Ist-Aufnahme: Exchange
Wenn ich das erste mal in eine neue Umgebung komme, dann muss ich mir möglichst zügig einen Überblick beschaffen. DAS ist je nach Thema (Exchange, Skype for Business, Active Directory, Office 365 natürlich anzupassen. Ich beschreibe hier mal kurz die Themen, die mich bei Exchange Umgebungen so interessieren.
Diese Seite ist kein fertiger Artikel sondern eine Vorlage zur Erstellung einer eigenen IST-Aufnahme von bislang unbekannten Exchange Umgebungen z.B. als Vorarbeit für eine Migration auf eine neue Version oder sogar in die Cloud.
Executive Summary
Normalerweise ist das Ergebnis einer IST-Aufnahme ein Word-Dokument, welches dann nach dem Deckblatt eine Executive Summary braucht. Das ist dann einfach eine Tabelle mit den einzelnen Punkte und wenigen Stichpunkten.
Folgende Tabelle gibt einen kurzen Überblick über die einzelnen Standorte. Im folgenden Kapitel sind die Punkte detaillierter erfasst.
| Standort | Kurzfassung der Erfassung | Status |
|---|---|---|
Standorte |
|
|
Active Directory |
|
|
Hardware |
|
|
Exchange Org |
|
|
Adminkonzept |
|
|
Verfügbarkeit |
|
|
ExBPA, ExPDA |
|
|
Mailrouting |
|
|
Unified Messaging / VoIP / CTI |
|
|
Antivirus |
|
|
Spamschutz |
|
|
Fax/SMS |
|
|
Öffentliche Ordner |
|
|
Archiv |
|
|
Backup |
|
|
Monitoring |
|
|
Outlook Clients |
|
|
Mobile Clients |
|
|
Sizing |
Postfächer |
|
Transportregeln |
|
|
Die Liste gibt natürlich nur einen ersten Stand wieder. In der Regel fallen bei einer Analyse durchaus noch andere Punkte auf, die dann zu addieren sind.
Standorte und WAN/LAN
Die Active Directory Standorte und Dienste sind mit dem Netzwerk das Fundament und bieten in der Regel einen guten Überblick über LAN und WAN. Für Exchange sind die Standorte hinsichtlich CAS-Proxy-Funktionen und Mailrouting relevant.
| Standort | Exchange Daten | Subnetz | Beschreibung |
|---|---|---|---|
Xxx |
___ Postfächer ____ GB Daten |
xx.xx.xx.xx./16 |
gw= xx.xx.xx.xx |
|
|
|
|
Weitere Adressen anderer Subnetze wurden nicht weiter betrachtet. Wichtig ist, dass die Standorte im Active Directory entsprechend mit den Subnetzen gepflegt sind.
Active Directory
Exchange funktioniert nur mit Active Directory. Gewissen Mindestvoraussetzungen sind für Exchange 2010 zu schaffen (z.B: Windows 2003 Native Mode, Windows 2003 SP2 DCs etc). Aber auch die Konfiguration der Domains, Berechtigungen und Vererbung ist vor der Migration aufzunehmen und zu überprüfen.
| Domains | Mode | NT4Name | DC | Rollen |
|---|---|---|---|---|
Forrest |
Win2003 |
|||
Xxx.de |
Win2003 |
Xxx |
X |
GC |
X |
GC |
|||
X |
Hardware
Exchange 2010 erfordert zwingend Systeme, die Windows 2008 64bit betreiben können. Es ist problemlos möglich, Exchange Server auch virtuell betreiben, wenn die Kompatibilitätsvoraussetzungen erfüllt bleiben. Anhand des Sizings wird ermittelt, welche Hardware für den zukünftigen Betrieb erforderlich sein wird.
Exchange Organisation
Wenn es sich nicht um eine neue Organisation handelt, muss eine vorhandene Exchange Organisation migriert werden. Dazu ist eine IST-Aufnahme erforderlich um die Schritte der Migration und Abhängigkeiten korrekt zu ermitteln.
Adminkonzept
Exchange 2010 nutzt ein zu früheren Versionen verändertes Adminkonzept. Über RBAC (Role Based Admin Console) werden Vorgänge von Administratoren nicht direkt ausgeführt, sondern indirekt über den Exchange Server umgesetzt. Der Exchange Server verifiziert dabei die aufgerufenen Funktionen, die Zielobjekte und administrativen Rollen.
Eine zweite Problemstellung bei Exchange Installation ist die Verwendung Administrativer Konten als Postfachbenutzer. Durch die Schutzfunktion des Active Directory (Stichwort AdminSDHolder) wird die Vererbung auf solchen Objekten unterbunden, was zuverlässig die Anwendung neuer ACLs verhindert, die Exchange 2010 einrichtet. Dringender Ratschlag ist daher die Verwendung von getrennten Benutzerkonten für die tägliche Arbeit und die Administration. Die administrativen Konten haben dann keine Postfächer mehr.
Üblicherweise werden bei einem delegierten Administrationsmodell mit der Tiefe der OU-Struktur zusätzliche Berechtigungen vergeben aber nie blockiert. Allerdings ist es nicht untypisch, dass die Vererbung auf OUs, Admingruppen und anderen Containern unterbrochen wird und damit die Exchange Installation und der Betrieb gehindert werden.
Zudem sollten Berechtigungen immer nur über Gruppen und nur in Ausnahmefällen an einzelne Benutzer gegeben werden. Für Dienste sind vorzugsweise eigenständige Dienstkonten zu verwenden und nicht der „Administrator“ oder ein anderes generisches Konto. Administratoren sollten keine Postfächer mehr und Postfachbenutzer haben keine administrativen Berechtigungen haben.
Verfügbarkeit
Immer mehr werden System wie Exchange und Outlook als unternehmenskritisch angesehen und ein Ausfall selbst für wenige Stunden kaum noch toleriert. Bei der IST-Aufnahmen sind die Anforderungen an das zukünftige System und die aktuellen Ansätze aufzunehmen, um eine passende Lösung zu konfigurieren. Dies kann ein einfacher Einzelserver mit regelmäßigem Backup über eine Zwischenstufe durch Virtualisierung und Massenspeicher-Snapshots sein bis zu einer hochverfügbaren Lösung mit Clustern und Database Availability Groups und redundanten CAS-Servern per NLB oder Loadbalancer. Exchange erlaubt hier sehr flexible und relativ günstige Möglichkeiten, die Verfügbarkeit hoch zu halten.
Verfügbarkeit beschreibt wie lange ein Service geplant oder ungeplant ausfallen darf. Virtualisierung ist nur bedingt eine Hilfe zur Verfügbarkeit. Dank Snapshots und dem Failover auf einen anderen Host in Verbindung mit einem replizierten Storagesystem können zwar Ausfälle eines RZs, Hosts oder Anbindungen abfangen, aber kein logischen Fehler in im Gast selbst (z.B. defekte Datenbank). Hierzu bietet Exchange mit der DAG eine elegante Lösung, die zudem die Verfügbarkeit erhält, wenn Updates, Hotfixes im Gast etc. installiert werden.
ExBPA / ExPDA
Microsoft stellt mit den Programmen ExBPA (für Exchange 2007) und ExPDA (für Exchange 2010) zwei Werkzeuge bereit, die eine bestehende Umgebung auf ihre Tauglichkeit für eine Migration überprüft werden kann. Auch wenn die Programme keine fachgerechte Analyse ersetzen können, so zeigen Sie einfachere Probleme an (z.B. unterbrochene Vererbung, falsche Serverversionen etc.).
Mailrouting
Exchange sendet und empfängt Mails nicht nur mit Kommunikationspartnern im Internet. Auch intern gibt es Anbindungen an andere Gateways (z.B. Fax, SMS) oder zu Partnern und anderen Systemen (Helpdesk, Buchhaltung, Drucker, Switches o.ä.) die bei der Migration berücksichtigt werden müssen. Auch die Gateway zwischen Internet und Mailsysteme für Virenschutz, Spamschutz, Signatur und Verschlüsselung sind aufzunehmen, um bei der Migration eine Umstellung zu veranlassen.
- Mailversand ins Internet
- Mailempfang aus dem Internet
- Kommunikation mit Partnerapplikationen
Fax, ERM,. CRM Drucker etc - Interne SMTP-Sender
Unified Messaging/VoIP/CTI
Mit Exchange 2007/2010 kann Exchange über die UM-Rolle auch als “Sprachmailbox” für eine bestehende Telefonanlage oder den Office Communication Server dienen. Insofern ist es wichtig die aktuell eingesetzte Telefonanlage und die daran angebundene Sprachmailboxlösung zu kennen. Es könnte interessant sein, diese Funktion an Exchange zu übertragen oder mit OCS eine Anbindung zu erreichen. Selbst wenn weder Exchange UM noch OCS geplant sind, so gibt es oft andere Gateways, die eine Anbindung an Exchange oder die Clients erfordern und bei einer Änderung von Exchange oder Outlook berücksichtigt werden müssen
Antivirus
Kein System sollte heute ohne Virenschutz in Betrieb nehmen. Bei Mailservern gibt es hier gleich drei Ansatzstellen, die zu prüfen und aufzunehmen sind
- Dateisystem
Auch wenn Anwender kaum auf die Dateistrukturen zugreifen, sollte auch ein Exchange Server mit einem leistungsfähigen Virenscanner für das Betriebssystem ausgestattet sein, der allerdings die Exchange Datenbanken als Ausschlußliste verwendet. - Mailboxstore
Gegen Viren im Postfachspeicher hilft nur ein Exchange kompatibler Scanner (ESE), welcher sich in den Store integriert und mit der geplanten Version von Exchange kompatibel sein muss - Mailtransport
Da nicht jede Mail auch zwingend in einem Posatfach landet, sollte auch auf dem Transport ein Virenscanner nach dem Rechten sehen
Spamschutz
Analog zu den Viren ist auch ein Spamschutz heute unerlässlich, wobei hier primär die Zustellung aus dem Internet zu überprüfen und gegebenenfalls abzulehnen ist. Entsprechende Produkte stehen daher meist an vorderster Front oder beim Hoster und verarbeiten Mails, die über den MX-Eintrag zugestellt werden.
Fax/SMS
Auch wenn Mails immer mehr als Transportmedium für Firmendaten genutzt werden, hat der gute alte Faxserver noch lange nicht ausgedient. Daher finden sich in den meisten Firmen entsprechende Gateway mit Anbindung an Exchange, die natürlich auch während und nach der Migration funktionieren müssen
Öffentliche Ordner
Lange Zeit waren „Öffentliche Ordner“ in der Exchange Welt „gesetzt“. Erst ab Outlook 2007 und Exchange 2007 und höher ist es möglich, auf diese Datenstrukturen zu verzichten. Solange aber noch Outlook 2003 Clients oder Anwendungsfälle vorhanden sind, werden öffentliche Ordner weiter betrieben werden müssen.
Archiv
Die Einführung eines Archiv im Exchange Umfeld werden meist zwei Kriterien heran gezogen:
- Storage-Management/HSM
Ziel ist der Reduzierung der in den Exchange Datenbanken abgelegten Informationen, indem alte Mails oder Anlagen in einen sekundären Speicher oder ein Archiv abgelegt werden. Nebenbei bleibt die OST-Datei überschaubar und lokale PST-Dateien können verboten werden - Revision/Compliance
Ein zweiter Beweggrund ist die revisionssichere Ablage von unternehmenskritischen Mails, die z.B. gegen absichtliches oder unabsichtliches Löschen geschützt sein müssen
Oft liegt auch eine Kombination beider Gründe vor, um große Postfächer klein zu bekommen und ausgewählte Mails zu archivieren
Backup
Auch wenn Exchange seine Datenbanken intern durch Prüfsummen absichert, die LUNs selbst über Storage Systeme gespiegelt sind und eine Archivlösung alte Mails „sicher“ ablegt, ist eine regelmäßige Datensicherung unerlässlich um logische oder physikalische Fehler des Betriebssystems, der Exchange Installation oder der Datenbank zu beheben. Erst beim Einsatz von Exchange 2010 DAGs mit mehreren Server (4+) könnte ein Backup entfallen.
Eine Datensicherung muss auf jeden Fall auch die Besonderheiten von Exchange (transaktionsorientierte, geöffnete Datenbanken, Abschneiden der Transaktionsprotokolle) berücksichtigen, unabhängig davon, ob die Sicherung auf ein Band auf Disks oder über Snapshots erfolgt. Ein Snapshot ist nur eine Momentaufnahmen eines Exchange Servers und eignet sich für eine schnelle Wiederherstellung. Allerdings sollte darauf geachtet werden, dass auch dieser Snapshot immer mal wieder auf einem anderen Storage zu liegen kommen.
Monitoring
Die Verfügbarkeit der Systeme ist direkt von der Überwachung ihrer Betriebsparameter abhängig. Aus der täglichen Praxis ist dieser Punkt oft vernachlässigt, was dann zu ungeplanten Ausfällen oder unerkannten Problemen führt. So wie die Tankanzeige am Auto sollten auch Server zumindest grundlegend überwacht werden. Oft werden dabei drei System kombiniert:
- Netzwerkmanagement
Häufig fällt diese Überwachung nicht in die Hoheit der Exchange/AD Administratoren, sondern wird vom Netzwerk übernommen. Allerdings können auch Windows Server per SNTMP ausgelesen werden, so dass bestimmte Daten (z.B. Netzwerkauslastung, Exchange Queue Längen) dort mit aufgezeichnet werden könnten - Hardwaremanagement
Für HP-Hardware ist dies z.B. der HP Insight Manager, welcher bei der Überwachung der Server (CPU, Lüfter, Disks, Netzteile, Temperatur) hilft. Dies gilt für virtualisierte Server dann natürlich nur für den Host - Service und System Management
Hierunter versteht man die Überwachung der bereitgestellten Diensten. Drei Kriterien werden dazu meist herangezogen, die durch geeignete Programme überwacht werden können:- Meldungen (Eventlog oder SYSLOG oder SNMP-traps)
- Kennzahlen (Performance Counter, SNMP-Counter)
- Aktive Tests (z. B. Ping, XCOPY, WGET, Testmail, SQL-Query)
Ein Monitoring ist um so wichtiger, je mehr Komponenten redundant ausgelegt werden, damit die komplexere Umgebung frühzeitig auf Probleme überwacht werden kann.
Outlook Clients
Microsoft unterstützt mit Exchange nur bestimmte Outlook Versionen . Ältere Outlook Clients „können“ funktionieren, aber müssen nicht. Aber schon der Einsatz von Outlook ist in vielen Fällen nicht mehr ausreichend. Um hier zusätzliche Aufwände und Probleme von vorneherein zu vermeiden, sollten Systeme, die nicht Outlook 2003 als Mindestversion betreiben können, als OWA-Clients genutzt werden.. OWA mit dem „Premium Client“ wird nur mit aktuellen Browsern unterstützt.
Mobile Clients
Verschiedene Lösungen existieren, um Mitarbeiter auch Unterwegs den Zugriff auf ihre Mails zu erlauben. Die meisten Umgebungen nutzen Clients von RIM mit einem „Blackberry Enterprise Server“ als Gegenstelle im Netzwerk oder ActiveSync-Kompatible Endgeräte, die sich per HTTPs mit einem veröffentlichten ActiveSync-Zugang abgleichen.
Sizing
Für die Dimensionierung der neuen Server ist es erforderlich, die Kennzahlen der alten Server zu ermitteln. Leider haben die meisten Kunden hier nur sehr vage oder gar keine Zahlen, so dass eine Kurze Aufnahme der Datenbankgrößen und Veränderungen erforderlich sind:
- Datenbanken
Die Datenbanken können recht einfach mit dem Windows Explorer (EDB/STM-Dateien) ermittelt werden - Veränderungen
Als Maß der Volatilität der Datenbanken können die Transaktionsprotokolle herhalten bzw die durch das Backup abgeschnittenen Protokolle. Diese sind im Eventlog unter der ID 224 zu finden und können mit GET224log.vbs ausgewertet werden
Denkbar wäre auch eine genauere Auswertung der Messagetrackings nach Anzahl der Mails, Größe, Absender und Ziel, was aber länger dauert und nach unserer Erfahrung keine besseren Ergebnisse liefert. Ein Blick „in“ die Datenbanken mit Tools wie MBQuotaReport oder dem Exchange Profile Analyzer (EPA) ist nach unseren Erfahrungen nicht erforderlich.
Folgende Daten wurden ermittelt
| Server | Storagegroup | Logs/Tag | Datenbank | GB | Benutzer |
|---|---|---|---|---|---|
Servername |
First SG |
x GB |
Pub1 |
80GB |
0 |
Mailbox |
0 GB |
||||
Private SG |
X |
DB1 |
400 GB |
400 |
|
DB2 |
400 GB |
400 |
|||
Xxx |
First SG |
x GB |
Pub1 |
0 |
|
Mailbox |
0 GB |
||||
Private SG |
X |
DB1 |
|||
DB2 |
|||||
DB3 |
|||||
Summe |
GB |
800 GB |
800 gesamt |
Postfachgröße/User = 200MB/Mailbox
Änderungen=User = 3 MB
Profil = Light
Transportregeln
Viele Firmen nutzen die Fähigkeiten von Transportdiensten, um Emails automatisch zu verarbeiten oder zu verändern. Praktische Beispiele sind:
- Disclaimer
Das Hinzufügen einer Signatur mit gesetzlich erforderlichen Angaben - Signierung und Verschlüsselung
Maisl können auch auf Gateways digital signiert (SMIME/PGP) und optional auch verschlüsselt und entschlüsselt werden - Protection
In die gleiche Rolle fallen Agenten, die Mails digital schützen (Rights Management) - Filterung und SCL
Oft kennzeichnet ein Spamfilter vor Exchange die nicht eindeutigen Mails im Betreff oder Header. Über Transportregeln könnte diese Gewichtung in den für Exchange/Outlook verständlichen SCL (Spam Confidence Level) umgesetzt werden - Journal
Sofern Compliance oder andere Gründe dies erfordern, können Mails auch auf dem Transportweg als Kopie
Ebenso können über Agenten bestimmte Mails komplett unterdrückt werden, z.B. Quittungen, Bestätigungen etc.
