cnt

Exchange rüstet sich für die Cloud

Von Urs Bertschy

Mit Exchange 2013 führt Microsoft einige interessante neuen Features ein, beispielsweise im Compliance-Bereich. Zudem gibt es mit Exchange Online eine Cloud-Variante.

Artikel erschienen in Swiss IT Magazine 2013/03

     

Im Rahmen des Office-2013-Launches, intern auch als Wave 15 bezeichnet, hat Microsoft parallel zu den Office-Clients und Office 365 auch die Produktivitätsserver Exchange, Sharepoint und Lync in überarbeiteten 2013er-Versionen lanciert. Neben den üblichen Abstimmungen auf die übrigen Office-Produkte (insbesondere Outlook 2013 und Sharepoint 2013) kommt Exchange 2013 mit Verbesserungen in der Architektur und einer vereinheitlichten Administration daher, welche vor allem die Kosten beim Betrieb und bei der benötigten Hardware reduzieren sollen. Unter dem Namen Exchange Online und als Teil von Office 365 gibt es den neuen Exchange Server in fast identischer Fassung auch in einer Cloud-Variante. Microsoft will Firmen damit den Umstieg in die Cloud erleichtern. Dazu wurde auch der Hybrid-Betrieb beider Exchange-Varianten verbessert, was unter anderem eine schrittweise Migration in beide Richtungen ermöglicht.

Reduktion auf zwei Serverrollen

Die mit Exchange 2007 eingeführten fünf verschiedenen Serverrollen gehören mit dem 2013er-Release der Vergangenheit an. Neu gibt es nur noch die Rollen «Client Access» und «Mailbox». Wie der Name bereits vermuten lässt, ist erstere für alle Aufgaben zuständig, die den Zugriff von Clients auf die Exchange-Dienste betreffen. Dazu gehören Authentifizierung, Redirection und Proxy-Dienste. Die Mailbox-Rolle ist insbesondere für die Datenspeicherung und Transportaufgaben zuständig.
Die bisherige Aufteilung auf fünf Rollen hatte vor allem Performance-Gründe. Mit der stetig steigenden Leistung der Server-Hardware und einigen Optimierungen an der Exchange-Architektur – unter anderem wurde die Kommunikation zwischen den verschiedenen Exchange-Diensten vereinfacht – ist es nun möglich geworden, die Anzahl der Serverrollen zu reduzieren.
Eine gewichtige Änderung bringt die Client-Access-Rolle: Die Kommunikation zwischen Outlook-Clients und Exchange 2013 wird jetzt ausschliesslich via «RPC over HTTPS» abgewickelt. «RPC over TCP» wird nicht mehr unterstützt. Das soll laut Microsoft neben besserer Skalierbarkeit und Stabilität den Vorteil bringen, dass Änderungen am Server keinen Outlook-Neustart mehr erfordern. Outlook 2013 ist bereits für «RPC over HTTPS» gerüstet, Outlook 2007 und 2010 benötigen für den Betrieb mit Exchange 2013 einen entsprechenden Patch.

Proaktives Monitoring

Punkto Verfügbarkeit setzt Microsoft weiterhin auf das in Exchange 2010 eingeführte Modell der Database Availability Groups (DAG), mit der sich Mailbox-Datenbanken ständig zwischen mehreren Servern replizieren lassen. Auch hier gibt es eine ganze Reihe von Verbesserungen. Dazu gehören eine automatische Netzwerk-Konfiguration, Support für mehrere Datenbanken per Diskvolume (erlaubt passive und aktive Datenbanken auf demselben Volume) und ein automatischer Failover zwischen Data Center Sites.
Darüber hinaus wurde das Monitoring überarbeitet. Dabei werden die Exchange-Dienste aus Benutzersicht überwacht und ständig auf Verfügbarkeit, Performance und Fehlfunktionen geprüft. Bei Problemen versucht das System zunächst Application Pools, Services oder den Server neu zu starten, um Abhilfe zu schaffen. Erst wenn diese Massnahmen das Problem nicht beheben, wird der Server offline genommen und der Help Desk benachrichtigt.

Robusterer Datenspeicher

Seit Jahren wird von vielen Experten vermutet, dass Microsoft die Extensible Storage Engine (ESE) in Exchange durch einen auf SQL Server beruhenden Datenspeicher ersetzt. Dem ist auch bei Exchange 2013 (noch) nicht so: Redmond setzt weiterhin auf die ESE und hat sie sogar komplett neu in Managed Code (C#) geschrieben. Eine wesentliche Neuerung ist, dass jetzt jede Datenbank in einem eigenen Prozess (Worker Process) abgearbeitet wird. Hängt sich ein Datenbank-Prozess auf, bleiben die übrigen Datenbanken davon unberührt. In Exchange 2013 können dafür nur noch bis zu 50 Datenbanken gemountet werden, in 2010 waren es noch deren 100. Die ESE unterstützt neu Festplattengrössen von bis zu 8 Terabyte, kann mehrere Datenbanken pro Diskvolume verwalten und wartet mit einer verbesserten Performance auf (Reduktion der IOPS um bis zu 50 Prozent).
Eine weitere Neuerung punkto Datenspeicher ist die Integration der Search Foundation. Dahinter verbirgt sich die zur Sharepoint-Familie gehörende Fast-Suchtechnologie, welche die Indexierung und Suche der in den Exchange-Datenbanken abgelegten Items beschleunigen soll. Über die Federated Search API lassen sich in Exchange abgelegte Inhalte nun nahtloser als bisher in eine Sharepoint-Suchumgebung integrieren. Ausserdem bietet die Search Foundation eine breitere Unterstützung an Dateiformaten und kann über die iFilter-Schnittstelle um weitere Formate erweitert werden.

Web-basierte Administration

Freunde der bisherigen MMC-basierten Exchange Management Console (EMC) werden enttäuscht sein: Mit dem Exchange Administration Center (EAC) setzt Microsoft in Exchange 2013 auf eine komplett neue, Web-basierte Management-Konsole. Diese soll die Funktionen der bisherigen Administrationsumgebungen EMC und ECP (Exchange Control Panel) unter einem einheitlichen Dach zusammenführen. Damit erhält man nun endlich eine einzige Umgebung für alle Administrationsaufgaben und muss für verschiedene Tasks nicht mehr zwischen unterschiedlichen Verwaltungstools wechseln.
Praktisch ist, dass die Umgebung in sogenannte Feature Panes aufgegliedert wurde, in der zusammengehörende Administrationsaufgaben logisch gruppiert sind: Während man beispielsweise unter dem Recipients-Pane alle Funktionen für die Benutzerverwaltung findet, erhält man über das Compliance-Pane Zugang zu allen Einstellungen aus den Bereichen eDiscovery, Auditing, und Retention Policies. Das EAC unterstützt auch die sogenannte Role-based Administration, so dass man Unteraufgaben an weitere Administratoren oder Bereichsverantwortliche delegieren kann. So kann beispielsweise einem Sicherheitsbeauftragten nur der Compliance-Teil zugänglich gemacht werden. Eine weitere Neuerung des EAC ist das Notification-System, welches den Administrator über wichtige Ereignisse informiert. Leider gibt es derzeit lediglich Alerts zu abgelaufenen Zertifikaten oder abgeschlossenen Mailbox-Migrationen. Andere Exchange-Dienste unterstützen das neue Alert-System noch nicht.

Compliance: Granulare Sicherstellung

Wesentliche Verbesserungen hat Exchange 2013 im Bereich Compliance Management erfahren. Bereits im 2010er-Release wurde die Litigation-Hold-Funktion eingeführt, mit der man Items (Mails, Termine, Tasks etc.) einer Mailbox sicherstellen konnte, die möglicherweise für einen Rechtsstreit oder eine Untersuchung relevant sind. Litigation-Hold hatte allerdings den Nachteil, dass man Daten bloss auf Mailbox-Ebene einfrieren konnte. Damit wurden meist auch viele nicht relevante Informationen (Verabredungen, Small-Talks etc.) gespeichert, was unnötig Platz in Anspruch nahm.
In Exchange 2013 wird mit In-Place-Hold ein neuer Sicherstellungs-Mechanismus eingeführt, über den Daten selektiver und ressourcenschonender konserviert werden können. Mit Hilfe von Abfragen, in denen Kriterien wie enthaltene Schlüsselwörter, Item-Typ, Zeitpunkt des Mailversands oder Empfänger festgelegt werden, lassen sich nun gezielt alle Daten aufspüren, welche für eine Verwahrung in Frage kommen.
Ausserdem lassen sich Items via In-Place-Hold nicht nur auf unbestimmte Zeit, sondern neu auch über einen fest vorgegebenen Zeitraum sicherstellen (z.B. sechs Monate ab Eingangs- oder Erstellungsdatum). Das «Einfrieren» einer ganzen Mailbox wird allerdings auch weiterhin unterstützt.
Der eigentliche Prozess der Sicherstellung geschieht für den Benutzer vollkommen transparent (man kann ihn auf Wunsch auch per Mail über den On-Hold-Status informieren lassen), so dass dieser wie gewohnt mit seinen Daten weiterarbeiten kann. Löscht oder editiert ein Benutzer eine auf «Hold» gesetzte Nachricht, erstellt Exchange automatisch eine Kopie der Originalnachricht, und legt diese in einen speziell dafür vorgesehen Exchange-Ordner.
Für das sogenannte Electronic Discovery, also den eigentlichen Prozess für das Aufspüren und Sicherstellen von für die Beweisführung relevanten Informationen, steht innerhalb der EAC unter der Bezeichnung In-Place-eDiscovery eine neue Suchkonsole bereit. Diese ersetzt die bisherige Multi-Mailbox-Suche und ermöglicht Compliance Managern die Durchführung der oben beschriebenen Abfragen und das Setzen der benötigten On-Hold-Optionen. Praktisch ist, dass die Suchkonsole eine Zusammenfassung über die gefundenen Treffer liefert und über eine Vorschaufunktion Einblick in das gelieferte Material bietet. So erhält man schnell einen Eindruck über das selektierte Material und kann seine Suche weiter einschränken oder ausdehnen.
In Kombination mit Sharepoint 2013 lässt sich zudem ein sogenanntes eDiscovery Center einrichten, das neben weitergehenden Audit-Funktionen auch Cross-Plattform-Audits in Zusammenarbeit mit Exchange 2013, Sharepoint 2013 und Lync 2013 unterstützt.

DLP: Filter für heikle Daten

Um verhindern zu können, dass sensitive Daten versehentlich an die Öffentlichkeit gelangen, wurden in Exchange 2013 die Transport-Regeln um eine Data-Loss-Prevention-Technologie (DLP) erweitert. Anhand von vordefinierbaren Policies analysiert DLP mit Hilfe von unterschiedlichen Algorithmen den Inhalt von E-Mail-Nachrichten (inklusive der Attachments) auf heikle Informationen wie zum Beispiel Kreditkartendaten, Bankleitzahlen oder Versicherten-Nummern. Für das Einrichten der Richtlinien stellt Microsoft eine Reihe von mitgelieferten Vorlagen basierend auf Regulierungsstandards wie etwa PII (Personally Identifiable Information) oder PCI (Payment Card Industry) bereit. Es lassen sich aber auch eigene Policies definieren.
Über sogenannte Policy Tips – eine Erweiterung der bisherigen Mail Tips – werden Benutzer in Outlook 2013 (es werden derzeit keine anderen Clients unterstützt) gewarnt, dass sie im Begriff sind, sensitive Daten zu versenden. Neben der reinen Warnung und der Aufforderung zur Änderung der Nachricht können eine ganze Reihe von weitergehenden Aktionen definiert werden: So lassen sich Mails mit sensitiven Daten beispielsweise blockieren, zur Versand-Genehmigung an einen Vorgesetzten weiterleiten oder mit einem Disclaimer ausstatten.

Public Folders weiterhin unterstützt

Totgesagte leben bekanntlich länger. Das gilt auch für die Public Folders, welche Microsoft noch vor einigen Jahren zu Gunsten von Sharepoint-Libraries abschaffen wollte. Dass Redmond diese nun in Exchange 2013 grundlegend überarbeitet und auf «Modern Public Folders» umgetauft hat, dürfte darauf hindeuten, dass uns die gemeinsam nutzbaren Ordner noch eine ganze Weile erhalten bleiben. Neu basieren die Public Folders auf der Mailbox-Infrastruktur. Das bedeutet, dass diese nun ebenfalls in einer Mailbox-Datenbank gespeichert werden und dementsprechend auch von den selben Features wie zum Beispiel Indexierung (via Search Foundation) und Datenreplikation (via DAG) profitieren können.
Trotz dem Weiterbestehen der Public Folders wird aber auch die Verschmelzung von Exchange- und Sharepoint-Daten weiter vorangetrieben. Mit den neuen Site Mailboxes können Exchange-Mails und Sharepoint-Dokumente in einer gemeinsamen Ablage zusammengeführt werden. Gedacht ist das neue Konzept vor allem für das Ansammeln von zu einem Projekt gehörenden Mails und Dokumenten an einer zentralen, von allen Projektmitarbeitern zugänglichen Stelle. Zugang zu den Site Mailboxes erhält man via Outlook 2013 oder über eine entsprechende Sharepoint-Site. Unter der Oberfläche werden Mails weiterhin im Exchange-Datenspeicher gehalten, während die Dokumente von Sharepoint verwaltet werden. Im Gegensatz zu den Public Folders profitiert man bei der Verwendung von Site Mailboxes dank der Sharepoint-Integration von Funktionen wie Versionierung, Co-Authoring oder Workflow.

Outlook Web Access mit Offline-Support

Outlook Web Access (OWA) wurde mit Exchange 2013 komplett überarbeitet. Das Interface kommt nun – wie praktisch alle Microsoft-Produkte der Neuzeit– im Metro-Look daher. Was auf den ersten Blick eher langweilig wirkt, hat einen entscheidenden Vorteil: OWA lässt sich nun auch auf Touch-Bildschirmen angenehm bedienen. Dazu wird je nachdem, ob der Benutzer mit einem Desktop/Notebook, Tablet oder Smartphone zugreift, eine speziell für dieses Gerät optimierte UI vorgehalten.
Ein weiteres Highlight des neuen Web Access ist die Unterstützung für die Offline-Nutzung mit Desktop-Web-Browsern. Wie bei einem Rich-E-Mail-Client lassen sich Mails und Kalendereinträge nun auch ohne aktive Internet-Verbindung bearbeiten. Sobald die Verbindung zum Internet wieder besteht, werden diese mit dem Exchange-Server synchronisiert. Die Offline-Nutzung ist allerdings nur neueren Browsern mit Support für HTML 5 Local Storage vorbehalten. Offline-Support bieten derzeit Internet Explorer 10, Safari 5 (Windows, OS X) und Google Chrome (ab Version 17 für Windows und OS X).
Wie Outlook 2013 lässt sich auch Outlook Web Access mit sogenannten Outlook Apps erweitern. Diese werden über den Office Store angeboten und ergänzen die Funktionalität innerhalb von E-Mail- oder Kalenderansichten. Zum Beispiel lassen sich mit der Linkedin-App Informationen zu allen in den E-Mail-Adressfeldern verwendeten Kontakten einblenden. Via Exchange 2013 können Administratoren festlegen, welche Outlook-Apps Benutzer installieren dürfen.
Immer mehr aus Outlook bekannte Features sind in OWA zu finden. So etwa auch der Quick-Delete-Button für eine schnelle Triage, die sogenannte Mogenda-Ansicht im Kalender (Kombination von Monats- und Agenda-Ansicht), direktes Editieren von Kalendereinträgen oder eine Linkedin-Integration (via Office 365). Einige der neuen Funktionen von Exchange 2013 wie die Public Folders oder die Policy Tips werden in OWA derweil noch nicht unterstützt und bleiben Outlook 2013 vorbehalten.

Exchange Online

Die Funktionalität in Exchange Online (Wave 15) wurde weitgehend an Exchange 2013 angeglichen. Die Online-Variante kommt nun ebenfalls mit dem Exchange Administration Center (EAC), bietet Support für Public Folders und verfügt über Compliance-Funktionen. Darüber hinaus gibt es mit der Exchange Online Protection (EOP), welche die bisherige FOPE (Forefront Online Protection for Exchange) ablöst, eine Anti-Spam und -Malware-Lösung, die wesentlich weitergeht als die in Exchange 2013 integrierte Malware-Abwehr.
Interessant ist, das Exchange 2013 und Exchange Online in einem Hybrid-Szenario gemeinsam betrieben werden können. Das war zwar bereits bisher mit Exchange 2010 SP1 möglich, das Setup war aber eine recht mühsame Angelegenheit, die etliche manuelle Konfigurationsschritte erforderte. Neu gibt es einen Hybrid Configuration Wizard, mit dem sich eine On-Premise-Installation in wenigen Schritten mit Exchange Online verknüpfen lässt. Exchange bietet im gemischten On-Premise/Cloud-Betrieb eine recht hohe Flexibilität. So lassen sich Postfächer der Benutzer wahlweise lokal oder in der Cloud betreiben. Auf Knopfdruck können diese von der lokalen Installation in die Cloud (oder umgekehrt) migriert werden. Zudem lassen sich Online-Dienste wie das Exchange Online Archive (EOA) oder die Exchange Online Protection (EOP) direkt an eine On-Premise-Installation anbinden. Damit können beispielsweise Postfächer lokal betrieben, und die Archivierung in die Cloud ausgelagert werden.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER