Bundesamt für Sicherheit in der Informationstechnik

M 3.84 Einführung in Exchange-Systeme

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, Leiter IT

Im Fokus von Groupware liegt die Unterstützung von Gruppen bei der Zusammenarbeit, bei der Terminabstimmung, Koordination sowie bei der täglichen Kommunikation. Die Groupware-Lösung der Firma Microsoft setzt sich aus dem Microsoft Exchange-Server und Microsoft Outlook zusammen. Der Exchange-Server ist ein Managementsystem für Nachrichten, das überdies Funktionen im Bereich der Workflow-Unterstützung bietet: Es ist unter anderem dazu gedacht, in mittleren bis großen Behörden bzw. Unternehmen den internen und externen Austausch von Nachrichten, wie z. B. E-Mails, zu ermöglichen. Es können Nachrichten mit Exchange verwaltet, zugestellt, gefiltert und versendet werden. Ebenso werden typische Kommunikationsanwendungen wie Newsgroups, Kalender und Aufgabenlisten sowie Unified Messaging angeboten und von Exchange verwaltet.

Microsoft Outlook ist ein Groupware-Client, der Bestandteil des Office Paketes von Microsoft ist. Neben der reinen E-Mail-Funktionen bietet er eine Reihe von Zusatzfunktionen, die Geschäftsprozessabwicklungen, wie z. B. Kommunikation und Messaging, in Unternehmen und Behörden erleichtern sollen.

Als Microsoft Exchange-Systeme werden im Weiteren die Kombination von einem Exchange-Server und angeschlossenen Outlook-Clients bezeichnet. Die Darstellung beschränkt sich im Folgenden auf typische und in der Praxis häufig anzutreffende Installationen.

Exchange-Architektur

Der strukturelle und topologische Aufbau eines typischen Microsoft Exchange-Systems ist insbesondere vom Einsatzszenario abhängig: Die Bandbreite von Topologien kann sich von kleinen Unternehmen und Behörden, die über einen einzigen Server verfügen, auf dem alle Funktionen ausgeführt werden, bis hin zu großen Unternehmen und Behörden, die normalerweise getrennte Server für einzelne Funktionen und Liegenschaften haben, erstrecken. Dieser unterschiedliche Aufbau spiegelt sich ebenfalls in der Active-Directory-Standort-Topologie wieder: Das Microsoft Exchange-System integriert den Microsoft Verzeichnisdienst Active Directory (siehe Baustein B 5.16 Active Directory ). Der Integrationsgrad steigt mit jeder Version von Microsoft Exchange. Der Verzeichnisdienst kann auf mehrere (globale) Katalogserver verteilt sein.

Bei einem Microsoft Exchange-System unterscheidet sich der Bereitstellungsort des Dienstes und der Ort der Inanspruchnahme des Dienstes: Ein Dienst-Bereitstellungsort (Service Delivery Location, SDL) bezieht sich auf einen physikalischen Ort, an dem sich Microsoft Exchange und andere Server befinden. Ein SDL muss alle abhängigen Dienste bieten, die von Microsoft Exchange benötigt werden. Neben einer lokalen Netz-Infrastruktur (Local Area Network, LAN) gehören die Namensauflösung mit DNS (Domain Name System) und Verzeichnisdienste von Active Directory-Domänencontrollern bzw. globalen Katalogservern zu den unverzichtbaren Standortfaktoren. In Abbildung 1 wird der DNS-Dienst, die Funktionen der Domänencontroller und Verzeichnisdienste von den Globalen Katalogservern S-GC_01 und S-GC_02 bereitgestellt. Optional enthalten SDLs auch öffentliche, externe Netzverbindungen und entmilitarisierte Zonen (Demilitarized Zones, DMZ) bzw. Perimeter-Netze. Ein SDL kann aus einem oder mehreren Subnetzen bestehen und einen oder mehrere Active Directory-Standorte enthalten. SDLs entsprechen einem einzelnen Gebäude oder einer dedizierten Umgebung mit einem allgemeinen Backbone-Netz. SDLs sind immer durch eine WAN-Verbindung (Wide Area Network) voneinander getrennt. In Abbildung 1 ist diese Verbindung durch die Standortverknüpfung charakterisiert: In der Darstellung werden die Standorte A und B (wobei es sich jeweils um eine eigenständige Exchange-Organisation handelt) über ein weiteres Perimeter-Netz voneinander getrennt.

Auf einen SDL kann eine Gruppe von Clients von einem Ort zugreifen (Client Service Location, CSL). Ein CSL kann sich am selben Ort wie ein SDL oder an einem vom SDL getrennten Ort befinden. Ein CSL umfasst dabei auch Geräte, die ein gängiges Client-Zugriffsprotokoll ( POP3 , SMTP , IMAP ) über ein öffentliches Netz verwenden.

Microsoft Exchange Server

Zu dem typischen Funktionsumfang eines Microsoft-Exchange-Systems an einem SDL gehören neben der Bereitstellung von E-Mails, der Verwaltung von Terminen in Kalendern, dem Verwalten von Aufgaben, Kontakten und Adressen auch die Ablage von Dokumenten und Notizen. Ein Client kann von einem CSL über Microsoft Outlook oder Outlook-Web-Access diesen Funktionsumfang nutzen. Mit Outlook-Web-Access kann nicht der volle Funktionsumfang genutzt werden. Gängige E-Mail-Clients sind auf die reinen E-Mail-Funktionen des Exchange-Servers beschränkt. Für eine detaillierte Beschreibung der E-Mail-Protokolle sei auf die RFC-Dokumente der IETF (Internet Engineering Task Force) verwiesen.

Das Microsoft Exchange-System bietet mit dem Activesync-Protokoll ein verbreitetes proprietäres Synchronisierungsprotokoll für mobile Geräte. Sicherheitsfunktionen hinsichtlich Vertraulichkeit und Integrität bietet Exchange über die zertifikatsbasierte Authentisierung und Verschlüsselung über eine PKI mit der Unterstützung für S/MIME, die Unterstützung für das Sender-ID-E-Mail-Authentisierungsprotokoll und die Leitungsverschlüsselung zwischen Client und Server. Neben einem Anti-Spam-Filter werden auch Annahme- und Verweigerungslisten (White-/Blacklists) verwaltet. Über so genannte Konnektoren für einige Drittherstellerprodukte und andere Transportprotokolle kann die Interoperabilität mit Microsoft Exchange gesichert werden.

Neben der geografischen Einordnung von Microsoft Exchange-Systemen werden ebenfalls die physikalischen Topologien betrachtet. Die Beschreibung eines Netzes über die Verteilung von Serverdiensten und Rollen auf physikalische Elemente reicht von SDLs mit einem Server, mit mehreren Servern bis hin zu mehreren Standorten. Dabei können die Serverdienste zentralisiert oder verteilt sein.

Microsoft Outlook

Microsoft Outlook ist eine Anwendung, die als E-Mail-Client, Kollaborationswerkzeug und zum Verwalten von persönlichen Informationen (Personal Information Manager, PIM) eingesetzt wird. Unter Mac OS von Apple bietet Microsoft mit Entourage eine vom Funktionsumfang ähnliche Anwendung an. In Verbindung mit dem Microsoft Exchange Server kann Outlook den vollen Funktionsumfang nutzen: Terminverwaltung, die Abstimmung von Besprechungen und die Verwaltung von mehreren Teilnehmern, Ressourcen und Räumen. Microsoft Outlook bietet Kontakt-Datenbanken sowie eine Notizen- und Aufgaben-Verwaltung unter einer Oberfläche an. Allerdings kann Outlook auch ohne Microsoft Exchange Server verwendet werden, da die verbreiteten Internet-Protokolle POP3, IMAPv4 und SMTP für die E-Mail-Funktion unterstützt werden.

Standard- und Enterprise-Edition

Microsoft Exchange-Systeme unterscheiden sich zum Teil erheblich in den Ausprägungen und Versionen.

Microsoft Exchange Server wird jeweils als Standard- oder Enterprise-Edition ausgeliefert. Mit den Editionen werden funktionale Einschränkungen über entsprechende Lizenzen realisiert: Unterschiede ergeben sich meist durch die Anzahl der Speichergruppen, die Möglichkeit, mehrere Datenbanken zu verwalten, die maximale Größe von Datenbanken und die Hochverfügbarkeitsoptionen, wie z. B. Clustering. Als Architektur- und Weiterentwicklungs-Konsequenz werden Microsoft Exchange Server und Microsoft Office als 64-Bit Version ausgeliefert, die auf 64-Bit Microsoft-Betriebssystemen ausgeführt werden können. Es ist allerdings nicht möglich, ein Update von einer 32-Bit-Version auf eine 64-Bit-Version durchzuführen.

Die konkreten Ausführungen sind im Folgenden beispielhaft für die Version 2010 aufgeführt:

  • Microsoft Exchange 2010 wurde optimiert für die Deployment-Szenarien, in denen die Exchange-Dienste innerhalb einer Institution betrieben werden, so genannte "On Premise"-Installationen, als auch solche, in denen die Exchange-Dienste "on-demand" als externe Dienstleistung "Exchange Online" bereitgestellt werden. Microsoft selbst betreibt Rechenzentren, in denen Exchange Online betrieben und angeboten wird. Die Optimierung geht allerdings auch soweit, als dass On Premise-Installationen nahtlos zusammen mit Exchange Online betrieben werden können; damit ist die Integration von getrennten Exchange-Organisationen und die Skalierbarkeit durch Zukauf von Exchange Online-Diensten äußerst flexibel. Ein weiteres Highlight ist die integrierte Archivierungsfunktion für E-Mails: Damit ist ein einheitlicher Schutz von Informationen und die Einhaltung von Richtlinien im E-Mail-Archiv realisiert; die neue Funktion erleichtert die Speicherung und das Wiederauffinden von E-Mails im gesamten Unternehmen bzw. der gesamten Behörde mit Hilfe der intuitiven Exchange-Oberfläche.

Die Datenbanken zum Verwalten der Informationsspeicher von Microsoft Exchange Server 2010 wurden in ihrem Zugriffsverhalten umgestellt: Die Input-Output-Vorgänge auf den Festplattenspeichern waren vor der Version 2010 durch den kostspieligen Random-Access-Zugriff gekennzeichnet. Für diese Zugriffsart waren hochverfügbare und zuverlässige Festplattenverbünde notwendig. Durch die Umstellung auf Microsoft Exchange 2010 können nunmehr auch günstige SATA-Festplattenspeicher für den Einsatz als Informationsspeicher für die Datenbanken eingesetzt werden, da Microsoft Exchange 2010 sequentiellen Zugriff für die Verwaltung der Daten verwendet. Die Sicherstellung der Integrität und Verfügbarkeit wird über die Architektur des Microsoft Exchange Kerns realisiert: Wiederherstellungsfunktionen nach Katastrophen und Hochverfügbarkeitsoptionen sind aus den Erfahrungen mit CCR und SCR in eine einzige Lösung kombiniert worden. Neben dieser Lösung sind die Möglichkeiten LCR, SCC und das Clustern der Mailboxserver obsolet. Der Paradigmenwechsel der Serverrollenaufteilung zieht sich nun konsequenterweise bis hin zu den Datenbanken: Einzelne Postfachserver können zu Datenbank-Verfügbarkeitsgruppen (englisch: Data Availability Groups, kurz DAG) verbunden werden. Diese bieten nun automatische Wiederherstellung auf logischer Postfachebene anstatt auf physikalischer Serverebene. Damit entfallen konzeptuell auch die "Speichergruppen", da die Postfachdatenbanken nun nicht mehr mit dem Microsoft Windows Server-System verbunden sind, sondern unabhängig verwaltet werden. Die Neuerungen treffen nicht auf die Informationsspeicher von "Öffentlichen Ordnern" zu.

Wichtige Neuerungen ergeben sich durch die Transport- und Routing- Funktionen in Microsoft Exchange Server 2010: Nunmehr sind Workflow-Genehmigungsprozesse innerhalb der E-Mail-Anwendung umsetzbar. Das Konzept der "Shadow Redundanz" im Nachrichtentransport verhindert einen Nachrichtenverlust innerhalb des Routings, indem der Absender-Server eine Kopie der versendeten Nachrichten zurückhält, bis der nächste Kommunikationspartner die Auslieferung bestätigt. Die Routing-Funktionen ermöglichen die Verknüpfung von mehreren Exchange On-Premise-Installationen ("Cross-Premises") und Exchange-Online Diensten. Routingoptionen, wie z. B. das Verhindern einer Weiterleitung oder das Verschlüsseln von Inhalten, wird über Regeln (englisch: Rights Management Services, kurz RMS) implementiert. Diese können auch über die Exchange-Organisation bzw. SDL hinaus über entsprechende Vertrauensstellungen realisiert werden.

Mit Microsoft Exchange Server 2010 wurde die Web-Unterstützung in Form von Outlook Web Access stark ausgebaut: die native Unterstützung von Browsern wie Safari und Firefox konnte durch die konsequente Vermeidung von Microsoft-spezifischen aktiven Inhalten und Erweiterungen umgesetzt werden. Weiterhin können die Administrationstätigkeiten (englisch: Exchange Control Panel, kurz ECP) nun über die gleiche bekannte Web-Oberfläche von Outlook Web Access durchgeführt werden. Granulare Rollen und Aufgabenzuordnungen für unterschiedliche Administrator-Rollen und Administration durch Benutzer, wie z. B. die Anlage eines neuen Mitarbeiters oder die Verwaltung von Verteilerlisten, können über das Konzept der rollenbasierten Zugriffskontrolle (englisch Role Based Access Control, kurz RBAC) verwaltet werden. Insgesamt orientiert sich der Funktionsumfang der Outlook Web Access-Oberfläche nun deutlich stärker an der des Outlook-Software Clients.

Die Unterschiede der Standard- und Enterprise-Editionen verhalten sich analog zu denen des Microsoft Exchange Servers 2007.

Als Architektur- und Weiterentwicklungs-Konsequenz existiert in Microsoft Exchange Server 2010 ausschließlich die 64-Bit Version, die auf einem 64-Bit Microsoft-Betriebssystem, wie z. B. die x64-Version von Microsoft Windows Server 2003 oder die 64-Bit-Versionen des Microsoft Windows Servers 2008, ausgeführt werden muss.

Mit Microsoft Outlook 2010 wurden die Konzepte und Strategien zur Benutzerfreundlichkeit und Integration der Kommunikationsmöglichkeiten weiter ausgebaut: Voicemails werden in der Vorschau des Posteingangs direkt von natürlicher Sprache in lesbaren Text umgewandelt und angezeigt. Auch die in Microsoft Office 2007 eingeführte Ribbon-Oberfläche für die anderen Office-Anwendungen wird nun in Outlook integriert.

Die neue Funktion "MailTips" verhindert das Versenden von unnötigen E-Mails oder warnt vor eventuellen Missverständnissen beim Versenden an große Verteilergruppen oder externe Empfänger.

Mit den Funktionen "Clean Up" und "Ignore" können im Posteingang nunmehr Thread-basierte Zusammenfassungen der E-Mail-Nachrichten im Posteingang zur Verfügung gestellt werden und unerwünschte Nachrichtendiskussionen ignoriert werden.

Stand: 13. EL Stand 2013