Ist meine Umgebung bereit für Exchange 2010?

eine der wichtigen Fragen bei bestehenden Organisationen dürfte sein, ob Exchange 2010 einfach so in die vorhandene Struktur integriert werden kann. Die Microsoft Exchange Produktgruppe hat dazu ein Tool herausgebracht, welches in der Umgebung einige Parameter prüft. Das Tool heißt “Exchange Pre-Deployment Analyser”, kurz ExPDA. Der ExPDA ist hier als Download erhältlich. Falls nun jemand auf die Idee kommt und den deutschen Download dafür sucht (der Link zeigt auf die Englische Downloadseite), den gibt es leider nicht.

Der Expba gibt es momentan nur für die aktuelle Exchange Version 2010, wer testen will ob seine Umgebung für Exchange 2007 bereit ist muß auf den aktuellen Expba 2.8 und das letzte Update dafür zurückgreifen.

Mehr Infos zu diesem Tool und auch eine Emailadresse für Fragen stellt das Exchange Team in einem aktuellen Blogbeitrag zur Verfügung.

 

Viele Grüße

 

Walter Steinsdorfer

Microsoft, Exchange 2010 und die Datensicherungsstory

Als das Exchange 2010 – Marketing so langsam ins Rollen geriet kam die Geschichte von Exchange-Umgebungen ohne Backup auf. Desöfteren habe ich gelesen, noch öfter gehört, das man lt. Microsoft kein Backup mehr für Umgebungen mit einer Database Availability Group benötigt. ich war Anfangs sehr erstaunt über die Häufigkeit mit der diese Aussage getroffen wurde. Tatsächlich ist es aber möglich eine Exchange Umgebung ohne Backup zu betreiben, allerdings nur unter sehr engen Rahmenbedingungen. Microsoft hat zu Backup, Restore und Disaster Recovery eine Seite im Technet eingerichtet.

Eine der Rahmenbedingungen ist es, mindestens 3 Kopien einer Datenbank innerhalb der DAG zu verwalten, eine davon über einen gewissen Zeitraum gelagged (d.h. die Daten in den TA-Logs werden übertragen aber nicht in die Datenbank eingearbeitet, d.h. der Rollforward wird um den eingestellten Zeitraum verzögert.). Auf diese Kopie darf aber dann wirklich nur im Disasterfall zugegriffen werden, da die Onlineschaltung das sofortige Einspielen der Log-Dateien bewirken würde und der “Sicherheitszeitraum” wäre dahin. Sollten Sie eine derartige Umgebung einrichten holen sie sich an dieser Stelle Rat von einem erfahrenen Experten.

Eine weitere Bedingung ist das die Datenbanken auf Circular Logging eingestellt werden müssen. Ohne Backup erfolgt ja kein Abschneiden der Transaktionsprotokolle, auch die größte Festplatte wäre irgendwann voll.

Möchte man kein Backup mehr machen auf das man im Bedarfsfall zurückgreifen kann muß man natürlich zuallererst darüber nachdenken, wie lange auf Daten, insbesondere diejenigen welche vom Benutzer gelöscht werden noch zugegriffen werden muß. Es bietet sich an dafür das in Exchange 2010 eingebaute “Single Item Recovery” zu nutzen. Der Einwand “Die Datenbanken werden ja dann riesig” verstehe ich. Doch genau dafür ist Exchange 2010 ja ausgelegt, bis zu 2 TB große Datenbanken werden supportet. Da man davon 100 pro DAG-MailboxServer haben kann, ist es eine reine Kostenfrage. Und Festplatten werden ja bekanntlich immer preiswerter, 1TB ist schon für unter 80 EUR zu bekommen.

Also: Exchange 2010 ohne Backup zu betreiben geht. Allerdings in engen Grenzen. Zu beachten sind natürlich auch die jeweils im Land geltenden Vorschriften für Datenarchivierung sofern man darunter fällt.

Viele Grüße

 

Walter Steinsdorfer

RU 1 für Exchange auf Deutsch

Durch eine Anfrage in der Newsgroup bin ich drauf gekommen, das es für das RU 1 von Exchange 2010 keinen deutschen Downloadlink gibt. In meinem ersten Beitrag dazu habe ich auf den KB-Artikel verwiesen. Da ich überwiegend Englische Server installiere ist mir nicht aufgefallen das auf der deutschen Seite des KB-Artikels (die KB-Artikel kann man auf der Rechten Seite in verschiedenen Sprachen anzeigen lassen) auf die Englische Downloadseite verweist. Normalerweise kann man an dieser Stelle ganz einfach in der Adresszeile des Browsers das en durch de ersetzen und man kommt zum deutschsprachigen Download. In diesem Fall führt das leider ins Nirwana (Page not found).


Das “englische” RU 1 ist jedoch sprachneutral und lässt sich auch auf deutschen oder französischen Exchange 2010 Servern installieren.


Happy Patching


Viele Grüße


 


Walter Steinsdorfer

Exchange 2010 und der Single Instance Store

Ross Smith IV aus der Exchange Produktgruppe hat in einem Blogposting auf der MSExchangeteamseite genau erklärt warum es unter Exchange 2010 keinen Single Instance Store mehr gibt. Der Artikel erklärt sehr anschaulich das man die für große Postfächer notwendige Performance nur dadurch gewinnt, zeigt auch den historischen Hintergrund auf und geht ein wenig darauf ein warum der SIS ab und zu Überbewertet wird.


Viele Grüße


 


Walter Steinsdorfer

Rückflug vom MVP Summit im fast leeren Flieger

ich bin gerade in FFM aus einem fast leeren Flugzeug aus Seattle ausgestiegen. Ich saß am Ende einer 4er Reihe mit jeweils 4 Sitzplätzen in Reihe, d.h. 16 Plätze. Von den 16 Plätzen waren 5 Plätze belegt, d.h. ich hatte die drei Plätze neben mir frei (und konnte ziemlich lange schlafen!).

Warum mit dem Flieger so wenige geflogen sind? In Seattle haben 2 nette Stuardessen gewartet und alle Umgebucht die in Frankfurt einen bestreikten Lufthansa – Anschlußflug gehabt hätten. Einige sind wohl mit Air France geflogen. Der Flieger nach München sollte ursprünglich fliegen, leider wurde erst kurz vor der Landung bekannt gegeben das auch dieser Flug gestrichen wurde.

Viele Grüße

 

Walter Steinsdorfer

Exchange CAS in der DMZ?

Es kommt öfters vor das es Fragen zu CAS-Servern in einer DMZ gibt. Gleich vorweg: Dieses Scenario ist nicht supportet von Microsoft. Warum das auch ganz gut so ist werde ich im folgenden ein wenig erläutern.


Die DMZ


Eine DMZ oder auch “demilitarisierte Zone” (siehe Wikipedia) hat den Sinn interne wichtige Dienste von denen die der Öffentlichkeit zugänglich gemacht werden sollen, also zum Beispiel Email oder Webseiten, zu trennen. Dadurch wird ganz enorm die Angriffsfläche für Hacker verringert.


Die Rolle Client Access Server von Exchange


Die CAS-Rolle ab Exchange 2007 ist für die Veröffentlichung des Mailboxzuganges für Outlook Web Access / Outlook Web App, Imap – Clients, POP3 – Clients und auch Active Sync Verbindungen zuständig. Ab Exchange 2010 kommt noch der Zugriff aller Outlook Benutzer hinzu. Um den Zugriff von extern zu ermöglichen scheint es im ersten Augenblick eine gute Idee zu sein die Rolle des CAS-Servers in einer DMZ unterzubringen. Ein Hacker der dort eindringt hätte in der Theorie keinen direkten Zugang zu anderen Daten. Leider ist nicht nur diese Theorie falsch sondern die nachfolgenden Abhängikeiten führen die eingerichtete DMZ “ad absurdum”.


Der CAS in der DMZ, ein Widerspruch in sich


Die Exchange CAS-Rolle veröffentlicht zwar nach extern nur Port 443, mit dem Server der die Mailboxrolle innehat wird jedoch über Mapi kommuniziert. Dieses Protokoll verwendet RPC (Remote Procedure Call). RPC funktioniert so das auf dem Zielport 135 die Kommunikation gestartet wird und dann ein oder mehrere hohe Ports für die weitere Datenübertragung genutzt werden. Möchte man nun den CAS-Server in die DMZ stellen müsste man in Richtung Mailboxserver alle Ports öffnen. Die DMZ wäre damit dahin. Die Beschränkung der Ports ist zwar möglich, jedoch nur in Richtung Client supportet, nicht in Richtung des Mailboxservers (der wiederum auch mittels MAPI/RPC mit dem Server mit der CAS – Rolle kommuniziert).


Weiterhin muß der CAS – Server auch Mitglied eines Active Directory Forests bzw. einer Domäne sein. Auch hier wird RPC zur Kommunikation teilweise verwendet.


Eine Idee wäre noch alle Server in der DMZ mit IPSec anzusprechen. Für die Tunnelung über den IPSec – Port müsste jedoch zuerst einmal ein Kerberos Ticket eines DC´s erstellt werden (über RPC). Weiterhin wäre die Verschlüsselung noch mit Klartextpasswort (das will in der DMZ wahrscheinlich niemand einrichten) oder per Zertifikat möglich. Hier ergeben sich jedoch wieder andere Problemstellungen und IPSec zu überwachen bzw. im Fehlerfall das Problem zu lösen ist nicht so einfach.


Was passiert wenn der Server mit der CAS – Rolle von einem Hacker übernommen wird?


Der Hacker hätte bei der Übernahme des Servers mit der CAS – Rolle sofort Zugriff auf die Komplette Domäne. Der Grund dafür ist das die Exchange-Server weitgehende Rechte brauchen um die Objekte in der Domäne verwalten zu können (Beschreiben des Accounts mit verschiedenen Attributen wie Mailbox, SMTP-Adressen etc.). Ein solche Übernahme sollte recht selten sein, die Veröffentlichung über Port 443 ins Internet ist sehr ausgereift. Die DMZ trägt hier allerdings überhaupt nicht zum Schutz bei, die Installation der CAS Rolle sorgt eher für ein Aufweichen der DMZ. Mit der entsprechenden Firewall (ISA, TMG) kann auch die Terminierung auf diese Geräte gelegt werden und ein zusätzlicher Sicherheitsfaktor eingebaut werden. Wichtig in diesem Zusammenhang ist noch das OWA möglichst nur von vertrauenswürdigen Computern benutzt wird. Wer weiß schon ob nicht in Internetcafes oder sonstigen öffentlich zugänglichen Terminals Hard oder Software Keylogger installiert sind. Diese würden alle Tastatureingaben aufzeichnen, ein böswilliger Mensch wäre äußerst schnell mit den Rechten des Benutzers in der Domäne angemeldet. Hoffentlich hatte der dann keine Domänenadminrechte…


Hier noch einige Anmerkungen der Exchange Teams zu dem Thema.


Happy secure Computing ;-)


 


Walter Steinsdorfer

Outlook die Kommunikationszentrale

LinkedIn hat als erster Anbieter einen Connector für Outlook 2010 herausgebracht. Dieser Connector ermöglicht es sich beim erhalt einer Email autmatisch zu LinkedIn zu verbinden und die Neuigkeiten des Kontaktes in LinkedIn direkt in Outlook zu betrachten. Eigentlich eine sehr nützliche Sache, wenn nicht auf einigen Rechnern nach der Installation Outlook andauernd abstürzen würde. Microsoft hat heute dazu eine Stellungnahme herausgebracht die die Lage erklärt. Hier gehts zum Blogartikel von Microsoft. Bitte nicht abschrecken lassen, in Kürze wird es auch Konnektoren zu Facebook und mySpace geben. Endliche muß man nicht mehr mehrere Stellen besuchen um Kontaktpflege zu betreiben.

Für Facebook gibt es übrigens auch eine Silverlight (Version 4 Beta) Anwendung die ganz nett funktioniert.

 

Viel Spass beim Netzwerken

 

Walter Steinsdorfer