Container angezeigt werden. "ie können Adresslisten im Exchange System-Manager konfigurieren. )ffnen Sie den Knoten Empfänger. Hier können Sie die Container Alle Adresslisten, Alle Globalen Adresslisten und Offlineadresslisten finden.

10.3.3 Offlineadresslisten

Die Offlineadresslisten müssen zunächst auf dem Server generiert werden, bevor die Clients diese herunterladen können. Die Offlineadresslisten entsprechend öffentlichen Systemordnem, die auf dem Server während des Wartungsintervalls des öffentlichen Informationsspeichers angelegt werden. Der Standort des Offlineadressbuchs kann auch geändert werden. Klicken Sie zu diesem Zweck auf der Registerkarte Allgemein des Konfigurationsobjektes der Offlineadressliste, unter Server für Offlineadresslisten, auf die Schaltfläche Durchsuchen. Die Verschiebung der Offlineadresslisten zu einem anderen Server ist besonders dann wichtig, wenn Sie den öffentlichen Informationsspeicher vom Server entfemen wolle

10.3.4 Adress- und Detailvorlagen

3ie auf dem Server gespeicherten Vorlagen | bestimmen, wie die Verzeichnisinformationen m Adressbuch des Clients dargestellt werden.

11 Kapitel 15 - Konfigurieren des SMTP-Transports (Ab S. 465)

Dieses Kapitel behandelt die Konfiguration von virtuellen SMTP-Servern und die Anpassung des SMTP-Dienstes. Dieses Kapitel diskutiert jedoch nicht die Administration des SMTP-Connectors, welcher umfangreiche Kontrollmöglichkeiten über die Nachrichtenübermittlung zu entfemten Standorten bietet.

11.1 Lektion 1: SMTP-Konfigurationen und virtuelle Server

Alle Exchange 2000-Server stützen sich standardmäßig auf einen virtuellen SMTPServer für die Kommunikation mit anderen Servern in der lokalen Routinggruppe.

11.1.1 Konfigurieren von zusätzlichen virtuellen SMTP-Servern

Ein virtueller Server könnte beispielsweise für den E-Mail-Verkehr von und zum Intemet zuständig sein und ein anderer könnte den Benutzern von Intemet-Mailclients zur direkten Übertragung von Nachrichten zum Server zur Verfügung stehen

Separate virtuelle Server ermöglichen Ihnen außerdem die getrennte Verwaltung von Nachrichtengrößen und anderen Einstellungen.

Jedem virtuellen Server muss ein eindeutiger TCP-Socket (d.h. eine IP-Adresse plus ein TCP-Port) zugeordnet werden.

Abbildung 15.1 Separate virtuelle Server für die öffentliche und die Clientkommunikation

11.1.2 Arbeiten mit virtuellen Servern

Sie können virtuelle Server unabhängig voneinander starten, beenden oder anhalten. Ein angehaltener Server verweigert die Annahme neuer Verbindungen, allerdings werden bestehende Verbindungen nicht getrennt.

11.1.3 Mailroot-Verzeichnisse von virtuellen Servern

Jeder virtuelle SMTP-Server verfügt über ein eigenes Maüroot-Verzeichnis. Alle Mailroot-Verzeichnisse befinden sich im Ordner VProgrammeVExchsrvrVMailroot und werden sequentiell durchnummeriert, z.B. \Vsi 1, \Vsi 2 usw. Alle diese Unterverzeichnisse beinhalten drei oder vier Unterordner namens VBadmail, \Pickup, \Queue und möglicherweise VFiIter.

11.1.4 Kontrollieren eingehender Verbindunqen

Sobald Ihr Server mit dem Intemet verbunden und in DNS öffentlich registriert wurde, können alle Hosts im Internet Verbindungen zu Ihrem Host aufbauen und Nachrichten übermitteln. Jede Verbindung verbraucht Serverressourcen. Viele gleichzeitige Verbindungen können die Systemleistung beeinträchtigen. Normalerweise erzwingt Exchange 2000 Server keine Begrenzungen. Wenn Ihr Server allerdings eine große Anzahl von Verbindungen bewältigen muss, sollten Sie die Zeitüberschreitungen für ie Verbindungen zu Direm virtuellen Server auf der Registerkarte Allgemein herabsetzen, um inaktive Verbindungen und damit Serverressourcen schneller wieder freizugeben. Der Standardwert für Zeitüberschreitungen ist 10 Minuten. Sie können auch einen Grenzwert für die Anzahl von eingehenden Verbindungen angeben.

11.1.5 Eingehende E-Mail-Domänen

Zusätzlich zur Weiterleitung eingehender Nachrichten an Ihren virtuellen SMTP-Server müssen die Namen der Domänen, für die Ihre Organisation verantwortlich ist, in Exchange 2000 Server als eingehende Domänen identifiziert werden. Anderenfalls erreichen zwar die Nachrichten Ihren Server, werden aber zurückgewiesen. In der Standardkonfiguration ist nur der SMTP-Hauptdomänenname Ihrer Exchange 2000 Server-Organisation als eingehende SMTP-Domäne koafiguriert. Wenn Sie weitere Domänen unterstützen müssen, beispielsweise weil einige Benutzer andere Internetadressen benötigen, z.B. Benutzer@ Bluesky-inc-10.co.uk, müssen Sie zusätzliche eingehende Domänen konfigurieren. Rufen Sie den Exchange System-Manager auf, öffnen Sie den Container namens Empfänger, wählen Sie Empfängerrichtlinien und klicken Sie dann im Detailfenster mit der rechten Maustaste auf die gewünschte Richtlinie.

11.1.6 Kontrollieren der Weiterleitung von Nachrichten

Sie können die Hosts, die Nachrichten über einen virtuellen Server weiterleiten dürfen, auf der Registerkarte Zugriff des virtuellen Servers angeben.

Abbildung 15.2 Weiterleiten von SMTP-Nachrichten

Es ist nicht empfehlenswert, die Relay-Einschränkungen für anonyme Verbindungen zu lockem. Dies könnte Sie zu einem Ziel derjenigen Personen im Intemet werden lassen, die wertvolle Ressourcen mit unaufgeforderten kommerziellen Nachrichten (Junkmail) verschwenden. Der Werbende braucht lediglich eine neue Nachricht zu erstellen und Tausende von Empfängem bequem aus einer Datenbank angeben, und diese eine Nachrichten dann zwecks Weiterieitung an Ihren Host senden. Die Arbeit des Clients ist schnell erledigt. Es ist der Host, der dann die kommerzielle Nachricht an die riesige Menge von Benutzem im Intemet senden muss. Verhindem Sie, dass Werbende im Intemet Ihr SMTP-System missbrauchen können!

11.1.7 Konfigurieren von Nachrichtenfiltern

Früher oder später werden Ihre Benutzer Junkmail empfangen. Das kann schnell überhand nehmen.

Um die Zustellung von Nachrichten aus bestimmten Quellen zu unterbinden, können Sie Nachrichtenfilter konfigurieren. Zeigen Sie die Eigenschaften des Objektes mit der Bezeichnung Nachrichtenübermittlung an, das Sie im Exchange System-Manager unter Globale Einstellungen finden können. Wechseln Sie zur Registerkarte Filtem und verwenden Sie dann die Schaltfläche Hinzufügen, um die Sender anzugeben, die Sie blockieren wollen.

Jm beispielsweise komplette Intemet-Domänen herauszufiltern, können Sie den Platzhalter wie folgt verwenden: *@machjedentageinemillion-mal-100.de.

11.1.8 Reverse DNS-Abfragen

Dieses Feature eignet sich eventuell gelegentlich für besondere Sicherheitsüberprüfungen.

11.1.9 Konfigurieren von Nachrichtenübermittlungsoptionen

Standardmäßig akzeptiert Exchange 2000 Server Nachrichten mit bis zu 5000 Empfängern. Nachrichten mit mehr Empfängern werden als unzustellbar zurückgewiesen. ~Die Begrenzungen können pro Benutzerkonto im Snap-In Active Directory-Benutzer und -Computer. auf der Registerkarte Exchange - Allgemein des Benutzerkontos, überschrieben werden.

Die Anzahl der Empfänger kann auf der Registerkarte Nachrichten des entsprechenden virtuellen SMTP-Servers eingeschränkt werden. Setzen Sie den Wert für Zahl d. Nachrichten pro Empfänger beschränken aufherab. Werte zwischen 100 und 2000000000 werden unterstützt.

11.1.10 Weiterleiten von Nachrichten mit unausgewerteten Empfängern

Anmerkung Um Nachrichtenschleifen zu vermeiden, sollten Sie Nachrichten mit unausgewerteten Empfängem nicht an andere virtuelle Server weiterleiten, wenn diese Server ebenfalls für die Weiterleitung von Nachrichten mit unausgewerteten Empfängem konfiguriert wurden.

Abbildung 15.3 Weiterleiten von Nachrichten mit unausgewerteten Empfängem an einen anderen Host

11.1.11 Verwalten des ausgehenden Nachrichtenverkehrs

Die Konfiguration des ausgehenden Nachrichtenverkehrs betrifft vorwiegend die Benachrichtigung lokaler Benutzer über den Zustellprozess. \uf der Registerkarte Ubermittlung eines jeden virtuellen SMTP-Servers können Sie die Intervalle für die Wiederholung der Ubertragung festlegen und angeben, wann Verzögemngsbenachrichtigungen generiert oder die Ubertragung abgebrochen werden soll. Normalerweise versucht ein virtueller SMTP-Server eine Nachricht ummittelbar nach deren Eintreffen zu übermitteln. ie ersten drei Ubennittlungsversuche werden in zehnminütigen Intervallen durchgeführt. Danach versucht der virtuelle Server die Übertragung alle 15 Minuten. Wenn eine Nachricht für 12 Stunden nicht gesendet werden konnte, wird der Absender informiert, dass die Nachricht die Empfänger noch nicht erreicht hat und weiter versucht wird, die Nachricht zuzustellen. Nach zwei Tagen wird die Nachricht verworfen und ein Unzustellbarkeitsbericht für den Absender generiert.

11.1.12 Optimierung ausgehender Verbindungen

Wenn Sie auf der Registerkarte Ubermittlung auf die Schaltfläche Ausgeh. Verbindungen klicken, können Sie verschiedene Verbindungsparameter konfigurieren, die die Leistung des virtuellen SMTP-Servers beeinflussen. Pro Domäne sind standardmäßig 100 gleichzeitige Verbindungen zulässig. Wenn Sie eine größere Anzahl von Nachrichten zwischen SMTP-Hosts übertragen müssen, könnte eine Erhöhung der Verbindungsanzahl sinnvoll sein, allerdings muss der Remote-Host all diese Verbindungen akzeptieren können. In der Standardkonfiguration ist Exchange 2000 Server in der Lage, 1000 gleichzeitige Verbindungen zu mehreren Internet-Domänen herzustellen und Nachrichten zu all diesen gleichzeitig zuzustellen

Jm den Remote-SMTP-Host nicht mit zahlreichen Nachrichten zu überfordem, ist die Anzahl der Nachrichten pro Verbindung standardmäßig auf 20 begrenzt (Registerkarte Nachrichten, Parameter Zahl d. Nachrichten pro Verbindung beschränken auf).

11.1.13 Nachrichtenübermittlung via Smart-Host

Im Dialogfeld Ausgehende Verbindungen (das Sie über die Schaltfläche Ausgeh. Verbindungen auf der Registerkarte Ubermittlung anzeigen können) können Sie auch ein Feld mit der Bezeichnung TCP-Anschluss finden. Über diesen Parameter können Sie die Portnummer für ausgehende Verbindungen festlegen. In den meisten Fällen werden Sie diesen Wert nicht ändem, denn davon sind alle Verbindungen betroffen. Intemet-Hosts erwarten eingehende Verbindungen beispielsweise generell über Port 25.

Wenn Sie allerdings mit einem Smart-Host kommunizieren, der eine benutzerdefinierte Portnummer verwendet, sollten Sie den Wert in diesem Feld entsprechend anpassen.

Abbildung 15.4 Weiterleitung von SMTP-Nachrichten über einen Smart-Host

11.1.14 Direkte Nachrichtenübertragung

Um in der Konfiguration Ihres virtuellen SMTP-Servers die Referenzen auf exteme INS-Server zu berücksichtigen, sollten Sie aufder Registerkarte Übermittlung auf die Schaltfläche Erweitert klicken. Klicken Sie dann im angezeigten Dialogfeld Erweiterte Übermittlungsoptionen unter Externe DNS-Server konfigurieren auf die Schaltfläche Konfigurieren. Sie können einen oder mehrere DNS-Server über ihre IP-Adressen angeben.

11.1.15 Automatische Antworten ins Internet

es kann in Organisationen, die ein hohes Maß an Sicherheit benötigen, ein lisiko darstellen. Abwesenheitsnachrichten können Eindringlinge beispielsweise darüber infonnieren, wie lange ein Benutzer vom Büro abwesend ist. ^ustell- und Unzutellbarkeitsberichte geben wiedemm darüber Aufschluss, ob eine bestimmte E-MailAdresse in der Tat korrekt ist. Es könnte also sinnvoll sein, bestimmte automatische Antworten ins Intemet zu unterdrücken, was über die Definition von Internet-Nachrichtenformaten bewerkstelligt werden kann. Standardmäßig gibt es nur ein Definitionsobjekt namens Standard, welches im Container Internet-Nachrichtenformate unter GIobale Einstellungen ;efunden werden kann. Zeigen Sie die Eigenschaften dieses Objektes an, wechseln Sie zur Registerkarte Erweitert und deselektieren Sie die Kontrollkästchen für diejenigen Nachrichtentypen, die Sie nicht zulassen wollen.

Wichtig Wenn Sie das Kontrollkästchen Automatische Weiterleitungen zulassen deselektieren, können die Benutzer eingehende Nachrichten nicht mehr über Posteingangsregeln an Intemet-Adressen weiterleiten. Die Nachrichten werden generiert und versendet, allerdings verwirft der virtuelle SMTP-Server diese stillschweigend und ohne einen Unzustellbarkeitsbericht zu generieren. Die Benutzer könnten sich wundem, wo Ihre Nachrichten stecken geblieben sind.

11.1.16 Kommunikation mit anderen Exchange-Organisationen über das Internet

Wenn Sie die Adressinformationen für Empfänger in anderen Organisationen in Active Directory verwalten, können Sie in den entsprechenden Kontaktobjekten angeben, ob Exchange-Rich-Text-Informationen gesendet werden sollen

11.1.17 Aktivieren der Exchange-Rich-Text-lnformationen pro Internet-Domäne

Wenn Dire Benutzer mit anderen Domänen kommunizieren und Sie wissen, dass diese ebenfalls Exchange und Outlook einsetzen, können Sie Exchange 2000 so konfigurieren, dass gmndsätzlich Rich-Text-Informationen gesendet werden.

11.1.18 Protokollieren der SMTP-Kommunikation

Zeigen Sie die Registerkarten Ihres virtuellen SMTP-Servers im Exchange SystemManager an und aktivieren Sie das Kontrollkästchen Protokollierung aktivieren auf der Registerkarte AIlgemein, um das Aufzeichnungsfeature zu aktivieren. fenn Sie die Informationen in einer Datenbank aufzeichnen wollen, sollfen Sie den Eintrag ODBC wählen.

11.2 Lektion 2: Anpassen des SMTP-Dienstes

Diese erklärt, wie Sie Intemet Würmem und anderen Viren, die überE-Mail-Nachrichten verbreitet werden, ein Ende bereiten können.

11.2.1 Handhabung von SMTP-Transportereignissen

Transportereignisse stellen einen Erweiterungsmechanismus für die Analyse von Nachrichten nach deren Empfang durch den SMTP-Dienst, jedoch noch vor deren Zustellung zu den Exchange-Postfächem oder deren Weiterleitung zu anderen SMTPHosts, dar.

11.2.2 Protokollereignisbehandlung

Es gibt zwei Arten von Protokollereignissen, die für den SMTP-Dienst erweitert werden können:

● Eingehende ProtokoIIereignisse Diese werden ausgelöst, wenn ein RemoteSMTP-Host oder ein Client eine Verbindung zum lokalen SMTP-Dienst herstellt und eine Sitzung über den Befehl HELO oder den Befehl EHLO aufbaut.

● Ausgehende Protokollereignisse Diese werden ausgelöst, wenn der lokale IMTP-Dienst eine Sitzung zu einem Remote-SMTP-Host aufbaut, um Nachnchten zu übertragen.

11.2.3 Virenschutz durch Transportereignissenken

Transportereignissenken stellen sehr leistungsfähige Tools für den Virenschutz dar. Ein Virenscanner könnte diese beispielsweise nutzen, um alle eingehenden Nachrichten zu berprüfen und all diejenigen sicher zu verwerfen, die infizierte Dateianhänge aufweisen.

Mailwürmem liegt ein sehr einfaches Prinzip zugrunde. Ein Empfänger öffnet eine infizierte Nachrichtenanlage und der Code des Virus wird ausgeführt. Der Virus fragt sämtliche Adressinformationen aus allen verfügbaren Adresslisten oder den übrigen Nachrichten im Posteingang ab und generiert eine neue Nachricht mit allen Adressen als Empfängem. Die neue Nachricht enthält wieder die infizierte Nachrichtenanlage, die von den nachfolgenden Empfängem emeut geöffnet wird, und so verbreitet sich der Vims wie eine Lawine. Ihre Organisaüon muss urplötzlich eine gewaltige Menge von E-Mail-Nachrichten verarbeiten, was häufig zur Überlastung der Kommunikationsinfrastruktur führt.

Neueste Versionen von Mailwürmem verändem jedoch die Betreffzeile injedem Zyklus. Es ist aber dennoch einfach, mit diesen fertig zu werden. Unfonnatierte EMail-Nachrichten können keine Viren enthalten. Eine infizierte Nachrichtenanlage ist erforderiich. Dementsprechend brauchen Sie lediglich alle eingehenden Nachrichten mit ausführbaren Anlagen abfangen, und Sie können verhindem, dass Mailwürmer Ihre Organisation erreiche

12 Kapitel 16 - Administration des Nachrichtenroutings (Ab S. 493)

Dieses Kapitel diskutiert den Aufbau von Routingtopologien in Exchange 2000-Organisationen. Das Kapitel erklärt, wie Routinggruppen verwaltet werden, um den Nachrichtentransfer zu optimieren. Es wird außerdem erläutert, wie Routing- und Verbindungsstatus-Informationen zwischen Servern verbreitet werden.

12.1 Lektion 1: Planen von Routinggruppen

Eine Routinggruppe ist eine Ansammlung von Exchange 2000-Servern, die typischerweise über permanente, zuverlässige und leistungsfähige Netzwerkverbindungen miteinander kommunizieren. In einer Routinggruppe kommunizieren alle Server dkekt über SMTP miteinander.

Der wichtigste Gmnd für die Planung von Routinggruppen ist die Reduzierung von Ubennittlungskosten durch Maximiemng der Efßzienz der Netzwerkkommunikation.

Der Sinn und Zweck von Routinggruppen in einer Exchange 2000-Organisation ist die Kontrolle und Optimierung der Nachrichtenübertragung zwischen den Servern.

wischen Routinggruppen stützt sich die Nachrichtenübertragung jedoch auf Messagingconnectoren

Falls erforderlich, können die Server in mehreren administrativen Gruppen verwaltet werden, selbst wenn diese Mitglieder der gleichen Routinggruppe sind. n der Standardkonfiguration gibt es nur eine Routinggruppe namens Erste Routinggruppe und alle Server werden während der Installation automatisch zu dieser Gruppe hinzugefügt

Abbildung 16.1 Eine ümgebung mit einer Routinggruppe und zwei administrativen Gruppen

In einer Umgebung mit nur einer Routinggruppe werden Connectoren lediglich für die Anbindung zu Fremdsystemen benötigt. Um ein Beispiel zu geben: Sie können den SMTP-Connector verwenden, um einen Intemet-Zugriffspunkt bereitzustellen (siehe Abbildung 16.2).

Abbildung 16.2 Ein Bridgeheadserver in einer Routinggruppe

Der Server, der den SMTP-Connector ausführt, wird Bridgeheadserver genannt. Wenn Sie nur über einen Bridgeheadserver verfügen, brauchen Sie nur eine Intemet-Verbindung mit Zugriff auf exteme DNS-Server zu konfigurieren. falls möglich, sollten Sie jedoch mehrere Bridgeheadserver in der Routinggruppe bereitstellen, um die Last zu verteilen und die Fehlertoleranz zu erhöhen. Die Konfiguration des SMTP-Connectors wird in Lektion 2 behandelt.

12.1.1 Die folgenden sind einige der Vorteile von Umgebungen mit einer einzigen Routinggruppe:

● Direkter Zugriff auf öffentliche Ordnei

nnerhalb einer Routinggruppe stehen alle lokalen öffentlichen Ordner zur Verfügung.

● Einfachste Verwaltung des Nachrichtenroutings

Es ist nicht notwendig, die Routingtopologie manuell zu verwalten,

● Effektives Routing von Nachrichten

Die Übermittlung der Nachrichten zwischen den Servern ist direkt und unmittelbar und erfordert keine dazwischen liegenden Bridgeheadserver (Single-Hop-Routing).

● Nachrichtenübermittlung via SMTP

12.1.2 Gründe für mehrere Routinggruppen

Falls Ihre Organisation Weitbereichsnetzwerkverbindungen (Wide Area Network, WAN) umfasst, ist die Kontrolle der Netzwerkkommunikation wünschenswert.

12.1.2.1 Die Implementierung mehrerer Routinggruppen ist in folgenden Situationen sinnvoll:

● Der Zugriff auf öffentliche Ordner muss kontrolliert werden.

● Dedizierte Bridgeheadserver sind zur Optimiemng der Nachrichtenübertragung notwendig.

● Die Standorte sind geographisch weit verteilt.

● Der Datenverkehr im Netzwerk muss reduziert werden.

● Instabile Netzwerkverbindungen beeinträchtigen die Leistungsfähigkeit der Nachrichtenübertragung.

● Übertragungen im WAN generieren Kosten und müssen optimiert werden.

12.1.3 Hierarchische Anordnungen von Routinggruppen

In einer hierarchischen Anordnung von Routinggruppen kontrolliert eine zentrale Routinggruppe mit Hub-Servern (Hub = Nabe) den gesamten Nachrichtentransfer zwischen den untergeordneten Gruppen, die auch als Spokes (Spoke = Speiche) bezeichnet werden

iese Architeküur verhindert das unkontrollierte Rerouting (Umleiten) von Nachrichten, welches in früheren Versionen von Exchange Server ein Problem darstellen konnte.

Installieren Sie Exchange 2000 Server zuerst im zentralen Standort. Sobald die Hub-Server bereitgestellt sind und zuverlässig arbeiten, können 5ie die untergeordneten Standorte neu bereitstellen oder aktualisieren. Zu einem späteren Zeitpunkt können Sie dann mit den neuen und sehr leistungsfähigen Routingfähigkeiten von Exchange 2000 Server experimentieren und Brücken zwischen den untergeordneten Routinggruppen implementieren,

12.1.4 Vollständig vermaschte Routinggruppenanordnung

Wenn Sie Brücken als Abkürzungen zwischen den untergeordneten Routinggruppen implementieren, können Sie die zentrale Routinggruppe zwecks effizienterer Nachrichtenübertragung umgehen. [n dieser Situation migrieren Sie Ihre Routingarchitektur allmählich zu einer vollständig vermaschten Anordnung, in der alle Routinggruppen miteinander direkt kommunizieren können und die Pingpong-Nachrichtenübermittlung zu den Bridgeheadservern vermieden wird,

12.1.5 GemischteRoutinggruppenanordnung

Die vollständig vermaschte Architektur beseitigt die Zwischenstationen im Übertragungspfad, denn alle Bridgeheadserver können direkt miteinander kommunizieren. Allerdings ist die Skalierbarkeit eingeschränkt, was ein entscheidender Nachteil der vollständig vermaschten Topologie ist. VIit steigender Anzahl von Bridgeheadservem gerät die Konfiguration von Connectoren zunehmend außer Kontrolle.

Große Organisationen könnten eine hierarchische Anordnung von vollständig vermaschten Subbackbones als am besten geeignet finden.

12.1.6 Verwalten von Routinggruppen

3ie können den Exchange System-Manager verwenden, um Routinggruppen zu erstellen, Server zwischen Routinggruppen zu verschieben, Routinggruppen umzubenennen oder um diese zu löschen,

Anmerkung Die standardmäßige Erste Routinggruppe wird normalerweise nicht angezeigt, es sei denn, Sie markieren explizit das Kontrollkästchen Routinggruppen anzeigen aufder Registerkarte Allgemein des Organisationsobjektes (z.B. Blue Sky Airlines [Exchange]). Wenn Sie darüber hinaus die administrativen Gruppen anzeigen, können Sie diese Routinggruppe im Container Erste administrative Gruppe finden. Alle Administratoren der ersten adnünistrativen Gruppe sind standardmäßig für das Nachrichtenrouting verantwortlich.

12.1.7 DedizierteRoutinggruppenverwaltung

Wenn Sie die Verwaltung von Routinggruppen an eine bestimmte Gruppe von Administratoren übertragen wollen, sollten Sie eine dedizierte administrative Gruppe erstellen, die alle Routinggruppen umfasst.

Die Konfiguration von Routinggruppen ist eine einfache Angelegenheit. Vorhandene Server können mit Leichtigkeit zwischen Routinggruppen verschoben werden. Sobald die Serverjedoch in verschiedenen Routinggruppen untergebracht wurden, sind zusätzliche Konfigurationsschritte erforderiich, um die Nachrichtenübermittlung zu gewährleisten. Ohne zusätzliche Connectoren ist die E-Mail-Kommunikation zwischen den Benutzem in verschiedenen Routinggruppen nicht möglich.

12.2 Lektion 2: Zusammenschalten von Routinggruppen

Nur Routinggruppenconnector (RGC), SMTP-Connector und X.400-Connector können diese Anforderungen erfüllen.

12.2.1 Der Routinggruppenconnector

Auf Grund seiner vielen Vorteile ist der RGC der bevorzugte Connector für Routinggruppen. Wie der Name verrät, kann der Routinggruppenconnector nur zwischen Roudnggruppen der gleichen Organisation eingesetzt werden. In echten Exchange 2000 Server-Umgebungen überträgt der RGC die Nachrichten im transportneutralen Encapsulation-Format (Transport Neutral Encapsulation Format, TNEF) via SMTP.

12.2.2 Lokale und Remote-Bridgheadserver

Es ist wichtig zu bemerken, dass der RGCjeden virtuellen SMTP-Server in der lokalen und Remote-Routinggruppe zur Übertragung verwenden kann, ohne die Nachrichten mleiten zu müssen. Nur im Fall, dass alle konfigurierten Remote-Bridgeheadserver unerreichbar sind, wird der RGC als nicht verfügbar markiert und die Nachrichten zu einem anderen Connector umgeleitet.

Sie können die lokalen virtuellen Bridgeheadserver auf der Registerkarte Allgemein des Connectors angeben. Standardmäßig ist die Option Jeder lokale Server kann E-Mail über diesen Connector senden aktiviert, was bedeutet, dass alle Server in der lokalen Routinggruppe als ausgehende Bridgeheadserver arbeiten können. Wenn Sie dedizierte Bridgeheadserver implementieren wollen, sollten Sie stattdessen die Option Diese Server können E-Mail über diesen Connector senden aktivieren und die Bridgeheadserver explizit angeben. Alle diejenigen Server in der lokalen Routinggruppe, die nicht ausdrücklich aufgeführt werden, müssen dann ihre Nachrichten zunächst zu einem lokalen Bridgeheadserver weiterleiten.

Remote-Bridgeheadserver werden wiederum auf der Registerkarte Remotebridgehead angegeben

Sie sollten in Erinnerung behalten, dass RGCs nur in eine Richtung arbeiten. Das heißt, dass die Nachrichten nur in Richtung der Remote-Routinggruppe fließen können. Um eine vollständige Messaginganbindung zu erzielen, müssen Sie RGCs in beiden Routinggruppen einrichten. Bei der Konfiguration eines RGCs kann der Exchange SystemManager die wichtigsten Konfigurationsparameter von der lokalen Instanz ermitteln und den gegenüberliegenden Connector für Sie automatisch erstellen.

12.2.3 Konfigurationseinstellungen

Um einen neuen RGC zu erstellen, müssen Sie die gewünschte Routinggruppe erweitem (z.B. Erste Routinggruppe), mit der rechten Maustaste auf Connectors klicken, auf Neu zeigen und dann den Befehl Routinggruppenconnector wählen. Uber diesen Befehl wird das Dialogfeld Eigenschaften für angezeigt, das sechs Registerkarten umfasst. In der Minimalkonfiguration müssen Sie wenigstens einen Namen auf dei Registerkarte Allgemein definieren, auf die Registerkarte Remotebridgehead wechseln und einen Remote-Bridgeheadserver angeben.

12.2.3.1 Die Eigenschaften von Rouünggruppenconnectoren umfassen die folgenden Registerkarten:

● AIlgemein

sTarnen für den RGC festzulegen, die Remote-Routinggruppe, zu der die Nachrichten übertragen werden sollen, anzugeben und die virtuellen SMTP-Server in der lokalen Routinggruppe zu definieren, die Nachrichten direkt zur Remote-Routinggruppe übertragen dürfen.

Costfaktor für die Verbindung festlegen.

können außerdem das Kontrollkästchen Keine Bezüge auf Öffentliche Ordner zulassen markieren, um die Benutzer von Outlook 2000 daran zu hindem, auföffentliche Ordnerinstanzen in der Remote-Routinggruppe zuzugreifen.

● Remotebridgehead

● Empfangseinschränkungen

● Inhaltseinschränkungen

● Übermittlungsoptionen

● Details

12.2.4 Der SMTP-Connector

Der primäre Verwendungszweck von SMTP-Connectoren ist die Anbindung von ixchange 2000 Server an fremde SMTP-Systeme, beispielsweise SMTP-Hosts oder andere Exchange 2000-Organisationen im Intemet. Der SMTP-Connector kann darüber hinaus aber auch statt Routinggruppenconnectoren verwendet werden, um Ubertragungswege zwischen den Routinggruppen in der lokalen Exchange 2000-Umgebung bereitzustellen.

Tipp Es ist vorteilhaft, SMTP-Connectoren für die Anbindung an das Intemet zu verwenden. Die Konfigurationseinstellungen des SMTP-Connectors haben eine höhere Priorität als die Einstellungen der virtuellen SMTP-Server. Sie haben die Möglichkeit, dedizierte Bridgeheadserver zu implementieren.

12.2.5 Routinggruppenconnectoren und SMTP-Connectoren

Sowohl die Routinggruppenconnectoren als auch die SMTP-Connectoren verwenden SMTP für die Nachrichtenübermittlung. Der RGC ist leichter zu verwalten, aber der SMTP-Connector bietet weitreichendere Kontrollmöglichkeiten über die Konfiguration des Nachrichtenroutings.

12.2.5.1 Sie sollten den Einsatz von SMTP-Connectoren anstelle von RGCs in folgenden Situationen in Erwägung ziehen:

● Sie müssen ausgehende Sicherheitseinstellungen konfigurieren, beispielsweise Transport Layer Security (TLS), um die Daten bei der Übertragung ohne IPSec zu verschlüsseln,

● Sie müssen Verbindungen zu fremden SMTP-Hosts herstellen, beispielsweise zum Intemet Mail-Dienst (Intemet Mail Service, IMS) früherer Versionen von Exchange Server oder zu anderen Exchange 2000-Organisationen.

● Sie müssen den Befehl TURN, ATRN oder ETRN verwenden, um Nachrichten aus ;iner Warteschlange eines anderen virtuellen SMTP-Servers abzufragen.

● Sie wollen die Nachrichten in einer Warteschlange zurückhalten, bis die Remotestation die Zustellung anfordert.

12.2.6 DNS und Smart-Host-Konfigurationen

Bei Verbindungen zum Intemet ist der SMTP-Connector in der Lage, exteme DNSServer nach Mail-Exchanger (MX)-Einträgen für Internet-Domänen abzufragen, die in den Empfängeradressen angegeben wurden.

12.2.7 SMTP-Connectoren zwischen Routinggruppen

Wenn ein SMTP-Connector zwischen zwei Routinggruppen eingesetzt wird, kann )NS nicht verwendet werden, denn die Nachrichten werden innerhalb der gleichen Domäne übertragen. Dementsprechend müssen Sie die Option Gesamte Mailuüe^ diesen Connector an diese Smarthosts weiterleiten aktivieren und den Namen oder die IP-Adresse (in rechteckigen Klammem) eines Servers in der Remote-Routinggruppe angeben.

12.2.8 Abfragen von E-Mail-Nachrichten über ETRN

Modeme ESMTP (Extended SMTP)-Systeme, einschließlich Exchange 2000 Server, unterstützen den ETRN-Befehl, der zur Abfrage von Nachrichten aus einer Warteschlange eines Remote-Hosts verwendet werden kann. Der SMTP-Connector unterstützt den ETRN-Befehl in vollem Umfang.

12.2.9 Konfigurationseinstellungen

Um einen SMTP-Connector zu erstellen, müssen Sie die gewünschte Routinggruppe erweitern (z.B. Erste Routinggruppe), mit der rechten Maustaste auf Connectors klicken, auf Neu zeigen und dann den Befehl SMTP-Connector auswählen. Über diesen Befehl wird das Dialogfeld Eigenschaften für angezeigt, das acht Registerkarten umfasst. In der Minimalkonfiguration müssen Sie einen Namen auf der Registerkart ^llgemein angeben und einen lokalen Bridgeheadserver definieren. Wenn Sie eine Verbindung zu einer anderen Routinggruppe herstellen, müssen Sie darüber hinaus auch einen Remote-SMTP-Host als Smart-Host angeben. Klicken Sie dann auf die Registerkarte Verbundene Routinggruppen und geben Sie die Remote-Routinggruppe an. Wenn Sie stattdessen eine Verbindung zum Internet herstellen, müssen Sie hingegen einen Adressraum vom Typ SMTP definieren.

12.2.10 Der X.400-Connector

Auch wenn sich Exchange 2000 Server für die eigene Nachrichtenübertragung auf SMTP stützt, könnte die Implementierung einer SMTP-basierten Kommunikationsinfrastruktur in Du-er Organisation Probleme aufwerfen. Das ist besonders dann der Fall, wenn Ihr Messagingbackbone auf X.400 basiert und verschiedene E-Mail-Systeme miteinander verbindet. Bei Verwendung von X.400-Connectoren können Sie Exchange 2000 Server mitjedem fremden X.400-System sowie früheren Versionen von Exchange Server und Exchange 2000 Server in anderen Routinggruppen und Organisationen zusammenschalten.

Tipp Setzen Sie X.400-Connectoren hauptsächlich zur Anbindung von Exchange 2000 Server an exteme X.400-Systeme ein.

12.2.11 Verbinden von Routinggruppen

Es könnte sinnvoll sein, X.400-Connectoren zwischen Routinggruppen über extrem unzuverlässige Netzwerkverbindungen mit geringer Bandbreite einzusetzen. X.4ÜU tia den Vorteil, dass abgebrochene Verbindungen aufintelligente Weise wieder aufgenommen werden können. In vielen Situationen kann die Nachrichtenübertragung genau an der Stelle fortgesetzt werden, an der die Verbindung zusammenbrach.

Der X-400-Connector ist der komplizierteste Connector von Exchange 2000 Server. Dieser Connector erfordert eine sorgfältige Konfiguration von MTAs, X.400-Transportstacks und X.400-Connectorkomponenten auf beiden Seiten der Kommunikationsverbindung. Die Konfiguration muss exakt übereinstimmen. Jeder Fehler, beispielsweise ein fehlerhaft eingegebener X.400-Remotename, veranlasst den Remote-MTA, die eingehenden Verbindungen zurückzuweisen.

12.2.12 Connectoren früherer Exchange-Versionen

Vie in Kapitel 6 Koexistenz mit fniheren Versionen von Microsoft Exchange Server● erläutert wurde, kann Exchange 2000 Server im gemischten Modus nahtlos mit früheren Versionen von Exchange Server integriert werden. Dies bedeutet, dass die Benutzer auf den alten Systemen die neuen Connectoren von Exchange 2000 für die Nachrichtenübermittlung verwenden können, und umgekehrt.

12.2.13 Exchange 2000 Server und frühere Versionen im gleichen Standort oder in der gleichen Routinggruppe

nnerhalb des gleichen Standortes oder der Routinggruppe wird X.400 über Remoteprozeduraufrufe (Remote Procedure Calls, RPCs) für die Server-zu-Server-Kommunikation zwischen Exchange 2000 Server und früheren Versionen von Exchange Server verwendet. Die Exchange 2000-Server kommunizieren untereinander allerdings weiterhin über SMTP via TCP/IP und nicht über RPCs.

Bevor Sie einen Exchange 2000-Server zu einer Exchange Server-Organisation hinzufügen können, müssen Sie den Active Directory Connector (ADC) installieren.

12.2.14 Gateway-Adress-Routingtabelh

Dennoch wird eine GWART generiert und zu Exchange Server repliziert. Dies ist ein wichtiges Feature, denn es ermöglicht den Benutzem von Postfächero aufExchange Server 5.5, Nachrichten über alle Connectoren, einschließlich der Connectoren von Exchange 2000 Server, zu versenden.

12.2.15 Kommunikation über Messagingconnectoren

[n der Tat werden automatisch RPCs statt SMTP verwendet, wenn Sie den Routinggruppenconnector zur Anbindung an Exchange Server 5.5 verwendei

12.2.16 Connectoren über Einwählverbindungen

Dennoch unterstützen alle Hauptconnectoren (RGC, SMTP-Connector und X.400-Connector) Einwählverbindungen über den Routing und Remote Access Service (RRAS) von Windows 2000.

12.3 Lektion 3: Verbindungsstatus-lnformationen

Exchange 2000 Server kommt mit einer leistungsfähigen Routingengine, die in derLage ist, die effizientesten Übermittlungswege anhand von Informationen über die aktuellen Bedingungen im Netzwerk zu bestimmen. Diese Lektion erläutert, wie Exchange 2000 Server den effizientesten Übennittlungsweg für die Nachrichten ermittelt. Darüber hinaus wird behandelt, wie Statusinformaionen über Connectoren zwischen den Servern innerhalb einer Routinggruppe und zwischen Routinggruppen übertragen werden.

12.3.1 Nachrichtenrouting

Nachrichtenrouting ist der Prozess, Nachrichten an ihre Ziele über virtuelle SMTP-Serververbindungen, Messagingconnectoren oder Gateways zu leiten, Der Routingprozess beginnt mit der Übergabe einer Nachricht an den SMTP-Transportdienst. Für jeden Empfänger einer gegebenen Nachricht muss die Routingengine das korrekte Zielsystem bestimmen. Zu diesem Zweck ist eine Kommunikation mit Active Directory erforderlich. Die Empfängerobjekte sind im Namenskontext der Domäne gespeichert. Der Configuration-Namenskontext enthält wiederum wichtige Connector- und Routinginformationen.

Anmerkung Für X.400-Connectoren und Connectoren zu fremden Messagingsystemen (Gateways) übemimmt der X.400-MTA das Nachrichtenrouting. Der X.400-MTA von Exchange 2000 Server stützt sich auf LDAP, um die erforderlichen Informationen von Active Directory abzufragen.

Nachrichten, die an lokale Empfänger gerichtet sind, werden an den Informadonsspeicherdienst übergeben, der die Nachrichten dann an die Postfächer der Benutzer zustellt. Befindet sich ein Empfänger nicht auf dem lokalen Exchange 2000-Server, muss die SIachricht entweder an einen anderen Server in der gleichen Routinggruppe über einen virtuellen SMTP-Server, zu einem Server in einer anderen Routinggruppe, oder zu einem fremden Mailsystem weitergeleitet werden.

12.3.2 Connectorauswahl

Um den bestmöglichen Connector zu bestimmen, wird die Verbindungsstatus-Tabelle (Link State Table, LST) überprüft. Nur die Connectoren aufverfügbaren Ubertragungsstrecken (Strecken, aufdenen alle Connectoren zur Verfügung stehen) werden in den Auswahlprozess einbezogei tehen mehrere Ubertragungsstrecken mit unterschiedlichen Kostfaktoren zur Verfügung, wird die Verbindung mit dem geringsten Gesamtkostfaktor verwendet (siehe Abbildung 16.14).

Abbildung 16.14 Eine Organisation mit mehreren Routinggruppen

12.3.3 Nachrichtenumleitung (Rerouting)

Falls ein Routinggruppenconnector eine Nachricht dreimal erfolglos zu seinen Remote-Bridgeheadservem zu übertragen versucht hat, könnten andere mögliche Connectoren für die Nachrichtenübennittlung ausgewählt werden. Sind alle möglichen Connectoren temporär außer Betrieb, verbleibt die Nachricht solange in der lokalen Warteschlange, bis wenigstens ein Connector wieder betriebsbereit ist. Veraltet die Nachricht in der Zwischenzeit (die Standardwartezeit ist 48 Stunden), sendet Exchange 2000 Server einen Unzustellbarkeitsbericht an den Absender.

12.3.4 Nachrichtenumleitung und Aktivierungszeitpläne

Sollten mehrere potentielle Connectoren eine Nachricht übermitteln können, überprüft Exchange 2000 Server die Aktivierungszeitpläne. Ein Connector, der gegenwärtig als aktiv markiert ist, befindet sich im Zustand Jetzt Aktiv.

12.3.5 Verbindungsstatus-lnformationenund Routinggruppenmaster

Verbindungsstatus-Informationen helfen bei der Analyse, ob ein bestimmter Connector oder eine Routinggruppe zum gegenwärtigen Zeitpunkt verfügbar ist. Sämtliche Verbindungsstatus-Infonnationen werden in einer LST zusammengefasst. Die LST wird verwendet, um die effizienteste Route für eine Nachricht auf der Grundlage der Connectorverfügbarkeit zu finden.

12.3.6 Verbindungsstatus-lnformationen

Verbindungsstatus-Informationen eliminieren das Problem von Nachrichtenschleifen zwischen den Servern, dennjeder Exchange 2000-Server kann die Verfügbarkeit eines jeden Connectors in der Organisation bestimmen, ie Verbindungsstatus-Infonnationen umfassen darüber hinaus die Kostfaktoren der Connectoren, um ein effizientes Nachrichtenrouting zu gewährleisten.

12.3.7 Die Verbindunqsstatus-Tabelle

Jeder Exchange 2000-Server verwaltet eine LST mit den Informationen über die aktuellen Zustände aller Connectoren. Die LST ist eine kleine, im Arbeitsspeicher gehaltene Datenbank undjeder Eintrag in dieser Datenbank (Routinggruppe, Connector, Server) erfordert 32 Bytes an Arbeitsspeicher. Die LST-Datenbank wird nicht auf der Festplatte gespeichert. Wenn Sie die LST im Detail untersuchen wollen, sollten Sie das Dienstprogramm Winroute verwenden. Winroute.exe ist aufder Exchange 2000 Server-CD im Verzeichnis \Support\Utils\i386 enthalten. Dieses Dienstprogramm wird in der Standard- und der Enterprise-Edition ausgeliefert. Winroute stellt eine Verbindung TCP-Port 691 (den Port für Verbindungsstatus-Informationen) des angegebenen Exchange 2000-Servers her, um die Verbindungsstatus-Informationen im Rohformat abzufragen. Winroute interpretiert die Daten, um diese einfacher analysieren zu können.

12.3.8 DerVerbindungsstatus-Algorithmus

Um die Verbindungsstatus-Informationen allen Servern in der Organisation zur Verfügung zu stellen, wird ein besonderes Protokoll, der Link-Status-Algorithmus (LSA), verwendet. LSA basiert auf dem Protokoll Open Shortest Path First (OSPF).

12.3.9 Ändern des Routinggruppenmasters

Dementsprechend sollten Sie einen anderen Server als Routinggruppenmaster im Exchange System-Manager angeben, wenn Sie den aktuellen Routinggruppenmaster für eine längere Zeitspanne herunterfahren wollen. Srweitem Sie die gewünschte Routinggruppe und wählen Sie den Container namens Mitglieder aus. Klicken Sie im Detailfenster auf das entsprechende Serverobjekt und wählen Sie den Befehl Als Master festlegen aus.

12.3.10 Nachrichtenumleitung auf der Grundlage von Verbindungsstatus-lnformationen

13 Kapitel 17 Verwalten von öffentlichen Ordnen (Ab S. 535)

Dffentliche Informationsspeicher enthalten auf der anderen Seite öffentliche Ordner, die allen Benutzem in der Organisation zur Verfügung stehen. Offentliche Ordner können auch organisationsübergreifend und über das Intemet eingesetzt werden. Diese Ordner sind eine ideale Gmndlage für erweiterte Workgroup- und WorkflowAnwendungen sowie für Informations- und Wissensmanagementlösungen.

3in Diskussionsforum ist wahrscheinlich die einfachste Anwendung eines öffentlichen Ordners, Ein Diskussionsforum ist ein öffentlicher Ordner, der Nachrichtenobjekte enthält. Ein Dokumentenverwaltungssystem ist ein ähnliches Repository, 5s werden lediglich Microsoft Office-Dokumente anstatt von Nachrichten gespeichert. Ein öffentlicher Ordner für Aufgabenobjekte könnte wiederum als TeamManagementlösung verwendet werden. Ein öffentliches Joumal gibt Managem darüber hinaus die Möglichkeit, die Aktivitäten des Teams aufzuzeichnen. Offentliche Kalender können die Mitarbeiter über Feiertage und Firmenereignisse informieren. Sie können außerdem öffentliche Ordner für Kontaktobjekte anlegen und so der Personalabteilung ein einfaches Mitarbeitererfassungssystem zur Verfügung stellei

Dieses Kapitel behandelt die Verwaltung von öffentlichen Ordnem auf einem einzellen Exchange 2000-Server. Es werden die Konzepte von öffentlichen Ordnem und die Verwaltung von öffentlichen Informationsspeichem diskutiert.

13.1 Lektion 1: Einführung in öffentliche Ordner

Öffentliche Ordner werden vorwiegend im Exchange System-Manager verwaltet, allerdings können Ihre Benutzer öffentliche Ordner auch unter Verwendung von Outlook 2000, Intemet-Clients, Webbrowsem oder Windows Explorer erstellen und Berechtigungen und andere Konfigurationsparameter festlegen 3in Benutzer, der einen öffentlichen Ordner anlegt, wird automatisch zum Ordnerbesitzer, allerdings können auch weitere Benutzer als Besitzer angegeben werden.

13.1.1 Öffentliche Ordnerdatenbanken

;der Speicher besteht aus einer Exchange-Datenbank, die die Objekte im Messaging Application Programming Interface (MAPI)-Format speichert, und einer Exchange-Streamingdatenbank für Objekte im Intemet-basierten Format.

13.1.2 Bezüge auf öffentliche Ordner

In der Standardkonfiguration werden öffentliche Ordner aufoberster Ebene (Top-Level Ordner) nicht zu anderen Servern repliziert

13.1.3 Veröffentlichung im Internet

Standardmäßig kann jeder Benutzer im Kontext seiner Zugriffsberechtigungen auf die Ressourcen der öffentlichen Ordner über HTTP und Web Distributed Authoring and Versioning (WebDAV) zugreifen. Die öffentlichen Ordner und alle Objekte in den öffentlichen Ordnem sind über dynamisch generierte URLs ansprechbar. Die URLs setzen sich aus dem Pfad zum Ordner und der Betreffzeile des jeweiligen Objektes zusammen

13.1.4 Volltextindizierung

13.1.5 Elemente von öffentlichen Ordnern

Der Zugriff auf einen öffentlichen Ordner erfordert zwei Elemente: die öffentliche Ordnerhierarchie und den öffeatlichen Ordnerinhalt (siehe Abbildung 17.1). Die Hierarchie stellt die öffentlichen Ordner in einer Ordnerstruktur dar. Die Inhalte setzen sich aus den eigentlichen Elementen (z.B. den Nachrichten und deren Anlagen, Kontaktobjekten oder Dokumenten) zusammen, die in den öffentlichen Ordnem gespeichert werden.

Abbildung 17.1 Die Elemente eines öffentlichen Ordners im Informationsspeicher

13.1.6 Öffentliche Ordnerhierarchie

Die Hierarchie der öffentlichen Ordner entwickelt sich mit der Erstellung mehrerer öffentlicher Ordner. Ordner aufhöchster Ebene beinhalten untergeordnete Ordner, die wiederum weitere untergeordnete Ordner enthalten können.

13.1.7 Hierarchien und Informationsspeicher

Pro Server mussjede öffentliche Ordnerstmktur mit einem eigenen öffentlichen Informationsspeicher verknüpft werden. Die öffentlichen Informationsspeicher verschiea ner Server können sichjedoch auf die gleiche Hierarchie beziehen, in welchem Fall die Hierarchie automatisch zwischen den Servern repliziert wird.

13.1.8 Öffentliche Ordnerhierarchien und MAPI-basierte Clients

Die Hierarchie wird stets repliziert, die Inhalte jedoch nicht. Dementsprechend sind die Benutzer zwar in der Lage, alle öffentlichen Ordner zu finden, abei eventuelt nicht dazu in der Lage, auf die Inhalte zuzugreifen, wenn der Server, auf dem die Inhalte gespeichert sind, aus irgendeinem Grunde nicht verfügbar ist.

13.1.9 Öffentliche Ordnerinhalte

Zu den Inhalten der öffentlichen Ordner zählen die eigentlichen Objekte, die in den öffentlichen Ordnern gespeichert sind.

13.1.10 Öffentliche Ordner und Active Directory

Um einem öffentlichen Ordner E-Mail-Adressen zuzuweisen, müssen Sie den Exchange System-Manager starten, die entsprechende Ordnerstruktur erweitern, beispielsweise die MAPI-basierte Hierarchie namens Offentliche Ordner, mit der rechten Maustaste auf den gewünschten öffentlichen Ordner klicken, auf Alle Tasks zeigen und dann den Befehl E-Mail aktivieren wählen. Zeigen Sie danach die Eigenschaften des öffentlichen Ordners an, um die Ergebnisse zu überprüfen. Sie werden neben den Standardregisterkarten (Allgemein, Replikation, Grenzwerte, Details und Berechtigungen) auch E-Mail-bezogene Registerkarten (Exchange - Allgemein, E-Mail-Adressen, Exchange - Erweitert und Mitglied von) entdecken können. Wechseln Sie zur Registerkarte E-MaiI-Adressen, um die zugewiesenen Adressinformationen zu überprüfen.

13.1.11 E-MaJI-aktivierte öffentliche Ordner und serverseitige Adresslisten

Starten Sie den Exchange System-Manager und zeigen Sie die igenschaften des öffentlichen Ordners an. Wechseln Sie zur Registerkarte Exchange - Erweitert und stellen Sie sicher, dass das Kontrollkästchen Nicht in ExchangeAdresslisten anzeigen deselektiert isl

13.1.12 E-Mail-aktivierte öffentliche Ordner als Nachrichtenarchive

Es ist möglich, E-Mail-aktivierte öffentliche Ordner zu Verteilergruppen (Registerkarte Mitglied von im Exchange System-Manager) hinzuzufügen. Dies versetzt Sie unter anderem in die Lage, Diskussionen in Teams und Arbeitsgruppen aufzuzeichnen. Die anderem in die Lage, Diskussionen in Teams und Arbeitsgruppen autzuzeichnen. Die ordner mehr zu pflegen

13.1.13 Öffentlicher Ordner als Mailinglist-Mitglieder

Listserver sind Systeme, die E-Mail-Nachrichten, die an eine bestimmte Adresse gesendet wurden, automatisch an alle Mitglieder einer Mailingliste verteilen

13.1.14 Organisationseinheiten für E-Mail-aktivierte öffentliche Ordner

E-Mail-aktivierte öffentliche Ordner sind mit Empfängerobjekten verknüpft, die in Active Directory-Benutzer und -Computer angezeigt werden können.

13.1.15 Verzeichnisnamen für öffentliche Ordner

Active Directory und der Informationsspeicherdienst verwalten unterschiedliche Informationen über E-Mail-aktivierte öffentliche Ordner. Der Informationsspeicherdienst ist für die Hierarchie und die Inhalte zuständig, wogegen sich Active Directory um die verzeichnisrelevanten Fragen kümmern muss. Beide werden miteinander synchronisiert, allerdings verwaltet Active Directory anders als der Informationsspeicherdienst keine hierarchischen Infonnationen.

13.1.16 Replikationslatenzen

Der Informationsspeicher repliziert die öffentlichen Ordnerhierarchien auf der Grundlage von E-Mail-Nachrichten zu allen Servern, die einen derjeweiligen Hierarchie zugeordneten öffentlichen Informationsspeicher verwalten. Die Replikation von Empfängerobjekten ist auf der anderen Seite die Aufgabe von Active Directory. Es replizieren also zwei unabhängige Prozesse Informationen über ein einzelnes Objekt. In Abhängigkeit davon, welcher Prozess zuerst abgeschlossen ist, könnten E-Mail-aktivierte öffentliche Ordner zuerst aufallen Server im Verzeichnis oder in der öffentlichen Ordnerstruktur sichtbar werden. Mit der Zeit geben sich die Unterschiede wieder.

13.1.17 E-Mail-deaktivieren von öffentlichen Ordnern

Es ist möglich, das Empfängerobjekt eines öffentlichen Ordners aus dem Container Microsoft Exchange System Objects zu löschen. In diesem Fall E-Mail-dekaktivieren Sie den betroffenen Ordner. Allerdings verbleibt der öffentliche Ordner dann im Exchange System-Manager als E-Mail-aktiviertes Objekt zurück. Es ist deshalb nicht empfehlenswert, Active Directory-Benutzer und -Computer zur E-Mail-Deaktivierung von öffentlichen Ordnem zu verwenden. i/erwenden Sie stattdessen ausschließlich den Exchange System-Manager. Klicken Sie mit der rechten Maustaste auf den gewünschten E-Mail-aktivierten Ordner, zeigen Sie auf Alle Tasks und wählen Sie dann den Befehl E-Mail deaktivieren.

Nachdem Sie eine Hierarchie erstellt haben, müssen Sie einen öffentlichen Informationsspeicher erstellen, um die Ordnerstruktur verwalten zu können. Öfifentliche Ordnerhierarchien können genau mit einem öffentlichen Informationsspeicher aufeinem Server verknüpft werden. Wenn mehrere Server über einen öfifentlichen Infonnationsspeicher für die gleiche Hierarchie verfügen, wird die Hierarchie zwischen diesen Servern automatisch repliziert. Wenn Sie zusätzliche Hierarchien erstellen, diese aber nicht mit mehreren Informationsspeichem aufverschiedenen Servern verknüpfen, wird die Replikation nicht ausgeführt. Die Hierarchie steht dann nur aufdem lokalen Server zur Verfügung

13.2 Lektion 2: Erstellen und Verwalten von Öffentlichen Ordnern

Allerdings ist der Exchange System-Manager nicht das einzige Programm, das Sie zu diesem Zweck verwenden können. Outlook 2000 gibt Ihnen beispielsweise ebenfalls die Möglichkeit, Einstellungen für öffentliche Ordner zu verwalten, und Sie können andere Programme verwenden, wie Windows-Explorer oder Webbrowser, um öffentliche Ordnerressourcen zu erstellen. Sie haben auch die Möglichkeit, mit öffentlichen Ordnem programmatisch über Collaboration Data Objects (CDO) zu arbeiten.

Diese Lektion konzentriert sich auf die Verwaltung von öffentlichen Ordnem im Exchange System-Manager und in Outlook 200C

13.3 Lektion 2: Erstellen und Verwalten von Öffentlichen Ordnern

13.3.1 Sicherheitseinstellungen für öffentliche Ordnerhierarchien

Bevor Sie mit der Erstellung öffentlicher Ordner beginnen, sollten Sie die grundlegenden Regeln für die öffentlichen Ordner in Du-er Organisation festlegen. Beispielsweise wird die MAPI-basierte Hierarchie zu allen Standorten in Ihrer Organisation repliziert und könnte außer Kontrolle geraten, wenn alle Benutzer in der Organisation über das Recht verfügen, beliebige öffentliche Ordnerressourcen auf allen Ebenen anzulegen. Besonders die Erstellung von öffentlichen Ordnem auf oberster Ebene sollte auf eine kleine Gruppe von Administratoren beschränkt werden, denn diese Ordner befinden sich an der Spitze der Struktur und direkt unter dem Container Alle Öffentlichen Ordner.

13.3.2 Zentralisieren von öffentlichen Ordnerressourcen

Wenn Sie also den Standort aller öffentlichen Ordner zentralisieren wollen, müssen Sie sicherstellen, dass die Ordner auf oberster Ebene nur aufeinem einzigen Server angelegt werden. Sie haben zwei Möglichkeiten. Die erste Möglichkeit ist, den öffentlichen Standardinformationsspeicher für alle Postfachspeicher in Ihrer administrativen Gruppe zu ändem und auf einen gemeinsamen Server verweisen z,u lassen. Der Nachteil dieser Vorgehensweise ist, dass die Umgebung dann sehr stark von einem einzelnen Server abhängt. Die Benutzer können die öffentliche Ordnerstruktur nicht durchsuchen, wenn dieser Server heruntergefahren wird. Die zweite Option ist, die Berechägungen zur Erstellung der Ordner auf oberster Ebene auf eine kleine Gruppe von Benutzem einzuschränken und so sicherzustellen, dass die Ordner auf oberster Ebene nur auf dem gewünschten Server angelegt werden. Wenn Sie sich für diese Option entscheiden, muss sich der öffentliche Standardinformationsspeicher für alle Benutzer mit der Berechtigung zur Erstellung von öffentlichen Ordnem auf oberster Ebene auf dem gewünschten Server befinden - mit anderen Worten, es sollte der Homeserver dieser Benutzer sein. Diese Option hat den Vorteil, dass die gewünschten Resultate über die Kontrolle der Benutzer, die in der Hierarchie öffentliche Ordner auf oberster Ebene anlegen dürfen, erreicht werden.

13.3.3 Konfigurieren von Sicherheitseinstellungen

Wenn Sie festlegen wollen, wer öffentliche Ordner auf oberster Ebene anlegen darf, müssen Sie die Eigenschaften der Hierarchie im Exchange System-Manager anzeigen (z.B. Offentliche Ordner im Container namens Ordner) und zur Registerkarte Sicherheit wechseln. In der Liste der Berechtigungen werden Sie das Recht namens Create top level public folder finden Stellen Sie sicher, dass nur die gewünschten Administratoren über dieses Recht zur Erstellung öffentlicher Ordner auf oberster Ebene in der Hierarchie verfügen.

Tabelle 17.1 Wichtige Berechtigungen für öffentliche Ordnerhierarchien

Create Public Folder

Gibt an, wer in dieser Hierarchie öffentliche Ordner erstellen darf.

Create Top Level Public Folder

Gibt an, wer in dieser Hierarchie öffentliche Ordner auf oberster Ebene erstellen darf.

Modify Public Folder ACL

Gibt an, wer die Clientberechtigungen für öffentliche Ordner ändem darf.

Modify Public Folder Admin ACL

Gibt an, wer Administratorrechte für die öffentlichen Ordner ändem darf.

13.3.4 Erstellen von öffentlichen Ordnern

Erweitem Sie im Exchange SystemManager die gewünschte Ordnerstruktur, klicken Sie mit der rechten Maustaste auf den gewünschten übergeordneten Container, z.B. Offentliche Ordner, zeigen Sie auf Neu und wählen Sie dann den Befehl Öffentlicher Ordner.

In Outlook 2000 haben Sie mehrere Möglichkeiten, um öffentliche Ordner zu erstellen. 3er vielleicht einfachste Weg ist, das Menü Datei zu öffnen, aufOrdner zu zeigen und dann den Befehl Neuer Ordner zu wähler vird über diesen Befehl das Dialogfeld Neuer Ordner erstellen angezeigt, in dem Sie einen Namen für den Ordner angeben müssen, sowie den Ordnertyp (Aufgabe, E-Mail, Joumal, Kontakt, Notiz, Termir

13.3.5 Verwalten von öffentlichen Ordnereigenschaften

13.3.6 Konfigurieren moderierter Ordner

In Outlook 2000 können Sie moderierte Ordner einrichten. Ein moderierter Ordner ist die zensierte Version eines öffentlichen Ordners. Alle bereitgestellten Objekte können vor der Anzeige im Ordner überprüft werder

13.3.7 Verwalten von Zugriffsberechtigungen auf öffentliche Ordner

13.3.8 Arten von öffentlichen Ordnerberechtigungen

irei Schaltflächen auf der Registerkarte Berechtigungen i

Die Schaltflächen lauten Clientberechtigungen, Verzeichnisrechte und Administratorrechte. Die Clientberechtigungen entsprechen den Berechtigungen auf Ordner und Nachrichten. Ordnerberechtigungen kontrollieren den Zugriff auf den öffentlichen Ordner, beispielsweise die Schreib- und Leseberechtigungen auf den Ordner. Nachrichtenberechtigungen bestimmen hingegen fürjeden einzelnen Benutzer, welche Form des Zugriffs aufdie Nachrichten zugelassen wird (d.h. Editieren und Löschen von Objekten). Wenn Sie stattdessen auf die Schaltfläche Verzeichnisrechte klicken, können Sie festlegen, ob ein Benutzer in der Lage ist, einem öffentlichen Ordner E-Mail-Adressen zuzuweisen oder diese zu deaktivieren, sowie Empfängerobjekte für öffentliche Ordner zu verwalten und die Berechtigung Senden Als aufden Ordner zu gewähren. Um die Aufzählung abzuschließen, wenn Sie auf die Schaltfläche Administratorrechte klicken können Sie Administratoren spezielle Berechtigungen zuweisen, z.B. das Recht, Replikate für einen öffentlichen Ordner anzulegen oder diese zu entfemen.

13.3.9 Verwalten von Clientberechtigungen

Standardmäßig gibt es drei Konten mit Zugriffsberechtigungen:

● Standard Verfügt über die Berechtigungen der Funktion Autor.

● Anonym Verfügt über die Berechügungen der Funktion Mitarbeiter.

● Der Benutzer, der den Ordner angelegt hat. Verfügt über die Berechtigungen der Funktion Besitzer.

13.3.10 Weitergeben von öffentlichen Ordnereigenschaften

Wenn Sie die Berechtigungen für einen übergeordneten Ordner angepasst haben, erben Unterordner bei ihrer Erstellung diese Einstellungen. Die Änderungen der Berechtigungen des übergeordneten Ordners werdenjedoch nicht automatisch von den existierenden untergeordneten Ordnem übemommen. Der Exchange System-Manager kann Ihnen bei dieser Aufgabe behilflich sein. Klicken Sie mit der rechten Maustaste auf den übergeordneten Ordner in der Hierarchie, zeigen Sie aufAlle Tasks und wählen Sie den Befehl EinsteIIungen weitergeben.

13.3.11 Berechtigungen auf Objektebene

Die Berechtigungen auf Objektebene beziehen sich auf die Sicherheitseinstellungen, die aufdie einzelnen Nachrichten, Dokumente und anderen Objekte in einem öffenthchen Ordner angewendet werden. Ähnlich den Berechtigungen in einem gewöhnlichen Dateisystem können Sie diese beim Zugriff auf einen öffentlichen Ordner über ExIFS konfigurieren.

13.4 Lektion 3: Konfigurieren von öffentlichen Informationsspeichern

13.4.1 Verwalten von öffentlichen Informationsspeichern

Nur die infonnationsspeicherspezifischen Parameter, z.B. die zugeordnete öffentliche Ordnerhierarchie und die Datenbankpfade, stehen in den Systemrichtlinien nicht zur Verfügung. Die Richtlinien haben eine höhere Priorität als die Einstellungen der individuillen Informationsspeicher und können auf der Ebene der Informationsspeicher nicht geändert werden.

13.4.2 Kontrollieren der Größe der öffentlichen Informationsspeicher

Die Datenbanken des öffentlichen Infonnationsspeichers haben eine Größenbeschränkung von 16 GB (Standardversion) oder keine intemen Größenbeschränkungen (Enterpriseversion). Die Datenbanken der Enterpriseversion werden also nur durch die Kapazität der Datenträger des Servers eingeschränkt. 3peichergrenzwerte, die Sie aufder .egisterkarte Grenzwertejedes einzelnen öffendichen Informationsspeichers oder in einer Richtlinie festlegen können - Warnmeldung senden ab (KB), Bereitstellen verbieten ab (KB) und Maximale Objektgröße (KB) -, stellen eine Möglichkeit dar, die Größe des öffentlichen Infonnationsspeichers auf dem Datenträger zu kontrollieren.

13.4.3 Konfigurieren von Verfallszeiten

AItersbeschränkungen legen fest, wie lange ein öffentlicher Ordner Objekte speichert, bevor diese automatisch entfemt werden.

13.4.4 Ermitteln von Statusinformationen zu öffentlichen Ordnern

Wenn Sie das Objekt Öffentliche Ordner (unterhalb eines öffentlichen Informationsspeichers) öffnen, können Sie Statusinformationen über den jeweiligen öffentlichen Informationsspeicher anzeigen.

13.4.5 Bezüge auf öffentliche Ordner

5ewöhnlich befindet sich der öffentliche Standardinfonnationsspeicher auf Ihrem Homeserver. Wenn Sie nun einen bestimmten öffentlichen Ordner in der Hierarchie auswählen, um diesen zu öffnen, muss der Client zunächst nach den Inhalten im dazugehörigen öffentlichen Informationsspeicher des lokalen Servers suchen, und dann eventuell andere Server in der lokalen Routinggruppe oder in Remote-Routinggruppen kontaktieren (siehe Abbildung 17.10).

Abbildung 17.10 Aufdie Inhalte eines öffentlichen Ordners zugreifen

13.4.6 Bezüge zu anderen Routinggruppen

teder Routinggruppenconnector, SMTP-Connector und X.400-Connector verfügt über die Option Keine Bezüge auf Öffentliche Ordner zulassen, über die Sie den Zugriff auf öffentliche Ordner in Remote-Routinggruppen kontrollieren können.

1. Der öffentliche Standardinformationsspeicher wird zuerst kontaktiert.

2. Als nächstes werden die Server in der lokalen Routinggruppe kontaktiert.

3. Die Server in den anderen Routinggruppen werden entsprechend der Kostfaktoren kontaktiert.

13.4.7 Umleiten von Clients auf die öffentlichen Ordnerinhalte

13.4.8 Durchbrechen der Routinggruppenbereiche

14 Kapitel 18 - Replikation von öffentlichen Ordnern (Ab S. 573)

14.1 Lektion 1: Strategien für öffentliche Ordner

14.1.1 Allein stehende öffentliche Ordner

Allein stehende Ordner sind die Standardkonfiguration, aber eventuell keine ideale Lösung für Ihre Zwecke. Mit anderen Worten, öffentliche Ordner werden ohne administrative Eingriffe nicht zu anderen Servern repliziert

14.1.1.1 Vorteile von allein stehenden Ordnern

Ein einzelner öffentlicher Ordner verbraucht nur auf einem Server Festplattenplatz. ~)SL es keine Replikationsverzögerungen gibt, werden sämtliche Inhaltsänderungen von allen Benutzem sofort bemerkt

14.1.1.2 Nachteile von allein stehenden Ordnern

Wenn Sie die Fehlertoleranz gewährleisten wollen, müssen Sie redundante Instanzen des jeweiligen öffentlichen Ordners anlegen. Darüber hinaus ist es unmöglich, die Arbeitslast zu verteilen. ^erbindet ein Weitbereichsnetzwerk (Wide Area Network, WAN) die Routinggruppen, könnte der Zugriff auf allein stehende öffentliche Ordner in den Remote-Routinggruppen sehr langsam erfolgen oder gar ganz unmöglich sein

14.1.2 Replizierte öffentliche Ordner

Offentliche Ordner sind einfach zu klonen. Sie können den gleichen öffentlichen Ordner auf allen Ihren Exchange 2000-Servern anlegen, aber dies würde eine Menge Festplattenplatz verbrauchen. Die öffentliche Ordnerreplikation stellt sicher, dass die Inhalte aller Instanzen des gleichen öffentlichen Ordners aktuell gehalten werden.

14.1.2.1 Vorteile von Ordnerreplikaten

Der Hauptvorteil von mehreren öffentlichen Ordnerinstanzen ist die erhöhte Fehlertoleranz. Auch wenn ein Server heruntergefahren wird, können Ihre Benutzer noch immer aufdie Inhalte zugreifen. Stehen beide Server zur Verfügung, können die Instanzen jeweils einen Teil der Arbeitslast übemehmen

Es könnte sinnvoll sein, wenigstens eine Instanz eines jeden öffentlichen Ordners zu allen Routinggruppen zu replizieren, selbst wenn der direkte Zugriff über WAN-Verbindungen möglich ist

Abbildung 18.1 Aktivieren des lokalen Zugriffs aufeinen öffentlichen Ordner

14.1.3 Instanzen von öffentlichen Ordnern zwischen Organisationen

Die echte Replikation von öffentlichen Ordnem wird nur innerhalb von Organisationen unterstützt. Um öffentliche Ordnerinhaltejedoch auch zwischen separaten Organisationen replizieren zu können, sollten Sie das InterOrg-Replikationstool verwenden, das Sie aufder Exchange 2000 Server-CD im Verzeichnis \Support\Exchsync\i386 finden können.

14.1.4 Konfigurieren dedizierter öffentlicher Ordnerserver

Ein dedizierter öffentlicher Server ist ein Server, dessen Postfachspeicher entfemt wurde, wie das in Ubung 1 von Kapitel 14 Verwalten der Serverkonfiguration● demonstriert wurde. Die Trennung der Serveraufgaben gibt Ihnen die Möglichkeit, die Hardwareressourcen explizit und somit präzise auf die anstehenden Aufgaben abzustimmen. Alle Benutzer in der Organisation können potentiell auf den gleichen öffentlichen Ordnerserver zugreifen. Aus diesem Grunde sollte die Hardware dieses Servers für schnelle Ein-/Ausgabeoperationen über das Netzwerk ausgelegt sein. Die Optimierung der Datenträgerleistung über redundante Anordnungen von unabhängigen Festplatten (Redundant Array of Independent Disks, RAID) ist der beste Weg, dies zu en-eichen. Um die Fehlertoleranz und Lastverteilung zu gewährleisten, können Sie zwei oder mehrere dedizierte Server einrichten und die öffentlichen Server zwischen diesen replizieren (siehe Abbildung 18.2).

Abbüdung 18.2 Zugreifen aufeinen öffentlichen Ordner aufeinem dedizierten öffentlichen Ordnerserver

14.1.4.1 Nachteile dedizierter Postfachserver

Ähnlich den dedizierten öffentlichen Servern können Sie auch dedizierte Postfachserver einrichten, um die unbeabsichtigte Erstellung von Ordnern auf der obersten Ebene auf diesen Servern zu vermeiden. Dies ist zwar möglich, allerdings sollten Sie davon wegen entscheidender Nachteile Abstand nehmen.

14.2 Lektion 2: Konfiaurieren der öffentlichen Ordnerreplikation

Die Hierarchie wird automatisch repliziert. Die Replikation der Ordnerinhalte erfordert hingegen einen expliziten Konfigurationsschritt.

14.2.1 Replizieren der Inhalte von öffentlichen Ordnern

Zu viele Replikate erhöhen den Netzwerkverkehr und konsumieren unnötigerweise Festplattenplatz. Zu wenige Kopien können sichjedoch ebenfalls aufden Datenverkehr im Netzwerk auswirken, denn die Benutzer müssen dann auf die Inhalte sonst wo über das Netzwerk zugreifen.

14.2.2 Granularität der Replikation

Die Granularität der Replikation bezieht sich auf die kleinste Einheit die über die öffentliche Ordnerreplikation transportiert werden kann. Dies ist die E-Mail-Nachricht oder das einzelne Obiekt im öffentlichen Ordner.

Anmerkung Der Replikationsmechanismus ist nicht sehr wirtschaftlich und bedingt einige negative Nebenwirkungen, wenn die Replikate riesige Dokumente enthalten. Öffentliche Ordner eigenen sich am besten für eine große Anzahl von kleinen Objekten. Wenn Sie in einem öffentlichen Ordner mit Tausenden von Dokumenten nur ein Objekt ändern, wird nur dieses eine Dokument repliziert.

14.2.3 Granularität der Konfiguration

Die Granularität der Konfiguration bezieht sich auf das kleinste Objekt, dem bei der Verwaltung der öffentlichen Ordnerreplikation Einstellungen zugewiesen werden können. Dies ist der öffentliche Ordner selbst. Die Konfiguration eines öffentlichen Ordners betriffl den gesamten Inhalt dieses Ordnen

14.2.4 Replikationskonfiguration auf der Basis von öffentlichen Ordnerspeichern

Sie können die öffentliche Ordnerreplikation im Exchange System-Manager auf der Ebene des öffentlichen Infonnaäonsspeichers konfigurieren.

11. Administrator fügt Replika zum lokalen öffentlichen Informationsspeicher hinzu. 2. PFRA generiert die Replikationsnachrichten, um die neue Instanz des öffentlichen Ordners mit Daten zu füllen.

Abbildung 18.3 Anlegen von Replikaten von öffentlichen Ordnern in einem öffentlichen Informationsspeicher

14.2.5 Anlegen von öffentlichen Ordnerinstanzen

Um eine Instanz eines öffentlichen Ordners von einem anderen Server in den öffentlichen Informationsspeicher Ihres Servers zu ziehen, müssen Sie mit der rechten Maustaste auf Offentliche Ordner-Instanzen klicken, auf AIIe Tasks zeigen und den Befehl Replikat hinzufügen wählen. "enken Sie daran, dass sich die Konfigurationsänderungen nicht automatisch auf die Unterordner auswirken,

14.2.6 Einschränken der Replikatsanforderungen

Um ein Beispiel zu geben: Angenommen, Sie wollen Karl Meise das Recht verweigem, die Replikation für den Informationsspeicher für Öffentliche Ordner (BLUESKY-SRV1) zu konfigurieren - vorausgesetzt, Karl wurden zuvor administrative Berechtigungen auf der Ebene der Exchange 2000-Organisation gewährt. Klicken Sie mit der rechten Maustaste auf Informationsspeicher für Öffentliche Ordner (BLUESKY-SRV1), wählen Sie Eigenschaften, wechseln Sie zur Registerkarte Sicherheit, wählen Sie Karl Meise aus der Liste der Administratoren aus und markieren Sie dann in der Liste der Berechtigungen das Kontrollkästchen Verweigern für das Recht Modify Public Folder RepUca List

14.2.7 Festlegen der Replikationsintervalle und Nachrichtengrößen

Jeder öffentliche Informationsspeicher verfügt über eine Registerkarte namens Replikation, auf der Sie das Replikationsintervall und eine Maximale Größe der Replikationsnachrichten (KB) angeben können. Normalerweise wird die Replikation 15 Minuten nach erfolgter Anderung ausgeführt. e Größenbeschränkung von Replikationsnachrichten legt fest, dass "bjekte, die kleiner sind als die angegebene Größe, in einer Replikationsnachricht zusammengefasst werden können, bis die angegebene Größe erreicht wird. Standardmäßig ist die Größe auf 300 KB beschränkt. Es istjedoch wichtig zu bemerken, dass der RFRA nicht in der Lage ist, größere Objekte in kleinere Einheiten aufzuteilen. Wenn der PFRA also ein Word-Dokument von 10 MB Größe replizieren muss, wird das Dokument in einer einzelnen Nachricht versandt, denn die Nachricht überschreitet bereits die angegebene Beschränkung.

14.2.8 Replikationskonfiguration auf der Basis von öffentlichen Ordnern

Unter Verwendung des Exchange System-Managers können Sie Replikate eines bestimmten öffentlichen Ordners auch in die gewünschten Server in Ihrer Routinggruppe oder in anderen Routinggruppen hineintransferieren (siehe Abbildung 18.4).

Abbildung 18.4 Ubernehmen einer öffentlichen Ordnerinstanz in einen öffentlichen Informationsspeicher

14.2.9 Replikation von Systemordnern

Jeder öffentliche Informationsspeicher enthält eine Reihe von Systemordnem, die in der Hierarchie nicht sichtbar sind. Wenn Sie den Exchange System-Manager verwenden, können Sie eine Liste aller existierenden Systemordner anzeigen, wenn Sie mit der rechten Maustaste im Container Ordner aufdas gewünschte Hierarchieobjekt klicken und den Befehl Systemordner anzeigen wählen

14.2.10 Outlook-Adressbücher und Schedule+ Frei/GebuchtInformationen

Auf BLUESKY-SRVl sind die Offlineadressbücher und Schedule+ Frei/ Gebucht-Informationen gespeichert, abernicht aufBLUESKY-SRV2. Standardmäßig stellt nur der erste in einer administrativen Gruppe installierte Server diese Systemordner bereit. Wenn Sie diesen Server zu Wartungszwecken herunterfahren, sind die Benutzer nicht mehr in der Lage, die Offlineadressbücher hemnterzuladen oder die Frei/Gebucht-Infonnationen zu aktualisieren. Outlook 2000 zeigt dann beispielsweise eine Fehlermeldung an, wenn Sie mit Kalenderobjekten arbeiten (siehe Abbildung 18.5).

Abbildung 18.5 Eine fehlgeschlagene Aktualisierung der Frei/BeIegt-Daten

14.2.11 Verschieben von öffentlichen Ordnern zwischen Servern

Es ist keine leichte Aufgabe, einen öffentlichen Ordner zwischen zwei Servern zu verschieben, auch wenn es aufden ersten Blick so aussieht. Sie brauchen nur ein Replikat auf dem zweiten Server anzulegen und die alte Instanz vom ersten Computer zu entfernen. Verwenden Sie zu diesem Zweck die Schaltflächen Hinzufügen und Entfernen auf der Registerkarte Replikation. Sie können auch den untergeordneten Container Öffentliche Ordner-Instanzen verwenden. Um eine öffentliche Ordnerinstanz über dieses Objekt zu entfemen, müssen Sie im Detailfenster mit der rechten Maustaste auf den gewünschten Ordner klicken, auf Alle Tasks zeigen und den Befehl Replikat entfernen wählen.

14.2.12 Replikationsverzögerungen

Wenn Sie offentliche Ordner zwischen Servern verschieben, können Sie das ursprüngliche Replikat entfemen, ohne auf den Abschluss der Replikation durch den PFRA warten zu müssen. Das alte Replikat bleibt aufdem ersten Server erhalten, bis die Replikation ausgeführt und die Inhalte vollständig zum neuen Replikat übertragen wurden. Allerdings ist Exchange 2000 Server eine Plattform für den geduldigen Systemadministrator. Die Replikation ist beispielsweise kein besonders schneller Prozess. Wenn Sie das ursprüngliche Replikat zu schnell entfemen, könnten die Benutzer in Outlook 2000 plötzlich mit einem leeren Ordner konfrontiert werden.

14.2.13 Entfernen von öffentlichen Servern

Verschieben Sie alle Systemordner im Voraus aufeinen anderen Server, wenn Sie beabsichtigen, den ersten in einer administrativen Gruppe installierten Server zu entfemen.

14.3 Lektion 3: Der Prozess der Replikation von öffentlichen Ordnern

Die öffentliche Ordnerreplikation ist ein sehr komplexer Prozess. Wenn Sie einem öffentlichen Informationsspeicher Replikate hinzufügen, muss der PFRA die neuen Instanzen mit Obiekten füllen.

14.3.1 Der PFRA hat die folgenden Verwantwortlichkeiten:

● Adressiert Replikationsnachrichten entsprechend der Replikationskonfiguration des öffentlichen Ordaers.

● Erstellt Replikationsnachrichten.

● Uberwacht Anderungen an vorhandenen Objekten, die Bereitstellung neuer )bjekte und die Löschung von Objekten, die an den Replikaten der öffentlichen Ordner vorgenommen werden,

● Empfängt Replikationsnachrichten und übemimmt die Anderungen in das lokale Replikat des öffentlichen Ordners

14.3.2 Überwachen der Nachrichtenstatusinformationen

Die Nachrichtenstatusinformationen umfassen einen Anderungszähler, einen Zeitstempel und eine Liste vorhergehender Änderungen, die vom PFRA venvendet werden, um die aktuellsten Objekte bei der Replikation zwischen den öffentlichen Ordnerinstanzen zu bestimmen. Jedes Objekt in einem öffentlichen Ordner verfügt über Nachrichtenstatusinfomiationen.

15 _Kapitel 19 Implementieren der erweiterten Sicherheit 607

15.1 Lektion 1: Sicherheitsfeatures von Exchange 2000 Server

15.1.1 Aktivieren der Sicherheitsüberwachung

Um sicherheitsrelevante Einträge im Sicherheitsprotokoll aufzuzeichnen, müssen Sie die Sicherheitsüberwachung unter Verwendung der Sicherheitstools von Windows 2000 aktivieren, z.B. in einer Gruppenrichtlinie oder der Sicherheitsrichtlinie für Domänencontroller.

15.1.2 Gesicherte Internetverbindungen

Firewalls, Connectoren und die Verschlüsselung der Kommunikationskanäle

Abbildung 19.3 stellt eine minimale Firewallarchitekur dar, die Sie in Betracht ziehen sollten, wenn Ihr Intemet-Dienstanbieter (Intemet Service Provider, ISP) die Sicherheit für Ihren Intemetzugriffspunkt nicht gewährleistel

AbbUdung 19.3 Firewallunterstützung für Exchange 2000 Server

Der Firewallserver ist mit drei Netzwerkkarten ausgestattet, die allgemeine Weiterleitung von IP ist deaktiviert und die Netzwerkkommunikation auf beiden Seiten des Firewallhosts ist nur mit den Systemen in der Denülitarisierten Zone (DMZ) zulässig. Die DMZ wird manchmal auch als Grenznetzwerk oder Perimetemetzwerk bezeichnet.

Normalerweise verwalten Sie keine intemen Daten, wie Postfächer von Benutzem, auf den Systemen in der DMZ. Diese Systeme sollten als Front-End-Server konfiguriert werden, die den Clientzugriff zu den Back-End-Systemen weiterleiten, auf denen die eigentlichen Postfächer der Benutzer gespeichert sind. Alle eingehenden Verbindungen müssen die Firewall passieren, die den Zugriff nur über bestimmte Ports, wie den TCP-Port 80 für HTTP oder den TCP-Port 110 für POP3, zulässt. Alle nicht notwendigen Ports sollten blockiert werden. Darüber hinaus ist es eine gute Idee, die Verschlüsselung der Clientverbindungen über Secure Sockets Layer (SSL) zu aktivieren. Sie sollten die SSL-Verschlüsselung beispielsweise für Outlook Web Access (OWA) auf den Front-End-Servern erzwingen. Offnen Sie dann den TCP-Port 443 auf der Firewall und schließen Sie möglicherweise den TCP-Port 8

Öffentliche SMTP-Verbindungen können nicht verschlüsselt werden, denn die SMTPHosts fremder Domänen müssen mit Ihrem SMTP-Relayhost in der DMZ im Klartext kommunizieren können. Zwischen dem Relayhost in der DMZ und den Servern im intemea Netzwerk können Sie jedoch einen SMTP-Connector konfigurieren und die Authentifiziemng zwischen den Servern erfordern line weitere Option ist die Verwendung von X.400Connectoren, statt SMTP-Connectoren. In diesem Fall müssen Sie den TCP-Port 102 öffnen, um X.400 über TCP auf der zweiten Firewall zu unterstützen.

15.1.3 Front-End- und Back-End-Kommunikation

15.1.4 MAPI-Clients über Firewalls

Sie sollten sich gründlich überiegen, ob Sie MAPI-Clients, wie Ouüook 2000, den ZugriffaufExchange 2000 Server über das Intemet gestatten wollen. Dedizierte FrontEnd-/Back-End-Konfigurationen werden für MAPI nicht unterstütz

Sie müssen also sozusagen ein großes Loch in Ihre Pirewall hacken, um MAPIClients zu unterstützen.

Anmerkung Die Aktivierung der RPC-Kommunikation auf der Firewall bietet Angreifern neue Möglichkeiten für Denial-of-Service-Angrifi

A^enn Sie MAPI-basierte Clients in entfernten Standorten über das Intemet unterstützen müssen, sollten Sie die Implementierung von Virtuellen Privaten Netzwerken (VPNs) in Betracht ziehen, denn diese können ein ausreichendes Maß an Sicherheit ohne TCP-Porteinschränkungen gewährieisten.

15.1.5 Sicherheit auf der Grundlage von privaten und öffentlichen Schlüsseln

Sie haben zwar die Möglichkeit, SSL/Transport Layer Security (TLS), IP Security (IPSec) und VPNs zur Verschlüsselung der Kommunikation Ihrer Systeme zu verwenden, allerdings werden dann die Nachrichten noch immer in unverschlüsselter Form verarbeitet. Dies macht es Angreifem möglich, die Nachrichten aufeinem ungeschützten Server abzufangen und an einen nicht autorisierten Empfänger weiterzuleiten, oder diese zu verändem. Sie müssen zusätzliche Verschlüsselungstechnologien berücksichtigen, wenn Sie sensitive Daten in E-Mail-Nachrichten über ungesicherte Messaginghosts versenden wollen.

Anmerkung Die Verschlüsselung von E-Mail-Nachrichten verhindert, dass Virenscanner Nachnchtenanlagen auf Viren prüfen können.

15.1.6 Signierung und Verschlüsseluna von Nachrichten

Sicherheitsfeatures aufder Basis von privaten und öffentlichen Schlüsseln geben Ihaen die Möglichkeit, Nachrichten digital zu signieren. Über die digitale Unterschrift könlen die Empfänger überprüfen, dass der Absender tatsächlich der Sender der Nachricht ist und dass die Nachrichteninhalte auf dem Ubertragungsweg zu den Postfächem der Empfänger nicht verändert wurden. Sie können die Nachrichteninhalte auch komplett verschlüsseln.

15.1.7 Verschlüsselung mit öffentlichen Schlüsseln

Der X-509-Standard beschreibt die Handhabung von privaten/öffentlichen Schlüsselpaaren in Computersystemen. Die erweiterten Sicherheitsfeatures von Exchange 2000 Server stützen sich auf ein System mit zwei privaten/öffentlichen Schlüsselpaaren.

15.1.8 X.509-Zertifikatsdienste

Die Sicherheitsschlüssel werden in X.509-Zertifikaten verwaltet, die unter anderem Aufschluss über die unterstützten Verschlüsselungsmethoden geben und die Legalität der Schlüssel bestätigen. Postfach-aktivierte Benutzerkonten, die für die erweiterte Sicherheit aktiviert wurden, verfügen beispielsweise über ein X.509-Zertifikat, das deren öffentlichen Verschlüsselungsschlüssel enthält. Jeder Benutzer in der Organisaüon kann auf diesen öffentlichen Verschlüsselungsschlüssel in Acäve Directory zugreifen. Das X.509-Zertifikat bindet den öffentlichen Schlüssel an den dazugehörigen Benutzer und stellt sicher, dass niemand den Sicherheitsschlüssel unbemerkt manipulieren kann.

15.1.9 Zertifikatsstellen

Die Zertifikatsdienste von Windows 2000 arbeiten mit X.509, Version 3-Zertifikaten und ermöglichen Ihnen den Aufbau einer Infrastruktur öffentlicher Schlüssel (Public-Key Infrastructure, PKI), Mit anderen Worten, die Zertifikatsdienste von Windows 2000 können als Stammzertifizierungsstelle oder als untergeordnete Zertifizierungsstelle einer anderen CA eingesetzt werden. Sie haben die Möglichkeit, eine oder mehrere Organisationszertifizierungsstellen für die Ausgabe und Sperrung von Zertifikaten einzurichten. Die Zertifikatsdienste sind dann in Active Directory integriert. Alle Server, die Zertifikatsdienste ausführen, vertrauen einander über die globale Gesamtstruktur hinweg, denn alle diese Server werden in der Standard-Zertifikatsvertrauensliste (Certificate Trust List, CTL) eines Gruppenrichtlinienobjektes aufgeführt,

Anmerkung Um auf die Features von X.509, Version 3 zugreifen zu können, muss der Schlüsselverwaltungsdienst (Key Management Service, KMS) von Exchange 2000 Server mit den Zertifikatsdiensten von Windows 2000 integriert werden.

15.2 Lektion 2: Die Features der erweiterten Sicherheit

Der Schlüsselverwaltungsdienst (Key Management Service, KMS) erstellt und verwaltet die PKI Ihrer Exchange 2000-Organisation. Dieser Dienst integriert sich in die Zertifikatsdienste von Windows 2000, die wiederum Bestandteil einer größeren, die Grenzen der Active Directory-Gesamtstruktur Ihrer Organisation überschreitenden PKI sein können. Sie können den KMS injeder administrativen Gruppe aufeinem Server installieren, was diesen Server in einen Schlüsselverwaltungsserver verwandelt. Ein Schlüsselverwaltungsserver ist in der Lage, mehrere administrative Gruppen oder die gesamte Exchange 2000-Organisation zu bedienen.

15.2.1 Die Architektur des Schlüsselverwaltungsservers

Die beiden wichtigsten Komponenten, die einen funktionstüchtigen Schlüsselverwaltungsserver ausmachen, sind der Microsoft Exchange-Schlüsselverwaltungsdienst und eine Sicherheitsdatenbank

15.2.2 MicrosoftExchange-Schlüsselverwaltungsdienst

Abbildung 19.7 Die Architektur des Schlüsselverwaltungsdienstes

iür eine KMS-Datenbank kann in einer administrativen Gruppe existieren

Standardmäßig ist nur diejenige Person ein KMSAdministrator, die den Schlüsselverwaltungsserver installiert hat. Sie können weitere Schlüsselverwaltungsadministratorenfestlegec

Sie können allerdings die Registerkarte Kennwörter des Objektes Schlüsselverwaltung verwenden, um eine Richtlinie zu implementieren, die zwei oder mehrere Administratorkennworte erfordert, bevor die Verwaltung der erweiterten Sicherheit möglich ist.

15.2.3 Zusammenfassung der Übung

Der Schlüsselverwaltungsdienst lässt sich über das Setupprogramm von Exchange 2000 Server im Wartungsmodus installieren. Ein Verweis auf eine Organisationszertifizierungsstelle muss in der Active Directory-Gesamtstruktur existieren. Darüber hinaus muss das Konto des Schlüsselverwaltungsservers auf dem Server, der die Zertifikatsdienste ausführt, hinzugefügt werden. Der Schlüsselverwaltungsserver benötigt die Berechtigung Verwalten, um Zertifikate widerrufen zu können. Das entsprechende Konto muss zu allen Zertifizierungsstellen, die zur Ausgabe von Zertifikaten für Exchange 2000 Server verwendet werden sollen, hinzugefügt werden.

15.2.4 Serverschlüssel und Kennworte

15.2.5 Hauptschlüssel der KMS-Datenbank

Der Hauptschlüssel der KMS-Datenbank (KM Database Master Encryption) wird zur Verschlüsselung und Entschlüsselung der Datenbank des Schlüsselverwaltungsdienstes verwendet. Der Schlüsselverwaltungsdienst und alle designierten Schlüsselverwaltungsadministratoren müssen auf diesen Schlüssel zugreifen. Allerdings ist der Hauptschlüssel der KMS-Datenbank ebenfalls verschlüsselt, um den unbefugten Zugriff zu verhindem.

Die Schlüsselverwaltungsadministratoren und der KMS müssen ihrjeweiliges Kennwort verwenden, um das ihnen zugeordnete Sperrfeld zu öffnen und den Hauptschlüssel der KMS-Datenbank zu erhalten. Auf den Hauptschlüssel der KMS-Datenbank wird zugegriffen, wenn der Schlüsselverwaltungsdienst gestartet und die KMS-Datenbank geöffnet wird und wenn Schlüsselverwaltungsadministratoren mit den erweiterten Sicherheitsfunktionen arbeiten.

15.2.6 Kennwort des Schlüsselverwaltungsservers

Wie bereits demonstriert, wird das Kennwort des Schlüsselverwaltungsservers während der Installation des Schlüsselverwaltungsdienstes erstellt und in Abhängigkeit von Ihren Entscheidungen in eine Datei namens Kmserver.pwd aufDiskette oder Festplatte geschrieben. Sie müssen dieses Kennwort beijedem Start des Schlüsselverwaltungsdienstes entweder über die Kennwortdatei oder durch Eingabe in das Feld Startparameter in den Eigenschaften des Dienstes zur Verfügung stellen (klicken Sie bei manueller Eingabe im Snap-In Dienste aufder Registerkarte Allgemein aufdie Schaltfläche Starten). Ohne das Kennwort des Schlüsselverwaltungsservers kann der KMS nicht gestartet werden.

Es ist wichtig, die Datei Kmserver.pwd an einem sicheren Ort aufzubewahren.

15.2.7 Phase 1: Aktivieren der erweiterten Sicherheit - Die Aufgaben des Administrators

Die Installation eines Schlüsselverwaltungsservers in einer Organisation bedeutet nicht, dass für alle Benutzer die erweiterte Sicherheit sofort aktiviert wurde. Tatsächlich kann standardmäßig kein Benutzer Nachrichten signieren oder verschlüsseln. Der Schlüsselverwaltungsadministrator muss die erweiterte Sicherheit für die Benutzer erst aktivieren und die Benutzer müssen diesen Prozess in Outlook 2000 abschließen, was in den nächsten Abschnitten erklärt wird.

15.2.8 Vom Schlüsselverwaltungsadministrator auszuführende Schritte

ymöglicht nur das Snap-in Exchange Erweiterte Sicherheit (im Exchange System-Manager oder eigenständig) die Aktivierung aller Benutzer in einer administrativen Gruppe oder einer Teilmenge dieser Benutzer in einem Durchgang.

"üicken Sie mit der rechten Maustaste auf Schlüsselverwaltung, zeigen Sie aufAlle Tasks und wählen Sie dann den Befehl Benutzer einschreiben. Sie werden nach Ihrem Schlüsselverwaltungskennwort gefragt und erreichen danach das Dialogfeld Ausgewählte Benutzer registrieren.

15.2.9 GenerierteSicherheitsinformationen

edes Schlüsselpaar für die Verschlüsselung von Nachrichten wird dann temporär in der KMS-Datenbank gespeichert, bis derjeweilige Benutzer diese Informationen in der zweiten Phase anfordert. Sie müssen den Benutzem das 12 Zeichen lange Sicherheitstoken auf eine sichere Art und Weise zur Verfügung stellen, damit diese den Prozess der Aktiviemng der erweiterten Sicherheit abschließen können.

15.2.10 Phase 2: Aktivieren der erweiterten Sicherheit - Die Aufgaben des Benutzers

In der zweiten Phase sendet der Benutzer eine Anforderung in Form einer E-MailNachricht an den Schlüsselverwaltungsserver, der diese Anforderung verarbeitet, an die Zertifikatsdienste weiterleitet und die ausgegebenen Zertifikate empfängt. Wurde die Zertifizierungsanforderung erfolgreich verarbeitet, wü-d dem Benutzer eine Antwortnachricht gesendet. Der Benutzer aktiviert die erweiterte Sicherheit dann, indem er die Antwortnachricht öffnet. Von nun an kann der Benutzer Nachrichten signieren und verschlüsseln.

15.2.11 GenerierteSicherheitsinformationen

Die Benutzer müssen Outlook - idealerweise Outlook 2000 oder neuer - verwenden, um die zweite Phase der Aktivierung der erweiterten Sicherheit abzuschließen, denn nur MAPI-Clients können die erforderlichen Informationen, wie öffentliche und private Signaturschlüssel und X.509-Zertifikate, generieren.

15.2.12 Die ersten Schn'tte auf der Clientseite

Um den Aktivierungsprozess aufder Clientseite in Outlook 2000 zu beginnen, müssen Sie das Menü Extras öffnen und den Befehl Optionen wählen, um das Dialogfeld Optionen anzuzeigen. Wechseln Sie zur Registerkarte Sicherheit und klicken Sie dann auf die Schaltfläche Digitale ID anfordern. Stellen Sie sicher, dass die Option Sicherheit auf dem Exchange Server einrichten ausgewählt wird, denn Sie fordem Zertifiziemngen von einem Schlüsselverwaltungsserver und nicht von einer unabhangigen Zertifizierungsstelle an.

Anmerkung Ein einzelner Windows 2000-Benutzer kann mit mehreren digitalen IDs arbeiten.

15.2.13 Empfangen der Antwort des Schlüsselverwaltungsservers

Die Antwortnachricht wird über das Messagingnetzwerk zugestellt und erscheint in Ihrem Posteingang wiejede andere Nachricht. Das Symbol der Nachricht zeigt einen mit einem Vorhängeschloss versehenen Umschlag. Der Absender ist die Systemaufsicht und die Betreffzeile lautet Antwort von Sicherheitsstelle. Wenn Sie auf diese Nachricht doppelklicken, werden Sie nach Ihrem Sicherheitskennwort gefragt. Die Sicherheitsinformationen werden dann aus der Nachricht ermittelt und in Ihrem Sicherheitsspeicher abgelegt. Outlook 2000 veröffentlicht außerdem Ihr öffentliches Verschlüsselungszertifikat, welches Ihren öffentlichen Verschlüsselungsschlüssel enthält, in Active Director^

15.2.14 Austauschen von signierten Nachrichten

Beim Signieren einer Nachricht wird eine Prüfsumme gebildet, verschlüsselt und der Nachricht als Anlage angefügt. Der empfangende Benutzer erstellt ebenfalls eine Prüfsumme und vergleicht diese mit dem entschlüsselten Original. Sind die Prüfsummen identisch, wurde die Nachricht während der Übertragung nicht verändert.

15.2.15 Signieren einer Nachricht

Der Client führt eine komplexe mathematische Berechnung aus, um von der Nachricht, die Sie signieren möchten, einen eindeutigen 128-bit Wert abzuleiten. Dieser Wert wird Hash oder Digest derNachricht genannt.

15.2.16 Überprüfen einer signierten Nachricht

Wenn der Empfänger einer signierten Nachricht die digitale Unterschrift überprüfen will, muss der öffentliche Signaturschlüssel des Senders aus dem der Nachricht hinzugefügten Zertifikat bezogen werden, um die digitale Unterschrift zu entschlüsseln und den Original-Digest der Nachricht zu ermitteln.

Abbüdung 19.10 Senden und Uberprüfen von signierten Nachrichten

15.2.17 Austauschen von verschlüsselten Nachrichten

Während des Verschlüsselungsprozesses werden die Inhalte der Nachricht sowie sämtliche Nachrichtenanlagen verschlüsselt. Dieser Prozess wird in Gang gesetzt, wenn Sie angeben, dass Sie die Nachricht verschlüsseln möchten, und auf die Schaltfläche Senden klicken.

15.2.18 Senden einer verschlüsselten Nachricht

Wenn Sie eine verschlüsselte Nachricht versenden wollen, brauchen Sie die Nachricht nur wie gewohnt erstellen. Allerdings müssen Sie im Dialogfeld Nachrichtenoptionen das Kontrollkästchen Nachrichteninhalte und Anlagen verschlüsseln markieren.

15.2.19 Zusammenfassung der Übung

Administratorberechtigungen sind zumindest in der administrativen Gruppe nötig, in der der Schlüsselverwaltungsdienst installiert wurde, wenn Sie den Schlüsselverwaltungsserver administrieren wollen. Die wichtigste Aufgabe des Schlüsselverwaltungsadministrators ist die Aktivierung der erweiterten Sicherheit für die Benutzer. Sie können Postfächer einzeln oder zusammengefasst, für administrative Gruppen, Server oder einzelne Postfachspeicher aktivieren. In allen Fällen wird für ieden Benutzer ein 12 Zeichen langes Sicherheitstoken generiert. Es ist bequem, E-Mail-Nachrichten für die Verteilung dieses Sicherheitstokens an die Benutzer zu verwenden. Es istjedoch sicherer, diesen temporären Sicherheitsschlüssel manuell zur Verfügung zu stellen. Die Benutzer benötigen das Sicherheitstoken, um den Prozess der Aktiviemng der erweiterten Sicherheit in Outlook 2000 abzuschließen.

15.2.20 Schlüsselverwaltungsserver für mehrere administrative Gruppen

Wenn Sie die Verwaltung der erweiterten Sicherheit hingegen zentralisieren wollen, sollten Sie nur einen Schlüsselverwaltungsserver installieren. In dieser Situation müssen Sie einen Verweis auf den zentralen Schlüsselverwaltungsserver in den anderen administrativen Gruppen konfigurieren. Zeigen Sie hierzu das Objekt Verschlüsselungskonfiguration im Container Erweiterte Sicherheit der jeweiligen administrativen Gruppe an. Auf der Registerkarte Allgemein können Sie auf die Schaltfläche Andern klicken, um den Pfad des Schlüsselverwaltungsdienstes anzugeben.

15.2.21 LänderspezifischeVerschlüsselungsalgorithmen

15.2.22 Schlüssel- und Zertifikatsverwaltung

Die allgemeinen Aufgaben eines Schlüsselverwaltungsadministrators sind leicht zu erkennen, wenn Sie mit der rechten Maustaste auf Schlüsselverwaltung klicken und auf Alle Tasks zeigen. Sie werden drei wichtige Optionen finden: Benutzer einschreiben, Zertifikate widerrufen und Schlüssel wiederherstellen.

15.2.23 Schlüssel- und Zertifikatswiederherstellung

Die Wiederherstellung der Sicherheitsinformationen wird notwendig, wenn die Sicherheitsschlüssel eines Benutzers zerstört oder versehentlich gelöscht wurden, oder wenn der Benutzer sein Sicherheitskennwort vergessen hat.

15.2.24 Schlüssel- und Zertifikatssperruna

So, wie Sie die erweiterte Sicherheit für einen Benutzer aktivieren können, können Sie diese über die Option Widerrufen auch wieder deaktivieren. Dadurch wird der private Verschlüsselungsschlüssel des Benutzers zu einer intemen Sperrungsliste in der KMSDatenbank hinzugefügt. Das Verschlüsselungszertifikat des Benutzers wird darüber hinaus auch in der Organisationszertifizierungsstelle und in Active Directory als ungültig markiert

15.2.25 Gesperrte Sicherheitsschlüssel

Der Schlüsselverwaltungsserver löscht die gesperrten Sicherheitsschlüssel nicht. Diese werden in der KMS-Datenbank und außerdem im Sicherheitsspeicher des Benutzers gehalten, denn diese sind noch immer erforderlich, um alte (und noch verschlüsselte) Nachrichten zu entschlüsseln. Die alten Zertifikate des Benutzers verbleiben in der Zertifikatssperrliste, bis deren Verfallsdatum erreicht wird.

15.2.26 Schlüssel- und Zertifikatsaktualisierungen

Die Organisationszertifizierungsstelle gewährt Exchange-X.509-Zertifikaten eine Gültigkeitsdauer von 12 Monaten, aber die Zertifikate können - falls erforderlich - emeuert werden.

15.2.27 Verwalten der erweiterten Sicherheit

Die wichtigste Aufgabebei der Verwaltung der erweiterten Sicherheit ist die ordnungsgemäße Sicherung der KMS-Datenbank namens Kmsmdb.edb (Verzeichnis \Programme\Exchsrvr\KMSData).

15.2.28 Verschieben eines Schlüsselverwaltungsservers

Sie können den Schlüsselverwaltungsserver von einem Server auf einen anderen Server in der gleichen administrativen Gruppe verschieben, was sinnvoll sein kann, wenn Sie die komplette Entfemung des ersten Servers beabsichtigen oder die Hardware für andere Aufgaben verwenden wollen. Die Umsiedlung des Schlüsselverwaltungsservers auf einen anderen Computer in der administrativen Gruppe ist im Wesentlichen eine Sichemngs- und Wiederherstellungsoperation (siehe Abbildung 19.16). AUerdings können Sie den Schlüsselverwaltungsserver nicht zwischen administrativen Gruppen verschieben. Sie könnenjedoch die Benutzer verschieben, was in den folgenden Abschnitten erläutert wird.

Abbildung 19.16 Verschieben eines Schlüsselverwaltungsservers

15.2.29 Erweiterte Sicherheit mit anderen Organisationen

S/MIME ist ein Industriestandard, der sich im Intemet weithin durchgesetzt hat. Sie können deshalb signierte und verschlüsselte Nachrichten mit jedem beliebigen Client austauschen, der S/MIME unterstützt, z.B. Outlook Express.

16 Kapitel 20 Wartung von Microsoft Exchange 2000 Server 661

Für die Implementierung der Datenbanken nutzt Microsoft Exchange 2000 Server die Extensible Storage Engine (ESE). ESE ist eine sehr zuveriässige, erprobte und bewährte transaktionsorientierte Datenbanktechnologie und einer der Gründe für die enorme Skalierbarkeit von Exchange 2000 Server.

16.1 Lektion 1: Systemwartuna und Überwachunq

16.1.1 Aufbewahrungszeit für gelöschte Objekte

Exchange 2000 Server ermöglicht Ihnen die Konfiguration von Postfachspeichem und öfifentlichen Informationsspeichem für die Aufbewahrung von gelöschten Objekten für eine gewünschte Zeitspanne. Innerhalb dieser Zeitspanne können versehentlich gelöschte Objekte schnell und ohne Backup wiederhergestellt werden. Dieses vorteilhafte Feature trägt die Bezeichnung Aufbewahrung gelöschter Objekte (Deleted Item Retention).

Verwenden Sie die Felder Gelöschte Objekte aufbewahren für (Tage) und Postfächer und Objekte nicht permanent löschen, bevor eine Sicherungskopie des Informationsspeichers ersteUt wurde. [n Microsoft Outlook 2000 können die Benutzer gelöschte Objekte dann, solange diese sich noch im Informationsspeicher befinden, über das Menü Extras und den Befehl Gelöschte Objekte wiederherstellen zurückholen.

Ein bemerkenswertes Feature ist außerdem die Aufbewahrung gelöschter Postfächer. In Exchange 2000 Server gehören Probleme durch das versehentliche Löschen von Postfächem der Vergangenheit an. Standardmäßig bleiben gelöschte Postfächer für 30 Tage erhalten.

16.1.2 Systemmonitore als Wartungstools

16.1.3 Konfigurieren von überwachten Diensten und Ressourcen

5tandardmäßig werden die folgenden Dienste überwacht: Microsoft Exchange-Informationsspeicherdienst, Microsoft Exchange MTA-Stacks, Microsoft Exchange-Routingmodul, Microsoft Exchange-Systemaufsicht, Simple MaiI-Transportprotokoll (SMTP) und WWW-Veröffentlichungsdienst. Es ist möglich, weitere Server zu dieser Liste im Exchange System-Manager hinzuzufügen. Zeigen Sie die Eigenschaften des gewünschten Serverobjektes an und wechseln Sie zur Registerkarte Überwachen.

16.1.4 Konfigurieren von Benachrichtigungen

Starten Sie den Exchange System-Manager, um Benachrichtigungen zu konfigurieren. Erweitern Sie das Objekt Extras in der Konsolenstruktur, zeigen Sie auf Neu und wählen Sie den Befehl E-Mail-Benachrichtigung oder Skriptbenachrichtigung. In beiden Fällen müssen Sie den zu überwachenden Server angeben.

16.1.5 Verbindungsstatus- und Systemzustände

Uberprüfen Sie zuerst den Zustand der Connectoren und Server im Exchange System-Manager. Wählen Sie den Container Status aus, den Sie unter Überwachung und Status im Container Extras finden können, um die Verbindungsstatusinformationen der Connectoren und Server im Detailfenster darzustellen. Sobald Sie eine problematische Komponente identifiziert haben, sollten Sie das Anwendungsprotokoll des betroffenen Servers untersuchen - vorausgesetzt, der Ser\ er ist noch fünktionstüchtig.

16.1.6 Einschränkungen der Statusinformationen und Systemüberwachung

16.1.7 Verwenden des Nachrichtentrackings

In der Standardkonfiguration ist das Nachrichtentracking deaktiviert. Es ist allerdings möglich, dieses Feature pro Server auf dessen Registerkarte Allgemein oder in einer Serverrichtlinie zu aktivieren

16.1.8 Das Nachrichtentracking ermöglicht Ihnen folgendes:

● Vermisste Nachrichten in Nachrichtenwarteschlangen aufzuspüren.

● Zu beweisen, dass eine Nachricht erfolgreich zugestellt wurde.

● Verzögerungen in jedem Segment des Ubertragungspfades zu erkennen, um die Leistung zu optimieren.

16.1.9 Nachrichtentrackingprotokolle

Bei aktiviertem Nachrichtentracking werden Statusinfonnationen in täglichen Protokolldateien aufgezeichnet, die im Verzeichnis \Programme\Exchsrvr\<Servernamo.log gespeichert werden (z.B. \Programme\Exchsrvr\BLUESKY-SRVl.log)

16.1.10 Verwenden des Nachrichtentrackings

Sie können die Trackinginformationen bequem im Nachrichtenstatustool untersuchen. [m Exchange System-Manager können Sie dieses Tool in der Konsolenstruktur im Container Extras finden. Das

16.1.11 Verwenden von Nachrichtenwarteschlanaen für die Problembehandlung

16.1.12 Manuelles Überprüfen der SMTP-basierten Nachrichtenwarteschlangen

Jeder virtuelle SMTP-Server verfügt über einen untergeordneten Container namens Warteschlangen, um auf die System- und Connectorwarteschlangen zuzugreifen. Während die Systemwarteschlangen stets angezeigt werden (d.h. die Warteschlangen für die lokale Übermittlung, Nachrichten warten auf Verzeichnissuche und Nachrichten warten auf Routing), sind Connectorwarteschlangen nur dann zu finden, wenn Nachrichten in tatsächlich diesen existieren.

16.1.13 Löschen und Fixieren von Nachrichten

Wenn Sie davon ausgehen, dass eine angezeigte Nachricht eine Warteschlange blockiert, können Sie diese löschen, indem Sie auf die Nachricht mit der rechten Maustaste klicken und den Befehl Löschen (Unzustellbarkeitsbericht senden) oder Löschen (kein Unzustellbarkeitsbericht) wählen

16.1.14 Automatisches Überprüfen der SMTP-basierten Nachrichtenwarteschlangen

Unter Verwendung von Systemmonitoren können Sie die SMTP-basierten Nachrichtenwarteschlangen fortwährend überwachen. Zeigen Sie die Eigenschaften Ihres Servers an, wechseln Sie zur Registerkarte Uberwachen, klicken Sie aufHinzufügen und doppelklicken Sie auf SMTP-Warteschlangenwachstum.

16.1.15 Überprüfen der X.400-basierten Nachrichtenwarteschlangen

Der X.400-basierte Container namens Warteschlangen kann im X.400-Protokollcontainer gefunden werden. Allerdings muss der Dienst Microsoft Exchange MTAStacks gestartet sein. Sonst können Sie den Inhalt der Warteschlange nicht anzeigen.

Sie können auch das Wachstum der X.400-basierten Nachrichtenwarteschlange überwachen. Klicken Sie auf der Registerkarte Uberwachen auf Hinzufügen und doppelklicken Sie dann aufden Eintrag X.400-Warteschlangenwachstum.

16.1.16 Das Dienstprogramm MTACheck

Der MTA ist eine wichtige Komponente, die für die Kommunikation über X.400-Connectoren und Gateways zu fremden Messagingsystemen zuständig ist.

16.1.17 Beheben von MTA-Startproblemen

Wenn Sie Hinweise auf beschädigte Dateien finden, kann das MTACheck-Dienstprogramm zur Beseitigung dieser Probleme verwendet werden. Das MTACheck-Dienstprogramm ist ein zeichenonentiertes Programm, das mehrere hilfreiche Optionen unterstützt. Verwenden Sie die Befehlszeile MTACheck /? im Verzeichnis \Programme\ExchsrvrVBin, um eine kurze Hilfe zu den verfügbaren Parametern anzuzeigen. Bevor Sie das MTACheck-Dienstprogramm starten können, müssen Sie den Dienst Microsoft Exchange MTA-Stacks beenden.

16.1.18 Erzwingen der Active Directory-Replikation

Das ist besonders dann nützlich, wenn Sie Konfigurationsänderungen schnell über die Gesamtsü-uktur hinweg replizieren wollen.

16.2 Lektion 2: Datenbankvorgänqe und Datenbankwartung

Diese Lektion betont die Wartung von Exchange 2000 Server-Datenbanken. Die Lektion beginnt mit einer Erklämng der Datenbankcharakteristiken und setzt dann mit einer Diskussion verfügbarer Sicherungsstrategien fort. Datenbankwartungstools, die zu Ihrer Verfügung stehen, werden ebenfalls vorgestellt.

16.2.1 Mehrere Informationsspeicherdatenbanken und Speichergruppen

Wenn Sie die Implementierung von Schwergewichtsservem beabsichtigen, sollten Sie die Postfachressourcen auf mehrere kleinere Datenbanken aufteilen. Exchange 2000 Server unterstützt Wartungsarbeiten auf der Basis einzelner Datenbanken, ohne die anderen Speicher zu beeinträchtigen. Kleine Datenbanken sind schneller wiederhergestellt. Es ist möglich, bis zu fünf Speicher in einer einzelnen Speichergruppe anzulegen, und bis zu vier Speichergruppen.

Es könnte nützlich sein, einen separaten Postfachspeicher für sehr wichtige Persönlichkeiten anzulegen und unterschiedliche Sicherungszeitpläne für diese zu konfigurieren.

16.2.2 Definieren der Datenbanken

Die Datenbanken von Exchange 2000 Server können in zwei Gruppen unterteilt werden: Hauptdatenbanken und zusätzliche Datenbanken. Die Hauptdatenbanken speichem die Benutzerdaten und die zusätzlichen Datenbanken sind in bestimmten Situationen erforderlich. Alle existierenden Datenbanken sollten in den Wartungs- und Sicherungsoperationen berücksichtigt werden.

16.2.3 Hauptdatenbanken

Die Hauptdatenbanken gehören dem Informationsspeicherdienst. Die Datenbanken des standardmäßigen Postfachspeichers heißen Privl.edb und Privl.edb und die des standardmäßigen öffentlichen Informationsspeichers Publ.edb und Publ.stm. Diese Dateien befinden sich im Verzeichnis \Programme\Exchsrvr\Mdbdata.

16.2.4 Zusätzliche Datenbanken

Der SRS emuliert ein Exchange Server 5.5-Verzeichnis und verwaltet seine eigene Datenbank namens SRS.edb, die im Verzeichnis \Programme\ExchsrvrVSrsdata gespeichert wird. Die SRS.edb enthält Konfigurationsinformationen, die mit dem Exchange-Verzeichnisdienst repliziert wer

Die Datenbank des Schlüsselverwaltungsdienstes, Kmsmdb.edb, befindet sich im Verzeichnis \Programme\ExchsrvrVKmsdata, vorausgesetzt, Sie haben den Schlüsselverwaltungsdienst auf dem lokalen Computer installiert.

Die Dirsync-Datenbank namens Xdir.edb befindet sich im Verzeichnis \Programme\Exchsrvr\Dxadata. Diese Datenbank erfasst die Transaktionen der MS Mail-Verzeichnissynchronisation (Directory Synchronisation, Dirsync)

Der Microsoft Search-Dienst verwaltet die Datenbank mit dem wahrscheinlich längsten Namen. Wenn Sie die Volltextindizierung aktiviert haben, existiert eine Datenbankdatei mit dem Namen Exchangeserver_<Servername>.edb (z.B. Exchangeserver_BLUESKY-SRVl.edb) im Verzeichnis \Programme\Exchsrvr\ Exchangeserver_<Servername?

16.2.5 Die wichtigsten Datenbankkomponenten

Mlerdings sind die .log- und .chk-Dateien für die fehlertolerante transaktionsorientierte ESE wichtig.

16.2.6 Checkpointdateien

Das Transaktionsprotokoll stellt sicher, dass ausgeführte Transaktionen nicht verloren gehen. Wenn Sie den Server neu starten, liest Exchange 2000 Server die Checkpointdatei (z.B. EOO.chk) aus, bestimmt die Transaktionen, die noch verarbeitet werden müssen, und übemimmt diese aus den Protokolldateien in die Datenbanken.

16.2.7 Vorherige Protokolle

Transaktionsprotokolldateien sind stets genau 5.242.880 Bytes (5 MB) groß. Ist eine Protokolldatei vollständig aufgebraucht, wird diese umbenannt, um eine neue, leere Datei zu erstellen.

16.2.8 Reserveprotokolle

Reserveprotokolle sind ein Notfalllager● für Transaktionen ~Die Namen der Reserveprotokolle lauten Resl.log und Res2.1og. ESE verwendet die Dateien Resl.Iog und Res2.1og nur, um den aktuellen Transaktionsprozess zu beenden.

16.2.9 Patchdateien

Die Version des Programms NTBackup.exe von Exchange 2000 Server ermöglicht Ihnen die Durchführung von Datensichemngen während die Serverdienste gestartet sind. Dies bedeutet, dass, während Sie die Serverdatenbanken und Transaktionsprotokolldateien sichern, Benutzer Nachrichten senden und empfangen können. Patchda;ien (z.B. Privl.pat und Publ.pat) fangen diese aktuellen Transaktionen ein. Diese werden in die aktuelle Sicherungskopie am Ende des Vorgangs einbezogen und danach in die Datenbanken übernommen. Patchdateien sollten während normalen Serverarbeit nicht existieren.

16.2.10 Protokolldateiwartung und Umlaufprotokollierung

Exchange 2000 Server speichertjede Transaktion in zwei dateibasierten Repositories: dem Transaktionsprotokoll und der Datenbank. 3a die Transaktionsprotokolldateien für die Datenwiederherstellung wichtig sind, löscht Exchange 2000 Server diese nicht automatisch.

16.2.11 Manuelles Löschen

Manuell die Transaktionsprotokolldateien zu löschen, ist nicht ratsam, weil Sie dann das Risiko eingehen, die Datenbanken zu zerstörei

16.2.12 Datenbanksicherungen

Die Transaktionsprotokolldateien werden gelöscht, wenn Sie eine vollständige oder inkrementelle Datensicherung durchführen. Vie bereits erwähnt, sollten Sie eine vollständige Datensicherung vomehmen, wenn Sie Speicherplatz auf den Festplatten freigeben wollen. Dies ist die sicherste Art, Transaktionsprotokolle zu löschen.

16.2.13 Umlaufprotokollierung

Umlaufprotokollierung bedeutet, dass die Transaktionsprotokolle und deren Einträge automatisch gelöscht werden. Dieses Feature veranlasst den Server, die Transaktionen zu verwerfen, sobald diese in die Datenbanken übemommen wurden. Die Checkpointdatei zeigt an, welche Protokolldateien und Transaktionseinträge entfernt werden können.

Die Umlaufprotokollierung verhindert den doppelten Verbrauch von Festplattenplatz, ermöglicht aber keine intelligenten und fehlertoleranten Konfigurationen. Außerdem werden verschiedene Onlinesicherungsarten, die auf dem Vorhandensein von Transaktionsprotokollen beruhen, nicht unterstützt. Sie sollten deshalb dieses Feature nur für weniger wichtige Repositories verwenden, die große Datenmengen speichern, wie Network News-Transportprotokoll (NNTP)-basierte Newsgroups, die in einem öffentlichen Infonnationsspeicher implementiert wurden.

16.2.14 Datenbankpartitionierung

Wenn Ihr Exchange 2000 Server mit mehreren Festplattensystemen ausgestattet ist, kann die Trennung der Transaktionsprotokolldateien von den Datenbanken die Möglichkeiten einer Wiederherstellung des Systems im Falle von Hardwarefehlem verbessem.

ist es vorteilhaft, die Protokolldateien auf separaten physischen Festplatten anzulegen. Auf den ersten Blick mag es so scheinen, dass dies die Zuverlässigkeit des Systems verringert, denn weitere Festplattensysteme, die ausfallen können, werden zum Server hinzugefügt. Wenn Sie jedoch die Transaktionsprotokolle aller Speichergruppen auf einem dedizierten Festplattensystem anlegen, und dieses System ausfällt, ist Ihr gesamter Server ausgefallen. Mit Transaktionsprotokollen auf separaten 'estplatten ist nur eine Speichergruppe betroffen, während Benutzer von Outlook 2000 mit Postfächem in anderen Speichergruppen weiterarbeiten können, als ob nichts geschehen ist.

16.2.15 Datenbankdatenträger

Es ist nicht erforderiich, die Datenbanken in jeder Speichergruppe auf separate Hardware-RAID-Datenträger zu legen. Ein Stripeset mit Parität oder irgendeine andere intelligente RAID-Konfiguration (z.B. gespiegelte oder duplizierte Stripesets) kann das erforderliche Maß an Schutz gegen Hardwarefehler gewährieisten. Fällt eine Festplatte aus, kann diese ohne Datenverluste ersetzt werden

Abbildung 20.7 Ein ehrgeiziges Festplatten-Subsystem für Exchange 2000 Server

687

16.2.16 Verwalten von Datenbanken

Datenbanken werden mit der Zeit fragmentiert. Dies ist ein normaler Prozess, den Sie nicht verhindem können, so, wie Sie auch die Fragmenderung der Festplatte des Computers nicht verhindem könner

16.2.17 Datenbankdefragmentierung

Der Informationsspeicherdienst defragmentiert seine Datenbanken automatisch während der geplanten Wartungszyklen. Mlerdings sollten Sie den Zeitplan der Datenbankwartung überprüfen. Dieser Zeitplan kann auf der Registerkarte Datenbank des entsprechenden Informationsspeichers unter Wartungsintervall konfiguriert werden. Planen Sie die Wartungsprozesse zu anderen Zeiten als die Datensicherungen.

16.2.18 Datenbankkomprimierung

Um die physische Größe der Datenbankdateien zu verringem, müssen Sie das Datenbankkomprimierungstool (Eseutil.exe) verwenden.

16.2.19 Problembehandlung von Datenbankproblemen

Wenn Sie mit Informationsspeicherproblemen kämpfen, können Sie Eseutil.exe mit der Befehlszeilenoption /g verwenden, um die Datenbankintegrität zu überprüfen. Wenn Sie eine beschädigte Datenbank feststellen, können Sie versuchen, das Problem zu beseitigen. Allerdings sollten Sie zuerst den Server neu starten, denn die Softrecovery, die beim Serverstart automatisch ausgeführt wird, könnte die Inkonsistenzen eventuell automatisch korrigieren. Wenn keines Ihrer aktuellen Backups verwendet werden kann, müssen Sie die Beschädigung mit Eseutil.exe manuell mit der Option /p beheben

Das Informationsspeicherintegritätstool (Isinteg) kann Datenbankfehler aufspüren und eliminieren und Probleme in höheren Datenbankstrukturen beseitigen. Isinteg.exe befindet sich im Verzeichnis XProgrammeVExchsrvrVBin. Standardmäßig korrigiert dieses Dienstprogramm keine Inkonsistenzen: es wird lediglich nach Tabellenfehlern, inkorrekten Referenzzählern und nicht referenzierten Objekten gesucht. Um Probleme zu beheben, müssen Sie die Option -ßx in der Befehlszeile angeben. Isinteg.exe zeichnet Details zu den Tests und Korrekturprozessen in einer Protokolldatei auf.

Sie können Eseßle.exe zum Kopieren großer Datenbankdateien verwenden. Dieses Programm befindet sich im Verzeichnis \Support\Utils\i386 aufder Exchange 2000 Server-CD. EseHle.exe mit dem Parameter /c <Ziel> <Quelle> kann Datenbankdateien größer als 192 GB kopieren.

16.2.20 Zusammenfassung der Übung

Starten Sie Eseutil.exe mit der Option /p, wenn Sie eine Datenbank komprimieren wollen, und geben Sie den vollständigen Pfad und Namen der gewünschten Datenbank an. Die dazugehörige Streamingdatenbank wird dann automatisch mit komprimiert (die lefehlszeilenoption /i schließt die Streamingdatenbank aus). Eseutil.exe wird dann Datenbankseite für Datenbankseite aus der Originaldatenbank auslesen und in eine temporäre Datei kopieren. Nach erfolgreichem Abschluss werden die temporären Dateien über die Originaldatenbanken kopiert. Sie können die Originaldatenbanken vor dem Uberschreiben bewahren, wenn Sie die Option /p angeben, welche den Kopiervorgang deaktiviert. Dies gibt Ihnen die Möglichkeit, die Komprimierungsergebnisse zu überprüfen und die Originaldatenbanken manuell zu ersetzen. Um eine Datenbanküberprüfung auf höherer Ebene auszuführen, verwenden Sie Isinteg.exe und geben Sie eine entsprechende Testroutine an.

16.3 Lektion 3: Backup, Wiederherstellung und Problembehandlung

Exchange 2000 Server stellt ein dediziertes APIs für die Sicherung und Wiederherstellung der Datenbanken bereit. Dieses API, das in Esebcli2.dll implementiert ist, ennöglicht Sicherungsprogrammen, wie dem Microsoft Windows 2000-Sicherungsprogramm, die Ausführung von Sicherungs- und Wiederherstellungsoperationen online, ohne die Dienste der Datenbanken beenden zu müssen. Sie können Postfachspeicher und öffentliche Informationsspeicher individuell sichem und wiederherstellen, während andere Speicher bereitgestellt sind (mounted). Die Sicherungs- und Wiederherstellungsvorgänge können auch remote, über das Netzwerk durchgeführt werden.

16.3.1 Sichern der Datenbanken

Das Sicherungsprogramm von Windows 2000 wird beispielsweise für Exchange 2000 Server aktiviert, wenn Sie die Microsoft Exchange-Systemverwaltungstools im Setupprogramm von Exchange 2000 Server installieren. Die eigentlichen Serverdienste brauchen nicht installiert zu werden. Um Systemdateien und Datenbanken zu sichem, müssen Sie als Administrator oder als Sicherungs-Operator arbeiten.

16.3.2 Offlinesicherungen

Eine Offlinesicherung ist eine reguläre, dateibasierte Sicherung des Verzeichnisses \Programme\Exchsrvr und aller Unterverzeichisse. Diese Art von Backup kann nur ausgeführt werden, wenn die Serverdienste beendet (offline) werden.

16.3.3 Onlinesicherungen

Onlinesicherungen werden durchgeführt, während die Serverdienste aktiv (gestartet) sind. In der Tat müssen die Dienste gestartet sein, denn die Backupanwendung muss mit den Diensten kommunizieren, um die Daten anzufordem.

lin wesentlicher Nachteil der Onlinesicherung ist jedoch, dass diese die binären Dateien und Konfigurationsdaten nicht berücksichtigen.

16.3.4 Es gibt die folgenden vier unterschiedlichen Arten von Onlinesicherungen (siehe Abbildung 20.9):

● Vollständige Sicherung

● Inkrementelle Sicherung

Speichert nur die neuen Transaktionsprotokolldateien, die nach der Datensicherung gelöscht werden. Somit wird ein neuer Kontext für die nächsten inkrementellen oder differentiellen Datensicherungen gesetzt. Es ist wichtig zu verstehen, dass die inkrementelle Sicherung keine Datenbankdateien sichert. Dies bedeutet, dass diese Art der Sicherung ohne eine vorherige vollständige Sicherung nutzlos ist. Eine erfolgreiche Wiederherstellung erfordert das letzte vollständige Backup und alle inkrementellen Sichemngen seit dieser Zeit.

● Differentielle Sicherung

\rbeitet ähnlich wie die inkrementelle Sicherung, löscht jedoch nicht die Transaktionsprotokolle. Die differentielle Sicherung setzt also keinen neuen Kontext für die nächste Sicherung. Die Sichemng ist von einer vorherigen vollständigen oder inkrementellen Sicherung abhängig. Eine erfolgreiche Wiederherstellung erfordert die letzte vollständige Sicherung und die letzte differentielle Sicherung.

● Kopiersicherung

Sichert die Datenbanken und Transaktionsprotokolle, löscht aber keine Dateien vom System. Die Kopiersicherung ändert auch nicht den Kontext für ändere Sicherungstypen. Diese Art der Sicherung ist zu Archivzwecken brauchbar.

16.3.5 Sicherungstypabhänaiqkeiten

Sie sollten Ihre Server wenigstens einmal am Tag sichem. ^ifferentielle Sicherungen vermeiden diesen Nachteil, aber erfordem mehr Festplattenplatz und Bandkapazität als inkrementelle Sicherungen,

16.3.6 Automatisieren des Sicherungsprozesses

Das Sichemngsprogramm von Windows 2000 gibt Ihnen die Möglichkeit, einen Zeitplan für Backupjobs (aufder Registerkarte Aufträge planen) einzurichten. Anmerkung Stellen Sie sicher, dass sich die für Ihre Datenbanken konfigurierten Wartungszyklen nicht mit den Sicherungsaufträgen überlappen.

16.3.7 Sichern der Kontiguration

Die Sicherung der Datenbanken von Exchange 2000 Server gestattet noch nicht die voHständige Wiederherstellung eines Servers. Diese Datenbanken enthalten beispielsweise nicht die Konfigurationsinformationen der Organisation. Active Directory verwaltet diese Informationen. Darüber hinaus werden verschiedene Startparameter für die Dienste in der Registrierung des Servers gespeichert. Der IIS und dessen dazugehörigen virtuellen Server beziehen ihre Konfigurationsinformationen wiederum aus der IIS-Metabase. Windows 2000 Server hängt außerdem von der Bootumgebung ab. All diese Informationen und zusätzliche Daten (wie die Datenbank der Zertifikatsdienste) müssen gesichert werden. Sie können diese Daten berücksichtigen, wenn Sie das Kontrollkästchen Systemstatus im Windows 2000-Sicherungsprogramm (auf der Registerkarte Sichern) markieren, vorausgesetzt, Ihr Exchange 2000-Server ist ein Domänencontroller.

Anmerkung Die Systemstatusinformationen können nur lokal gesichert werden und können nur auf einem Computer mit dem gleichen Namen wie der Originalserver wiederhergestellt werden.

Domänencontroller und Exchange 2000 Server Die meisten Computerspezialisten ziehen es vor, Exchange 2000 Server aufMitgliedsservem zu installieren. Dies befreit den Server von der Active Directory-Replikation und anderen Domänencontrolleraufgaben, wie der Authentifizierung der Clients. Allerdings haben Mitgliedsserver auch Nachteile, denn es gibt keine lokale Kopie der Active Directory-Datenbanken. Sie müssen sicherstellen, dass Ihre Windows 2000Administratoren Active Directory (welches die Konfigurationsinformationen Ihrer Exchange-Organisation umfasst) ordnungsgemäß sichern. Es ist nicht möglich, Active Directory-Informationen remote zu sichern.

Wenn allerdings kein Domänencontroller gefunden werden kann, können die Benutzer nicht auf Exchange 2000 Server zugreifen. Dementsprechend ist es unerlässlich, redundante Domänencontroller bereitzustellen. Kleine Umgebungen sollten wenigstens zwei Active Directory-Domänencontroller installieren und mittlere bis große Organisation sollten über nicht weniger als drei Domänencontroller verfügen. Es ist eine sehr gute Idee, Exchange 2000 Server auf einem Domänencontroller zu installieren, wenn Ihre Active Directory-Umgebung in dieser Beziehung Mängel aufweist.

Anmerkung Exchange 2000-Server, die Benutzerdaten speichem (Postfächer und öffentliche Ordner), sollten aufDomänencontrollem installiert werden. Dedizierte Server, die keine Benutzerdaten speichem, wie Bridgeheadserver oder Front-End-Server, die mit dem Intemet verbunden sind, werden am besten aufMitgliedsservem installiert.

16.3.8 Überprüfen der Datenbanksicherungen

16.3.9 Wiederherstellen auf demselben Server

In der Tat sollten Sie sicherstellen, dass die Dienste ausgeführt werden, aber die Bereitstellung des problematischen Informationsspeichers im Exchange System-Manager aufheben. Die anderen Datenbanken können weiterhin bereitgestellt bleiben, um die Benutzer nicht unnötigerweise zu behelligen

^eider ist es jedoch nicht möglich, die Bereitstellung der Datenbanken des Schlüsselverwaltungsdienstes und des Standortreplikationsdienstes aufzuheben. Sie müssen diese Dienste beenden (KMS oder SRS), alle vorhandenen Datenbankdateien aus dem Arbeitsverzeichnis (VKMSData oder VSRSData) in ein anderes Verzeichnis verschieben und dann den betroffenen Dienst wieder starten. Der Dienst wird dann im halbausgeführten Modus gestartet, der Ihnen die Wiederherstellung der Datenbanken mit dem Sicherungsprogramm von Windows 2000 ermöglicht.

16.3.10 Wiederherstellen einer vollständigen Sicherung mit inkrementellen oder differentiellen Backups

Wenn Sie eine vollständige Datensicherung mit inkrementellen oder differentiellen Datensichemngen wiederherstellen müssen, sollten Sie zuerst die vollständige Sicherung einspielen. Während dieses Vorgangs müssen Sie ein temporäres Verzeichnis angeben, in dem das Sicherungsprogramm die Transaktionsprotokolldateien und Patchdateien abspeichert. Bei der Wiederherstellung der vollständigen Sicherung wird auch eine Datei namens Restore.env in diesem Verzeichnis angelegt, die unter anderem Informationen über die ursprünglichen Pfade zu den Zieldatenbanken enthält. Die Restore.env steuert, wie die alten Transaktionsprotokolldateien und Patchdateien auf die wiederhergestellten Datenbanken angewendet werden. Dieser Prozess ist allgemein als Hardrecovery bekannt. Die Hardrecovery wird ausgelöst, wenn Sie im letzten Wiederherstellungszyklus das Kontrollkästchen Letzter Sicherungssatz markieren. Markieren Sie das Kontrollkästchen Letzter Sicherungssatz nicht, solange noch inkrementelle oder differentielle Datensicherungen wiederhergestellt werden müssen. Wenn Sie allerdings vergessen, diese Option im letzen Datensichemngssatz zu setzen, können die Datenbanken nicht bereitgestellt werden. Dementsprechend steht das Kontrollkästchen Datenbank nach Wiederherstellung bereitstellen nicht zur Verfügung, wenn das Kontrollkästchen Letzter Sicherungssatz nicht markiert ist. Wenn Sie eine vollständige Datensicherung ohne inkrementelle Sicherungen wiederherstellen, sollten Sie nicht vergessen, dass Kontrollkästchen unmittelbar zu aktivieren.

16.3.11 Durchführen einer manuellen Hardrecovery

Nobody is perfect - und so kann es passieren, dass Sie vergessen, das Kontrollkästchen Letzter Sicherungssatz zu markieren. In dieser Situation wird der Exchange SystemManager die wiederhergestellten Datenbanken nicht bereitstellen können und einen Fehler bei der intemen Verarbeitung berichten. Die Fehlermeldung wird vorschlagen, den Exchange System-Manager oder den Microsoft Exchange-Infonnationsspeicherdienst neu zu starten, oder beide. Folgen Sie diesem Vorschlag nicht. Der Neustart des

16.3.12 Zusammenfassung der Übung

Während der Hardrecovery werden die alten Transaktionsprotokolldateien aus dem temporären Verzeichnis in die Datenbanken überspielt, bevor die aktuelleren Protokolle aus dem Produktionsverzeichnis angewendet werden. Dies erlaubt Ihnen, sogarjene Objekte wiederherzustellen, die nicht in die Sicherung einbezogen waren.

16.3.13 Umfassende Notfallbehebung

Bei einerumfassenden Notfallbehebung stellen Sie Exchange 2000 Server aufeinem anderen Computer wieder her. Dies ist erforderlich, wenn der Originalserver vollständig zerstört wurde.

16.3.14 Notfallbehebungsprozedur

Das angestrebte Resultat der Systemwiederherstellung ist eine genaue Kopie des Ori,rinalservers. Dementsprechend sollte die Hardwarekonfiguration des Wiederherstellungsservers der Konfiguration des Originalcomputers entsprechen. Ist dies nicht der Fal], könnten die Treiber mit der neuen Hardware inkompatibel sein und manuelle Anpassungen erfordem. Die Festplatten sollten die gleiche Partitionierung aufweisen. Sie sollten darüber hinaus über die gleiche Kapazität (oder größer) verfügen.

16.3.15 Die folgende Vorgehensweise beschreibt die allgemeinen Schritte zur Notfallbehebung:

1. Installieren Sie das Betriebssystem neu.

2. Nachdem Sie den neu installierten Computer gebootet und sich als Administrator angemeldet haben, können Sie sämtliche dateibasierten Datensicherungen auf den Laufwerken wiederherstellen, sowie die Systemstatusinformationen

3. Wenn Sie nicht über eine vollständige Offlinesicherung verfügen, wird der Server Sie nach dem Neustart mit einer Fehlermeldung begrüßen, die besagt, dass ein oder mehrere Dienste nicht gestartet werden konnten, was verständlich ist, denn die Datenbanken von Exchange 2000 Server wurden noch nicht wiederhergestellt, wobei die entsprechenden Dienste bereits wieder in der Systemkonfiguration angegeben wurden. An dieser Stelle sollten Sie das Setupprogramm von Exchange ZOOO Server im /DisasterRecovery-Modus ausführen. Es ist wichtig zu bemerken, dass für diesen Modus das alte Serverobjekt noch in der Konfiguradon von Exchange 2000 Server in Active Directory zu finden sein muss.

4. Sobald das Setupprogramm die Wiederherstellung abgeschlossen hat, können Sie die Datenbanken wiederherstellen (einschließlich der Datenbanken des Schlüsselverwaltungsdienstes und des Standortreplikadonsdienstes, falls erforderlich), wie weiter oben in dieser Lektion beschrieben.

5. Starten Sie den Server neu und überprüfen Sie, dass Sie sich an Ihrem Postfach erfolgreich anmelden können.

16.3.16 Versetzen von Benutzern über eine umfassende Systemwiederherstellung

Die Idee ist einfach: Sie stellen den Server auf einem neuen Computer in vollem Umfang wieder her, einschließlich sämtlicher Sicherheits- und Konfigurationsinformationen, sowie der Datenbanken, und ersetzen dann die alte Hardware mit dem neuen System. Nach einer kurzen Periode der Nichtverfügbarkeit während der Ubergangsphase können die Benutzer mit ihren aktuellen Kontonformationen wieder auf die Postfächer zugreifen, als wäre nichts geschehen. Diese Prozedur wird auch als Forklifting von Postfächem zu einem neuen Server bezeichnet.

16.3.17 Ersetzen der Serverhardware über eine Verschiebung der Postfächer und die Replikation der öffentlichen Ordner

Es gibt eine bessere Altemative, bei der die Daten nicht in Gefahr gebracht werden. Verschieben Sie alle Postfächer in Active Directory-Benutzer und -Computer einFach vom veralteten Server weeg. Das wirkt sich nur wenig auf die Clients aus. Die Benutzer können sofort wieder aufExchange 2000 Server zugreifen, die MAPI-Profile werden automatisch aktualisiert und die Umgebung erscheint, als wäre nichts gewesen. Sie sollten auch alle öffentlichen Ordner verschieben, wie das in Kapitel 18 Replikation von öffentlichen Ordnern● erklärt wurde.

16.3.18 Abhängigkeiten in Bezug auf den Servernamen

Geben Sie dem alten Server Zeit, seine Nachrichtenwarteschlangen zu leeren, bevor essen Hardware ersetzen. Es ist wichtig zu bemerken, dass die automatische Umleitung von Outlook-Benutzem zu den Postfächem auf einem anderen Server nur solange funktioniert, wie ein Computer mit dem alten Servernamen im Netzwerk Exchange 2000 Server ausführt.

16.3.19 Ersetzen der Hardware

An dieser Stelle - wenn der alte Server keine Benutzerdaten mehr enthält - sollten Sie eine vollständige Datensicherung des Systems vomehmen. Schließen Sie alle Laufwerke in die dateibasierte Sicherung ein und sichem Sie auch die Systemstatusinformationen. Vergessen Sie nicht die Datenbanken des Schlüsselverwaltungsdienstes oder des Standortreplikationsdienstes, sollten diese existieren. Da es keine großen Datenbanken geben sollte, wird die Systemwiederherstellung nur eine geringe Zeit in Anspruch nehmen und der neue Server wird schnell zur Verfügung stehen. Sie können danach die Ressourcen wieder zurück auf den nun neuen Server verschieben.

16.3.20 Wiederherstellen auf einem anderen Server

Zuerst ein Dementi: Postfachspeicher aufeinem anderen Produktionsserver wiederherzustellen, wird nicht empfohlen. Die Wiederherstellung auf einem Server mit dem Namen des Originalservers stellt sicher, dass die Benutzer mit ihren Postfächem ohne Neukonfiguration ihrer MAPI-Profile arbeiten können. Wenn Sie darüber hinaus Active Directory-Informationen wiederherstellen müssen, muss der alte Servername aufjeden Fall verwendet werden.

16.3.21 Postfachbezeichner

Venn Sie also eine Datenbankwiederherstellung in der Produktionsumgebung erfolgreich durchführen wollen, müssten Sie zunächst alle Postfächer der Benutzer aus der Originaldatenbank löschen. Dies wird implizit sichergestellt, wenn Sie den beschädigten Produktionsserver aus der Exchange-Organisation in Active Dtrectory entfemen.

16.3.22 Wiederherstellen von Datenbanken auf einem anderen Server

Ist der alte Server ausgefallen und ein neues System nicht verfügbar, sind Sie dazu gezwungen, die Datenbanken auf einem anderen, in der Produktionsumgebung vorhandenen Exchange 2000-Server wiederherzustellen. Die Wiederherstellung auf einem anderen Server wirftjedoch eine Reihe von kritischen Fragen auf. Beispielsweise müssen nun alle betroffenen Benutzer Ihre MAPI-Profile manuell aktualisieren, um aufdie Postfächer auf dem neuen Server zugreifen zu können.

16.3.23 Hochgeschwindigkeitsbereitstellung mit verzögerter Wiederherstellung

Die direkte Wiederherstellung aufeinem Produktionsserver bewirkt, dass die Benutzer während der Wiederherstellung nicht mit Ihren Postfächem arbeiten können. Eine geschickte Wiederherstellungsstrategie nüt verzögerter Wiederherstellung kann helfen, die Systemausfallzeit gering zu halten.

Die grundlegende Idee der verzögerten Wiederherstellung ist die seb: schnelle Wiederherstellung des Systems mit zunächst leeren Datenbanken Die Datenbanken können dann auf einem anderen Server wiederhergestellt werden. Danach kommen Wiederherstellungstools zum Einsatz, wie der Microsoft Exchange Mailbox Merge Wizard, um die Nachrichten aus dem Wiederherstellungsserver zu ziehen und in das Produktionssystem zurückzuspielen.

Anmerkung: Da Outlook 2000 die neuen Postfächer in neuen und leeren Datenbanken initialisiert, können die Benutzer nicht mehr länger mit den vorhandenen Offlineordnem arbeiten. Es ist notwendig, die OfOineordner zu deaktivieren und diese in einer neuen .ost-Datei erneut einzurichten. Die Konfiguration von Offlineordnern und deren Synchronisation wurden in Kapitel 9 Auf MAPI basierende Clients● behandelt.

16.3.24 Vorbereiten des Wiederherstellungsservers

Besonders wichtig ist, dass der Wiederherstellungsserver nicht in die Active DirectoryGesamtstruktur der Produktivumgebung integriert werden darf. Dementsprechend ist es unerlässlich, den Wiederherstellungsserver in einer getrennten Gesamtstruktur zu installieren und die wiederhergestellten Postfächer temporären Benutzerkonten zuzuordnen.

1. Installieren Sie Windows 2000 Server und stufen Sie den Server zu einem Domänencontroller in der Gesamtstmktur der Wiederherstellungsumgebung herauf. configurieren Sie nicht das Dynamic Host Configuration Protocol (DHCP)

2. Verwenden Sie während der Installation von Exchange 2000 Server die Namen der Organisation und administrativen Gruppe des Produktivsystems

3. Richten Sie die Speichergruppen und Informationsspeicher manuell und unter Verwendung der Originalnamen ein

16.3.25 Erneutes Verbinden von Postfächern

Die Post"ächer sind zunächst keinen Benutzerkonten zugeordnet, denn die Originalkonten existieren nicht in der Wiederherstellungsumgebung. Sie müssen neue Konten in der Gesamtstruktur der Wiederherstellungsumgebung einrichten und diese mit den Postfächem verbinden. Eine weitere, vielleicht einfachere Möglichkeit steht mit dem Dienstprogramm Mailbox Reconnect (Mbconn.exe) zur Verfügung, welches die Erstellung von .Idf-Dateien aufder Basis von Informationen aus den wiederhergestellten Postfachspeichem gestattet. Die .Idf-Datei wird alle erforderlichen Einträge enthalten, um die gewünschten Benutzerkonten mit dem Dienstprogramm LDIFDE anzulegen.

16.3.26 Datenabruf und Wiedergabe

Es ist nicht möglich, mehrere Postfächer einem einzelnen Benutzerkonto zuzuordnen.

Anmerkung Die Mitglieder der Gruppen Domänen-Admins oder OrganisationsAdmins erben standardmäßig Verweigerungen für die Berechtigungen Send As und Receive As.

Umjedoch die Daten von zahlreichen Postfächem zu extrahieren und wiederherzustellen, sollten Sie den Microsoft Exchange Mailbox Merge Wizard (Exmerge.exe), kurz Exmerge, verwenden. Im Wesentlichen ist Exmerge eme MAPI-basierte Clientanwendung, die Nachrichten aus Postfächem in .pst-Dateiea kopiert und diese Daten dann in die Zielpostfächer importiert.

17 Kapitel 21 Die Formularumgebung von Microsoft Outlook (Ab S. 737)

18 Kapitel 22 Microsoft Outlook Web Access (Ab S. 761)

Sie können aufMicrosoft Exchange 2000 Server mitjedem beliebigen Browser zugreifen, der JavaScript und Frames unterstütz

18.1 Lektion 1: OutlookWeb Access im Überblick

18.1.1 Verzeichnisse von Outlook Web Access

Mit nur wenigen Ausnahmen smd sämtliche OWA-Komponenten im Verzeichnis \Programme\Exchsrvr\Exchweb gespeichert.

Das vütuelle Verzeichnis Exchange (z.B. http://bluesky-srvl/exchange/) ermöglicht Ihnen den Zugriffauflhr Postfach und die öffentlichen Ordner als angemeldeter Benutzer. Public (z.B. http://bluesky-srvl/public/) bietet aufder anderen Seite einen Weg zur Messaging Application Programming Interface (MAPI)-basierten öffentlichen Ordnerhierarchie, um auf die üblichen öffentlichen Ordner zuzugreifen.

18.1.2 Beschränkungen von Outlook Web Access

Mehrere Features, wie verzögerte Nachrichtenzustellung und Nachrichtenverfall, Ordnerregeln, Offlineordner, Joumal, Druckvorlagen, Rechtschreibprüfung, Aufgabenverwaltung, Telefonoptionen und benutzerdefinierte Felder beim Zugriff auf Kontaktobjekte, werden nicht unterstützt. Darüber hinaus ist es nicht möglich, mit Secure/ Multipurpose Intemet Mail Extensions (S/MIME)-Nachrichten zu arbeiten. OWA ist ein abgespeckter Messagingclient.

18.1.3 Multimedia-Messaging

ines der interessantesten Features von OWA ist Multimedia-Messaging, vorausgesetzt, Ihre Arbeitsstation ist mit Video- und Audiokomponenten ausgestattet. Dieses

18.2 Lektion 2: Outlook Web Access-Umaebunaen

Diese Lektion erklärt, wie der Zugriff auf Exchange 2000 Server über OWA in kleinen und großen Umgebungen bereitgestellt werden kani

Wenn Sie außerhalb Ihrer eigenen Domäne arbeiten, müssen Sie den vollständig angegebenen Domänennamen (Fully Qualified Domain Name, FQDN) zum Hostnamen des virtuellen HTTP-Servers hinzufügen, mit dem Sie auf Ihr Postfach zugreifen wollen, z.B. http://bluesky-srvl.bluesky-inc-10.com/exchange/. Darüber hinaus muss Ihr Postfach-aktiviertes Benutzerkonto über eine SMTP-Adresse verfügen, die mit den SMTP-Adressinformationen in der Standard-Empfängerrichtlinie Ihrer Organisation übereinstimmt (z.B. [email protected], wobei ©BIuesky-inc-lO.com für die SMTP-Adressen in der Standard-Empfängerrichtlinie angegeben wurde

18.2.1 Front-End/Backend-Konfigurationen

Es ist eine gute Idee, Exchange 2000 Server in einer FE/BE-Anordnung bereitzustellen, wenn Sie eine große Anzahl von Benutzem über das Intemet unterstützen möchten. Front-End-Server konzentrieren die eingehenden Clientverbindungen und leiten diese an die passenden Backend-Server weiter, aufdenen sich die Postfächer befinden. Der Front-End-Server ermittelt den Standort des jeweiligen Postfachs über Active Directory.

18.2.2 Ressourcenzugriff

Sie können den Zugriffaufdie OWA-Ressourcen über virtuelle HTTP-Server, virtuelle Verzeichnisse und Benutzerkonten kontrollieren. Leider müssen Sie bei der Arbeit mit iem virtuellen HTTP-Standardserver namens Virtueller Exchange-Server mit drei unterschiedlichen Dienstprogrammen arbeiten - Internetdienste-Manager, Exchange System-Manager und Active Directory-Benutzer und -Computer.

Da OWA die Postfachinformationen automatisch auf der Grundlage der angegebenen ^enutzerinformaüonen bestimmt, brauchen Sie nur den URL http://<Servername>/ Exchange/ einzugeben, um auf Ihr persönliches Postfach zugreifen zu können. Wenn Sie mit anderen Postfächem arbeiten möchten, sollten Sie den Postfachalias an den URL anhängen (z.B. http://bIuesky-srvl/Exchange/KarlM

18.2.3 Anonymer Ressourcenzugriff

ie haben zwar die Möglichkeit, den anonymen Zugriff auf öffentliche Ordner zuzulassen, aber dies bedeutet nicht, dass die anonymen Benutzer unbekannt wären. Standardmäßig weist das System den anonymen Benutzem das Gastkonto des IIS zu, d.h. IUSR_<SERVERNAME>.

tai ein wenig mit URLs zu experimentieren, geben Sie im Feld Adresse Ihres irowsers den URL http^/bluesky-srvl/Exchange/Administrator/Posteingang/ ?Cmd=contents ein und drücken Sie dann die EINGABETASTE, um den Posteingangsordner anzuzeigen.

Festen Sie einmal den URL http://bluesky.srvl/Exchange/Administrator/ Kalender/?Cmd=navbar. Nur die Navigationsleiste von Outlook Web Access wird dann angezeigt.

ieben Sie http://bluesky-srvl/Exchange/Administrator/Posteingang/ ?Cmd=new ein und drücken Sie dann die EINGABETASTE, um ein leeres Nachrichtenformular anzuzeigen, mit dem Sie unmittelbar eine Rich-Text-Nachricht erstellen und versenden können.

Geben Sie http://bluesky-srvl/Exchange/Adnunistrator/Kalender/ ?Cmd=contents&View=Weekly ein und drücken Sie dann die EINGABETASTE, um Ihren Kalenderordner ähnlich wie in einer Tage-AVochen-/Monatsansicht von Outlook 2000 anzuzeigen

18.2.4 Abwärtskompatibilitätsfragen

rie bereits zu Beginn dieses Kapitels erwähnt wurde, ist die neue Version von OWA nicht mit OWA früherer Versionen von Exchange Server kompatibel.

3utlook Web Access von Exchange 2000 Server | ist nicht in der Lage, auf öffentliche Ordnerressourcen von früheren Versionen von xchange Server zuzugreifen. Die öffentlich Ordner müssen zu Exchange 2000 Server repliziert werden.

Varvim ist die OWA-Version von Exchange 2000 Server mit OWA von früheren Versionen von Exchange Server inkompatibel?

Die neue Version basiert auf ISAPI statt ASPs, welche von der früheren Version verwendet wurden.

Während der Installation von Exchange 2000 Server werden vier Verzeichnisse ir OWA angelegt. Wie lauten diese Verzeichnisse und was ist ihr Verwendungszweck?

Die vier virtuellen Verzeichnisse sind Exadmin, Exchange, Exchweb und Public. Exadmin ermöglicht dem Exchange System-Manager die Arbeit mit den Eigenschaften von öffentlichen Ordnem. Exchange ermöglicht den Zugriff auf Postfächer. Public kann für den Zugriff auf die MAPI.basierten öffentlichen Ordner verwendet werden. Exchweb verweist auf Grafiken und mdere Dateien, die sich im Verzeichnis \Programme\ExchsrvrVExchweb befinden.

Sie haben drei Front-End-Server bereitgestellt und planen die Implementierung einer Softwarelösung für die Lastverteilung. Welches System empfiehlt Microsoft für die Lastverteilung?

Es ist empfehlenswert, die Front-End-Systeme auf der Basis von Microsoft Netzwerklastenausgleichzusammenzufassen.

19 Kapitel 23 Das Web Storage System (Ab S. 785)

Das Microsoft Web Storage System ist eine innovative Methode für die Integration des [nformationsspeicherdienstes von Microsoft Exchange 2000 Server mit Web-basierten Technologien, wie HTTP, Extensible Markup Language (XML), Web Distributed Authoring and Versioning (WebDAV), Object Linking and Embedding Database (OLE DB) und ActiveX Data Objects (ADO). Das Web Storage System erweitert die Verfügbarkeit des Informationsspeichers und bietet Möglichkeiten für plattformunabhängiges Messaging, Informationsmanagement und hochproduktive Workgroup- und Workflow-Anwendungen. Microsoft Outlook Web Access (OWA) stützt sich beispielsweise auf das Web Storage System.

19.1 Lektion 1: Das Microsoft Web Storage System

Sie können auf die Ressourcen des Web Storage Systems mit fastjeder beliebigen Anwendung, einschließlich Messaging Application Programming Interface (MAPI)-basierten Clients, Webbrowsem und Standard-Win32-Programmen, wie Microsoft Word, zugreifen

19.1.1 Exchange 2000 Server und SQL

Mit ADO 2.5 können Sie aufdas Web Storage System ähnlich wie aufMicrosoft Access oder Microsoft SQL Server zugreifen. Wenn Sie sich bereits mit der Entwicklung von Structured Query Language (SQL)-Anwendungen auskennen, können Sie unter Verwendung der gleichen Entwicklungswerkzeuge mit Leichtigkeit Anwendungen für das Web Storage System entwick

Exchange 2000 Server unterstützt SQL-Anweisungen.

19.1.2 Anwendungs- und Datenrepository

Statt virtuelle Verzeichnisse im lokalen Dateisystem des Servers anzulegen, können Sie virtuelle Verzeichnisse im Web Storage System einrichten.

19.2 Lektion 2: Entwickeln von Anwendungen für das Web Storage System

teispielsweise können Sie mit den Microsoft Web Storage System;brmularen für Exchange 2000 Server elektronische, HTML-basierte Formulare in Microsoft FroatPage 2000 ohne Programmieraufwand erstellen

19.2.1 Entwickeln von Web Storage System-Formularen

Das Web Storage System ist in der Lage, elektronische Fonnulare ähnlich wie Outlook 2000 zu handhaben. Statt Outlook-Formularen kommen HTML- oder ASP-basierte Formulare zum Einsatz, wenn die Benutzer Objekte in einem Webbrowser öffnen. Eine DLL namens Wmtemplates.dll definiert die Standardvorlagen, die von OWA zur Darstellung der HTML-Formulare für E-Mail-Nachrichten, Kontakte und Kalenderobjekte verwendet wird.

19.2.2 Wiederverwendung von Outlook Web Access-Elementen

Sie können beispielsweise eine Seite aufbauen, in der sowohl Ihr Kalender als auch Ihr Posteingang zu sehen sind.

19.2.3 Web Storage System-Formularregistrierung

Um benutzerdefinierte Webseiten im Web Storage System verwenden zu können, müssen Sie diese in einem Registrierungsobjekt referenzieren

19.2.4 Formularanpassung im Web Storage System

Sie können beispielsweise ein Formular für den Internet Explorer 5.0 in Englisch implementieren und ein anderes Formular für den Microsoft Mobile Explorer in Französisch, um die Daten auf eine bestmögliche Art und Weise entsprechend den Fähigkeiten und der Sprache des Browsers des Benutzers darzustellen ^nhand der Browserinformationen, des angeforderten Objekts und der Informationen aus der Formularregistrierung kann das Web Storage System das passende Formular automatisch bestimmen.

19.2.5 Synchrone, asynchrone und Systemereignisse

Das Ereignismodell von Exchange 2000 Server ennöglicht Ihnen die Arbeit mit zwei generellen Arten von Ereignissen: Transportereignissen und Ereignissen im Web Storage System.

20 Kapitel 24 Workgroup- und Workflow-Technologien 809

Collaboration Data Objects (CDO) ist eine populäre Technologie, um Messagingfunktionalität zu Geschäftsanwendungen hinzuzufügen. Diese Technologie hieß nicht nmer CDO. In Microsoft Exchange Server 4.0 lautete der Name OLE Messaging. Dieser änderte sich in Exchange Server 5.0 zu Active Messaging. In Exchange Server 5.5 entschied sich Microsoft emeut zur Anderung des Namens, um die Technologie intuitiver zu beschreiben. Diesmal änderte sich der Name in Collaboration Data Objects.

20.1 Lektion 1: CDO für Exchanqe 2000 Server

Dijese Lektion vergleicht CDO mit ADO 2.5 und stellt dann die typischen Features von CDO vor.

CDO ist die ideale Wahl, um Workgroup- und Workflow-Anwendungen zu implemenüeren. Es hat seine Vorteile, sowohl ADO als auch CDO in Anwendungen einzusetzen. CDOObjekte können direkt an ADO-Objekte gebunden werden. Mögliche Änderungen, die Sie über CDO ausgeführt haben, können über ADO zurückgespeichert werde

20.1.1 Erwägen Sie den Einsatz von CDO statt ADO in den folgenden Situationen:

● Um Daten mit im Intemet üblichen Standardübertragungsformaten zu codieren, z.B. MIME Base64 (welches die alte Unix-to-Umx-Kodiemng - Unix-to-Unix

● Um für Messaging- und Workgroup-Computing optimierte Geschäftslogik zu implementieren (statt strukturierten Datenbanken).

● Um Kalender, Termine, Besprechungsanfragen und Kontaktverwaltung zu implementieren.

● Um die Arbeit mit Rohdaten in Objektströmen (Streams) zu vereinfachei

20.2 Lektion 2: CDO für Exchange-Management

CDO für Exchange-Management bietet benutzerdefinierten Verwaltungsanwendungen erstaunliche Möglichkeiten. Ahnlich wie das Active Directory Services Interface (ADSI) können Sie CDOEXM einsetzen, um mit Active Directory-Objekten zu arbeiten und diese zu modifizieren

Sie sollten CDOEXM beispielsweise verwenden, wenn Sie Postfächer für neue Benutzer anlegen oder Kontakten oder öffentlichen Ordnem E-Mail-Adressen programmatisch zuweisen möchten. ADSI ennöglicht Dinen wiedemm die Erstellung leistungsfäiger Verzeichnisanwendungen, die für die Verwaltung der gesamten Active DirectoryUmgebung eingesetzt werden können. Allerdings ist ADSI nicht in der Lage, mit den Ressourcen im Web Storage System zu arbeiten. Sie können ADSI beispielsweise nicht erwenden, um Postfachspeicher oder öffentliche Informationsspeicher bereitzustellen oder deren Bereitstellung aufzuheben.

20.3 Lektion 3: Workflow für Eychanae 2000 Server

20.3.1 Vorbereiten des Systemkontos für CDO-Workflow

CDO für Workflow wird auflhrem Exchange 2000-Server automatisch installiert. Dies ideutetjedoch nicht, dass Sie unmittelbar über die erfordedichen Berechtigungen zur t.egistrierung von Workflow-Prozessen verfügen. Die Vorbereitung von CDO für Vorkflow umfasst die Erstellung eines Systemkontos, die Konfiguration von Postfachsinstellungen und Berechtigungen für dieses Konto und die Zuweisung von WorkflowAutoren.

20.3.2 Erstellen des Systemkontos

arten Sie Active Directory-Benutzer und -Computer, um das Workflow-System3nto zu erstellen. Postfach-aktivieren Sie das Systemkonto und fügen Sie es zur }ruppe Exchange Domain Servers hinzu. Durch die Mitgliedschaft in dieser Gruppe erbt das Workflow-Systemkonto volle Exchange 2000 Server-Berechtigung

21 Kapitel 25 Workgroup-Computing in Echtzei 837

Ein Telefongespräch veranschaulicht beispielsweise bestens, wie in Echtzeit kommuniziert wird. Alle Gesprächsteilnehmer müssen online sein, um Informationen austauschen zu köanen. licrosoft Exchange 2000 Server stellt ein umfassendes Paket von Diensten für die ichtzeitkommunikation bereit, um Organisationen die Unmittelbarkeit des Telefons in ler Funktionalität von Messaging und Groupware bieten zu können. Instant Messaging möglicht den Benutzem beispielsweise die Führung von Dialogen mit anderen Benutzern unter Verwendung kleiner Textnachrichten, die sofort am Bildschirm angeeigt werden. Chat-Dienste können wiederum verwendet werden, um Diskussionsforen und andere Formen der Gruppenkommunikation zu unterstützer arüber hinaus können Sie Microsoft Exchange 2000 Conferencing Server installieren, um Daten- und Videokonferenzen planen zu können.

21.1 Lektion 1: Instant Messaging

21.1.1 Das Prinzip von Instant Messaging

Instant Messaging ist eine Client/Server-Technologie. Benutzer, die mit IM-Clientsoftware arbeiten, können Textnachrichten austauschen, während sich ein IM-Server um die Weiterleitung der Nachrichten und die Verwaltung der Präsenzinformationen kümmert. Führende Softwarehersteller, wie Microsoft und IBM/Lotus, haben zusammen ein Instant Messaging Presence Protokoll (IMPP) für den Austausch von Präsenzinformationen zwischen unterschiedlichen Systemen entwickelt. Allerdings verwendet Exchange 2000 Server dieses Protokoll nicht.

21.1.2 Instant Messaging-Clientsoftware

Der primäre IM-Client ist MSN Messenger. Dieser Client ist im Lieferumfang von Exchange 2000 Server enthalten und kann unter Microsoft Windows 95/98, Microsoft Wmdows NT 4.0 und Microsoft Windows 2000 installiert werden. MSN Messenger erfordert Microsoft Intemet Explorer j

21.1.3 InstantMessaging-lmplementierung

IM ist eine Technologie des World Wide Web. Die Kommunikation zwischen den Clients und Servern erfolgt über das Rendezvous-Protokoll (RVP), einem proprietären Protokoll, das von Microsoft als Erweiterung des Web Distributed Authoring and Versioning (WebDAV)-Protokolls entwickelt wurde.

Anmerkung: Ein wesentlicher Unterschied zwischen E-Mail- und Sofortnachrichten >esteht darin, dass die Sofortnachrichten nicht auf dem Exchange 2000-Server gespeichert werden. Sofortnachrichten gehen verloren, sobald Sie das Fenster Ihres MSN Messenger-Clients schließen.

21.1.4 FTM und geschützte IP-Adressen

Clients mit IP-Adressen außerhalb der geschützten Bereiche kommunizieren indirekt über IM-Routerserver. Clients mit IP-Adressen innerhalb der geschützten Bereiche könnenjedoch direkte Verbindungen zu den IM-Homeservem in einer Instant Messaging-Domäne aufbaui

21.1.5 Instant Messaging-Domänen

Instant Messaging-Ressourcen sind in Domänen organisif

IM-Domänennam<

eispielsweise )llte den Benutzem in der SMTP-Domäne bluesky-inc-lO.com ein IM-Domänenname von im.bluesky-inc-10.com zugewiesen werden, der dann über Service (SRV)DNS-Einträge an bluesky.inc-10.com angeglichen werden ka;

nmerkung Organisationen mit mehr als einer Active Directory-Gesamtstruktur müs.en separate IM-Domänen aufbauen, dieje eine unabhängige Instant Messaging-Installation repräsentieren

21.1.6 IM-Homeserver und IM-Router

Jede Instant Messaging-Domäne besteht aus mindestens einem Homeserver, der die -Konten der Benutzer und deren Präsenzinfoormationen verwaltet. Bis zu 10.000 )nline-Benutzer können auf einem einzelnen IM-Homeserver untergebracht werden. Der Homeserver kommuniziert direkt mit den IM-Clients via RVP.

xiterserver enthalten auf der anderen Seite keine Benutzerkonten. Die Aufgabe von ^outerservem besteht darin, Sofortnachrichten zwischen den Domänen zu den korrekten Homeservem der IM-Empfänger weiterzuleite

21.1.7 DNS-Abhängigkeiten

Instant Messaging-Domänen müssen in DNS registriert werden. Das ist nicht viel nders als bei der Registrierung von SMTP-Domänen in DNS-Einträgen für MailExchanger(MX

21.2 Lektion 2: Chat-Dienste

Die Enterprise Version von Exchange 2000 Server unterstützt die textbasierte Echtzeitkommunikation auf der Basis der Protokolle Intemet Relay Chat (IRC) und Intemet Relay Chat Extension (IRCX).

21.2.1 ClienVServer-Technologie

Ein einzelner Chat-Server kann mehrere ChatGemeinden beherbergen und bis zu 20.000 Benutzer gleichzeitig unterstützen. In der Standardkonfiguration sind 5000 Benutzer pro Kanal zulässig.

Normalerweise stellen die Chat-Clients Verbindungen über die TCP-Portnummer 6667 her, die automatisch der ersten Chat-Gemeinde aufdem Server zugewiesen wird. Microsoft Chat 2.5 ist in der Lage TCP-Ports aus dem Bereich 6000 bis 7000 zu verwenden.

21.2.2 Integration mit Active Directory

Der Chat-Dienst von Exchange 2000 ist mit Active Directory integriert, um die Konfigurationsinformationen zu virtuellen Chat-Gemeinden, Kanälen, Benutzerlisten und anderen Einstellungen, wie Verbote, die bestimmten Benutzem den Zugriff auf einen Kanal verwehren, zu speichern. Der Chat-Dienst stützt sich außerdem zum Zwecke der Authentifizierung und Zugriffskonbrolle aufActive Directory, um das erlaubte Maß an Zugriffsberechtigungen bestimmen zu könne

21.2.3 Verschlüsseln der Chat-Kommunikation

Chat ist ein Klartextprotokoll, das die Verschlüsselung über Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) nicht unterstützt. Dementsprechend können Sie mit einen Protokollanalyseprogramm, wie Microsoft Netzwerkmonitor, die IRC-Kommunikation recht leicht abfangen. Wenn Sie beabsichtigen, sensible Informationen in Chat-Foren über öffentliche Netzwerke auszutauschen, sollten Sie den Aufbau von virtuellen privaten Netzwerken (VPNs) unter Einsatz des Point-to-Point Tunneling-Protokolls (PFTP), Layer 2 Tunneling-Protokolls (L2TP) oder IP Security (IPSec) in Betracht ziehen

21.2.4 Installieren des Chat-Dienstes von Exchange 2000 Server

Sie können den Chat-Dienst von Exchange 2000 Server auf einem vorhandenen Exchange 2000-Server installieren, oder auf einem Standard-Windows 2000-Server, der IIS 5.0 ausführt. illerdings müssen Active Directory und Exchange 2000 Server in der Domäne installiert worden sein, um den Chat-Dienst von Exchange 2000 Server zu unterstützen

Abbildung 25.8 Installieren des Chat-Dienstes vnn F.vfhanee 2000 Server auf einem dedizierten Server

Sie können Microsoft Chat, Version 2.5 über das Web von http:// www.microsoft.com/ herunterladen.

21.3 Lektion 3: Onlinekonferenzen

Microsoft Exchange 2000 Conferencing Server ist die leistungsfähigste Plattform von Microsoft für die Zusammenarbeit in Echtzeit. Dies ist ein separates Produkt, mit dem Sie virtuelle Meetings und Onlinekonferenzen verwalten und koordinieren können.

21.3.1 Überblick zu Daten- und Videokonferenzen

21.3.2 Die Onlinekonferenztechnologien bieten die folgenden charakteristischen Features:

● Gemeinsame Nutzung von Anwendungen

4ur die Person, die ein Programm freigeben möchte, muss die Anwendung installiert haben. Die anderen Teilnehmer benötigen keine lokale Kopie der Software, um die Informationen anzeigen zu können oder zu sehen, wie die Inhalte bearbeitet oder gescrollt werden.

● Audio- und Videokonferenzen

● Chat

● Dateiübertragung

Die Konferenzteilnehmer können zu einem oder allen anderen Teilnehmem Dateien aufder Basis des T-127-Standards übermitteln. Die Empfänger können den Dateitransfer akzeptieren oder ablehnen.

● Freigegebene Zwischenablagi

>ie Konferenzteilnehmer können Informationen untereinander über eine gemeinsam genutzte Zwischenablage austauschen. Zwischen den Computern werden die Vorgänge Ausschneiden, Kopieren, Einfügen unterstützt.

● Whiteboard

Die Konferenzteilnehmer können ein gemeinsames Zeichenbrett simultan verwenden, um mit graphischen Informationen zu arbeiten.

21.3.3 Peer-to-Peer- und ClienVServer-Konferenzen

Microsoft NetMeeting 3.01 (oder höher) ist eine typische Clientanwendung für Datenkonferenzen Um die Einschränkungen und Nachteile von Peer-to-Peer-Konferenzen zu beseitigen, kann Exchange 2000 Conferencing Server verwendet werden, um eine MCU aufeinem zentralen Server aufzubauen. In diesem Client/Server-Konferenzszenario greifen die Clients auf den zentralen Server zu, um die Daten über eine einzelne Verbindung senden und empfangen zu können, während der Server alle Clients miteinander synchronisiert. Da die Konferenz nun auf einem Server verwaltet wird, kann der Konferenzorganisator die Konferenz veriassen, ohne dass das Onlinemeeting beendet werden muss.

21.3.4 Der Konferenzverwaltungsdienst

Der Konferenzverwaltungsiienst erfasst und kontrolliert den Zugriff auf die Onlinekonferenzen.

Der Konferenzverwaltungsdienst ist für die folgenden Aufgaben verantwortlich:

● Uberwachen von Konferenzressourcei

● Kontrollieren der Konferenzprovider

● Umleiten von Clients

21.3.5 Konferenzkalenderpostfach

Die Konferenzen werden vom Server gestartet, verwaltet und beendet, obwohl Sie in Outlook 2000 geplant werden.

Wird die Konferenzanfrage akzeptiert, speichert der Konferenzverwaltungsdienst die Details zur Konferenz, z.B. den Sicherheitsgrad und die Konferenzteilnehmer, im Konferenzkalenderpostfach und aktualisiert die Frei/Gebucht-Zeiten für dieses Postfach.

21.3.6 Datenkonferenzprovider

Der Datenkonferenzprovider gibt T.120-konformen Clients, wie NetMeeting 3.01, die Möglichkeit, Anwendungen, Zwischenablagen, Whiteboards und Chat-Dienste in einer Client/Server-Umgebung gemeinsam zu nutzen,

3hne Zertifikat werden private Konferenzen aicht unterstützt. Die MCU fordert Computerzertifikate von den Zertifikatsdiensten automatisch an

21.3.7 IP-Multicasting

Anmerkung IP-Multicasting erfordert ein Multicasting-fähiges Netzwerk. Die IPRouter müssen für Multicasts aktiviert werden.

21.3.8 Multicast Address Dynamic Client Allocation Protokoll

Um die Multicast-Kommunikations ausführen zu können, muss der Videokonferenz>rovider eine Multicast Address Dynanüc Client Allocation Protocol (MADCAP)Adresse während des Starts einer Konferenz anfordem )ementsprechend müssen Sie einen MADCAP-Server einrichten, um die Adresszuweisungsdienste für IP-Multicast-Videokonferenzen bereitzustellen.

21.3.9 Installieren von Exchange 2000 Conferencing Server

Es ist nicht notwendig, Exchange 2000 Conferencing Server auf einem Exchange 2000-Server zu installieren. Allerdings müssen Active Directory und Exchange 2000 Server in der Windows 2000-Domäne implementiert werden, um den Installationsprozess erfolgreich ausführen zu können. Exchange 2000 Conferencing Server erfordert Windows 2000 Server und IIS 5.0 aufdem lokalen Computei Darüber hinaus muss Ihr SJetzwerk für IP-Multicasts konfiguriert werden und MADCAP-Dienste bereitstellen, wenn Sie Videokonferenzen unterstützen möchte r private Konferenzen müssen 'ie außerdem sicherstellen, dass die Windows 2000-Zertifikatsdienste in Ihrer Organisation konfiguriert wurden.

22 Kapitel 26 Verbinden mit Microsoft Mail und Schedule+ 873

Dieses Kapitel behandelt den MS Mail-Connector, die Verzeichnissynchronisation mit IS Mail (Dirsync) und den Microsoft Schedule+ Frei/Gebucht-Connector. Das Kapitel erklärt, wie E-MaiI-Nachrichten übermittelt, MS Mail-Adressinformationen mit Empfängerobjekten in Active Directory synchronisiert und Frei/Gebucht-Informadonen verwaltet werden.

22.1 Lektion 1: Der MS Mail-Connector

Der MS Mail-Connector ist für die Nachrichtenübertragung zwischen Exchange 2000 Server und MS Mail-Postoffices verantwortUc

Microsoft Mail für PC-Netzwerke (MS Mail) war in der ersten Hälfte der 1990er Jahre ein beliebtes Messagingsysteir [m Jahre 1996 wurde dann Microsoft Exchange Server 4.0 freigegeben. Exchange Serv< 4.0 war überwiegend auf die installierte MS Mail-Basis ausgerichtet, um das frühere Messagingsystem von Microsoft komplett zu ersetzen. Eine sorgfältige Migration zu Exchange Server war uneriässlich für den Erfolg des neuen Syi

Microsoft Exchange 2000 Server führt die Unterstützung von Organisationen mit MS Mail-Umgebungen for<

22.1.1 Überblick zum MS MaiI-Connector

lin MS Mail-Connector reicht bereits aus, um eine gesamte Exchange 2000 Server-Organisation mit einem MS Mail-Netzwerk zu verbinden. Der MS Mail-Conlector versetzt Sie in die Lage, separate MS Mail-Netzwerke zusammenzuschalten oder für MS Mail-Benutzer eine Anbindung an fremde Messagingsysteme, z.B. ein Simple Mail-Transportprotokoll (SMTP)- oder X.400-Systeme, bereitzustellen (siehe Abbildung26.1 iigentlich kann Exchange 2000 Server die gesamte MS Mail-Infrastruktur bestens ersetzer

Abbildung 26.1 Bereitstellen eines MS Mail-Connectors

22.1.2 MS Mail-Connector-lnstallation

Sie können den MS Mail-Connector mit dem Setupprogramm von Exchange 2000 Server installieren. Wählen Sie im Dialogfeld Komponentenauswahl für die Kompoaente Microsoft Exchange MS Mail Connector unter Aktion den Eintrag Installieren.

22.1.3 Routing von MS Mail-Nachrichten in Exchange 2000 Servei

22.1.4 Adressräume

Routingentscheidungen werden auf der Grundlage von Adressräumen getroffen, die Sie einer MS Mail-Connectorinstanz implizit oder explizit zuweisen könne

22.1.5 Zusammenfassung des Kapitels

Ein MS Mail-Connector ist bereits ausreichend, um eine gesamte Exchange 2000-Organisation mit einem MS Mail-Netzwerk zu verbinden. Die wichtigsten Komponenten des Connectors sind der MS Mail Connector Interchange-Dienst, das Connector-PO und ein oder mehrere MS Mail-Connector-MTA-Dienst(

Um an der MS Mail-Verzeichnissynchronisation teilnehmen zu können, wurde ein DXA in Exchange 2000 Server integriert. Der DXA kann als Dirsync-Server oder als Dirsync-Requestor arbeiten. Als Dirsync-Server konsolidiert der DXA die Adressaktualisierungen sämtlicher MS Mail-Postoffices, die als Remote-Dirsync-Requestoren konfiguriert wurden. Auf der anderen Seite als DXA-Requestor konfiguriert, sendet Exchange 2000 Server Aktualisierungsnachrichten an einen MS Mail-Dirsync-Server und erwartet globale Adressaktualisiemngen von diesem Postoffice zurücli 3er DXA synchronisiert e MS Mail-Adressinformationen mit Empfängerobjekten in Active Directory über ADSI und LDAP.

Der Schedule+ Frei/Gebucht-Connector ermöglicht Ihnen die Synchronisation von Frei/Gebucht-Informationen zwischen MS Mail und Exchange 2000 Server, damit MS Mail- und Exchange-Benutzer Besprechungen und Termine effizienter planen können.

23 Kapitel 27 Verbinden mit Lotus cc:Mail _ 903

Lotus cc:Mail ist ein Messagingsystem, das auf der Basis gemeinsam genutzter Dateien ähnlich wie MS Mail für PC-Netzwerke arbeitet.

Der Connector für Lotus cc:Mail unterstützt die Integration von Microsoft Exchange 2000 Server in ein vorhandenes Lotus cc:Mail-Netzwerk

23.1 Lektion 1: Der Connector für Lotus cc:Mail

23.1.1 Jberblick zum Connector für Lotus cc:Mail

Dieser Connector wurde mit dem Microsoft Exchange Development Kit (EDK) entwickelt und ermöglicht Ihnen die Anbindung eines Exchange 2000-Servers an genau ein Lotus cc:Mail-Postoffice. Innerhalb des Lotus cc:Mail-Netzwerkes können die E-Mail-Nachrichten zu anderen Postoffices weitergeleitet werden. Ideal ist eine Konfiguration, bei der das Lotus cc:Mail-Postoffice direkt aufdem Exchange 2000-Server installiert ist.

Sie müssen mit zwei administrativen Dienstprogrammen arbeiten, um die Messaginganbindung zu Lotus cc:Mail aufzubauen. Verwenden Sie den Exchange SystemManager, um den Connector für Lotus cc:Mail zu konfigurieren. Für die Verwaltung der Lotus cc:Mail-Umgebung müssen Siejedoch das Lotus cc:Mail-AdministratorproLotus cc:Mail-Postoffice, Release 8 umfasst ein Windows-basiertes Administratorprogramm(Adminw.exe]

Abbüdung 27.1 Bereitstellen des Connectors für Lotus cc:Mail

23.1.2 Nachrichtenkonvertierung

Der Connector für Lotus cc:Mail ist ein normales Messaginggateway und muss ausgehende Nachrichten in das Lotus cc:Mail-Format konvertieren. In entgegengesetzter Richtung, für eingehende Nachrichten, muss der Connector die Inhalte und Empfängerinformationen in das Exchange-Fonnat überführen.