de-DEen-GB
rss

Granikos Technology Blog

Photo by Max DeRoin from PexelsDas Blog Cumulative Update für Juni 2019 (CU0619) fasst interessante Themen rund um Cloud SicherheitExchange ServerOffice 365Microsoft Teams und mehr des Monats Juni 2019 zusammen.

Exchange Server

Microsoft 365 | OneDrive | Exchange Online | and more

Microsoft Teams

Skype for Business Server | Communications

Microsoft Azure

Cloud | Cloud Sicherheit

Docs | Knowledge Base | TechNet

Allgemein

Podcast Empfehlungen

Tools

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

 

Weiterlesen »
Hinweis: Das folgende Beispiel ist keine Fiktion. Die beschriebenen Systeme und die Betriebssituation sind Realität.
Dieser Artikel zeigt nicht die endgültige Lösung für die ungünstige Betriebssituation auf, da eine optimale Lösung mit Investionen und Umbauten verbunden ist.


Edison Bulb Das Thema "ungünstiger Exchange Server Implementierungen" scheint in seiner Vielfalt unerschöpflich. Leider ist Exchange Server, auch in der aktuellen Version 2019, ein sehr tolerantes Produkt, wenn es um die Installation und den Erstbetrieb geht. Die eigentlichen Probleme und Fehler einer schlechten Exchange Server Implementierung treten erst nach einer gewissen Betriebszeit in Erscheinung.  Ähnlich sieht es aus, wenn nach einer IT-Störung notwendige Wiederherstellungsschritte ausgelassen oder unbedacht ausgeführt werden. 

Heute möchte ich mit Ihnen folgendes Beispiel teilen, bei dem einige Informationen auf Annahmen basieren, da von Kundenseite nicht alle Fragen beantwortet wurden bzw.  beantwortet werden konnten. 

 

Ausgangssituation

In der lokal installierten Exchange Server Plattform treten Performance-Probleme mit der Nachrichtenzustellung im Outlook-Client auf. Nach Aussage des Kunden erfolgt die Zustellung eingehener Nachrichten mit einer bis zu 60-minütigen Verzögerung. 

Diese Beschreibung erscheint auf den ersten Blick auf einen einfach zu lösenden Fehler hinzudeuten. Bei genauer Betrachtung zeigt sich aber, dass es sich um ein schwerwiegendes Problem innerhalb der Exchange Server-Plattform handelt.

Im Vorfeld wurde, so die Aussage des Kunden, die IT-Infrastruktur durch eine Krypto-Attacke kompromittiert. Im Rahmen der ausgeführten Wiederherstellungsmassnahmen wurde, so der Anschein, ein Domain Controller auf einen älteren Stand zurückgesetzt. Zu dieser Maßnahme fehlen leider detaillierte Informationen. 

 

Fakten

Laut Active Directory Konfigurationspartition besteht die Exchange Server Organisation aus insgesamt 11 Exchange Server Systemen, die sich wie folgt aufteilen:

  • 6 Exchange Server 2010 SP3
    • 3 Systeme mit Mailbox-Rolle
      30 Postfachdatenbanken
    • 3 Systeme mit kombinierter CAS- und Hub-Transport-Rolle
       
  • 5 Exchange Server 2016 mit CU12
    • 2 Systeme mit produktiv eingebunden Postfachdatenbanken in einer DAG mit ca. 40 Postfachdatenbanken
    • 3 Systeme ohne produktiv eingebundene Postfachdatenbanken
       
  • 2 konfigurierte Datenbankverfügbarkeitsgruppen (DAG)

 

In der Realität der Serverlandschaft in der lokalen IT-Infrastruktur sieht es allerdings anders aus:

  • Exchange Server 2010 Systeme sind nicht mehr vorhanden
  • Keine Aussage, ob Exchange Server 2010 auf diesen sechs Systemen deinstalliert wurde oder ob die Systeme einfach gelöscht wurden
  • Migration von Exchange Server 2010 zu Exchange Server 2016 gilt beim Kunden offiziell als abgeschlossen

 

Der Unterschied zwischen Active Directory Konfigurationspartition und der aktuellen Realität der IT-Infrastruktur resultiert höchstwahrscheinlich aus einer übereilten authoritativen Wiederherstellung des Active Directory nach der bereits erwähnten Krypto-Attacke. Hierdurch wurde, falls durchgeführt, ebenfalls eine stark veraltete Konfiguration der Exchange Organisation wiederhergestellt.

 

Die Ressourcen der aktuell betriebenen beiden Exchange Server 2016 Systeme:

  • 12 vCores
  • 16 GB Arbeitsspeicher
  • Bereitstellung des Datenspeichers per iSCSI von einem QNAP NAS

Weitere Fakten:

  • Selbstsignierte Exchange Server Zertiifkate für Frontend-Dienste
  • Unterschiedliche Konfiguration je Exchange Server
  • ~100 Transportregeln mit CC-Ergänzungen für die Zustellung an weitere Mitarbeiter
  • Endpunkt-Sicherheitslösung ohne Konfiguration von Exchange Server-Ausnahmen

 

Fazit

In der beschriebene Exchange Server Plattform kommen unterschiedliche Probleme zusammen. Das beschriebene Fehlerbild der verzögerten Nachrichtenzustellung hängt weniger mit der eklatante Fehlkonfiguration der Exchange Organisation zusammen, als mit dem schlechten Aufbau der IT-Hardware. Hier kommen mehrere Punkte zusammen:

  • Die Einbindung der Volumes per iSCSI über die allgemeine Netzwerkinfrastruktur führt zu einer schlechten Disk I/O Performance
  • Die Nutzung von 40 Exchange-Postfachdatenbanken per iSCSI über den gleichen iSCSI Endpunkt verschlechtert die Disk I/O Performance nochmals
  • Das Verhältnis von verfügbarer Prozessorleistung und Arbeitsspeicher der Exchange Server 2016 Systeme ist unüberlegt konfiguriert
  • Der Arbeitsspeicher ist für die Einbindung von 40 Postfachdatenbanken viel zu gering
    • Bei einer guten Datenbankverteilung innerhalb der DAG und Einbindung von 20 aktiven Postfachdatenbankkopien je DAG-Mitgliedsserver ist der Arbeitsspeicher bereits zu gering
    • Bei einer Aktivierung aller Datenbankkopien auf einem Exchange Server im Fehlerfall steht nicht ausreichend Arbeitsspeicher zur Verfügung

Die Probleme hinsichtlich der Leistungsdefizite der beiden Exchange Server 2016 Systeme hätten bereits im Vorfeld mit einer einfachen Systemüberwachung des Betriebssystems erkannt werden können. Bei der Konfiguration des Arbeitsspeicher für die Systeme standen die Einschränkungen der Hypervisor-Hostsysteme im Vordergrund. Die realen Anforderungen von Betriebssystem, Exchange Server 2016, Endpunkt-Sicherheitslösung und anderer installierter Komponenten, fanden keinen Anwendung. Insbesondere wurden auch die internen Anforderungen von Exchange Server 2016 beim Betrieb einer DAG, in Kombination mit der Managed Availability, nicht berücksichtigt. 

Mit dieser Hardware-Konfiguration kann der Programmcode von Exchange Server nicht korrekt arbeiten. Die im Verhältnis recht hohe Zahl an vorhandenen Prozessorkernen führt nicht zu einer Beschleunigung von Exchange Server. Da gleichzeitig nicht genug freier Arbeitsspeicher zur Verfügung steht und die Disk I/O-Leistung zu gering ist, kommt es zwangsläufig zu einer verzögerten Ausführung des Codes und damit automatisch zu einer verzögerten Verarbeitung von Nachrichten.

Für diese Hardware-Plattform sind zu viele iSCSI-Volumes in Betrieb und zu viele Postfachdatenbanken je Server eingebunden. Bei 40 Datenbanken mit je einer aktiven und einer passiven Kopie werden insgesamt 80 Datenbankkopien auf den iSCSI-Zielen betrieben. Trotz der starken Reduzierung der Disk I/O-Anforderungen in Exchange Server 2016, im Vergleich zu den Vorversionen, kann ein iSCSI-NAS die permanent erforderliche Leistung nicht liefern. Für ein Caching von Postfachinformationen steht nicht genug Arbeitsspeicher zur Verfügung. Exchange Server muss die Daten direkt auf Disk schreiben, um die Daten sicher zu persistieren. 

Die fehlerhafte Konfiguration der Exchange Organisation im Active Directory trägt ihren ganz eigenen Teil zu den Problemen bei. Diese Konfiguration wird von allen Exchange Servern gelesen und für weitere Aktionen verwendet. Einige dieser Aktionen, die jeder einzelne, in Betrieb befindliche, Exchange Server durchführt, sind:

  • Regelmäßiger Test der Kommunikationsverbindungen (http https, etc.) zu den anderen Exchange Servern, die in der Konfiguration der Exchange Organisation vorhanden sind
    • Funktionstest zu anderen Mitgliedsservern der gleichen DAG
    • Funktionstest der Erreichbarkeit von Exchange Servern außerhalb der DAG
  • Versand von Test-Nachrichten zwischen allen aktiven Postfachdatenbanken einer DAG
    • Funktionstest der E-Mail-Zustellung
    • Funktionstest der Suchindizierung
    • Funktionstest der Client-Protokolle
  • Prüfung auf fehlende Kalendereinträge in jedem Postfach

Exchange Server besteht aus viel mehr als nur der Verarbeitung von individuellen eingehende und ausgehenden Nachrichten. Die Funktion der Managed Availability nimmt einen nicht unerheblichen Teil des Leistungsbedarfs eines Exchange Servers in Anspruch. Exchange Server ist dafür ausgelegt, eine hochverfügbare Messaging-Plattform bereitzustellen. Hierzu dienen all die Funktionen, die unter der Haube ablaufen. Neben den Anforderungen an die Systemleistung von CPU und Arbeitsspeicher, schreiben alle Exchange Server Komponenten Protokolldateien auf Disk. Dies wird gerne ebenfalls vernachlässigt. 

Die in der Active Directory Konfigurationspartition vorhandenen Exchange Server 2010 Systeme sind als Computerobjekte nicht mehr vorhanden. Dies deutet darauf hin, dass die Wiederherstellung der authoritativen AD-Datensicherung Ursache des Fehlers ist. Alternativ ist es auch möglich, dass diese Situation durch eine "Ad-Hoc-Deinstallation" von Exchange Server aus dem Active Directory eingetreten ist. Unter einer "Ad-Hoc-Deinstallation" versteht man das unmittelbare Löschen des AD-Computerobjektes eines Servers, auf dem Exchange Server installiert ist. Diese Art der "Deinstallation" von Exchange Server führt automatisch zu verwaisten Einträgen in der Konfigurationspartition und damit zu Folgeproblemen beim Betrieb der Exchange Organisation. 

Führen Sie unter keinen Umständen eine "Ad-Hoc-Deinstallation" von Exchange Server durch.

 

Die Fehlersituation in der Exchange Server-Plattform bei diesem Kunden ist noch nicht abschließend gelöst. Die optimale Lösung erfordert zum einen die Bereinigung des Active Directory und zum anderen einen Umbau der Exchange Server Infrastruktur. Dies ist jedoch mit Investitionen verbunden.

 

Links

 

Dieses Beispiel ist eine Ergänzung zu den in meinem Buch "Exchange Server 2019 - Das Handbuch für Administratoren" beschriebenen Beispielen ungünstiger Exchange Server Implementierungen

Ich wünsche Ihnen viel Spaß und gute Laune mit Exchange Server.

 


Image by Pexels

Weiterlesen »

Photo by Max DeRoin from PexelsDas Blog Cumulative Update für März 2019 (CU0319) fasst interessante Themen rund um Cloud SicherheitExchange ServerOffice 365, Azure und Microsoft Teams des Monats März 2019 zusammen.

Exchange Server

Microsoft 365 | OneDrive | Exchange Online | and more

Microsoft Teams

Skype for Business Server | Communications

Microsoft Azure

Cloud | Cloud Sicherheit

Docs | Knowledge Base | TechNet

Allgemein

Replay

Podcast Empfehlungen

Tools

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

 

Weiterlesen »

Eine neue Exchange Server Konferenz kommt nach Europa.

The REAL Exchange Experience

In den letzten Jahren haben sich die Themenschwerpunkte der großen Microsoft Konferenzen mehr und mehr hin zu Cloud-Themen verschoben. Die Einfachheit einer Migration von lokal gehosteten Exchange Server-Postfächer hin zu Exchange Online wird immer wieder hervorgehoben. Ebenso werden neue Möglichkeiten geschaffen, um möglichst einfach eine Hybrid-Anbindung mit Exchange Online zu etablieren.

Themen rund um den stabilen und sicheren Betrieb einer lokalen Exchange Server Organisation haben auf diesen Konferenzen keinen Platz mehr. The REAL Exchange Experience möchte dem Bedarf an Themen für den Betrieb von Exchange Server in der lokalen IT-Infrastrukur Rechnung tragen.

Die Konferenz wird in mehreren Städten als 1-Tages Veranstaltung stattfinden.

Erfahren Sie mehr über die Konferenz und melden Sie sich für den Konferenz-Newsletter hier an: https://www.granikos.eu/de/Veranstaltungen/TheREALExchangeExperience

Viel Spaß mit Exchange Server 2019!

 

Weiterlesen »
Die englischsprache Version dieses Artikels ist im ENow Solutions Engine Blog verfügbar.

 

In vielen Unternehmen werden noch Öffentliche Ordner alter Bauart, die sog. Legacy Public Folder, auf Exchange Server 2010 Systemen bereitgestellt. Oftmals sind die diese Ordnerstrukturen innerhalb der Öffentlichen Ordner Hierarchie über die Jahre unkontrolliert gewachsen. Dies nicht nur im Hinblick auf das Datenvolumen, sondern auch auf die Anzahl der Ordner und die Ordnertiefe in der Ordnerhierarchie. Aus diesen Gründen fürchten viele Unternehmen eine Migration der Öffentlichen Ordner zu einer modernen Version von Exchange Server oder zu Exchange Online.

Am 14. Januar 2020 ist das Support-Ende von Exchange Server 2010 erreicht. Bis zu diesem Termin sollten Sie vorhanden Öffentliche Ordner Hierarchien zu Modernen Öffentlichen Ordnern in Exchange Server 2016 oder zu Exchange Online migriert haben. Nach diesem Datum befinden sich Ihre Exchange Server 2010 Installationen in einem nicht unterstützten Betriebszustand und stellen ein Risiko für den sicheren Betrieb Ihrer IT-Plattform dar.

Maßnahmen zur Migration von Öffentlichen Ordnern

Vermeiden Sie die vollständige Migration aller Öffentlichen Ordner ohne eine Revision der Inhalte und Ordnerstrukturen.

Die Migration hin zu modernen Öffentlichen Ordner in Exchange Online muss besonders vorbereitet werden.

Diese  Vorbereitung der Öffentlichen Ordner muss folgenden Maßnahmen und Überlegungen berücksichtigen:

  • Deaktivierung der E-Mail-aktivierten Öffentlichen Ordner
    • Vermeidung einer verzögerten Zustellung von E-Mails während der Migrations- und Finalisierungsphase
    • Überführung der Ordnerinhalten in Freigegeben Postfächer oder zu Office 365 Groups
  • Bereinigung der E-Mail-aktivierten Öffentlichen Ordner, wenn nicht alle E-Mail-Aktivierungen entfernt werden können
    • Entfernung oder Änderung nicht unterstützter Zeichen aus dem Attribute E-Mail-Alias (mailNickname)
    • Entfernung von Leerzeichen aus dem Attribute E-Mail-Alias (mailNickname)
  • Bereinigung verwaister AD-Objekte von ehemals E-Mail-aktivierten Öffentlichen Ordner
    • Löschung der Objekte aus dem MESO-Container
    • Bereinigung der Berechtigungen in der Ordnerhierarchie
    • Entfernung “alter” Sicherheitsbezeichnungen, insbesondere
    • Umstellung der Ordnerberechtigungen von Einzelberechtigungen auf Sicherheitsgruppen
  • Bereinigung der Ordnernamen der Öffentlichen Ordner
    • Entfernung oder Änderung nicht unterstützter Zeichen
    • Entfernung führender oder nachfolgender Leerzeichen
  • Reduzierung der Ordnerinhalte und der Ordnerhierarchie

Warum sind diese Maßnahmen notwendig?

Mit einer Umstellung und Bereinigung der E-Mal-aktivierten Ordner stellen Sie eine sichere Zustellung der E-Mail-Nachrichten während der Migrations- und Finalisierungsphase der Öffentlichen Ordner sicher. Unabhängig davon, ob die die Öffentlichen Ordner zu Exchange Server 2016 oder zu Exchange Online migrieren, kommt es zu einem Pausieren der Zustellung. Nach der Fertigstellung werden wartende Nachrichten in die neue Betriebsumgebung der Öffentlichen Ordner umgeleitet und zugestellt. Dies ist für zeitkritische E-Mail-Nachrichten nicht akzeptabel.

Die Information über einen E-Mail-aktivierten Ordner wird nicht nur innerhalb der Öffentlichen Ordner-Hierarchie gespeichert. Zu einem E-Mail-aktivierten Ordner gehört auch ein entsprechendes AD-Objekt, das im MESO-Container gespeichert ist. Wenn die Berechtigung für Exchange Server auf diesen Container angepasst wurde wird das AD-Objekt nicht entfernt oder geändert. Bei einer Aufhebung der E-Mail-Aktivierung verbleibt das AD-Objekt im MESO-Container und sorgt bei einer Migration zu Exchange Online für Probleme. Dieser Fehler macht sich in einer reinen On-Premises-Umgebung nicht bemerkbar. Der Fehler schlummert im Untergrund und wartet darauf, entdeckt zu werden.

Die Bereinigung der Ordnerberechtigungen, hin zu Gruppen-basierten Berechtigungen führt zu einer Vereinheitlichung und Vereinfachung des Zugriffes. Bereits bei einem rein lokalen Betrieb der Öffentlichen Ordner profitieren Sie schon von dieser Umstellung. Wenn Sie jedoch eine Migration der Öffentlichen Ordner zu Exchange Online planen, ist diese Umstellung ein absolutes Muss. Eine Anpassung der Ordnerberechtigungen nach der Migration zu Exchange Online ist eine besondere Herausforderung. Solange die Ordnerhierarchie relativ flach ist und nur wenige Ordner enthält, werden Sie keine Probleme bei der rekursiven Anpassung von Ordnerberechtigungen haben.

Gerade in vertriebsorientierten Unternehmen sind den Jahren, seit Einführung der Öffentlichen Ordner, eigenständige Ordnerbäume gewachsen. Ich durfte mit einer Ordnerhierarchie, bestehend aus ~120.000 Ordner unterhalb eines Basisordners, nach der Migration zu Exchange Online besondere Erfahrungen machen.

Nachfolgend ein Beispiel für die Ordnerstruktur einer Vertriebsorganisation.

Beispiel einer Öffentlichen Ordner Hierarchie

Wenn Sie in einer solchen Ordnerhierarchie die Berechtigungen per Remote PowerShell setzen möchten, werden Sie bei der Ausführung der Cmdlets in Probleme laufen.

Durch die besondere Betriebsart als SaaS-Angebot, gibt es klare Grenzen für die Verarbeitung von Cmdlets in einer Remote PowerShell-Session. Sie können maximal 120 destruktive Cmdlets je 60 Sekunden ausführen. Wenn Sie diesen Schwellenwert überschreiten, wird die Ausführung Ihrer Cmdlets durch sog. MicroDelays verzögert. Unter destruktiven Cmdlets versteht man Cmdlets, wie Einstellungen hinzufügen oder ändern, als Set-*, Remove-*, New-* oder Add-* Cmdlets.

Das Hinzufügen von Berechtigungen für Öffentliche Ordner erfolgt mit Hilfe des Cmdlets Add-PublicFolderClientPermission. Die Anpassung einer bestehenden Berechtigung besteht immer aus zwei Konfigurationsschritten, dem Entfernen der alten Berechtigung (Remove-PublicFolderClientPermission) und dem Hinzufügen der neuen Berechtigung.

Dieses Problem trifft Sie nicht nur bei Ausführung einer Remote-PowerShell-Sitzung, sondern auch bei der Anpassung der Berechtigungen über das Exchange Online Admin Center (EAC). Der Unterschied ist, dass das EAC Sie mit einer Success-Meldung in SIcherheit wiegt und Ihnen vorgaukelt, dass auf allen Ordnern die Berechtigungen gesetzt wurden. Die Realität hat gezeigt, dass die im Hintergrund ausgeführten PowerShell-Cmdlets in die Begrenzung laufen.

Alternativ können Sie die Berechtigungen auch mit Hilfe der Exchange Web Services (EWS) anpassen. Hierzu gibt es professionelle Lösungen am Markt. Jedoch greifen auch für den Zugriff per EWS Grenzwerte. Professionelle Programme versuchen durch Pausen bei der Ausführung das Erreichen der Grenzwerte zu vermeiden. Dies führt natürlich zu einer entsprechenden Laufzeit bei der Anpassung der Berechtigungen.

Empfehlung

Daher ist meine Empfehlung, die Berechtigungen der Öffentlichen Ordner vor einer Migration zu Exchange Online zu bereinigen. Hierdurch stellen Sie sicher, dass Sie sich nur noch auf die Mitgliedschaft der Benutzerkonten in den entsprechenden Sicherheitsgruppen kümmern müssen.

 

Links

 

Viel Spaß mit Öffentlichen Ordnern. Und vergessen Sie den Stichtag 14. Januar 2020 für das Support-Ende von Exchange Server 2010 nicht.

 

 

Weiterlesen »