Exchange Server 2000 optimal konfigurieren
Artikel erschienen in Swiss IT Magazine 2000/43
Die Voraussetzung für den Betrieb des Exchange 2000 Server sind Windows 2000 als Betriebssystem und das Active Directory. Die Plattformunabhängigkeit bleibt durch diese Bedingung zwar auf der Strecke, doch profitiert man im Unternehmen dafür von einer optimalen Kooperation zwischen Exchange und Betriebssystem.
Microsofts Verzeichnisdienst wird benötigt, da eine Vielzahl von Informationen des Exchange 2000 Server - sowohl zu Postfächern und damit Benutzern als auch zur Konfiguration - hier abgelegt werden.
Für die Einrichtung ist neben dem installierten Active Directory auch das Service Pack 1 für Windows 2000 erforderlich, das seit geraumer Zeit bei Microsoft und seinen Distributoren bestellt oder aus dem Internet unter der Adresse www.microsoft.com/ windows/downloads geladen werden kann.
Eine sinnvolle oder minimale Hardwarekonfiguration für den Exchange 2000 Server zu definieren, fällt dagegen schwer. Zu unterschiedlich sind die Einsatzszenarien und Anforderungen, die an den oder die Server gestellt werden können.
Exchange 2000 bietet beispielsweise mit seinen Speichergruppen deutlich verbesserte Möglichkeiten für die verteilte Speicherung von Informationen. Dort, wo die Funktionen des Web Storage intensiv genutzt werden, wird dagegen signifikant mehr Last anfallen. Das wird insbesondere in vielen Unternehmen auch dazu führen, dass die Last relativ schnell ansteigt, wenn mehr und mehr der neuen Möglichkeiten von Exchange Server genutzt werden.
Am sinnvollsten erscheint es daher, mit einer Unternehmens-Infrastruktur zu arbeiten, die gut ausgebaut bzw. skaliert werden kann - das Hinzufügen von Storage, mehr Hauptspeicher oder mehr Prozessoren sollte kein Problem darstellen.
Nach der Einrichtung von Windows 2000, Active Directory und dem Service Pack 1 kann die Installation von Exchange 2000 Server beginnen.
Dieser muss nicht auf einem Domänencontroller eingerichtet werden. Es wird aber die Verbindung zu dem Schema-Betriebsmaster benötigt, wenn der erste Exchange-2000-Server installiert wird, da Schema-Erweiterungen durchgeführt werden müssen und diese immer zwingend über den Schema-Betriebsmaster erfolgen. Ausserdem muss eine Anmeldung mit vollen Berechtigungen als Schema-Admin erfolgen, um diese Änderungen durchführen zu können.
Eine weitere wichtige Voraussetzung bei der Installation ist, dass bereits die Internetinformationsdienste von Windows 2000 mit SMTP- und NNTP-Diensten eingerichtet wurden, da Exchange 2000 auf diese zurückgreift. Darüber hinaus sollte auch eine Zertifizierungsstelle vorhanden sein, falls mit sicherer E-Mail gearbeitet wird, da der Exchange 2000 Server hier ebenfalls auf Basisfunktionen von Windows 2000 aufsetzt. Allerdings kann der Schlüsselverwaltungsdienst von Exchange 2000 auch nachträglich eingerichtet werden.
Die weiteren Schritte des Installationsprozesses sind einfach. Wichtig ist die Entscheidung, ob der Server-Teil einer bestehenden Exchange-Organisation übernommen wird oder ob eine neue Organisation erstellt wird. Bei der Erstellung einer solchen Organisation muss der Name festgelegt werden. In einem Unternehmen sollte sich nur eine solche im produktiven Einsatz befinden, in der dann alle Benutzer verwaltet werden.
Nach dem Abschluss des eigentlichen Installationsprozesses stehen mehrere Schritte an. Der erste besteht in der Delegation administrativer Berechtigungen. Damit lassen sich beispielsweise die Rechte für die Verwaltung von Postfächern delegieren. Der Exchange 2000 Server basiert auf dem Berechtigungsmodell von Windows 2000, das eine differenzierte Vergabe von Zugriffsberechtigungen erlaubt. Dadurch können unter anderem administrative Gruppen erstellt werden, die Server, Routing-Einstellungen und Benutzer an jeweils einem Standort konfigurieren können. Auf Basis dieser verteilten administrativen Berechtigungen lassen sich dann Postfächer definieren, weitere Server einrichten, die Kommunikation zwischen Servern konfigurieren und gegebenenfalls zusätzliche Dienste installieren.
Das wichtigste Werkzeug für die Administration des Exchange 2000 Server ist der Exchange System-Manager. Dieser ersetzt den bisherigen Exchange Administrator. Allerdings dürfte die Umstellung nicht allzu schwer fallen, da schon beim bisherigen Administrationsprogramm mit einem geteilten Fenster und Dialogfeldern für die Konfiguration gearbeitet wird, wie es nun auch bei dem als MMC-Anwendung realisierten System-Manager der Fall ist. Dieser ist aber deutlich komfortabler in der Handhabung als seine Vorläufer.
Daneben spielt noch Active Directory-Benutzer und -Computer eine zentrale Rolle. Mit dem Verwaltungsprogramm des Verzeichnungsdienstes können neue Benutzer erstellt werden. Daneben lassen sich hier auch eine Reihe weiterer Einstellungen vornehmen, auf die wir im folgenden zu sprechen kommen.
Da es keinen eigenständigen Verzeichnisdienst für Exchange gibt, müssen die Benutzer wie eingangs erwähnt zwingend im Active Directory verwaltet werden. Unter dem Strich ist das auch sinnvoll, da es damit nur noch einen einzigen Administrationspunkt für die einzelnen Benutzer gibt.
Bei der Installation des Exchange Server wird das Schema des Active Directory erweitert. Dabei werden mehrere Hundert neue Attribute angelegt. Im Rahmen der Erweiterung werden aber auch die Administrationswerkzeuge des Active Directory angepasst. Das funktioniert deshalb, weil Programme wie Active Directory-Benutzer und -Computer dynamisch realisiert sind und über Informationen im Active Directory gesteuert wird, welche Register beispielsweise angezeigt werden sollen und welche nicht.
Die Änderungen werden schon beim Anlegen von Benutzern deutlich. Nach den Angaben zu Benutzername und Kennwort wird gefragt, ob für die einzelnen Benutzer auch ein Exchange-Postfach angelegt werden soll. Hier können dann Alias, Server und der Postfachspeicher ausgewählt werden. Der Exchange 2000 Server unterstützt mehrere Postfachspeicher, mit denen die Datenbank in kleinere Segmente zerlegt werden kann. Es kann dann gezielt gesteuert werden, welcher Postfachspeicher wohin repliziert wird und welche Postfächer wo abgelegt werden.
Nachdem ein Benutzer erstellt wurde, können noch eine Vielzahl weiterer Optionen für Exchange 2000 gesteuert werden. Bei den Eigenschaften von Benutzern finden sich gleich drei Register. Unter Exchange - Allgemein können Festlegungen wie der Postfachspeicher, Empfangseinschränkungen oder Speichergrenzwerte gesteuert werden. Damit lassen sich also beispielsweise Obergrenzen für die Grössen von Postfächern individuell konfigurieren. Im Bereich Exchange - Features ist es zudem möglich, Zusatzfunktionen wie Instant Messaging für Benutzer zu aktivieren. Im Register E-Mail-Adressen können schliesslich noch die Mail-Adressen von Benutzern angepasst werden.
Interessant ist auch der Befehl Exchange-Aufgaben im Kontextmenü der einzelnen Benutzer, der unter Active Directory-Benutzer und -Computer zur Verfügung steht. Mit Hilfe dieses Assistenten lässt sich eine Reihe von administrativen Aufgaben wie das Verschieben von Postfächern einfach durchführen.
Die Steuerung von Zugriffsberechtigungen beim Exchange 2000 Server erfolgt nach den gleichen Ansätzen wie bei Windows 2000. Wenn also beispielsweise Zugriffsberechtigungen für einen Server vergeben werden, vererben sich diese auch nach unten auf die darunter liegenden Objekte wie beispielsweise Speichergruppen.
Das wichtigste Werkzeug zur Konfiguration der Sicherheitseinstellungen ist der Assistent für die Zuweisung von Verwaltungsberechtigungen. Dieser wird über das Kontextmenü der Exchange-Organisation mit dem Befehl Objektverwaltung zuweisen gestartet. Mit diesem Assistenten lassen sich drei verschiedene Berechtigungsstufen einstellen. Benutzergruppen kann das Recht zur Administration von Exchange-Servern, zum Lesen der aktuellen Konfigurationseinstellungen oder zusätzlich auch zum Ändern von Berechtigungen gegeben werden.
Eine differenzierte Steuerung von Berechtigungen erfolgt dann im System-Manager oder auf der Ebene von Windows 2000. Die Berechtigung, Adresslisten zu verwalten, kann beispielsweise über das Register Sicherheit bei Empfänger - Alle Adresslisten gesteuert werden. Ebenso lassen sich aber auch individuelle Berechtigungen für einzelne Gruppen von Adresslisten oder ausgewählte Adresslisten vergeben.
Die Dialogfelder entsprechen denen, die sich auch bei der Konfiguration von Zugriffsberechtigungen im Active Directory finden. Damit ist eine exakte Steuerung von Vererbung und Berechtigungen möglich.
Allerdings gilt auch beim Exchange 2000 Server wie schon beim Active Directory, dass man gut überlegen muss, in welcher Detaillierung die Zugriffsberechtigungen gesteuert werden. Eine differenzierte Vergabe von Zugriffsberechtigungen ist zwar grundsätzlich sinnvoll - der Administrationsaufwand muss aber auch in einer entsprechenden Relation zur erzielten Sicherheit stehen. Es empfiehlt sich, hiefür einige Zeit in die Planung und Konzeption zu investieren, zumal man die Berechtigungen nicht im Wochenrhythmus wieder anpassen will.
Eine weitere, wichtige administrative Aufgabe nach der Installation eines Exchange 2000 Server ist die Einrichtung öffentlicher Ordner. Diese werden bei Ordner - Öffentliche Ordner über das Kontextmenü erstellt. Sie sind immer mit mindestens einem öffentlichen Informationsspeicher aus der verwendeten Datenbank verbunden.
Ein öffentlicher Ordner kann aber auch in mehreren solchen Informationsspeichern genutzt werden. Er ist dann in unterschiedlichen Strukturen sichtbar. Über den Informationsspeicher werden dabei die meisten Funktionen gesteuert. Hier kann beispielsweise der Replikationsstatus überwacht und die Volltextindizierung konfiguriert werden.
Neben der Sicherheitskonfiguration ist die Verwaltung des Speichers einer der wichtigsten Schritte bei der ersten Konfiguration von Exchange 2000.
Unterhalb der Serverobjekte findet sich zum einen der Ordner Protokolle und zum anderen ein Ordner Erste Speichergruppe. In letzterem werden standardmässig ein Postfachspeicher und ein Speicher für öffentliche Ordner angelegt. Es können aber noch weitere Speicher konfiguriert werden, beispielsweise um Postfächer in kleineren Einheiten abzuspeichern und über verschiedene Festplatten zu verteilen. Das erlaubt eine wesentlich effizientere Konfiguration des Speichers entsprechend der unterschiedlichen Anforderungen an Replikation und Verfügbarkeit.
Um einen neuen Postfachspeicher zu erstellen, wird bei der Speichergruppe, zu der dieser gehören soll, der Befehl Neu - Postfachspeicher ausgewählt. Dort können dann die entsprechenden Eigenschaften für die jeweiligen Postfachspeicher konfiguriert werden. Dazu gehören unter anderem die zu verwendende Datenbank, das Wartungsintervall, definierte Grenzwerte oder die Indizierung. Gerade die Konfiguration verschiedener Grenzwerte macht die Verwendung unterschiedlicher Postfachspeicher interessant. Ausserdem können auch Richtlinien pro Postfachspeicher konfiguriert werden.
Mit Verteiler- oder Adresslisten bietet Exchange die Möglichkeit, Gruppen von Empfängern zu definieren. Diese Listen werden im Bereich Empfänger unterhalb von Alle Adresslisten eingerichtet.
Die Listen werden dabei grundsätzlich über Filter erstellt. Es werden standardmässig keine Benutzer angezeigt, die zu solchen Listen gehören. Bei den Eigenschaften einer Liste können im Register Allgemein aber zum einen der Filter und zum anderen über die Schaltfläche Vorschau auch die aktuell zur Liste gehörenden Benutzer betrachtet werden.
Bei der Definition von Adresslisten können ferner auch neue Filter konfiguriert werden. Neben den allgemeinen Filterkriterien lassen sich hier zum einen Kriterien auf Basis der Postfachspeicher definieren.
Damit können beispielsweise alle Benutzer mit Postfächern auf dem gleichen Server in eine Adressliste aufgenommen werden. Zum anderen ist es auch möglich, im Register Weitere auch Filter zu konfigurieren, in denen über einzelne Attribute von Benutzern wie beispielsweise Benutzernamen, OU im Active Directory oder andere Festlegungen gesteuert wird, wer in welcher Adressliste enthalten ist.
Die dynamische Struktur dieser Adresslisten ist sehr effizient, da neue Benutzer automatisch in Adresslisten aufgenommen werden, deren Filterkriterien sie entsprechen.
Insgesamt ist die Konfiguration des Exchange 2000 Server durch die enge Integration mit Microsofts Active Directory sehr effizient zu bewerkstelligen. Allerdings bedarf es gerade bei der Konfiguration der Sicherheits-Features eines durchdachten Berechtigungskonzepts.
Nur so lässt es sich verhindern, dass man kein administratives Chaos verursacht und in kürzester Zeit den Überblick darüber verliert, wer denn eigentlich was administrieren darf und was nicht.