Gregor Hartweger, Firma digiremote, externer Partner bei der Systempflege der Abteilung Standardsoftware des ZID
Exchange Server ist ein Groupware- und Messaging-System der Firma Microsoft.
Er lässt sich für vielfältige Aufgaben in kleinen und großen Netzwerken
einsetzen: beispielsweise können E-Mails verwaltet und gefiltert, Zeitpläne
erstellt, Termine vereinbart und Diskussionen geführt werden. Exchange
Server 2003 ist in der campusweiten Lizenz für MS Server 2003 enthalten.
Übersicht
Der Exchange Server 2003 ist die aktuelle Version der Exchange-Produktlinie
für Messaging und Personal Information Management. Er bringt neben neuen
Leis- tungsmerkmalen wie sicherem Remote-Zugriff auf Geschäftsinformationen
auch Verbesserungen bei Management, Sicherheit und Zuverlässigkeit. Die
Exchange Datenbank pflegt einen so genannten "Single Instance Store", d. h.
eine Mail an mehrere Anwender wird nur einmal physikalisch in der Datenbank
abgelegt. Dies spart gehörig Platz.
Hardware-Anforderungen
Die Mindest-Hardware-Empfehlung liegt bei 733 MHz, 512 MB Ram, 500 MB Speicher
für die Exchange-Installation und 200 MB Speicher im Systemverzeichnis
für Postfächer. Diese Hardware-Anforderungen werden mittlerweile von jedem
Standard-PC erfüllt, dennoch sollte man sich nicht verleiten lassen, zu
sehr an der Hardware zu sparen, da die benötigten System-Ressourcen ziemlich
rasant ansteigen können.
Installation
In der optimalen Konstellation wird Exchange 2003 auf einem Windows 2003
Server mit SP1 und allen Updates installiert. Sollte man noch einen Windows
2000 Server mit Exchange 2000 betreiben, so empfiehlt es sich auf jeden
Fall, ein Upgrade durchzuführen. Hier ist zu beachten, dass man zuerst
den Exchange und anschließend das Windows auf 2003 hebt und natürlich muss
Aktive Directory auch vorher auf beides vorbereitet werden. In jedem Fall
sollten die zugehörigen KB-Artikel, die man von der Startseite der Installations-CD
erreichen kann, gelesen werden.
Während der Installation wird man zum Installieren nicht vorhandener Dienste
(Messaging, IIS) aufgefordert, die man über Systemsteuerung / Software
problemlos nachinstallieren kann. Nach der Installation sollte man unbedingt
das letzte Service-Pack installieren, sofern es noch nicht in der Installation
enthalten war. Nun noch ein Neustart und man hat einen funktionstüchtigen
Mailserver inklusive eines einsatzbereiten Web-Access (Webmail).
Konfiguration
Als nächstes müssen die Mailboxen eingerichtet werden. Einfach unter Active
Directory Benutzer und Gruppen über dem Benutzer die rechte Maustaste drücken
und auf Exchange Aufgaben klicken, bestätigen und fertig.
Jetzt können schon die ersten Outlook-Clients, solange sie sich innerhalb
der Domäne authentifizieren, angebunden werden (Extras / Konten / mit Exchangeserver
verbinden). Standardmäßig ist der Zugriff und das Relaying auf die Benutzer
und Computer innerhalb der Domäne beschränkt (das war ja nicht immer so!).
Die wichtigsten Einstellungen werden im Systemmanager von Exchange unter
den Globalen Einstellungen / Nachrichtenübermittlung bzw. unter Server
/ Protokolle / SMTP vorgenommen.
Mail-Clients allgemein
Befindet man sich nicht innerhalb der Domäne oder verwendet man einen anderen
Mail-Client, dann muss die Verbindung zum Exchange über die Protokolle
POP3 oder IMAP aufgebaut werden. Standardmäßig sind die Dienste zwar installiert,
müssen aber händisch aktiviert bzw. gestartet werden (Systemsteuerung /
Verwaltung / Dienste). Nicht vergessen, die zugehörigen Ports auf der lokalen
bzw. Netzwerkfirewall für den Exchange-Server frei zu schalten.
Outlook
Der klassische Standard-User arbeitete bisher die meiste Zeit auf einem
PC innerhalb einer Domäne und hat dort sein Benutzerprofil mit seinem Outlook-Profil,
das eine direkte Exchange-Verbindung hat. Doch die Mobilität der Benutzer
steigt ständig und da Laptops mittlerweile fast das Gleiche können wie
PCs und immer preisgünstiger werden, arbeiten viele User zusätzlich oder
ausschließlich auf diesen mobilen PCs.
Exchange-Cache-Modus
Will man seine Arbeitsstation unabhängiger vom Server betreiben und auch
den Netzwerkverkehr verringern, sollte man den Cache-Modus aktivieren.
In diesem Modus wird eine Kopie des eigenen Postfachs lokal abgelegt und
zur Verfügung gestellt. Dadurch hat man die Möglichkeit, sein Mail-Profil
mitzunehmen und damit z. B. zu Hause zu arbeiten, auch wenn der Server nicht
erreichbar ist. Will man nun trotzdem online arbeiten, so gibt es mehrere
Möglichkeiten. Eine relativ neue und trotz sicherheitstechnischer Überlegungen
sehr einfache Methode ist der Zugriff über http auf den Exchange-Server.
RPC-über-HTTP
Einerseits muss am Server der Dienst (Systemsteuerung / Software / Windows-Komponenten
hinzufügen/entfernen / Netzwerkdienste / RPC-über-HTTP-Proxy) nachinstalliert
werden und andererseits muss der Outlook- Client dafür konfiguriert werden
(E-Mail-Konten / Weitere Einstellungen / Exchange-Proxyeinstellungen).
Zu empfehlen wäre hier natürlich auch, die Verbindung über eine Verschlüsselte
Leitung (ssl) zu führen.
HTTPS
Im akademischen Bereich kann man jetzt SSL-Zertifikate für Server kostenlos bekommen
1. Es besteht jedoch auch die Möglichkeit, sich selbst ein Zertifikat auszustellen und zu bestätigen. Zwar kommt dann eine Meldung, dass die Quelle des Zertifikats nicht als vertrauenswürdig bestätigt werden kann, aber die Verschlüsselung bleibt dieselbe. Wichtig im Zusammenhang mit RPC-über- HTTP (HTTPS) ist, dass man vor der Verwendung von Outlook einmal eine HTTPS-Seite aufruft und das Zertifikat einmal in sein System installiert.
Ob es funktioniert und welche Verbindung Outlook verwendet, sieht man, wenn man bei geöffnetem Outlook mit der Maus über das Symbol rechts unten fährt und bei gedrückter Strg-Taste die rechte Maustaste drückt und dann auf Verbindungsstatus klickt.
Web-Access
Hat man seinen Laptop nicht dabei und man will von einem fremden PC aus mit seinem Mailprofil arbeiten, gibt es die Möglichkeit, über das Webmailsystem Web- Access zu arbeiten. Die volle Funktionalität hat man mit dem hauseigenen Internet Explorer von einem Windows-PC aus zur Verfügung, aber es funktioniert auch - mit einigen optischen und funktionalen Abstrichen - von anderen Browsern aus.
Web-Access erlaubt dem Benutzer den Zugriff auf sein Postfach, wobei er
nicht nur Zugriff auf alle seine Mails hat, sondern auch auf seine Kontakte,
Notizen, Kalender, Aufgaben, Journale und Ordner.
Öffentliche Ordner
Die Groupware-Umgebung der Öffentlichen Ordner erlaubt das Bereitstellen
von Informationen für bestimmte Benutzergruppen oder Benutzer in bestimmten
Formaten. Je nach Konfiguration der Empfängerrichtlinien werden automatisch
für jeden Ordner Mailadressen generiert, unter denen die Ordner als Empfänger
erreichbar sind. Man kann es wie ein funktionsspezifisches News-System
betrachten. Zum Beispiel können Kalender- und Kontaktgruppen für Benutzer
einer Gruppe in einem Ordner angelegt werden und alle Benutzer, die Lesezugriff
besitzen, können diese Informationen verwenden.
Um diese Funktion nutzen zu können, müssen Sie einem bestimmten Benutzer
der Domäne die Eigentumsrechte der Öffentlichen Ordner zuweisen. Danach
kann dieser Benutzer weiter Ordner mit den gewünschten Informationen erstellen
(Administratoren sind standardmäßig gesperrt). Folgende Ordner werden angeboten:
E-Mail, Kontakte, Termine, Besprechung usw.
Mit Outlook 2003 können die Öffentlichen Ordner problemlos verwaltet, bearbeitet
und benutzt werden.
Die Berechtigungen der Öffentlichen Ordner werden in Stufen eingeteilt:
Stufe 1 bis Stufe 8, wobei Stufe 8 alle Berechtigungen bedeutet und Stufe
1 fast keine. Die Berechtigung für einen normalen Benutzer, der selbst
Elemente erstellen soll, seine eigenen Elemente löschen und sie nachträglich
auch noch bearbeiten und lesen darf, ist die Stufe 4.
In Zukunft werden die Öffentlichen Ordner wohl vom Sharepoint-Server abgelöst.
Das ist auch der Grund, warum man diese beiden Server nicht auf derselben
Maschine installieren darf.
Abwesenheitsassistent
Weiters ist es möglich, den Abwesenheitsassistenten zu aktivieren. Dieser
wird benötigt, damit Exchange für einen Benutzer eine Abwesenheitsnotiz
an einen E-MailAbsender absetzen kann, wenn dieser nicht erreichbar ist
(z.B. im Urlaub). Bei diesen Einstellungen ist es auch möglich, eine Weiterleitung
der E-Mails zu aktivieren. Hierbei ist jedoch höchste Vorsicht geboten,
da dadurch auch Spam-Mails an alle Benutzer weitergeleitet werden und auf
diese geantwortet wird. Dies ist in den meisten Fällen unerwünscht und
kann auch zu einem schnellen Anwachsen des Speicherplatzes führen. Um diesen
zu aktivieren, öffnen Sie die MMC, wechseln in die Globalen Einstellungen,
klicken auf Internet Nachrichtenformate und im linken Fenster sollte der
von Ihnen installierte Ordner sein. Öffnen Sie die Eigenschaften von den
Nachrichtenformaten und wechseln Sie in die Registerkarte Erweitert und
hier haben Sie die Möglichkeit, den Abwesenheitsassistenten für externe
Mail-Eingänge zu aktivieren. Wird der Abwesenheitsassistent hier nicht
aktiviert, dann wird nur innerhalb der Domäne benachrichtigt.
Kleiner Tipp am Rande: Wenn Sie sich Beschwerden von Usern ersparen wollen,
die ihre Mails nicht lesen können und im Anhang ein Mail.dat File haben,
stellen Sie das Exchange-Rich-Text-Format auf Nie verwenden.
Mobile Dienste
Hat man gar keinen PC oder Laptop zur Verfügung, gibt es immer noch die
Möglichkeit, sich mit dem Handy auf den Exchange Server zu verbinden.
Will man nur Mails abfragen, so kann man sich über seinen Provider ins
Internet verbinden und dann auf den Exchange Server per POP3 oder IMAP
zugreifen.
Unterstützt mein Handy oder Organizer Pocket-PC und ActiveSync, so können
alle Features wie z. B. Kontakte, Termine, Notizen genützt werden und zwar
nicht nur auf pull, sondern auch auf push.
Leider werden Drittanbieter nicht direkt unterstützt. So muss zum Beispiel
für die Verwendung von Sync-ML (z.B.: Symbian) eine eigene Software zur
Synchronisierung installiert werden.
Intelligenter Nachrichtenfilter
Bei so viel Mobilität muss man natürlich darauf achten, dass man den Datentransfer
so gering wie möglich hält, da das ja Geld kostet. Wenn der Inhalt der
Mailboxen zum größten Teil aus Spam-Mails besteht, so kann das Mail-Abfragen
per Handy schon eine Weile dauern und kostet dementsprechend sinnlos viel
Geld, da im Normalfall GPRS-Verbindungen genutzt werden. Der "Intelligente
Nachrichtenfilter" stellt erstmals seit SP1 (hier musste der IMF noch nachträglich
installiert werden) eine integrierte Möglichkeit dar, Spam-Mails zu blocken,
ohne auf Drittanbieter zurückgreifen zu müssen. Mit SP2 wird IMF automatisch
mitinstalliert, allerdings gilt es hier zu beachten, dass, wenn IMF schon
zuvor installiert wurde, alle Einstellungen verloren gehen. Bei der Konfiguration
wird ein Zahlenwert zwischen 1 und 10 festgelegt, wobei 1 die wenigsten
Mails blockt und 10 die meisten. Bei Stufe 10 ist die Gefahr hoch, Mails
zu blocken, welche eventuell keine Spam-Mails darstellen. Der Nachrichtenfilter
bietet die Möglichkeit, Nachrichten, welche als Spam identifiziert wurden,
in einen Ordner auf dem Server zu verschieben oder sie gleich zu löschen.
Sollte man sich entscheiden, die Mails auf dem Server aufzuheben, so hat
der Administrator die Möglichkeit, Mails, welche fälschlicher Weise geblockt
worden sind, dem Empfänger weiterzuleiten und den Absender zu den "sicheren
Absendern" hinzufügen. Jedoch bleibt zu beachten, dass jede abgelegte E-Mail
Speicherressourcen benötigt und dadurch notwendiger Platz aufgebraucht
wird. Auch bei Sicherung des Servers kann dies zu Schwierigkeiten führen,
daher ist es empfehlenswert, von Zeit zu Zeit dieses Verzeichnis zu löschen.
Zum Aktivieren des Nachrichtenfilters müssen Sie zuerst im Systemmanager
von Exchange in den Ordner Globale Einstellungen wechseln, danach die Eigenschaften
der Nachrichtenübermittlung öffnen. Im Register Intelligenter Nachrichtenfilter
können nun die Zahlenwerte festgelegt werden. Sollte das Service Pack 2
schon installiert sein, so muss der Nachrichtenfilter explizit aktiviert
werden. Dazu wechselt man in den Ordner Administrative Gruppen, öffnet
seine Gruppe, wählt seine Server aus und wechselt in den Ordner Protokolle
und zum Schluss in den Ordner SMTP. (z. B.: Administrative Gruppe - Erste
administrative Gruppe - Mein Mailserver - Protokolle - SMTP). Am Bildschirm
sollte nur der virtuelle Standardserver für SMTP erscheinen. Nun mittels
Rechts-Klick die Eigenschaften aufrufen, im Register Allgemein auf Erweitert
klicken, in dem nun geöffneten Fenster auf Hinzufügen oder - wenn schon
etwas konfiguriert wurde - auf Bearbeiten klicken.
Hier haben Sie nun die Möglichkeit, den Nachrichtenfilter durch Setzen
des Häkchens auf Intelligent Message Filter anwenden zu aktivieren. Danach
alles mit OK bestätigen. Problem des Nachrichtenfilters ist, dass es keine
Möglichkeit gibt, Ausnahmen darzustellen.
Tipp für FAX
Sollten Sie ein Faxgerät betreiben, welches das Fax automatisch an den
Mailserver weiterleitet, kann es vorkommen, dass der Nachrichtenfilter
diese Mails mit den Faxen als Spam ansieht. Jedoch gibt es hierfür bereits
eine Lösung.
-
Öffnen Sie die MMC,
-
klicken Sie auf Eigenschaften der Nachrichtenübermittlung,
-
danach auf das Register Verbindungsfilterung,
-
klicken Sie auf den Button Ausnahme.
-
In dem neuen Fenster klicken Sie auf Hinzufügen und geben die SMTP-Adresse
des Faxservers ein.
-
Klicken Sie auf OK , bis Sie wieder in den Eigenschaften sind.
-
Nun klicken Sie auf Annehmen, danach auf
-
Hinzufügen und fügen die IP-Adresse des Faxservers und die des Mailservers
hinzu.
-
Klicken Sie OK , bis die Eigenschaften geschlossen sind.
-
Nun wechseln Sie in Administrative Gruppen,
-
Erste Administrative Gruppe,
-
Server - danach wählen Sie Ihren Server aus,
-
Protokolle und klicken auf SMTP.
-
Öffnen Sie die Eigenschaften des virtuellen SMTP-Servers,
-
klicken in dem Register Allgemein auf Erweitert.
-
Im den neuen Fenster wählen Sie die IP-Adresse des Mailservers aus und
klicken
-
auf das Häkchen für die Verbindungsfilter, damit diese aktiviert sind.
-
Bestätigen Sie alles mit OK , bis alle Fenster geschlossen sind.
Nun sollten alle Faxe wieder ohne Problem ankommen.
Absenderfilter
Da auch gesendete Mails einen Postfachspeicher überfüllen können, gibt
es eine weitere Möglichkeit der Spamverminderung, die Absenderfilterung.
Diese Funktion erlaubt dem Administrator am Server festzulegen, ob ein
bestimmter Absender ein Spam ist und somit gleich verschoben oder gelöscht
wird. Der Absenderfilter kann auch ganze Domänen blocken. Z.B. @hotmail.com.
Größe der Postfächer
Wird eine Maibox dennoch zu groß, dann haben Sie die Möglichkeit am Exchange
Server - entweder für alle Postfächer oder nur für einzelne - die Größe
des Speicherplatzes zu definieren und den Benutzer zu warnen, dass es eng
wird. Sie können festlegen, ab welcher Postfachspeichergröße ein Benutzer
gewarnt wird, wann kein Senden mehr möglich ist und ab wann er nichts mehr
empfangen kann.
Systemanalyse
Best Practices Analyzer Tool
Das ist ein Programm, welches erst ab Service Pack 1 funktionstüchtig ist,
jedoch wertvolle Informationen über den Zustand Ihres Servers liefert.
Der besondere Vorteil dieses Programms ist es, dass es nicht nur den Fehler
liefert sondern auch einen Link zu einer Problemlösung bei Microsoft. Das
erspart den Administratoren das lange Suchen nach einer Lösung.
Das Programm muss man sich von der Microsoft Homepage herunterladen und
installieren. Es ist kein Neustart nach der Installation notwendig, daher
können Sie es auch während des Betriebes installieren.
Beim Programmstart wird automatisch auf neue Updates geprüft, danach kann
man sich mit dem Active Directory verbinden, falls eines vorhanden ist.
Als nächstes kann man eine neue Prüfung starten oder planen. Bei dem Health
und Performance Check empfiehlt sich eine Planung, da diese Prüfung etwas
länger dauert ( > 2 h).
Für die Planung einer Überprüfung müssen bei der Verbindung zum Active
Directory alle erweiterten Anmeldeinformationen eingegeben werden. Wichtig
hierbei ist, dass der angegebene Benutzer Administratorenrechte im Active
Directory sowie auf dem Exchange Server hat, da sonst eine Planung nicht
möglich ist.
Nachdem eine Prüfung abgeschlossen ist, müssen Sie nur noch auf Bericht
für diese Best Practices-Prüfung klicken und erhalten das folgendes Bild.
Hier sehen Sie ein Problem und nachfolgende drei Links mit verschiedenen
Optionen. Bei dem ersten Link handelt es sich um die Problemlösung. Dieser
öffnet die Microsoft Homepage mit dem Artikel, welcher die Lösung des Problems
beschreibt. Sie können diesen Bericht exportieren, der Bericht erhält das
Format *.xlm.
Wartung
Je nach Auslastung des Servers und Größe der Datenbank empfiehlt es sich,
in regelmäßigen Intervallen Defragmentierungen und Backups mittels der
guten alten Methode des Skriptings durchzuführen, sowie das regelmäßige
Löschen der Spam-Mails, falls diese archiviert werden.
Das Defragmentieren mittels eseutil sollte nur in Verbindung mit einer
Sicherung der Datenbank durchgeführt werden, um einen möglichen Datenverlust
zu vermeiden. Das Defragmentieren der Datenbank ist notwendig, um Speicherplatz
zu sparen und eine schnelleren Zugriff innerhalb der Datenbank zu gewährleisten.
Leider sind die Informationen in der Knowledge Base hierzu teilweise etwas
verwirrend, aber hat man einmal sein Skript erstellt, kann man es immer
und überall verwenden.
Getreu dem Motto "doppelt hält besser" sollte eine zusätzliche tägliche
oder wöchentliche Sicherung der Postfächer und Öffentlichen Ordner über
ntbackup durchgeführt werden, da die Defragmentierung mittels eseutil
nur offline durchgeführt werden kann und deshalb nicht so häufig zum Einsatz
kommt.
Ebenfalls sollten regelmäßig automatische Windows Updates durchgeführt
werden, um den Server am neuesten Stand zu halten. Dieses lässt sich ja
schon seit geraumer Zeit komfortabel über die GPOs für Server und Clients
bewerkstelligen.
Generell empfiehlt es sich, einen Zeitplan zu erstellen, bei dem die verschiedenen
Tasks für Backup, Update, und Defragmentierung von Platten und Datenbanken
zeitlich aufeinander abgestimmt sind, damit es nicht zu Komplikationen
im System (eventuellen Neustarts) kommt.
Zusammenfassung
Der Exchange Server lässt sich im Gegensatz zu seinen Vorgängern unkompliziert
und ohne großes Vorwissen installieren und läuft nach eigener Erfahrung
sehr stabil. Der Webzugriff ist voll funktionstüchtig und ermöglicht den
Benutzern den Zugriff auf ihre Postfächer von überall aus. Nach der Einrichtung
der Wartungsskripts wird die Sicherung und Defragmentierung automatisch
durchgeführt und somit wird der administrative Aufwand auf ein Minimum
reduziert. Mit dem Systemmanager und der MMC für Active Directory hat man
einen komfortablen Überblick über die Benutzer und deren Postfächer. Negativ
ist nur anzumerken, dass, wenn man Tools einsetzt, die später in einem
Servicepack mitgeliefert werden, die Konfigurationen nicht übernommen werden.
Dies hat zur Folge, dass Administratoren, denen man empfohlen hat, diese
Tools zu verwenden, dann mit dem Einspielen des Servicepacks oftmals negative
Überraschungen erleben, da sie dann mit Beschwerden der User bombardiert
werden.
Im Großen und Ganzen ist der Microsoft Exchange Server 2003 SP2 besser
als sein Vorgänger und lässt in Zukunft Großes erwarten, vor allem in Bezug
auf den Sharepoint-Server. Vielleicht fällt Microsoft auch noch etwas zum
Thema "Schutz vor Viren und Würmern" ein!
1 Siehe http://nic.tuwien.ac.at/services/zertifikate.