Neue administrative Gruppe in gemischter Organisation anlegen

Dieser Artikel befasst sich mit den Besonderheiten, wenn Sie eine gemischte Exchange Umgebung einen weiteren Exchange 2000/2003 Server in einer neuen administrativen Gruppe anlegen. Dies ist im Prinzip einfach möglich, aber es gilt einige Besonderheiten zu beachten:

Bitte beachten Sie, dass dies eine sehr vereinfachte Umgebung und Konfiguration ist. Wir gehen von bis zu drei administrativen Gruppen aus und berücksichtigen keine weitere Domänen, keine komplexere Umgebungen bezüglich der Exchange 5.5 Verzeichnisreplikation oder Active Directory Organisationseinheiten. Die Installation einer neuen administrativen Gruppe in einer bestehenden Exchange 5.5/200x gemischten Umgebung ist keine Regeltätigkeit und erfordert eine gute Planung und Verständnis der Zusammenhänge

Vorhandene Umgebung

Um die Problematik zu verdeutlichen, gehen wir von folgender Situation aus:

  • Exchange Org: "mixed"
  • Administrativen Gruppe 1 (AG1) mixed
    DC1: Domain Controller der Domäne "firma.tld"
    EX55A: Exchange 5.5 Server
    E2KA: Exchange 2000/2003 Server (mit SRS)
  • Administrativen Gruppe 2 (AG2) native 5.5
    DC2: Domain Controller der Domäne "firma.tld"
    EX55B: Exchange 5.5 Server

Diese Umgebung war ursprünglich eine Exchange 5.5 Organisation mit zwei Standorten und entsprechendem Connector (Site/X.400/SMTP) und einem DirSync Connector. Dann wurde in der AG1 ein Exchange 2000/2003 Server installiert. Damit diese Umgebung überhaupt funktioniert, gibt es entsprechende Verbindungsvereinbarungen des ADC (siehe auch ADC CAs):

  • USERCA AG1
    repliziert Benutzer und Verteiler von Exchange 5.5 in das Active Directory
    Diese Verbindungsvereinbarung wurde nach der Installation von E2KA auf den SRS umgestellt werden
    EX55-Gegenstelle: E2KA-SRS Port 379
    AD-Gegenstelle: DC1
  • PublicFolder CA AG1
    Auch die Mailadressen der öffentliche Ordner werden repliziert
    Diese Verbindungsvereinbarung wurde nach der Installation von E2KA auf den SRS umgestellt werden
    EX55-Gegenstelle: E2KA-SRS Port 379
    AD-Gegenstelle: DC1
  • USERCA AG2
    repliziert Benutzer und Verteiler von Exchange 5.5 in das Active Directory
    EX55-Gegenstelle: EX55B Port 389
    AD-Gegenstelle: DC2
  • PublicFolder CA AG2
    Auch die Mailadressen der öffentliche Ordner werden repliziert
    EX55-Gegenstelle: EX55B Port 389
    AD-Gegenstelle: DC2

Damit ist sicher gestellt, dass alle Mailempfänger in der gemischten Umgebung synchronisiert werden. In einem Bild stellt sich das wie folgt dar:

Einrichten von AG3 und Installation des ersten Servers

Um nun einen neuen Exchange 2000/2003 Server in einer neuen administrativen Gruppe zu installieren, muss diese zuerst eingerichtet werden. Mit dem Exchange System Manager von Exchange 2000/2003 ist dies auch schnell erledigt.

Achtung: Lesen Sie nun erst den kompletten Artikel, ehe Sie der Beschreibung entsprechend weiter machen würden. Hier ist ein wichtiger manueller Zwischenschritt erforderlich, der aber erst später auf dieser Seite erklärt werden kann.

Im nächsten Schritt könnte schon der Exchange 2003 Server installiert werden. Wenn die neue administrative Gruppe zugleich ein neuer Standort ist, dann sollten Sie vorher natürlich dafür sorgen, dass dieser neue Netzwerkstandort auch einen eigenen Domain Controller hat, die Subnetze in den "Active Directory Standorte und Dienste" eingetragen sind und auch die Namensauflösung mit DNS und WINS korrekt funktioniert. Dabei helfen ihnen die Programme NETDIAG und DCDIAG aus den Windows Support Tools.

Bei der Installation des Exchange Servers werden Sie vom Setup gefragt, in welcher administrativen Gruppe Sie diesen Server installieren wollen. Diese Abfrage kommt immer dann, wenn es mehr als eine administrative Gruppe gibt.

Nach der Installation des neuen Exchange 2000/2003 Servers (Name "E2KC") müssen noch einigen Einstellungen durchgeführt werden. So muss der Server in eine bestehende oder neue Routinggruppe aufgenommen werden und eventuell ein Routinggroup Connector muss diesen neuen Standort mit den bisherigen Standorten verbinden. Selbstverständlich haben Sie den Server schon mit einem Virenscanner und einer Backuplösung versehen.

Und dann können Sie schon neue Anwender an diesem Standort für Exchange aktivieren und die Speichergruppen und Postfachspeicher des neuen Servers auswählen. Sie können auch die erforderlichen öffentlichen Ordner auf den neuen Server replizieren.

Wir haben was vergessen oder ?

Ganz so einfach ist die Installation aber denn doch nicht. Zwar haben nun die neuen Anwender auf dem Server E2KC ein Postfach und können mit Outlook arbeiten, aber sehr schnell werden Sie feststellen, dass diese Anwender nicht in der noch vorhandenen Exchange 5.5 Umgebung auftauchen. Wenn Sie einen Exchange 5.5 Administrator starten, dann erwarten Sie natürlich, dass diese neue Administrative Gruppe auch in der Exchange 5.5. Umgebung als "Standort" auftaucht.

Nun wissen Sie aber aus der Exchange 5.5 Praxis, dass ein Standort in einer Exchange 5.5 Umgebung erst dann auftaucht, wenn ein Connector zur Verzeichnisreplikation eingerichtet wurde. Der ist aber noch nicht eingerichtet. Nur ist es gar nicht so einfach einen solchen DirSync-Connector einzurichten, wenn in dem neuen Standort kein Exchange 5.5 Server ist. In einem gemischten Standort übernimmt der SRS diese Aufgabe, aber diese fehlt in der AG3.

Viel schlimmer ist aber noch, dass die Exchange Benutzer in der AG3 nicht aus der Exchange 5.5 Umgebung zu erreichen sind. Als erfahrener Exchange Administrator wissen Sie sicher schon was fehlt. Klar, die passende Verbindungsvereinbarung muss dafür sorgen, dass die Benutzer aus dem Active Directory auch in das Exchange 5.5 Verzeichnis geschrieben werden. Nur in welches ?. Aus den alten Exchange 5.5 Tagen wissen wir alle, dass jeder Exchange Standort nur für die eigenen Daten "schreibberechtigt" ist. Die Daten von anderen Standorten sind auf dem jeweiligen Server nur zum lesen (Read Only) vorhanden.

SRS Magie und preferred-SRS

Für diesen Fall hat Microsoft natürlich auch eine Lösung geschaffen. Sie wissen sicher schon, dass der Site Replication Service (SRS) in einer gemischten Umgebung die Aufgabe hat, die Exchange 5.5. Konfiguration mit der Exchange 2000/2003 Konfiguration abzugleichen. Dazu simuliert der SRS-Dienst einen Exchange 5.5 Verzeichnisdienst und das dazu gehörige ConfigCA repliziert die Daten dann in das Active Directory.

In einer native Exchange 2000/2003 administrativen Gruppe gibt es keinen SRS, so dass in diesem Fall ein anderes SRS/ConfigCA-Paar diese Aufgabe stellvertretend mit übernimmt. Welcher SRS nun diese Aufgabe mit übernimmt, konnte bis Exchange 2000 SP2 konnten Sie nicht bestimmen, welcher SRS die Aufgabe übernimmt. Jeder SRS hat einen Hashwert über den Namen der administrativen Gruppe gebildet und wer am "nächsten dran" war, hat die Aufgabe mit übernommen. Das konnte natürlich in größeren Umgebung komplett am anderen Ende der Welt sein.  Die Folge waren sehr lange Replikationszeiten.

Seit Exchange 2000 SP2 können und sollten Sie daher einen SRS in ihrer Umgebung auswählen, der im Hinblick auf Netzwerkanbindung, Verzeichnisabgleich und Leistungsfähigkeit diese Aufgabe übernehmen soll und den Namen des Servers in die Beschreibung der administrativen Gruppe eintragen.

Dies sollten Sie gleich nach dem Anlegen der Administrativen Gruppe machen. Denn wenn die Auswahl des SRS einmal gelaufen ist, dann wird dieser Eintrag nicht mehr ausgewertet. Das zu diesem SRS gehörende ConfigCA repliziert nun auch die Konfigurationsinformationen aus dieser Administrativen Gruppe nach Exchange 5.5. Dazu gibt es den Verzeichnisconnector "ADCAutoDRC", welcher in Exchange 5.5 sichtbar ist und der für die anderen Exchange 5.5 Server quasi als Verzeichniskonnector zu diesem anderen Standort dient

Benutzer, Verteiler und öffentliche Ordner

Damit sind wir aber noch nicht fertig. Es bleibt noch die Einrichtung, dass die Benutzer, Verteiler und öffentliche Ordner auch in Exchange 5.5 sichtbar werden. Hierzu ist nun eine Verbindungsvereinbarung im ADC einzurichten, die diese Objekte in das Exchange 5.5 Verzeichnis repliziert. Auch hier kommt der SRS zum tragen, der auch schon die Konfiguration über die ConfigCA repliziert. Dieser SRS erlaubt es, dass ein ADC Benutzer in das Exchange 5.5 Verzeichnis schreibt, obwohl dies eigentlich ein entfernter Standort ist. Hier unterscheidet sich der SRS von einem normalen Exchange 5.5 Verzeichnisdienst. Folgende CAs sind daher erforderlich:

  • USERCA AG3
    repliziert Benutzer und Verteiler von Exchange 5.5 in das Active Directory
    EX55-Gegenstelle: E2KA-SRS Port 379 !!
    AD-Gegenstelle: DC1
  • PublicFolder CA AG3
    Auch die Mailadressen der öffentliche Ordner werden repliziert
    EX55-Gegenstelle: E2KA-SRS Port 379
    AD-Gegenstelle: DC1

Natürlich können Sie auch den DC3 als Gegenstelle nutzen. Wenn der ADC selbst aber in der AG1 abläuft ist es einfacher, lokal den DC1 der gleichen Domäne zu fragen. Nun dauert es noch einige Zeit, bis diese Informationen repliziert sind und die Anwender im globalen Adressbuch in Exchange 5.5 auftauchen.

Zielsystem

Nach all diesen Tätigkeiten sieht unsere Umgebung dann wie folgt aus:

Der SRS auf dem Exchange Server E2KA übernimmt stellvertretend für die AG3 auch die Aufgabe, die Active Directory Benutzer über das entsprechende CA vom DC3 anzunehmen und in die SRS-Datenbank einzustellen, als wären Sie über eine Exchange 5.5 Verzeichnisreplikation von E2KC gekommen.

Der SRS auf E2KA übernimmt aber nicht den Verzeichnisabgleich für die Benutzer, Verteiler und öffentliche Ordner der AG3, sondern auch den Abgleich der Konfigurationsinformationen.

Weitere Links