Praxis: Höhere E-Mail-Verfügbarkeit durch Exchange-Cluster

Cluster erhöhen die Verfügbarkeit einer Messaginginfrastruktur und dadurch auch offensichtlich ihren Wert. In Windows Server 2003 Enterprise Edition können Sie Cluster mit bis zu acht Knoten erstellen. Die bessere Verfügbarkeit eines Clusters ist wirklich ein Vorteil, aber nur zu einem gewissen Grad. Verwechseln Sie bessere Verfügbarkeit nicht mit hoher Verfügbarkeit.

Ein Cluster mit zwei Knoten und gemeinsamer Festplatte enthält so viele Fehlerquellen, dass Sie nicht von hoher Verfügbarkeit sprechen können. Wenn auf einem Cluster mit Exchange ein Failover zwischen zwei Knoten auftritt, stehen die Postfachspeicher für kurze Zeit nicht bereit. Das entspricht nicht den üblichen Anforderungen an hohe Verfügbarkeit, nach denen der Betrieb üblicherweise auch bei Fehlern weiterlaufen muss.

Info: Auch wenn die Clusterlösung in Windows Server 2003 integriert ist, bekommen Sie sie nicht umsonst. Um einen Cluster mit acht Knoten einzurichten, müssen Sie acht Lizenzen für Windows Server 2003 Enterprise Edition mit einem Listenpreis von 3999 Euro kaufen. Der Marktpreis liegt nur ungefähr bei der Hälfte, aber das ist immer noch deutlich mehr als der Listenpreis der Standard Edition von 999 Euro (Marktpreis etwa 700 Euro). Außerdem brauchen Sie achtmal Exchange Server 2003, dessen Listenpreis bei 3999 Euro liegt (der Marktpreis bei etwa 2500 Euro). Glücklicherweise ändert sich der Preis für die Clientzugrifflizenz nicht, wenn sie auf einem Cluster eingesetzt wird.

Unsere neue Serie zu Exchange Server 2003 basiert auf Kapitel 13 des Standardwerks „Exchange Server 2003“ von William Boswell aus dem Verlag Addison-Wesley. Sie können dieses über 850 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen.

Inhalt der Artikelserie zur Exchange-Sicherheit

Teil 1: Spam und Virenabwehr durch Blockierlisten

Teil 2: Spam und Virenabwehr durch Challenge-Response und Filter

Teil 3: Backup und Restore bei Exchange Server 2003

Teil 4: Backup von Exchange Server 2003 in der Praxis

Teil 5: Exchange Server 2003 mit Schattenkopien nutzen

Teil 6: Höhere Diensteverfügbarkeit durch Exchange-Cluster, I

Teil 7: Höhere Diensteverfügbarkeit durch Exchange-Cluster, II

Teil 8: Höhere Diensteverfügbarkeit durch Exchange-Cluster, III

Sinnvoller Einsatz von Clustern

Cluster sind jedoch in anderen Situationen hilfreich. Wenn Sie nur einen Exchange-Server haben und für das Betriebssystem oder für Exchange ein Service Pack oder einen Sicherheitspatch installieren möchten – oder irgendeinen anderen Vorgang durchführen müssen, für den ein Neustart erforderlich ist, wie eine Aktualisierung des Antiviren- bzw. Antispamprogramms oder die Installation eines neuen Gerätetreibers –, dann ist der Server eine Zeit lang nicht verfügbar. Da Messaging ein kritischer Vorgang ist, sollte das außerhalb der üblichen Arbeitszeiten geschehen. Das heißt, dass Sie am Wochenende im Büro sitzen müssen, anstatt mit den Kindern zu spielen oder Mountainbike zu fahren.

Aber bei einem Cluster können Sie einen Knoten herunterfahren, den Patch oder das Service Pack oder was auch immer installieren, dann zum nächsten Knoten gehen und den Vorgang so lange wiederholen, bis alle Knoten aktualisiert sind.

Bei jedem Failover unterbrechen Sie die Verbindung zu den freigegebenen Ressourcen von Exchange, aber nur für kurze Zeit, und wenn Sie einen modernen Outlook-Client verwenden, merken die Benutzer vielleicht noch nicht einmal etwas davon.

Das lässt sich nicht als hohe Verfügbarkeit bezeichnen, noch nicht einmal im weitesten Sinne des Wortes, aber es macht die Zeitplanung für eine Wartung sehr viel angenehmer. Und sollte der Cluster zufällig durchhalten, wenn auf einem der Knoten das Motherboard ausfällt, dann haben Sie noch mehr Nutzen davon.

Dieser Abschnitt soll aus Ihnen keinen Experten für Cluster machen. Wenn Sie einen Produktionscluster einsetzen möchten, brauchen Sie eine ausführliche, praktische Anleitung mit der Hard- und Software, die Sie für Ihren Cluster verwenden werden. Hier sollen Sie nur den Umgang mit einem Cluster aus Virtual Machines lernen.

Vorbereitungen

Wenn Cluster ausfallen, kann das zwei Gründe haben: inkompatible Hardware und menschliche Dummheit. Also dürfen Sie zwei wichtige Dinge nicht vergessen, wenn Sie einen Cluster mit Exchange einrichten möchten:

• Verwenden Sie nur genehmigte, getestete und zertifizierte Hardware.

• Sorgen Sie dafür, dass Sie vom Lieferanten der Hardware eine ausführliche und umfassende praktische Schulung erhalten.

Wenn Sie sich für den Einsatz eines Clusters entschieden haben, sollten Sie die Punkte auf den nächsten Seiten auf Ihre Checkliste setzen.

Info: Verfügbarkeit wird oft in Prozent angegeben, z.B. 99,99%. Das entspricht einer Ausfallzeit von 52 Minuten im Jahr. Ausfälle durch Wartungsarbeiten sind in diesem Wert nicht immer enthalten. Eine Verfügbarkeit von 99,999% entspricht fünf Minuten Ausfall pro Jahr.

Hardwarekompatibilität

Bevor Sie einen Servercluster bauen, schauen Sie sich zuerst im Internet den Windows Server Catalog unter http://www.microsoft.com/windows/catalog/server an.

Info: Der Windows Server Catalog ersetzt die Hardwarekompatibilitätsliste.

Hier sind alle Systeme und Komponenten aufgeführt, die auf Kompatibilität getestet wurden und das Logo „Designed for Windows Server 2003“ erhalten haben. Wählen Sie die Registerkarte HARDWARE und klicken Sie dort auf den Link CLUSTERED SOLUTIONS. Daraufhin erhalten Sie eine Liste der Hardware, die speziell für den Einsatz in einer Clusterumgebung getestet wurde.

Falls Ihre Serverhardware in dieser Liste nicht enthalten ist, sollten Sie sie in einem Cluster nicht verwenden. Ja, ich weiß, Sie kaufen nur bei zuverlässigen Händlern hochwertige Rechner, die mit Windows Server 2003 voll kompatibel sind, und Sie hatten noch nie Probleme. Aber wenn nicht jede Komponente und jedes Subsystem für einen Einsatz mit Clustern zertifiziert ist, dann laufen Sie Gefahr, dass irgendein kleines Dings nicht der Zeitsteuerung oder der Puffergröße entspricht oder sonst irgendwelchen versteckten Anforderungen für einen Einsatz im Cluster nicht genügt. Und plötzlich müssen Sie eine Erklärung dafür abgeben, warum auf Ihren tollen neuen Geräten die E-Mails Ihres Chefs verloren gegangen sind.

Bei einem Cluster werden Sie ein paar Tausender für die Software ausgeben. Versuchen Sie nicht, mit unzertifizierter Hardware ein paar Cent zu sparen. Das ist die Kopfschmerzen nicht wert, die Ihnen das irgendwann einmal bereiten wird.

Domänenmitglieder

Wenn Sie einen Server für den Clusterdienst einrichten, dann erstellen Sie entweder einen neuen Cluster oder fügen den Server einem vorhandenen Cluster hinzu. In jedem Fall wird der Server zu einem Knoten im Cluster.

Alle Clusterknoten müssen zur selben Domäne gehören. Die Knoten kommunizieren miteinander, also müssen sie sich authentifizieren. Windows Server 2003 verwendet Kerberos für die Authentifizierung zwischen den Knoten.

Hardwareanforderungen

Sie brauchen wenigstens zwei Server, die zu Clusterknoten werden sollen. Jeder Server muss über Startlaufwerke oder einen Hostbusadapter verfügen, damit er von einem SAN aus gebootet werden kann. Außerdem benötigt jeder Server ausreichend Speicherplatz für die Exchange-Ressourcen, die ihm zugeteilt werden. Nehmen Sie am Anfang wenigstens 2 GByte RAM, und wenn Sie über ausreichend DIMM-Plätze verfügen, denken Sie darüber nach, ob Sie nicht die vollen 4 GByte ausnutzen möchten.

Jeder Server muss wenigstens zwei Netzwerkadapter besitzen, von denen einer als öffentliche Schnittstelle für den Knoten dient, während der zweite ausschließlich mit den anderen Knoten kommuniziert.

Die Clusteradapter sollten Sie nicht über das zentrale Netzwerk verbinden. Sie verursachen einigen Netzverkehr und dürfen nicht den Kontakt zueinander verlieren. Im Idealfall schließen Sie jeden Clusteradapter an einen eigenen Switch mit separatem Subnetz an. Wenn Sie sicher sind, dass der zentrale Netzwerkswitch keine Unterbrechungen im Cluster verursacht, dann können Sie auch ein VLAN verwenden. (Ihre Hardware mag damit fertig werden, aber können Sie darauf vertrauen, dass keiner von den Technikern, die den Switch bedienen, eine Störung verursacht?)

In der Testkonfiguration, die wir in diesem Kapitel behandeln, wird ein Cluster mit freigegebenen Platten verwendet, das heißt, dass die SCSI-Schnittstellen der beiden Clusterknoten an einen einzigen SCSI-Bus angeschlossen sind. Dieser trägt mehrere Laufwerke, die als freigegebene Ressourcen dienen. Sie können auch Cluster erstellen, die Fibre Channel Arbitrated Loop- oder iSCSI-Controller verwenden.

In einer Produktionsumgebung werden Sie aus Gründen der Fehlertoleranz zwei Hostbusadapter an den Fibre Channel- oder den iSCSI-Controller anschließen. Die meisten Hardwarepakete enthalten eine Mehrfachpfad-Lösung, damit die Verbindung zu den Speichermedien nicht unterbrochen wird, wenn eine Komponente in der Speichertopologie ausfällt.

Vermutlich klingt das so, als würde dieser Vorschlag viel Geld kosten, aber das hängt von Ihrer Sichtweise ab. Es stimmt, dass einem die Kosten für hochwertige Speicher und Verbindungen zwischen Speicherbereichen Schauer über den Rücken jagen können, aber im mittleren Bereich sinken die Preise seit Jahren.

Nur ein Beispiel (ich beziehe mich auf HP, aber eine ähnliche Konfiguration erhalten Sie bei jedem guten Anbieter): Die nichtintegrierte Clusterlösung ProLiant DL580 F200 hat zwei Server mit doppelten Fibre Channel-Hostbusadaptern, doppelten Arbitrated Loop-Controllern und ein Speicherbereich-Netzwerkarray mit SCSI-320-Platten. Der aktuelle Marktpreis liegt bei etwa 70.000,– €, wenn Sie das Array mit 14 Laufwerken ausstatten, ausreichend Speicher für Exchange vorsehen und die Marktpreise für die Enterprise Edition von Windows Server 2003 und Exchange Server 2003 mitrechnen. Bei 2000 Benutzern sind das pro Postfach 350,– €. Das ist nicht viel, vor allem, wenn Sie bedenken, dass ein hochwertiges Telefon auf ihrem Schreibtisch etwa dasselbe kostet.

Laufwerkskonfiguration

Sie müssen entscheiden, wie die Clusterknoten auf den Speicher zugreifen sollen. Alle Knoten müssen Zugriff auf alle Laufwerke haben, die zu den Clusterressourcen gehören.

In einem Cluster mit zwei Knoten kann ein Laufwerk mit einem SCSI-Kabel gemeinsam genutzt werden. Bei mehr als zwei Knoten brauchen Sie entweder Fibre Channel Arbitrated Loop oder iSCSI.

Um Speicher gemeinsam zu nutzen, benötigen Sie wenigstens ein freigegebenes Laufwerk, das als Quorumlaufwerk dient. Alle Knoten im Cluster müssen auf diesem Laufwerk lesen und schreiben können. In einer gemeinsamen SCSI-Konfiguration mit zwei Knoten kann das Quorumlaufwerk auf dem gleichen SCSI-Bus liegen wie die Laufwerke, die Sie für die Speicherung im Cluster verwenden. Bei einer Konfiguration mit Fibre Channel Arbitrated Loop oder iSCSI setzen Sie als Quorumlaufwerk ein kleines LUN ein (1 Gbyte reicht völlig aus).

Aktiv/Passiv- und Aktiv/Aktiv-Cluster im Vergleich

Wenn Sie zum ersten Mal die Installation eines Clusters planen, dann ist wohl ein Punkt am schwersten zu verstehen: die Trennung zwischen den Knoten, auf denen der Clusterdienst läuft, und den Ressourcen, die innerhalb des Clusters verfügbar sind.

In einem Cluster gibt es einen oder mehrere virtuelle Server. Jeder von ihnen hat die gleichen Ressourcen, die Sie auch auf einem normalen Server erwarten würden (wie Netzwerkname und IP-Adresse), sowie Laufwerke, Anwendungsdienste und so weiter.

Die Server, auf denen der Clusterdienst läuft, werden Knoten genannt. Auf jedem Knoten gibt es einen virtuellen Server mit den dazugehörigen Ressourcen.

Wenn Sie einen Cluster mit zwei Knoten haben, einen virtuellen Exchange-Server erstellen und ihn einem der beiden Knoten zuweisen, dann wird der zweite Knoten erst aktiv, wenn der erste ausfällt. Dies wird als Aktiv/Passiv-Cluster bezeichnet.

Wenn Sie zwei oder mehrere virtuelle Exchange-Server erstellen und auf die beiden Knoten verteilen, entsteht ein Aktiv/Aktiv-Cluster.

Wenn es in einem solchen Cluster zu einem Knotenausfall kommt, d.h. wenn einer der Server ausfällt, dann wechselt der virtuelle Exchange-Server vom fehlerhaften zum funktionsfähigen Knoten. Dort befinden sich anschließend zwei virtuelle Server. Dieses Verhalten ist erwünscht, aber für die Entwickler von Exchange eine Herausforderung.

Das Problem besteht darin, dass auf dem funktionierenden Knoten bereits ein virtueller Server vorhanden ist, dem einiger Speicherplatz zugewiesen wurde. Jetzt bitten Sie den Knoten, für einen weiteren Server Platz zu machen, der auf seinem eigenen Knoten auch nicht gerade wenig Speicher zur Verfügung hatte und dies auch auf dem neuen Knoten erwartet.

Diese Speicherzuteilung macht das Failover nicht nur langsamer, es ist auch recht wahrscheinlich, dass der aktive Knoten einfach nicht ausreichend zusammenhängenden Speicher für den zweiten Server finden kann und deshalb das Failover ganz zurückweist.

Microsoft hat in Windows Server 2003 und Exchange Server 2003 die Speicherbehandlung wesentlich verbessert, um Vorgänge auf dem Cluster zu erleichtern, aber es besteht immer noch die Möglichkeit, dass ein Failover daran scheitert, dass zu wenig Systemspeicher zur Verfügung steht. Für Exchange 2000 empfahl Microsoft, die Zahl der gleichzeitigen Verbindungen bei einem Aktiv/Aktiv-Cluster auf 1900 zu beschränken, und dieser Wert ist für Exchange 2003 nicht geändert worden. Die dringendste Empfehlung, auch von mir selbst, lautet: Vermeiden Sie Aktiv/Aktiv-Cluster allgemein.

Einschränkungen für Speichergruppen

Wenn es Sie (oder Ihren Chef) stört, dass der zweite Server 95% der Zeit über nichts zu tun hat, können Sie auch einen Aktiv/Aktiv-Cluster einsetzen. Dann sollten Sie aber folgende Einschränkung beachten:

Auf einem Serverknoten in einem Cluster können maximal vier Speichergruppen abgelegt sein. Auch wenn ein Knoten ausfällt und der virtuelle Server zu einem aktiven Knoten wechselt, darf dort die Summe der Speichergruppen höchstens vier betragen, da andernfalls die restlichen Speichergruppen nicht bereitgestellt werden. Verteilen Sie Ihre Speichergruppen so, dass auf jedem Knoten höchstens zwei vorhanden sind.

Bereitstellungspunkte für Clusterlaufwerke

Auf einem Cluster mit zwei passiven Knoten und zwei Speichergruppen pro aktivem Knoten können zwölf Speichergruppen und bis zu 60 Speicher (59 Postfachspeicher und ein MAPI-Informationsspeicher für öffentliche Ordner) abgelegt sein. Das ist eine Menge, wie Sie mir sicher zustimmen werden

Wenn Sie den Transaktionsprotokollen und den Postfachspeichern jeder Speichergruppe jeweils ein eigenes Laufwerk zuweisen und dann noch beschließen, auch für einige Postfachspeicher ein eigenes Laufwerk einzurichten, um die Wiederherstellbarkeit zu erhöhen, dann reichen auf dem zugrunde liegenden freigegebenen Speicher die Laufwerksbuchstaben nicht aus. Exchange 2003 unter Windows Server 2003 erlaubt für die freigegebenen Laufwerke jedoch die Verwendung von Bereitstellungspunkten anstelle von Buchstaben.

Ein Bereitstellungspunkt repräsentiert das Dateisystem auf der Festplatte als Ordner im Dateisystem auf einer anderen Festplatte. Gehen Sie wie folgt vor, um probehalber einen Bereitstellungspunkt einzurichten:

1. Öffnen Sie die Konsole DATENTRÄGERVERWALTUNG (Diskmgmt.msc).

2. Klicken Sie eines der Laufwerke auf Ihrem Testserver mit der rechten Maustaste an und wählen Sie LAUFWERKSBUCHSTABEN UND PFAD ÄNDERN aus dem Kontextmenü. Das gleichnamige Fenster öffnet sich.

3. Klicken Sie auf HINZUFÜGEN, um zum Fenster NEUEN LAUFWERKSBUCHSTABEN ODER PFAD HINZUFÜGEN zu gelangen.

4. Klicken Sie auf DURCHSUCHEN, gehen Sie zum Laufwerk C: auf dem Server, klicken Sie dann auf NEUER ORDNER und geben Sie einen Namen für diesen Ordner ein, z.B. Mount1.

5. Gehen Sie nun zum Symbol für das Laufwerk C: und öffnen Sie den Ordner Mount1. So gelangen Sie direkt zu dem Laufwerk, das sie bereitgestellt haben.

Wenn Sie Bereitstellungspunkte statt Laufwerksbuchstaben verwenden, sind Sie nicht an die begrenzte Anzahl von Buchstaben gebunden, wenn Sie Ressourcen für freigegebene Platten erstellen.

Nicht clusterfähige Exchange-Dienste

Folgende Exchange-Dienste weisen keine Ressourcen für Cluster auf und können deshalb nicht in einer Clusterumgebung eingesetzt werden:

• Active Directory Connector

• Connectoren für Lotus Notes und Groupwise

• Der Ereignisdienst von Exchange

• Der Standortreplikationsdienst

• Das Network News Transfer Protocol (NNTP): Um Exchange-Setup ausführen zu können, muss der NNTP-Dienst auf jedem Knoten des Clusters installiert sein, verfügt selbst jedoch nicht über eine Clusterressource.

Ausblick

In diesem Teil unserer Serie haben wir alle Vorbereitungen für eine erfolgreiche Clusterinstallation erledigt. Im nächsten Teil erstellen wir dann die virtuellen Serverknoten unseres Clusters. (ala)

Unsere neue Serie zu Exchange Server 2003 basiert auf Kapitel 13 des Standardwerks „Exchange Server 2003“ von William Boswell aus dem Verlag Addison-Wesley. Sie können dieses über 850 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen.

Inhalt der Artikelserie zur Exchange-Sicherheit

Teil 1: Spam und Virenabwehr durch Blockierlisten

Teil 2: Spam und Virenabwehr durch Challenge-Response und Filter

Teil 3: Backup und Restore bei Exchange Server 2003

Teil 4: Backup von Exchange Server 2003 in der Praxis

Teil 5: Exchange Server 2003 mit Schattenkopien nutzen

Teil 6: Höhere Diensteverfügbarkeit durch Exchange-Cluster, I

Teil 7: Höhere Diensteverfügbarkeit durch Exchange-Cluster, II

Teil 8: Höhere Diensteverfügbarkeit durch Exchange-Cluster, III