Die Aktivierung der Kerberos Authentifizierung für Exchange Server 2013/2016 wird in diversen Artikeln im Internet beschrieben. In diesem Blogartikel geht es heute um ein Phänomen, das mir in einer Exchange Server 2013 Umgebung (8 Server DAG) begegnet ist.
Alle Outlook 2010 Clients verwenden OutlookAnywhere für den Exchange Server Zugriff aus dem internen Netz. MAPI over Http ist sowohl auf der Organisationsebene als auch auf Postfachebene deaktiviert, da noch ein Problem mit der Kompatibilität einer Drittanbietersoftware existiert.
Nach der Aktivierung der Kerberos Authentifizierung verwenden alle Outlook Clients weiterhin nur die NTLM Authentifizierung, um sich am OutlookAnywhere Endpunkt anzumelden. Und dies, obwohl die Schritt-für-Schritt Anleitung aus dem TechNet befolgt wurde. Kerberos war für die Outlook Clients kein Thema.
Ein Blick in die Übersicht des Outlook Verbindungsstatus (Strg + Rechter Mausklick auf des Outllok Symbol im System Tray) zeigt die Verwendung von NTLM.
Die Umstellung der Authentifizerung auf Kerberos für OutlookAnywhere erfolgt auf jedem CAS Server über das folgende PowerShell Cmdlet:
Get-OutlookAnywhere -Server CASSERVER | Set-OutlookAnywhere -InternalClientAuthenticationMethod Negotiate
Alle acht Exchange 2013 Server boten auch nach gebotener Zeit keine Nego Authentifizierung an. Die Überprüfung der OutlookAnywhere Konfiguration mit Hilfe der PowerShell zeigte die korrekten Konfigurationswerte. Aber was nun?
Ein Kontrolle der Authentifizerungseinstellungen für das \Rpc virtuelle Verzeichnis der Front End Website in der IIS Management Console zeigte, dass das virtuelle Verzeichnis nur für NTLM konfiguriert war.
Mit Hilfe der IIS Management Console wurde der Negotiate Authentifizierungsanbieter hinzugefügt in der Reihenfolge der Anbieter an die erste Stelle gesetzt..
Nach Anpassung der Authentifizierungsanbieter in der Front End Wesbite können sich Outlook Clients mit Kerberos Authentifizerung an den OutlookAnywhere Endpunkt verbinden.
Im Normalfall sollte die IIS Management Console nicht für die Konfiguration der virtuellen Verzeichnisse einer Exchange Server INstallation verwendet werden. Die Anpassung der Konfigurationen mit Hilfe IIS MMC sollte nur im Troubleshooting-Fall verwendet werden, wenn einem unerklärliche Phänomene begegnen.
Die bevorzugte Methode zur Konfiguration von Exchange Server Einstellungen für virtuelle Verzeichnisse ist die Exchange Management Shell.
Weiterhin viel Spaß mit Exchange Server
Exchange Server ist ein sehr tolerantes Produkt und lässt sich in unterschiedlichste IT-Infrastruktur-Varianten installieren. Einige der möglichen Infrastruktur-Varianten sind gut geeignet für den Betrieb von Exchange Server, andere leider weniger gut. Daher ist es immens wichtig, bei der Planung einer Exchange Server Umgebung die notwendige Sorgfalt walten zu lassen.
Basis für die Planung einer Exchange Server Implementierung ist der Hauptgrundsatz für moderne Exchange Server Versionen:
Dieser Hauptgrundsatz wird, wie die Erfahunrg zeigt, leider allzu häufig ignoriert. Dieser Ignoranz wird in vielen Fällen dadurch Vorschub geleistet, dass Hard- und Software-Hersteller ihre ganz eigenen Hochverfügbarkeitslösung (HA) verkaufen möchten. Zu diesen Lösungen gehören sowohl HA-Funktionen von Hypervisor-Plattformen, aber auch, und dies viel häufiger, HA-Lösungsansätze von Storageanbietern.
Die Standardisierung einer Plattform wird nicht dadurch erreicht, indem eine unnötig komplexe Infrastruktur zum Standard erklärt wird, sondern das eine möglichst einfache Implementierung der Exchange Server Plattform zum Standard gemacht wird.
Unzählige Supportanfragen bei der Exchange Produktgruppe (PG) haben die Preferred Architecture Empfehlung über die Jahre reifen lassen. Sie ist daher keine spontan entstandene Empfehlung. Sie ist entstanden aus den Anforderungen und Kenntnisgewinnen im täglichen Betrieb der hochverfügbaren Cloudinfrastruktur von Exchange Online.
Sicherlich werden Sie nun einwenden, dass Sie keine Cloud-Plattform betreiben möchten. Sie dürfen nicht vergessen, dass eine moderne Exchange Server Version hochverfügbar betrieben werden möchte. Vergessen Sie daher nicht den Hauptgrundsatz für moderne Exchange Server Versionen ab Version 2013.
Auf der Microsoft Ignite Konferenz 2017 wurde in zahlreichen Vorträgen auf die Preferred Architecture Bezug genommen. Man konnte dem Eindruck erliegen, dass hier missioniert werden sollte. Am letzten Tag der Konferenz haben Boris Lokhvitsky und Robert Gillies eine sehr interessante Session zur richtigen Implementierung von Exchange Server gehalten. Hierbei wurde auch betrachtet, welche technischen Mindestanforderungen für eine Exchange Server Implementierung gelten und wie eine optimale Betriebsumgebung aussieht. Ein optimaler Betrieb einer On-Premises Implementierung folgt der Preferred Architecture. Ist dies nicht möglich sollte man sich für einen Wechsel zu Exchange Online entscheiden.
Das nachfolgende Diagramm verdeutlicht die unterschiedlichen Design-Optionen für eine Messaging-Plattform auf Basis von Exchange Server 2016.
Was bedeutet das nun im Detail für eine erfolgreiche Exchange Server Implementierung?
Was ist nun die viel zitierte Preferred Architecture und was bedeutet sie für eine erfolgreiche On-Premises Implementierung und den sicheren Betrieb von Exchange Server.
Die Preferred Architecture ist kein starres Gebilde. Vielmehr passt sie sich regelmäßig den technischen Gegebenheiten an. Zuletzt wurde z.B. die Empfehlung für den maximalen Arbeitsspeicher je Server von 96GB auf 192GB angehoben.
Nachfolgend werden die vier Bereiche der Preferred Architecture beschrieben. Ich empfehle aber dringend, immer auf den aktualisierten EHLO Blog Artikel Bezug zu nehmen und sich noch einmal mit der Exchange Server 2016 Architektur vertraut zu machen.
Die Preferred Architecture gliedert sich in die folgenden vier Bereiche:
Der Exchange Namensraum (Namespace) beschreibt die DNS Hostnamen, die erforderlich sind, damit sich Clients (z.B. Outlook, Browser oder mobile Endgeräte) mit den Exchange Servern verbinden können. Im Rahmen des Data Center Designs (s.u.) wird davon ausgegangen, dass diese Verbindungen auf zwei Standorte verteilt werden.
Bei der Planung der Exchange Server Namensräume (Namespaces) unterscheidet man zwischen gebundenen (bound) und ungebundenen (unbound) Namensräumen für Exchange Server in zwei Rechenzentren.
Bei einem gebundenen Namensraum besitzt jedes Rechenzentrum einen eindeutigen Namen für den Zugriff auf Exchange Server Client Access Services. Clientverbindungen erfolgen somit immer zu dem Rechenzentrum, in dem sich auch die aktive Datenbankkopie des angefragten Benutzerpostfaches befindet.
Bei einem ungebunden Namensraum verfügen die Rechenzentren über keine eigenen Namen für den Zugriff auf Exchange Server Client Access Services. Clientverbindungen werden bei jeder Anfrage durch den Load Balancer in eines der beiden Rechenzentren geleitet. Eine Ausnahme bilden hier die Office Online Server (OOS), die immer einen gebundenen Namensraum erfordern.
Das nachfolgende Beispiel für eine Preferred Architecture Namespace Design benötigt vier Namen:
Eine hochverfügbare und ausfallsichere Architektur erfordert den Betrieb von mindestens zwei Rechenzentren. Ob es sich nun um vollwertige und eigenständige Rechenzentren oder um lokale Serverräume in getrennten Brandabschnitte im gleichen Gebäude handelt, lasse ich hier bewusst offen. Die Anforderungen zur Verfügbarkeit von IT-Basisdiensten hängen schließlich nicht nur von einer Exchange Server Implementierung ab.
Eine wichtige Anforderung ergibt sich aber für den Betrieb des Active Directory in der Preferred Architecture.
Der über zwei Rechenzentren gestreckte Betrieb einer einzelnen Active Directory Site wird zwar technisch unterstützt, für die Preferred Architecture ist es aber empfohlen, dass jedes Rechenzentrum in einer eigenen Active Directory Site abgebildet wird. Die Gründe dafür sind:
In der Preferred Architecture werden alle Exchange Server mit Postfachrolle als physikalische Systeme betrieben. Die Hauptgründe hierfür sind:
Die physikalischen Server, die für eine Preferred Architecture Implementierung verwendet werden, haben keine allzu besonderen Anforderungen. Solch ein Standard-Server besteht aus:
Die weiteren Konfigurationen des Servers sind:
Um eine optimale Nutzung der Systemressourcen im ungebundenen Namensraummodell zu gewährleisten, werden die aktiven Kopien der Datenbanken gleichmäßig (symmetrisch) über alle Mitgliedsserver der Database Availability Group (DAG) verteilt. Die maximal 16 Mitgliedsserver einer DAG werden ebenfalls symmetrisch, mit einer geraden Anzahl an Servern je Rechenzentrum über alle Rechenzentren verteilt.
Durch mehr Mitgliedsservern in einer DAG wird eine bessere Redundanz und Nutzung der Ressourcen sichergestellt. Die Preferred Architecture sieht vor, dass eine DAG aus mindestens acht Mitgliedsservern besteht. Bei einem steigenden Ressourcenbedarf wird die DAG um weitere Mitgliedsserver erweitert.
In der Preferred Architecture benötigt Exchange Server für einen sicheren Betrieb nur eine einzelne Netzwerkschnittstelle. Diese Netzwerkschnittstelle wird ohne Teaming betrieben. Diese vereinfachte Netzwerkanforderung erleichtert den Betrieb und auch die Wiederherstellung im absoluten Fehlerfall. Eine separate Heartbeat-Netzwerkschnittstelle für die Cluster-Kommunikation ist nicht erforderlich.
Der Witness Server einer DAG gewährleistet das korrekte Verhalten der DAG bei einem automatischen Failover, sollte es zu einem Ausfall eines Rechenzentrums kommen. Im Idealfall wird der Witness Server an einem dritten Standort in einer anderen Active Directory Site platziert. Sollte kein dritter Standort zur Verfügung stehen, so kann der Witness Server auch in Microsoft Azure betrieben werden.
Was ist nun die richtige Exchange Server Architektur?
Wenn Sie der Preferred Architecture (Blauer Kreis) oder aber der Best Practice Empfehlung (Lila Kreis) folgen, können Sie einen sicheren Betrieb der E-Mail Plattform in Ihrem Unternehmen gewährleisten, ohne unnötige technische Risiken einzugehen. Jenseits einer Nutzung von Exchange Online stellen diesen beiden Design-Optionen das Optimum für einen zuverlässigen Betrieb dar. Je weiter Sie sich von der Preferred Architecture für Exchange Server entfernen, um so mehr steigt das Betriebsrisiko.
Wenn Sie den vollmundigen Produktversprechen von Drittherstellern für Speicherlösungen oder anderen faszinierenden Lösungen zur Hochverfügbarkeit von Exchange Server folgen, so verabschieden SIe sich in eine individuelle "funktioniert irgendwie" Implementierung. Tritt bei solch einer Implementierung ein Fehlerfall auf, so liegt das Problem nicht beim Produkt Exchange Server. Die Erfahrung hat leider gezeigt, dass in solchen Fällen immer von Unzulänglichkeiten in der Implementierung abgelenkt wird.
Als absolute Mindestempfehlung gilt eine Exchange Server Implementierung, die den Exchange Server Systemanforderungen und den Exchange Server Speicherkonfigurationsoptionen folgt.
Abkürzungen
Viel Spaß beim Betrieb von Exchange Server.
Auf der Microsoft Ignite 2015 Konferenz in Chicago wurden erste Informationen über Exchange Server 2016 veröffentlicht.
Es wurde klar artikuliert, dass keine Abkehr von On-Premise Versionen geplant ist. Die Anforderungen der Microsoft Kunden werden auch in der Zukunft On-Premise Versionen von Exchange Server erforderlich machen. Wie neue Funktionen ihren Weg in die On-Premise Version von Exchange finden, hat sich aber bereits mit Exchange Server 2013 geändert. Neue Funktionen werden zuerst in Office 365 (Exchange Online) entwickelt, bereitgestellt und stabilisert. Nachfolgend wird entschieden, ob eine Funktion den Weg in die On-Premise Variante von Exchange Server findet. Microsoft beschreibt diesen Weg als "Delivering Innovation".
Das nachfolgende Schaubild verdeutlicht diesen Prozess:
Jede Version von Exchange Server ging mit einer Änderung der Server Architektur einher. Mit Exchange Server 2016 lassen wir das mit mit Exchange Server 2007 eingeführte Konzept der Rollen fast komplett hinter uns. In Exchange Server 2016 exisitiert nur noch eine intere Rolle, der Mailbox Server. Hinzu kommt nur noch die Edge Rolle für den bereits bekannten Einsatz in der DMZ.
In der Mailbox Rolle sind nun alle Funktionen zusammengefasst, die in Exchange Server 2013 noch auf CAS und Mailbox aufgeteilt waren. Exchange Server 2016 nutzt eine tiefe Integration mit dem Office Web Apps Server, um in Outlook Web App 2016 eine direkte Bearbeitungsmöglichkeit für Office Dokumente anzubieten.
Die nachfolgenden beiden Schaubilder verdeutlichen die Architekturunterschiede zwischen Exchange Server 2013 und Exchange Server 2016.
Mit Exchange Server 2016 ergeben sich keine grundlegenden Änderungen für die Kommunikation von Clients zum Exchange Server. Clients verbinden sich weiterhin über einen Load Balancer mit dem "Proxy" Endpunkt. Im Gegensatz zu Exchange Server 2013 kann der Proxy-Layer aber nicht mehr auf dedizierte Server installiert werden. Die Separierung von CAS und Mailbox-Rollen wurde bereits in der Preferred Architecture für Exchange Server 2013 nicht mehr empfohlen.
Exchange Server 2016 arbeitet mit einem Proxy-Layer. Dieser ist jedoch in einem Building Block auf dem Server integriert.
Auch für die Konnektivität für Unified Messaging ergeben sich keine Änderungen. Verbindungen zum Proxy-Layer werden zum direkten UM-Endpunkt umgeleitet.
Die beiden nachfolgenden Schaubilder verdeutlichen die Unterschiede in der Client Konnektivität zwischen Exchange Server 2013 und Exchange Server 2016.
Was bietet Exchange Server 2016 jenseits der Veränderungen in der Architektur? Die großen Themenblöcke, die Microsoft mit Exchange Server 2016 besetzen möchte sind:
Unter dem Titel Better Collabiration soll durch die Integration von Exchange und SharePoint das Arbeiten mit Dateianhängen grundlegend verändert werden. Anstatt Office Dateien in unterschiedlichen Versionen per E-Mail zu versenden und so die Postfächer mit unnnötigen Daten zu füllen, sollen nur noch Links zu den entsprechenden Dateien versendet werden. Die Dateien werden hierzu in SharePoint bzw. OneNote for Business gespeichert. Die erforderlichen Berechtigungen zum Bearbeiten oder zur Ansicht werden für die E-Mail Empfänger automatisch vergeben. Dies ermöglicht den Anwendern, an einer Version des Dokumenten gemeinsam zu arbeiten. Diese Funktionen werden durch den Einsatz des Office Web Apps Servers ermöglicht.
Selbst mit externen Kommunikationspartnern ist solch eine Kollaboration möglich. Hier ergeben sich für Unternehmen aber auch neue Herausforderungen. Die Veröffentlichung der Funktionen und die Möglichkeit, dass externe Anwender Zugriff auf Dokumente erhalten können, erfordern eine detaillierte Planung der Infrastruktur und der notwendigen Konfigurationen.
Das nachfolgende Schaubild zeigt die erforderlichen Komponenten:
Die Nutzung des Posteinganges unterscheidet sich grundlegend in zwei Varianten:
Es existieren zahlreiche Ratgeber zum effizienten Arbeiten mit E-Mail und dem Posteingang. Leider gibt es nicht die eine Antwort und E-mail wird aus unterschiedlichsten Gründen noch ein lange Zeit der primäre Weg der digitalen Kommunikation sein.
Exchange Server 2016 versucht mit einem intelligenteren Posteingang das Arbeiten mit Outlook zu verbessern. Hierzu gehört eine Verbesserung bei den Suchergebnissen und Beschleunigung der Suche selber. Hinzu kommt eine bessere Unterstützung für Add-Ins in Outlook.
Die neue REST API von Exchange Server 2016 erleichtert die Entwicklung von einheitlichen Add-Ins für Outlook Add-ins mit Anbindung an Exchange On-Premise oder Exchange Online.
Weitere Verbesserungen sind:
Zu den OWA Verbesserungen gehören:
Durch den immer größeren Verbreitungsgrad von mobilen Endgeräten, erfolgt auch der Zugriff auf E-Mails immer mehr von diesen Geräten. Nach einer Studie von Experian erfolgten in Q3 2014 53% aller Zugriffe auf E-Mails von Telefonen oder Tablets.
Hier ist das Ziel, eine einheitliche Erfahrungswelt über alle Gerätetypen hinweg zu schaffen. Anstatt wie in der Vergangenheit unterschiedliche Exchange ActiveSync Clients auf mobilen Endgeräten zu haben, möchte Microsoft die einheitliche Outlook Erfahrung ermöglichen. Dies wird erreicht durch:
Exchange Server 2016 wurde für den Betrieb in modernen Datacentern entwickelt. Dieses Anspruch wird Exchange hauptsächlich durch die vereinfachte Softwarearchitektur und die vereinfachten Hardwareanforderungen erreicht. Die Preferred Architecture für Exchange Server 2016 setzt nicht auf komplexe Virtualisierung, sondern auf den Einsatz von einfachen Standardservern und JBOD als Speichermedium.
Exchange Server 2016 soll auf Standardhardware betrieben werden und so zusätzliche Single-Point of Failures vermeiden helfen.
Die Koexistenz mit Exchange Server 2013 ist einfacher zu implementieren als die Koexistenz in vorherigen Exchange Versionen. Grund hierfür ist einfach die starke Ähnlichkeit zwischen Exchange Server 2013 und 2016.
Die automatische Reparatur von Postfachdatenbanken erhöht die Verfügbarkeit und vermindert das Risiko von Datenverlusten. Dies wird erreicht durch "DB Divergence Detection", "Loose Trunctation" und den Einsatz des ReFS Dateisystems für Datenlaufwerke.
Für ein modernes Deployment von Exchange Server 2016 stehen der Betrieb einer DAG ohne adminstrativen Endpunkt und die Unterstützung von Azure File Share Witness zur Verfügung. Unternehmen, die noch ein klassisches Backup vewenden, werden von einer DAG ohne administrativen Endpunkt nicht profitieren können, da die Hersteller von Backup-Software sich mit dieser neuen Cluster-Variante (Funktion von Windows Server 2012 R2) schwer tun. Ebenso ist die Funktion eines Azure File Share Witness nicht für alle Unternehmen möglich.
Die Indizierung der passiven Postfachdatenbanken erforderte in der Vergangenheit immer eine Kommunikation mit der aktiven Kopie. Mit Exchange Server 2016 erfolgt die Indizierung nur direkt in der passiven Kopie, was zu einer Reduzierung des Datenverkehrs führt.
Exchange Server 2016 bringt neue Funktionen zur Data Loss Prevention, zur Auditierung und zu eDiscovery. Die Informationen und Funktionen von DLP Policies stehen nun nicht nur in Outllok zur Verfügung, sondern auch in anderen Office Client Produkten und in SharePoint. Hierdurch ergibt sich eine einheitliche Erfahrung für den Anwender. DLP Policies werden somit nicht erst beim Versenden von Nachrichten angewandt, sondern bereits beim versuchten Aufrufen von Dateien.
Das Auditierungsschema wurde in Anlehnung zu Office 365 vereinheitlicht. Dies erleichtert die Auswertung der Audit/Protokolldateien in einer Hybrid-Konfiguration. Ebenso wurden die Such- und Filterfunktionen verbessert.
Neue Öffentliche Ordner können nun auch auf In-Place Hold gesetzt werden.
Exchange Server 2016 bietet zahlreiche neue Funktionen und Verbesserungen bekannter Funktionen. Jedoch muss man auch die kommende Version von Exchange Server 2016 als Version 1.0 eines On-Premise Produktes sehen. Durch den mit Exchange Server 2013 eingeführten Deployment Zyklus von drei Monaten, müssen sich Unternehmen auf einen schnelleren Rolloutplan einstellen. Rein technisch wird alle drei Monate ein neues Produkt eingeführt. Interne Change Prozesse rund um Exchange müssen auf die neuen Anforderungen hin angepasst werden.
Exchange Server 2016 befindet sich sich gegenwärtig noch im geschlossen TAP Programm mit ausgewählten Kunden. Die öffentliche Beta-Phase für Exchange Server 2016 ist für den Sommer 2015 vorgesehen. Als geplanter Veröffentlichungstermin für Exchange Server 2016 ist Herbst/Winter 2015 vorgesehen.
Die Virtualisierung von Exchange ist nicht neu und war bereits seit Exchange 2003 mit VMware eine Option, obwohl es damals von Microsoft keine offizielle Unterstützung hierzu gab. Im Rahmen des Microsoft Server Virtualization Validation Program (SVVP) wurde die Virtualisierung von Exchange 2007 Service Pack 2 auf VMware ESX 3.5 Update 2 erstmal offiziell voll unterstützt.
Mit der Veröffentlichung von Exchange Server 2010 wurden alle Serverrollen (Unified Messaging ab Exchange 2010 SP1) auf allen SVVP validierten Hypervisor-Plattformen unterstützt. Die Unterstützung der Virtualisierung von Exchange Server 2010 wurde aber nur langsam adaptiert, da dies eine grundlegende Änderung im Design und der Architektur der Systeminfrastruktur mit sich brachte. Viele Systemadministratoren misstrauten der Virtualisierung und führten häufig die fehlende "Performance" als primären Grund an, sich gegen die Virtualisierung zu entscheiden. Interessant ist, dass "Performance" als genereller Begriff verwendet wurde (wird), um die Virtualisierung von Exchange Systemen abzuwenden. Die technologische Weiterentwicklung von Exchange und die stete Reduzierung der Anforderungen an Speichermedien in Bezug auf den erforderlichen Datendurchsatz, denn diese waren in der Vergangenheit der einzige Grund, sich gegen die Virtualisierung zu entscheiden, wird teilweise immer noch ignoriert.
Mit Exchange Server 2013 können alle Rollen problemlos virtualisiert werden und ermöglichen so eine optimale Ausnutzung der Hardware-Ressourcen in Ihrem Rechenzentrum.
Trotzdem ist es erforderlich, eine Exchange Umgebung korrekt und gewissenhaft zu planen und zu berechnen. Dies hat sich mit der Virtualiserungsoption für Exchange nicht geändert. Nur mit einer gewissenhaften Planung können komplexe Änderungen der Exchange-Landschaft zu einem späteren Zeitpunkt vermieden werden. Exchange Server 2013 besteht aus folgenden Serverrollen:
Die erfolgte Reduzierung von vier Serverrollen in Exchange 2007/2010, hin zu zwei Serverrollen, wenn wir die Edge-Rolle einmal als Sonderfall betrachten, erleichtert die Konzeption einer virtualisierten Exchange-Umgebung erheblich.
Wenn es um das Thema Virtualisierung von Enterprise-Applikation geht, einmal ganz ohne den Fokus Exchange, muss immer geklärt werden, wie die Hochverfügbarkeit (HA) der Applikation gewährleistet wird. Auf der einen Seite existieren HA-Funktionen in der jeweiligen Hypervisor-Plattform selber, auf der anderen Seite stehen die HA-Funktionen der Applikationen. Naiv gesehen könnte man annehmen, dass beides zusammen das Maximum an Hochverfügbarkeit bieten würde. Dies ist jedoch nicht der Fall.
Gerade für den Fall eines Support-Calls mit Microsoft ist es wichtig, dass Exchange in einer Konfiguration betrieben wird, die auch zu 100% unterstützt wird.
Für die Virtualisierung von Exchange Server 2013 gilt es Folgendes für einzelnen Systemkomponenten zu beachten
Exchange Server 2013 kann ebenso wie Vorgängerversionen als Multi-Role Server (Mailbox- und CAS-Rolle auf einem Server) oder als Single-Role Server (Mailbox-Rolle und CAS-Rolle auf separaten Systemen) installiert werden. So wie Exchange Rollen selber aufgeteilt werden können, können auch physische und virtuelle Systeme verteilt betrieben werden.
Natürlich können (sollten) auch die benötigten Load Balancer virtualisiert betrieben werden. Die möglichen Kombinationen mit den o.g. Exchange-Konfigurationen sind zahlreich und werden in diesem Artikel vernachlässigt.
Grundsätzlich gilt die Empfehlung, für das Sizing einer Exchange 2013 Umgebung (physisch oder virtuell), den Exchange 2013 Server Role Requirements Calculator zu verwenden. An diesem Tool führt kein Weg vorbei, wenn man eine verlässliche Aussage zu den Anforderungen für die Exchange Umgebung erhalten möchte. In den aktuellsten Versionen sind notwendige Berechnungskorrekturen für die Virtualisierung bereist enthalten. Microsoft geht von einem zusätzlichen Overhead durch den Hypervisor von 10% aus. VMware wiederum geht von ca. 2% bis 5% Overhead aus.
Wie bereits erwähnt, ist eine 1:1 Zuordnung von virtuellen CPU Cores zu physischen CPU Cores zu empfehlen, da dies die Umsetzung der kalkulierten Anforderungen in den laufenden Betrieb stark vereinfacht.
Microsoft hat empfiehlt beim Einsatz von Exchange Server (2010 und 2013) auf das Hyper-Threading der CPUs zu verzichten. Wichtig ist, dass Hyper-Threading CPUs nicht gleichzusetzen sind mit physischen CPUs. Als Hauptgrund wird angegeben, dass dies die CPU Planung unnötig verkompliziere. Als zweiter Grund wird die .NET Garbage Collection angeführt, die auf Basis der CPU Anzahl arbeitet und entsprechend Arbeitsspeicher allokiert. Durch Hyper-Threading wird allerdings unnötig viel Arbeitsspeicher für die Garbage Collection reserviert.
Im Rahmen einer Virtualisierung besteht das beschriebene Problem nicht im gleichen Ausmaß, wie in einer physischen Umgebung, da der VM eine feste Anzahl an Prozessoren zugeordnet ist. Dies bedeutet, dass Sie das für Ihre Umgebung passende Processor-Ratio finden müssen, wenn Sie nicht der 1:1 Zuordnung folgen möchte. Dies gelingt am besten, indem Sie mit einer 1:1 Zuordnung beginnen und mit einer System-Monitoring Lösung eine Baseline erstellen. Anschließend passen Sie die Prozessorzuordnung an und vergleichen die Auslastung- und Performancediagramme mit der Baseline.
Die nachfolgende Tabelle listet die Mindestanforderungen an Arbeitsspeicher für Exchange Server 2013
Dies sind die absoluten Mindestanforderungen. Ohne Verwendung des Role Requirements Calculators wird eine korrekte Planung für den performanten Betrieb von Exchange nicht gelingen.
Für einen Exchange Mailbox-Server mit 1000 Postfächern mit einem Anwenderprofil von 150 gesendeten und empfangenen Nachrichten pro Tag und einer Anforderung von 36MB Datenbankcache pro Postfach, benötigen Sie bereits mindestens 36GB Arbeitsspeicher. Ergänzend zum Role Requirements Calculator empfehle ich den Blog-Artikel "Ask the Perf Guy: Sizing Exchange 2013 Deployments" (http://bit.ly/PerfGuyExchange2013Deployments).
Ergänzend zu den Speicheranforderungen für Exchange Server 2013 müssen noch 4GB bis 8GB für das Betriebssystem addiert werden.
Für die Planung der Netzwerkverbindungen der virtuellen Systeme gelten die gleichen Anforderungen wie für physische Exchange Server. Exchange Server, die nicht Mitgliedsserver einer DAG sind, können mit einem einzelnen Netzwerkadapter konfiguriert werden. Mitgliedsserver einer DAG sollten immer mit zwei Netzwerkadaptern konfiguriert werden, um die Datenbankreplikation über ein separates Netz zu leiten und vom allgemeinen Zugriff auf die Postfachdatenbanken zu trennen. Der Einsatz von einzelnen Netzwerkadaptern ist zwar unterstützt, sollte sich aber auf Test- und Laborumgebungen beschränken.
Die physischen Netzwerkadapter im Host-System können durch Teaming ausfallsicher konfiguriert werden.
Das nachfolgende Beispiel zeigt, wie ein Exchange 2013 Mailbox Server, der Mitgliedserver einer DAG ist, und ein CAS Server nur durch VLANs getrennt an einem virtuellen Switch verbunden sind. Der virtuelle Switch ist durch NIC-Teaming im Hypervisor redundant mit der physischen Netzwerk Infrastruktur verbunden.
Mit der gleichen Exchange Server-Konstellation kann aber das DAG Netzwerk-Interface zur Datenreplikation über einen separaten virtuellen Switch, der über ein eigenes NIC-Interface im Hypervisor verfügt, mit einem dedizierten Replikationsnetzwerk verbunden werden.
Die zweite Konfiguration stellt sicher, dass die Datenreplikation in einem dedizierten physischen Netzwerk stattfindet. Jedoch erhöht dieser Lösungsansatz auch die Komplexität der Netzwerkinfrastruktur selber. Hinzu kommt, dass standardmäßig das MAPI Netzwerk als Backup für einen möglichen Ausfall des Replikationsnetzwerkes verwendet wird. Wenn Sie ausschließen möchten, dass das MAPI Netzwerk als Backup-Netzwerk verwendet werden kann, müssen Sie die Hochverfügbarkeit des Replikationsnetzwerkes sicherstellen.
In VMware Umgebungen empfiehlt es sich, immer den VMXNET3 Adapter für die virtuellen Maschinen zu verwenden, da der E1000 Adapter im Host-System nur CPU 0 für die Emulation verwendet. Die Nutzung des VMXNET3 Adapters bietet somit eine deutlich bessere Performance gegenüber dem E1000 Adapter.
Ganz unabhängig von der gewählten virtuellen Netzwerkkonfiguration muss immer sichergestellt werden, dass die Host-System sowohl in der Hardware-seitigen, als auch in virtuellen Netzwerkkonfiguration identisch konfiguriert sind. Die virtuellen Gast-Systeme können schließlich nur zwischen Hosts verschoben werden, die auch die notwendigen Ressourcen (virtuelle Switche, VM Port Groups, etc.) zur Verfügung stellen.
Die Bereitstellung des notwendigen Festplattenspeichers für virtualisierte Exchange Server 2013 Systeme bietet vielfältige Optionen. Die rein physischen Optionen, wie z.B. Bereitstellung von Raw LUNs, die in einem SAN Speicher konfiguriert sind, oder VMDK, VHD/VHDX Dateien im SAN oder im DAS, oder aber die direkte Einbindung der Datastore-Volumes per iSCSI im Gast-Betriebssystem selber, unterliegen den Möglichkeiten und Anforderungen Ihrer Unternehmensumgebung. Manchmal unterliegt die Auswahl des Speichermediums aber auch internen politischen Richtlinien, durch die bestimmt wird, dass ein "teurer" SAN Speicher verwendet werden muss, obwohl dies durch die Anforderungen von Exchange Server 2013 selber gar nicht mehr notwendig ist. Eines der Arguments für die Migration zu Exchange Server 2013 ist die Unterstützung von günstigen JBOD Enclosures, die sehr große Datenspeicher sehr günstig (im Vergleich zu klassischem SAN Speicher) bereitstellen können.
Hier muss eine sehr genaue Abwägung zwischen technischem Vorteil/Nutzen und dem zusätzlichen Aufwand und der zusätzlichen Komplexität in der Umgebung für Speichersubsysteme erfolgen. Es ist meist schwierig, die Einführung einer neuen Technologie nur mit den Anforderungen einer einzigen Applikation zu begründen. Es ist hilfreich zu prüfen, ob nicht auch andere Applikationen, die in naher Zukunft migriert werden sollen (z.B. von SharePoint 2010 auf SharePoint 2013), von dem neuen Speichermedium profitieren können. Eine stärkere strategische Ausrichtung hilft bei der Argumentation sehr.
Zusammenfassend kann man sagen, dass die Virtualisierung eine große Flexibilität im Sizing und im Betrieb einer Exchange Plattform mit sich bringt. Jedoch birgt eine Virtualisierung schnell auch Risiken. Dieses Risiken wirken sich nicht unbedingt auf den sicheren Betrieb von Exchange aus, sondern vielmehr auf die Reaktionszeit, also die Performance der Exchange Umgebung.
Grundsätzlich darf man aber nicht vergessen, dass gemessene Performance nicht gleichzusetzten ist, mit subjektiv gefühlter Performance. Insbesondere Endanwender sind sehr empfindlich und reagieren kritisch, wenn "Ihr" Outlook nicht in der gleichen Zeitspanne startet, wie "gestern". Ähnlich sieht es aus, wenn Nachrichten durch mangelhafte Ressourcenverfügbarkeit zu lange in einer Warteschlange verweilen, bevor sie zugestellt werden. Auch wenn Administratoren wissen, dass E-Mail (oder besser SMTP) ein Warteschlangen-basierende Kommunikation ist, ist dies Endanwendern meist nur sehr schwer zu vermitteln.
Viel Spaß bei der Virtualisierung von Exchange Server 2013.
Am 24. Juli 2018 wurde die Preview Version von Exchange Server 2019 veröffentlicht. Exchange Server 2019 ist eine Weiterentwicklung von Exchange Server 2016 und somit bereits die dritte Version moderner Exchange Server. Wie schon die Vorversionen profitiert auch Exchange Server 2019 von den Entwicklungen in Office 365. Naturgemäß werden wir aber nicht alle Funktionen, die Exchange Online bietet, in der On-Premises Variante von Exchange Server zur Verfügung haben. Ebenso können wir, wie die Erfahrung der letzten beiden Versionen gezeigt hat, davon ausgehen, dass mit der Veröffentlichung der RTM Version noch nicht alle angekündigten Funktionen im Produkt aktiv sind. Vielmehr wird der Funktionsumfang mit den nachfolgenden Kumulativen Aktualisierungen stetig erweitert.
Aber was hat uns Exchange Server 2019 anzubieten und warum sollte man auf die neue Version wechseln? Werfen wir einen Blick auf die Unterschiede zwischen Exchange Server 2019 und den Vorversionen.
Die wichtigste Neuerung in Exchange Server 2019 ergibt sich für den Betrieb des Produktes. Endlich ist es möglich, Exchange Server auf Windows Server Core zu betreiben. Durch den Verzicht auf eine Betriebssystemvariante mit grafischer Benutzeroberfläche (GUI) wird die potentielle Angriffsoberfläche stark reduziert. Ich empfehle den Einsatz von Exchange Server auf Windows Server 2019 Core, um die maximale Sicherheit für den Betrieb von Exchange Server zu erreichen. Diese Möglichkeit steht uns allerdings erst zur Verfügung, sobald Windows Server 2019 veröffentlicht wurde. Die aktuelle Preview Version von Exchange Server 2019 erlaubt daher die Installation auf Windows Server 2016 und Windows Server 2016 Core. Ob dies auch noch für die RTM Version von Exchange Server 2019 gelten wird, bleibt abzuwarten. Auf jeden Fall sollte Ihnen der Einsatz von Windows Server Core Varianten keine Angst machen, da Sie mit dem Windows Admin Center eine sehr gute Web-Verwaltungsoberfläche zur Verfügung haben.
Nach der Sicherheit im Betrieb ist die Leistungsfähigkeit von Exchange Server immer wieder ein Thema. Mit jeder Produktversion hat das Exchange Team weitere Leistungssteigerungen ermöglicht. Ob Sie von diesen Verbesserungen immer profitiert haben, hängt immer davon ab, wie Sie Exchange Server implementiert haben.
Auch für Betrieb von Exchange Server 2019 gelten die Empfehlungen für die Preferred Architecture. Wie Sie sicher wissen, empfiehlt das Produkt Team den Betrieb von Exchange Server auf echter Hardware. Der Hauptgrund für diese Empfehlung ist, dass die Hochverfügbarkeit auf Applikationsebene (Stichwort DAG) realisiert ist und ein Hypervisor nur die Komplexität erhöht, ohne einen echten Nutzen zu bieten. Die nächste Version von Exchange Server unterstützt Serversystem mit bis zu 48 Prozessor-Cores und 256GB Arbeitsspeicher. Bei einem virtualisierten Betrieb von Exchange Server, unabhängig von der CPU- und Arbeitsspeicherkonfiguration, müssen Sie sowohl die Prozessor-Cores als auch den Arbeitsspeicher als fest reservierte Ressourcen konfigurieren. An dieser Anforderung ändert sich mit Exchange Server 2019 nichts.
In den letzten Jahren sind Postfächer immer größer geworden und damit auch der benötigte Festplattenspeicher. Um nun eine weitere Leistungssteigerung erreichen zu können, bietet Exchange Server 2019 einen SSD basierten Cache-Speicher an. Wie bei den HDDs kommen bei den SSDs kostengünstige Komponenten zum Einsatz, um ein gutes Kosten-/Nutzen-Verhältnis zu gewährleisten. Dieser Cache-Speicher steht in der Preview Version von Exchange Server 2019 leider noch nicht zur Verfügung.
Die bisher in Exchange Server verwendete Suchfunktion basierte auf der FAST-Engine und hat so manchem Exchange Administrator schlaflose Nächte bereitet. Im Blog-Artikel des Exchange-Teams wird nun die Integration einer Suchmaschine mit Bing-Technologie angekündigt. Zum einen ist es gut, die FAST-Suche loszuwerden und sich nicht mehr um korrupte Suchindizes kümmern zu müssen, zum anderen werden einige Leser sicher bei dem Begriff “Bing-Technologie” zusammenzucken. Die im Web verfügbare Bing-Suchmaschine hat, je nach Land, eine sehr unterschiedliche Wahrnehmung hinsichtlich der Qualität der Suchergebnisse. Im Zusammenhang mit Exchange Server liegt der Schwerpunkt aber weniger auf dem Wort “Bing” sondern auf dem Begriff “Bing-Technologie”. Der entscheidende Vorteil der neuen Suche ist, dass die Speicherung der Metadaten und Indizes nicht mehr in einer separaten Ordnerstruktur je Server gespeichert wird, sondern in der jeweiligen Postfachdatenbank. Damit erfolgt die Synchronisierung dieser Informationen mit Hilfe des normalen Log-Shipping-Mechanismus. Dieser technologische Kniff ermöglicht eine im Falle eines Switch- oder Fail-Overs eine noch schnellere Aktivierung einer passiven Datenbankkopie. Durch die Speicherung in der Datenbank sind die Suchinformationen somit auch automatisch Bestandteil einer Datensicherung.
Als neue Funktionen für Anwender wird es hauptsächlich Änderungen im Bereich der Kalenderfunktionen und der Freigabe von Kalenderinformationen für Dritte geben. Eine wichtige Funktion, die ihren Weg aus Exchange Online zu Exchange 2019 findet, ist "DoNotForward". Mit dieser Funktion kann eine Weiterleitung einer Nachricht, und damit z.B. auch von Termineinladungen, an weitere Empfänger unterbunden werden. Zusätzlich wird die nachträgliche Konfiguration von bestehenden (Serien-)Terminen in Kalendern durch Exchange Administratoren ermöglicht. Dies ist ja gerade bei Austritten von Anwendern immer wieder ein anstrengendes Thema.
Outlook on the Web wird immer mehr zur zentralen Schnittstelle für den Zugriff auf E-Mails und funktioniert mit allen gängigen Browserversionen tadellos. Bedenken Sie bitte, dass die korrekte Nutzung aller Postfachfunktionen von Exchange Server 2019 nur gewährleistet werden kann, wenn eine aktuelle Outlook for Deskop (Windows/Mac) Version eingesetzt wird.
Keine Exchange Version ohne einen Wegfall von Funktionen. Nein, die Öffentlichen Ordner sind immer noch vorhanden.
Die Unfied Messaging Funktion, die ja bereits in den Vorversionen nicht mehr als separate Funktionsrolle zur Verfügung stand, zur Bereitstellung von VoiceMail-Funktionen, ist in Exchange Server 2019 nicht mehr vorhanden. Microsoft lässt Ihnen die Wahl, sich für eine Anbindung von Cloud VoiceMail bei gleichzeitiger Nutzung von Skype for Business Server 2019 zu entscheiden, oder eine Drittanbieter Lösung einzubinden.
Eine Alternative ist der Weiterbetrieb von Exchange Server 2016, bis diese Version das Support-Ende erreicht hat. Eine Vergleichstabelle über die Möglichkeiten zur VoiceMail-Nutzung finden Sie hier.
Weitere Informationen und Empfehlungen zum Umgang mit dem Wegfall der Unified Messaging-Funktionen wird es auf der Ignite 2018 Konferenz geben.
Welche Möglichkeiten ergeben sich mit Exchange Server 2019 für die Co-Existenz der Exchange Versionen während der Transitionsphase?
Auch Exchange Server 2019 folgt dem seit Jahren bekannten N-2 Prinzip. Eine Koexistenz der aktuellen Exchange Server Version (N) ist nur mit den beiden letzten Exchange Versionen (-2) möglich. Das bedeutet, dass Sie Exchange Server 2019 nicht in einer direkten Koexistenz mit Exchange Server 2010 installieren können. Wenn Sie noch Exchange Server 2010 betreiben und auf Exchange Server 2019 wechseln möchten, müssen Sie eine Zwischenmigration über Exchange Server 2016 durchführen. Für Exchange Server 2013 ist ja seit Juni 2018 der Mainstream-Support beendet.
Weitere Informationen und Empfehlungen zur Co-Existenz wird es auch hier auf der Ignite 2018 Konferenz geben.
Zusammenfassung
Auch mit Exchange Server 2019 wird die produktinterne Hauptversionsnummer nicht hochgezählt. Die Programmversion wird als 15.2 gezählt. Böse Stimmen werden nun lamentieren, dass es sich, der alten Microsoft Notation folgend, um Service Pack 2 für Exchange Server 2013 handeln muss. Das ist natürlich nicht der Fall. Exchange Server 2019 ist ein eigenständiges Produkt.
Die Neuerungen in der Architektur und die Unterstützung von Windows Server Core versprechen einen leistungsstarken und sicheren Betrieb von Exchange Server 2019, der von den Erfahrungen im Clouddienst von Office 365 profitiert. Insbesondere die neue Suche ist ein Ergebnis aus dem betrieb einer sehr großen Exchange Umgebung.
Die Vorteile für Endanwender sind aus meiner Sicht eher Komfortverbesserungen. Ob diese alleinig einen Wechsel zu Exchange Server 2019 rechtfertigen lassen, müssen Sie entscheiden.
Ende September findet die Microsoft Ignite 2018 Konferenz in Orlando statt. Es wird eine spannende Woche mit interessanten Vorträgen zu den Neuerungen und Änderungen im Vergleich zu Exchange Server 2016 werden. Wir dürfen gespannt sein. Ich werde dort sein.
Sie haben Fragen zu Ihrer bestehenden Exchange Server Umgebung? Sie möchten auf eine neue Version von Exchange Server wechseln? Kontaktieren Sie uns. info@granikos.eu.
The following PowerShell scripts have been published by our Exchange and Office 365 experts to the technical community at TechNet Gallery. Please use the GitHub repositories to report issues or to file feature requests.
Please send comments, wishes, and ideas to support@granikos.eu.
Enjoy!
Need assistance with your Exchange Server Organization? You plan to upgrade your Exchange Server Organization? You plan to migrate to Office 365? Contact us: info@granikos.eu
Update 2019-05-07: Export mailbox delegates and SMTP forwarding information added Update 2018-09-04: Add remote IP-address ranges to a receive connector added Update 2018-06-16: Manage Master Category List for Shared Mailboxes and Teams added Update 2018-04-29: Convert Word documents using PowerShell and Set Mailbox Item Private Flag added Update 2018-01-24: Create a new Room Mailbox with Security Groups added Update 2017-11-11: Export all user mailbox permissions added Update 2017-09-22: Remove Out-Of-Office rules from user mailbox added Update 2017-05-20: Parse email messages content for further processing and Update OWA vDir config across multiple servers added Update 2017-03-18: Fetch recently created public folders and Clear Private Flag on Mailbox Messages added Update 2017-02-22: Remove Orphaned HealthMailbox and SystemMailbox Accounts from MESO Container added Update 2017-02-17: Test Office 365 Domain Availability added Update 2017-02-13: Connect to Exchange Server 2013+ using remote PowerShell added Update 2017-02-07: Create Exchange internal/external Url based certificate requests, Create a scheduled task for Exchange Server 2013 added Update 2017-01-24: Gather Exchange Configuration Data added Update 2017-01-05: Export Messages from Transport Queue added Update 2016-11-29: Clean legacy public folder ACL added, Scripts categorized Update 2016-11-28: Add multiple legacy public folder replicas added Update 2016-08-18: Simple import of multiple PST files for a single user added Update 2016-07-28: Change IIS Log File settings Github Url added, Create a new Team Mailbox with Security Groups added Update 2016-06-04: GlobalFunctions added Update 2015-06-18: Copy-ReceiveConnector updated Update 2015-06-01: Exchange 2010 Public Folder Replication Report (UTF8 support) Update 2015-05-21: Copy anti-virus pattern to Exchange 2010/Exchange 2013 servers added Update 2014-12-10: Copy a receive connector from one Exchange Server to multiple Exchange Servers added
Das Exchange Blog Cumulative Update für Oktober 2015 (CU1015) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats Oktober 2015 zusammen.
Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.
Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.
Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Möglichkeiten für Ihr Unternehmen in einem persönlichen Workshop.
Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu