Migration öffentlicher Ordner

öffentliche Ordner sind wichtige Inhalte einer Exchange Umgebung. Bei der Migration von Exchange 5.5 in der gleichen Organisation oder zwischen Organisationen oder Fremdsystemen müssen Sie als Administrator einiges beachten. Die folgenden drei Szenarien werden beschrieben

  • Von Exchange 5.5 nach Exchange 2003
  • Von einer Organisation in eine andere
  • von Fremdsystemen

Aber eines nach dem anderen:

Exchange 5.5 nach 200x

Der häufigste Fall einer Migration von Ordnern ist sicherlich die Migration einer Exchange 5.5 Umgebung nach Exchange 2000/2003 innerhalb der gleichen Organisation. Die Verlagerung der Ordner selbst erfolgt durch die Einrichtung einer Replikation (Siehe PFMigrate). Allerdings gibt es auf jedem Ordner auch eine Berechtigung (Siehe Berechtigungen). Hier unterscheiden sich Exchange 5.5 und Exchange 2000/2003 grundlegend

  • Exchange 5.5
    Die Berechtigungen werden anhand des LegacyExchangeDN eines Benutzers oder eines Verteilers zugeordnet. Exchange 5.5 ist damit nicht direkt abhängig von SIDs, sondern nutzt die Informationen über Benutzer und Verteiler in seiner eigenen Datenbank.
  • Exchange 2000/2003
    Durch die Integration in das Active Directory werden hier die Windows Benutzer und Gruppen angewendet. Der hierzu eindeutige Schlüssel, welcher auch bei Migrationen in andere Domänen übernommen werden kann, ist die SID des Objekts.

Damit ist natürlich klar, dass irgendwann der Zeitpunkt kommt, an dem die Berechtigungen von Exchange 2000/2003 Informationsspeicher umgerechnet werden. Sobald ein Ordner auf einen Exchange 2000/2003 Server repliziert wird, wird bei jedem Zugriff versucht, diese Berechtigungen zu konvertieren. Erst wenn die einmalig erfolgreich war, wird nicht erneut konvertiert. Wenn die Konvertierung nicht möglich ist, dann verweigert Exchange den Zugriff. Schließlich kann Exchange ja nicht sicher ermitteln, welche Rechte nun greifen.

Eine Konvertierung kann aus mehreren Gründen fehl schlagen. Folgende zwei Beispiele machen die meisten Probleme:

Beispiel 1: Nicht replizierter Benutzer

  • Ein Anwender in Exchange 5.5 hat Rechte auf einen Ordner
    Das ist sicher der normale Weg, wie schon lange mit Exchange 5.5 gearbeitet wird
  • Der Anwender ist noch nicht mit dem ADC in das AD repliziert
    Das kann ein einer fehlenden Verbindungsvereinbarung oder auch an einer noch nicht abgeschlossenen Replikation des ADC (Siehe auch CheckADC) oder des AD liegen. Oder es gibt ein grundlegendes Problem.
  • Der Ordner wird auf Exchange 2000/2003 repliziert
    Dies ist ein Schritt, der meist sehr früh bei der Migration erfolgt. Am besten sollten die Ordner vor der Migration der Postfächer repliziert sein, weil damit vorab der Zielserver schon belastet wird und Fehler erkannt werden können
  • E200 versucht die Rechte zu ermitteln
    Nachdem eine Instanz des Ordners nun auf Exchange 2000/2003 gelandet ist, muss der Informationsspeicher die Berechtigungen umrechnen, d.h. aus den MAPI-Berechtigungen die korrekten SIDs der Objekte ermitteln.
  • Das schlägt natürlich fehl
    Die Folge ist, dass Exchange den Zugriff verweigert, da er die Berechtigungen nicht vollständig ermitteln kann

Dieses Problem bekommen Sie am besten durch eine funktionierende ADC-Replikation in den Griff. Exchange Versucht die Konvertierung bei jedem Zugriff erneut, bis es funktioniert.

Beispiel 2: tote Objekte Benutzer

  • Ein User hat Rechte auf einem öffentlichen Ordner
    Wieder die gleiche Ausgangssituation wie bei Beispiel1
  • Der User wird "gelöscht"
    Der Mitarbeiter ist ausgeschieden und das Postfach wurde in Exchange 5.5 gelöscht noch ehe Exchange 2000/2003 eingeführt wurde
  • Das Recht im Ordner "bleibt" als "unknown"
    Das Löschen des Anwender bereinigt nun nicht die Berechtigungen im Informationsspeicher. Es bleibt eine Leiche zurück. Dies ist übrigens auch im Dateisystem NTFS und an vielen anderen Stellen so.
  • Exchange 2000/2003 wird eingeführt und Ordner repliziert
    Da dieser gelöschte Benutzer natürlich nie vom ADC in das Active Directory repliziert werden kann, kann Exchange auch hier die Berechtigungen nicht konvertieren. Auch hier verweigert Exchange 2000/2003 den Zugriff

Hier hilft nur, eben diese Berechtigungen aus den öffentlichen Ordnern zu löschen

Problem erkennen

Wenn Sie ihre Eventlog regelmäßig überwachen, dann dürften ihnen sehr viele Meldungen mit der ID 9551 aufgefallen sein. Der Exchange Informationsspeicher protokolliert solche fehlgeschlagenen Konvertierungen.

Hier stehen noch Erweiterungen an. Bitte haben Sie Verständnis, wenn nicht alle Seiten gleich fertig sind

 

Sie können diese Fehlermeldungen mit Programmen wie FindZombie, EventCombMT und auch 9551-Melder finden und dann manuell beheben.

Lösung

All diese Probleme sind also darin begründet, dass Berechtigungen von Exchange 2000/2003 nicht konvertiert werden können. So sind die Lösungen und Methoden zur Verhinderung dann natürlich auch einfach zu beschreiben

  • ADC Replikation
    Sorgen Sie dafür, dass alle Exchange 5.5 Empfänger und Verteiler mit dem ADC wirklich von Anfang an in das Active Directory repliziert werden. Besonders wenn sie mehrere Domänen und Exchange 5.5 Standorte haben, bedeutet dies erst einen sehr großen Aufwand, ehe Sie den ersten Exchange 2000/2003 Server installieren sollten.
  • Ordnerrechte aufräumen
    Die Berechtigungen von bereits gelöschten Objekten können Sie in Exchange 5.5 relativ einfach lösen. Exchange 5.5 kennt die Funktion der DS/IS Konsistenzanpassung. Hiermit wird der lokale Speicher nach eben solchen Leichen durchforstet und bereinigt. Dieser Schritt sollte ebenfalls vor der Einführung von Exchange und eventuell auch zwischendurch durchgeführt werden, wenn diese Fehler vorhanden sind.
  • ZombieUser
    Exchange 2000SP3 und neuer wurde aufgrund dieser großen Probleme erweitert. Über einen Registrierungsschlüssel können Sie Exchange 2000/2003 anweisen, nicht auflösbare Konten bei der Konvertierung nicht weiter zu betrachten und einfach zu ignorieren. Damit wird die Konvertierung der Rechte natürlich ermöglicht. Dies bedeutet aber im Gegenzug, dass eben nicht replizierte Benutzer und Verteiler dann auch keine Rechte mehr haben. Auch dies kann zu ärger und Problemen führen, aber ist meist das geringere Übel, als wenn tausende von Anwendern überhaupt keinen Zugriff mehr haben. Im Native mode werden diese User angeblich automatisch ignoriert.

Wohlgemerkt, all diese Probleme sind vermeidbar, wenn eine gute Planung und Vorbereitung voran gegangen ist.

Übrigens hat Exchange 2000 ohne Servicepack nach 24h diese nicht vorhandenen Rechte nach EX55 retour repliziert.

 

Optional "IgnoreZombieUser"-RegistryKey auf dem Exchange setzen. Das kann aber eine Lücke in der Datensicherheit bedeuten

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
Value name: Ignore zombie Users
Data type: REG_DWORD
Value data: 0x1

Langfristig sollten Sie darüber nachdenken, Berechtigungen nur noch über Gruppen zu vergeben. Diese haben meist länger bestand und sind einfacher zu pflegen.

Zwischen Organisationen

Bei der Migration zwischen zwei Exchange Organisationen gibt es zwei mögliche Ansätze:

  • Import und Export
    Sie exportieren die Inhalte der Quelle z.B.: in eine PST-Datei mit Outlook und importieren diese im Ziel. Dies ist aber meist nur eine einmalige Aktion und ist weniger geeignet, wenn beide Organisationen längere Zeit parallel betrieben werden sollen
  • Synchronisation
    Die Synchronisation von öffentlichen Ordnern ist mit Programmen wie "Interorg Replication Tool" von Microsoft möglich, welches per MAPI die Ordnerstrukturen in beiden Organisationen öffnet und die Daten übernimmt.

Beide Verfahren sind jedoch nur bedingt geeignet, da sehr viele Informationen verloren gehen. So können Berechtigungen nicht übernommen werden. Auch Ansichten, Ordnerskripte und Regeln müssen gesondert betrachtet werden. Es gibt von Drittherstellern wie Quest und anderen leistungsfähigere Werkzeuge, die vielleicht ihr Problem unterm Strich besser lösen und sich damit bezahlt machen.

Fremdsysteme

Wenn Sie von einem anderen System migrieren, dann stellt sich generell erst einmal die Frage, ob und wie die Quelldaten überhaupt in Exchange abgebildet werden können. Oftmals sind die Umstellung en sehr individuell, so dass eine nähere Beschreibung gar nicht möglich ist.

Aber es gibt vielleicht eine geeignete Schnittstelle: Exchange erlabt den Zugriff auf öffentlichen Ordner per NNTP und kann andere Newserver mit dem NNTP-Connector sogar abholen. Eventuell ist dies ein Weg, um die Daten zu übertragen. Berechtigungen, Ansichten etc. sind hierbei natürlich ebenfalls nicht möglich.

Weitere Links