Erweiterung der „kleinen Exchange Organisation“ – Teil 1

In den vorigen Artikeln, wurde eine sehr kleine Exchange Organisation aufgebaut und es wurde die Frage gestellt, ob sich nachträglich daraus eine Umgebung für eine höhere Anzahl an Benutzern und besserer Verfügbarkeit erstellen lässt. Eine höhere Anzahl von Benutzern lässt sich natürlich auch mit einer Singe Server Lösung abbilden, wenn die Ressourcen ausreichen. Im Falle eines Defekts betrifft der Ausfall dann natürlich alle Benutzer oder zumindest einen großen Teil.

Um die Frage noch einmal kurz zu wiederholen:

Ich würde die Umgebung gerne so nachbauen, derzeit sind wir nur ein kleines Unternehmen, mit noch relativ eingeschränkten Budget für die IT, wir sind bisher mit einer NAS als “Server” ausgekommen, allerdings kommen wir langsam an dessen Grenzen und wollen einen entsprechenden Server kaufen. Da wir aber auch schnell wachsen und ggf. eine weitere Firma aufkaufen, stellt sich mir die Frage, ob es möglich ist diese Beispielkonfiguration noch weiter auszubauen hinsichtlich Verfügbarkeit und höherer Benutzeranzahl?

Die Antwort auf diese Frage lautet: Ja, es geht. Die folgenden Artikel zeigen wie.

Die folgenden Artikel beziehen sich auf die vorherigen Artikel zur Aufbau einer kleinen Exchange 2016 Organisation. Daher bitte diese Artikel vorher lesen:

Vorwort

Das Thema Verfügbarkeit ist immer so eine Sache. Jedes Unternehmen definiert die Anforderungen an die Verfügbarkeit anders, dass ist auch nur logisch und auch richtig, denn in jedem Unternehmen, gibt es Dienste die wichtig, weil ggf. produktionskritisch, und Dienste die weniger wichtig sind. In welche Kategorie das Unternehmen also seinen Exchange Server einordnet, hängt vom Unternehmen ab.

Bei einer hochverfügbaren Exchange Umgebung gibt es allerdings einiges zu beachten, denn es sind viele unterschiedliche Komponenten beteiligt: Netzwerkinfrastruktur (Internetanbindung, Router, Switches, Firewalls, AntiSPAM Gateways), Serverhardware, Active Directory, DNS und schließlich auch die Exchange Server selbst.

Ich kann  an dieser Stelle leider nicht die „All-In-One“-Komplettlösung liefern, denn dazu fehlt mir die nötige Hardware. Daher werden die folgenden Artikel weniger die Netzwerkinfrastruktur behandeln, aber es wird sicherlich der ein oder andere Hinweis fallen.

Die Umgebung

Die kleine Exchange Umgebung sieht im Prinzip wie folgt aus:

Testumgebung1

Es gibt einen physikalischen Server (Server1), dieser Server beheimatet 3 virtuelle Maschinen: Sophos UTM als Firewall / AntiSPAM Gateway, Domain Controller und Exchange Server. Der Internetzugang erfolgt über eine Fritzbox.

Server1 ist ein ganz normaler Server mit lokalen Storage, ob nun Hyper-V, VMware ESXi oder was auch immer als Hypervisor eingesetzt wird, ist nebensächlich, denn wenn Server1 ausfällt wird es dunkel.

Daher wird die kleine Exchange Organisation etwas erweitert, um einen Serverausfall abfangen zu können:

Erweiterung der "kleinen Exchange Organisation"

Dazu werden zwei weitere Server benötigt. Server2 wird ebenfalls 3 VMs beheimaten, genau wie Server1 auch eine UTM, ein Domain Controller und einen Exchange Server. Server2 sollte also mindestens die gleiche Hardware Ausstattung haben wie Server1. Server3 muss nicht zwingend ein HyperVisor sein, daher ist er auch „kleiner“ gezeichnet. Für Server3 reicht ein Windows Server mit FileServer Rolle um später das Witness für Exchange bereitzustellen. In den folgenden Artikel gehe ich darauf noch detaillierter ein.

Vorbereitungen

Als Vorbereitung habe ich auf Server2 zwei virtuelle Windows 2012 R2 Server angelegt und zum bestehenden Active Directory hinzugefügt.

Die Namen der VMs lauten wie folgt:

  • dc2.frankysweb.org
  • exchange2.frankysweb.org

Die VM für die UTM kommt später dazu. Auf den WIndows Servern wurden nur die Windows Updates installiert und zur Domain hinzugefügt.

Die virtuellen Ressourcen sind gleich mit den VMs auf Server1.

Konfiguration zweiter Domain Controller auf Server2

Herzstück der kleinen Exchange Organisation ist das Active Directory. Es empfiehlt sich immer mindestens zwei Domain Controller pro Domain zu installieren, denn im Falle eines Ausfalls eines Domain Controllers steht sonst schnell die komplette Umgebung. Glücklicherweise ist es recht einfach das Active Directory redundant auszulegen. Es genügt im Prinzip einen weiteren Domain Controller hinzuzufügen. Im Falle der kleinen Exchange Organisation wurde also ein weiterer Server mit dem Namen „DC2“ installiert. DC2 verfügt über folgende Netzwerkkonfiguration:

image

Der Server mit dem Namen „DC2“ ist bisher nur Mitglied im Active Directory. Außer des Betriebssystems und der Windows Updates ist bisher nichts installiert.

image

Damit aus dem Server ein Domain Controller wird, müssen zunächst die Rolle installiert werden:

image

Nach der Installation, kann der Server zum DC hochgestuft werden. DC2 wird als zusätzlicher Domain Controller in das vorhandene Active Directory installiert:

image

Der neue Domain Controller wird ebenfalls DNS und Globaler Katalog, die restlichen Dialoge können mit „Weiter“ bestätigt werden:

image

Die Warnungen in der Voraussetzungsüberprüfung sind wie in den vorigen Beiträgen erwähnt normal.

image

Nach dem Neustart, stehen noch ein paar kleine Konfigurationen an. Die Netzwerkkonfiguration wird wie folgt abgeändert:

image

Somit können von diesem Server auch DNS-Records aufgelöst werden, wenn ein DNS Server ausfällt. DC2 sollte nun bereits die DNS Zonen durch die Active Directory Replikation erhalten haben:

image

Auch im Active Directory sollte es nun einen entsprechendes Computer Konto in der OU „Domain Controllers“ geben:

image

Alle weiteren Server und auch Clients (ggf. per DHCP) müssen nun den zusätzlichen DNS-Server konfiguriert bekommen. Hier als Beispiel der vorhandene Exchange Server mit dem Namen „Exchange“:

image

Wichtig: Alle Clients und Server müssen neben dem bevorzugten DNS Server auch den alternativen DNS Server konfiguriert bekommen, welcher DNS Server als erstes genannt wird, spielt im Prinzip keine Rolle. Fällt der bevorzugte DNS Server aus, wird auf ein TimeOut gewartet und dann der alternative DNS Server verwendet. Im Falle des Ausfalls den bevorzugten DNS Servers kann es also zu Wartezeiten kommen, wichtig ist aber: Es funktioniert weiterhin. Ebenfalls könnte man die Clients/Server 50/50 konfigurieren: 50% der Clients/Server benutzen „DC“ als bevorzugten DNS, die anderen 50% benutzen „DC2“.

Auch Exchange findet den zweiten DC und protokolliert dies mit EventID 2080:

image

Konfiguration Sophos UTM

Damit auch die Sophos UTM in der Lage ist beide Domain Controller zu verwenden, muss zunächst eine „Availability Group“ angelegt werden. Zu dieser Gruppe werden dann beide Domain Controller hinzugefügt:

image

Die neue Gruppe wird jetzt für die Authentication Services verwendet:

image

Somit ist auch die UTM in der Lage den Ausfall eines DCs zu tolerieren.

Zusammenfassung

Das Active Directory redundant auszulegen ist der einfachste Teil. Im Prinzip reicht es einen weiteren DC zu konfigurieren. Wichtig ist an dieser Stelle, dass alle Clients und Server auch den zweiten DC als DNS Server konfiguriert bekommen. Somit kann das Active Directory schon einmal den Ausfall von Server1 abfangen.

6 Gedanken zu „Erweiterung der „kleinen Exchange Organisation“ – Teil 1“

  1. Ich denke mal einige Admins bauen sich zum Lernen und testen so eine kleine virtuelle Umgebung in der Fa oder zu Hause auf … als MS Partner oder als Student kommt man ja an die Software ran … Mit den Artikeln gelingt ein Nachbau hervorragend und es auch noch einige klarer und wird erklärt … Danke .. Klasse Vorarbeit, was uns viel Zeit spart.

    Antworten
  2. Es gibt nichts unsicheres im Web als Email und sie wurden seit jeher in der Cloud gespeichert, nur nannte man das früher nicht so.
    Wenn man Herr über seine Daten sein will, hilft nur konsequente Verschlüsselung. Ende-zu-Ende bei Mails und Dateien. Aber dafür braucht man keine teure Infrastruktur. Erst wenn nicht mal mehr der interne Admin fremde Dateien oder Emails lesen kann, ist man Herrscher über seine Daten.

    Antworten
    • Hi,
      naja, ganz so schlimm sieht es dann doch nicht aus. Die meisten Mail Server kommunizieren verschlüsselt miteinander, der Transportweg der Mails ist also in vielen Fällen verschlüsselt. Natürlich kann man nach dem Versenden einer Mail (ohne entsprechende Maßnahmen) nicht mehr kontrollieren was mit den Daten passiert, hier hilft aber auch nicht zwingend Verschlüsselung der Daten weiter, denn ich kann gar nicht mit Sicherheit sagen ob eine Verbindung/Mail Ende-zu-Ende verschlüsselt ist, denn beim Empfänger könnte ein E-Mail Gateway sein, welches Ver- und Entschlüsselung am Gateway übernimmt. Auch eine Verschlüsselung der Mail würde nicht weiterhelfen, wenn ein User fälschlicherweise sensible Informationen per Mail an den falschen Empfänger schickt. Aber auch dafür gibt es Lösungen, nennt sich dann AD RMS.
      Gruß, Frank

      Antworten
  3. Da stimme ich Ulrich zu, aber nicht jeder möchte seine Emails in der Cloud haben.
    Und wenn jemand alleinig Herr über seine Daten sein möchte muss halt ein wenig in die Tasche greifen :-)

    Ich möchte Frank nochmals zu seinen sehr guten Anleitungen gratulieren, weiter so :-)

    Antworten
  4. Ich würde dem Fragesteller empfehlen einen der Exchange Online bzw. O365 Pläne zu nutzen. Das senkt die Komplexität und den Administrationsaufwand deutlich. Wenn man bedenkt, dass man min. 3x Windows Server+CAL, 2x Exchange+CAL, eine Exchange Backup Lösung braucht, verschlingt sowas recht viel Geld, von dem know how, dass man braucht ganz zu schweigen.
    Oder sehe ich das falsch?

    Antworten
    • Hi,
      ich mag das nicht mit Ja oder Nein beantworten, ich möchte die „Cloud“ weder verteufeln noch als Allheilmittel darstellen. Es kommt hier wie immer auf das Unternehmen an, was sind die Anforderungen, was ist bereits vorhanden, was muss gekauft werden usw. Exchange Online Plan 1 kostet für 100 Benutzer auf 3 Jahre gerechnet auch schon 12240 EUR. Allerdings war das auch mein erster Gedanke: Warum nicht Office 365!?
      Bitte diese Artikel aber auch nicht falsch verstehen, hier geht es um die Möglichkeiten und die Konfiguration, nicht darum das es für alle wie die Faust auf das Auge passt. (Und Office 365 kommt auch noch dran ;-) )
      Gruß, Frank

      Antworten

Schreibe einen Kommentar