Frontend/Backend Konstellation
Exchange 2000 unterstützt die Konstruktion eines Frontend/Backend Systems. Doch was bedeutet dies genau?
In Exchange 2007/2010 gibt es den Frontend Server in der Art nicht mehr. Hier ist es die Rolle des ClientAccess, die zwischen dem Client und Postfachserver vermittelt.
Aufgabenteilung
Gerade im Umfeld mit vielen Exchange Servern und Internetanbindungen ist es sinnvoll, bestimmte Funktionen zu trennen. Wie sie vielleicht in der Abhandlung über den Einsatz des Clusters (Hochverfügbarkeit und Clustergrundlagen) gelesen haben, gibt es auch mit Exchange 2000 Informationen, welche nicht repliziert werden können. So sind z.B. Postfächer auf genau einem (virtuellen) Server gebunden. Nun ist es in der Regel nicht gewünscht, dass der Clusterserver für den Zugriff per POP3 / IMAP4 oder HTML (Outlook Webzugriff 2000) aus dem Internet erreichbar ist. Daher kann ein hochverfügbarer Store mit zusätzlichen "Frontendservern" entlastet werden. Siehe auch OWA Absichern (Bereich Exchange Clients) Hinweise zur Platzierung von CAS und Firewall-Filtern.
Ein Name für alle Server = Flexibilität
Der Zugriff auf mehrere Exchange 2000 Server würde ohne Frontendserver bedeuten, dass der Anwender immer den "richtigen" Postfachserver nutzen müsste. Outlook leitet den Anwender automatisch weiter. Auch der Zugriff per OWA auf einen Server leitet den Anwender direkt auf "seinen Homeserver weiter. Damit müsste jeder Server im Internet mit einem Namen erreichbar sein. Der Zugriff per POP3 oder IMAP4 aber kennt keine Weiterleitung, so dass die Anwender ebenfalls individuelle Server eingeben müssten.
Möchte nun die Firma weitere Exchange 2000 Server installieren und Postfächer verlagern, so ist dies ohne Frontendserver nicht möglich. Der Frontendserver dient nämlich (mit Ausnahme der Outlook Kommunikation !!) als eine Art Pförtner, welcher die Weichen stellt. Der Anwender aus dem Internet kann per POP3, IMAP4, HTTP auf den oder die Frontendserver zugreifen. Die Frontendserver besorgen sich die Daten vom entsprechenden Backendserver und geben die Information weiter.
Verschiebt der Administrator eine Mailbox auf einen anderen Server, so erkennt die der Frontendserver und passt sich entsprechend an. für den Anwender bleibt alles unverändert.
Skalierbarkeit und Redundanz
So sorgen Frontendserver für eine Virtualisierung des Zugriffs auf die Mailbox für Internetprotokolle. Natürlich kann solch ein System wunderbar skaliert werden. Mehrere Frontendserver können als Farm aufgestellt werden und per WLBS (Mehrere Rechner haben die gleiche IP-Adresse), DNS-Round Robin oder andere Clusterlösungen zusammengeschaltet werden. So wird die Leistungsfähigkeit erhöht und der Ausfall eines Teilsystems abgefangen. (Siehe auch Outlook Webzugriff 2000)
Auch ist es problemlos möglich, weitere Backend Server zu installieren und die Last zu verteilen, ohne dass die Anwender ihre Konfiguration ändern müssen. Insofern ist auch die Skalierbarkeit der Backend Systeme gegeben.
Sicherheit und Verschlüsselung
Ohne Frontendserver müssten alle Exchange Postfachserver im Internet erreichbar sein, und das ist das letzte, was sich ein Administrator wünschen sollte. Daher dienen Frontendserver auch der Sicherheit der Backend Server. Diese Server enthalten keine Nutzdaten, sondern sind reine Rechensysteme, die Daten aus dem Active Directory und den Backendservern erfragen und an den Client weiterreichen. Insofern sind diese System relativ einfach zu sichern und einfach aufgebaut.
Zudem können diese System die gesamte Arbeit der Verschlüsselung (SSL), Zertifikatsverwaltung und Autorisierung dem Backendserver abnehmen.
Frontend benötigt Basic Authentication
Damit der Frontend sich beim Backend Server auch anmelden kann, muss dieser
vom Anwender den Usernamen und das Kennwort erhalten. Dies funktioniert nur,
wenn sich der Anwender per "Basic Authentication" anmeldet oder Kerberos
(Aber Windows 2003/Exchange 2003) genutzt wird.
Dieses Problem wird bei Entwicklern häufig auch als "Doppel Hop Problem" beschrieben, d.h. ein Anwender kann sich zwar an einer ASP-Anwendung autorisieren und die ASP-Anwendung arbeitet dann auch "als dieser User", aber kann nicht auf Dienste auf anderen Servern zugreifen. Da eine Anmeldung per "Basic Authentication" aber faktisch nur per BASE64 codiert wird, könnte jeder die Anmeldung mitlesen. Setzen Sie daher auf dem Frontend Server SSL ein.
Auch die Verbindung zum Backend Server sollte verschlüsselt sein, da ansonsten auch hier jemand die Zugangsdaten ablauschen könnte.
Laut Technet kann ein Frontend aber nicht per SSL auf den
Backend Server zugreifen. Dies ist aber auch nicht ganz so kritisch, da hier
Kerberos oder NTLM als Authentifizierung genutzt werden können und damit das
Kennwort gesichert ist.
Allerdings kann die Kommunikation mittels IPSec natürlich verschlüsselt
werden.
Dies ist daher weniger kritisch, wenn diese Kommunikation wirklich nur über "sichere" Leitungen geht, z.B. ein eigenes VLAN.
Installation
Ist die Installation nun schwer ? Eigentlich nicht, denn faktisch wird ein Enterprise Server allein durch einen kleine Checkbox "Dies ist ein Frontendserver" zu eben einem Frontendserver. Allerdings ist das nur ein Teil der gesamten Arbeit.
Die Installation einer Frontend/Backend Topologie ist immer eine individuelle Leistung, da kein Umfeld dem anderen gleicht. Allein mit der Exchange 2000 Installation ist es nicht getan. Hinzu kommt die Sicherung der Betriebssysteme gegen Veränderungen von außen, die Sicherung des Webservers (Stichwort, URLMON, IISLOCKDOWN), die Sicherung der Konfiguration und Zugriffsrichtlinien (Stichwort Gruppenrichtlinien) und natürlich die eigentliche Internetanbindung.
Diese bedeutet, dass zwischen dem Internet und den Servern Firewall stehen, die nur die notwendigen Protokolle zwischen den Systeme passieren lassen. Der Client muss die Frontend Server erreichen können. Die Frontendserver benötigen bestimmte Zugriff auf die Domain Controller, um Daten aus dem Active Directory lesen zu können und dann den Backend Server zu erreichen. Damit das alles sauber, zuverlässig aber auch sicher funktioniert, ist eine gute Planung, ein fundiertes Verständnis der Teilkomponenten und eine saubere Dokumentation notwendig.
Bitte haben Sie Verständnis, dass ich nicht auch noch all dies hier veröffentlichen kann. Wenn Sie den Einsatz einer Frontend/Backend Lösung planen und Unterstützung brauchen, dann können Sie mich gerne ansprechen (Kontakt).
Lizenzierung
Exchange 2000 gibt es nun in zwei Varianten, welche in einer FE/BE-Konstellation eingesetzt werden können:
- Exchange 2000 Standard
Dieser Server kann nur als "Backend Server" dienen.
Zum Frontendserver kann er nicht genutzt werden. Nebenbei gibt es aber noch einige Limitierungen, die den Einsatz als Backend Server nicht unbedingt sinnvoll erscheinen lassen z.B.
Nur eine Speichergruppe
keine X.400 Connectoren
Kein Clustersupport
maximal 16 Gigabyte Datenbank - Exchange 2000 Enterprise
Nur diese Ausführung ist als Frontendserver einsetzbar.
Allerdings erlaubt er auch all die Funktionen, der Standardserver nicht kann und ihn zum Backend Server prädestinieren. - Exchange 2003
Sowohl die Standard als auch die Enterprise Version können als Frontend Server konfiguriert werden.
In Kürze heißt das:
- Der Frontendserver muss ein Exchange 2000 Enterprise Server sein.
- Der Backendserver kann ein Exchange 2000 Standard Server sein, aber sinnvoll ist aufgrund der Limitierungen auf 16 Gigabyte für Postfächer und eine Storage Group auch hier die Enterpriseversion.
Auch wenn dies sicher aus Kostenaspekten nicht eine gerade günstige Option ist.
OWA5.5, OWA2000 und 2003 als Frontend
Folgende Kombinationen sind möglich,. bzw. nicht möglich:
Frontend |
Backend |
Ergebnis |
Exchange 5.5 OWA |
Exchange 5.5 |
Exchange 5.5 OWA |
Exchange 5.5 OWA |
Exchange 2000 |
Exchange 5.5 OWA |
Exchange 5.5 OWA |
Exchange 2003 |
Exchange 5.5 OWA |
Exchange 2000 FE |
Exchange 5.5 |
funktioniert nicht |
Exchange 2000 FE |
Exchange 2000 BE |
Exchange 2000 OWA |
Exchange 2000 FE |
Exchange 2003 BE |
Nicht
installierbar ! |
Exchange 2003 FE |
Exchange 5.5 |
funktioniert nicht |
Exchange 2003 FE |
Exchange 2000 BE |
Exchange 2000 OWA |
Exchange 2003 FE |
Exchange 2003 BE |
Exchange 2003 OWA |
Exchange 2007 CAS |
Exchange 5.5 |
Kann so nicht installiert werden |
Exchange 2007 CAS |
Exchange 2000 |
Exchange 2000 OWA als Reverse Proxy. Siehe auch CASProxy 2007 |
Exchange 2007 CAS |
Exchange 2003 |
Exchange 2003 OWA als Reverse Proxy. Siehe auch CASProxy 2007 |
Exchange 2010 CAS |
Exchange 2000 |
Nicht unterstützt Siehe auch CASProxy 2010 |
Exchange 2010 CAS |
Exchange 2003 |
Umleitung auf Exchange 2003 OWA per "LegacyURL".Siehe auch CASProxy 2010 |
- Volle Funktion
- Eingeschränkte Funktion
- funktioniert nicht
Frontendfunktion ohne Frontendserver
Was macht nun eine Firma, die zwar gerne einen abgesetzten Server in der DMZ installieren möchte, aber die Kosten eines Frontend Servers sparen möchte ?
Wenn die oben angeführten Argumente für den Einsatz eines Frontendservers nicht zutreffen und Sie z.B. nur einen Server intern haben, dann ist vielleicht ein HTTP-Reverse-Proxy, wie der im ISA-Server enthalten ist, einen ausreichende Wahl. Durch das "Webpublishing" ist es möglich, dass der ISA-Server URLs filtert, die SSL-Verschlüsselung durchführt und den Exchange 2000 Mailboxserver vom Internet abschottet. Prüfen Sie daher, inwieweit eine "Veröffentlichung" gewisser Exchange 2000 Dienste über den ISA-Server nicht ebenso eine interessante Alternative ist.
Was nicht auf dem Frontend funktioniert
Durch die Konfiguration eines Exchange Server als "Frontend" sind einige Exchange Dienste nicht mehr auf diesem Server nutzbar. (Siehe auch 313646 XADM: Services Are Disabled on Front-End Servers After an Exchange 2000 Server SP2 upgrade)
- DSProxy
- Offline Address List Generation
- Recipient Update Service
- Free and Busy Tasks
- Mailbox Cleanup Agent
- The Event Service
- Site Replication Service (SRS)
Beachten Sie dies bei der der Planung ihrer Exchange Umgebung. Auf der anderen Seite ist der SRS auch nicht Clustertauglich. Wenn Sie daher eine Infrastruktur migrieren wollten und dabei geclusterte Backend Server und mehrere Frontend Server vorsehen, dann benötigen Sie für die Koexistenz mit Exchange 5.5 noch einen weiteren "normalen" Server.
- 313646 XADM: Services Are Disabled on Front-End Servers After an Exchange 2000 Server SP2 upgrade)
- 259197 Status of Exchange 2000 Server and Exchange Server 2003 Components on a Server Cluster
Frontend und ActiveSync
Eine Besonderheit gibt es mit dem Einsatz von "Server Active Sync" zu beachten. Hierbei greift der PDA über eine HTTP-URL auf die Komponente "MASSYNC:DLL" zu, welche die gewünschten Daten vom eigentlichen Postfachserver abholt und an den Client zurück gibt. Hierbei ist MASSYNC.DLL nicht darauf angewiesen, dass das Postfach auf dem eigenen lokalen Server vorhanden ist. MASSYNC kann ohne weitere Konfiguration auf alle Postfachserver zugreifen, welche per OWA erreichbar sind.
Insofern ist diese Funktion immer auch eine "Frontend/Backend"-Funktion. Details finden Sie dazu auch auf Exchange ActiveSync Server.
Weitere Links
- Exchange und Firewalls
- Exchange ActiveSync Server
- OWA Formbased
-
OWA Absichern (Bereich
Exchange Clients)
Hinweise zur Platzierung von CAS und Firewallfiltern. - Sichere Exchange Veröffentlichung mit ISA Server 2004
http://blogs.technet.com/mkalbe/archive/2005/09/09/ALF_firewall_exchange2003.aspx - "Application Layer Firewall protection für Exchange Server 2003 with ISA
Server 2004"
http://www.Microsoft.com/technet/prodtechnol/isa/2004/plan/firewall-exchange2003.mspx - 274219 XCCC: Front-End Server Considerations
- 287726 How to configure host header and authentication information in Exchange 2000 Server or Exchange Server 2003 Outlook Web Access on a Windows Server 2003 or Windows 2000 server cluster
- 298954 XCON: MTA Cannot Start Without a Private Information Store
- 300573 XGEN: Exchange 2000 Enterprise Server Support on Datacenter
- 303632 XADM: Front-End Server Inetinfo.exe Can't Release Memory Buffer
- 309709 XADM: Exchange 2000 Does Not Prevent Mailbox Creation on a
Front-End Server
MAPI-Clients können die Mailbox nutzen, aber Zugriffe über OWA; POP3, IMAP schlagen fehlt und der OWA-Zugriff belegt sehr viel RAM. - 313646 XADM: Services Are Disabled on Front-End Servers After an Exchange 2000
- 837852 Windows Clustering is not supported on front-end servers in Exchange Server 2003
- 834637 The "Enable Forms Based Authentication" check box is unavailable in Exchange Server 2003
- 837852 Windows Clustering is not supported on front-end servers in Exchange Server 2003
- 922718 Outlook Web Access stops responding when you try to connect to a front-end server that is running Exchange 2000 Server
- Front-End and Back-End Topology
http://www.Microsoft.com/exchange/techinfo/deployment/2000/E2KFrontBack.asp - Exchange 2000 Front-end and Back-end Topology (October 2001)
http://www.Microsoft.com/exchange/techinfo/deployment/2000/E2KFBtop.doc - Support
WebCast: Microsoft Exchange 2000
Server Connectivity Through a Firewall
http://support.Microsoft.com/default.aspx?scid=/servicedesks/webcasts/wc070902/wcblurb070902.asp - Thomas Shinder: Front-end Back-end Exchange Server Trihomed DMZ Network Scenario. http://www.ISAserver.org/pages/article.asp?id=1221
- FE/BE Netzwerktarce und WebDAV http://www.outlookexchange.com/Articles/Stevebryant/bryant_c4p3.asp
- Front-end Back-end Exchange Server Trihomed ISA 2004 Firewall DMZ Network
Scenario
http://isaserver.org/articles/2004dmzfebe.html