Frontend/Backend Konstellation

Exchange 2000 unterstützt die Konstruktion eines Frontend/Backend Systems. Doch was bedeutet dies genau?

In Exchange 2007/2010 gibt es den Frontend Server in der Art nicht mehr. Hier ist es die Rolle des ClientAccess, die zwischen dem Client und Postfachserver vermittelt.

Aufgabenteilung

Gerade im Umfeld mit vielen Exchange Servern und Internetanbindungen ist es sinnvoll, bestimmte Funktionen zu trennen. Wie sie vielleicht in der Abhandlung über den Einsatz des Clusters (Hochverfügbarkeit und  Clustergrundlagen) gelesen haben, gibt es auch mit Exchange 2000 Informationen, welche nicht repliziert werden können. So sind z.B. Postfächer auf genau einem (virtuellen) Server gebunden. Nun ist es in der Regel nicht gewünscht, dass der Clusterserver für den Zugriff per POP3 / IMAP4 oder HTML (Outlook Webzugriff 2000) aus dem Internet erreichbar ist. Daher kann ein hochverfügbarer Store mit zusätzlichen "Frontendservern" entlastet werden. Siehe auch OWA Absichern (Bereich Exchange Clients) Hinweise zur Platzierung von CAS und Firewall-Filtern.

Ein Name für alle Server = Flexibilität

Der Zugriff auf mehrere Exchange 2000 Server würde ohne Frontendserver bedeuten, dass der Anwender immer den "richtigen" Postfachserver nutzen müsste. Outlook leitet den Anwender automatisch weiter. Auch der Zugriff per OWA auf einen Server leitet den Anwender direkt auf "seinen Homeserver weiter. Damit müsste jeder Server im Internet mit einem Namen erreichbar sein. Der Zugriff per POP3 oder IMAP4 aber kennt keine Weiterleitung, so dass die Anwender ebenfalls individuelle Server eingeben müssten.

Möchte nun die Firma weitere Exchange 2000 Server installieren und Postfächer verlagern, so ist dies ohne Frontendserver nicht möglich. Der Frontendserver dient nämlich (mit Ausnahme der Outlook Kommunikation !!) als eine Art Pförtner, welcher die Weichen stellt. Der Anwender aus dem Internet kann per POP3, IMAP4, HTTP auf den oder die Frontendserver zugreifen. Die Frontendserver besorgen sich die Daten vom entsprechenden Backendserver und geben die Information weiter.

Verschiebt der Administrator eine Mailbox auf einen anderen Server, so erkennt die der Frontendserver und passt sich entsprechend an. für den Anwender bleibt alles unverändert.

Skalierbarkeit und Redundanz

So sorgen Frontendserver für eine Virtualisierung des Zugriffs auf die Mailbox für Internetprotokolle. Natürlich kann solch ein System wunderbar skaliert werden. Mehrere Frontendserver können als Farm aufgestellt werden und per WLBS (Mehrere Rechner haben die gleiche IP-Adresse), DNS-Round Robin oder andere Clusterlösungen zusammengeschaltet werden. So wird die Leistungsfähigkeit erhöht und der Ausfall eines Teilsystems abgefangen. (Siehe auch Outlook Webzugriff 2000)

Auch ist es problemlos möglich, weitere Backend Server zu installieren und die Last zu verteilen, ohne dass die Anwender ihre Konfiguration ändern müssen. Insofern ist auch die Skalierbarkeit der Backend Systeme gegeben.

Sicherheit und Verschlüsselung

Ohne Frontendserver müssten alle Exchange Postfachserver im Internet erreichbar sein, und das ist das letzte, was sich ein Administrator wünschen sollte. Daher dienen Frontendserver auch der Sicherheit der Backend Server. Diese Server enthalten keine Nutzdaten, sondern sind reine Rechensysteme, die Daten aus dem Active Directory und den Backendservern erfragen und an den Client weiterreichen. Insofern sind diese System relativ einfach zu sichern und einfach aufgebaut.

Zudem können diese System die gesamte Arbeit der Verschlüsselung (SSL), Zertifikatsverwaltung und Autorisierung dem Backendserver abnehmen.

Frontend benötigt Basic Authentication
Damit der Frontend sich beim Backend Server auch anmelden kann, muss dieser vom Anwender den Usernamen und das Kennwort erhalten. Dies funktioniert nur, wenn sich der Anwender per "Basic Authentication" anmeldet oder Kerberos (Aber Windows 2003/Exchange 2003) genutzt wird.

Dieses Problem wird bei Entwicklern häufig auch als "Doppel Hop Problem" beschrieben, d.h. ein Anwender kann sich zwar an einer ASP-Anwendung autorisieren und die ASP-Anwendung arbeitet dann auch "als dieser User", aber kann nicht auf Dienste auf anderen Servern zugreifen. Da eine Anmeldung per "Basic Authentication" aber faktisch nur per BASE64 codiert wird, könnte jeder die Anmeldung mitlesen. Setzen Sie daher auf dem Frontend Server SSL ein.

Auch die Verbindung zum Backend Server sollte verschlüsselt sein, da ansonsten auch hier jemand die Zugangsdaten ablauschen könnte.

Laut Technet kann ein Frontend aber nicht per SSL auf den Backend Server zugreifen. Dies ist aber auch nicht ganz so kritisch, da hier Kerberos oder NTLM als Authentifizierung genutzt werden können und damit das Kennwort gesichert ist.
Allerdings kann die Kommunikation mittels IPSec natürlich verschlüsselt werden.

Dies ist daher weniger kritisch, wenn diese Kommunikation wirklich nur über "sichere" Leitungen geht, z.B. ein eigenes VLAN.

Installation

Ist die Installation nun schwer ? Eigentlich nicht, denn faktisch wird ein Enterprise Server allein durch einen kleine Checkbox "Dies ist ein Frontendserver" zu eben einem Frontendserver. Allerdings ist das nur ein Teil der gesamten Arbeit.

Die Installation einer Frontend/Backend Topologie ist immer eine individuelle Leistung, da kein Umfeld dem anderen gleicht. Allein mit der Exchange 2000 Installation ist es nicht getan. Hinzu kommt die Sicherung der Betriebssysteme gegen Veränderungen von außen, die Sicherung des Webservers (Stichwort, URLMON, IISLOCKDOWN), die Sicherung der Konfiguration und Zugriffsrichtlinien (Stichwort Gruppenrichtlinien) und natürlich die eigentliche Internetanbindung.

Diese bedeutet, dass zwischen dem Internet und den Servern Firewall stehen, die nur die notwendigen Protokolle zwischen den Systeme passieren lassen. Der Client muss die Frontend Server erreichen können. Die Frontendserver benötigen bestimmte Zugriff auf die Domain Controller, um Daten aus dem Active Directory lesen zu können und dann den Backend Server zu erreichen. Damit das alles sauber, zuverlässig aber auch sicher funktioniert, ist eine gute Planung, ein fundiertes Verständnis der Teilkomponenten und eine saubere Dokumentation notwendig.

Bitte haben Sie Verständnis, dass ich nicht auch noch all dies hier veröffentlichen kann. Wenn Sie den Einsatz einer Frontend/Backend Lösung planen und Unterstützung brauchen, dann können Sie mich gerne ansprechen (Kontakt).

Lizenzierung

Exchange 2000 gibt es nun in zwei Varianten, welche in einer FE/BE-Konstellation eingesetzt werden können:

  • Exchange 2000 Standard
    Dieser Server kann nur als "Backend Server" dienen.
    Zum Frontendserver kann er nicht genutzt werden. Nebenbei gibt es aber noch einige Limitierungen, die den Einsatz als Backend Server nicht unbedingt sinnvoll erscheinen lassen z.B.
    Nur eine Speichergruppe
    keine X.400 Connectoren
    Kein Clustersupport
    maximal 16 Gigabyte Datenbank
  • Exchange 2000 Enterprise
    Nur diese Ausführung ist als Frontendserver einsetzbar.
    Allerdings erlaubt er auch all die Funktionen, der Standardserver nicht kann und ihn zum Backend Server prädestinieren.
  • Exchange 2003
    Sowohl die Standard als auch die Enterprise Version können als Frontend Server konfiguriert werden.

In Kürze heißt das:

  • Der Frontendserver muss ein Exchange 2000 Enterprise Server sein.
  • Der Backendserver kann ein Exchange 2000 Standard Server sein, aber sinnvoll ist aufgrund der Limitierungen auf 16 Gigabyte für Postfächer und eine Storage Group auch hier die Enterpriseversion.

Auch wenn dies sicher aus Kostenaspekten nicht eine gerade günstige Option ist.

OWA5.5, OWA2000 und 2003 als Frontend

Folgende Kombinationen sind möglich,. bzw. nicht möglich:

Frontend

Backend

Ergebnis

Exchange 5.5 OWA

Exchange 5.5

Exchange 5.5 OWA

Exchange 5.5 OWA

Exchange 2000

Exchange 5.5 OWA

Exchange 5.5 OWA

Exchange 2003

Exchange 5.5 OWA

Exchange 2000 FE

Exchange 5.5

funktioniert nicht

Exchange 2000 FE

Exchange 2000 BE

Exchange 2000 OWA

Exchange 2000 FE

Exchange 2003 BE

Nicht installierbar !
geschützte AdminGroup
Installation wird verhindert !!!

Exchange 2003 FE

Exchange 5.5

funktioniert nicht

Exchange 2003 FE

Exchange 2000 BE

Exchange 2000 OWA

Exchange 2003 FE

Exchange 2003 BE

Exchange 2003 OWA

Exchange 2007 CAS

Exchange 5.5

Kann so nicht installiert werden

Exchange 2007 CAS

Exchange 2000

Exchange 2000 OWA als Reverse Proxy. Siehe auch CASProxy 2007

Exchange 2007 CAS

Exchange 2003

Exchange 2003 OWA als Reverse Proxy. Siehe auch CASProxy 2007

Exchange 2010 CAS

Exchange 2000

Nicht unterstützt Siehe auch CASProxy 2010

Exchange 2010 CAS

Exchange 2003

Umleitung auf Exchange 2003 OWA per "LegacyURL".Siehe auch CASProxy 2010

  • Volle Funktion
  • Eingeschränkte Funktion
  • funktioniert nicht

Frontendfunktion ohne Frontendserver

Was macht nun eine Firma, die zwar gerne einen abgesetzten Server in der DMZ installieren möchte, aber die Kosten eines Frontend Servers sparen möchte ?

Wenn die oben angeführten Argumente für den Einsatz eines Frontendservers nicht zutreffen und Sie z.B. nur einen Server intern haben, dann ist vielleicht ein HTTP-Reverse-Proxy, wie der im ISA-Server enthalten ist, einen ausreichende Wahl. Durch das "Webpublishing" ist es möglich, dass der ISA-Server URLs filtert, die SSL-Verschlüsselung durchführt und den Exchange 2000 Mailboxserver vom Internet abschottet. Prüfen Sie daher, inwieweit eine "Veröffentlichung" gewisser Exchange 2000 Dienste über den ISA-Server nicht ebenso eine interessante Alternative ist.

Was nicht auf dem Frontend funktioniert

Durch die Konfiguration eines Exchange Server als "Frontend" sind einige Exchange Dienste nicht mehr auf diesem Server nutzbar. (Siehe auch 313646 XADM: Services Are Disabled on Front-End Servers After an Exchange 2000 Server SP2 upgrade)

  • DSProxy
  • Offline Address List Generation
  • Recipient Update Service
  • Free and Busy Tasks
  • Mailbox Cleanup Agent
  • The Event Service
  • Site Replication Service (SRS)

Beachten Sie dies bei der der Planung ihrer Exchange Umgebung. Auf der anderen Seite ist der SRS auch nicht Clustertauglich. Wenn Sie daher eine Infrastruktur migrieren wollten und dabei geclusterte Backend Server und mehrere Frontend Server vorsehen, dann benötigen Sie für die Koexistenz mit Exchange 5.5 noch einen weiteren "normalen" Server.

  • 313646 XADM: Services Are Disabled on Front-End Servers After an Exchange 2000 Server SP2 upgrade)
  • 259197 Status of Exchange 2000 Server and Exchange Server 2003 Components on a Server Cluster

Frontend und ActiveSync

Eine Besonderheit gibt es mit dem Einsatz von "Server Active Sync" zu beachten. Hierbei greift der PDA über eine HTTP-URL auf die Komponente "MASSYNC:DLL" zu, welche die gewünschten Daten vom eigentlichen Postfachserver abholt und an den Client zurück gibt. Hierbei ist MASSYNC.DLL nicht darauf angewiesen, dass das Postfach auf dem  eigenen lokalen Server vorhanden ist. MASSYNC kann ohne weitere Konfiguration auf alle Postfachserver zugreifen, welche per OWA erreichbar sind.

Insofern ist diese Funktion immer auch eine "Frontend/Backend"-Funktion. Details finden Sie dazu auch auf Exchange ActiveSync Server.

Weitere Links