Service Pack 2 für Exchange 2003

10.02.2007 von Lars Riehn
Seit Ende Oktober steht der Service Pack 2 für den Exchange Server 2003 in seiner finalen Version zur Verfügung. Da neben den üblichen kleinen Verbesserungen im Detail und Fehlerbeseitigungen auch eine Menge neuer Funktionen enthalten sind, widmen wir dem Service Pack einen ausführlichen Artikel.

Bevor Sie mit der Installation von SP2 beginnen können, müssen Sie natürlich zunächst an die Software kommen. Der schnellste Weg ist der Download direkt von Microsoft. Die englische Version ist unter http://download.microsoft.com/download/2/D/A/2DA38F90-A580-46F7-8812 63DCEC999FE5/E3SP2ENG.EXE zu finden. Sollten Sie deutschsprachige Server im Einsatz haben, so müssen Sie die unter
http://download.microsoft.com/download/9/3/6/9364B008-21AD-4C45-92D3-D6CAA7CA73D3/E3SP2DEU.EXE bereitgestellte lokalisierte Version herunterladen. Alternativ können Sie auch eine CD bei Microsoft bestellen.

Installation

Die Installation erscheint auf den ersten Blick unspektakulär. Das Service Pack 2 kann auf jedem Server mit Exchange 2003 installiert werden. Dabei ist es unerheblich, ob Service Pack 1 bereits installiert wurde oder nicht. Auch gibt es keine unterschiedlichen Installationsroutinen für Standard oder Enterprise Edition. Sollten Sie im Vorfeld der offiziellen Veröffentlichung die Version Community Technology Preview installiert haben, so können Sie die finale Version trotz ursprünglich anderer Pläne seitens Microsoft einfach auf den Exchange Server mit CTP installieren. Eine Deinstallation der CTP-Variante ist nicht notwendig. Auch für den Windows Small Business Server 2003 mit Service Pack 1 können Sie das Update einsetzen. Dennoch sollten Sie einige Punkte beachten.

Als Erstes lohnt sicher ein Blick auf die Release Notes unter http://download.microsoft.com/download/ F/B/5/FB5C54AF-FE5C-48E9-BE97-F9E8207325AB/DE_Ex_2003_SP2_RelNotes.htm. Dort finden Sie zum Beispiel die Information, dass auch mit dem Service Pack 2 für Exchange 2003 als Betriebssystem Windows Server 2000 SP4 oder Windows Server 2003 eingesetzt werden können. Für Windows Server 2003 empfiehlt Microsoft die Installation von Service Pack 1, schreibt sie aber nicht zwingend vor. Auch wird ein Link zu weiteren Informationen und eine komplette Liste aller behobenen Bugs angeboten. Sollten Hotfixes für das Betriebssystem fehlen, die für das Funktionieren von Exchange zwingend erforderlich sind, weist Sie das Installationsprogramm darauf hin.

Bitte beachten Sie, dass bei der Installation die Schlüssel in der Registry überschrieben werden, die die Anlagensicherheit in Outlook Web Access regelt. Sollten Sie hier also Änderungen vorgenommen haben, um zum Beispiel gewisse Anlagen für die Verwendung in OWA freizugeben oder zu sperren, müssen Sie diese Änderungen nach der Installation erneut vornehmen. Details finden sich ebenfalls in den Release Notes. Auch wenn die Installation des SP2 in allen unseren Tests und auch in diversen Produktivumgebungen bisher ohne Probleme verlaufen ist, sollten Sie natürlich die Exchange-Server vor dem Update wie üblich sichern. Sinnvoll ist es darüber hinaus, direkt nach der Installation eine weitere Sicherung vorzunehmen.

Beim Einsatz von Frontend-Servern gilt das bewährte Verfahren: Zuerst müssen die Frontend- Server aktualisiert werden, dann erst kommen die Backend-Server dran. Falls Sie mehrere Frontend-Server über Network Load Balancing zu einer ausfallsicheren Server-Farm kombiniert haben, sollten Sie unbedingt alle diese Frontends gleichzeitig oder zumindest zeitnah aktualisieren. Solange nur ein Teil der Server aktualisiert ist, wird es auf mobilen Clients zu diversen Fehlermeldungen hinsichtlich der Synchronisation kommen.

Der Intelligent Message Filter (IMF), die in Exchange integrierte Anti-Spam-Lösung, wird jedoch von SP2 auf jeden Fall mit installiert, bleibt jedoch deaktiviert. Diese Information ist wichtig, falls Sie bereits die Vorgängerversion von IMF installiert haben. Sie müssen in diesem Fall die alte Version vom IMF deinstallieren, bevor Sie SP2 installieren können. Findet die Installationsroutine eine installierte Version von IMF auf dem Server, so bricht sie mit einem entsprechenden Hinweis ab. Exchange Server 2003 SP2 erstellt während des Updates von Exchange Server 2003 oder Exchange Server 2003 SP1 den Registrierungsschlüssel mit dem Namen ContentFilter unter HKEY_LOCAL_MACHINE\Software\Microsoft\ Exchange nicht, wenn Intelligent Message Filter Version 1 zuvor nicht installiert wurde. Um eine erweiterte Funktionalität zu ermöglichen (z.B. Ändern des Archivverzeichnisses), müssen daher der Schlüssel HKEY_LOCAL_MACHINE\Software\ Microsoftxchange\ContentFilter manuell erstellt und der SMTP-Dienst erneut gestartet werden.

Nach dem erneuten Starten von SMTP werden alle unter diesem Schlüssel erstellten Werte automatisch aufgenommen. Weitere Neustarts von Diensten sind nicht erforderlich. Wenn Sie ein Update für den Computer ausführen und Intelligent Message Filter in der Version 1 zuvor installiert wurde, sind keine Aktionen erforderlich, da der Registrierungsschlüssel während des Updates beibehalten wird.

Die standardmäßige Installation von IMF ist auch der Grund, warum Sie bei der Installation des SP2 auf dem ersten Exchange-Server in Ihrer Organisation erweiterte Rechte benötigen. Denn damit die Konfiguration des IMF im Active Directory gespeichert werden kann, muss zusätzlich das Objekt

cn=UCE Content Filter,cn=Message Delivery,cn=Global
Settings,cn=<ORG NAME>,cn=Microsoft Exchange,
cn=Services,cn=configuration,dc=<Domain Name>

erstellt werden. Daher benötigen Sie das Recht Exchange Administrator oder höher auf der Ebene der Exchange-Organisation. Bei allen weiteren Exchange-Servern reichen dann wieder die altbekannten Rechte Lokaler Administrator auf dem Exchange-Server selbst sowie Exchange Administrator auf der Ebene der administrativen Gruppe, in der sich der zu aktualisierende Exchange-Server befindet. Die Installationsroutine prüft gleich zu Beginn, ob Sie über die notwendigen Rechte verfügen, und bricht zur Not mit einer entsprechenden Fehlermeldung ab.

Aufgrund des veränderten Verhaltens der DSProxy-Komponente sollten Sie vor der Installation die Platzierung Ihrer Global Catalog-Server daraufhin überprüfen, ob Ihre Umgebung von der Änderung betroffen ist. Näheres zum geänderten Verhalten finden Sie weiter unten im Artikel in einem eigenen Abschnitt. Nach der Installation meldet sich der Exchange-Server mit der neuen Build-Version 7638.2.

Öffentliche Ordner

Viele Exchange-Organisationen machen nach wie vor regen Gebrauch von den öffentlichen Ordnern. Leider ist das Management gerade von umfangreichen Datensammlungen innerhalb dieser Ordner für den Administrator nicht immer leicht. Mit dem SP2 verschwindet die Option, mit der man im Exchange System Manager die Einstellungen für einen öffentlichen Ordner über einen Rechtsklick auf alle Unterordner propagieren kann. Bei Verwendung dieser Option erhalten Sie 11 verschiedene Auswahlboxen, über die Sie einstellen können, welche Art von Konfigurationsinformationen propagiert werden sollen. Dazu gehören Dinge wie Berechtigungen, Replikate, Zeitplan für die Replikation, Ablaufzeiten und andere Einstellungen.

Diese für den erfahrenen und vorsichtigen Administrator manchmal nützliche Funktion hat aber in den meisten Fällen zu Problemen geführt. Vielen Administratoren ist es nicht klar, dass bei Verwendung dieser Option die Einstellungen des übergeordneten Ordners ohne Gnade auf alle Unterordner geschrieben werden. Fügt man zum Beispiel einen Benutzer mit Leserechten neu zu dem übergeordneten Ordner hinzu, so erwarten viele Admins, dass bei einer Propagierung genau diese Änderung auf die untergeordneten Ordner angewandt wird. Allerdings fügt Exchange nicht einfach diesen einen neuen Eintrag in jede Zugangskontrollliste aller relevanten Unterordner ein, sondern der Server überschreibt die vorhandene Liste mit der des übergeordneten Ordners. Hat also ein Benutzer X Rechte auf einen Unterordner, aber nicht auf den übergeordneten Ordner, so würde ein Propagieren der Rechte dafür sorgen, dass Benutzer X auch auf den Unterordner nicht mehr zugreifen kann.

Als Ersatz gibt es einen neuen Assistenten, mit dem man ausgewählte Eigenschaften auf Unterordner kopieren kann. Neu ist, dass man mit dem Assistenten auch gezielt eine Änderung an den Zugriffsrechten vererben kann, ohne die ansonsten vorhandene Rechtestruktur zu verlieren.

Auch beim Management von Replikaten ist der neue Assistent eine Hilfe. Bisher war es nicht ganz einleuchtend, wie man alle Replikate von einem Server auf einen anderen verschieben kann. Denn häufig weiß man als Administrator nach einiger Zeit nicht mehr so genau, welcher Ordner denn nun wirklich auf welchem Exchange-Server als Replikat liegt. Der Assistent bietet nun die Möglichkeit, in wenigen Schritten alle Replikate von Server A auf Server B zu verschieben. Das ist vor allem bei Migrationen praktisch oder in anderen Situationen, in denen man sicherstellen muss, dass alle Replikate von einem bestimmten Server verschwunden sind.

SP2 sorgt auch dafür, dass Daten nicht aus Versehen gelöscht werden. Wenn ein öffentlicher Informationsspeicher noch Ordner enthält, deren Inhalte noch nicht auf einen anderen Server repliziert wurden, so kann der Administrator diesen Informationsspeicher nicht löschen. Erst wenn alle Daten auf einen anderen Server repliziert wurden und so sichergestellt ist, dass alle Nachrichten an einer anderen Stelle existieren, lässt sich der Informationsspeicher löschen. Um die Arbeit weiter zu erleichtern, gibt es für den öffentlichen Informationsspeicher ein neues Kontextmenü, mit dem man genau von dieser Stelle aus alle Replikate in einen anderen öffentlichen Informationsspeicher verschieben kann.

Nicht Bestandteil von Service Pack 2, aber im Zusammenhang mit öffentlichen Ordnern trotzdem sehr erwähnenswert ist das Tool PFDAVAdmin. Dieses Tool wurde überarbeitet und offiziell veröffentlicht. Dadurch hat es nun den gleichen Status wie andere nützliche Tools für den Exchange Server, die im Rahmen eines Web Release veröffentlicht werden. Zu finden ist die aktuelle Version unter www.microsoft.com/downloads/details.aspx?FamilyID=635be792-d8ad-49e3-ada4-e2422c0ab424&DisplayLang=en. Wir werden die aktuelle Version zusammen mit einigen anderen in den letzten Wochen erschienenen neuen und überarbeiteten Exchange-Helferlein in einer der nächsten Ausgaben im Detail vorstellen.

Exchange ActiveSync und E-Mail Push

Bereits seit der ersten Version von Exchange 2003 werden mobile Geräte über Server ActiveSync sehr gut und ohne Mehrkosten bei den Lizenzen unterstützt. Einige Benutzer haben jedoch die teilweise umständliche Konfiguration der Push-Funktionen des Exchange 2003 Servers bemängelt. Hier legt Microsoft mit dem Service Pack 2 nun nach und bietet im Zusammenspiel mit Endgeräten, die Windows Mobile 5.0 als Betriebssystem nutzen, eine neue Push-Funktion an. Sie kommt ohne Benachrichtigung der Geräte via Short Message Service aus und verwendet einfach die bestehene Datenverbindung zum Server. Das Ganze geschieht über das http-Protokoll, erfordert also nicht das Öffnen besonderer Ports an der Firewall. Auch wenn man über den Nutzen von Push im Gegensatz zu einer regelmäßigen Synchronisation vor allem dann streiten kann, wenn man mehrere hundert Mails am Tag bekommt, schließt Microsoft so eine vermeintliche Lücke im Hinblick auf Blackberry.

Voraussetzung für den Einsatz ist jedoch neben einem Exchange-Server 2003 mit installiertem Service Pack 2 auch ein Endgerät mit Windows Mobile 5.0, auf dem als Erweiterung das Messaging & Security Feature Pack installiert ist. Alle im Folgenden gemachten Aussagen beziehen sich auf diese Konfiguration.

Um die Kosten bei der Nutzung von mobilen Geräten zu senken, hat Microsoft das zwischen Gerät und Server verwendete Protokoll optimiert und verwendet analog zu Outlook Web Access das GZIP-Verfahren zur Datenkompression. Es ist also bei gleichem Nutzerverhalten mit stark reduzierten Mobilfunkkosten beim Einsatz zu rechnen.

Wer bisher aus Sicherheitsgründen kein mobiles E-Mail einsetzen wollte, sollte sich ebenfalls mit den neuen Mobilfunktionen beschäftigen. Denn nun ist es möglich, über einen Befehl aus der Unternehmenszentrale die Daten auf dem mobilen Endgerät komplett zu löschen. Das ist vor allem dann praktisch, wenn das Gerät verloren oder gestohlen wird oder wenn man verhindern möchte, dass ein gekündigter Mitarbeiter Daten mitnimmt. Sollte ein Gerät beim Versuch der Datenlöschung gerade offline sein, bleibt der Befehl in einer Warteschleife. Sobald das Gerät erreichbar ist, wird der Befehl ausgeführt. Der Administrator kann dabei jederzeit sehen, ob das Löschen der Daten funktioniert hat oder nicht. So ist jederzeit eine zuverlässige Risikobetrachtung möglich. Um diese Remote Wipe genannte Funktion nutzen zu können, müssen Sie nach dem Service Pack 2 auch noch die Komponente Microsoft Exchange ActiveSync Mobile Web Administration installieren, die bis zum Erscheinen dieses Artikels bereits verfügbar sein dürfte. Microsoft hat diese Funktion im Übrigen deshalb in ein eigenes Tool ausgelagert, damit es zum Beispiel von Mitarbeitern im Help Desk verwendet werden kann, die normalerweise keinen Zugriff auf die sonstige Administration der Exchange-Server haben. So kann nach einem Anruf eines Benutzers, der sein Gerät verloren hat, direkt vom Help Desk aus die Datenlöschung initiiert werden.

Das Gerät kann außerdem so konfiguriert werden, dass alle lokal gespeicherten Daten gelöscht werden, wenn mehr als x Mal ein falsches Kennwort eingegeben wurde. Hinzu kommen diverse neue Policies und die Möglichkeit, die Verwendung von PINs oder komplexen Kennwörtern auf den Endgeräten durch eine administrative Vorgabe zu erzwingen.

Hinzu kommen zahlreiche Verbesserungen im Bezug auf die Anwenderfreundlichkeit des mobilen Outlook Clients. Dazu gehört zum Beispiel die Möglichkeit, Bilder von Kontakten zu synchronisieren. Viel wichtiger dürfte für die meisten Anwender jedoch die Tatsache sein, dass neben Mails, Kontakten und Kalenderdaten nun auch Aufgaben über Exchange ActiveSync abgeglichen werden können.

Praktisch ist auch die Möglichkeit, endlich EMail-Adressen aus dem globalen Adressbuch über die drahtlose Verbindung suchen zu können. Somit wird der Einsatz des in Ausgabe 10/2005 vorgestellten Tools Global Contact Access überflüssig.

Die neuen mobilen Geräte unterstützen zur weiteren Erhöhung der Sicherheit nun auch mit S/MIME verschlüsselte oder digital signierte EMails. Und für die Anmeldung beim Server können nun auch Zertifikate verwendet werden, so dass man Benutzerinformationen samt Kennwort nicht mehr auf dem Endgerät speichern muss. Zum Einsatz der zertifikatsbasierten Anmeldung ist jedoch ähnlich wie bei Remote Wipe ein weiteres Administrationstool notwendig, welches erst noch von Microsoft nachgeliefert werden muss.

Die Verbreitung von mobiler E-Mail wird somit sicher weiter zunehmen, zumal die Lösung von Microsoft sehr eng und gut in den Exchange Server integriert ist und außerdem keine zusätzlichen Lizenzkosten anfallen. Gerade im Vergleich zum Wettbewerb, bei dem in der Regel zusätzliche Serverhardware, Lizenzkosten und monatliche Gebühren anfallen, ergibt sich so eine sehr günstige Kostensituation. Durch die Ende-zu-Ende-Verschlüsselung entfällt das derzeit beim Einsatz von Blackberry-Geräten diskutierte Sicherheitsrisiko durch ein zentral betriebenes Network Operating Center. Für Unternehmen, die Exchange 2003 einsetzen, dürfte also spätestens im Jahr 2006 der Zeitpunkt gekommen sein, über einen flächendeckenden Einsatz von mobilem EMail auf Basis der Microsoft Technologie nachzudenken.

Im Übrigen haben die deutschen Mobilfunk-Provider angekündigt, dass erste Geräte mit Windows Mobile 5.0 und den notwendigen Erweiterungen im Januar oder Februar 2006 auch in größeren Stückzahlen verfügbar sein werden. Inwiefern bereits vorhandene Geräte mit älterem Betriebssystem durch die Provider aktualisiert werden, bleibt unklar. Hier kann man nur hoffen, dass die Provider ein Einsehen haben und Updates zumindest für die Geräte anbieten, für die es technisch möglich ist. Bitte beachten Sie, dass Sie auch ein Gerät mit Windows Mobile 5.0 ohne das Erweiterungspaket durch Ihren Provider aktualisieren lassen müssen, um in den Genuss aller neuen Funktionen zu kommen.

Unklar ist die Situation auch bei Geräten von Drittherstellern wie Palm. Einige der Geräte von Palm wie der Treo 650 unterstützen ja bereits Exchange ActiveSync. Allerdings war zum Zeitpunkt der Erstellung dieses Artikels keine Aussage von Palm zu einem möglichen Update der Geräte auf das erweiterte Protokoll zu bekommen. Sicher ist nur, dass die Lizenz von Microsoft ein solches Update auf jeden Fall erlaubt. Ebenso unklar bleibt, wann entsprechende Geräte von anderen Lizenznehmern wie Nokia oder Motorola auf den Markt kommen werden.

Einen kurzen Überblick in englischer Sprache darüber, wie Exchange und Windows Mobile 5.0 zusammenarbeiten, finden Sie unter www.microsoft.com/exchange/evaluation/bettertogether/bt_m
obile.mspx. Eine Studie von IDC zu den Vorteilen, inklusive des konkreten Einsparungspozentials beim Einsatz der mobilen Push-Technologie von Microsoft, verbirgt sich hinter dieser URL: http://download.microsoft.com/download/c/7/d/c7 d98c4f-5469-49d6-9a76 288e9abe66a9/mobilemessaging-benefits.pdf. Und alle Details zum bereits erwähnten Messaging & Security Feature Pack sind hier zu finden: www.microsoft.com/windowsmobile/ business/5/default.mspx.

Bereits in den Ausgaben 6 und 7/2005 hatten wir eine kleine Artikelserie mit einer detaillierten Anleitung für die Einrichtung der mobilen Funktionen von Exchange 2003 veröffentlicht. Diese Anleitung ist nach wie vor gültig, da sich an den grundsätzlichen Mechanismen nichts geändert hat

Anti-Spam

Mit dem Service Pack 2 erscheint auch eine neue Version des Intelligent Message Filter, welcher in einer älteren Version bereits seit einigen Monaten als kostenloser Download für Exchange 2003 zur Verfügung steht. Service Pack 2 verbessert nun die Erkennungsrate des Filters deutlich, wobei sich Microsoft nach wie vor auf die in seiner Forschungsabteilung selbst entwickelten Algorithmen verlässt. Um die hohe Erkennungsrate auch dauerhaft zu gewährleisten, wird es in Zukunft häufiger Updates für die Filter Engine geben.

Außerdem hat Microsoft nun auf vielfältigen Wunsch die Möglichkeit geschaffen, dass Administratoren eigene Listen von Schlüsselwörtern in die Konfiguration des IMF einpflegen. Der Weg hierzu ist jedoch mit einigen Mühen versehen, da es keine Benutzeroberfläche für diesen Teil der Administration gibt. Stattdessen müssen Sie die Datei MSExchange.UceContentFilter.xml mit einem XML-Editor von Hand bearbeiten. Sie können Schlüsselwörter für den Betreff oder den Nachrichtentext angeben und unterschiedlich bewerten. Es ist auch möglich, dass der IMF sowohl im Betreff als auch im Nachrichtentext nach einem Schlüsselwort sucht. Ein Schlüsselwort kann dabei auch ein Text sein. Maximal 1000 Zeichen sind für jeden Eintrag möglich. Falls der von Ihnen eingegebene Text gefunden wird, wird der Spam Confidence Level gemäß Ihren Vorgaben angepasst. So können Sie dafür sorgen, dass EMails mit dem Wort „Viagra“ immer als Spam mit dem Level 9 markiert werden. Oder Sie setzen bei Nachrichten, bei denen im Betreff „Wichtige Information zu Exchange 2003“ steht, immer auf den Level 0, um eine Zustellung zu garantieren.

Zusätzlich zu dieser Schwarzweißkonfiguration können Sie für jeden Text einen Wert eingeben, der bei der Berechnung des SCL insgesamt berücksichtigt wird. Setzen Sie den Wert für „Hans“ zum Beispiel auf 8 fest und findet sich im Text außerdem das Wort „Gabi“, welches der IMF von Haus aus schon mit Level 6 bewertet, so wird der SCL am Ende auf 7 gesetzt werden. Weitere Details zu dieser Konfiguration finden Sie in den Release Notes. Am besten, Sie experimentieren ein wenig mit diesen Funktionen, bevor Sie das Ganze produktiv schalten. Oder Sie verlassen sich auf die Vorgaben des IMF und verzichten auf die aufwändige Pflege eigener Schlüsselwörter.

Als weitere Maßnahmen zur Spam-Abwehr implementiert Microsoft Sender-ID sowie zusätzliche Algorithmen zur Erkennung und Filterung von Phishing-E-Mails. Gerade der Schutz vor Phishing ist ein wichtiges Anliegen nicht nur von Microsoft, sondern natürlich auch von der Anwendergemeinde. In diesem Zusammenhang möchten wir Ihnen dringend den Einsatz von Outlook 2003 mit dem aktuellen Office Service Pack 2 empfehlen. Durch diese Aktualisierungen wird das Verhalten von Outlook bei verdächtigen E-Mails optimiert, um so den Schutz des Anwenders beim Erhalt von Phishing-Mails zu erhöhen.

Details zum neuen Anti-Spam-Framework von Microsoft haben wir bereits in Ausgabe 10/2005 veröffentlicht, so dass wir an dieser Stelle auf den entsprechenden Artikel verweisen. Ergänzend empfehlen wir Ihnen den Link http://blogs.technet.com/exchange/archive/2005/10/13/412487.aspx. Dieser Artikel erläutert im Detail, wie Sie den Sender ID-Status in Outlook sichtbar machen können. Der Sender ID- Status ist die MAPI-Eigenschaft einer E-Mail, in der das Ergebnis der Überprüfung der Sender ID gespeichert wird. Außerdem bietet der Artikel nochmals eine detaillierte Erläuterung, welche Auswirkungen die Ergebnisse der Überprüfung der Sender ID auf eine einzelne Nachricht haben.

Bitte bedenken Sie vor dem Einschalten der Sender ID-Überprüfung, dass diese Funktion bei entsprechender Konfiguration E-Mails löschen kann. Dieses Verhalten müssen Sie aber explizit so konfigurieren. Hinzu kommt, dass nur solche Mails überhaupt gelöscht werden können, bei denen der Absender mit an Sicherheit grenzender Wahrscheinlichkeit gefälscht ist. Das ist zum Beispiel dann der Fall, wenn die Absenderadresse eine Domäne enthält, die überhaupt nicht existiert. Eine E-Mail wird auch dann zur Löschung vorgesehen, wenn es für die in der Absenderadresse verwendete Domäne einen gültigen Sender ID-Eintrag gibt, in diesem aber definitiv die IPAdresse des sendenden Servers nicht enthalten ist. Ganz generell gelten für das Filtern auf Basis der Sender ID natürlich die gleichen Vorsichtsmaßnahmen wir beim Aussortieren von Spam auf Basis der klassischen Verfahren.

Für Sie als Administrator eines Mailsystems bedeutet das Erscheinen von Exchange 2003 SP2 aber auch, dass es nun erstmals eine größere Zahl von Unternehmen gibt, die mit den Sender IDInformationen arbeiten. Sollten Sie es also noch nicht getan haben, ist jetzt der Zeitpunkt gekommen, einen entsprechenden Eintrag in Ihr DNS-System einzupflegen.

Erweiterung des Informationsspeichers in dern Standard Edition, erhöhte Kontrolle auch für die Enterprise Edition

Als Exchange im Jahre 1996 erstmals auf den Markt kam, waren 16 GByte eine große Datenmenge. Es wurde erwartet, dass diese Menge ohne Probleme für das Mailaufkommen einiger hundert Benutzer über Jahre hinweg reichen würde. Doch die Zeiten haben sich geändert, und 16 GByte sind häufig auch bei nur 50 oder noch weniger Anwendern in ein paar Jahren oder sogar gar Monaten gefüllt.

Die kostengünstige Standard Edition von Exchange unterstützte bisher nur zwei Informationsspeicher mit einer maximalen Größe von jeweils 16 GByte, wobei ein Speicher für Postfächer und ein weiterer für öffentliche Ordner reserviert war. Beim Überschreiben dieser Grenze verweigert die Standard Edition das Starten des Informationsspeichers, und erst nachdem der Administrator mit einigen Mühen die Datenmenge reduziert hat, kann der Server wieder verwendet werden. Abhilfe konnte man bisher nur durch den Wechsel auf die vergleichsweise teuere Enterprise Edition schaffen, die bis zu 20 Informationsspeicher ohne wahrnehmbare Beschränkung unterstützt. Da aber viele Unternehmen die außerdem in der Enterprise Edition enthaltenen Funktionen wie X.400 oder Cluster-Fähigkeit nicht brauchen, erhöht Microsoft mit dem Service Pack 2 das Limit in der Standard Edition auf 75 GByte.

Noch ein Hinweis zum „unbegrenzten“ Informationsspeicher von Exchange 2003: Das tatsächliche Limit für einen Informationsspeicher liegt bei 8 TByte oder 8192 GByte. Die Enterprise Edition verweigert aus Sicherheitsgründen daher beim Überschreiten einer Datenbankgröße von 8000 GByte den Dienst.

Als Nebeneffekt dieser Anpassungen können Administratoren nun auch auf Servern mit der Enterprise Edition die Größe der Informationsspeicher limitieren und somit das Anwachsen der Mailberge kontrolliert steuern. Die im Folgenden gemachten Anmerkungen sind also für alle Exchange 2003 Server interessant, nicht nur für die Standard Edition.

Neben der Erhöhung des Limits wurde auch das Verfahren zur Überprüfung der Datenbankgröße optimiert. So wird jetzt die logische und nicht mehr die physikalische Größe des Informationsspeichers geprüft. Das ist auch sinnvoll, denn eine EDB-Datei mit 20 GByte kann durchaus aus 10 GByte aktuell nicht genutztem Speicherplatz bestehen. Denn Exchange-Informationsspeicher können zwar wachsen, schrumpfen aber beim Löschen von vielen Nachrichten nicht mehr. Wenn also eine Datenbank über das Limit wächst und Sie dann einige Daten herauslöschen, entfällt in Zukunft die bisher notwendige Offline- Defragmentierung. Die Überwachung des Limits erfolgt daher nun durch den Informationsspeicherdienst und nicht mehr durch den in der Architektur tiefer angesiedelten Datenbanklayer. Außerdem können Sie den Zeitpunkt der Limit-Überprüfung konfigurieren, die nach wie vor alle 24 Stunden erfolgt.

Warnungen, dass das gesetzte Limit überschritten wird, werden jetzt beim Erreichen von 90 % des gesetzten Limits ausgegeben. Daher kommt auch die neue Standardkonfiguration von 18 GByte. Unternehmen, die bisher mit 16 GByte geplant haben, erhalten nun beim Überschreiten dieses Limits rechtzeitig Warnungen, wenn Sie das Limit nicht händisch angepasst haben. Würde das Limit gleich auf 75 GByte erhöht, würde eine Warnung erst bei 67,5 GByte erfolgen. Bis es soweit ist, könnte aber ein Exchange-Server, dessen Plattenplatz lediglich für eine maximale Datenbankgröße von 16 GByte designt wurde, bereits Probleme bekommen.

Allerdings gibt es kein Benutzerinterface zum Erhöhen des Limits, und nur das Aufspielen des Service Pack ändert zunächst fast nichts. Bei der Standard Edition erhöht sich das Standardlimit nur von 16 auf 18 Gbyte, und bei der Enterprise Edition bleibt alles unverändert. Es sind eigens Änderungen in der Registry notwendig, um das Limit zu erhöhen. Seien Sie an dieser Stelle, wie immer bei Eingriffen in die Registry, entsprechend vorsichtig.

Die Einträge müssen alle von Ihnen erstellt werden, sind also nach einer Standard- oder Neuinstallation nicht vorhanden. Das Limit muss für jeden Informationsspeicher einzeln gesetzt werden. Die Werte müssen dezimal und nicht hexadezimal eingegeben werden.

Für jeden Informationsspeicher finden Sie in der Registry einen Eintrag wie in diesem Beispiel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
MSExchangeIS\<SERVER NAME>\Private-013e2e46-
2cd7-4a8e-bfec-0e4652b94b00

Hier müssen Sie folgende Einträge vornehmen:

Falls Sie den Puffer anpassen möchten, so können Sie die entsprechende Prozentzahl über diesen Wert anpassen:

Den Zeitpunkt der Überprüfung des Limits können
Sie über diesen Key steuern:

Ein Wert von 3 sorgt also dafür, dass die Überprüfung um drei Uhr morgens erfolgt. Standardmäßig erfolgt die Prüfung übrigens morgens um 5 Uhr.

Auch bei der Überprüfung ist Exchange 2003 mit Service Pack 2 nicht mehr ganz so gnadenlos. Entdeckt der Server zum ersten Mal eine Überschreitung des konfigurierten Limits, wird dies nur im Event Log vermerkt. Die Datenbank bleibt aber online. Erst wenn eine erneute Überprüfung nach 24 Stunden ergibt, dass das Limit immer noch überschritten ist, wird die Datenbank offline geschaltet. So hat man immer 24 Stunden Zeit, um auf die Meldung zu reagieren, bevor die Anwender nicht mehr auf ihre Postfächer zugreifen können.

Offline-Adressbuch

Viele Unternehmen nutzen inzwischen den Cached Mode von Outlook 2003 in Kombination mit einer hoch-konsolidierten Exchange Infrastruktur. Dabei kommt auch, wie in anderen Szenarien, das Offline Adressbuch zum Einsatz. Gerade in größeren Umgebungen hat das bisherige Verfahren zur Erstellung und Verteilung des Offline-Adressbuchs zu Problemen hinsichtlich Performance, Netzwerklast und Aktualität geführt. Mit dem Service Pack 2 führt Microsoft daher die inzwischen 4. Version des Offline-Adressbuchs ein. Dieses ist speziell für den Einsatz mit dem Cached Mode von Outlook 2003 optimiert und kann daher nur von Clients mit Outlook 2003 eingesetzt werden, die darüber hinaus mit dem aktuellen Service Pack 2 für Office 2003 ausgerüstet sind. Alle älteren Versionen von Outlook müssen nach wie vor die älteren Formate des Offline-Adressbuchs einsetzen.

Doch was ist das Besondere am neuen Format? Zum einen wird der Index für das Adressbuch jetzt lokal vom Client erstellt. Dadurch müssen die Indexdateien nicht mehr vom Server zum Client über das Netzwerk transferiert werden. Außerdem hat das den Vorteil, dass bei der Erstellung des Indexes nun die Spracheinstellungen und Sortierreihenfolgen des jeweiligen Clients verwendet werden. Zum anderen werden die Daten jetzt mit dem LZX-Verfahren komprimiert, welches auch beim Windows-Update zum Einsatz kommt. Auch das reduziert die Menge der pro Client zu übertragenden Daten deutlich.

Auch gibt es nun deutlich weniger Gründe für den Client, statt den Änderungen seit dem letzten Update erneut das komplette Adressbuch herunterzuladen. Mit der wichtigste Fortschritt dürfte jedoch der Einsatz der Binary Delta Compression im Rahmen so genannter BinpatchDateien sein. Dadurch werden die für die Aktualisierung des Offline-Adressbuchs zu übertragenden Dateien deutlich kleiner als bisher. Dieser Punkt wird dadurch verstärkt, dass Attribute eines Adressbucheintrags, die extrem lang beziehungsweise groß sind, nicht mehr in das Offline-Adressbuch übernommen werden.

Damit die Clients auch mit dem neuen Format arbeiten, muss das Profil für den Zugriff auf den Exchange-Server im Unicode-Modus konfiguriert sein. Um zu prüfen, ob Ihr Outlook 2003 richtig konfiguriert ist, müssen Sie sich die erweiterten Eigenschaften Ihres Outlook-Profils ansehen. Unter der Überschrift Postfachmodus muss der Satz Outlook verwendet für die Kommunikation mit dem Microsoft Exchange Server den Unicodemodus stehen, damit das neue Offline-Addressbuchformat zum Einsatz kommt. Ist das nicht der Fall, wird die alte Variante verwendet, und zwar´das OAB 2-Format.

Zentrale Konfiguration Cached Mode

Um den Zugriff auf die Exchange-Server besser zu steuern, hat Microsoft die Option eingeführt, die Zugriffsmöglichkeit über MAPI pro Anwender komplett abzuschalten. Auf solche Postfächer kann dann mit Outlook nicht mehr zugegriffen werden. Ein Zugriff über Outlook Web Access oder POP3/IMAP4 oder aber auch über mobile Endgeräte mit Outlook Mobile Access oder Exchange ActiveSync ist jedoch nach wie vor möglich. Diese Option wurde vor allem für Application Service Provider geschaffen, die den Zugriff auf die Postfächer genauer steuern wollen.

Zusätzlich kann bei erlaubtem Zugriff über MAPI dafür gesorgt werden, dass nur Outlook 2003-Clients im Cached Mode verwendet werden dürfen. Diese Option könnte auch für Unternehmen interessant sein, die die Verwendung des Cached Mode in jeder Situation forcieren möchten.

Ähnlich wie bei den erweiterten Konfigurationsoptionen für die Größe der Informationsspeicher, gibt es jedoch auch für diese Funktion keine Benutzeroberfläche. Wenn Sie mit dieser Beschränkung arbeiten möchten, müssen Sie mit ADSIEdit die entsprechenden Attribute von Hand im Active Directory eintragen. Das genaue Vorgehen und weitere Hintergrundinformationen finden Sie in Artikel 288894 in der Knowledge Base sowie in den Release Notes zum Service Pack.

Outlook Web Access

Nur für international tätige Unternehmen von Bedeutung ist, dass es mit SP2 in OWA nun auch eine Rechtschreibprüfung für Portugiesisch gibt. Dabei wird sowohl der iberische als auch der brasilianische Dialekt unterstützt.

Bild 1: In den erweiterten Eigenschaften des Outlook-Profils, kann die Verwendung es Unicode-Modus überprüft werden.

Migration von anderen Systemen

Als weitere Neuerung enthält das Service Pack 2 neue Tools für die Migration von Novell Groupwise. Diese unterstützen nun auch eine problemlose Migration von Groupwise in der Version 6.x. Die für eine Migration von Lotus Notes/Domino-relevanten Komponenten wurden im Service Pack 2 nur leicht überarbeitet. Microsoft hat hier vor allem einige bekannten Fehler behoben. Allerdings wird Microsoft in Kürze komplett überarbeitete Versionen der entsprechenden Programme als Web Update veröffentlichen. Darin wird sowohl eine neue Version des Migration Wizard als auch neue Versionen des Notes Connector und den Calendar Connector enthalten sein. Diese neuen Programme werden zwingend Exchange Server 2003 mit installiertem Service Pack 2 voraussetzen.

Virtualisierung

Bis zum Erscheinen von Service Pack 2 wurde das Ausführen von Exchange in virtuellen Maschinen wie dem Microsoft Virtual Server 2005 nicht unterstützt. Durch einige Änderungen im Produkt und nach ausführlichen Tests hat Microsoft diese Policy nun geändert. Exchange 2003 wird von Microsoft nun offiziell in virtuellen Umgebungen unterstützt, wenn die folgenden Bedingungen eingehalten werden:

Bitte beachten Sie vor einem produktiven Einsatz dieser Lösung alle relevanten Details. So ersetzt zum Beispiel ein Kopieren der virtuellen Festplatten (VHD) eine reguläre Datensicherung über die altbewährten Methoden nicht.

Falls Sie die Aussagen von Microsoft zum Thema Virtualisierung von Exchange im Detail nachlesen möchten, so sollten Sie den Knowledge Base-Artikel mit der Nummer 320220 lesen. Er enthält auch zahlreiche Verweise auf andere wichtige Artikel und Erläuterungen zum Thema, außerdem konkrete Tipps zur Dimensionierung der physikalischen Hardware und der Konfiguration der virtuellen Maschinen. Gerade im Zusammenhang mit Exchange gibt es einige Besonderheiten, vor allem hinsichtlich der Festplattenkonfiguration.

Die offizielle Unterstützung für den Virtual Server bedeutet im Übrigen keinesfalls, dass jede beliebige Virtualisierungsumgebung unterstützt wird. In diese Kategorie fallen auch die beliebten Produkte von VMWare. Auch hier gibt es einen Knowledge Base-Artikel, und zwar mit der Nummer 897615. Falls Sie Exchange in einer solchen Umgebung betreiben und keinen Premier-Support-Vertrag mit Microsoft haben, so müssen Sie jedes auftretende Problem zunächst in einer nichtvirtuellen Umgebung nachstellen, bevor Sie sich an den Microsoft-Support wenden können. Falls Sie einen Premier-Support-Vertrag haben, wird Microsoft zunächst auch ohne Redproduzierung des Problems in einer Standardumgebung einen „angemessenen“ Support leisten. Allerdings kann der Support-Mitarbeiter auch hier verlangen, dass das Problem auf „echter“ Hardware nachgestellt wird. Diese Policy gilt übrigens nicht nur für Exchange, sondern für alle Microsoft-Produkte.

Bild 2: Aktivieren der neuen Mobility-Funktionen.

Verändertes Verhalten von DSProxy

DSProxy ist die Komponente von Exchange 2003, die für den Zugriff der Outlook-Clients auf die Adressdaten im Active Directory zuständig ist. Neuere Outlook-Versionen ab Outlook 2000 erhalten von DSProxy die Information, welchen Global Catalog-Server sie in Zukunft für Adressdaten verwenden sollen. Hier spricht man von LDAP Referral, also einer Weiterleitung. Ältere Outlook-Clients, die nicht direkt mit einem Global Catalog sprechen können, oder andere Clients mit gleichem Verhalten, besorgen sich ihre Adressdaten weiterhin vom Exchange-Server. In diesem Fall ist DSProxy dafür zuständig, die Adressdaten im Namen des Clients beim Global Catalog-Server zu besorgen. Daher kommt auch der Begriff Proxy als Teil des Komponentennamens. Im Übrigen verwendet auch Outlook 2003 bei der Verwendung von RPC über https DSProxy für den indirekten Zugriff auf den Global Catalog-Server, falls auf dem Exchange Server 2003 ein Service Pack 1 installiert ist.

Mit dem Service Pack 2 hat Microsoft das Verhalten von DSProxy erneut überarbeitet. DSProxy versucht nun, dem anfragenden Client immer einen GC zuzuweisen, der in der gleichen Domäne beheimatet ist wie das mit dem aktuellen Postfach versehene Benutzerobjekt. Dadurch wird sichergestellt, dass der Benutzer in jedem Fall Stellvertreterberechtigungen auf sein Postfach vergeben kann. Dieses war bisher immer dann nicht möglich, wenn Outlook mit einem GC in einer anderen Domäne kommuniziert hat. Auch funktioniert das Veröffentlichen eines Zertifikats für Mailverschlüsselung und digitale Unterschriften durch den Client nun. Und der Anwender kann in Outlook, wenn er über die entsprechenden Rechte verfügt, Gruppenmitgliedschaften für Gruppen aus seiner Domäne ändern.

DSProxy verwendet einen fünfstufigen Algorithmus, um den richtigen GC zu finden:

  1. Ein GC ist verfügbar, geprüft über RPC Ping: 16 Punkte

  2. Ein GC unterstützt das vom Client verwendete Protokoll: 8 Punkte

  3. Ein GC gehört zur gleichen Domäne wie der Benutzer: 4 Punkte

  4. Ein GC gehört zum gleichen Active Directory-Standort wie der Exchange Server mit dem Postfach des Benutzers: 2 Punkte

  5. Ein GC ist einer der GCs, den der Exchange Server mit dem Postfach des Benutzers gerade selbst verwendet: 1 Punkt

Dem Client wird der GC mit der höchsten Punktzahl zugewiesen. Haben mehrere GCs die gleiche Punktzahl, so werden sie im Round-Robin-Verfahren zyklisch an die Clients gemeldet. Gerade in größeren, komplexen Umgebungen kann diese Änderung auch zu negativen Effekten führen, da Clients nun andere GCs verwenden als bisher. Vor allem kann es in sehr ungünstig gelagerten Fällen dazu kommen, dass Exchange nun GCs in AD-Standorten außerhalb des Standorts des Postfach-Servers zuweist.

Eine sehr detaillierte Beschreibung dieses Verhaltens mit weiteren Links finden Sie auch unter
http://blogs.technet.com/exchange/archive/2005/11/04/413669.aspx.

Weitere Informationen und Fazit

Wie immer gibt es zum neuen Service Pack zahlreiche Informationen im Internet. Wir möchten an dieser Stelle noch einige besonders wichtige Links aufführen.

Insgesamt gesehen hat Microsoft mit dem Service Pack 2 ein wichtiges Update veröffentlicht, welches jeder Exchange-Administrator sobald wie möglich installieren sollte.

Serienfortsetzung

Teil 3 der Artikelserie „Outlook erweitern“ folgt in Ausgabe 2/2006 von Expert´s inside NT+Exchange.