DS/IS Konsistenzanpassung

Inhaltsverzeichnis

Warum gibt es die IS/DS Konsistenzanpassung ?
Wie arbeitet die DS/IS-Konsistenzanpassung
Die Risiken und deren Vermeidung
DS/IS Anpassung ausführen
DS/IS mit Exchange 2000/2003 ?
Weitere Links

Wer hat Angst vor der IS/DS-Konsistenzanpassung ?. Natürlich ist dieser Schritt nicht ganz ungefährlich und der Exchange 5.5 Administrator warnt ausdrücklich auch bei dieser Aktion, dass die Folgen wohl bedacht sein wollen, aber die DS/IS-Konsistenzanpassung ist speziell bei vor Migration nach Exchange 2000/2003 wichtig und erforderlich.

Also sollten Sie wissen, was die DS/IS-Konsistenzanpassung bewirkt und was dabei schief gehen kann.

Warum gibt es die IS/DS Konsistenzanpassung ?

Die Funktion der DS/IS Konsistenzanpassung hat die Aufgabe, die Informationen im Informationsspeicher und dem Exchange 5.5 Verzeichnisdienst wieder aufeinander abzustimmen. Hier ein paar Beispiele

Verlorenes Postfach
Es kann im Laufe des Betriebs durchaus einmal passieren, dass z.B.: ein Benutzerobjekt in der Verzeichnisdatenbank durch direkt Zugriff per LDAP oder andere Fehler gelöscht wird und ein "verlorenes" Postfach in der Datenbank zurück bleibt.
Heimatloser Ordner
Wenn Sie eine größere Exchange Organisation mit mehreren Standorten betreiben, dann wird die Struktur der öffentlichen Ordner repliziert. Wird nun ein Standort dauerhaft entfernt, so bleibt die Information über dessen Ordner trotzdem bestehen. Es gibt Ordner bei denen ein Homeserver eingetragen ist, der selbst nicht mehr vorhanden ist
Alte Berechtigungen
Innerhalb von Exchange 5.5 werden Berechtigungen auf öffentliche Ordner aber auch auf Postfächer unter Benutzung des Exchange Objektnamens (DN) vergeben. Nun ist es nur normal, dass Postfächer auch einmal gelöst werden. Die Berechtigungen bleiben jedoch für immer erhalten, wenn diese nicht manuell entfernt werden

In all diesen Fällen kann die DS/IS-Konsistenzanpassung ausgeführt werden, um die Fehler zu korrigieren.

Wie arbeitet die DS/IS-Konsistenzanpassung

Der Aufruf der DS/IS-Konsistenzanpassung sorgt in dem Standort dafür, dass die vorab genannten Probleme korrigiert werden. Es wird also

Postfächer angelegt
Wenn es im Informationsspeicher noch Postfächer gibt, zu denen das passende Objekt in der Verzeichnisdatenbank (dir.edb) fehlt, so wird dieses angelegt. Das ist auch im Falle einer Wiederherstellung eines Exchange 5.5 Servers ohne Verzeichnisdatenbank eine wichtige Funktion, um wieder an die Postfachinhalte zu kommen.
Homeserver wird korrigiert
Für jeden Ordner in der Hierarchie wird geprüft, ob der Stammserver des Ordners im Verzeichnis bekannt ist. Ist der Ordner auf einem nicht mehr existenten Stammserver, dann wird der Stammserver ohne weitere Rückfrage auf den aktuellen Server gesetzt. Dieser Server wird dann zum Ordnerbesitzer und der Ordner kann wieder administriert bzw. gelöscht werden.
Entfernen der Berechtigungen
Der Prozess durchläuft alle Postfächer, unterordner und öffentlichen Ordner und entfernt von allen Zugriffssteuerungslisten (Access Control List = ACL) die Benutzer, die nicht mehr in der Organisation bekannt sind.

Besonders wenn Sie nach Exchange 2000/2003 migrieren, ist die Entfernung alter Berechtigungen von nicht mehr existenten Postfächern aus öffentlichen Ordnern oder anderen Postfächern essentiell wichtig, damit Sie später nicht die 9551-Fehler im Eventlog erhalten (Siehe auch 9551-Melderhtm)und der Zugriff auf öffentliche Ordner unter Exchange 2000/2003 verhindert wird.

Die Risiken und deren Vermeidung

Alle Änderungen der DS/IS Konsistenzanpassung wirken natürlich nicht nur auf den Server, auf dem die Anpassung ausgeführt wird, sondern auch in der gesamten Organisation. Daher müssen Sie die Probleme bei dem Aufruf können und entsprechend vorsorgen und sich abstimmen. Probleme können auftreten wenn folgendes vorliegt:

Temporär fehlender Standort
Angenommen ein Standort wird über einen anderen Connector anders angebunden. Dies bedeutet bei Exchange 5.5, dass Sie den DirSync Connector erst entfernen und danach wieder einrichten müssen. für einige Zeit sind die Objekte dieses Standorts nicht mehr für die übrigen Standorte sichtbar. Wird nun eine DS/IS-Anpassung durchgeführt, dann wird der Server den Besitz über die öffentlichen Ordner dieses Standorts übernehmen. Dies ist besonders unangenehm, wenn damit Systemordner (Frei/Belegt Zeiten, Offline Adressbuch etc.
Verzögerte Replikation und Rechte mit öffentlichen Ordnern
Stellen Sie sich vor, ein Administrator legt im Standort 2 einen neuen Verteiler an und gibt diesem Verteiler Rechte auf einem öffentlichen Ordner. Was passiert ?
Exchange repliziert die Änderung in der öffentlichen Ordner Hierarchie per Mail. Dies passiert in der Regel nach 15 Minuten, so dass im Standort 1 diese Änderung angekommen ist. Die Verzeichnisreplikation hingegen erfolgt nach einem anderen Zeitplan. Es könnten sein, dass Sie nur einmal nachts die Verzeichnisse abgleichen lassen. Bis zu dem Zeitpunkt ist der neue Verteiler, der die Berechtigungen hat, noch nicht in Standort 1 bekannt. Erst am nächsten Tag könnte der Server in Standort 1 diese Berechtigung als fehlerfrei erkennen. Führen Sie daher in diesem Zeitfenster die DS/IS-Anpassung durch, dann würde das Recht des Verteilers wieder aus dem Ordner gelöscht. Die Aktion des Administrators in Standort2 wäre hinfällig.

Daher gilt als eine der wichtigsten Regeln, dass Sie nur dann die DS/IS Konsistenzanpassung durchführen dürfen, wenn Sie sicher sind, dass ihr Verzeichnisdienst fehlerfrei arbeitet und die Verzeichnisse wirklich repliziert sind. Als kurzer Check kann dabei dienen, wenn Sie z.B.: die globale Adressliste auf jedem Standort kontrollieren. Die Anzahl der Elemente muss gleich sein. Zudem sollte kurz vorher nicht jemand gerade neue Benutzer anlegen, neue Ordner anlegen und diese darauf berechtigen.

Nach der IS/DS Anpassung sollten Sie das Eventlog auf diesem Server kontrollieren. Dort werden alle Korrekturen protokolliert, so dass Sie Probleme erkennen können.

DS/IS Anpassung ausführen

Auf den Eigenschaften des Exchange 5.5 Servers finden Sie die Karteikarte "Weitere Optionen"

Bei der Ausführung der DS/IS Konsistenzanpassung erhalten Sie dann ein weiteres Fenster zum spezifizieren der genaueren Optionen. Sie können auswählen, welche Korrekturen die Anpassung durchführen soll. Die Option, dass nicht alle Inkonsistenzen sondern nur ältere Inkonsistenzen bearbeitet werden ist hilfreich, wenn ihr Verzeichnis noch nicht synchron ist. Oftmals ist besonders in großen Organisationen das Problem, dass Änderungen bis zu einem Tag (manchmal auch länger) benötigen, bis diese repliziert sind. Sie sollten hier also die Anzahl an Tage eintragen, die in ihrem Umfeld die Replikation maximal dauert.

Dies bedeutet aber, dass kurzfristige unstimmigkeiten nicht korrigiert werden. Sie können den Aufruf aber nach einiger Zeit einfach erneut durchführen, so dass die Anzahl der Inkonsistenzen sehr gering wird. Bedenken Sie aber, dass jede Änderung durch die DS/IS-Anpassung ebenfalls wieder repliziert werden muss. Bis dahin sollten Sie es unterlassen, in anderen Standorten ebenfalls die DS/IS-Anpassung zu starten. Dies kann zu Konflikten mit unvorhersehbaren Effekten kommen.

Die DS/IS-Anpassung ist daher keine Regeltätigkeit, die sie alle Woche ausführen sollten, sondern nur bei erkannten unstimmigkeiten oder vor der Migration nach Exchange 2000/2003.

DS/IS mit Exchange 2000/2003 ?

Nun stellt sich auch die Frage, ob es denn auch bei Exchange 2000/2003 diese Funktion gibt bzw. welche Probleme es hier geben kann. Zum einen gibt es bei Exchange 2000/2003 nicht mehr den Verzeichnisdienst (DIR.EDB), weil Exchange einfach das Active Directory nutzt. Und das AD repliziert sich sehr viel schneller und Bandbreiten schonender als die mailbasierte Replikation von Exchange 5.x. Trotzdem kann es auch hier dazu kommen, dass Postfächer in der Datenbank nicht mehr im Active Directory vorhanden ist oder Berechtigungen in öffentlichen Ordner die SID von nicht mehr existenten Objekten enthalten.

"verlorene Postfächer"
Hier gibt es seit Exchange 2000/2003 die Option, diese Postfächer im System Manager einfach wieder mit einem bestehenden Active Directory Konto wieder zu verbinden oder mit MBConn zu verbinden.
Rechte auf öffentlichen Ordnern
Betrachten Sie alternativ doch einfach mal ein Dateisystem. Wenn Sie dort einem Objekte Berechtigungen geben und dann das Objekt löschen, dann bleibt auch eine "verlorene" SID in den Rechten stehen. Das ist mit Exchange 2000/2003 genau so.

Mit Exchange 2000/2003 gibt es demnach keine DS/IS-Konsistenzanpassung mehr. Vielleicht gibt es später mal Tools, die im Dateisystem und öffentlichen Ordnern aufräumen oder nicht auflösbare SIDs melden. Eine nicht auflösbare SID darf nämlich nicht einfach gelöscht werden. Es kann ja durchaus sein, dass das Testprogramm auf diesem PC die SID nicht auflösen kann aber ein anderes System damit kein Problem hat. Das ist oft der Fall, wenn die SID aus vertrauten Domänen stammt und ihr PC die Vertrauensstellung mangels korrekter Namensauflösung etc. einfach nicht finden kann. Sie reduzieren diese Probleme, wenn Sie Berechtigungen über Sicherheitsgruppen vergeben, die in der Regel sehr viel seltener gelöscht werden müssen.

Weitere Links

182979 XADM: Function and Effects of Running the DS/IS Consistency Adjuster
161499 XADM: Event 7042 During DS/IS Consistency Check
154491 XADM: DS/IS Fails to Re-create Mailboxes in Subcontainers
231969 XADM: IS/DS Check Does Not Recreate Deliv-Ext-Cont-Types für Mailbox