de-DEen-GB
rss

Granikos Technology Blog

Letzte Aktualisierung: 2020-02-16

 

Der Edge Server, oder besser gesagt die Edge Rolle, wurde mit Exchange Server 2007 eingeführt. Zu der Zeit war es State-Of-The-Art Protokollverbindungen aus dem Internet im Perimeter Netzwerk enden zu lassen und dies bevorzugt auf Servern, die keine Mitgliedsserver einer internen Active Directory Domäne des Unternehmens sind.

Das Exchange Produktteam hat dieser Anforderung mit der Edge Rolle Rechnung getragen. Mit der Produktveröffentlichung erschienen auch die ersten Best Practice Anleitungen, wie das Deployment mit Edge Servern optimal zu gestalten war. Aufgrund der technischen Anforderungen (z.B. Zuordnung von Edge Servern zu einer AD-Site mit Hub Servern) und einer erst zögerlichen Verbreitung von virtualisierten Exchange Systemen, wurden Edge Server hauptsächlich in größeren Exchange-Umgebungen implementiert.

Seit Einführung der Edge Rolle gibt es immer wieder Diskussionen zwischen den Messaging-Administratoren, die sich die zusätzliche Komplexität der Exchange Umgebung sparen möchten, und den Security-Administratoren, die keine direkten Verbindungen aus dem Internet zu internen Systemen (in diesem Fall Hub Server) zulassen möchten.

Der ganz entscheidende Vorteil des Edge Servers liegt darin, dass er kein Mitgliedsserver einer Domäne ist. Die notwendigen Information über interne Empfänger, deren Block- und Allow-Listen werden in einer AD LDS Instanz verschlüsselt gespeichert. Aktualisierungen werden durch Edge-Sync von internen Servern zum Edge Server verschlüsselt gepusht.

Mit Exchange Server 2010 hat Microsoft schon beim RTM-Release die Edge Rolle in einer neuen Version bereitgestellt. Jedoch wurde der Funktionsumfang nicht wesentlich erhöht, da die primären Funktionen weitgehend unverändert blieben:

  • E-Mail Filterung
  • Anti-Spam & Anti-Virus
  • Dedizierte Konnektoren zu Partner Unternehmen
  • Konnektoren mit Domain Validation
  • Konnektoren mit Domain Secure, zeigt in Outlook einen grünen Haken, dass eine Nachricht über eine besonders gesicherte Verbindung empfangen wurde
  • Integration mit Office 365 
  • Delayed Acknowledge bei eingehenden E-Mails, um im Rahmen der Shadow Redundancy eine die Hochverfügbarkeit im Nachrichtenfluss zu garantieren

Einige dieser Funktionen können natürlich auch mit Hilfe von entsprechen konfigurierten Konnektoren direkt auf Hub Server umgesetzt werden. Dem reinen Nachrichtenfluß tut dies keinen Abbruch. Jedoch stellt sich wieder die Frage der Sicherheit. Manche Administratoren halten die Protokollinspektionen durch Firewalls (ohne hier Namen zu nennen), für gut und ausreichend.

Mit Exchange Server 2013 hat Microsoft es versäumt die Edge Rolle mit der RTM Version bereitzustellen. Stattdessen konnte man Exchange 2013 mit Edge Servern der Version 2007 oder 2010 betreiben (siehe Link). Diesen "gemischten" Betrieb unterschiedlicher Exchange Versionen wollte aber niemand wirklich durchführen. Mit Exchange 2013 SP1 wurde, neben anderen Funktionen, auch die Edge Rolle in Exchange 2013 wieder verfügbar und die Anzahl der verfügbaren Rollen wieder auf drei erhöht.

Brauchen wir heute noch die Exchange Server Edge Rolle?

Meiner Meinung benötigen wir sie auch heute noch. Mit der Edge Rolle im Perimeter Netzwerk werden definierte Endpunkte, sowohl für ausgehen, als auch eingehenden Nachrichtenverkehr, bereitgestellt. Diese zentralen Endpunkte bietet gerade beim Troubleshooting des Nachrichtenflusses einen sicheren Startpunkt für Administratoren. Während man mit zwei Edge Server im Perimeter-Netzwerk eine gute Redundanz für den Nachrichtenverkehr bereitstellt, können due Hub Transport Server im internen Netzwerk nach Bedarf skaliert werden. Einschränkungen durch die Systemanforderungen gibt es keine, da sich reine Transport-Server hervorragend virtualisiert betreiben lassen.

Ein ganz entscheidender Vorteil beim Einsatz von Edge Servern ergibt sich aber gerade bei Unternehmenszusammenschlüssen. Solche Situationen sind immer dadurch gekennzeichnet, dass möglichst schnell und allumfassend eine neue E-Mail Domäne extern sichtbar wird und ohne große technische Probleme umgesetzt werden kann. Hier treffen die Wünsche der Marketingabteilung auf die Widerstände der IT-Abteilung. Mit einem Edge Server aber kann schnell und einfach mit Hilfe der Adressumschreibung auf solche Anforderungen reagiert werden.

Auch in der heutigen Zeit gibt es ausreichend gute Gründe für den Einsatz der Exchange Edge Server Rolle. Setzen Sie auch die Exchange Edge Rolle in Ihrer Messaging Umgebung ein.

Hinweis
Auch Exchange Server 2016 und Exchange Server 2019 enthalten die Edge Transport Rolle. Technisch ist die Funktionsweise der Edge Transport Rolle unverändert.

Gerade im Hinblick auf den hybriden Betrieb einer lokalen Exchange Organisation mit Exchange Online und Verwendung des zentralisieren Nachrichtenverkehrs (Centralized Mail-Flow) ist die Nutzung der Edge Transport Rolle unverzichtbar. 

Mehr zu diesem Thema finden Sie in meinem Buch "Microsoft Exchange Server 2019. Das Handbuch für Administratoren", erschienen im Rheinwerk Verlag.

 

Links

 

Gerne helfen wir bei der Planung und Umsetzung Ihrer Exchange Server Umgebung. Sprechen Sie uns an: info@granikos.eu.

 

 

 

Weiterlesen »

Asaf Kashi, Group Program Manager des Office 365 Information Protection Teams, zeigt in einem Video aus der "From Inside the Cloud" Serie, welche Technologien angewendet werden, um Kundendaten während der Datenübertragung innerhalb von Office 365 zu schützen. Ergänzend wird darauf eingegangen, welche Methoden Kunden zur Verfügung stehen, um Daten zu schützen und Datenverlusten vorzubeugen.

http://blogs.office.com/2014/10/09/inside-cloud-controls-provide-protect-data-transit-office-365

Die weiteren Videos der Serie von Perry Clarke, Vivek Sharma und Kamal Janardhan gaben bereits einen Überblick über die Aspekte Sicherheit, Privatsphäre und Compliance in Office 365.

Office zu jeder Zeit, an jedem Ort: http://www.office365.de


 Haben Sie Fragen zu Office 365 und den Möglichkeiten, die Office 365 Ihrem Unternehmen bietet? Kontaktieren Sie uns: info@granikos.eu

Granikos GmbH & Co. KG - Commerce Solutions + Enterprise Services

Weiterlesen »

In einem Video (EN) zeigen wir Ihnen, wie die Auswertungen und Berichte von COMPASS dazu betragen, die Sicherheit in Ihrer Active Directory Umgebung zu erhöhen.

Kostenloser 21-Tage Test und weitere Informationen: http://www.granikos.eu/de/Compass

  Weiterlesen »

"Zu wissen, was man weiß, und zu wissen, was man tut, das ist Wissen."

Seit den Zeiten von Konfuzius ist dies eine der Maximen über Wissen an sich und hat auch seine ganz eigene Bedeutung in der heutigen IT und dem strategischen Betrieb von komplexen und sicheren IT-Umgebungen.

Die größte Gefahr in jeder IT-Umgebung ist somit das Unwissen. Nach der Identifikation eines Problems und dem Finden der Ursache, verbleibt nur das Auffinden von technischen Ressourcen, um das Problem zu beseitigen. Um das zu erreichen und um die organisatorischen Geschäftsanforderungen voranzutreiben, benötigen Unternehmen eine intelligente Sicht auf das große Ganze. Oder ganz einfach: Enterprise IT ist auf solide Berichterstattung angewiesen.

Es gibt im IT-Portfolio eines Unternehmens keine Dienstleitung, die ähnlich wichtig ist, wie E-Mail (ergänzt durch Exchange und Active Directory Datenbanken). Für die meisten Unternehmen ist E-Mail die wichtigste Kommunikationsart und damit die Lebensader für einen erfolgreichen Betrieb. Leider übersehen viele IT-Verantwortliche wichtige E-Mail bezogene Themen, die sich auf die Produktivität, betriebliche Effizienz und letztlich auf die Rentabilität des Unternehmens auswirken. Zahlreiche Herausforderungen, wie Ausfälle und Service-Optimierungen, Sicherheitswarnungen und Speicherengpässe, wirken sich in ganzer Linie auf den Betrieb des Unternehmens aus. Ohne messbare KPIs für solch kritische Applikationen versuchen Unternehmen eine große Unbekannte zu verwalten. Sie fliegen sozusagen blind.

Im Fall von Exchange muss eine Berichterstattung drei Themenbereiche abdecken, um einen produktiven und effizienten Betrieb zu unterstützen:

  • Sicherheit / Compliance
  • Operative Konsistenz
  • Sichere Finanzplanung

Eine Berichterstattung über Exchange ist kein monolithisches Gebilde, vielmehr erfordert eine produktive Berichterstattung unterschiedliche Detailierungsebenen, um alle notwendigen Informationen für schnellere und bessere Entscheidungen bereitzustellen. Zum Beispiel ist für einen CIO nicht von Vorteil, wenn er Kenntnis darüber hat, dass ein bestimmter Benutzer das Postfachlimit überschritten hat. Diese Information ist für Service-Desk Mitarbeiter viel sinnvoller. Die generelle Information aber, wie viele Nutzer das Limit überschritten haben, hilft bei der strategischen Planung und Budget-Entscheidungen für die IT-Infrastruktur.

Mit Hilfe einer Rollen-basierten Berichterstellung erhalten die Mitglieder einer Rolle genau die Informationen, die sie für Ihre speziellen Aufgaben benötigen. Dies vereinfacht zum einen die Arbeit der Mitarbeiter selber und stellt zum anderen sicher, dass keine unnötigen oder unerlaubten Daten im Zugriff sind.

Ein weiteres Problem heutiger Berichterstattung in der IT ist, dass zahlreiche Berichte automatisch erstellt und per E-Mail an unterschiedliche Empfänger zugestellt werden. Dort werden sie meist durch Postfachregeln automatisch in Unterordner sortiert und harren dort aus, um gelesen zu werden. Die Informationen sind zum Zeitpunkt des Lesens bereits wieder veraltet und stellen nur einen alten, bereits vergangenen, Betriebszustand dar, und nicht den aktuellen Betriebszustand.

Jenseits dieser eher abstrakten Darstellungen folgen nun zwei reelle Anwendungsbeispiele:

Was ist mit der Identifizierung fragwürdiger Aktivitäten?


Exchange Auswertungen helfen dem Service-Desk Mitarbeiter fragwürdige IP-Adressen zu identifizieren, die auf Nutzerpostfächer zugreifen, und dies auf eine Block-Liste zu setzen. Exchange Administratoren können abgelaufene und ungenutzte Benutzerkonten (eine Spielwiese für Malware und Sicherheitsbrüche) identifizieren und deaktivieren oder löschen. Die HR Abteilung kann nachverfolgen, ob bestimmte Benutzer gegen Unternehmensrichtlinien verstoßen. Und der CIO kann sicherstellen, dass alle Sicherheitsinitiativen den rechtlichen Vorschriften entsprechen.

Wie hilft das Wissen über die Speicherkapazitäten bei der Umsatzgenerierung des Unternehmes?

Stellen Sie sich vor, Ihr Verkaufsteam kann eine wichtige Verkaufspräsentation oder eine wichtiges und vertrauliches Angebot nicht zum Kunden senden, da das Postfachlimit des Teams erreicht ist. In dem Fall erfolgt sicher eine umgehende interne Eskalation, die durch ein pro-aktive Überwachung und Berichterstattung vermeidbar gewesen wäre. Solche Situationen sind für alle Beteiligten nervenaufreibend und unnötig. Mit dem Wissen über die aktuellen Speicherkapazitäten und -limits kann schon im Vorfeld solcher Situationen eingegriffen werden und das Verkaufsteam bleibt produktiv.

Nachfolgend wird anhand von Anwendungsbeispielen gezeigt, die personalisierte Berichterstattung helfen kann:

  Service-Desk Mitarbeiter IT Abteilungsleiter HR Abteilungsleiter Exchange Administrator CIO
Sicherheit

Erkennung, Blockierung, Quarantäne von E-Mails aus fragwürdigen Quellen

Nutzungs- und Zugriffkontrolle (z.B. BYOD) und Einhaltung von Unternehmensrichtlinien Unterscheidung zwischen rechtmäßiger Unternehmensnutzung und missbräuchlicher Nutzung durch Anwender

Überwachung von ungewöhnlichen Nutzeraktivitäten, wie z.B. unberechtigter Zugriff auf Postfächer der Unternehmensleitung

Reduzierung von Sicherheitslücken durch Löschung von alten oder ungenutzten Benutzerkonten

Identifikation von möglichen Sicherheitsrisiken und damit Hilfe beim Schutz geistigen Eigentums

Durchsetzung von Richtlinien mit Hilfe von Active Directory Einstellungen

Sicherstellung des IT-Betriebes im Rahmen der Compliance

Ausarbeitung von Zugriffs- und Sicherheitsrichtlinien, basierend auf aktueller Exchange-Auslastung

Betrieb

Benachrichtigung von Anwendern, vor dem Erreichen des Postfachlimits

Löschen von inaktiven Postfächern, um CALs und Speicherplatz besser auszunutzen

Identifikation von anormal anwachsenden E-Mail-Warteschlangen, bevor größere Probleme entstehen

Troubleshooting und Diagnose

Erkennung von Nutzungsmuster, die sich negativ auf den laufenden Betrieb auswirken können (z.B. Nutzungsspitzen) oder die generelle Performance beeinträchtigen

Genehmigung notwendiger Ressourcen, um die Produktivität sicherzustellen Auditierung und Kontrolle des Lifecycle Managements der Hardware

Hilfe bei der Entwicklung von Standards und Nutzerrichtlinien

Reaktion auf kritische Betriebszustände (Plattenplatz, Prozessor- und Speicherauslastung), um Störungen des laufenden Betriebs zu vermeiden

Erleichterung der Betriebsplanung, Ausführung von Archivierungsrichtlinien und die Verfeinerung von Backup Prozessen

Verständnis der Ressourcennutzung und die Abhängigkeit zwischen Nutzungsverhalten und Produktivität

Einhaltung von Service Level Agreements

Planung

 

Kenntnis über die Speichernutzung und Planung von notwendigen Erweiterungen

Kenntnis über das Service-Desk Last-Aufkommen

 

Verwaltung der Speicherkapazitäten, Serverressourcen und anderer zugehöriger Kosten

Detailliertes Verständnis der Kosten- und Nutzungsstrukturen

Begründung von Budgetanforderungen für notwendigen Erweiterungen durch Chargeback-Berichte für jede Abteilung

 

Die meiste Unternehmen haben nur eine begrenzte Anzahl an Mitarbeitern zur Verfügung, die sich um mit dem stetigen Wandel der IT-Anforderungen mitzuhalten. Die Menge an E-Mail Datenverkehr und die Postfachgrößen selber werden weiter wachsen. Berichtssysteme selber werden dieses Probleme nicht lösen, sie helfen aber, die notwendigen aktuellen Informationen den richtigen Personen zum richtigen Zeitpunkt zur Verfügung zu stellen.

Mit den richtigen Informationen können Sie neue Anschaffungen für den sicheren Betrieb Ihrer Exchange Infrastruktur auch detailliert begründen.

Möchten Sie mehr darüber erfahren, wie Mailscape Ihnen dabei helfen kann die Lücken über das Wissen in Ihrer Umgebung zu schließen?

http://www.granikos.eu/de/Mailscape
 

Weiterlesen »