c5541abf-15ce-464f-b5d2-758395fcdf3e Transport- und Routing-Handbuch für Microsoft Exchange Server 2003 Microsoft Corporation Veröffentlicht: 12.12.06 Autor: Exchange Server-Dokumentationsteam Kurzdarstellung In diesem Handbuch wird die Transport- und Routingfunktionsweise in Microsoft® Exchange Server 2003 und die Exchange-Konfiguration zum Aktivieren des internen und externen Nachrichtenflusses erläutert. Kommentare? Senden Sie Ihr Feedback an folgende Adresse: [email protected]. Contents Transport- und Routing-Handbuch für Exchange-Server ....................................................... 15 Teil eins ................................................................................................................................... 15 Informationen zu Routingkomponenten .................................................................................. 16 Typen von Routingkomponenten ......................................................................................... 16 Informationen über Routinggruppen .................................................................................... 17 Grundlagen zu Connectors .................................................................................................. 18 Informationen über Verbindungsstatusdetails ..................................................................... 19 Informationen über SMTP und Exchange Server 2003 .......................................................... 22 Wie durch Exchange Server die SMTP-Grundfunktionen erweitert werden ....................... 22 Empfangen von Internetmail ................................................................................................ 24 Senden von Internetmail ...................................................................................................... 25 Informationen zum virtuellen SMTP-Server ............................................................................ 26 Missverständnisse über mehrere virtuelle SMTP-Server .................................................... 27 Einstellungen für eingehende Nachrichten auf dem virtuellen SMTP-Server ..................... 27 Einstellungen für ausgehende Nachrichten auf dem virtuellen SMTP-Server .................... 28 Festlegen der Relayeinschränkungen .................................................................................... 29 Konfigurieren der Standardrelayeinschränkungen .............................................................. 30 Informationen zu SMTP-Connectors ....................................................................................... 31 Funktionen eines SMTP-Connectors ................................................................................... 34 Verwendungszwecke für einen SMTP-Connector ............................................................... 34 Transportabhängigkeiten in Exchange Server 2003 ............................................................... 37 Internetinformationsdienste (IIS) ......................................................................................... 38 Active Directory.................................................................................................................... 39 DNS (Domain Name System) .............................................................................................. 40 Empfängerrichtlinien ............................................................................................................ 44 Empfängeraktualisierungsdienst ......................................................................................... 45 DS2MB-Dienst (Directory Service to Metabase) ................................................................. 45 Teil zwei .................................................................................................................................. 46 Überprüfen des DNS-Designs und der Konfiguration ............................................................. 47 Konfigurieren von DNS für eingehende Nachrichten .......................................................... 48 Konfigurieren von DNS für ausgehende Nachrichten ......................................................... 48 Weitere Informationen ......................................................................................................... 49 Sicherstellen, dass MX-Einträge nicht auf den vollqualifizierten Domänennamen eines Exchange-Servers zeigen.................................................................................................... 50 Bevor Sie beginnen ............................................................................................................. 50 Verfahren ............................................................................................................................. 50 Überprüfen, dass MX-Einträge nicht auf eine interne Domäne zeigen .................................. 51 Bevor Sie beginnen ............................................................................................................. 51 Verfahren ............................................................................................................................. 51 Überprüfen, ob die Exchange-Server interne DNS-Namen auflösen können ........................ 52 Bevor Sie beginnen ............................................................................................................. 52 Verfahren ............................................................................................................................. 52 Überprüfen der Konfiguration von MX-Einträgen mithilfe von Nslookup ................................ 53 Bevor Sie beginnen ............................................................................................................. 53 Verfahren ............................................................................................................................. 54 Beispiel ................................................................................................................................ 54 Sicherstellen der Erreichbarkeit aus dem Internet mit Telnet ................................................. 55 Bevor Sie beginnen ............................................................................................................. 55 Verfahren ............................................................................................................................. 56 Konfigurieren von DNS-Einstellungen auf dem Exchange-Server ......................................... 56 Bevor Sie beginnen ............................................................................................................. 56 Verfahren ............................................................................................................................. 56 Konfigurieren der Einstellungen auf dem DNS-Server ........................................................... 57 Bevor Sie beginnen ............................................................................................................. 57 Verfahren ............................................................................................................................. 57 Konfigurieren von externen DNS-Servern auf einem ausgehenden virtuellen SMTP-Server 59 Bevor Sie beginnen ............................................................................................................. 59 Verfahren ............................................................................................................................. 59 Verwenden der DNS-Konfiguration mit dem DNS-Resolver................................................... 61 Bevor Sie beginnen ............................................................................................................. 61 Verfahren ............................................................................................................................. 61 Beispiel ................................................................................................................................ 62 Überprüfen der DNS-Konfiguration mithilfe von Nslookup ..................................................... 63 Bevor Sie beginnen ............................................................................................................. 63 Verfahren ............................................................................................................................. 63 Beispiel ................................................................................................................................ 63 Konfigurieren der Routingtopologie ........................................................................................ 64 Allgemeine Überlegungen zur Planung ............................................................................... 65 Gängige Routingtopologien .................................................................................................... 66 Zentralisierte Messagingtopologie ....................................................................................... 66 Verteilte Messagingtopologie .............................................................................................. 67 Definieren von Routinggruppen .............................................................................................. 69 Definieren von Routinggruppenconnectors und Bridgeheadservern .................................. 71 Verbinden von Routinggruppen ........................................................................................... 74 Konfigurieren der Optionen für einen Routinggruppenconnector ........................................... 76 Bevor Sie beginnen ............................................................................................................. 76 Verfahren ............................................................................................................................. 76 Angeben eines Remotebridgeheadservers für einen Routinggruppenconnector ................... 77 Bevor Sie beginnen ............................................................................................................. 77 Verfahren ............................................................................................................................. 78 Grundlagen zu Connectorbereichen und -beschränkungen ................................................... 79 Verwenden von Connectorbereichen zum Einschränken der Verwendung ........................ 80 Einschränken der Verwendung mithilfe von Empfangseinschränkungen ........................... 81 Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen ........................... 83 Bevor Sie beginnen ............................................................................................................. 83 Verfahren ............................................................................................................................. 84 Festlegen eines Routinggruppenmasters ............................................................................... 84 Festlegen eines anderen Servers als Routinggruppenmaster................................................ 86 Bevor Sie beginnen ............................................................................................................. 86 Verfahren ............................................................................................................................. 86 Erweiterte Routingkonfiguration .............................................................................................. 86 Verwenden von Connectors für Lastenausgleich und Failover ........................................... 87 Unterdrücken des Verbindungsstatus-Datenverkehrs für Connectors ................................ 88 Erstellen von Routinggruppen ................................................................................................. 90 Bevor Sie beginnen ............................................................................................................. 91 Verfahren ............................................................................................................................. 91 Bereitstellungsszenarios für Internetverbindungen ................................................................. 92 Häufige Bereitstellungsszenarios ............................................................................................ 94 Verwenden eines einzelnen Exchange-Servers mit Standardkonfiguration ........................... 96 Basiskonfiguration ............................................................................................................... 96 Eingehende Internetmail ...................................................................................................... 96 Ausgehende Internetmail ..................................................................................................... 97 Verwenden eines mit zwei Netzwerken verbundenen Exchange-Servers als Internetgateway ............................................................................................................................................. 97 Basiskonfiguration ............................................................................................................... 97 Eingehende Internet-E-Mail-Nachrichten ............................................................................ 99 Ausgehende Internet-E-Mail-Nachrichten ........................................................................... 99 Konfigurieren eines Dual-Homed-Exchange-Servers mit dem Assistent für Internet-E-MailNachrichten .................................................................................................................... 100 Sicherheitsaspekte ............................................................................................................ 101 Verwenden eines Bridgeheadservers hinter einer Firewall .................................................. 102 Basiskonfiguration ............................................................................................................. 103 Eingehende Internet-E-Mail-Nachrichten .......................................................................... 104 Ausgehende Internet-E-Mail-Nachrichten ......................................................................... 105 Verwenden eines Windows-SMTP-Relayservers in einem Umkreisnetzwerk ...................... 105 Basiskonfiguration ............................................................................................................. 106 Eingehende Internet-E-Mail-Nachrichten .......................................................................... 107 Ausgehende Internet-E-Mail-Nachrichten ......................................................................... 108 Benutzerdefinierte Bereitstellungsszenarios ......................................................................... 108 Senden und Empfangen von E-Mail-Nachrichten über einen Netzwerkdienstanbieter ........ 109 Unterstützung von zwei SMTP-Maildomänen und gemeinsame Nutzung einer SMTPMaildomäne zusammen mit einem anderen E-Mail-System ............................................. 110 Unterstützung von zwei SMTP-Maildomänen ................................................................... 110 Gemeinsame Nutzung einer SMTP-Maildomäne mit einem anderen System .................. 115 Unterstützen von zusätzlichen Mailsystemen.................................................................... 120 Aktivieren der Funktion zum Umschreiben von Adressen mithilfe von „exarcfg“ ................. 121 Bevor Sie beginnen ........................................................................................................... 121 Verfahren ........................................................................................................................... 122 Erstellen eines Kontakts in Active Directory ......................................................................... 122 Bevor Sie beginnen ........................................................................................................... 122 Verfahren ........................................................................................................................... 122 Anzeigen der Einstellung, mit der die autorisierende Eigenschaft von Exchange Server festgelegt wird .................................................................................................................... 124 Bevor Sie beginnen ........................................................................................................... 125 Verfahren ........................................................................................................................... 125 Ändern der Standardempfängerrichtlinie .............................................................................. 126 Bevor Sie beginnen ........................................................................................................... 127 Verfahren ........................................................................................................................... 127 Erstellen einer Empfängerrichtlinie mit höherer Priorität für die gemeinsam verwendete EMail-Domäne ..................................................................................................................... 128 Bevor Sie beginnen ........................................................................................................... 128 Verfahren ........................................................................................................................... 128 Ändern einer vorhandenen Empfängerrichtlinie für die gemeinsam zu nutzende SMTPDomäne ............................................................................................................................. 129 Bevor Sie beginnen ........................................................................................................... 129 Verfahren ........................................................................................................................... 130 Erstellen einer neuen Empfängerrichtlinie für eine SMTP-E-Mail-Domäne, für die es noch keine Empfängerrichtlinie gibt ........................................................................................... 130 Bevor Sie beginnen ........................................................................................................... 130 Verfahren ........................................................................................................................... 131 Erstellen eines SMTP-Connectors zur Weiterleitung von E-Mail-Nachrichten an einen bestimmten Host ................................................................................................................ 132 Bevor Sie beginnen ........................................................................................................... 132 Verfahren ........................................................................................................................... 132 Freigeben aller Adressräume innerhalb der Exchange-Organisation ................................... 133 Bevor Sie beginnen ........................................................................................................... 133 Verfahren ........................................................................................................................... 133 Konfigurieren einer gesamtstrukturübergreifenden SMTP-Mail-Zusammenarbeit ............... 134 Aktivieren der gesamtstrukturübergreifenden Authentifizierung........................................ 136 Aktivieren der gesamtstrukturübergreifenden Übertragung durch Auflösen anonymer EMail-Nachrichten ............................................................................................................ 137 Erstellen des für die gesamtstrukturübergreifende Authentifizierung verwendeten Kontos . 140 Bevor Sie beginnen ........................................................................................................... 141 Verfahren ........................................................................................................................... 141 Konfigurieren eines Connectors und Festlegen einer gesamtstrukturübergreifenden Authentifizierung ................................................................................................................ 142 Bevor Sie beginnen ........................................................................................................... 143 Verfahren ........................................................................................................................... 143 Beschränken des Zugriffs auf den empfangenden Bridgeheadserver nach IP-Adressen .... 146 Bevor Sie beginnen ........................................................................................................... 147 Verfahren ........................................................................................................................... 147 Konfigurieren eines virtuellen SMTP-Servers für das Auflösen anonymer E-Mail-Adressen 148 Bevor Sie beginnen ........................................................................................................... 148 Verfahren ........................................................................................................................... 148 Aktivieren eines Exchange-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften ................................................................................................. 149 Bevor Sie beginnen ........................................................................................................... 149 Verfahren ........................................................................................................................... 149 Aktivieren eines virtuellen SMTP-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften ................................................................................................. 150 Bevor Sie beginnen ........................................................................................................... 150 Verfahren ........................................................................................................................... 151 Konfigurieren eines Windows Server 2003-Servers als Relayserver oder Smarthost ......... 151 Bevor Sie beginnen ........................................................................................................... 151 Verfahren ........................................................................................................................... 152 Weitere Informationen ....................................................................................................... 153 Herstellen einer Verbindung mit dem Internet ...................................................................... 153 Verwenden des Internet Mail-Assistenten zum Konfigurieren der Übermittlung von Internet-EMail .................................................................................................................................... 154 Konfigurieren eines mit zwei Netzwerken verbundenen Servers mithilfe des Assistenten 155 Verwenden des Assistenten für Internet-E-Mail-Nachrichten ............................................... 155 Bevor Sie beginnen ........................................................................................................... 156 Verfahren ........................................................................................................................... 158 Ordnungsgemäßes Laden von SMTP für Exchange ............................................................ 163 Bevor Sie beginnen ........................................................................................................... 163 Verfahren ........................................................................................................................... 164 Beispiel .............................................................................................................................. 164 Einführung in den Assistenten für Internet-E-Mail-Nachrichten ............................................ 166 Bevor Sie beginnen ........................................................................................................... 166 Verfahren ........................................................................................................................... 167 Manuelles Konfigurieren von Exchange Server für die Übermittlung von Internet-E-Mail ... 168 Einrichten von Exchange Server zum Empfangen von Internet-E-Mail ............................ 168 Konfigurieren des eingehenden Ports und der IP-Adresse auf dem virtuellen SMTP-Server ........................................................................................................................................... 171 Bevor Sie beginnen ........................................................................................................... 171 Verfahren ........................................................................................................................... 171 Überprüfen, ob der virtuelle SMTP-Server anonymen Zugriff zulässt .................................. 173 Bevor Sie beginnen ........................................................................................................... 173 Verfahren ........................................................................................................................... 173 Überprüfen, dass die Empfängerrichtlinien keine Adressen enthalten, die mit dem vollqualifizierten Domänennamen übereinstimmen ........................................................... 174 Bevor Sie beginnen ........................................................................................................... 175 Verfahren ........................................................................................................................... 175 Überprüfen, ob die Benutzer E-Mail-Nachrichten von anderen SMTP-Domänen empfangen können ............................................................................................................................... 177 Bevor Sie beginnen ........................................................................................................... 177 Verfahren ........................................................................................................................... 177 Konfigurieren der von Ihren Benutzern benötigten SMTP-E-Mail-Adressen ........................ 179 Bevor Sie beginnen ........................................................................................................... 179 Verfahren ........................................................................................................................... 179 Weitere Informationen ....................................................................................................... 180 Überprüfen der Relayeinschränkungen auf einem virtuellen SMTP-Server ......................... 180 Bevor Sie beginnen ........................................................................................................... 180 Verfahren ........................................................................................................................... 181 Konfigurieren von Einstellungen für eingehende Nachrichten auf virtuellen SMTP-Servern 183 Einrichten des Exchange-Servers zum Senden von Internetmail ..................................... 183 Sicherstellen, dass für ausgehende Nachrichten Anschluss 25 verwendet wird.................. 186 Bevor Sie beginnen ........................................................................................................... 186 Verfahren ........................................................................................................................... 186 Gewähren des anonymen Zugriffs auf den virtuellen SMTP-Server für ausgehende Nachrichten ........................................................................................................................ 188 Bevor Sie beginnen ........................................................................................................... 188 Verfahren ........................................................................................................................... 189 Erstellen eines SMTP-Connectors ........................................................................................ 190 Bevor Sie beginnen ........................................................................................................... 190 Verfahren ........................................................................................................................... 190 Konfigurieren eines Smarthosts auf einem virtuellen SMTP-Server .................................... 192 Konfigurieren von erweiterten Einstellungen ..................................................................... 193 Angeben eines Adressraums für den Connector .................................................................. 195 Bevor Sie beginnen ........................................................................................................... 195 Verfahren ........................................................................................................................... 195 Konfigurieren der Zugriffssteuerung und Authentifizierungsmethoden ................................ 198 Bevor Sie beginnen ........................................................................................................... 199 Verfahren ........................................................................................................................... 199 Angeben von Nachrichtenbeschränkungen .......................................................................... 202 Bevor Sie beginnen ........................................................................................................... 202 Verfahren ........................................................................................................................... 203 Sicherstellen, dass der Exchange-Server nicht ausschließlich das RTF-Format verwendet 204 Bevor Sie beginnen ........................................................................................................... 205 Verfahren ........................................................................................................................... 205 Einrichten von Beschränkungen für ausgehende Nachrichten auf dem virtuellen SMTPServer ................................................................................................................................ 206 Bevor Sie beginnen ........................................................................................................... 207 Verfahren ........................................................................................................................... 207 Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen ......................... 210 Bevor Sie beginnen ........................................................................................................... 210 Verfahren ........................................................................................................................... 211 Festlegen von Übermittlungsbeschränkungen für den SMTP-Connector ............................ 211 Bevor Sie beginnen ........................................................................................................... 212 Verfahren ........................................................................................................................... 212 Festlegen eines Zeitplans für den Connector ....................................................................... 214 Bevor Sie beginnen ........................................................................................................... 214 Verfahren ........................................................................................................................... 214 Festlegen von Inhaltsbeschränkungen für den SMTP-Connector ........................................ 216 Bevor Sie beginnen ........................................................................................................... 216 Verfahren ........................................................................................................................... 216 Angeben des Verfahrens zum Verwalten unzustellbarer E-Mail-Nachrichten ...................... 218 Bevor Sie beginnen ........................................................................................................... 218 Verfahren ........................................................................................................................... 218 Teil drei.................................................................................................................................. 220 Absichern der Infrastruktur .................................................................................................... 221 Sichern von IIS .................................................................................................................. 221 Verwenden von Firewalls................................................................................................... 223 Verwenden von virtuellen privaten Netzwerken (VPNs) .................................................... 223 Absichern des Exchange-Servers ......................................................................................... 224 Deaktivieren offener Relays auf allen virtuellen SMTP-Servern ....................................... 225 Einrichten von Einschränkungen für Benutzer ...................................................................... 228 Bevor Sie beginnen ........................................................................................................... 228 Verfahren ........................................................................................................................... 228 Einrichten von Einschränkungen für eine Verteilergruppe.................................................... 229 Bevor Sie beginnen ........................................................................................................... 230 Verfahren ........................................................................................................................... 230 Einschränken von Übertragungen an virtuelle SMTP-Server mithilfe von Sicherheitsgruppen ........................................................................................................................................... 231 Bevor Sie beginnen ........................................................................................................... 232 Verfahren ........................................................................................................................... 232 Einschränken der Weiterleitung mithilfe einer Sicherheitsgruppe ........................................ 233 Bevor Sie beginnen ........................................................................................................... 233 Verfahren ........................................................................................................................... 234 Konfigurieren der Spamsteuerung und -filterung .................................................................. 235 Verbindungsfilterung .......................................................................................................... 236 Empfängerfilterung ............................................................................................................ 241 Aktivieren der Empfängerfilterung ..................................................................................... 241 Erstellen einer globalen Annahmeliste .................................................................................. 246 Bevor Sie beginnen ........................................................................................................... 246 Verfahren ........................................................................................................................... 246 Erstellen einer globalen Verweigerungsliste ......................................................................... 248 Bevor Sie beginnen ........................................................................................................... 248 Verfahren ........................................................................................................................... 248 Erstellen eines Verbindungsfilters ......................................................................................... 249 Bevor Sie beginnen ........................................................................................................... 250 Verfahren ........................................................................................................................... 250 Sicherstellen, dass Exchange 2003 nicht zum Auflösen anonymer Nachrichten konfiguriert ist ........................................................................................................................................... 254 Bevor Sie beginnen ........................................................................................................... 255 Verfahren ........................................................................................................................... 255 Konfigurieren von Exchange 2000 Server zum Nichtauflösen von aus externen Quellen stammenden E-Mail-Adressen .......................................................................................... 256 Bevor Sie beginnen ........................................................................................................... 256 Verfahren ........................................................................................................................... 256 Erstellen eines Empfängerfilters ........................................................................................... 257 Bevor Sie beginnen ........................................................................................................... 257 Verfahren ........................................................................................................................... 258 Anwenden eines Empfängerfilters auf einen virtuellen SMTP-Server .................................. 259 Bevor Sie beginnen ........................................................................................................... 260 Verfahren ........................................................................................................................... 260 Festlegen einer Ausnahme für eine Verbindungsregel ......................................................... 261 Bevor Sie beginnen ........................................................................................................... 261 Verfahren ........................................................................................................................... 262 Anwenden eines Verbindungsfilters auf einen virtuellen SMTP-Server ............................... 263 Bevor Sie beginnen ........................................................................................................... 263 Verfahren ........................................................................................................................... 263 Teil vier .................................................................................................................................. 264 Problembehandlung beim Routing ........................................................................................ 265 Verwenden von WinRoute ................................................................................................. 265 Allgemeine Verbindungsstatusprobleme ........................................................................... 266 Unterbrochene Verbindungsstatusübermittlung ................................................................ 274 Ausführen von „Remonitor.exe“ als lokales Systemkonto im Modus zum Einfügen ............ 276 Bevor Sie beginnen ........................................................................................................... 277 Verfahren ........................................................................................................................... 277 Unterdrücken der Verbindungsstatusinformationen auf einem Server ................................. 278 Bevor Sie beginnen ........................................................................................................... 278 Verfahren ........................................................................................................................... 278 Weitere Informationen ....................................................................................................... 279 Problembehandlung bei Nachrichtenfluss und SMTP .......................................................... 279 Verwenden von SMTP und X.400-Warteschlangen .......................................................... 280 Testen der SMTP-Verbindung mit Telnet ............................................................................. 289 Bevor Sie beginnen ........................................................................................................... 290 Verfahren ........................................................................................................................... 290 Weitere Informationen ....................................................................................................... 291 Anzeigen der Eigenschaften einer Warteschlange ............................................................... 292 Bevor Sie beginnen ........................................................................................................... 292 Verfahren ........................................................................................................................... 293 Anzeigen von Nachrichten in einer Warteschlange .............................................................. 293 Bevor Sie beginnen ........................................................................................................... 293 Verfahren ........................................................................................................................... 294 Überprüfen der SMTP-Leistungsindikatoren......................................................................... 295 Bevor Sie beginnen ........................................................................................................... 296 Verfahren ........................................................................................................................... 296 Weitere Informationen ....................................................................................................... 297 Aktivieren des Nachrichtenstatus auf einem Server ............................................................. 301 Bevor Sie beginnen ........................................................................................................... 301 Verfahren ........................................................................................................................... 301 Weitere Informationen ....................................................................................................... 302 Anzeigen des Anwendungsprotokolls in der Ereignisanzeige .............................................. 302 Bevor Sie beginnen ........................................................................................................... 303 Verfahren ........................................................................................................................... 303 Anzeigen des Systemprotokolls in der Ereignisanzeige ....................................................... 304 Bevor Sie beginnen ........................................................................................................... 304 Verfahren ........................................................................................................................... 304 Ändern von Protokollierungseinstellungen für MSExchangeTransport ................................ 305 Bevor Sie beginnen ........................................................................................................... 306 Verfahren ........................................................................................................................... 306 Festlegen der Protokollierung auf Debugebene für das SMTP-Protokoll ............................. 307 Bevor Sie beginnen ........................................................................................................... 308 Verfahren ........................................................................................................................... 308 Aktivieren der Protokollierung auf Debugebene für die Nachrichtenkategorisierung ........... 308 Bevor Sie beginnen ........................................................................................................... 309 Verfahren ........................................................................................................................... 309 Problembehandlung bei Unzustellbarkeitsberichten ............................................................. 309 Tools zur Problembehebung bei Unzustellbarkeitsberichten................................................ 310 Strategien und Tipps zur Fehlerbehebung............................................................................ 311 Bestimmen der möglichen Ursachen eines Unzustellbarkeitsberichts .............................. 312 Verwenden von Ereignisprotokollen .................................................................................. 333 Verwenden von Regtrace .................................................................................................. 333 Aktivieren von regtrace ......................................................................................................... 334 Bevor Sie beginnen ........................................................................................................... 334 Verfahren ........................................................................................................................... 334 Überprüfen der erforderlichen Active Directory-Attribute ...................................................... 336 Aktualisieren von Attributen durch den Empfängeraktualisierungsdienst ......................... 341 Allgemeine Szenarios bei Unzustellbarkeitsberichten .......................................................... 343 Probleme mit Active Directory ........................................................................................... 343 Verzögerte Nachrichtenübermittlung auf Grund globaler Katalogserverprobleme ........... 346 Unzustellbarkeitsberichte beim Senden an ein persönliches Adressbuch und eine persönliche Kontaktliste ................................................................................................. 348 Senden von Nachrichten an einen öffentlichen Ordner ..................................................... 348 Festlegen des Servers für die Aufgliederung der Verteilergruppen für eine Verteilergruppe 351 Bevor Sie beginnen ........................................................................................................... 351 Verfahren ........................................................................................................................... 351 Korrigieren fehlender Attribute .............................................................................................. 352 Bevor Sie beginnen ........................................................................................................... 353 Verfahren ........................................................................................................................... 353 Angeben eines globalen Katalogservers .............................................................................. 353 Bevor Sie beginnen ........................................................................................................... 354 Verfahren ........................................................................................................................... 354 Zusätzliche Referenz zu Unzustellbarkeitsberichten ............................................................ 356 Teil fünf.................................................................................................................................. 358 Grundlagen zu internen Transportkomponenten .................................................................. 359 Empfangen von Internet-E-Mail-Nachrichten .................................................................... 360 Senden von Internet-E-Mail-Nachrichten .......................................................................... 362 Erweiterte Verbindungsstatuskonzepte ................................................................................ 363 Verbindungsstatuskomponenten .......................................................................................... 363 Grundlagen zum OrgInfo-Paket ............................................................................................ 364 Grundlagen zum Inhalt des OrgInfo-Pakets ......................................................................... 365 Serverdienste und Routingknoten......................................................................................... 368 Routingaktualisierungen........................................................................................................ 369 Große Aktualisierungen ..................................................................................................... 370 Kleine Aktualisierungen ..................................................................................................... 371 Benutzeraktualisierungen .................................................................................................. 371 Kommunikation der Routingtopologieaktualisierung ............................................................. 372 Verzeichnisaktualisierungen an Routinggruppenmaster ................................................... 372 Aktualisierungen des Routinggruppenmasters an Routinggruppenmitglieder .................. 378 Kommunikation von Aktualisierungen in einem SMTP-Dialog .......................................... 382 SMTP-Befehle und Definitionen ............................................................................................ 388 SMTP-Befehle ................................................................................................................... 388 Ereignissenken .................................................................................................................. 391 Anschlüsse, die von Exchange häufig verwendet werden ................................................ 392 Copyright ............................................................................................................................... 394 15 Transport- und Routing-Handbuch für Exchange-Server Microsoft® Exchange-Server verwenden SMTP (Simple Mail Transfer Protocol) für die Kommunikation und zum Senden von Nachrichten. SMTP ist Bestandteil der Betriebssysteme Microsoft Windows Server™ 2003 und Windows® 2000 Server. Im Handbuch „Transport- und Routing-Handbuch für Exchange-Server“ werden die grundlegenden Komponenten von Transport and Routing sowie die Funktionsweise von SMTP in Exchange Server 2003 erläutert. Außerdem enthält es Informationen zur Konfiguration einer Routingtopologie, verschiedene Bereitstellungsszenarios, Möglichkeiten zur Sicherung der Infrastruktur und Tipps zur Problembehandlung. Hinweis: Laden Sie das Transport- und Routing-Handbuch für Exchange Server 2003 herunter, um dieses Dokument zu drucken oder offline zu lesen. Teil eins Die interne und externe Nachrichtenübermittlung erfolgt durch die Kombination von Nachrichtenrouting und -transport. Beim Nachrichtenrouting handelt es sich um die Art des Nachrichtenflusses zwischen den Servern in der Organisation und zu anderen Servern außerhalb der Organisation. Der Pfad dieser Nachrichten zu ihren endgültigen Zielen wird durch die Routingtopologie bestimmt, die auf den von Ihnen definierten Routinggruppen und Routinggruppenconnectors beruht. Durch den Transport wird die Art der Nachrichtenverarbeitung und -übermittlung bestimmt. Microsoft® Exchange-Server verwenden für die Kommunikation untereinander und zum Senden von Nachrichten mithilfe der Routingtopologie das Transportprotokoll SMTP (Simple Mail Transfer Protocol). SMTP ist Bestandteil der Betriebssysteme Microsoft Windows Server™ 2003 und Microsoft Windows® 2000 Server. Wenn Sie Exchange auf einem Server installieren, auf dem Windows Server 2003 oder Windows 2000 Server ausgeführt wird, erweitert Exchange SMTP, um zusätzliche SMTP-Befehle zu unterstützen und den Funktionsumfang zu erhöhen. Hierzu zählt die Funktion, Informationen über den Verbindungsstatus (Information über Verfügbarkeit sowie Kosten von Messagingrouten) zu übermitteln, und andere Exchange-Funktionen. Teil 1 enthält die folgenden Themen: Informationen zu Routingkomponenten 16 Erläutert die Funktionsweise von Routinggruppen, Connectors und Verbindungsstatusinformationen, um eine effektive Nachrichtenübermittlung zu ermöglichen. Informationen über SMTP und Exchange Server 2003 Gibt einen ausführlichen Überblick über SMTP und die Funktionsweise von SMTP in Exchange Server 2003. Außerdem werden die Vorgänge zum Senden und Empfangen von Internet-E-Mail erläutert. Transportabhängigkeiten in Exchange Server 2003 Beschreibt die Komponenten, von denen SMTP abhängt, und erläutert deren Zusammenwirken mit SMTP. Informationen zu Routingkomponenten Routing bestimmt den Weg der Nachrichten zwischen den Servern in der Microsoft® Exchange-Organisation und zu Benutzern außerhalb der Organisation. Exchange verwendet Routing für die interne und externe Nachrichtenübermittlung, zunächst zum Ermitteln des schnellsten Weges, dann zum Bestimmen des günstigsten verfügbaren Weges. Die internen Routingkomponenten ermitteln dies entsprechend den konfigurierten Routinggruppen und Connectors und den jedem Weg zugewiesenen Adressräumen und Kosten. Routing bietet die folgenden Funktionen: Festlegen des nächsten Hops (das nächste Ziel für eine Nachricht auf dem Weg zu ihrer Zieladresse) auf der Grundlage des effizientesten Weges. Austauschen von Verbindungsstatusinformationen (Status und Verfügbarkeit von Servern und Verbindungen zwischen Servern) innerhalb der Routinggruppen und zwischen den Routinggruppen. In diesem Thema wird die Funktionsweise von Routinggruppen, Connectors und Verbindungsstatusinformationen erläutert, um eine effektive Nachrichtenübermittlung zu ermöglichen. Typen von Routingkomponenten Die Routingkomponenten bilden zusammen Topologie und Routen, die zur internen und externen Nachrichtenübermittlung verwendet werden. Routing baut auf den folgenden Komponenten auf, die innerhalb der Routingtopologie definiert werden: Routinggruppen Logische Serversammlungen, die zur Steuerung des Nachrichtenflusses und zum Verweis auf Öffentliche Ordner verwendet werden. Routinggruppen verwenden gemeinsam eine oder mehrere physische Verbindungen. Die 17 Kommunikation und Nachrichtenübermittlung erfolgt zwischen allen Servern in einer Routinggruppe auf direktem Weg. Connectors Festgelegte Pfade zwischen Routinggruppen, zum Internet oder einem anderen Mailsystem. Jeder Connector definiert einen Pfad in einer Richtung zu einem anderen Ziel. Verbindungsstatusinformationen Informationen über Routinggruppen, Connectors und deren zum Routen verwendete Konfiguration, um den effizientesten Weg zur Übermittlung einer Nachricht zu ermitteln. Interne Routingkomponenten Interne Routingkomponenten, insbesondere das Routingmodul, das die Routingtopologie für die Server innerhalb der Organisation bereitstellt und aktualisiert. Weitere Informationen zu internen Routingkomponenten finden Sie unter Grundlagen zu internen Transportkomponenten. Informationen über Routinggruppen Mit den Standardeinstellungen wird Exchange Server 2003 wie auch Exchange 2000 Server so ausgeführt, als seien alle Server in einer Organisation Bestandteil einer einzigen großen Routinggruppe. Dies bedeutet, dass jeder Exchange-Server Nachrichten direkt an jeden anderen Exchange-Server in der Organisation senden kann. In Umgebungen mit besonderen administrativen Anforderungen, unterschiedlichen Netzwerkverbindungen und unterschiedlicher geographischer Aufteilung können Sie jedoch die Effizienz des Nachrichtenflusses erhöhen, indem Sie Routinggruppen und Routinggruppenconnectors entsprechend der Netzwerkinfrastruktur und den administrativen Anforderungen erstellen. Wenn Sie Routinggruppen und Routinggruppenconnectors erstellen, werden die Nachrichten weiterhin direkt zwischen den Servern in einer Routinggruppe gesendet, doch für die Kommunikation mit Servern in einer anderen Gruppe wird der Routinggruppenconnector auf den Servern mit der besten Netzwerkverbindung verwendet. Weitere Informationen zum Erstellen von Routinggruppen und die damit zusammenhängenden Überlegungen finden Sie unter Bereitstellungsszenarios für Internetverbindungen. Verwenden von Routinggruppen im einheitlichen oder gemischten Modus In Exchange Server 2003 und Exchange 2000 Server sind Verwaltungs- und Routingfunktionen in unterschiedliche Bereiche aufgeteilt: Durch administrative Gruppen wird die logische Verwaltungsgrenze für Exchange-Server definiert. Durch Routinggruppen werden die physischen Routen definiert, auf denen Nachrichten im Netzwerk übermittelt werden. 18 Wenn sich die Exchange-Organisation im einheitlichen Modus befindet, in dem auf allen Servern Exchange 2000 Server oder höher ausgeführt wird, ermöglicht Ihnen diese Aufteilung zwischen administrativen Gruppen und Routinggruppen das Erstellen von Routinggruppen, die mehrere administrative Gruppen umfassen, und das Verschieben von Servern zwischen Routinggruppen, die sich in unterschiedlichen administrativen Gruppen befinden. Diese Aufteilung ermöglicht es Ihnen auch, Routing- und Verwaltungsfunktionen zu trennen. Sie können beispielsweise Server in zwei zentralen administrativen Gruppen verwalten und die Server jeder administrativen Gruppe entsprechend der Netzwerktopologie und der Nutzungsanforderungen in unterschiedliche Routinggruppen einfügen. Im gemischten Modus, in dem auf einigen Servern Exchange Server 2003 oder Exchange 2000 Server und auf anderen Servern Exchange 5.5 ausgeführt wird, unterscheidet sich der Funktionsumfang von Routinggruppen vom Funktionsumfang im einheitlichen Modus. Im gemischten Modus gelten folgende Einschränkungen: Routinggruppen können nicht mehrere administrative Gruppen umfassen. Sie können keine Server zwischen Routinggruppen verschieben, die sich in unterschiedlichen administrativen Gruppen befinden. Der Grund hierfür ist, dass die Routingtopologie in Exchange Server 5.5 durch Standorte definiert ist. Hierbei handelt es sich um logische Kombinationen von Servern, die über ein zuverlässiges Netzwerk mit großer Bandbreite verbunden sind. Standorte bieten die Funktionen der administrativen Gruppen und Routinggruppen in Exchange Server 2003 und Exchange 2000 Server. Aufgrund dieser unterschiedlichen Routingtopologie ist der Funktionsumfang von Routinggruppen im gemischten Modus eingeschränkt. Grundlagen zu Connectors Connectors stellen dem Nachrichtenfluss den Pfad in einer Richtung zu einer bestimmten Zieladresse zur Verfügung. Die wichtigsten Connectors in Exchange Server 2003 sind die folgenden: Routinggruppenconnectors Routinggruppenconnectors stellen den Pfad in einer Richtung bereit, auf dem Nachrichten von Servern in einer Routinggruppe zu den Servern einer anderen Routinggruppe geroutet werden. Routinggruppenconnectors verwenden eine SMTP-Verbindung zur Kommunikation mit den Servern in der verbundenen Routinggruppe. Routinggruppenconnectors werden als bevorzugte Methode zur Verbindung von Routinggruppen empfohlen. SMTP-Connectors SMTP-Connectors werden zur Festlegung von eigenständigen Mailpfaden verwendet, die in das Internet, an eine externe Adresse oder an ein Mailsystem eines anderen Anbieters gerichtet sind. Die Verwendung von SMTPConnectors zur Verbindung von Routinggruppen wird nicht empfohlen. SMTPConnectors dienen zur externen Nachrichtenübermittlung. 19 X.400-Connectors Mit X.400-Connectors können in erster Linie Verbindungen von Exchange-Servern zu anderen X.400-Systemen oder Exchange Server 5.5-Servern außerhalb der Exchange-Organisation hergestellt werden. Ein Exchange Server 2003Server kann dann unter Verwendung des X.400-Protokolls Nachrichten über diesen Connector senden. Wichtig: X.400-Connectors stehen nur in der Exchange Server 2003 Enterprise Edition zur Verfügung. Jeder Connector hat einen zugeordneten Kostenrahmen und Adressraum oder eine verbundene Routinggruppe, die dem Connector als Zielpunkt zugewiesen ist. Beim Ermitteln der effizientesten Route für eine Nachricht prüft Exchange zunächst den Adressraum oder die für jeden Connector definierte Routinggruppe, um das Ziel zu finden, das dem Ziel der Nachricht möglichst nahe kommt. Im zweiten Schritt prüft Exchange die mit jedem Connector verbundenen Kosten. Routing prüft die Kosten nur dann, wenn der definierte Adressraum oder die verbundenen Routinggruppen auf zwei Connectors identisch sind. Im folgenden Abschnitt wird die Verwendung dieser Informationen durch Exchange erläutert. Informationen über Verbindungsstatusdetails Exchange Server 5.5 verwendet die GWART (Gateway Address Routing Table) zur Auswahl der Route innerhalb einer Exchange-Organisation. Diese Methode verwendet einen Distance-Vector-Routing-Algorithmus, der als Ursache für Routingschleifen in bestimmten Situationen in Frage kommt. Exchange Server 2003 verwendet wie auch Exchange 2000 Server einen Verbindungsstatusrouting-Algorithmus und ein Routingprotokoll, um Informationen über den Verbindungsstatus in Form einer Verbindungsstatustabelle im Speicher aller Exchange 2000 Server und Exchange Server 2003-Server innerhalb der Organisation zu verbreiten. Ein Verbindungsstatus-Algorithmus bietet die folgenden Vorteile: Jeder Exchange-Server kann die optimale Nachrichtenroute aus der Quelle ermitteln, statt die Nachrichten auf einer Route zu senden, auf der keine Verbindung (bzw. kein Pfad) verfügbar ist. Nachrichten werden nicht zwischen Servern hin- und hergesendet, da jeder ExchangeServer feststellen kann, ob andere oder redundante Verbindungen verfügbar sind. Nachrichtenschleifen treten nicht mehr auf. Die Verbindungsstatustabelle enthält Informationen über die Routingtopologie der gesamten Exchange-Organisation und über die Verfügbarkeit jedes einzelnen Connectors in der Topologie (nach oben entspricht verfügbar und nach unten entspricht nicht verfügbar). Darüber hinaus enthält die Verbindungsstatustabelle die jedem verfügbaren Connector zugeordneten Kosten. Diese Informationen werden von Exchange zum Bestimmen der Route 20 mit den geringsten Kosten zur Zieladresse verwendet. Wenn ein Connector auf der Route mit den geringsten Kosten nicht verfügbar ist, bestimmt Exchange anhand der Kosten und Connectorverfügbarkeit die beste Ersatzroute. Zwischen Routinggruppen werden die Verbindungsstatusinformationen dynamisch ausgetauscht, dies geschieht durch die Verwendung des erweiterten SMTP-Verbs X-LINK2STATE. Verwenden der Verbindungsstatusinformationen für die interne Nachrichtenübermittlung Betrachten Sie zum Verständnis der Verwendung von Verbindungsstatusinformationen und Connectorkosten die Routingtopologie, die vier Routinggruppen aufweist: Seattle, Brüssel, London und Tokio. Zwischen jeder Routinggruppe sind Connectors vorhanden. Diesen werden Kosten auf der Grundlage der Netzwerkgeschwindigkeit und der verfügbaren Bandbreite zugewiesen. Routingtopologie und Kosten Wenn alle Verbindungen zwischen den Routinggruppen verfügbar sind, sendet ein Server in der Routinggruppe „Seattle“ stets Nachrichten an die Routinggruppe „Brüssel“, indem er die Nachrichten zunächst über die Routinggruppe „London“ sendet. Der Wert für die Kosten dieser Route beträgt 20, und es handelt sich um die verfügbare Route mit den geringsten Kosten. Wenn jedoch der Bridgeheadserver in London nicht verfügbar ist, werden Nachrichten aus Seattle, die für Brüssel bestimmt sind, über eine Route mit höheren Kosten gesendet, und zwar über die Routinggruppe Tokio. Als wichtiges Konzept wird ein Connector nur dann als nicht verfügbar markiert, wenn alle Bridgeheadserver für diesen Connector ausgefallen sind. Wenn Sie den Routinggruppenconnector zur Verwendung der Standardeinstellung Jeder lokale Server kann E-Mail über diesen Connector senden konfiguriert haben, wird der Routinggruppenconnector als permanent verfügbar angesehen. Weitere Informationen über die Konfiguration von Routinggruppenconnectors finden Sie unter „Verbinden von Routinggruppen“ in Definieren von Routinggruppen. 21 Verwenden der Verbindungsstatusinformationen für die externe Nachrichtenübermittlung Für die externe Nachrichtenübermittlung verwendet Routing die Informationen der Verbindungsstatustabelle zunächst zur Feststellung des Connectors mit dem Adressraum, der dem Ziel möglichst nahe kommt. Anschließend werden durch Routing die Kosten ermittelt. Im folgenden Diagramm wird ein Unternehmen mit folgender Topologie dargestellt: Ein SMTP-Connector mit dem Adressraum „*.net“ und Kosten von 20 Ein SMTP-Connector mit dem Adressraum „*“ (allen externen Adressen) und Kosten von 10 Verwenden des Adressraums durch Exchange zur Nachrichtenweiterleitung In dieser Topologie wird beim Senden einer Nachricht an einen externen Benutzer mit der EMail-Adresse [email protected] zunächst vom Routing nach einem Connector gesucht, dessen Adressraum dem Ziel „treyresearch.net“ möglichst nahe kommt. Der SMTPConnector mit dem Adressraum „*.net“ erfüllt diese Bedingung, daher wird dieser Connector vom Routing verwendet, unabhängig von den Kosten. Beim Senden einer Nachricht an den externen Benutzer [email protected] wird jedoch der SMTP-Connector mit dem Adressraum „*“ verwendet, da dieser dem Ziel am nächsten kommt. Die Kosten werden von Routing nicht ermittelt. Wenn zwei SMTP-Connectors mit dem Adressraum „*“ vorhanden sind, jedoch abweichende Kosten aufweisen, verwendet Routing die Informationen der Verbindungsstatustabelle und wählt den SMTP-Connector mit den niedrigsten Kosten aus. Routing verwendet einen Connector mit höheren Kosten nur, wenn der Connector mit niedrigeren Kosten nicht verfügbar ist. Hinweis: Weitere Informationen zu Verbindungsinformationen und wie diese hinzugefügt werden finden Sie unter Erweiterte Verbindungsstatuskonzepte. Routing führt keinen Failover von einem Connector mit einem geeigneten Adressraum zu einem Connector mit einem weniger geeigneten Adressraum durch. Können im oben 22 beschriebenen Szenario alle Benutzer beide Connectors verwenden und versucht ein Benutzer, eine Nachricht an einen Benutzer bei treyresearch.net zu senden, stellt der Connector mit dem Adressraum „.net“ für das Routing ein geeignetes Ziel dar. Ist dieser Connector nicht in Betrieb oder nicht verfügbar, versucht Routing keinen Connector mit einem abweichenden, weniger einschränkenden Adressraum zu finden, beispielsweise „*“, da dieser als abweichendes Ziel angesehen wird. In der dargestellten Topologie kann jedoch davon ausgegangen werden, dass der Connector mit dem Adressraum „*.net“ Einschränkungen unterworfen ist und lediglich den Benutzern der Vertriebsabteilung ein Senden über diesen Connector gestattet ist. Ist unter diesen Bedingungen der Connector nicht in Betrieb, werden Nachrichten nicht neu geroutet, die von einem Benutzer der Vertriebsabteilung über den Connector mit der Adresse „*“ an eine .netAdresse gesendet werden. Die Nachricht wird in eine Warteschlange eingereiht, bis der Connector wieder verfügbar ist. Benutzer außerhalb der Vertriebsabteilung werden jedoch vom Ausfall dieses Connectors nie betroffen, da ihre Nachrichten immer über den SMTPConnector mit dem Adressraum „*“ geroutet werden. Informationen über SMTP und Exchange Server 2003 Bevor Sie Ihre Exchange Server-Organisation für das Senden und Empfangen von E-Mail konfigurieren, sollten Sie verstehen, wie der Nachrichtenfluss in Microsoft® Exchange Server 2003 mit SMTP (Simple Mail Transfer Protocol) ermöglicht wird. Exchange Server 2003 übermittelt interne E-Mail zwischen Exchange-Servern und Routinggruppen mit SMTP. Außerdem übermittelt Exchange Server 2003 die Exchange-Organisation verlassende Internetmail mit SMTP. SMTP ist der Internetstandard zum Übertragen und Zustellen elektronischer Nachrichten. Der Microsoft SMTP-Dienst, der auf der Grundlage der Spezifikationen in RFC 2821 und RFC 2822 (Requests for Comments) entwickelt wurde, ist Teil der Betriebssysteme Microsoft Windows® 2000 Server und Windows Server™ 2003. Der Windows SMTP-Dienst ist eine Komponente von IIS (Internetinformationsdienste) und wird als Teil von Inetinfo.exe ausgeführt. Exchange 2003 verwendet den Windows SMTPDienst als grundlegendes Transportprotokoll und leitet alle internen und externen Nachrichten mit SMTP weiter. Wie durch Exchange Server die SMTPGrundfunktionen erweitert werden Bei der Installation von Exchange Server werden die SMTP-Grundfunktionen um die folgenden Punkte erweitert: 23 Verschiebung der Verwaltung des SMTP-Diensts (mittels virtueller SMTP-Server) von der IIS-Verwaltungskonsole zum Exchange-System-Manager. Implementierung der Unterstützung für Verbindungsstatusinformationen. Exchange legt die beste Methode zum Senden von Nachrichten zwischen Servern anhand der Verbindungsstatusinformationen fest, abhängig vom aktuellen Status der Messagingverbindungen und -kosten sowie von den entsprechenden Kosten der Route, die Sie abhängig von Ihrer Topologie definieren. Erweiterung von SMTP zur Unterstützung der Befehlsverben, mit denen Verbindungsstatusrouting und andere Exchange-Funktionen unterstützt werden. Bei der Installation von Exchange werden die folgenden Befehle hinzugefügt: X-EXPS GSSAPI X-EXPS=LOGIN X-EXCH50 X-LINK2STATE Hinweis: Eine Liste aller SMTP-Befehle und ihre Definitionen finden Sie unter SMTPBefehle und Definitionen. Einrichtung eines Exchange-IFS-Speichertreibers (Installable File System, installierbares Dateisystem), für den Empfang von Nachrichten vom und die Zustellung von Nachrichten zum Exchange-Informationenspeicher. Festlegung des Speicherortes für die Nachrichtenwarteschlange auf \exchsrv\mailroot\vs 1\queue. Dabei handelt es sich um den Speicherort des ersten virtuellen SMTP-Servers auf dem Exchange-Server. Wenn Sie einen zweiten virtuellen SMTP-Server hinzufügen, erstellt Exchange einen zusätzlichen Speicherort (\exchsrv\mailroot\vs 2\queue). Implementierung der Unterstützung für erweiterte Warteschlangen. Exchange verbessert die Warteschlangenfunktionen von Windows 2000 und Windows Server 2003. Im erweiterten Warteschlangenmodul werden die zugrunde liegenden Transportfunktionen von Exchange verarbeitet. Verbesserung der Kategorisierung von Nachrichten. Die Nachrichtenkategorisierung ist ein Vorgang, der vom Nachrichtenkategorisierungsmodul durchgeführt wird, einer Komponente des erweiterten Warteschlangenmoduls. Vom Kategorisierungsmodul werden LDAP-Abfragen (Lightweight Directory Access Protocol) an den globalen Katalogserver gesendet, um Benutzer- und Konfigurationsinformationen aus dem Microsoft Active Directory®-Verzeichnisdienst abzurufen. Das Nachrichtenkategorisierungsmodul ruft für die Nachrichtenübermittlung Informationen über Empfängerrichtlinien und virtuelle Exchange-Server ab. Es verwendet diese Informationen, um die Empfängeradresse zu validieren, um sicherzustellen, dass die 24 Nachrichtenbeschränkungen nicht überschritten wurden, und schließlich um festzulegen, wie die Nachricht mit Exchange-Routing und SMTP zugestellt wird. Ein wichtiges Konzept zum Verständnis von SMTP und Exchange Server ab Version 2000 ist die Interaktion zwischen Exchange, Active Directory und der IIS-Metabase. Vom ExchangeSystem-Manager werden Ihre Konfigurationsänderungen (z. B. an den Empfängerrichtlinien und virtuellen SMTP-Servern) in Active Directory geschrieben und dadurch eine einfache Remoteadministration ermöglicht. Da der SMTP-Dienst seine Einstellungen jedoch aus der IIS-Metabase liest, repliziert der DS2MB-Dienst (eine Komponente der ExchangeSystemaufsicht) diese Informationen aus Active Directory in die IIS-Metabase des lokalen Servers. Empfangen von Internetmail Unter den folgenden Bedingungen ist Exchange Server 2003 in der Standardkonfiguration in der Lage, Internetmail zu empfangen: Es besteht eine ständige Verbindung mit dem Internet. Hinweis: Für DFÜ-Verbindungen mit dem Internet ist eine besondere Konfiguration erforderlich. Weitere Informationen zu DFÜ-Verbindungen finden Sie unter Festlegen eines Zeitplans für den Connector. Auf den externen DNS-Servern (Domain Name System) für Ihre Domäne müssen MXRessourceneinträge (Mail Exchanger) vorhanden sein, die auf Ihre Mailserver zeigen. Wenn Sie ein ISP- (Internet Service Provider) oder ein externes System verwenden, muss auf diesem externen System ein MX-Eintrag für Ihre Domäne und ein Mechanismus zur Weiterleitung der E-Mail-Nachrichten an Ihre Exchange-Server vorhanden sein. Ihr Mailserver muss für andere Server im Internet zugänglich sein. Wenn Sie Ihre E-MailNachrichten über ein ISP- oder externes System empfangen, muss dieses externe System zum Zustellen der Nachrichten in der Lage sein, eine Verbindung zu Ihren Exchange-Servern herzustellen. Müssen die Empfängerrichtlinien richtig konfiguriert sein. Für den Empfang von Internetmail müssen Sie eine Empfängerrichtlinie konfigurieren, die einen Adressraum enthält, der mit der SMTP-Domäne übereinstimmt. Außerdem muss Ihre ExchangeOrganisation für die Zustellung von E-Mail-Nachrichten an diese Adresse verantwortlich sein (dies ist die Standardeinstellung). Um beispielsweise Internetmail für „[email protected]“ zu akzeptieren, müssen Sie eine Empfängerrichtlinie eingerichtet haben, die „@example.com“ enthält. Es gibt jedoch einige Ausnahmen von dieser Regel. Eingehende Internetmail wird folgendermaßen durch einen Exchange-Server geleitet: 25 1. Der sendende SMTP-Server fragt über DNS die IP-Adresse des SMTP-Mailservers des Empfängers ab. 2. Anschließend initiiert der sendende SMTP-Server einen Dialog mit dem SMTP-Server des Empfängers (auf Anschluss 25). Der SMTP-Server des Empfängers ist auf einem Exchange-Gateway der virtuelle SMTP-Server, der für den Empfang eingehender Internetmail konfiguriert ist. 3. Im Idealfall akzeptiert der SMTP-Server für eingehende Nachrichten die eingehende Nachricht nur, wenn diese an einen Empfänger in seiner SMTP-Maildomäne gerichtet ist. Diese Empfänger sind in den Empfängerrichtlinien definiert. (Dies gilt nicht, wenn der Server ein offenes Relay ist. Von dieser Konfiguration ist dringend abzuraten). Hinweis: Wenn Sie Ihren Server als offenes Relay betreiben, können nicht autorisierte Benutzer E-Mail-Nachrichten über Ihren Server an externe Adressen senden. Dadurch kann Ihr System möglicherweise in eine Sperrliste eingetragen werden. Sperrlisten dienen zum Sperren von E-Mail-Nachrichten bestimmter Server, von denen angenommen wird, dass über diese unerwünschte kommerzielle E-MailNachrichten (Spam) gesendet werden. 4. Wenn die Nachricht akzeptiert wird, verwendet der virtuelle SMTP-Server den Transportmechanismus innerhalb von Exchange, um festzustellen, wie die Nachricht zugestellt wird. Exchange findet den Empfänger in Active Directory und legt fest, welcher Server der Exchange-Organisation die Nachricht zustellt. 5. Abschließend stellt der virtuelle SMTP-Server die Nachricht mit dem internen Transportmechanismus an den entsprechenden Exchange-Server zu. Senden von Internetmail Wenn eine ständige Verbindung mit dem Internet besteht, sendet Exchange Internetmail mit den folgenden Methoden: Direktes Herstellen einer Verbindung zum Remotemailserver mithilfe von DNS. Weiterleiten von E-Mail-Nachrichten durch einen Smarthost, der für DNSNamensauflösung und Nachrichtenzustellung verantwortlich ist. Bevor diese Methoden ausführlich beschrieben werden, sollten Sie über ein grundsätzliches Verständnis verfügen, wie ausgehende E-Mail-Nachrichten in einer Exchange-Organisation weitergeleitet werden. Ausgehende Internetmail wird folgendermaßen durch einen Exchange Server 2003-Server geleitet: 1. Ein interner Benutzer sendet eine Nachricht an einen Empfänger in einer Remotedomäne. 26 2. Um festzustellen, ob die Nachricht an einen lokalen oder einen Remoteempfänger gerichtet ist, fragt der virtuelle SMTP-Server auf dem Exchange-Server des Absenders mit internen Transportfunktionen die Empfängeradresse vom globalen Katalogserver ab. Die Empfängeradresse der Nachricht wird nur in Active Directory gespeichert, wenn sie in einer Empfängerrichtlinie aufgeführt ist. Andernfalls legt Exchange fest, dass die Nachricht für eine Remotedomäne bestimmt ist. 3. Sofern erforderlich, stellt der Exchange-Server die Nachricht an den entsprechenden virtuellen SMTP-Server zu. 4. Der virtuelle SMTP-Server verwendet die Informationen aus seiner IIS-Metabase, um die Methode für die Zustellung einer Nachricht an eine Remotedomäne festzulegen. 5. Der virtuelle SMTP-Server auf dem Exchange-Server führt dann eine der beiden folgenden Aktionen durch: Suchen der IP-Adresse für die Zieldomäne mit DNS und Zustellen der Nachricht Weiterleiten der Nachricht an einen Smarthost, der für DNS-Auflösung und Zustellung der Nachricht verantwortlich ist Informationen zum virtuellen SMTP-Server Virtuelle SMTP-Server bieten die Exchange-Mechanismen zum Verwalten von SMTP. Jeder virtuelle SMTP-Server stellt eine Instanz des auf dem Exchange-Server ausgeführten SMTPDiensts dar. Konfigurieren Sie virtuelle SMTP-Server, die das Verhalten von SMTP steuern, mit dem Exchange-System-Manager. Ein virtueller SMTP-Server ist im Wesentlichen ein SMTP-Protokollstack (ein Server, der EMail-Nachrichten empfängt und als Client zum Senden von E-Mail-Nachrichten fungiert, oder ein Vorgang, in dem diese Funktionen ausgeführt werden). Jeder virtuelle SMTP-Server stellt eine Instanz des SMTP-Diensts auf einem Server dar. Ein virtueller SMTP-Server ist durch eine eindeutige Kombination einer IP-Adresse und einer Anschlussnummer definiert. Der virtuelle SMTP-Standardserver verwendet alle verfügbaren IP-Adressen des Servers und Anschluss 25 für eingehende Verbindungen. Auf einem einzigen physischen Server können sich zahlreiche virtuelle Server befinden. Die meisten SMTP-Einstellungen werden mit dem Exchange-System-Manager gesteuert. Durch die Einstellungen der Eigenschaften des virtuellen SMTP-Servers werden die Einstellungen für eingehende Nachrichten und in geringerem Maße für ausgehende Nachrichten gesteuert. Wichtig: Da ein virtueller SMTP-Server bei der Nachrichtenzustellung eine wichtige Rolle spielt, ändern Sie die Einstellungen für die Eigenschaften mit Bedacht. Beispielsweise sendet der virtuelle SMTP-Standardserver Nachrichten innerhalb 27 einer Routinggruppe. Wenn der Server ein Domänencontroller ist, verwendet Active Directory diesen virtuellen Server zusätzlich für die SMTP-Verzeichnisreplikation. Daher wird empfohlen, einen weiteren virtuelle SMTP-Server oder einen SMTPConnector zu erstellen, der die Einstellungen des virtuellen Standardservers überschreibt, anstatt den virtuellen SMTP-Standardserver zu ändern. Missverständnisse über mehrere virtuelle SMTP-Server Ein weit verbreitetes Missverständnis ist, dass die Erstellung mehrerer virtueller SMTPServer auf einem Exchange-Server den Durchsatz erhöht. Beachten Sie, dass jeder virtuelle SMTP-Server im Multithreadingmodus arbeitet. Durch die Erstellung zusätzlicher virtueller SMTP-Server auf einem Exchange-Server wird die Leistung nicht gesteigert, jedoch eine höhere Komplexität in der Exchange-Organisation eingeführt. Ein Beispiel für die Erforderlichkeit von mehreren virtuelle SMTP-Server ist eine Dual-HomedServerkonfiguration. Im Allgemeinen reicht die Verwendung des virtuellen SMTPStandardservers mit den Standardeinstellungen für die meisten anderen Szenarien aus. Einstellungen für eingehende Nachrichten auf dem virtuellen SMTP-Server Sie können die folgenden Einstellungen für eingehende Nachrichten mithilfe der Einstellungen für die Eigenschaften des virtuellen Servers konfigurieren: Anschlüsse und IP-Adressen für eingehende Nachrichten Der virtuelle SMTPServer überwacht seine zugewiesene IP-Adresse auf eingehende Kommunikation und akzeptiert eingehende Verbindungen auf den zugewiesenen Anschlüssen. Konfigurieren Sie diese Einstellungen in den Eigenschaften des virtuellen SMTP-Servers auf der Registerkarte Allgemein. Wichtig: Für den SMTP-Dienst ist Anschluss 25 als Standardanschluss definiert. Ändern Sie diese Einstellung nicht. Hinweis: In der ursprünglichen Konfiguration nach der Installation stellt der virtuelle Standardserver zum Senden ausgehender Nachrichten eine Verbindung mit dem SMTP-Remoteserver auf Anschluss 25 her. Diese Einstellung ist unabhängig von der für den Anschluss für eingehende Nachrichten. Konfigurieren Sie diese Einstellung auf der Registerkarte Übermittlung mit der Schaltfläche Ausgehende Verbindungen. 28 Relayeinschränkungen Hindern Sie nicht autorisierte Benutzer auf der Registerkarte Zugriff mit der Schaltfläche Relay daran, Nachrichten an externe Adressen über Ihren Server zu senden. In der Standardeinstellung leitet der virtuelle SMTP-Standardserver Nachrichten nur für authentifizierte Benutzer weiter. Einschränken der Übermittlungs- und Relayberechtigungen auf bestimmte Benutzer und Gruppen In Exchange Server 2003 können Sie einschränken, wer Nachrichten an einen virtuellen SMTP-Server übermitteln darf. Verwenden Sie hierfür auf der Registerkarte Zugriff die Schaltflächen Relay und Authentifizierung. Sicherheit Sie können für eingehende Verbindungen TLS (Transport Layer Security) vorschreiben, eine Implementierung von SSL (Secure Sockets Layer). Außerdem können Sie weitere Einstellungen konfigurieren, z. B. für Einschränkungen eingehender Verbindungen, zur Leistungsoptimierung und zur Behandlung von Zustellungsberichtsbenachrichtigungen. Einstellungen für ausgehende Nachrichten auf dem virtuellen SMTP-Server Wenn Sie E-Mail-Nachrichten mit Ihrem virtuellen SMTP-Server direkt in das Internet senden möchten, können Sie die Einstellungen für ausgehende Nachrichten konfigurieren. Insbesondere können Sie den virtuellen Server so konfigurieren, dass er externe Adressen mit einem externen DNS-Server auflöst und E-Mail-Nachrichten direkt an Mailserver außerhalb Ihrer Organisation sendet. Wichtig: Da ein virtueller SMTP-Server bei der Nachrichtenzustellung eine wichtige Rolle spielt, ändern Sie die Einstellungen für die Eigenschaften mit Bedacht. Beispielsweise sendet der virtuelle SMTP-Standardserver Nachrichten innerhalb einer Routinggruppe. Wenn der Server ein Domänencontroller ist, verwendet Active Directory diesen virtuellen Server zusätzlich für die SMTP-Verzeichnisreplikation. Daher wird empfohlen, einen weiteren virtuelle SMTP-Server oder einen SMTPConnector zu erstellen, der die Einstellungen des virtuellen Standardservers überschreibt, anstatt den virtuellen SMTP-Standardserver zu ändern. In vielen Fällen ist es vorzuziehen (jedoch nicht erforderlich), für externe Nachrichten eine SMTP-Connector einzurichten. Weitere Informationen zu SMTP-Connectors finden Sie unter Informationen zu SMTP-Connectors. Hinweis: Wenn Sie einen SMTP-Connector verwenden, setzt dieser einige der Einstellungen für ausgehende Nachrichten außer Kraft und steuert die Zustellung ausgehender Nachrichten. 29 Steuern Sie die Zustellung für ausgehende Nachrichten auf Ihrem virtuellen Server mit den folgenden Einstellungen: Anschluss für ausgehende Nachrichten Einschränkungen für ausgehende Nachrichten Optionen für die Zustellung ausgehender Nachrichten Ausgehende Sicherheit Leistungsoptimierung Benachrichtigungen von Zustellbarkeitsberichten Weitere Informationen über die Konfiguration dieser Einstellungen finden Sie in „Konfigurieren der Einstellungen für ausgehende Nachrichten auf virtuellen SMTP-Servern“ unter Herstellen einer Verbindung mit dem Internet. Festlegen der Relayeinschränkungen Mit der Relay- oder Weiterleitungsfunktion können Sie E-Mail-Nachrichten an andere Domänen weiterleiten. Genauer gesagt bietet ein SMTP-Server Weiterleitung, wenn eine eingehende Verbindung zum Server verwendet werden kann, um E-Mail-Nachrichten an externe Domänen zu senden. In der Standardeinstellung akzeptiert der Exchange-Server EMail-Nachrichten von internen oder authentifizierten Benutzern und sendet diese an eine externe Domäne. Wenn Ihr Server als offenes Relay konfiguriert oder die Weiterleitung nicht gesichert ist, können nicht autorisierte Benutzer über Ihren Server unerwünschte kommerzielle E-Mail-Nachrichten (Spam) senden. Daher ist es für die Sicherung Ihres virtuellen SMTP-Servers entscheidend, dass Sie Relayeinschränkungen setzen. Beachten Sie den Unterschied zwischen der authentifizierten und der anonymen oder offenen Weiterleitung: Authentifizierte Weiterleitung Mit der authentifizierten Weiterleitung gestatten Sie internen Benutzern das Senden von E-Mail-Nachrichten an Domänen außerhalb Ihrer Exchange-Organisation, jedoch ist vor dem Senden der Nachricht eine Authentifizierung erforderlich. In der Standardeinstellung bietet Exchange nur die authentifizierte Weiterleitung. Anonyme Weiterleitung Mit der anonymen Weiterleitung können alle Benutzer eine Verbindung zu Ihrem Exchange-Server herstellen und E-Mail-Nachrichten an Domänen außerhalb Ihrer Exchange-Organisation senden. In den folgenden Beispielen wird dargestellt, wie Exchange Server 2003 E-Mail-Nachrichten mit authentifizierter Weiterleitung akzeptiert und weiterleitet: 30 Ein anonymer Benutzer stellt eine Verbindung zum virtuellen SMTP-Server her und versucht, eine E-Mail-Nachricht an einen internen Benutzer der Exchange-Organisation zuzustellen. In dieser Situation akzeptiert der virtuelle SMTP-Server der Nachricht, da sie für eine interne Domäne bestimmt ist und der Benutzer in Active Directory vorhanden ist. Ein anonymer Benutzer stellt eine Verbindung zum virtuellen SMTP-Server her und versucht, eine E-Mail-Nachricht an einen Benutzer in einer externen Domäne zuzustellen. In dieser Situation lehnt der virtuelle SMTP-Server die E-Mail-Nachricht ab, da sie für eine externe Domäne bestimmt ist, für die der Exchange-Server nicht verantwortlich ist. Da der Benutzer nicht authentifiziert ist, leitet der virtuelle SMTP-Server diese E-MailNachricht nicht aus der Exchange-Organisation heraus weiter. Ein Benutzer stellt mit einem POP- (Post Office Protocol) oder IMAP-Client (Internet Message Access Protocol), z. B. Microsoft Outlook® Express, eine Verbindung zum virtuellen SMTP-Server her, authentifiziert sich und versucht dann, eine Nachricht an einen Benutzer in einer externen Domäne zu senden. In dieser Situation stellt der E-Mail-Client direkt eine Verbindung zum virtuellen SMTPServer her und authentifiziert den Benutzer. Obwohl die Nachricht für eine Remotedomäne bestimmt ist, akzeptiert der virtuelle SMTP-Server diese E-MailNachricht und leitet sie weiter, da der Benutzer authentifiziert ist. Mit den Funktionen für die Relaykontrolle von Exchange Server 2003 können Sie Dritte an der Weiterleitung von E-Mail-Nachrichten über Ihren Server hindern. Die Relaykontrolle ermöglicht das Festlegen einer Liste von Paaren aus Remote-IP-Adressen und Subnetmasks, die berechtigt sind, Nachrichten über Ihren Server weiterzuleiten. Exchange vergleicht die IP-Adresse des SMTP-Clients mit der Liste der IP-Netzwerke, die Nachrichten mittels Relay senden dürfen. Wenn der Client kein Relay von Nachrichten verwenden darf, wird nur E-Mail mit lokalen Empfängeradressen zugelassen. Sie können die Relaykontrolle auch abhängig von der Domäne implementieren. Für diesen Ansatz ist jedoch die ReverseDNS-Auflösung erforderlich, die auf der Ebene des virtuellen SMTP-Servers gesteuert wird. Konfigurieren der Standardrelayeinschränkungen In der Standardeinstellung ermöglicht der virtuelle SMTP-Server nur authentifizierten Benutzern die Weiterleitung von Nachrichten. Diese Konfiguration wurde entworfen, um nicht autorisierte Benutzer daran zu hindern, eine Nachricht per Relay über Ihren Exchange-Server weiterzuleiten. In der Standardkonfiguration des virtuellen Servers wird nur authentifizierten Computern die Weiterleitung von Nachrichten per Relay gestattet. 31 Standardrelayeinschränkungen Unerwünschte kommerzielle E-Mail-Nachrichten werden im Allgemeinen über eine unzulässige oder gefälschte Adresse gesendet und werden häufig per Relay über einen Server weitergeleitet, auf dem die Weiterleitung nicht gesichert ist. Aus diesem Grund wird in Exchange Server 2003 die Weiterleitung per Relay in der Standardeinstellung nur authentifizierten Benutzern gestattet. Sie sollten vorsichtig sein, wenn Sie diese Einstellung ändern – viele Internetdienstanbieter blockieren Server, die als offenes Relay konfiguriert sind. Informationen zu SMTP-Connectors SMTP-Connectors werden hauptsächlich verwendet, um Verbindungen zu anderen Mailsystemen herzustellen oder um weitere Optionen für ein SMTP-Internet-Gateway zu definieren. Sie können mit SMTP-Connectors auch eine interne Verbindung zwischen zwei Routinggruppen herstellen, jedoch ist dieses Vorgehen im Allgemeinen nicht zu empfehlen. Im Wesentlichen können Sie mit SMTP-Connectors eine isolierte Route für Nachrichten angeben, die dann an eine bestimmte Domäne oder über das Internet weitergeleitet werden. Ein Vorteil von SMTP-Connectors ist, dass Sie zusätzliche Konfigurationseinstellungen für die E-Mail-Zustellung angeben können. Dazu zählen die folgenden Einstellungen: 32 Zustellung ausgehender Nachrichten Wenn Sie einen Connector konfigurieren, können Sie Nachrichten auf die beiden folgenden Arten weiterleiten: Leiten Sie alle ausgehenden Nachrichten mit DNS durch den Connector weiter. Auf diese Weise wird vom SMTP-Connector die IP-Adresse des Remote-SMTP-Servers mithilfe von DNS aufgelöst und dann die Nachricht übermittelt. Geben Sie einen Smarthost an (einen anderen Server, an den der Connector alle Nachrichten weiterleitet). Der Smarthost übernimmt die Verantwortung für die DNSAuflösung und stellt die Nachricht zu. Lokale Bridgeheadserver Ein virtueller SMTP-Server dient als Host für einen Connector. Beim Erstellen des Connectors legen Sie mindestens einen Exchange-Server und einen virtuellen SMTPServer als Bridgeheadserver fest. Der Connector erbt Größenbeschränkungen und weitere Einstellungen vom virtuellen SMTP-Server. Sie können diese Einstellungen im Connector jedoch außer Kraft setzen. Außerdem können Sie aus Gründen des Lastenausgleichs, der Leistungssteigerung und der Redundanz auch mehrere Bridgeheadserver definieren. Adressraum Mit dem Adressraum eines Connectors definieren Sie die E-Mail-Adressen oder Domänen für die E-Mail-Nachrichten, die Sie über diesen Connector weiterleiten möchten. Beispielsweise werden durch den Adressraum * (Sternchen) alle externen Domänen beschrieben. Mit diesem Connector werden alle externen E-Mail-Nachrichten weitergeleitet. Wenn Sie einen zweiten Connector mit dem Adressraum *.net angelegt haben, werden Nachrichten an eine auf „.net“ endende Domäne über den zweiten Connector weitergeleitet. Dies geschieht, da Exchange immer den Connector auswählt, der den ähnlichsten Adressraum aufweist. Diese Einstellung können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Adresse konfigurieren. Bereich Sie können als Bereich für einen Connector entweder eine gesamte Organisation oder eine Routinggruppe auswählen. Auch den Bereich können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Adresse definieren. Empfangseinschränkungen Hier können Sie einschränken, wer Nachrichten über einen Connector senden kann. In der Standardeinstellung werden Nachrichten von allen Absendern angenommen. Diese Einstellungen können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Übermittlung konfigurieren. 33 Hinweis: In der Standardeinstellung können Sie E-Mail-Nachrichten nicht einschränken. Hierfür müssen Sie die Registrierungsschlüsseleinstellungen ändern. Wenn Sie sich dafür entscheiden, Übermittlungseinschränkungen zu aktivieren, beachten Sie, dass dieser Vorgang den Prozessor extrem belastet und die Leistung des Servers negativ beeinflussen kann. Weitere Informationen zum Aktivieren von Übermittlungseinschränkungen finden Sie unter Festlegen von Übermittlungsbeschränkungen für den SMTP-Connector. Inhaltseinschränkungen Hier können Sie angeben, welche Nachrichtentypen von einem Connector ausgeliefert werden. Diese Einstellungen können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Inhaltseinschränkungen konfigurieren. Übermittlungsoptionen Wenn Sie zum Abrufen von Nachrichten eine Verbindung mit einem Netzwerkdienstanbieter herstellen, können Sie einen Connector so konfigurieren, dass er nach einem bestimmten Zeitplan gestartet wird. Außerdem sollten Sie erweiterte Features zum Hinzufügen zu und Entfernen aus Warteschlangen implementieren. Diese Einstellungen können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Zustelloptionen konfigurieren. SMTP-Kommunikation Sie können steuern, wie der Connector SMTP zur Kommunikation mit anderen SMTPServern einsetzt. Insbesondere können Sie mit dieser Einstellung festlegen, ob der Connector zum Einleiten der Datenübertragung mit einem anderen Server SMTP- oder ESMTP-Befehle (Extended Simple Mail Transfer Protocol) verwendet, sowie die Verwendung der Befehle ERTN und TURN steuern (mit diesen Befehlen wird ein anderer SMTP-Server aufgefordert, die ihm vorliegenden E-Mail-Nachrichten zu senden). Diese Einstellungen können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Erweitert konfigurieren. Ausgehende Sicherheit Sie können außerdem sicherstellen, dass jede über den Connector geleitete Nachricht authentifiziert wird. Das bietet sich an, wenn Sie für die Datenübertragung von und zu einem Partnerunternehmen eine sichere Übertragungsstrecke einrichten möchten. Mit dieser Einstellung können Sie ein Authentifizierungsverfahren einrichten und TLSVerschlüsselung fordern. Alle diese Einstellungen können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Erweitert über die Schaltfläche Ausgehende Sicherheit konfigurieren. 34 Funktionen eines SMTP-Connectors SMTP ist für die Feststellung der IP-Adresse des nächsten Zielservers von DNS abhängig. Um E-Mail-Nachrichten direkt an einen externen Mailserver zu senden, muss ein SMTPConnector externe Domänennamen mit DNS auflösen. Wahlweise kann der Connector EMail-Nachrichten einfach an einen Smarthost weiterleiten, der für die DNS-Namensauflösung und die Zustellung verantwortlich ist. Nachdem Sie einen SMTP-Connector eingerichtet haben, leiten die Server E-MailNachrichten nicht mehr direkt weiter, solange die Zieladresse dem Adressraum des SMTPConnectors entspricht. Stattdessen leiten die Server die E-Mail-Nachrichten über den SMTPConnector weiter. (Diese Server werden als Gateway oder Bridgeheadserver bezeichnet.) Beispiel zur Veranschaulichung dieses Ansatzes: Sie möchten alle externen E-MailNachrichten über einen Connector an einen Bridgeheadserver (den einzigen Server, der mit dem Internet kommuniziert) weiterleiten. Erstellen Sie hierfür auf dem Bridgeheadserver einen Connector mit dem Adressraum * (Sternchen), der für alle externen Domänen steht. Beim Senden einer E-Mail-Nachricht an eine externe Domäne wird die externe E-MailNachricht nicht direkt von einem virtuellen SMTP-Server gesendet, sondern von Exchange automatisch zu diesem Connector weitergeleitet. Wenn mehrere Connectors vorhanden sind, leitet Exchange die E-Mail-Nachricht durch den Connector mit dem ähnlichsten Adressraum (also mit dem am meisten eingeschränkten Adressraum). Hinweis: Wenn Sie in einer Umgebung im gemischten Modus einen Exchange-Server Version 5.5 Internet Mail Connector verwenden, behandelt Exchange Server 2003 diesen Connector als gültige Route. Wenn beim Senden oder Empfangen von Internet-E-Mail-Nachrichten Probleme auftreten, überprüfen Sie auf dem Exchange Server 5.5-Server die MTA-Warteschlangen und auf dem Exchange Server 2003Server die X.400-Warteschlangen. Exchange Server 2003 verwendet den MTA zur Kommunikation mit früheren Exchange-Versionen. Verwendungszwecke für einen SMTP-Connector Da Exchange Server 2003 Funktionen für virtuelle Server bietet, ist es nicht erforderlich, einen SMTP-Connector zu erstellen, um Nachrichtenfluss zu ermöglichen oder um eine Verbindung zu anderen Servern einer Exchange-Organisation bzw. zum Internet herzustellen. Außerdem ist kein Connector erforderlich, wenn Ihre Exchange Server 2003Server eine Verbindung mit dem Internet herstellen und DNS-Lookups (Domain Name System) für Internetadressen erfolgreich durchführen. Obwohl er für die Zustellung von Internetmail nicht erforderlich ist, bietet ein SMTPConnector jedoch folgende Vorteile: Vereinfachte Administration 35 Eingeschränkte Angriffsfläche aus dem Internet Isolierte Route für die Kommunikation mit einer anderen Domäne oder einem anderen Mailsystem Weiterleitung von E-Mail-Nachrichten an ein anderes Mailsystem oder Weiterleitung von E-Mail-Nachrichten per Relay an eine andere Domäne Mehrere Bridgeheadserver für Lastenausgleich Steuerung von SMTP zur Kommunikation mit anderen Servern Zeitpläne für Verbindungen mit benutzerdefinierten Einstellungen In den folgenden Abschnitten finden Sie ausführliche Informationen zu diesen Vorteilen. Weitere Informationen zu SMTP-Connectors finden Sie im Microsoft Knowledge BaseArtikel 294736 „When to Create SMTP Connectors in Exchange 2000 and Later“. Vereinfachen der Administration des Nachrichtenflusses Ein SMTP-Connector bietet eine bessere administrative Steuerung des Nachrichtenflusses von Internetmail aus Ihrer Organisation. Sie können mit einem oder mehreren SMTP-Connectors die verfügbaren Routen für ausgehende Internetmail begrenzen. Außerdem wird durch die Verwendung eines Servers als Bridgeheadserver die Problembehandlung vereinfacht, da Sie nur die SMTP-Warteschlangen und sonstige Konfigurationen auf einem Server überprüfen müssen. Begrenzen der Angriffsfläche aus dem Internet Einer der Hauptvorteile eines SMTP-Connectors besteht darin, dass Sie alle eingehenden oder ausgehenden externen SMTP-E-Mail-Nachrichten durch einen bestimmten Server oder einen Satz von Bridgeheadservern leiten können. Indem Sie für Internetmail eine isolierte Route durch einen Connector festlegen, begrenzen Sie für Ihre Exchange-Organisation die Angriffsfläche aus dem Internet. Um Internetmail durch einen SMTP-Connector weiterzuleiten, geben Sie einen Server oder einen Satz von Servern als Gateway in das Internet an, erstellen Sie einen SMTPConnector, und setzen Sie diese Server dann als die Quellbridgeheadserver des Connectors ein. Isolieren einer Route für die Kommunikation mit anderen Domänen Sie können mit einem SMTP-Connector auch eine isolierte Route für die Kommunikation mit anderen Domänen herstellen. Dieser Ansatz kann sinnvoll sein, wenn Sie mit einem bestimmten Unternehmen sicher kommunizieren möchten. In früheren Exchange-Versionen konnten Sie Einstellungen für jede E-Mail-Domäne konfigurieren. Diese Optionen sind in Exchange Server 2003 nicht mehr verfügbar, Sie können jedoch mehrere SMTP-Connectors erstellen, für diese Adressräume festlegen und anschließend für diese Domänen die entsprechenden Einstellungen vornehmen. 36 Nehmen Sie z. B. an, dass Sie alle E-Mail-Nachrichten an das Militär mit SSL sichern möchten, jedoch möchten Sie für die restliche E-Mail-Kommunikation kein SSL verwenden. Dafür sind zwei SMTP-Connectors erforderlich: Einer mit dem Adressraum SMTP:*.mil Einer mit dem Adressraum SMTP:* Da Exchange alle E-Mail-Nachrichten durch den Connector mit dem ähnlichsten Adressraum weiterleitet, wird zuerst versucht, Nachrichten in die Domäne „.mil“ durch den Connector für „*.mil“ weiterzuleiten. Sie können angeben, dass der Connector für *.mil E-Mail-Nachrichten nur an einen Server (einen Smarthost) sendet und dass er SSL verwendet und Authentifizierung erfordert. Wenn der Connector für *.mil nicht verfügbar ist, werden Nachrichten in einer Warteschlange gespeichert, bis der Connector wieder verfügbar ist, da für das Routing „*.mil“ und „*“ zwei getrennte Ziele sind. Die Nachrichten werden nicht erneut durch den SMTP-Connector für den Adressraum „*“ weitergeleitet. Lastenausgleich mit mehreren Bridgeheadservern Wenn ein Connector auf mehreren Bridgeheadservern gespeichert ist, wählen die Server beim Verwenden des Connectors den zu verwendenden Bridgeheadserver nach dem Zufallsprinzip aus und gleichen die Anforderungslast dadurch zwischen den Bridgeheadservern aus. Wenn für denselben Adressraum mehrere Connectors mit jeweils einem Bridgeheadserver vorhanden sind, führt dies zu einem anderen Verhalten. Die von diese Connectors verwendeten Server entscheiden sich je nach GUID des Servers für einen der verfügbaren Connectors. Über den Algorithmus ist möglicherweise keine gleichmäßige Verteilung der Last auf alle vorhandenen Connectors sichergestellt. Für einen gleichmäßigen Lastenausgleich wird daher die Verwendung eines Connectors mit mehreren Bridgeheadservern empfohlen. Verwenden bestimmter SMTP- oder ESMTP-Befehle Sie können mit einem Connector steuern, wie Exchange-Server zur Kommunikation mit anderen Servern SMTP verwenden. Zur Initiierung von SMTP-Sitzungen können Sie wählen, ob Ihr Server ESMTP- oder SMTP-Befehle verwendet, und Sie können steuern, welchen Befehlstyp der Server ausgibt. Beim Konfigurieren einer SMTP-Verbindung stehen Ihnen die folgenden Kommunikationsoptionen zur Verfügung: ETRN/TURN-Befehle vom Server oder vom Client senden oder nicht senden. TURN ist ein SMTP-Befehl, der es Client und Server ermöglicht, die Rollen zu tauschen und E-Mail in umgekehrter Richtung zu senden, ohne eine neue Verbindung herstellen zu müssen. ETRN ist ein ESMTP-Befehl, den ein SMTPServer sendet, um einen anderen Server dazu aufzufordern, alle vorhandenen EMail-Nachrichten zu senden. Sie können diese Befehle verwenden, wenn Ihre EMail-Nachrichten bei einem Netzwerkdienstanbieter gespeichert sind, der diese auf Anforderung zustellt. 37 ETRN/TURN von einem bestimmten Server anfordern. Statt EHLO (ein ESMTP-Befehl) HELO (ein SMTP-Befehl) senden. HELO ist ein SMTP-Befehl, den ein Client sendet, um sich (normalerweise mit einem Domänennamen) zu identifizieren. EHLO ist ein ESMTP-Befehl, mit dem ein Server bekannt macht, dass er ESMTP-Befehle unterstützt. Planen und Anpassen von ausgehenden Verbindungen Mit einem Connector können Sie eine ausgehende Verbindung zu einem bestimmten Zeitpunkt herstellen. Diese Funktion ist nützlich, wenn Sie Ihre ausgehenden E-MailNachrichten über einen Netzwerkdienstanbieter zustellen oder wenn Sie nur über eingeschränkte Bandbreite verfügen und steuern möchten, wann externe E-MailNachrichten gesendet werden. Außerdem bietet ein Connector die folgenden Möglichkeiten: Gestatten von hohen, normalen oder niedrigen Nachrichtenprioritäten für eine Domäne Gestatten von Systemnachrichten oder von nicht vom System stammenden Nachrichten Übermitteln überlanger Nachrichten zu abweichenden Zeiten Stellen von E-Mail-Nachrichten für remote ausgelöste Übermittlung in eine Warteschlange Festlegen bestimmter Empfangseinschränkungen Transportabhängigkeiten in Exchange Server 2003 Die ordnungsgemäße Funktion von SMTP (Simple Message Transfer Protocol) ist von den folgenden Komponenten abhängig: Internetinformationsdienste (IIS), ein Feature in Microsoft® Windows Server™ 2003 Microsoft Active Directory®-Verzeichnisdienst DNS (Domain Name System) Empfängerrichtlinien Empfängeraktualisierungsdienst DS2MB-Dienst (Directory Service to Metabase) In diesem Thema finden Sie ausführliche Informationen über all diese Komponenten und den Umgang mit SMTP. 38 Internetinformationsdienste (IIS) Mit IIS (Internetinformationsdienste) wird eine Umgebung für Internetdienste wie WWWPublishingdienst (W3SVC), SMTP-Dienst (SMTPSVC) und NNTP-Dienst (NntpSvc) bereitgestellt. IIS darf nicht mit Webdiensten verwechselt werden, da verschiedene andere Dienste, z. B. SMTP, von der ordnungsgemäßen Ausführung von IIS abhängen. Die Installation von IIS umfasst Folgendes: Den als IIS-Verwaltungsdienst (IIS Admin Service - IISADMIN) bezeichneten Umgebungsprozess, der die Administration von Diensten durch das IIS-Snap-In ermöglicht Verwaltungskonsolen oder Snap-Ins für MMC (Microsoft Management Console) Die IIS-Metabase, das Konfigurationsrepository für IIS Allgemeine Dateien, bei denen es sich um freigegebene Bibliotheken handelt, über die Socketverbindungs-Pooling, Registrierung und die Verwaltung dieser Internetdienste bereitgestellt werden Microsoft Exchange 2000 Server- und Exchange Server 2003-Setup setzt die Installation des WWW-Publishingdiensts, des SMTP-Diensts und des NNTP-Diensts voraus. Mit dieser Vorbedingung wird die Installation aller notwendigen Komponenten vor der Installation von Exchange sichergestellt. Exchange unterstützt den SMTP-Hauptdienst durch eine Ereignisinfrastruktur. (Weitere Informationen zu Ereignisinfrastrukturen finden Sie auf der MSDN® Web site.) Nach der Installation von Exchange ist der SMTP-Dienst nur vom IISVerwaltungsdienst abhängig. Zwar können Sie den WWW-Publishingdienst deaktivieren, ohne den SMTP-Dienst zu beeinflussen, Sie können jedoch nicht die Option WindowsKomponenten hinzufügen oder entfernen unter Software verwenden, um den IISVerwaltungsdienst zu deaktivieren oder die IIS-Komponente vollständig zu entfernen. Bei der Installation von IIS werden mehrere virtuelle Verzeichnisse unter dem WWWPublishingdienst erstellt, die jedoch von keiner der Exchange-Komponenten benötigt werden, einschließlich Microsoft Outlook® Web Access. Zur besseren Absicherung von IIS stellt Microsoft folgende Tools bereit: URLScan, Version 2.5, für Windows Server 2003 URLScan, Version 2.5, ist ein Sicherheitstool, das die Arten der von IIS verarbeiteten HTTP-Anforderungen einschränkt. Führen Sie zur Steigerung der Sicherheit des Servers, auf dem Windows Server 2003 installiert ist, URLScan aus. URLScan erhalten Sie im Microsoft Download Center. Weitere Informationen zu URLScan finden Sie im Microsoft Knowledge Base-Artikel 823175 „Fine-Tuning and Known Issues When You Use the Urlscan Utility in an Exchange 2003 Environment). IIS Lockdown-Assistent für Windows® 2000 Server Der IIS Lockdown-Assistent ist ein Sicherheitstool, das nicht benötigte virtuelle Verzeichnisse entfernt, die Dateisicherheit erhöht und in Echtzeit URL-Anforderungen für 39 benutzerdefinierte Konfigurationen verarbeitet. Um für den unwahrscheinlichen Fall, dass der WWW-Publishingdienst irrtümlich gestartet wird, einen verbesserten Schutz zu bieten, sollten Sie den IIS-Lockdown-Assistenten auf jedem Exchange-Server und Domänencontroller einsetzen, sofern Sie Exchange auf Windows 2000-Servern ausführen. Sie können den IIS Lockdown Wizard im Microsoft Download Center downloaden. Weitere Informationen zur Verwendung des IIS-Lockdown-Assistenten finden Sie unter „Verwendung des IIS Lockdown-Assistenten unter Windows 2000 Server“ in Absichern der Infrastruktur. Active Directory Exchange Server 2003 ist fest in Windows 2000 und Windows Server 2003 sowie in Active Directory integriert. Sämtliche Konfigurationsinformationen von Exchange Server 2003, einschließlich der Informationen über Empfängerrichtlinien, Routing- und Connector-Konfigurationen, die Konfiguration virtueller SMTP-Server und Benutzerpostfächer, werden in Active Directory gespeichert. Die SMTP-Einstellungen werden jedoch aus der IIS-Metabase gelesen. Daher repliziert die Exchange-Systemaufsicht (einer der Exchange-Standarddienste) die Konfigurationsinformationen von Active Directory in die IIS-Metabase, um die für die SMTP-Funktionen erforderlichen Informationen für IIS bereitzustellen. Zusätzlich ist das Routing von den Informationen über die aktuelle Routingtopologie in Active Directory abhängig. Beim Start werden von allen Exchange-Servern Informationen über die Routingtopologie aus Active Directory gelesen, beispielsweise die aktuelle Connectorkonfiguration, Routinggruppen sowie lokale und Remotebridgeheadserver. Wenn ein Objekt, z. B. eine Routinggruppe oder ein Connector, beschädigt ist, wird es nicht aus Active Directory gelesen. In diesem Fall ist die Übersicht der Server über die Topologie unvollständig. Ereignis 929 in der Ereignisanzeige weist darauf hin, dass diese Situation eingetreten ist. Weitere Informationen zur Ereignisanzeige finden Sie unter Anzeigen des Anwendungsprotokolls in der Ereignisanzeige und Anzeigen des Systemprotokolls in der Ereignisanzeige. Nach dem Start registriert sich der Routinggruppenmaster (der Server, der für die Wartungsund Kommunikationsinformationen über die Routingtopologie in seiner Routinggruppe verantwortlich ist) jeder Gruppe bei Active Directory und erhält vom Konfigurationsdomänencontroller Informationen über wesentliche Änderungen von Routingversionen. Wenn von einem Routinggruppenmaster eine Aktualisierung der Routingtopologie empfangen wird, werden diese Informationen an alle Mitgliedsserver der Routinggruppe gesendet und alle Bridgeheadserver in Remoteroutinggruppen benachrichtigt. Diese Bridgeheadserver benachrichtigen wiederum ihren entsprechenden Routinggruppenmaster. Zusätzlich greift das Kategorisierungsmodul, eine interne Transportkomponente, auf eine zwischengespeicherte Version der Informationen in Active Directory zu, entweder mithilfe von DSAccess oder durch direkte Abfrage von Active 40 Directory mithilfe der LDAP-Abfragen. Weitere Informationen zum Kategorisierungsmodul finden Sie unter Grundlagen zu internen Transportkomponenten. DNS (Domain Name System) Auch wenn die vollständige Erörterung von DNS außerhalb des Rahmens dieses Handbuchs liegt, finden Sie in diesem Abschnitt Informationen über die Beziehung zwischen DNS und SMTP in Exchange. Da Exchange Server 2003 bei der Namensauflösung auf DNS beruht, spielt DNS eine entscheidende Rolle beim Nachrichtenfluss im Internet. Für SMTP ist DNS erforderlich, um die IP-Adresse (Internet Protocol) des nächsten internen oder externen Zielservers zu bestimmen. Interne DNS-Namen werden im Allgemeinen nicht im Internet veröffentlicht. Daher muss mit SMTP eine Verbindung mit einem DNS-Server hergestellt werden können, der externe DNS-Namen zum Senden von Internet-E-Mail auflösen kann, sowie mit einem DNS-Server, der interne DNS-Namen für die Übermittlung innerhalb der Organisation auflösen kann. Informationen über die Konfiguration von DNS zum Senden und Empfangen von E-Mail-Nachrichten finden Sie unter Überprüfen des DNSDesigns und der Konfiguration. In den folgenden Abschnitten finden Sie eine allgemeine Übersicht über DNS-Abfragen und eine Erläuterung der Rolle, die DNS beim Senden und Empfangen von E-Mail-Nachrichten spielt. Funktionsweise externer DNS-Abfragen Wenn von einem DNS-Client der Name eines Servers aufgelöst werden muss, wird der DNSServer abgefragt. Jede vom Client gesendete Abfrage ist im Wesentlichen eine Anforderung zum Bereitstellen von Informationen durch den DNS-Server. Der Client legt den Abfragetyp fest. Dies kann ein Ressourceneintrag nach Typ oder eine spezielle Art von Abfragevorgang sein. Um beispielsweise SMTP-Mailserver im Internet zu finden, legen Sie den Abfragetyp MX (Mail Exchanger-Ressourceneintrag) fest. Der angegebene Name kann eine externe Domäne sein, z. B. example.microsoft.com. Der angegebene Abfragetyp, nach dem gesucht werden soll, kann ein MX-Eintrag dieses Namens sein. Stellen Sie sich eine DNS-Abfrage so vor, dass ein Client einem Server eine zweiteilige Frage stellt: Erstens, „Sind MX-Ressourceneinträge für eine Domäne namens ‚example.microsoft.com‘ vorhanden?“. Anschließend „Ist dies der Fall, kann dieser MXEintrag in einen A-Eintrag (Host) aufgelöst und dessen IP-Adresse aufgelöst werden?“ Wenn der Client eine Antwort vom Server empfängt, wird der MX-Eintrag gelesen und interpretiert, der Client erhält den A-Eintrag, und die IP-Adresse des Computers wird dadurch aufgelöst. 41 Abfrage eines DNS-Servers Empfängt der DNS-Server eine Abfrage, wird zuerst überprüft, ob diese autorisierend beantwortet werden kann, abhängig von den Informationen über MX-Einträge, die in einer lokal konfigurierten Zone auf dem Server gespeichert sind. Stimmt ein abgefragter Name mit einem entsprechenden MX-Eintrag in der lokalen Zone überein, wird die Abfrage autorisierend beantwortet und diese Informationen zur Auflösung des abgefragten Namens verwendet. Wenn keine Informationen über den abgefragten Namen vorhanden sind, überprüft der Server, ob er den Namen mithilfe lokal zwischengespeicherter Informationen über vorherige Abfragen auflösen kann. Gibt es eine Übereinstimmung, wird mit diesen Informationen geantwortet. Wenn vom bevorzugten Server eine übereinstimmende Antwort aus dessen Cache an den anfordernden Client gegeben werden kann, ist die Abfrage abgeschlossen. Sind weder in der lokalen Zone noch im Cache Informationen über den abgefragten Namen enthalten, wird beim Abfragevorgang eine Rekursion zur vollständigen Auflösung des Namens vollzogen. Rekursion ist der Vorgang, bei dem von einem DNS-Server im Auftrag des anfordernden Clients Abfragen an andere DNS-Server gesendet werden, um den Namen vollständig aufzulösen. Anschließend wird die Antwort zum Client gesendet. In der Standardeinstellung werden vom DNS-Clientdienst Rekursionen verlangt, um Namen vollständig für den Client aufzulösen, bevor die Abfrage beantwortet wird. In den meisten Fällen ist der DNS-Server (in der Standardeinstellung) für die Unterstützung des Rekursionsvorgangs konfiguriert. Auflösen einer Abfrage nach einem MX-Eintrag und Ermitteln der IP-Adresse durch DNS 42 Weitere Informationen über DNS finden Sie in der Hilfe von Windows 2000 oder Windows Server 2003. Die Rolle von DNS beim Senden und Empfangen von interner Mail Windows 2000 und Windows Server 2003 registrieren jeweils den vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) jedes Servers über dynamischen DNS. Auch der Exchange-Server und die virtuellen SMTP-Server verwenden den FQDN. Wenn Sie den vom virtuellen SMTP-Server verwendeten FQDN ändern, müssen Sie für diesen FQDN manuell einen Eintrag in DNS hinzufügen. Die Rolle von DNS beim Empfangen von Internet-E-Mail Um Internet-E-Mail zu empfangen, muss der externe DNS-Server über einen MX-Eintrag verfügen, der auf einen AEintrag verweist, der wiederum die IP-Adresse des Mailservers oder eines Servers enthält, der E-Mail-Nachrichten an Ihre Mailserver weiterleiten kann. Um sicherzustellen, dass Ihre MX-Einträge ordnungsgemäß konfiguriert sind, können Sie diese mithilfe des Nslookup-Tools überprüfen. Um zu überprüfen, ob Ihr Server für andere Server aus dem Internet am Anschluss 25 erreichbar ist, können Sie Telnet verwenden. Verwenden von DNS zum Senden von Internet-E-Mail Bei der Verwendung von DNS müssen Sie unbedingt darauf achten, dass alle Server in der DNS-Suchfolge in der Lage sind, externe Domänen (auch als Internetdomänen bezeichnet) aufzulösen. Da Sie wahrscheinlich interne Server für interne Namensauflösungen verwenden, stehen Sie drei Setup-Optionen zur Verfügung: Einrichten der internen DNS-Server als Cacheserver, die Stammhinweise für Internetdomänen verwenden. Stammhinweise verweisen auf DNS-Server, die für die Zone autorisierend sind, die den Domänenstamm und Domänen der obersten Ebene enthält. Mithilfe von Stammhinweisen kann von den DNS-Servern der richtige Server zum Auflösen des Domänennamens lokalisiert werden. Einrichten des internen DNS-Servers für Weiterleitungen an externe DNSServer. Eine Weiterleitung ist ein DNS-Server, der von einem internen Server für die Auflösung externer DNS-Namen festgelegt wird. (Wählen Sie für die Einrichtung einer Weiterleitung in der DNS-Konsole den DNS-Server aus. Klicken Sie im Menü Vorgang auf Eigenschaften, klicken Sie anschließend auf die Registerkarte Weiterleitungen, und aktivieren Sie das Kontrollkästchen Weiterleitungen aktivieren. Fügen Sie IP-Adressen für andere DNS-Server hinzu, die als Weiterleitungen für diesen Server fungieren.) Einrichten des SMTP-Diensts zur Verwendung externer DNS-Server. Um einen externen DNS-Server zu konfigurieren, klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, klicken Sie auf Eigenschaften und anschließend auf die 43 Registerkarte Übermittlung. Klicken Sie auf Erweitert und anschließend auf Konfigurieren, um einen externen DNS-Server einzurichten. Ein interner Client der Domäne example.com sendet beispielsweise eine Nachricht an einen Empfänger in der Remotedomäne contoso.com. Zur Weiterleitung der Nachricht wird von verwendet Exchange DNS, um die IP-Adresse des SMTP-Servers der Contoso-Domäne aufzulösen und die Nachricht an den Empfänger bei contoso.com zu übermitteln. Auflösen externer IP-Adressen mithilfe von DNS in Exchange Im folgenden Ablauf wird außerdem erläutert, wie in Exchange DNS zur Auflösung einer externen IP-Adresse verwendet wird: 1. Nachdem der SMTP-Server der Domäne example.com die Nachricht empfangen hat, die für den Empfänger bei contoso.com bestimmt ist, kontaktiert der virtuelle SMTP-Server den geeigneten DNS-Server und sendet eine MX-Abfrage für die externe Domäne contoso.com. 2. Der DNS-Server lokalisiert einen A-Eintrag, der mit dem MX-Eintrag für contoso.com in Verbindung steht, und verwendet diesen zum Ermitteln der IP-Adresse. Weitere Informationen über das Lokalisieren eines A-Eintrags durch DNS-Server finden Sie weiter oben in diesem Kapitel unter „Abfrage eines DNS-Servers“. 3. Der DNS-Server gibt die IP-Adresse 172.234.234.23 für den Mailserver bei contoso.com an den virtuellen SMTP-Server zurück. 4. Der virtuelle SMTP-Server stellt eine Verbindung mit Anschluss 25 des Remote-SMTPServers mit der IP-Adresse 172.234.234.23 her und übermittelt die Nachricht. 44 Weiterleiten von Internet-E-Mail an einen Smarthost Ein Smarthost ist ein Server- oder Mailprozess zur Übermittlung von Internet-E-Mail. Ein Smarthost muss kein Exchange-Server sein. Es kommen alle SMTP-Prozesse oder -Server infrage, die für die Übermittlung von E-Mail-Nachrichten zuständig sind, ob durch Senden an einen weiteren SMTP-Server oder durch Verwenden von DNS für die direkte Übertragung. In Szenarios mit permanenter Verbindung zum Internet ist kein Smarthost erforderlich. Oft ist der Smarthost jedoch ein Virenscanner oder ein SMTP-Dienst unter Windows 2000 oder Windows Server 2003, der sich im Umkreisnetzwerk befindet. Die Verwendung eines Smarthosts für die DNS-Auflösung ähnelt der Verwendung eines DNS-Servers, jedoch ist der Smarthost für die Auflösung der IP-Adresse und das Senden der Mail verantwortlich. Weitere Informationen zum Konfigurieren des Windows 2000-SMTP-Diensts in einem Umkreisnetzwerk finden Sie im Microsoft Knowledge Base-Artikel 293800, „XCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart HostXCON: SO WIRD'S GEMACHT: Installieren von Windows 2000 als SMTP-Relay-Server oder Smarthost“. Weitere Informationen zum Einrichten von Exchange hinter ISA-Server (Microsoft Internet Security and Acceleration) finden Sie im technischen Artikel Microsoft ISA Server 2000 – Configuring and Securing Exchange 2000 Server and Clients. Empfängerrichtlinien Mit einer Empfängerrichtlinie werden die Standard-E-Mail-Adressen festgelegt, für die ein bestimmtes Protokoll (z. B. SMTP) für eine Gruppe von Benutzern verwendet wird. E-MailAdressen dienen dazu, in Exchange die gültigen Adressformate für eingehende E-MailNachrichten zu definieren. Mit der Standardempfängerrichtlinie wird die E-Mail-Domäne festgelegt, für die der virtuelle Server eingehende E-Mail-Nachrichten annimmt. Darin sind die SMTP- und X.400-Standardadressen für alle postfachaktivierten Exchange Server 2003Objekte angegeben. Jede in den Empfängerrichtlinien angegebene SMTP-Domäne wird in die IIS-Metabase repliziert und als autorisierende lokale Domäne festgelegt. Auf diese Weise nimmt SMTP eingehende E-Mail-Nachrichten für diese Domänen an. Die SMTP-Adresse wird nur dann nicht als lokale Adresse angesehen, wenn Sie im Dialogfeld Eigenschaften für SMTPAdresse das Kontrollkästchen Diese Exchange-Organisation ist für die gesamte E-MailÜbermittlung an diese Adresse verantwortlich deaktiviert haben, während Sie die Adresse der Empfängerrichtlinie hinzufügen. Eine Empfängerrichtlinie kann mehr als eine E-Mail-Adresse für ein bestimmtes Protokoll enthalten (z. B. SMTP oder X.400). Wenn beispielsweise alle Benutzer in Ihrer ExchangeOrganisation über externe E-Mail-Adressen mit der Endung „@example.com“ verfügen, Sie jedoch für alle Benutzer in Seattle zwei externe E-Mail-Adressen einrichten möchten (eine mit „@example.com“ und eine weitere mit „@seattle.example.com“), können Sie eine 45 Empfängerrichtlinie für alle Benutzer im Büro in Seattle erstellen und eine zusätzliche Adresse mit der Endung „@seattle.example.com“ hinzufügen. Führen Sie dazu die folgenden Schritte durch. Weitere Informationen zu Empfängerrichtlinien finden Sie unter Herstellen einer Verbindung mit dem Internet und „Managing Recipients and Recipient Policies in Exchange Server 2003“ im Exchange Server 2003 Administration Guide. Empfängeraktualisierungsdienst Der Empfängeraktualisierungsdienst ist ein Teil des Microsoft ExchangeSystemaufsichtsdiensts (MSExchangeSA, Microsoft Exchange System Attendant), der Active Directory nach neuen Empfängern überprüft und die geeigneten E-Mail-Adressen und andere Exchange-Eigenschaften für den Benutzer in Active Directory speichert. Im Empfängeraktualisierungsdienst werden die in den Empfängerrichtlinien festgelegten Informationen verwendet, um Active Directory mit den richtigen Benutzerinformationen für die in allen Empfängerrichtlinien enthaltenen Empfänger zu aktualisieren. Für jede Domäne in Ihrer Organisation muss ein Empfängeraktualisierungsdienst vorhanden sein. Bei größeren Organisationen werden mehrere Empfängeraktualisierungsdienste empfohlen. Sie sollten in Betracht ziehen, für jeden Active Directory-Standort einen Empfängeraktualisierungsdienst bereitzustellen. Andernfalls kann die Replikation neuer Empfänger und der aktualisierten Informationen in einer einfachen Replikationstopologie bis zu 30 Minuten dauern. Bis zum Abschluss der Replikation können diese Empfänger keine Nachrichten senden oder empfangen. DS2MB-Dienst (Directory Service to Metabase) Der DS2MB-Dienst, eine Komponente des Exchange-Systemaufsichtsdiensts, ist für die Weitergabe von Informationen von Active Directory an die IIS-Metabase verantwortlich. DS2MB ist wichtig für die Verarbeitung von SMTP, IMAP4 (Internet Message Access Protocol 4), POP3 (Post Office Protocol 3) und den WWW-Publishingdienst, den Dienst für Microsoft Outlook® Web Access. DS2MB repliziert die folgenden Informationen von Active Directory in die IIS-Metabase: Virtuelle SMTP-Server und den Großteil ihrer konfigurierbaren Eigenschaften SMTP-Connector-Adressräume, damit die Metabase für das erweiterte Warteschlangenmodul Nachrichten ordnungsgemäß weiterleitet Autorisierende Domänen der Empfängerrichtlinien (in den Unterschlüssel SMTPSVC/x/Domain repliziert und vom erweiterten Warteschlangenmodul verwendet) 46 Beim Start werden von DS2MB alle bereits replizierten Objekte sowie Änderungen seit der letzten Replikation überprüft. Wenn keine vorherige Replikation festgestellt wird, werden alle Objekte initialisiert und repliziert. Nach dem Start registriert sich DS2MB beim Domänencontroller, sodass dieser DS2MB benachrichtigt, wenn Änderungen an der Exchange-Konfiguration oder am Container für gelöschte Objekte vorgenommen wurden. Dadurch kann DS2MB bei der Replikation einer Änderung in den Konfigurationsdomänencontroller dieses Objekt fast zeitgleich in die Metabase replizieren. Wenn bei DS2MB Probleme auftreten, wird ein Ereignis mit der ID 1040 protokolliert. Wenn dies geschieht, erhöhen Sie den Diagnoseprotokolliergrad für MSExchangeMU (den Metabase-Aktualisierungsdienst) auf 5. Sie aktivieren das Diagnoseprotokoll im ExchangeSystem-Manager, indem Sie mit der rechten Maustaste auf den Exchange-Server klicken, auf Eigenschaften klicken und anschließend auf der Registerkarte Diagnoseprotokoll unter DiensteMSExchangeMU auswählen. Weitere Informationen zu diesem Verfahren finden Sie unter Ändern von Protokollierungseinstellungen für MSExchangeTransport . Teil zwei In Teil 2 werden die Faktoren erklärt, die Sie berücksichtigen sollten, sowie die bei der Konfiguration des Nachrichtenflusses innerhalb einer Organisation verwendeten Verfahren. Dieser Teil enthält die folgenden Abschnitte: Überprüfen des DNS-Designs und der Konfiguration In diesem Abschnitt finden Sie eine Beschreibung der Überprüfung von DNS auf eine richtige Konfiguration für interne und externe Namensauflösung. Außerdem wird erläutert, wie sichergestellt werden kann, dass andere Server im Internet den E-MailServer finden und Nachrichten an die Organisation übermitteln können. Konfigurieren der Routingtopologie In diesem Abschnitt werden häufig verwendete Routingtopologien vorgestellt. Ferner wird das Definieren und Konfigurieren von Routinggruppen und Routinggruppenconnectors sowie das Festlegen eines Routinggruppenmasters beschrieben. Bereitstellungsszenarios für Internetverbindungen In diesem Abschnitt finden Sie eine Einführung zu allgemeinen und zu benutzerdefinierten Szenarios, die von Organisationen zum Herstellen einer Verbindung mit dem Internet verwendet werden. Herstellen einer Verbindung mit dem Internet 47 In diesem Abschnitt werden Sie durch den Verbindungsvorgang mit dem Internet und der Konfiguration der Organisation für das Senden und Empfangen von Internet-E-Mail geführt. Überprüfen des DNS-Designs und der Konfiguration Bevor Sie Ihre DNS-Konfiguration überprüfen können, stellen Sie sicher, dass Ihr DNSEntwurf die folgenden Bedingungen erfüllt: Auf jedem Domänencontroller wird DNS ausgeführt. Bestehende rekursive Namensauflösung wird wie für die Organisation konfiguriert verwendet. Wenn keine Methode angegeben ist, werden Stammhinweise auf allen Servern verwendet. In der folgenden Tabelle werden die bevorzugten Methoden für die Konfiguration von DNS dargestellt. Es bestehen einige weitere zulässige Konfigurationen. Die in der Tabelle dargestellte Konfiguration ist jedoch die bevorzugte Methode. In der Tabelle wird außerdem die Konfiguration der Zone für die einzelnen Domänen veranschaulicht. Bevorzugte DNS-Konfiguration Entwurfselement Entwurf Zonentyp Active Directory-integriert Dynamische Aktualisierungen Nur sichere dynamische Aktualisierungen Aufräumvorgang Aktiviert Wenn SMTP eine DNS-Abfrage durchführt, werden immer MX-Einträge zuerst abgefragt. Wenn ein interner MX-Eintrag nicht existiert oder nicht ordnungsgemäß konfiguriert ist, funktioniert möglicherweise die interne Nachrichtenübermittlung nicht. Ausführliche Anweisungen dazu, wie Sie sicherstellen, dass MX-Datensätze nicht auf den FQDN eines Exchange-Servers zeigen, finden Sie unter Sicherstellen, dass MX-Einträge nicht auf den vollqualifizierten Domänennamen eines Exchange-Servers zeigen. Ausführliche Anweisungen dazu, wie Sie sicherstellen, dass MX-Datensätze nicht auf eine interne Domäne zeigen, finden Sie unter Überprüfen, dass MX-Einträge nicht auf eine interne Domäne zeigen. 48 Konfigurieren von DNS für eingehende Nachrichten DNS spielt eine äußerst wichtige Rolle bei der Nachrichtenübermittlung über das Internet. Um Nachrichten über das Internet empfangen zu können, sind die folgenden Einstellungen erforderlich: Auf dem externen DNS-Server muss ein MX-Eintrag (Mail Exchanger) vorhanden sein. Mithilfe des Tools Nslookup können Sie überprüfen, ob die entsprechenden MX-Einträge ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Mailserver, die Sie als Bridgeheadserver oder Internetmailserver verwenden, über einen MX-Eintrag auf den externen DNS-Servern verfügen. Damit externe DNS-Server den MX-Eintrag Ihres Mailserver auflösen und eine Verbindung herstellen können, muss er aus dem Internet erreichbar sein. Mit dem TelnetProgramm können Sie feststellen, ob andere Server auf den Mailserver zugreifen können. Der Exchange-Server muss so konfiguriert sein, dass eine Verbindung mit einem DNSServer hergestellt werden kann oder DNS-Namen aufgelöst werden können. Der DNS-Server muss korrekt konfiguriert sein. Hinweis: Zwar ist es nicht erforderlich, doch wird empfohlen, unter Microsoft Windows® 2000 oder Windows Server 2003 den DNS Server-Dienst zu verwenden. Die Richtlinien in den im Abschnitt „Weitere Informationen“ aufgeführten Themen gelten für den DNS Server-Dienst unter Windows 2000 und Windows Server 2003. Ausführliche Anweisungen zum Verwenden von Nslookup zum Überprüfen der MXDatensatz-Konfiguration finden Sie unter Überprüfen der Konfiguration von MX-Einträgen mithilfe von Nslookup. Ausführliche Anweisungen zur Verwendung von Telnet zum Sicherstellen der Erreichbarkeit aus dem Internet finden Sie unter Sicherstellen der Erreichbarkeit aus dem Internet mit Telnet. Konfigurieren von DNS für ausgehende Nachrichten Sie können eine der beiden folgenden Methoden zum Konfigurieren von DNS für ausgehende Nachrichten verwenden: Sie können Exchange Server so konfigurieren, dass die internen DNS-Server verwendet werden. Diese Server lösen externe Namen entweder selbständig auf oder verwenden eine Weiterleitung an einen externen DNS-Server. Exchange Server ist bei der Auflösung 49 von Domänennamen von den DNS-Servern abhängig. Im Allgemeinen konfigurieren Sie die Exchange-Server als DNS-Clients des internen DNS-Servers. Konfigurieren Sie auf Ihrem internen DNS-Server eine externe Weiterleitung, um auf vertrauenswürdige externe DNS-Server zu verweisen. Sie können Exchange Server so konfigurieren, dass ein dedizierter externer DNS-Server verwendet wird. Ausführliche Anweisungen zum Konfigurieren der DNS-Einstellungen für den ExchangeServer finden Sie unter Konfigurieren von DNS-Einstellungen auf dem Exchange-Server. Ausführliche Anweisungen zum Konfigurieren von Einstellungen auf dem DNS-Server finden Sie unter Konfigurieren der Einstellungen auf dem DNS-Server. Ausführliche Anweisungen zum Konfigurieren externer DNS-Server auf einem virtuellen Server für ausgehende SMTP-Nachrichten finden Sie unter Konfigurieren von externen DNSServern auf einem ausgehenden virtuellen SMTP-Server. Ausführliche Anweisungen zum Verwenden der DNS-Auflösung zum Überprüfen der DNSKonfiguration finden Sie unter Verwenden der DNS-Konfiguration mit dem DNS-Resolver. Ausführliche Anweisungen zum Verwenden von Nslookup zum Überprüfen der DNSKonfiguration finden Sie unter Überprüfen der DNS-Konfiguration mithilfe von Nslookup. Weitere Informationen In den folgenden Themen wird die Überprüfung der einzelnen Einstellungen erklärt. Sicherstellen, dass MX-Einträge nicht auf den vollqualifizierten Domänennamen eines Exchange-Servers zeigen Überprüfen, dass MX-Einträge nicht auf eine interne Domäne zeigen Überprüfen, ob die Exchange-Server interne DNS-Namen auflösen können Überprüfen der Konfiguration von MX-Einträgen mithilfe von Nslookup Sicherstellen der Erreichbarkeit aus dem Internet mit Telnet Konfigurieren von DNS-Einstellungen auf dem Exchange-Server Konfigurieren der Einstellungen auf dem DNS-Server Konfigurieren von externen DNS-Servern auf einem ausgehenden virtuellen SMTPServer Verwenden der DNS-Konfiguration mit dem DNS-Resolver Überprüfen der DNS-Konfiguration mithilfe von Nslookup 50 Sicherstellen, dass MX-Einträge nicht auf den vollqualifizierten Domänennamen eines Exchange-Servers zeigen Wenn SMTP eine DNS-Abfrage durchführt, werden immer MX-Einträge zuerst abgefragt. Wenn ein interner MX-Eintrag nicht vorhanden oder nicht ordnungsgemäß konfiguriert ist, funktioniert möglicherweise die interne Nachrichtenübermittlung nicht. Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Verfahren So stellen Sie sicher, dass MX-Einträge nicht auf den vollqualifizierten Domänennamen eines Exchange-Servers verweisen 1. Geben Sie an der Eingabeaufforderung nslookup ein, und drücken Sie die EINGABETASTE. 2. Geben Sie server <IP-Adresse> ein. Dabei steht IP-Adresse für die IP-Adresse des internen DNS-Servers. 3. Geben Sie set q=mx ein, und drücken Sie die EINGABETASTE. 4. Geben Sie <fqdn> ein. Dabei steht fqdn für den vollqualifizierten Namen des virtuellen SMTP-Servers (und des Exchange-Servers), und drücken Sie die EINGABETASTE. 5. Stellen Sie sicher, dass keine MX-Einträge für den internen Server vorliegen. Das Ergebnis sollte ungefähr so aussehen: > set q=mx > server1.example.local example.local primary name server = server01.example.local responsible mail addr = hostmaster.example.local serial = 6225703 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) 51 Überprüfen, dass MX-Einträge nicht auf eine interne Domäne zeigen Wenn SMTP eine DNS-Abfrage durchführt, werden immer MX-Einträge zuerst abgefragt. Wenn ein interner MX-Eintrag nicht vorhanden oder nicht ordnungsgemäß konfiguriert ist, funktioniert möglicherweise die interne Nachrichtenübermittlung nicht. Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Verfahren So überprüfen Sie, dass MX-Einträge nicht auf eine interne Domäne zeigen 1. Geben Sie an der Eingabeaufforderung nslookup ein, und drücken Sie die EINGABETASTE. 2. Geben Sie server <IP-Adresse> ein. Dabei steht IP-Adresse für die IP-Adresse des internen DNS-Servers. 3. Geben Sie set q=a ein, und drücken Sie die EINGABETASTE. 4. Geben Sie <Vollqualifizierter Domänenname> ein. Dabei steht Vollqualifizierter Domänenname für den vollqualifizierten Namen des virtuellen SMTP-Servers (und des Exchange-Servers). Drücken Sie dann die EINGABETASTE. 5. Stellen Sie sicher, dass die zurückgegebenen Ergebnisse mit der IP-Adresse des Computers übereinstimmen. Auf einem mehrfach vernetzten Computer sollte die IPAdresse mit der IP-Adresse des virtuellen SMTP-Servers übereinstimmen (es sei denn, es liegt ein einzelner virtueller Server mit der IP-Adresse Alle nicht zugewiesen vor). Das Ergebnis sollte ungefähr so aussehen: set q=a > server1.example.local Name: server1.example.local Address: 192.168.1.10 Wenn das einzige zurückgegebene Ergebnis der korrekte A-Eintrag ist, sollte die interne Namensauflösung erfolgreich durchgeführt werden können. Wenn keine Einträge vorliegen oder wenn ein MX-Eintrag zurückgegeben wird und auf den falschen vollqualifizierten Domänennamen oder die falsche IP-Adresse verweist, können andere Server möglicherweise keine Nachrichten an diesen ExchangeServer senden. 52 Überprüfen, ob die Exchange-Server interne DNS-Namen auflösen können Wenn SMTP eine DNS-Abfrage durchführt, werden immer MX-Einträge zuerst abgefragt. Wenn ein interner MX-Eintrag nicht vorhanden oder nicht ordnungsgemäß konfiguriert ist, funktioniert möglicherweise die interne Nachrichtenübermittlung nicht. Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Das DNS-Resolver-Tool steht für Exchange-Server zur Verfügung, auf denen Microsoft Windows Server™ 2003 ausgeführt wird. Es simuliert den internen Codepfad des SMTPDiensts und generiert Analysenachrichten, die über den Verlauf der DNS-Auflösung informieren. Führen Sie DNS-Resolver auf dem Computer aus, für den Sie die DNS-Konfiguration überprüfen möchten. Damit das Tool funktioniert, sollte der Pfad %WINDIR%\System32\Inetsrv enthalten. Sie können das DNS-Resolver-Tool von der Microsoft-Website Downloads for Exchange Server 2003 herunterladen. Verfahren So überprüfen Sie, ob die Exchange-Server interne DNS-Namen auflösen können 1. Öffnen Sie auf dem Exchange-Server eine Eingabeaufforderung, navigieren Sie zum folgenden Verzeichnis, und geben Sie folgende Informationen ein: <drive letter>:\WINDOWS\system32\inetsrv 2. Geben Sie folgende Informationen ein: dnsdiag internal host name–v 1 interner Hostname ist der vollqualifizierte Domänenname eines anderen ExchangeServers in der Organisation. 3. Stellen Sie sicher, dass die korrekte IP-Adresse des Exchange-Servers zurückgegeben wird. Die Ausgabe sollte in etwa so aussehen: 53 QNAME = example.microsoft.com Type = MX (0xf) Flags = UDP default, TCP on truncation (0x0) Protocol = UDP DNS Servers: (DNS cache will not be used) 172.16.1.101 Connected to DNS 172.16.1.101 over UDP/IP. Received DNS Response: ---------------------Error: 9501 Description: No records could be located for this name These records were received: microsoft.com SOA Querying via DNSAPI: -------------------QNAME = example.microsoft.com Type = A (0x1) Flags = DNS_QUERY_TREAT_AS_FQDN, (0x1000) Protocol = Default UDP, TCP on truncation Servers: (DNS cache will be used) Default DNS servers on box. Received DNS Response: ---------------------Error: 0 Description: Success These records were received: example.microsoft.com A 172.16.1.106 1 A record(s) found for example.microsoft.com Target hostnames and IP addresses --------------------------------HostName: "example.microsoft.com" 172.16.1.106. Überprüfen der Konfiguration von MXEinträgen mithilfe von Nslookup Wenn Sie Exchange Server auf einem Windows 2000-Server ausführen, können Sie mithilfe des Nslookup-Tools auf dem E-Mail-Server, der Internet-E-Mail übermittelt, überprüfen, ob die MX-Einträge ordnungsgemäß konfiguriert sind. Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. 54 Verfahren Überprüfen der Konfiguration von MX-Einträgen mithilfe von Nslookup 1. Geben Sie an der Eingabeaufforderung nslookup ein, und drücken Sie die EINGABETASTE. 2. Geben Sie server <IP-Adresse> ein. Dabei steht IP-Adresse für die IP-Adresse des externen DNS-Servers. 3. Geben Sie set q=MX ein, und drücken Sie die EINGABETASTE. 4. Geben Sie <Domänenname> ein. Dabei steht Domänenname für den Namen der Domäne. Drücken Sie anschließend die EINGABETASTE. Der MX-Eintrag für die Domäne wird nun angezeigt. Andernfalls ist der DNS nicht ordnungsgemäß konfiguriert. Beispiel Im folgenden Beispiel wird dargestellt, wie MX-Einträge für die fiktive Domäne example.com angezeigt werden: C:\> nslookup Default Server: Address: pdc.corp.example.com 192.168.6.13 > server 172.31.01.01 Default Server: Address: dns1.example.com 172.31.01.01 > set q=mx > example.com. Server: Address: dns1.example.com 10.107.1.7 example.com MX preference = 10, mail exchanger = mail1.example.com example.com MX preference = 10, mail exchanger = mail2.example.com example.com MX preference = 10, mail exchanger = mail3.example.com example.com MX preference = 10, mail exchanger = mail4.example.com example.com MX preference = 10, mail exchanger = mail5.example.com mail1.example.com internet address = 172.31.31.01 55 mail2.example.com internet address = 172.31.31.02 mail3.example.com internet address = 172.31.31.03 mail4.example.com internet address = 172.31.31.04 mail5.example.com internet address = 172.31.31.05 In diesem Beispiel befindet sich der vorkonfigurierte DNS-Server hinter einem Proxyserver. Deshalb wurde einer externer Server oder ein Internet DNS-Server mit der bekannten IPAdresse 172.31.01.01 für die Abfrage verwendet. Im nächsten Schritt wurde der Abfragetyp so festgelegt, dass die Mail-Exchanger nach example.com durchsucht wurden. In diesem Beispiel sind fünf SMTP-Server gleichmäßig ausgelastet, jeder mit seiner eigenen IPAdresse. Für die Domäne kann jedoch auch nur ein einziger Eintrag vorhanden sein, wie im folgenden Beispiel veranschaulicht: contoso.com MX preference = 10, mail exchanger = mailbox.contoso.com mailbox.contoso.com internet address = 10.57.22.3 Sicherstellen der Erreichbarkeit aus dem Internet mit Telnet Wenn Server im Internet Ihren Mailserver nicht erreichen können, können Sie keine Internetmail empfangen. Sie können Telnet zum Überprüfen der Zugriffsmöglichkeiten anderer Server auf Ihren Mailserver über das Internet verwenden. Vergewissern Sie sich zunächst, dass die MX-Einträge ordnungsgemäß eingerichtet sind. Anschließend können Sie überprüfen, ob andere Server im Internet auf Ihren ExchangeServer zugreifen können. Um zu überprüfen, ob andere Server im Internet auf Ihren Exchange-Server zugreifen können, stellen Sie von einem Standort außerhalb Ihres Intranets über Telnet eine Verbindung zu Ihrem E-Mail-Server auf Anschluss 25 her. Verwenden Sie dazu einen Computer mit direktem Zugriff auf das Internet, sodass Sie die Verbindung beim Herstellen überprüfen können. Wenn der Server mehrere NICs (Network Interface Cards) oder IPAdressen aufweist, müssen Sie über Telnet eine Verbindung mit der für das Internet verwendeten IP-Adresse herstellen. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Überprüfen des DNSDesigns und der Konfiguration. 56 Verfahren So überprüfen Sie, ob über das Internet auf den Server zugegriffen werden kann 1. Geben Sie an der Eingabeaufforderung telnet <Ihr E-Mail-Server> 25 ein, und drücken Sie die EINGABETASTE. 2. Stellen Sie sicher, dass Sie eine Antwort ähnlich der folgenden erhalten. Darin werden die Ergebnisse einer Telnet-Sitzung mit dem Mailserver für Contoso, mailbox.contoso.com angezeigt. C:\> telnet mailbox.contoso.com 25 220 corp.contoso.com Microsoft ESMTP MAIL Service, Version: 5.0. 2195.1600 ready at Tue, 5 Sep 2002 11:52:36 -0400 Konfigurieren von DNS-Einstellungen auf dem Exchange-Server Der Exchange-Server muss auf den primären (lokalen) DNS-Server für die Domäne verweisen. Wenn Sie über mehrere lokale DNS-Server verfügen, können Sie Exchange so konfigurieren, dass auf alle DNS-Server verwiesen wird. Es wird jedoch empfohlen, dass Exchange auf den primären DNS-Server für diese Domänen verweist. Die Angabe des DNS-Servers, auf den die Exchange-Server verweisen, erfolgt über das Eigenschaftendialogfeld für das Internetprotokoll (TCP/IP). Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Verfahren Konfigurieren von DNS-Einstellungen auf dem Exchange-Server 1. Klicken Sie auf Start, Einstellungen und Netzwerk- und DFÜ-Verbindungen. 2. Doppelklicken Sie auf LAN-Verbindung, und klicken Sie dann unter Status der LAN-Verbindung auf Eigenschaften. 3. Doppelklicken Sie in den Eigenschaften für die LAN-Verbindung unter Aktivierte Komponenten werden von dieser Verbindung verwendet auf Internetprotokoll 57 (TCP/IP). 4. Überprüfen Sie unter Eigenschaften von Internetprotokoll (TCP/IP), ob DNS ordnungsgemäß konfiguriert ist. Konfigurieren der Einstellungen auf dem DNS-Server In diesem Thema werden Richtlinien zum Konfigurieren des DNS-Servers beschrieben. Um auf die DNS-Konsole zuzugreifen, melden Sie sich als Administrator an, klicken Sie auf Start, zeigen Sie auf Systemsteuerung und Verwaltung, und klicken Sie dann auf DNS. Hinweis: Für die Durchführung der Konfigurationseinstellungen in diesem Thema wird zu Grunde gelegt, dass DNS auf den Domänencontrollern ausgeführt wird. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Überprüfen des DNSDesigns und der Konfiguration. Verfahren So konfigurieren Sie die Einstellungen auf dem DNS-Server 1. Überprüfen Sie, ob der DNS-Server auf seine IP-Adresse verweist. Zum Bestätigen dieser Einstellung rufen Sie das Dialogfeld Internetprotokolleigenschaften (TCP/IP) für den DNS-Server auf. Weitere Informationen zum Aufrufen dieses Dialogfelds finden Sie unter Konfigurieren von DNS-Einstellungen auf dem Exchange-Server. Hinweis: Beim Betrieb des Computers als DNS-Server sollten Sie TCP/IP unbedingt manuell konfigurieren und eine statische IP-Adresse verwenden. 2. Der DNS-Server sollte für jede gehostete Domäne Forward-Lookupzonen enthalten. Zur Konfiguration von Forward-Lookupzonen erweitern Sie in der DNS-Konsole den DNS-Server, dann Forward-Lookupzonen, klicken Sie auf die gewünschte ForwardLookupzone, klicken Sie auf Eigenschaften, und verwenden Sie dann die Einstellungen auf der Registerkarte Allgemein. Führen Sie für jede Forward- 58 Lookupzone folgende Aktionen durch: Legen Sie Dynamische Aktualisierungen zulassen auf Ja fest. Legen Sie Typ auf Active Directory-integriert fest. 3. Der DNS-Server sollte für jeden gehosteten IP-Subnetbereich Reverse-Lookupzonen enthalten. Zur Konfiguration von Reverse-Lookupzonen erweitern Sie in der DNSKonsole den DNS-Server, dann Reverse-Lookupzonen, klicken Sie auf die gewünschte Reverse-Lookupzone, klicken Sie auf Eigenschaften, und verwenden Sie dann die Einstellungen auf der Registerkarte Allgemein. Führen Sie für jede Reverse-Lookupzone folgende Aktionen durch: Legen Sie Dynamische Aktualisierungen zulassen auf Ja fest. Legen Sie Typ auf Active Directory-integriert fest. Hinweis: Wenn Reverse-Lookupzonen auf Ihren internen DNS-Servern nicht aktiviert sind, funktioniert DNS nicht ordnungsgemäß. 4. Konfigurieren Sie den DNS-Server so, dass Weiterleitungen an externe (Internet) DNS-Server einbezogen werden. Mit dieser Einstellung kann Ihr DNS-Server eine Abfrage für externe Namen empfangen, die Abfrage an den Remoteserver weiterleiten und die Antwort an den Requestor übermitteln. Öffnen Sie zur Konfiguration dieser Einstellung die DNS-Konsole, klicken Sie mit der rechten Maustaste auf Ihren DNS-Server, klicken Sie auf Eigenschaften und auf die Registerkarte Weiterleitungen, und konfigurieren Sie dann Weiterleitungen an externe DNS-Server. Hinweis: Wenn das Kontrollkästchen Weiterleitungen aktivieren auf der Registerkarte Weiterleitungen nicht verfügbar ist, wurde der DNS-Server als DNS-Stammserver konfiguriert. Wenn dies der Fall ist, müssen Sie zum Konfigurieren von Weiterleitungen die Zone „.“ (Punkt) entfernen, die DNSKonsole neu starten, und anschließend die Weiterleitungen konfigurieren. 59 Konfigurieren von externen DNS-Servern auf einem ausgehenden virtuellen SMTPServer Beim Konfigurieren von externen DNS-Servern geben Sie einen anderen DNS-Server an als den Server, der in den TCP/IP-Eigenschaften des Computers konfiguriert ist, der Exchange Server ausführt. Mit diesem DNS-Server löst SMTP externe DNS-Namen auf und übermittelt Nachrichten. Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Verfahren So konfigurieren Sie externe DNS-Server auf einem ausgehenden virtuellen SMTPServer 1. Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur nacheinander Server, <Servername>, Protokolle und SMTP. 3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server für ausgehende Nachrichten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Übermittlung, und klicken Sie dann auf Erweitert. Das Dialogfeld Erweiterte Übermittlungsoptionen wird geöffnet. Dialogfeld „Erweiterte Übermittlungsoptionen“ 60 5. Klicken Sie unter Erweiterte Übermittlungsoptionen auf Konfigurieren. Das Dialogfeld Konfigurieren wird geöffnet. Dialogfeld „Konfigurieren“ 61 6. Klicken Sie unter Konfigurieren auf Hinzufügen, und geben Sie die IP-Adresse des externen DNS-Servers ein, den Sie verwenden möchten, und klicken Sie dann auf OK. 7. Überprüfen Sie im Dialogfeld Konfigurieren unter Externer DNS, ob die IP-Adresse korrekt ist, und klicken Sie dann zweimal auf OK, um die Einstellungen zu übernehmen. Verwenden der DNS-Konfiguration mit dem DNS-Resolver Zum Senden von Internetmail in Exchange Server müssen die von Exchange Server für Ihre Domäne verwendeten DNS-Server externe Domänennamen auflösen können. Wenn Sie Exchange Server 2003 unter Windows Server 2003 ausführen, können Sie mit dem DNSResolver-Tool (Dnsdiag.exe) überprüfen, ob Ihre DNS-Server externe Domänennamen auflösen können. Bevor Sie beginnen Lesen Sie den Artikel Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Hinweis: Das DNS-Resolver-Tool ist in den Tools des Microsoft Windows Server 2003 Resource Kits enthalten. Weitere Informationen zum Installieren und Verwenden des Tools DNS Resolver finden Sie unter Microsoft Windows Server 2003 Resource Kit Tools. Verfahren Verwenden des DNS-Resolver-Tools zum Überprüfen der Konfiguration 1. Kopieren Sie auf Ihrem Servercomputer mit Exchange die Datei dnsdiag.exe in den Verzeichnispfad C:\WINNT\system32\inetsrv, wobei C: das Laufwerk ist, auf dem Windows Server installiert wurde. 2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis inetsrv. 3. Geben Sie an der Eingabeaufforderung Folgendes ein: dnsdiag contoso.com -v 1 62 wobei contoso.com eine externe Domäne und 1 die Instanznummer des virtuellen SMTP-Servers ist, den Sie verwenden möchten. Die MX-Ressource (Mail Exchanger) für die eingegebene Domäne wird nun angezeigt. Ist dies nicht der Fall, ist der DNS nicht zum Auflösen externer Domänennamen konfiguriert. Beispiel Im folgenden Beispiel wird dargestellt, wie der DNS-Server für example.com die IP-Adressen der externen Domäne contoso.com auflöst: Created Async Query: -------------------QNAME = contoso.com Type = MX (0xf) Flags = UDP default, TCP on truncation (0x0) Protocol = UDP DNS Servers: (DNS cache will not be used) 172.16.1.1 Connected to DNS 172.16.1.1 over UDP/IP. Received DNS Response: ---------------------Error: 0 Description: Success These records were received: contoso.com MX mail.contoso.com 10 A Processing MX/A records in reply. Sorting MX records by priority. Target hostnames and IP addresses --------------------------------- mail.contoso.com 172.16.1.2 63 HostName: "mail.contoso.com" 172.16.1.2 Überprüfen der DNS-Konfiguration mithilfe von Nslookup Zum Senden von Internet-e-Mail in Exchange müssen die von Exchange-Servern für die Domäne verwendeten DNS-Server externe Domänennamen auflösen können. Wenn Sie Exchange 2003 unter Windows 2000-Servern ausführen, können Sie mit dem Nslookup-Tool (Nslookup.exe) überprüfen, ob die DNS-Server externe Domänennamen auflösen können. Bevor Sie beginnen Lesen Sie den Artikel unter Überprüfen des DNS-Designs und der Konfiguration, bevor Sie das Verfahren in diesem Thema durchführen. Verfahren Überprüfen der DNS-Konfiguration mithilfe von Nslookup 1. Geben Sie an der Eingabeaufforderung Nslookup ein, und drücken Sie die EINGABETASTE. 2. Geben Sie server <IP-Adresse> ein. Dabei steht IP-Adresse für die IP-Adresse des externen DNS-Servers. 3. Geben Sie set q=MX ein, und drücken Sie die EINGABETASTE. 4. Geben Sie <Domänenname> ein. Dabei steht Domänenname für den Namen einer externen E-Mail-Domäne. Drücken Sie anschließend die EINGABETASTE. Die MXRessource (Mail Exchanger) für die eingegebene Domäne wird nun angezeigt. Andernfalls ist der DNS nicht zum Auflösen externer Domänennamen konfiguriert. Beispiel Im folgenden Beispiel wird dargestellt, wie der DNS-Server für example.com die IPAdressen der externen Domäne contoso.com auflöst: C:\> nslookup Default Server: Address: pdc.corp.example.com 192.168.6.13 64 > server 10.255.255.255 Default Server: Address: dns1.example.com 10.255.255.255 > set q=mx > contoso.com. Server: dns1.example.com Address: 192.168.10.10 contoso.com MX preference = 10, mail exchanger = mail1.contoso.com contoso.com MX preference = 10, mail exchanger = mail2.contoso.com contoso.com MX preference = 10, mail exchanger = mail3.contoso.com mail1.contoso.com internet address = 192.168.255.011 mail2.contoso.com internet address = 192.168.255.012 mail3.contoso.com internet address = 192.168.255.013 In diesem Beispiel befindet sich der vorkonfigurierte DNS-Server hinter einem Proxyserver. Deshalb wurde einer externer Server oder ein Internet DNS-Server mit der bekannten IPAdresse 10.255.255.255 für die Abfrage verwendet. Im nächsten Schritt wurde der Abfragetyp so festgelegt, dass die Mail-Exchanger nach contoso.com durchsucht wurden. In diesem Beispiel sind drei SMTP-Server gleichmäßig ausgelastet, jeder mit seiner eigenen IPAdresse. Konfigurieren der Routingtopologie In diesem Abschnitt werden die Planung, Begriffe und Vorgehensweisen für die Konfiguration der Routingtopologie erläutert. Darin sind die folgenden Themen enthalten: Hinweis: Wenn Sie Microsoft® Exchange auf einem einzigen Server ausführen, treffen die meisten Themen zu Routinggruppen nicht auf Ihre Organisation zu. Diese Themen enthalten jedoch möglicherweise nützliche Informationen, wenn Sie Ihr Messagingsystem für die Unterstützung mehrerer Server erweitern möchten. Allgemeine Überlegungen zur Planung In diesem Thema werden die für die Konfiguration der Routingtopologie wichtigen Informationen erläutert. Außerdem werden die zu berücksichtigenden Umstände behandelt, die Auswirkungen auf die Routingtopologie haben. Gängige Routingtopologien 65 In diesem Thema werden die beiden gängigen Routingtopologien vorgestellt, eine zentralisierte und eine verteilte Routingtopologie. Darüber hinaus wird erklärt, unter welchen Umständen diese Topologien normalerweise verwendet werden. Definieren von Routinggruppen In diesem Thema wird erläutert, wie Routinggruppen und Routinggruppenconnectors erstellt und wie Routinggruppen verbunden werden. Grundlagen zu Connectorbereichen und -beschränkungen In diesem Thema werden die Entscheidungen zur Verwendung von Connectorbereichen und -beschränkungen erläutert. Festlegen eines Routinggruppenmasters In diesem Thema wird erklärt, was der Routinggruppenmaster ist, wie er funktioniert und welche Kriterien für die Festlegung eines Routinggruppenmasters vorliegen. Erweiterte Routingkonfiguration In diesem Thema werden erweiterte Themen zur Routingkonfiguration behandelt. Es wird dargestellt, wie Connectors für den Lastenausgleich und Failovers verwendet werden können, sowie wie der Verbindungsstatus-Datenverkehr unterdrückt wird. Allgemeine Überlegungen zur Planung Für einen effizienten und zuverlässigen Nachrichtenfluss ist eine gut entworfene Routingtopologie unerlässlich. Bevor Sie mit dem Entwurf der Routingtopologie beginnen, sollten Sie mit den Einschränkungen für eine einzelne Exchange-Organisation vertraut sein. Eine einzelne Exchange-Organisation darf folgende Werte nicht überschreiten: 1.000 administrative Gruppen 1.000 Server Bevor Sie die Routingtopologie konfigurieren, müssen Sie eine ausführliche Beurteilung Ihrer derzeitigen Umgebung durchführen. Dabei müssen Sie folgende Überlegungen in Betracht ziehen: Netzwerktopologie und Benutzer an jedem Standort Die Verbindungen zwischen Standorten und die verfügbare Bandbreite unter Berücksichtigung der Anwendungen, die im Netzwerk derzeit verwendet werden, und zukünftiger Projekte, für die die vorhandene Bandbreite benötigt wird. Anzahl der Benutzer, Standort und Verwendungsstruktur Die Anzahl der Benutzer, die Nachrichten über das Netzwerk senden, ist ein wichtiger Entscheidungsfaktor. Darüber hinaus muss beachtet werden, wie die Benutzer verteilt sind und ob sie überwiegend mit anderen Benutzern an ihrem oder an verschiedenen 66 Standorten kommunizieren. Sie sollten auch die Größe der Nachrichten in Betracht ziehen, die von Benutzern an bestimmten Standorten gesendet werden. In einer Entwicklungsabteilung werden beispielsweise Nachrichten mit großen Grafikdateien als Anlage an verschiedene Geschäftspartner gesendet. Dieser Datenverkehr hat größere Auswirkung auf das Netzwerk als Datenverkehr von einer Abteilung, die nur wenige Anlagen über das Netzwerk sendet. Arten der im Unternehmen verwendeten Anwendungen Die Arten von Anwendungen, die im Netzwerk verwendet werden, und die Hauptbelastungszeiten für das Netzwerk. Standorte von Datenzentren Der Standort Ihres Datenzentrums und die verfügbaren Verbindungen zu regionalen Zweigstellen und anderen Datenzentren. Frei/Gebucht-Anforderungen Die Verwendung der aktuellen Frei/Gebucht-Informationen an verschiedenen geographischen Standorten. Die Replikation Öffentlicher Ordner schließt die Replikation der Frei/Gebucht-Informationen ein. Benötigen Benutzer an verschiedenen geographischen Standorten aktuelle Frei/Gebucht-Informationen für Benutzer außerhalb des geographischen Standorts, oder sind aktuelle Informationen im Allgemeinen nur für Benutzer am selben Standort erforderlich? Aktueller Entwurf des Microsoft Active Directory®-Verzeichnisdiensts Die Platzierung globaler Katalogserver und Domänencontroller, die Entwurfsmethode der Microsoft Windows®-Standorte und die Zuordnung zu den Routinggruppen. Gängige Routingtopologien In diesem Abschnitt werden zwei häufig bereitgestellte Messagingtopologien erläutert: Eine zentralisierte Messagingtopologie, bei der alle Server vollständig vernetzte Verbindungen aufweisen und direkt miteinander kommunizieren (Point-to-Point). Eine verteilte Messagingtopologie, bei der ein einziger Hub oder ein Datenzentrum Verbindungen mit mehreren Zweigstellenstandorten aufweist. Zentralisierte Messagingtopologie Bei einer zentralisierten Messagingtopologie liegt ein einziger Datenzentrum- oder Hubstandort vor, an dem alle Server über eine zuverlässige Bandbreite mit hoher Geschwindigkeit verbunden sind. Auch wenn dieser Standort einen großen geographischen 67 Bereich umfasst, kann eine einzelne Routinggruppe verwendet werden, sofern alle Server mit derselben zuverlässigen Bandbreite verbunden sind. Zu den Vorteilen einer zentralisierten Messagingtopologie gehören eine einfache Verwaltung und ein effizienter Nachrichtenfluss, da alle Server direkt miteinander kommunizieren. Wenn sich jedoch mehrere Server an einem zentralen Standort befinden, die über ein langsameres Netzwerk verbunden sind, empfiehlt es sich, diese Server in einer separaten Routinggruppe zu platzieren. Ein Server mit unzuverlässigen Netzwerkverbindungen in einer einzigen Routinggruppe kann bereits Verbindungsstatus-Datenverkehr erzeugen. Da all anderen Server benachrichtigt werden müssen, wenn dieser Server oder ein Routinggruppen-Connector auf diesem Server nicht mehr zur Verfügung steht, muss der Routinggruppenmaster (der Server, der für die Weitergabe von Informationen über die Routingtopologie an Server in einer Routinggruppe verantwortlich ist) den Status dieses Servers an alle Server in der Routinggruppe weiterleiten. Weitere Informationen zum Erstellen von Empfängern finden Sie unter Festlegen eines Routinggruppenmasters. Verteilte Messagingtopologie In einer Zweigstelle oder einer verteilten Messagingtopologie sind üblicherweise eines oder mehrere Datenzentren über ein Hub-and-Spoke-Netzwerk mit mehreren kleineren Zweigstellenstandorten verbunden. In diesem Szenario sind die Server am zentralen Hub in einer einzigen Routinggruppe platziert, in der alle Server über zuverlässige Netzwerkverbindungen verfügen. Jeder Zweigstellenstandort stellt eine eigene Routinggruppe dar. Normalerweise sind am Standort des zentralen Hubs dedizierte Bridgeheadserver vorhanden, die Verbindungen mit den Zweigstellenroutinggruppen herstellen. Bei diesen Routinggruppen handelt es sich häufig um Endknoten-Routinggruppen, d. h. Routinggruppen, die nur über einen einzigen eingehenden Routinggruppen-Connector und einen einzigen ausgehenden Routinggruppen-Connector in genau entgegengesetzten Verbindungen verfügen. In einer Endknoten-Routinggruppe kann kein anderer Connector vorhanden sein. Für eine Endknoten-Routinggruppe gibt es drei mögliche Konfigurationen: Eine Routinggruppe mit einem eingehenden Connector zu einer einzigen Routinggruppe ohne ausgehende Connectors Eine Routinggruppe mit einem ausgehenden Connector zu einer einzigen Routinggruppe ohne eingehende Connectors Eine Routinggruppe mit einem ausgehenden Connector zu einer einzigen Routinggruppe Beispiele für Endknoten-Routinggruppen finden Sie in der zugehörigen Abbildung. In Exchange Server 2003 ist der Connectorstatus immer als aktiv gekennzeichnet, wenn für einen Connector kein anderer Pfad für eine Verbindung mit einer Endknoten-Routinggruppe 68 verfügbar ist. Exchange Server 2003 ändert den Connectorstatus nicht mehr in inaktiv, wenn kein anderer Pfad zur Verfügung steht. Zu sendende Nachrichten werden stattdessen in einer Warteschlange angeordnet und übertragen, wenn die Route wieder zur Verfügung steht. Durch diese Änderung wird die Leistung verbessert, da die Weitergabe von Verbindungsstatusinformationen verringert wird. Dies ist besonders in einer verteilten Messagingumgebung von Bedeutung, in der eine Hub-and-Spoke-Topologie zur Anwendung kommt. Beispiel: Ein einzelner Routinggruppenconnector stellt die Verbindung zum Remotestandort her, eine Endknoten-Routinggruppe stellt die Verbindung mit dem Hub her, und ein weiterer Routinggruppenconnector ist für die Verbindung des Hubs mit dem Remotestandort verantwortlich. Wenn der Routinggruppenconnector des Hubs oder des Remotestandorts nicht mehr verfügbar ist, werden Nachrichten in eine Warteschlange gestellt, bis der Connector wieder zur Verfügung steht. Es wird kein VerbindungsstatusDatenverkehr erzeugt, und das Netzwerk ist nicht betroffen. In der folgenden Abbildung wird eine verteilte Messagingtopologie in einer typischen Huband-Spoke-Konfiguration dargestellt. In dieser Topologie ist jeder physische Standort einer Routinggruppe zugeordnet. Am zentralen Standort befinden sich alle Server in einer Routinggruppe und kommunizieren direkt miteinander (Point-to-Point). Da jeder der RemoteZweigstellenstandorte nur eine verfügbare Route zum zentralen Standort aufweist, werden Nachrichten in eine Wartschlange gestellt und keine Verbindungsstatusänderungen weitergegeben, wenn ein Connector an einem Remotestandort nicht mehr verfügbar ist. Verteilte Messagingtopologie in einer typischen Hub-and-Spoke-Konfiguration 69 Definieren von Routinggruppen Als allgemeine Richtlinie sollten Sie zunächst eine Routinggruppe definieren und weitere nur dann hinzufügen, wenn dies erforderlich ist. Je weniger Gruppen Ihre Umgebung umfasst, desto geringer ist ihre Komplexität und desto besser kann sie verwaltet werden. Möglicherweise wird es durch die Netzwerkverfügbarkeit und geographische und verwaltungstechnische Anforderungen jedoch notwendig, weitere Routinggruppen zu erstellen. Routinggruppen werden im Allgemeinen aus einem von zwei Gründen erstellt: Zum Anpassen an unterschiedliche Netzwerkverbindungen zwischen den Servern. Zum Einschränken der Verwendung eines Connectors auf Benutzer in einem bestimmten Bereich. Weitere Informationen zur Verwendung von Routinggruppen zum Einschränken der Verwendung des Connectors finden Sie unter Grundlagen zu Connectorbereichen und -beschränkungen. Vor dem Definieren der Routinggruppen sollten Sie sich mit den Vor- und Nachteilen mehrerer Routinggruppen auseinander setzen, die in der folgenden Tabelle dargestellt sind. Vorteile und Nachteile mehrerer Routinggruppen Vorteile mehrerer Routinggruppen Nachteile mehrerer Routinggruppen Ermöglicht die Planung und Steuerung des Nachrichtenflusses. Verwendung von Connectors kann geplant oder auf eine bestimmte Routinggruppe beschränkt werden. Ermöglicht die Steuerung der Nutzung entsprechend der Nachrichtengröße oder des Inhalts über Connectorbeschränkungen. Führt zu mehr Hops auf der Route zum endgültigen Ziel und dadurch zu verringerter Übermittlungseffizienz. Erhöht die Komplexität der Messagingumgebung. Kann die Zuverlässigkeit des Messagings verringern, da mit der Anzahl der Hops auf der Route auch die der möglichen Fehlerquellen wächst. SMTP (Simple Mail Transfer Protocol) ist für Wartezeiten in TCP/IP-Umgebungen mit guter Anbindung verantwortlich. Dadurch wird die Notwendigkeit mehrerer Routinggruppen häufig beseitigt. Für zwei Routen ist normalerweise dasselbe Netzwerk zuständig, und das Netzwerk weist dieselbe innere Zuverlässigkeit oder Stabilität auf. 70 Mithilfe des in der folgenden Abbildung dargestellten Diagramms können Sie entscheiden, wie Sie die Grenzen der Routinggruppen definieren möchten. Festlegen der Grenzen für Routinggruppen 71 Definieren von Routinggruppenconnectors und Bridgeheadservern Obwohl alle Server in einer Routinggruppe direkt miteinander kommunizieren, trifft dies nicht zu, wenn ein Server in einer Routinggruppe mit einem Server in einer anderen Routinggruppe kommunizieren muss. Um die Kommunikation von Servern mit Servern in anderen Routinggruppen zu ermöglichen, müssen Sie einen Routinggruppenconnector erstellen. Obwohl Sie zum Herstellen von Verbindungen zwischen Routinggruppen einen X.400-Connector oder einen SMTP-Connector verwenden können, ist der Routinggruppenconnector speziell für diesen Zweck konzipiert und stellt meistens das bevorzugte Verfahren zum Herstellen von Verbindungen zwischen Routinggruppen dar. Alle Server in einer Routinggruppe können standardmäßig Nachrichten über den Routinggruppenconnector senden. Server, die Nachrichten über einen Routinggruppenconnector senden können, werden als Bridgeheadserver bezeichnet. Ein Bridgeheadserver besteht aus einem virtuellen SMTP-Server und einem Exchange-Server zum Übermitteln aller Nachrichten über einen Connector. Beim Erstellen eines Routinggruppenconnectors können Sie alle Server als Bridgeheadserver für diesen Connector beibehalten oder angeben, dass nur eine ausgewählte Gruppe von Servern als Bridgeheadserver für diesen Connector fungiert. In der folgenden Tabelle werden die Vorteile beider Verfahren miteinander verglichen. 72 Auswählen der Anzahl der Bridgeheadserver in einer Routinggruppe Anzahl der Bridgeheadserver Vorteile Alle Server in einer Routinggruppe Ermöglicht einen effizienteren Nachrichtenfluss, da alle Server in der Routinggruppe Nachrichten direkt an andere Routinggruppen übermitteln können. Bietet Vorteile bei Konfigurationen, in denen alle Server in einer Routinggruppe über dieselbe Netzwerkverbindung mit den Servern in anderen Routinggruppen verfügen. Kann die Komplexität bei großen Organisationen erhöhen, wenn alle Server über Point-to-Point-Verbindungen kommunizieren. Die Problembehandlung für den Nachrichtenfluss kann schwieriger ausfallen. Direkte Point-to-Point-Verbindungen können zu Lastenausgleich führen. Erleichtert das Beheben von Fehlern beim Nachrichtenfluss, da die Anzahl der Verbindungspunkte zwischen Routinggruppen begrenzt ist. Ermöglicht verteiltes Messaging, wenn Sie intensiven Nachrichtenfluss zwischen Routinggruppen erwarten. Ermöglicht es, die Serverfunktionen von Bridgeheadservern und Postfachservern in großen Umgebungen anzugeben, in denen Postfachserver nicht für den Datenverkehr zuständig sein sollen, der über einen Bridgeheadserver gesendet wird. Erhöht die Zuverlässigkeit und Effizienz des Nachrichtenflusses in Konfigurationen, in denen einige Server über bessere Netzwerkverbindungen als andere Server verfügen. Nur einige bestimmte Server in einer Routinggruppe 73 In der folgenden Abbildung werden die bisher erläuterten grundlegenden Routingkomponenten veranschaulicht. In Abbildung 5.4 wird der Nachrichtenfluss zwischen den Servern in einer Routinggruppe und zwischen unterschiedlichen Routinggruppen dargestellt. In dieser Abbildung wird auch die Topologie veranschaulicht, in der in jeder Routinggruppe nur ein einziger Bridgeheadserver verwendet wird. Kommunikation in und zwischen Routinggruppen Wenn eine Topologie so einfach wie die in Abbildung 5,4 dargestellte Topologie ist, müssen Sie sich über das optimale Routing von Nachrichten zwischen Routinggruppen keine Gedanken machen. Mit zunehmender Komplexität von Topologien und einer großen Anzahl von Routinggruppen, die über unterschiedliche geographische Entfernungen verteilt sind, erlangt das Routing von Nachrichten zwischen Gruppen entscheidende Bedeutung. Sie konfigurieren das Routing zwischen Routinggruppen, indem Sie den von diesen Gruppen verwendeten Routinggruppenconnectors Kosten zuweisen (eine zugeordnete Ausgabe für die Route, die auf Netzwerkverfügbarkeit, der Netzwerkbelastung und Verwaltungsanforderungen basiert). Wenn ein Benutzer auf einem Server in einer Routinggruppe Nachrichten an einen Benutzer auf einem Server in einer anderen Routinggruppe sendet, werden diese Kosten (Bestandteil der von Exchange verwalteten Verbindungsstatusinformationen) von Exchange zum Ermitteln der effizientesten Route verwendet. Exchange verwendet stets die Route mit den geringsten Kosten, sofern zumindest ein Connector oder Server auf der Route verfügbar ist. Damit für jede Routinggruppe Informationen über die unterschiedlichen Kosten für jeden Connector und den Status dieser Connectors verfügbar sind, besitzt jede Routinggruppe einen Routinggruppenmaster, der diese Informationen aktualisiert und mit allen anderen Servern in einer Routinggruppe koordiniert. Weitere Informationen über Routinggruppenmaster finden Sie weiter unten in diesem Kapitel unter „Festlegen eines Routinggruppenmasters“. 74 Verbinden von Routinggruppen Wenn Sie eine Routinggruppe erstellen, legen Sie eine Gruppe von Servern fest, die direkt untereinander kommunizieren können. Damit die Kommunikation zwischen Servern in unterschiedlichen Routinggruppen möglich ist, müssen Sie die Routinggruppen verbinden. Routinggruppen können mit einem SMTP-Connector oder einem X.400-Connector verbunden werden. Die Verwendung dieser Connectortypen wird jedoch im Allgemeinen nicht empfohlen. Ein Routinggruppenconnector stellt die bevorzugte Verbindungsmethode dar, da dieser Connector speziell für das Verbinden von Routinggruppen konzipiert und vorgesehen ist. Hinweis: Wenn die Verwendung eines SMTP- oder X.400-Connectors zwischen Routinggruppen unerlässlich ist, fügen Sie auf dem Connector keinen Adressraum hinzu. Sie sollten ausschließlich verbundene Routinggruppen angeben, andernfalls kann das Routing nicht ordnungsgemäß durchgeführt werden. Bei Routinggruppenconnectors handelt es sich um Routen in eine Richtung für ausgehende Nachrichten. Dies bedeutet, dass ausgehende Nachrichten an die verbundene Routinggruppe übermittelt werden. Damit die Kommunikation zwischen zwei Routinggruppen möglich ist, muss in jeder Routinggruppe ein Routinggruppenconnector vorhanden sein, damit ausgehende Nachrichten an die jeweils andere Routinggruppe gesendet werden können. Wenn Sie einen Connector für eine Routinggruppe erstellen, wird eine Meldung mit der Frage angezeigt, ob Sie einen Routinggruppenconnector in der Remoteroutinggruppe erstellen möchten, sodass Sie Nachrichten von der Remoteroutinggruppe an die Routinggruppe senden können, in der Sie den ersten Connector erstellen. Bevor Sie einen Routinggruppenconnector erstellen und konfigurieren, sollten Sie sich folgende Fragen stellen: An welche Routinggruppe übermittelt dieser Connector Nachrichten? Diese Angabe ist von entscheidender Bedeutung. Durch das Festlegen der Routinggruppe, an die dieser Connector Nachrichten übermittelt, wird die Beziehung zwischen der sendenden und der empfangenden Routinggruppe und den restlichen Elementen der Topologie festgelegt. Ihnen muss bekannt sein, wie die sendende und die empfangende Routinggruppe in die Topologie passen, um die Kosten für den zugeordneten Connector zu ermitteln. Welche Kosten sollte dieser Connector aufweisen? Bei den Kosten handelt es sich um die Variable, die von Exchange zum Bestimmen der effizientesten Messagingroute verwendet wird. Die Route mit den geringsten Kosten wird als effizienteste Route betrachtet. Eine Route mit höheren Kosten wird nur verwendet, wenn ein Server oder Connector auf der Route mit den geringsten Kosten nicht verfügbar ist. Sie sollten den Routen mit der größten verfügbaren Netzwerkbandbreite die geringsten Kosten zuweisen. 75 Welche Server in der Routinggruppe können als Bridgeheadserver fungieren? Nur als Bridgeheadserver festgelegte Server können Nachrichten über den Connector an die verbundene Routinggruppe senden. In der Standardeinstellung (die bevorzugte Einstellung) können alle Server in der lokalen Routinggruppe mit diesem Connector Nachrichten senden. Verwenden Sie die Standardoption, wenn alle Server in der Routinggruppe über das Netzwerk eine direkte Verbindung mit dem Remotebridgeheadserver herstellen können und die Auswirkungen derselben Nachrichtenlast tragen. Durch direkte Verbindungen mit dem Remotebridgeheadserver wird die Effizienz des Nachrichtenflusses erhöht. Möglicherweise besteht jedoch zwischen bestimmten Servern in der lokalen Routinggruppe und dem festgelegten Remotebridgeheadserver eine bessere Netzwerkverbindung. Beispiels: Server A verfügt über eine direkte Verbindung mit 56 Kbit/s mit einem Remotebridgeheadserver, während Server B und Server C jeweils über eine Direktverbindung mit 10 Mbit/s mit demselben Remotebridgeheadserver verfügen. In diesem Fall bietet es sich an, die Server mit der besseren direkten Netzwerkverbindung (also Server B und Server C) als Bridgeheadserver festzulegen und diese Server einer Liste zulässiger Bridgeheadserver hinzuzufügen. Sie können alle Server in der Routinggruppe nach einer von zwei Methoden als Bridgeheadserver konfigurieren: Wählen Sie die Standardoption Jeder lokale Server kann E-Mail über diesen Connector senden aus. Wenn Sie diese Option auswählen, wird der Connector immer als verfügbar markiert, auch wenn kein Bridgeheadserver mehr zur Verfügung steht. Diese Option hat den Vorteil, dass weniger Verbindungsstatusinformationen erzeugt werden, da dieser Connector nie als Nicht verfügbar markiert wird. Wählen Sie Diese Server können E-Mail über diesen Connector senden aus, und fügen Sie jeden Server in der Routinggruppe manuell als Bridgeheadserver hinzu. Wenn Sie Ihre Bridgeheadserver auf diese Weise konfigurieren, wird der Routingserver als Nicht verfügbar markiert, sobald kein Bridgeheadserver mehr verfügbar ist. Durch diese Option kann jedoch die Größe der Verbindungsstatustabelle erhöht werden, da der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) jedes virtuellen Bridgeheadservers anschließend in die Verbindungsstatustabelle geschrieben wird. Weitere Informationen zum Verbindungsstatus finden Sie unter Erweiterte Verbindungsstatuskonzepte. Weitere Informationen über die Auswertung der Vorteile von mehreren Bridgeheadservern gegenüber festgelegten Bridgeheadservern finden Sie weiter oben in diesem Kapitel in Tabelle 5.3. Sollen Benutzer mit diesem Connector auf Öffentliche Ordner zugreifen, die lokal nicht verfügbar sind? In der Standardeinstellung sind Verweise auf Öffentliche Ordner über Connectors aktiviert, die Routinggruppen verbinden. Der Netzwerkverkehr nimmt jedoch zu, wenn Benutzer auf einen Öffentlichen Ordner in einer Remoteroutinggruppe 76 zugreifen. Wenn die Routinggruppen über eine langsame Netzwerkverbindung miteinander verbunden sind oder wenn das Netzwerk zusätzlichen Netzwerkverkehr nicht verarbeiten kann, sollten Sie Verweise auf Öffentliche Ordner deaktivieren. Welche Server sind die Remotebridgeheadserver, an die dieser Connector Nachrichten senden kann? Die Remotebridgeheadserver sind die Server in der verbundenen Routinggruppe, die alle für diese Routinggruppe bestimmten Nachrichten empfangen. Die Remotebridgeheadserver empfangen auch Verbindungsstatusinformationen von den Bridgeheadservern für den Connector. Nachdem Sie über diese Fragen nachgedacht haben, können Sie im Dialogfeld Eigenschaften für Routinggruppenconnector auf der Registerkarte Allgemein die Konfigurationsoptionen festlegen. Auf die letzte Frage können Sie sich beziehen, indem Sie auf der Registerkarte Remotebridgehead die Remotebridgeheadserver angeben. Ausführliche Anweisungen finden Sie unter Konfigurieren der Optionen für einen Routinggruppenconnector und Angeben eines Remotebridgeheadservers für einen Routinggruppenconnector. Konfigurieren der Optionen für einen Routinggruppenconnector Wenn Sie eine Routinggruppe erstellen, legen Sie eine Gruppe von Servern fest, die direkt untereinander kommunizieren können. Damit die Kommunikation zwischen Servern in unterschiedlichen Routinggruppen möglich ist, müssen Sie die Routinggruppen verbinden. Bevor Sie beginnen Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So konfigurieren Sie die Optionen für einen Routinggruppenconnector 1. Erweitern Sie im Exchange-System-Manager die Routinggruppe, klicken Sie mit der rechten Maustaste auf Connectors, zeigen Sie auf Neu, und klicken Sie anschließend auf Routinggruppenconnector. 2. Aktivieren Sie auf der Registerkarte Allgemein die folgenden Optionen: Für den Namen des Routinggruppenconnectors werden üblicherweise die beiden 77 Routinggruppen verwendet, die durch den Connector verbunden werden. Beispielsweise können Sie mit dem Namen ParisToSeattle einen Connector definieren, der die Routinggruppe „Paris“ mit der Routinggruppe „Seattle“ verbindet. Wählen Sie unter Verbindet diese Routinggruppe mit die Routinggruppen aus, mit denen eine Verbindung hergestellt werden soll. Weisen Sie unter Kosten dem Connector Kosten zu. Damit alle Server in der lokalen Routinggruppe als Bridgeheadserver fungieren, wählen Sie Jeder lokale Server kann E-Mail über diesen Connector senden aus. Wichtig: Denken Sie daran: Wenn Sie diese Option auswählen, wird der Connector immer als verfügbar markiert, auch wenn kein Bridgeheadserver mehr zur Verfügung steht. Wenn der Connector als nicht verfügbar markiert werden soll, sobald kein Bridgeheadserver mehr zur Verfügung steht, fügen Sie jeden Server in der Routinggruppe über die nachfolgend beschriebene Option Diese Server können E-Mail über diesen Connector senden manuell als Bridgeheadserver hinzu. Um anzugeben, welche Server in der lokalen Routinggruppe als Bridgeheadserver für diesen Connector fungieren können, wählen Sie Diese Server können E-Mail über diesen Connector senden aus, und klicken Sie anschließend auf Hinzufügen, um der Liste die entsprechenden Server hinzuzufügen. Um zu verhindern, dass Benutzer mit diesem Connector auf Öffentliche Ordner zugreifen, die nicht lokal verfügbar sind, aktivieren Sie das Kontrollkästchen Keine Verweise auf Öffentliche Ordner zulassen. Angeben eines Remotebridgeheadservers für einen Routinggruppenconnector Ein Remotebridgeheadserver ist ein Server in einer verbundenen Routinggruppe, der alle Nachrichten empfängt, die an diese Routinggruppe gerichtet sind. Die Remotebridgeheadserver empfangen auch Verbindungsstatusinformationen von den Bridgeheadservern für den Connector. Bevor Sie beginnen Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: 78 Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So geben Sie einen Remotebridgeheadserver für einen Routinggruppenconnector an 1. Klicken Sie im Dialogfeld Eigenschaften für Routinggruppenconnector auf der Registerkarte Remotebridgehead auf Hinzufügen, und wählen Sie anschließend in der Liste der Server in der Routinggruppe, mit der eine Verbindung hergestellt werden soll, den Remotebridgeheadserver aus. Hinweis: Die Angabe eines Remotebridgeheadservers ist erforderlich. Um Redundanz zu gewährleisten, sollten Sie möglichst mehrere Bridgeheadserver angeben. Registerkarte „Remotebridgehead“ im Dialogfeld „Eigenschaften für Routinggruppenconnector“ 79 2. Wenn Sie einen Routinggruppenconnector zwischen Routinggruppen erstellen, die Exchange 5.5-Server enthalten, klicken Sie unter Anmeldeinformationen der Verbindung für Exchange 5.x ignorieren auf Ändern, und geben Sie dann für den Exchange 5.5-Server, mit dem die Verbindung hergestellt wird, die Anmeldeinformationen des Exchange 5.5-Dienstkontos ein. 3. Klicken Sie auf Übernehmen, um den Connector zu erstellen. 4. Wenn eine Meldung mit der Frage angezeigt wird, ob Sie in der Remoteroutinggruppe einen Routinggruppenconnector erstellen möchten, klicken Sie auf Ja. Nachdem Sie auf Ja geklickt haben, wird in der Remoteroutinggruppe ein Routinggruppenconnector erstellt. Mithilfe dieses Routinggruppenconnectors kann die Remoteroutinggruppe Nachrichten an die lokale Routinggruppe senden. Beim Erstellen dieses neuen Routinggruppenconnectors werden folgende Vorgänge ausgeführt: 5. Die Bridgeheadserver für den Remote-Routinggruppenconnector werden als die Server festgelegt, die auf der Registerkarte Remotebridgehead des lokalen Routinggruppenconnectors aufgeführt sind. Hinweis: Wenn Server auf diese Weise durch Exchange festgelegt werden, sind nur die auf der Registerkarte Remotebridgehead aufgeführten Server die Bridgeheadserver für den neuen Connector. Wenn stattdessen alle Server in der Remoteroutinggruppe (nicht nur die aufgeführten Server) als Bridgeheadserver für den neuen Connector fungieren sollen, müssen Sie auf der Registerkarte Allgemein des neuen Connectors die Option Jeder lokale Server kann E-Mail über diesen Connector senden manuell auswählen. 6. Die Remotebridgeheadserver für den Remote-Routinggruppenconnector werden als die Server festgelegt, die auf der Registerkarte Allgemein der lokalen Routinggruppe als Bridgeheadserver aufgeführt werden. Grundlagen zu Connectorbereichen und beschränkungen Wenn Sie den Zugriff auf bestimmte Connectors entweder nach Gruppe oder nach geographischem Bereich einschränken möchten, haben Sie zwei Möglichkeiten: 80 Verwenden Sie Connectorbereiche, um die Verwendung des Connectors einzuschränken. Nach der Definition können nur Benutzer in einer bestimmten Routinggruppe den Connector dieser Routinggruppe verwenden. Sie können jedoch auch einen Routinggruppenbereich für eine andere Art von Connector festlegen, z. B. für einen SMTP-Connector. Dadurch können nur Benutzer in einer bestimmten Routinggruppe den SMTP-Connector verwenden. Verwenden Sie einen SMTPConnector mit einem Routinggruppenbereich, wenn Sie sicherstellen möchten, dass Benutzer an einem bestimmten Standort immer diesen SMTP-Connector verwenden. Erstellen Sie eine Beschränkung für den Connector. Sie können über die Registerkarte Empfangseinschränkungen der Eigenschaften für den Connector den Zugriff auf jede Art von Connector einschränken. Sie können eine Verteilungsgruppe festlegen, die ausdrücklich die Rechte zum Verwenden dieses Connectors besitzt, oder Sie können eine Verteilungsgruppe festlegen, der der Zugriff auf den Connector ausdrücklich untersagt ist. Verwenden von Connectorbereichen zum Einschränken der Verwendung Ein Beispiel für den Einfluss von Routingtopologie und Connectorbereichen auf den Nachrichtenfluss: Angenommen, ein Unternehmen mit dem Namen Contoso Ltd. (contoso.com) befindet sich ausschließlich in den USA und hat zwei Hauptvertretungen in Colorado und Maine. Alle Server sind über ein Hochgeschwindigkeitsnetzwerk verbunden, an jedem Standort sind jedoch ein Faxconnector und ein SMTP-Connector vorhanden. Wenn die Faxconnectors einen organisationsweiten Bereich aufweisen, können die Benutzer in Colorado den Faxconnector in Maine verwenden und somit Ferngesprächsgebühren verursachen. Darüber hinaus möchte der Administrator von Contoso, dass alle Benutzer in Maine den SMTP-Connector in das Internet verwenden, der sich am Standort Maine befindet. Alle Benutzer in Colorado sollen den lokalen SMTP-Connector und den Faxconnector verwenden. In diesem Fall ist es trotz der umfassenden Netzwerkverbindungen zwischen allen Servern sinnvoll, Routinggruppen zu verwenden und die Connectorbereiche auf die entsprechende Routinggruppe zu beschränken. 81 Topologie von „contoso.com“ In dieser Topologie verfügt jeder Standort über die folgenden Connectors: Einen SMTP-Connector in das Internet mit einem Routinggruppenbereich Einen Faxconnector mit einem Routinggruppenbereich Einen Routinggruppenconnector, über den jeder Server in der Routinggruppe Nachrichten senden kann und der alle drei Server am Remotestandort als Remotebridgeheadserver festlegt Da alle Server an jedem Standort dieselben Netzwerkverbindungen verwenden, ist es sinnvoll, alle als Bridgeheadserver festzulegen. Dadurch können Server über Point-to-Point-Verbindungen kommunizieren. Einschränken der Verwendung mithilfe von Empfangseinschränkungen Die Verwendung eines Connectors kann auf eine bestimmte Benutzergruppe beschränkt werden. Die Verwendung einer Empfangseinschränkung zur Nutzungseinschränkung ist vorteilhaft, da auf diese Weise keine Routinggruppe erstellt werden muss. Der Nachteil besteht darin, dass zum Erzwingen dieser Einschränkung für jede durch diesen Connector gesendete Nachricht die Verteilungsgruppe um die einzelnen Empfänger erweitert werden muss. Diese Erweiterung hat negative Auswirkungen auf die Systemleistung. Daher wird bei kleinen Verteilungsgruppen bzw. wenn die Systemleistung in noch annehmbarer Weise belastet wird, empfohlen, auf einem Connector die Registerkarte Empfangseinschränkungen zu verwenden. Wichtig: Beachten Sie, dass es sich bei der Übermittlungsbeschränkung um einen äußerst verarbeitungsintensiven Vorgang handelt, der sich negativ auf die Serverleistung auswirken kann. Die Einschränkungsüberprüfung wird durch einen Registrierungsschlüssel auf dem Exchange 2003 ausführenden Bridgeheadserver (die Quelle des überprüften Connectors) 82 gesteuert. Wenn durch einen Connector eingeschränkt werden soll, durch wen Daten an die festgelegte Verbindung gesendet werden können, muss der Registrierungswert für die Einschränkungsüberprüfung manuell hinzugefügt werden. Hinweis: Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. Ausführliche Anweisungen finden Sie unter Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen. Nach dem Aktivieren des Registrierungsschlüssels und dem Neustart der soeben erwähnten Dienste können auf der Registerkarte Empfangseinschränkungen für die Connectoreigenschaften entsprechende Einschränkungen festgelegt werden. Hinweis: Auf der Registerkarte Empfangseinschränkungen können darüber hinaus auch bestimmte Benutzer oder abfragebasierte Verteilungsgruppen festgelegt werden. Dies wird jedoch nicht empfohlen, da jeder Benutzer als ein Eintrag in der Verbindungsstatustabelle aufgeführt wird und diese dadurch sehr stark vergrößert wird. Eine große Verbindungsstatustabelle kann negative Auswirkungen auf die Netzwerkleistung haben, da die Tabelle an alle anderen Server in der Organisation repliziert werden muss. 83 Registerkarte „Empfangseinschränkungen“ im Dialogfeld „Eigenschaften für SMTPConnector“ Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen Die Einschränkungsüberprüfung wird durch einen Registrierungsschlüssel auf dem Exchange Server 2003 ausführenden Bridgeheadserver (die Quelle des überprüften Connectors) gesteuert. Wenn durch einen Connector eingeschränkt werden soll, durch wen Daten an die festgelegte Verbindung gesendet werden können, muss der Registrierungswert für die Einschränkungsüberprüfung manuell hinzugefügt werden. Bevor Sie beginnen Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: 84 Mitglied der lokalen Administratorgruppe Verfahren So aktivieren Sie die Registrierungsschlüssel für Übermittlungsbeschränkungen 1. Starten Sie den Registrierungs-Editor: Geben Sie an der entsprechenden Eingabeaufforderung Regedt32.exe ein. 2. Navigieren Sie in der Registrierung zu folgendem Schlüssel, und wählen Sie diesen aus: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/RESvc/Parameters/ 3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann folgenden Registrierungsschlüssel hinzu: Value Name: CheckConnectorRestrictions Data Type: REG_DWORD Date: 1 Radix: Decimal 4. Beenden Sie den Registrierungs-Editor: Klicken Sie im Menü Registrierung auf Beenden. 5. Nach dem Aktivieren der Einstellungen für den Registrierungsschlüssel müssen auf dem Exchange-Server folgende Dienste neu gestartet werden: Microsoft Exchange MTA-Stacks (MSExchangeMTA) Microsoft Exchange-Routingmodul (RESvc) SMTPSVC (Simple Mail Transport Protocol) Festlegen eines Routinggruppenmasters Wenn Sie eine Routinggruppe erstellen, wird dem ersten Server in dieser Routinggruppe die Rolle Routinggruppenmaster zugewiesen. Durch den Routinggruppenmaster werden die aktuellen Verbindungsstatusinformationen für die zugehörige Routinggruppe verwaltet und an andere Server in der Routinggruppe weitergeleitet. Vom Routinggruppenmaster wird nur die in Active Directory geschriebene Routingkonfiguration für die zugehörige Routinggruppe überwacht. Durch Mitgliedsserver kann jeder beliebige Connectorstatus bzw. jede Serververfügbarkeit an den Routinggruppenmaster kommuniziert werden. Wenn beispielsweise durch einen Mitgliedsserver versucht wird, über einen Connector eine Verbindung zu einem Server in einer anderen Routinggruppe herzustellen, und diese 85 Verbindung nicht verfügbar ist, wird durch den Mitgliedsserver umgehend eine entsprechende Benachrichtigung an den Routinggruppenmaster gesendet. Gleiches gilt für den Fall, in dem ein Nicht-Masterserver neue Verbindungsstatusinformationen empfängt. Diese werden umgehend an den Routinggruppenmaster übermittelt, der dann andere Server über die Routingänderung informiert. Stellen Sie beim Festlegen eines Routinggruppenmasters sicher, dass der ausgewählte Server über einen guten Zugriff auf einen Domänencontroller verfügt, da sich auf diesem die benötigten in Active Directory gespeicherten Konfigurationsinformationen befinden. Darüber hinaus werden Änderungen in der Konfiguration der Routinggruppe über den ExchangeSystem-Manager direkt in Active Directory geschrieben. Anschließend wird der Routinggruppenmaster durch den Domänencontroller über diese Änderungen benachrichtigt. Der Routinggruppenmaster übermittelt diese Informationen dann an sämtliche Mitgliedsserver. Innerhalb verwenden der Routinggruppenmaster und die anderen Exchange-Server zum Austausch von Verbindungsstatusinformationen den TCP/IP-Anschluss 691. Der Austausch von Verbindungsstatusinformationen zwischen Routinggruppen erfolgt jedoch auf anderem Weg. Wenn es sich beim Routinggruppenmaster nicht um den Bridgeheadserver der Routinggruppe handelt, werden die Verbindungsstatusinformationen über den TCP/IPAnschluss 691 an den Bridgeheadserver der Gruppe gesendet. Diese Informationen werden dann vom Bridgeheadserver (über SMTP und das Verb X-LINK2STATE über den TCP/IPAnschluss 691) an die Bridgeheadserver anderer Routinggruppen gesendet. Hinweis: Weitere Informationen zu Verbindungsinformationen und wie diese aktualisiert werden finden Sie unter Erweiterte Verbindungsstatuskonzepte. Wenn der erste in der Routinggruppe installierte Server nicht als Routinggruppenmaster fungieren soll (Standardeinstellung), können Sie mit dem folgenden Verfahren einen anderen Server als Routinggruppenmaster festlegen. Hinweis: Der Routinggruppenmaster sollte nicht häufig gewechselt werden. Beim Festlegen eines neuen Routinggruppenmasters müssen die Verbindungen zu sämtlichen Mitgliedsservern erneut hergestellt werden. Da hierbei die Verbindungsstatustabelle über die gesamte Organisation hinweg repliziert werden muss, wird der Datenverkehr im Netzwerk deutlich erhöht. Ausführliche Anweisungen zum Ändern des Routinggruppenmasters finden Sie unter Festlegen eines anderen Servers als Routinggruppenmaster. Wichtig: Für Routinggruppenmaster erfolgt kein automatisches Failover. Wenn ein Routinggruppenmaster ausfällt, müssen Sie im Exchange-System-Manager manuell einen neuen Routinggruppenmaster konfigurieren. Beim Ausfall eines 86 Routinggruppenmasters werden von den anderen Servern in der Routinggruppe solange die letzten bekannten Verbindungsstatusinformationen verwendet, bis ein Routinggruppenmaster verfügbar ist oder ein anderer Routinggruppenmaster festgelegt wurde. Weitere Informationen über Ausfälle von Routinggruppenmastern finden Sie im Microsoft Knowledge Base-Artikel 261827, „http://go.microsoft.com/fwlink/?linkid=3052&kbid=261827“. Festlegen eines anderen Servers als Routinggruppenmaster Wenn Sie eine Routinggruppe erstellen, wird dem ersten Server in dieser Routinggruppe die Funktion als Routinggruppenmaster zugewiesen. Durch den Routinggruppenmaster werden die aktuellen Verbindungsstatusinformationen für die zugehörige Routinggruppe verwaltet und an andere Server in der Routinggruppe weitergeleitet. Bevor Sie beginnen Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So legen Sie einen anderen Server als Routinggruppenmaster fest Erweitern Sie im Exchange-System-Manager die Routinggruppe, klicken Sie auf Mitglieder, klicken Sie mit der rechten Maustaste auf den als Master festzulegenden Server, und wählen Sie dann Als Master festlegen aus. Erweiterte Routingkonfiguration In diesem Thema werden einige Themenbereiche zur erweiterten Routingkonfiguration behandelt. Sie finden Erklärungen zu folgenden Themen: Connectors für Lastenausgleich und Failover Konfigurationen zum Aktivieren von Lastenausgleich und Failover zwischen Connectors. 87 Erweiterte Verbindungsstatuskonfiguration Spezifische Szenarien zum Deaktivieren bzw. Unterdrücken von Verbindungsstatusinformationen. Verwenden von Connectors für Lastenausgleich und Failover Beim Routing wird mithilfe der mit Routinggruppenconnectors verbundenen Kosten der beste Weg zur internen Nachrichtenübermittlung ermittelt. Außerdem wird über die mit SMTP- und X-400-Connectors verbundenen Kosten die beste Methode zum Übertragen von externer EMail ermittelt. Beachten Sie, dass beim Routing der Connector zunächst nach dem am besten passenden Adressraum und anschließend nach den geringsten Kosten ausgewählt wird. Connectors können auch zum Lastenausgleich von Nachrichten verwendet und für Failover konfiguriert werden. Der Nachteil in der Verwendung von Connectors für Lastenausgleich und Failover liegt in der durch diese Konfigurationen bewirkte Vergrößerung der Verbindungsstatustabelle, die über die gesamte Exchange-Organisation hinweg repliziert wird. Hier wächst mit der Größe der Verbindungsstatustabelle auch die Belastung der Systemleistung. Konfigurieren von Connectors zum Lastenausgleich Wenn ein Connector zum Lastenausgleich von Anforderungen zwischen zwei oder mehreren Bridgeheadservern verwendet werden soll, müssen Sie einen einzelnen Connector mit dem gewünschten Adressraum erstellen (z. B. „*“ für einen SMTP-Connector). Legen Sie anschließend zwei unterschiedliche Exchange-Server und virtuelle SMTP-Server als Bridgeheadserver fest. Beim Routing wird der Bridgeheadserver nach dem Zufallsprinzip ausgewählt und die über diesen Connector gesendete Anforderungslast effektiv ausgeglichen. Ist jedoch einer dieser Bridgeheadserver nicht verfügbar, wird für dort angelangte Nachrichten nicht automatisch eine alternative Route gewählt. Nachrichten verbleiben so lange in der Warteschleife, bis dieser Server wieder verfügbar ist. Sobald eine Nachricht den ausgewählten Bridgeheadserver erreicht, ist kein erneutes Routing zwischen Bridgeheadservern möglich. Im Verbindungsstatus ist nur der Connectorstatus enthalten. Wenn einer der Bridgeheadserver verfügbar ist, wird stets auch der Connector als verfügbar behandelt. Für das Routing wird dieser Connector auch beim Ausfall eines der Bridgeheadserver weiterhin als verfügbarer Pfad bewertet, und folglich wird auch weiterhin nach dem Zufallsprinzip zwischen den Bridgeheadservern gewählt. Konfigurieren von Connectors für Failover Wenn Connectors für ein automatisches Failover konfiguriert werden sollen, können Sie auf verschiedenen Bridgeheadservern zwei getrennte Connectors mit unterschiedlichen Kosten 88 erstellen. Der Verbindungsstatus eines Connectors wird durch den zugehörigen lokalen Bridgeheadserver festgelegt. Wenn der Bridgeheadserver des bevorzugten Connectors mit den niedrigsten Kosten nicht verfügbar ist, wird dieser Connector beim Routing als nicht verfügbar bewertet und der zweite Connector gewählt. Ist der Bridgeheadserver des Connectors mit den niedrigeren Kosten wieder verfügbar, wird dieser von den ExchangeServern erneut verwendet. Liegen zwei Connectors mit identischen Kosten vor, werden die durch die Exchange-Server verwendeten Bridgeheadserver und Connectors nach dem Zufallsprinzip ausgewählt. Beim Ausfall eines der Bridgeheadserver erfolgt ein automatisches Failover zum zweiten Connector. Wird jedoch der erste Bridgeheadserver wieder verfügbar, erfolgt kein Failover auf diesen Server, da diese Route dieselben Kosten aufweist wie die bereits verwendete. Unterdrücken des VerbindungsstatusDatenverkehrs für Connectors Der Verbindungsstatus-Datenverkehr wird durch Exchange 2003 bei oszillierenden Verbindungen oder wenn keine alternative Route zu einer Endknoten-Routinggruppe vorhanden ist, unterdrückt. Mithilfe dieser Verbesserungen wird das durch den Verbindungsstatus erzeugte Datenverkehrsvolumen reduziert. Wird zusätzlich für einen Routinggruppenconnector die Standardoption Jeder lokale Server kann E-Mail über diesen Connector senden ausgewählt wird, bleibt der Status des Connectors stets als verfügbar gekennzeichnet. Mithilfe dieser Option wird jeglicher durch Änderungen des Connectorstatus erzeugte Verbindungsstatus-Datenverkehr wirksam unterdrückt. Für SMTP- oder X.400Connectors ist diese Option jedoch nicht verfügbar. Einige Unternehmen entscheiden sich bei Umgebungen mit extrem niedriger Bandbreite und hohen Wartezeiten für eine Unterdrückung des Verbindungsstatus-Datenverkehrs zwischen Routinggruppen. Durch Ändern eines Registrierungsschlüsselwerts kann der Verbindungsstatus-Datenverkehr auf einzelnen Servern für sämtliche Connectors unterdrückt werden. Beim Unterdrücken des Verbindungsstatus-Datenverkehrs auf einem Server werden jegliche Verbindungsstatusänderungen auf sämtlichen Connectors ignoriert, für die er als Bridgeheadserver dient. Die Verbindungsstatusinformationen für Connectors auf anderen Servern werden weiterhin aktualisiert, und die Organisation betreffende Verbindungsstatusinformationen werden weiterhin an sämtliche Server der Organisation weitergegeben. Durch Server mit unterdrücktem Verbindungsstatus-Datenverkehr werden jedoch keine Informationen an die zugehörigen Connectors gesendet. In der folgenden Tabelle finden Sie eine Liste der Vor- und Nachteile der Unterdrückung des Verbindungsstatus-Datenverkehrs. Der Verbindungsstatus-Datenverkehr sollte unter folgenden Bedingungen unterdrückt werden: Sie verfügen über einen Connector, dessen Status für andere Server in der restlichen Exchange-Organisation nicht von Bedeutung ist (beispielsweise ein Connector, der 89 ausschließlich von einer Routinggruppe oder einer kleinen Anzahl von Servern zum Senden von Nachrichten an das Internet verwendet wird). Wenn ein Connector aufgrund von Netzwerkproblemen zwischen einem verfügbaren und nicht verfügbaren Status oszilliert. Beachten Sie, dass unter Exchange 2003 eine Verbindung als oszillierend bewertet wird, wenn der Connectorstatus (verfügbar und nicht verfügbar) innerhalb eines Verbindungsstatusintervalls (zehn Minuten in der Standardeinstellung) zweimal wechselt. Verbindungsstatus-Datenverkehr besteht, wenn ein Connector in zwei unterschiedlichen Zeitintervallen als jeweils verfügbar bzw. nicht verfügbar gekennzeichnet wird. Auch in Exchange-Organisationen mit Exchange 2000Servern wird für oszillierende Verbindungen Datenverkehr erzeugt, da diese Server nicht über die in Exchange 2003 enthaltenen Verbindungsstatusverbesserungen verfügen. Vor- und Nachteile der Unterdrückung des Verbindungsstatus-Datenverkehrs Vorteile Nachteile Die Unterdrückung des VerbindungsstatusDatenverkehrs ist verhältnismäßig einfach zu konfigurieren und kann auf einzelne Server unter isolierten Bedingungen angewendet werden. Auf einem Server mit unterdrücktem Verbindungsstatus-Datenverkehr können keine redundanten Pfade bzw. alternative Connectors erstellt werden. Verbindungsstatusänderungen auf dem primären Connector werden nie erkannt, daher werden Nachrichten nicht an einen alternativen Connector umgeleitet. Beim Routing wird angenommen, dass der primäre Connector weiterhin verfügbar ist. Über die Unterdrückung des Verbindungsstatus-Datenverkehrs auf einem Server kann der durch häufiges Wechseln erzeugte Datenverkehr im Netzwerk reduziert werden. Besonders vorteilhaft ist eine Verringerung des Datenverkehrs bei Netzwerken mit sehr begrenzter Bandbreite. Der tatsächliche Gewinn aus dem verringerten Datenverkehr ist von der Größe der Exchange-Organisation und der Häufigkeit abhängig, in der Verbindungsstatusänderungen repliziert werden. Die Unterdrückung des VerbindungsstatusDatenverkehrs auf einem einzelnen Server führt nicht zu einer vollständigen Vermeidung des Verbindungsstatus-Datenverkehrs zwischen Routinggruppen. 90 Hinweis: Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. Beachten Sie, dass durch eine Änderung dieses Registrierungsschlüssels nicht das Weiterleiten der Verbindungsstatustabelle über Server hinweg beendet wird. Es wird lediglich der durch Connectorstatuswechsel erzeugte Verbindungsstatus-Datenverkehr unterdrückt. Weitere Informationen finden Sie unter Unterdrücken der Verbindungsstatusinformationen auf einem Server. Erstellen von Routinggruppen In der Standardeinstellung funktioniert Microsoft® Exchange Server so, als würden sich alle Server in einer einzigen Routinggruppe befinden. Entsprechend den administrativen Anforderungen, der Netzwerktopologie und den unter Konfigurieren der Routingtopologie angegeben Gründen können Sie Server in Routinggruppen einordnen, damit die Effizienz des Nachrichtenflusses durch Exchange Server maximiert werden kann. Alle Server einer Exchange Server-Organisation im einheitlichen Modus werden in der Standardeinstellung in einer einzigen Routinggruppe mit der Bezeichnung „Erste Routinggruppe“ zusammengefasst, und diese Server kommunizieren direkt untereinander. In einer Umgebung im gemischten Modus (in dem auf einigen Servern Exchange Server 5.5 oder eine frühere Version ausgeführt wird) ist jeder Exchange Server 5.5-Standort eine Routinggruppe. Hinweis: Weitere Informationen über die Unterschiede zwischen Routinggruppen im gemischten und einheitlichen Modus finden Sie in unter „Verwenden von Routinggruppen im einheitlichen und gemischten Modus“ in Informationen zu Routingkomponenten. Nach der Installation können Sie weitere Routinggruppen in der Exchange-Organisation erstellen. Wenn Sie in einer bereits vorhandenen Organisation zusätzliche Exchange-Server installieren, können Sie die entsprechenden Routinggruppen für diese Server festlegen. Nach der Installation können Sie auch Server zwischen Routinggruppen verschieben. Wenn Sie eine Routinggruppe erstellen, werden unter der Routinggruppe zwei Container angezeigt: Connectors Zeigt die auf den Servern in der Routinggruppe installierten Connectors an. Diese Liste enthält alle Connectors für E-Mail-Systeme von Drittanbietern, z. B. den 91 Lotus Notes- oder den Novell GroupWise-Connector, sowie alle von Ihnen konfigurierten Routinggruppenconnectors, X.400-Connectors und SMTP-Connectors. Mitglieder Zeigt die Server in dieser Routinggruppe an. In der Standardeinstellung ist der Routinggruppenmaster der erste Server, der einer Routinggruppe hinzugefügt wurde. Hinweis: Bevor Sie Routinggruppen erstellen können, müssen Sie die Exchange-Organisation so einrichten, dass Routinggruppen angezeigt werden. Klicken Sie im ExchangeSystem-Manager mit der rechten Maustaste auf die Exchange-Organisation, klicken Sie auf Eigenschaften, und aktivieren Sie anschließend das Kontrollkästchen Routinggruppen anzeigen. Bevor Sie beginnen Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So erstellen Sie eine Routinggruppe 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf Routinggruppen, zeigen Sie auf Neu, und wählen Sie dann Routinggruppe aus. 2. Geben Sie auf der Registerkarte Allgemein im Feld Name einen Namen für die Routinggruppe ein, und klicken Sie auf OK. Registerkarte „Allgemein“ für eine Routinggruppe 92 Bereitstellungsszenarios für Internetverbindungen Nachdem Sie den internen Nachrichtenfluss konfiguriert haben, möchten Sie wahrscheinlich wissen, wie Sie eine Verbindung mit dem Internet herstellen können, damit Benutzer in der Lage sind, Nachrichten über das Internet zu senden und zu empfangen. In diesem Abschnitt wird eine Auswahl häufiger und benutzerdefinierter Bereitstellungsszenarios für Internetverbindungen beschrieben. Häufige Bereitstellungsszenarios beziehen sich auf typische Konfigurationen, die von Unternehmen für Internetverbindungen verwendet werden. Zu diesen Szenarios gehören u. a. die Verwendung von Microsoft® Exchange in der Standardkonfiguration, die Verwendung eines mit zwei Netzwerken verbundenen Servers, der Einsatz eines Exchange- 93 Bridgeheadservers hinter einer Firewall und die Verwendung eines Microsoft Windows®Relayservers. Benutzerdefinierte Bereitstellungsszenarios umfassen Topologien, die besonderen Anforderungen entsprechen. Zu diesen Anforderungen gehören beispielsweise die Verwendung eines Netzwerkdienstanbieters, das Konfigurieren gesamtstrukturübergreifender E-Mail-Übermittlung und die gemeinsame Nutzung von SMTP-E-Mail-Domänen oder die gleichzeitige Unterstützung von zwei SMTP-E-Mail-Domänen. Mit Exchange Server 2003 wird ein neues Tool namens Address Rewrite eingeführt, das es ermöglicht, die Adressen ausgehender E-Mail-Nachrichten einer Tochtergesellschaft umzuschreiben. Als Ergebnis wird während einer Fusion oder Übernahme für alle Benutzer dieselbe E-Mail-Adresse angezeigt. Die folgenden Tipps sollen Ihnen unabhängig davon, welches Szenario am genauesten der Situation Ihrer Organisation entspricht, bei den Überlegungen hinsichtlich einer eigenen Implementierung helfen: Wenn Ihre Organisation mehrere Server umfasst, sollten Sie bei der Bereitstellungsplanung Gateway- oder Bridgeheadserver vorsehen. Firewalls bieten den höchsten Grad an Sicherheit für Internetverbindungen. SMTP-Connectors stellen ein passendes und einfach zu verwaltendes Mittel zur Weiterleitung ausgehender Internet-E-Mail zur Verfügung. Für die meisten Szenarios genügt der virtuelle SMTP-Standardserver mit seiner Standardkonfiguration. Wenn Sie mehrere virtuelle SMTP-Server für einen einzelnen Exchange-Server verwenden, sollten Sie bei der Konfiguration dieser Server umsichtig vorgehen. Virtuelle Server sind in der Standardeinstellung nicht in der Lage, miteinander zu kommunizieren. Für einen funktionierenden Nachrichtenfluss müssen Sie die Server in geeigneter Weise konfigurieren, sodass E-Mail-Nachrichten zwischen ihnen weitergeleitet werden können. Außerdem muss jedem virtuellem SMTP-Server durch entsprechende Konfiguration eine eindeutige Kombination aus IP-Adresse und TCP-Port zugewiesen werden. In der Regel erfordert jeder virtuelle SMTP-Server die Verwendung von Port 25, sodass es ausreicht, dem Server eine eindeutige IP-Adresse zuzuweisen. Hinweis: Einige Unternehmen konfigurieren mehrere virtuelle Server auf einem Bridgeheadserver, wobei ein Netzwerkschnittstellenadapter für den Empfang eingehender Internet-E-Mail und ein zweiter Adapter für die Weiterleitung ausgehender Internet-E-Mail verwendet wird. Weitere Informationen zu dieser Konfiguration finden Sie unter Verwenden eines mit zwei Netzwerken verbundenen Exchange-Servers als Internetgateway. 94 Häufige Bereitstellungsszenarios In diesem Abschnitt werden einige häufige Szenarios für Internetverbindungen vorgestellt. Die Szenarios werden in der Reihenfolge zunehmender Komplexität vorgestellt, beginnend mit der einfachsten Konfiguration (einem einzelnen Exchange-Server mit seiner Standardkonfiguration). In der folgenden Tabelle werden alle hier vorgestellten Szenarios zusammengefasst. Zusammenfassung häufiger Bereitstellungsszenarios für eine Internetverbindungen Topologie Optimale Eignung Vorteile Überlegungen Einzelner ExchangeServer mit Standardkonfiguratio n Kleines Unternehmen Die Verwendung der mit kleiner Standardkonfiguratio Benutzerbasis n erübrigt weitere Konfigurationen im Anschluss an die Installation von Exchange. Diese Topologie bietet nicht den stabileren Schutz einer Firewall. Der Exchange-Server aus dem Internet erreichbar. Exchange-Server mit Anbindung an zwei Netzwerke Kleines Unternehmen Bietet eine sichere mit kleiner Konfiguration, wenn Benutzerbasis der Server durch eine Firewall geschützt ist. Diese Topologie sollte in Kombination mit einer Firewall verwendet werden. Andernfalls ist der Exchange-Server aus dem Internet erreichbar. Als Option bietet sich an, mithilfe von IPSec-Richtlinien (Internet Protocol Security) die Ports des Netzwerkschnittstelle nadapters zum Internet zu filtern. 95 Topologie Optimale Eignung Vorteile Überlegungen ExchangeBridgeheadserver hinter einer Firewall Unternehmen beliebiger Größe Die Verwendung eines dedizierten Bridgeheadservers für Internet-E-Mail ermöglicht es, den Datenverkehr zum/vom Internet zu isolieren. Die Firewall übernimmt dabei den Schutz des Intranets. Normalerweise wird ein Bridgeheadserver in größeren Unternehmen bereitgestellt. Da der Server keine Postfächer verwaltet, wird er möglicherweise in kleineren Unternehmen nur unzureichend ausgelastet. ExchangeBridgeheadserver für das Senden von EMail-Nachrichten an einen Relayserver in einem Umkreisnetzwerk Mittlere bis große Unternehmen mit MultiserverUmgebungen Bietet dieselben Vorteile wie ein ExchangeBridgeheadserver hinter einer Firewall, fügt jedoch eine zusätzliche Sicherheitsebene hinzu, indem der SMTP-Server vom Internet isoliert wird. Ein SMTPRelayserver, der anstelle eines Exchange-Servers die Internet-E-Mail handhabt, befindet sich in einem isolierten Netzwerk. Die Benutzerinformatione n auf dem ExchangeServer werden durch die Firewall geschützt. Diese Topologie erfordert einen höheren Konfigurations- und Installationsaufwand als die vorher aufgelisteten Szenarios. 96 Hinweis: Für kleinere Unternehmen, die eine Netzwerklösung mit umfassenden Funktionen (einheitliches Setup für E-Mail-Nachrichten, Gruppenterminplanung und Datenbank sowie eine gemeinsam genutzte Internetanbindung für eine Umgebung mit bis zu 50 Computern) benötigen, ist Microsoft Windows Small Business Server 2003 möglicherweise eine geeignete Lösung. Weitere Informationen zu Small Business Server finden Sie auf der Website Small Business Server. Verwenden eines einzelnen ExchangeServers mit Standardkonfiguration Dieses Szenario beschreibt, auf welche Weise Internetmail von Exchange in der Standardkonfiguration übermittelt wird. Basiskonfiguration Für dieses Szenario benötigen Sie Folgendes: Eine permanente Verbindung mit dem Internet. Einen DNS-Server (Domain Name System), der die Namen externer Domänen auflösen kann, und einen DNS-Server im Internet mit einem MX-Eintrag (Mail Exchanger), der auf den Exchange-Server verweist. Eine Empfängerrichtlinie, die für die SMTP-Domäne konfiguriert ist, für die der ExchangeServer E-Mail empfangen soll. Eingehende Internetmail Bei Verwendung eines einzelnen Exchange-Servers mit Standardkonfiguration werden eingehende Internet-E-Mail-Nachrichten wie folgt zum Exchange-Server geleitet: 1. Der Remote-SMTP-Server sendet eine Anforderung an DNS, um den MX-Eintrag für die E-Mail-Domäne in die IP-Adresse des Exchange-Servers aufzulösen. 2. Anschließend stellt der Remote-SMTP-Server über den Anschluss 25 eine Verbindung mit dem Exchange-Server her, die der virtuelle Standardserver für SMTP akzeptiert. 3. Der Standard-SMTP-Server überprüft, ob die Domäne der eingehenden Nachricht mit einer SMTP-Domäne in den eigenen Empfängerrichtlinien übereinstimmt. 4. Wenn dies der Fall ist, akzeptiert der Standard-SMTP-Server die Nachricht und übermittelt sie an den Empfänger. 97 Ausgehende Internetmail Bei Verwendung eines einzelnen Exchange-Servers mit Standardkonfiguration werden ausgehende Internet-E-Mail-Nachrichten vom Exchange-Server wie folgt in das Internet geleitet: 1. Ein interner Benutzer sendet eine Nachricht an einen externen Benutzer als Empfänger. 2. Anhand der Informationen der eigenen Empfängerrichtlinie ermittelt der virtuelle Standard-SMTP-Server, dass die Nachricht für eine Remotedomäne bestimmt ist. 3. Da der interne Benutzer authentifiziert ist, akzeptiert der virtuelle Standard-SMTP-Server die Nachricht für die ausgehende Zustellung. Beachten Sie, dass der virtuelle StandardSMTP-Server nur authentifizierten Benutzern die Weiterleitung von Nachrichten per Relay ermöglicht. 4. Der virtuelle Standard-SMTP-Server sendet eine Anforderung an DNS, um den MXEintrag des Remote-E-Mail-Servers in die IP-Adresse dieses Servers aufzulösen. 5. Der virtuelle Standard-SMTP-Server stellt über den Anschluss 25 eine Verbindung mit dem Remote-SMTP-Server her und initiiert die Übertragung. Verwenden eines mit zwei Netzwerken verbundenen Exchange-Servers als Internetgateway Dieses Szenario beschreibt eine unterstützte Konfiguration eines mit zwei Netzwerken verbundenen Exchange-Servers, der die Funktion eines Gatewayservers für die ExchangeOrganisation übernimmt. Dieser Server kann E-Mail-Nachrichten einzeln verarbeiten oder als Bridgeheadserver für andere Server in der Organisation fungieren. Aus Sicherheitsgründen sollten Sie diese Konfiguration durch eine Firewall schützen. Basiskonfiguration Die grundlegende Konfiguration besteht aus einem Mailgateway, der mit zwei Netzwerkschnittstellen konfiguriert ist. Dieser Gateway agiert als einziger Verbindungspunkt zwischen dem Intranet und dem Internet. In der folgende Liste sind allgemeine Konfigurationsanforderungen für die beiden virtuellen Server und den SMTP-Connector aufgeführt: 98 Hinweis: Wenn Sie zwei virtuelle Server auf einem einzelnen Exchange-Server konfigurieren, sollten Sie darauf achten, eindeutige Kombinationen aus IP-Adressen und Anschlüssen zu verwenden. Keiner der virtuellen Server sollte mit dem Standardwert der verfügbaren IP-Adressen konfiguriert werden. Virtueller Server 1 Konfigurieren Sie den ersten virtuellen Server als Bridgeheadserver für den SMTPConnector. Konfigurieren Sie die Verwendung externer DNS-Server (über die Liste externer DNS-Server) für den ersten virtuellen Server. Binden Sie den ersten virtuellen Server über den Anschluss 25 an eine Intranet-IPAdresse. Geben Sie die lokale Unternehmensdomäne (beispielsweise contoso.com) ein. Virtueller Server 2 Konfigurieren Sie den zweiten virtuellen Server so, dass er keine E-Mail-Nachrichten per Relay weiterleitet (dies entspricht der Standardkonfiguration). Weitere Informationen zu Standardrelayeinschränkungen finden Sie unter Überprüfen der Relayeinschränkungen auf einem virtuellen SMTP-Server. Konfigurieren Sie den zweiten virtuellen Server so, dass er anonymen Zugriff zulässt (dies entspricht der Standardkonfiguration). Weitere Informationen zum anonymen Zugriff finden Sie unter Gewähren des anonymen Zugriffs auf den virtuellen SMTPServer für ausgehende Nachrichten. Binden Sie den zweiten virtuellen Server über den Anschluss 25 an eine Internet-IPAdresse. Wählen Sie die lokale Unternehmensdomäne (beispielsweise contoso.com) aus. SMTP-Connector Konfigurieren Sie den SMTP-Connector so, dass er Nachrichten über diesen Connector an jeden Adressraum unter Verwendung von DNS weiterleitet. Binden Sie den SMTP-Connector an den ersten virtuellen Server, indem Sie diesen als Bridgeheadserver festlegen. Erstellen Sie einen Adressraum unter Verwendung des Platzhalterzeichens „*“ (Sternchen) oder einer gleichwertigen Angabe. Verwenden Sie zwei Netzwerkschnittstellenadapter, einen internen und einen externen. 99 Stellen Sie sicher, dass keine IP-Routingeinstellung für den Verkehr zwischen den beiden Netzwerken auf dem Server konfiguriert ist. (Dies entspricht der Standardkonfiguration.) Weitere Informationen zum Konfigurieren eines SMTP-Connectors finden Sie unter Erstellen eines SMTP-Connectors. Eingehende Internet-E-Mail-Nachrichten Der eingehende Nachrichtenfluss einer Exchange-Organisation hat folgenden Ablauf: 1. Nachrichten aus dem Internet verwenden die Internet-IP-Adresse für Empfänger innerhalb der lokalen Domäne. 2. Der zweite virtuelle Server überwacht diese Internet-IP-Adresse und empfängt alle eingehenden Internet-Nachrichten. Da der zweite virtuelle Server für die Weiterleitung von E-Mail-Nachrichten per Relay konfiguriert ist, weist er Nachrichten zurück, die nicht an die Domäne des Unternehmens (beispielsweise contoso.com) gerichtet sind. 3. Wenn der zweite virtuelle Server eine Nachricht aus dem Internet empfängt, die an einen Host innerhalb der lokalen Domäne adressiert ist, übermittelt er eine entsprechende Anfrage über den internen Netzwerkschnittstellenadapter an den Microsoft Active Directory®-Verzeichnisdienst, um zu ermitteln, wohin die Nachricht gesendet werden soll. Daher werden Nachrichten, die der zweite virtuelle Server empfängt, direkt an den internen Host gesendet oder an einen anderen Bridgeheadserver übergeben, der die Zustellung an eine andere Routinggruppe übernimmt. Hinweis: Obwohl der zweite virtuelle Server eine externe IP-Adresse auf eingehende E-MailNachrichten überwacht, verwendet er für das Routing von Nachrichten die jeweils passenden IP-Adressen, die er anhand der Einträge in der Routingtabelle ermittelt. Der zweite virtuelle Server verwendet zur Namensauflösung nur interne DNSDienste. Da er nicht für die Verwendung einer externen Liste von DNS-Servern konfiguriert ist, führt er auch keine Namensauflösung für externe Adressen durch. Folglich weist er alle Nachrichten mit Adressen zurück, die auf eine andere Domäne als die lokale Unternehmensdomäne (in diesem Fall contoso.com) verweisen. Ausgehende Internet-E-Mail-Nachrichten Der ausgehende Nachrichtenfluss einer Exchange-Organisation hat folgenden Ablauf: 1. Ein Benutzer sendet eine Nachricht an einen externen Empfänger. 2. Da es sich um eine ausgehende Nachricht handelt, wird diese vom SMTP-Connector auf dem ersten virtuellen Server verarbeitet. 100 3. Wenn der erste virtuelle Server eine Nachricht empfängt, die an eine externe Domäne gerichtet ist, versucht er anhand der Liste externer DNS-Server die IP-Adresse des Nachrichtenempfängers zu bestimmen und verwendet anschließend den externen Netzwerkschnittstellenadapter, um die externe Mail zu übermitteln. (In der Regel sind externe Internet-IP-Adressen auf einem internen DNS-Server nicht verfügbar.) Wichtig: Obwohl der erste virtuelle Server für die Überwachung der Intranet-IP-Adresse konfiguriert ist, verwendet er für externe Mail den Netzwerkschnittstellenadapter zum Internet. In der folgenden Abbildung wird der Nachrichtenfluss über einen Dual-Homed-Server dargestellt. Nachrichtenfluss über einen als Dual-Homed-Server ausgelegten ExchangeGatewayserver Konfigurieren eines Dual-Homed-ExchangeServers mit dem Assistent für Internet-E-MailNachrichten Sie können einen Dual-Homed-Exchange-Server unter Verwendung des Assistenten für Internet-E-Mail-Nachrichten konfigurieren. Der Assistent führt Sie durch die erforderlichen Konfigurationsschritte und erstellt automatisch einen Connector auf dem virtuellen SMTPServer für ausgehende E-Mail-Nachrichten. Gehen Sie wie unter Einführung in den Assistenten für Internet-E-Mail-Nachrichten beschrieben vor, um einen Dual-Homed-Exchange-Server mit zwei virtuellen SMTP-Servern zum Senden und Empfangen von Internet-E-Mail-Nachrichten zu konfigurieren. Nachdem Sie den Assistenten für Internet-E-Mail-Nachrichten ausgeführt haben, sendet und empfängt der 101 Exchange-Server sämtliche Internetmail entsprechend der im Assistenten festgelegten Konfiguration. Hinweis: Wenn Sie bereits einen SMTP-Connector konfiguriert oder einen zusätzlichen virtuellen SMTP-Server auf dem Exchange-Server erstellt haben, können Sie den Assistenten für Internet-E-Mail-Nachrichten nicht ausführen. Sie müssen erst die Standardkonfiguration wiederherstellen, bevor Sie den Assistenten für Internet-EMail-Nachrichten ausführen können. Der Assistent erstellt auf dem Exchange-Server einen weiteren virtuellen SMTP-Server. Er konfiguriert die Übermittlung von Internet-E-Mail-Nachrichten mit den folgenden Verfahren: Um einen Server zum Senden von Internet-E-Mail-Nachrichten einzurichten, leitet Sie der Assistent durch den Vorgang des Zuweisens der Intranet-IP-Adresse an den virtuellen SMTP-Server, auf dem der Assistent den SMTP-Connector zum Senden ausgehender Nachrichten erstellt. Sie weisen diesem virtuellen Server die Intranet-IP-Adresse zu, damit nur interne Benutzer in Ihrem Intranet ausgehende Nachrichten senden können. Um einen Server für den Empfang von Internetmail einzurichten, leitet Sie der Assistent durch den Vorgang des Zuweisens der Internet-IP-Adresse an den virtuellen SMTPInternetserver. Sie weisen diesem virtuellen Server eine Internet-IP-Adresse zu, da externe Server zum Senden von Internet-E-Mail-Nachrichten an Ihr Unternehmen eine Verbindung mit diesem virtuellen SMTP-Server herstellen müssen. Darüber hinaus muss ein MX-Eintrag auf dem Internet-DNS-Server vorhanden sein, der auf diesen Server verweist. Der Assistent für Internet-E-Mail-Nachrichten führt außerdem die erforderlichen Überprüfungen auf dem virtuellen SMTP-Server für eingehende E-Mail-Nachrichten durch, um eine ordnungsgemäße Konfiguration sicherzustellen. Er überprüft dabei folgende Punkte: Der virtuelle SMTP-Server für das Internet akzeptiert anonyme Verbindungen. Der SMTP-Server für das Internet lässt keine Relay-Weiterleitung von E-MailNachrichten zu. Weitere Informationen zum Assistent für Internet-E-Mail-Nachrichten finden Sie unter Verwenden des Internet Mail-Assistenten zum Konfigurieren der Übermittlung von Internet-EMail. Sicherheitsaspekte Um die Sicherheit der Konfiguration eines Dual-Homed-Gatewayservers zu erhöhen, sollten Sie folgende Empfehlungen berücksichtigen: Verwenden Sie IPSec (Internet Protocol Security)-Richtlinien, um die Anschlüsse des Netzwerkschnittstellenadapters zum Internet zu filtern. Weitere Informationen zu IPSec- 102 Richtlinien finden Sie in der Onlinedokumentation zu Microsoft Windows 2000 oder Windows Server 2003. Legen Sie strenge Beschränkungen für die Benutzer fest, die sich beim Server anmelden können. Eine einfache Methode besteht darin, den Server ohne Tastatur, Maus oder Bildschirm auszuführen und ihn mithilfe der Terminaldienste zu verwalten. Anschließend gewähren Sie ausschließlich Administratoren den Zugriff auf den Terminalserver. Indem ein Dual-Homed-Exchange-Server als Gatewayserver mit dieser Konfiguration verwendet wird, ist das betreffende Unternehmen in der Lage, sein Bedrohungsrisiko durch Minimierung der Berührungspunkte zwischen Internet und Intranet zu begrenzen. Da der virtuelle Server für eingehende E-Mail-Nachrichten daran gehindert wird, Nachrichten per Relay an andere Internethosts weiterzuleiten, müssen Sie sicherstellen, dass der virtuelle Server nur Nachrichten weiterleitet, die an gültige interne Empfänger gerichtet sind. Probleme mit externen DNS-Servern wirken sich nicht auf den internen Nachrichtenfluss aus, da der erste virtuelle Server nur für die Weiterleitung ausgehender Internetmail (und nicht für die Weiterleitung interner E-Mail) eine externe Liste von DNS-Servern verwendet. Indem Sie eingehende Internet-E-Mail-Nachrichten, interne E-Mail-Nachrichten und ausgehende Internet-E-Mail-Nachrichten getrennt verarbeiten, bleiben die Fehlerquellen der drei Prozesse isoliert und sind einfacher zu handhaben. Verwenden eines Bridgeheadservers hinter einer Firewall Wenn eine Organisation mehrere Exchange-Server umfasst, sollte in der Regel ein Bridgeheadserver verwendet werden, um eine Internetverbindung für eine Routinggruppe oder eine Exchange-Organisation zur Verfügung zu stellen. Dieser Vorgang wird in der folgenden Abbildung veranschaulicht. Vorsehen von Internetverbindungen für eine Routinggruppe Bei der Verwendung eines Bridgeheadservers muss nicht jeder Exchange-Server über eine Internetverbindung verfügen. Diese Konfiguration erhöht die Sicherheit, da nur der Bridgeheadserver über einen Internetzugang den entsprechenden Risiken ausgesetzt ist. 103 Wichtig: Da Gatewayserver normalerweise anderen Sicherheitsanforderungen als Computer des internen Netzwerks genügen müssen, ist es erforderlich, Gatewayserver sorgfältig auf Sicherheitsrisiken hin zu untersuchen. Basiskonfiguration Die grundlegende Konfiguration besteht aus einem Exchange-Bridgeheadserver mit Internetverbindung und der entsprechenden DNS-Konfiguration. Auf dem Bridgeheadserver ist ein SMTP-Connector installiert, der die Übermittlung eingehender und ausgehender Nachrichten über das Internet ermöglicht. Außerdem wird das interne Netzwerk durch einen Firewall geschützt, der den aus dem Internet eingehenden Nachrichtenfluss filtert und E-MailNachrichten von internen und externen IP-Adressen weiterleitet. In der folgenden Liste sind allgemeine Konfigurationsanforderungen für die DNS-Server, den Exchange-Bridgeheadserver, die Exchange-Mitgliedsserver und die Firewall aufgeführt: DNS-Server Exchange ist auf die vorhandenen DNS-Server in der Organisation angewiesen. Dies bedeutet insbesondere, dass Exchange interne Nachrichten mithilfe interner DNS-Server weiterleitet und die Existenz dieser Server voraussetzt, um externe Adressen über einen externen DNS-Server aufzulösen und weiterzuleiten. Für eine derartige Konfiguration der DNS-Dienste muss die Erfüllung folgender Bedingungen sichergestellt sein: Damit der Bridgeheadserver als E-Mail-Server der Domäne identifiziert wird, muss der externe DNS-Server der Organisation einen MX-Eintrag für diesen Bridgeheadserver enthalten. Diese DNS-Konfiguration ermöglicht es, eingehende EMail-Nachrichten an den Bridgeheadserver zu leiten. Der interne DNS-Server der Organisation muss über eine Weiterleitung zum externen DNS-Server verfügen. Der Exchange-Server sollte auf den internen DNS-Server verweisen. Weitere Informationen zum Konfigurieren eines entsprechenden DNS finden Sie unter Überprüfen des DNS-Designs und der Konfiguration. Exchange-Bridgeheadserver Der Exchange-Bridgeheadserver verfügt über eine Internetverbindung, die über den Anschluss 25 und die Firewall erfolgt. Der virtuelle Standard-SMTP-Server ist für das Senden und Empfangen von Internetmail konfiguriert. Dabei gelten folgende Standardeinstellungen: Eine IP-Adresse mit dem Anschluss 25 (dem TCP-Standardanschluss für SMTP). 104 Der anonyme Zugriff ist zulässig. Sie müssen den anonymen Zugriff auf den virtuellen SMTP-Server des Exchange-Bridgeheadservers zulassen, da bei InternetSMTP-Servern, die Nachrichten an diese Domäne senden, keine Authentifizierung vorausgesetzt wird. Ein Weiterleiten von Nachrichten per Relay ist nicht möglich. Der vom virtuellen SMTP-Server verwaltete SMTP-Connector wird mit dem Adressraum „*“ (Sternchen) konfiguriert, um zu erzwingen, dass alle ausgehenden Nachrichten den Bridgeheadserver verwenden. Exchange-Mitgliedsserver Diese Server verfügen nicht über eine Direktverbindung mit dem Internet. Sie verwenden die Standardeinstellungen für den virtuellen SMTP-Server. Firewall Der Firewall wird in Übereinstimmung mit den Organisationsrichtlinien und den Herstellerangaben konfiguriert. Hinweis: Eine vollständige Erörterung der Firewallkonfiguration übersteigt den Rahmen dieses Handbuchs. Es gibt eine Vielzahl von Methoden, mit denen Sie die Zusammenarbeit zwischen einem Firewall und einem SMTP-Relayserver konfigurieren können. Dabei kann wahlweise entweder der Firewall oder dem SMTP-Relayserver die Aufgabe zugewiesen werden, die Netzwerkadressübersetzung zwischen internen und externen Adressen durchzuführen. Zu Darstellungszwecken wird in diesem Handbuch ein transparenter Nachrichtenfluss durch die Firewall angenommen. Eingehende Internet-E-Mail-Nachrichten Der eingehende Nachrichtenfluss einer Exchange-Organisation verläuft folgendermaßen: 1. Der Remote-SMTP-Server sendet eine Anforderung an DNS, um den MX-Eintrag für die E-Mail-Domäne in die IP-Adresse des Exchange-Servers aufzulösen. 2. Der Remote-SMTP-Server stellt unter Verwendung von Anschluss 25 eine Verbindung über die Firewall zum virtuellen SMTP-Server her. 3. Der virtuelle SMTP-Server akzeptiert die eingehende Nachricht und leitet sie anschließend entweder an den Exchange-Server, der das Postfach des Benutzers verwaltet, oder an einen Bridgeheadserver weiter, der die Nachricht an eine andere Routinggruppe übermittelt. 105 Ausgehende Internet-E-Mail-Nachrichten Der ausgehende Nachrichtenfluss einer Exchange-Organisation hat folgenden Ablauf: 1. Ein interner Benutzer sendet eine Nachricht an einen Empfänger in einer externen Domäne. 2. Der für den internen Benutzer zuständige Exchange-Server sendet die Nachricht an den SMTP-Connector auf dem Bridgeheadserver. Da der Connector mit dem Adressraum „*“ konfiguriert ist, der zur Bezeichnung aller externen Domänen verwendet wird, sendet jeder Exchange-Server in der Routinggruppe externe E-Mail-Nachrichten über den SMTP-Connector auf dem Bridgeheadserver. 3. Der SMTP-Connector löst die IP-Adresse des für den Empfänger zuständigen E-MailServers mithilfe von DNS auf und leitet die Nachricht anschließend direkt an den SMTPServer des Empfängers weiter. Verwenden eines Windows-SMTPRelayservers in einem Umkreisnetzwerk Viele Organisationen verwenden einen eigenständigen Windows 2000- oder Windows Server 2003-basierten SMTP-Server in einem Umkreisnetzwerk als E-Mail-Relayserver für eingehende und ausgehende Internet-E-Mail-Nachrichten. Bei dieser Konfiguration wird die Exchange-Organisation in einer internen Domäne hinter der Firewall platziert, während sich der SMTP-Server in einer separaten Domäne in einem Umkreisnetzwerk befindet. Interne Exchange-Bridgeheadserver leiten ausgehende Nachrichten über einen Connector zum SMTP-Relayserver weiter, der für die DNS-Auflösung und die Übermittlung von E-MailNachrichten zuständig ist. In ähnlicher Weise können Sie den SMTP-Relayserver dafür konfigurieren, eingehende Internet-E-Mail-Nachrichten zu akzeptieren und sie intern weiterzuleiten. Dieser Vorgang wird in der folgenden Abbildung veranschaulicht. Windows Server 2003-Relayserver in einem Umkreisnetzwerk 106 Die Verwendung eines SMTP-Relayservers in einem Umkreisnetzwerk bietet u. a. folgende Vorteile: Begrenzen der Angriffsfläche aus dem Internet. Das interne Netzwerk schützt die Exchange-Server, die Benutzerinformationen und andere Konfigurationsdaten verwalten. Zusätzliche Sicherheit. Sie können Antivirenprogramme installieren, um eingehende E-Mail-Nachrichten zu prüfen, bevor diese das interne Netzwerk erreichen. Basiskonfiguration Die Basiskonfiguration besteht aus folgenden Elementen: Windows Server 2003-SMTP-Relayserver Der SMTP-Relayserver wird mit einer öffentlichen Standarddomäne konfiguriert. Darüber hinaus wird in seiner Konfiguration festgelegt, dass er Nachrichten nur für SMTPMaildomänen innerhalb der Exchange-Organisation per Relay weiterleitet. Nachrichten an andere Domänen werden also nicht per Relay weitergeleitet. Eine ausführliche Beschreibung der Schritte, mit denen Sie den SMTP-Relayserver konfigurieren, finden Sie weiter unten in diesem Abschnitt unter „So konfigurieren Sie einen Windows Server 2003-Server als Relayserver oder Smarthost“. DNS-Server Der externe DNS-Server wird mit einem MX-Eintrag konfiguriert, der auf die IPAdresse der Domäne des SMTP-Relayservers verweist. Alle Exchange-Server verweisen auf den internen DNS-Server. Exchange-Bridgeheadserver Der Exchange-Bridgeheadserver verfügt über eine Internetverbindung, die über den Anschluss 25 und die Firewall führt. Virtueller SMTP-Server Der virtuelle SMTP-Server ist für das Senden und Empfangen von Internet-E-MailNachrichten konfiguriert. Dabei gelten folgende Standardeinstellungen: Eine IP-Adresse mit dem Anschluss 25 (dem TCP-Standardanschluss für SMTP). Anonyme Zugriffe sind zugelassen. Sie müssen den anonymen Zugriff auf den virtuellen SMTP-Server des Exchange-Bridgeheadservers zulassen, da bei InternetSMTP-Servern, die Nachrichten an diese Domäne senden, keine Authentifizierung vorausgesetzt wird. Ein Weiterleiten von Nachrichten per Relay ist nicht möglich. SMTP-Connector 107 Der virtuelle SMTP-Server dient als Host für den Connector. Der SMTP-Connector wird mit einem Adressraum „*“ (Sternchen) konfiguriert, um zu erzwingen, das alle ausgehenden Nachrichten den Exchange-Bridgeheadserver verwenden. Der Connector wird so konfiguriert, dass er den SMTP-Relayserver als Smarthost für das Weiterleiten von E-Mail per Relay verwendet. Alle anderen Einstellungen bleiben bei ihren Standardwerten. Andere Exchange-Mitgliedsserver Mitgliedsserver verfügen nicht über eine Direktverbindung mit dem Internet. Alle Mitgliedsserver verwenden den virtuellen Standard-SMTP-Server mit seinen Standardeinstellungen. Firewall Die Firewall wird in Übereinstimmung mit den Organisationsrichtlinien und den Herstellerangaben konfiguriert. Hinweis: Eine vollständige Erörterung der Firewallkonfiguration übersteigt den Rahmen dieses Handbuchs. Es gibt eine Vielzahl von Methoden, mit denen Sie eine funktionsfähige Kooperation zwischen einem Firewall und einem SMTPRelayserver konfigurieren können. Dabei kann wahlweise der Firewall oder dem SMTP-Relayserver die Aufgabe zugewiesen werden, die Netzwerkadressübersetzung zwischen internen und externen Adressen durchzuführen. Zu Darstellungszwecken wird in diesem Handbuch ein transparenter Nachrichtenfluss durch die Firewall angenommen. Ausführliche Anweisungen finden Sie unter Konfigurieren eines Windows Server 2003Servers als Relayserver oder Smarthost. Weitere Informationen zur Vorgehensweise beim Konfigurieren eines Windows-Servers als Relayserver oder Smarthost finden Sie in dem Microsoft Knowledge Base-Artikel 293800, "XCON: So wird's gemacht: Installieren von Windows 2000 als SMTP-Relay-Server oder Smarthost". Eingehende Internet-E-Mail-Nachrichten Bei Verwendung eines Relayservers in einem Umkreisnetzwerk werden eingehende InternetE-Mail-Nachrichten wie folgt zur Exchange-Organisation geleitet: 1. Eingehende Internet-E-Mail-Nachrichen werden über den Anschluss 25 der Firewall geführt. 108 2. Die E-Mail-Nachricht wird anschließend über den Anschluss 25 an den SMTPRelayserver im Umkreisnetzwerk gesendet. 3. Der SMTP-Relayserver leitet die E-Mail-Nachricht über die Firewall zurück an den Exchange-Bridgeheadserver. 4. Der Exchange-Bridgeheadserver verwendet SMTP und internes Routing, um die E-MailNachricht an den Exchange-Server zu übermitteln, der das Postfach des Benutzers verwaltet. Ausgehende Internet-E-Mail-Nachrichten Bei Verwendung eines Relayservers in einem Umkreisnetzwerk werden ausgehende Internet-E-Mail-Nachrichten wie folgt von der Exchange-Organisation zum InternetEmpfänger geleitet: 1. Ein interner Benutzer sendet eine Nachricht an einen Remotebenutzer. 2. Der Exchange-Server, auf dem das Postfach des Benutzers verwaltet wird, leitet die EMail an den SMTP-Connector auf dem Exchange-Bridgeheadserver weiter. 3. Der SMTP-Connector leitet die E-Mail per Relay über die Firewall an den SMTPRelayserver im Umkreisnetzwerk weiter. 4. Der SMTP-Relayserver versucht, mithilfe von DNS den MX-Eintrag zu finden und die IPAdresse des für den Remotebenutzer zuständigen SMTP-Servers zu ermitteln. 5. Der SMTP-Relayserver sendet die E-Mail-Nachricht über die Firewall zurück an den Anschluss 25 des für den Remotebenutzer zuständigen SMTP-Servers. Benutzerdefinierte Bereitstellungsszenarios In diesem Abschnitt werden zwei benutzerdefinierte Bereitstellungsszenarios vorgestellt und für jedes von ihnen die allgemeinen Konfigurationsanforderungen zusammengefasst. Verwenden eines Netzwerkdienstanbieters für das Senden und Empfangen von EMail. In diesem Szenario wird erläutert, wie Sie einen Exchange-Server für die Verwendung einer DFÜ-Verbindung zur Übermittlung von Internet-E-Mail konfigurieren. Unterstützung von zwei SMTP-Domänen und gemeinsame Nutzung einer SMTPDomäne. In diesem Szenario werden Probleme behandelt, die typischerweise bei einer Fusion oder Übernahme auftreten. In den frühen Phasen einer Übernahme kann es notwendig sein, gleichzeitig zwei bestehende SMTP-Maildomänen zu unterstützen. In späteren Phasen ist es üblich, eine einzige SMTP-Maildomäne durch zwei E-MailSysteme gemeinsam zu nutzen. In diesem Abschnitt wird erläutert, wie Sie Exchange in 109 beiden Situationen konfigurieren. Darüber hinaus wird erklärt, wie Sie ein neues Tool namens Address Rewrite verwenden, um die Adressen ausgehender E-Mail-Nachrichten für Benutzer des E-Mail-Systems einer Tochtergesellschaft umzuschreiben. Senden und Empfangen von E-MailNachrichten über einen Netzwerkdienstanbieter Wenn der Exchange-Server eine DFÜ-Verbindung zum Senden und Empfangen von Internet-E-Mail verwenden soll, müssen Sie über ein DFÜ-Benutzerkonto bei einem Netzwerkdienstanbieter verfügen. Darüber hinaus müssen Sie den Routing- und RAS-Dienst (RRAS) von Windows 2000 bzw. Windows Server 2003 konfigurieren, um nach Bedarf eine Einwählverbindung mit dem Netzwerkdienstanbieter herstellen und sich bei diesem authentifizieren zu können. Weitere Informationen zum Konfigurieren von RRAS finden Sie in der Onlinehilfe von Microsoft Windows 2000 oder Windows Server 2003. Wenn der SMTP-Server eines Netzwerkdienstanbieters als Smarthost (auch Relayserver genannt) verwendet werden soll, können Sie die Adressen ausgehender Nachrichten beim Senden überprüfen. E-Mail-Nachrichten können auf Anfrage oder gemäß einem zu diesem Zweck eingerichteten Übermittlungszeitplan gesendet werden. Die entsprechenden Einstellungen können Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Übermittlungsoptionen konfigurieren. Um E-Mail-Nachrichten vom Smarthost abzurufen, aktivieren Sie auf der Registerkarte Erweitert der Eigenschaften des SMTP-Connectors die Option ETRN/TURN beim Senden von Nachrichten anfordern. Wie bereits erwähnt, ist ETRN ein ESMTP-Befehl, der von einem SMTP-Server gesendet wird, um einen anderen Server aufzufordern, alle bei ihm vorhandenen E-Mail-Nachrichten zu senden. TURN ist ein SMTP-Befehl, der es Client und Server ermöglicht, die Rollen zu tauschen und E-Mail-Nachrichten in umgekehrter Richtung zu senden, ohne eine neue Verbindung herstellen zu müssen. Diese Möglichkeit zum Umschalten während einer SMTP-Sitzung ist nützlich, da Sie mit ihrer Hilfe E-MailNachrichten senden und anschließend den TURN-Befehl übermitteln können, um E-MailNachrichten zu empfangen, ohne eine neue Verbindung herstellen zu müssen. Zusätzliche Zeiten können nur zu Abrufzwecken festgelegt werden. Wenn Sie E-Mail-Nachrichten direkt an externe Domänen senden möchten, ohne den E-MailServer des Netzwerkdienstanbieters als Smarthost zu verwenden, können Sie den SMTPConnector für das Senden von E-Mail-Nachrichten unter Verwendung von DNS konfigurieren. Allerdings ist es weiterhin möglich, E-Mail-Nachrichten vom Netzwerkdienstanbieter abzurufen. Um E-Mail vom Netzwerkdienstanbieter abzurufen, aktivieren Sie in den Eigenschaften des SMTP-Connectors auf der Registerkarte Erweitert 110 die Option ETRN/TURN von einem anderen Server anfordern. Wenn Sie den SMTPConnector in dieser Weise konfigurieren, müssen Sie einen Abrufzeitplan einrichten. Unterstützung von zwei SMTPMaildomänen und gemeinsame Nutzung einer SMTP-Maildomäne zusammen mit einem anderen E-Mail-System Spezielle Situationen (Fusionen und insbesondere Übernahmen) erfordern die Unterstützung von zwei Namespaces und die gemeinsame Nutzung eines Namespace zusammen mit einem anderen System. Diese Art von Situation soll an einem Beispiel näher erläutert werden. Betrachten Sie den Fall einer Fusion zweier fiktiver Unternehmen, Contoso AG und Fourth Coffee. Contoso (contoso.com) übernimmt Fourth Coffee (fourthcoffee.com). Der Prozess der Konsolidierung von Domänen-Namespaces hat folgenden Ablauf: 1. Contoso konfiguriert seine Exchange-Organisation erneut, sodass diese auch E-Mail für die nicht-lokalen Domänen von fourthcoffee.com annimmt. Weitere Informationen zum Empfangen von E-Mail für mehrere Domänen finden Sie weiter unten in diesem Thema unter „Unterstützung von zwei SMTP-Maildomänen“. 2. Beide Systeme nutzen schließlich die SMTP-Maildomäne contoso.com gemeinsam. 3. Zum Abschluss werden die Benutzer durch Migration in eine einzige ExchangeOrganisation überführt, und die alte Organisation (bzw. das alte System) wird entfernt. Unterstützung von zwei SMTP-Maildomänen Die Unterstützung von zwei SMTP-Maildomänen ist in der Anfangsphase einer Fusion oder Übernahme ein übliches Vorgehen. Als Beispiel dafür, auf welche Weise eine ExchangeOrganisation zwei SMTP-Maildomänen unterstützen kann, soll erneut das Fusionsszenario mit den beteiligten Unternehmen Contoso AG und Fourth Coffee dienen. In der Anfangsphase der Übernahme verwendet Contoso weiterhin seine lokale SMTP-Maildomäne contoso.com. Damit aber die Mitarbeiter von Fourth Coffee ihre E-Mail-Nachrichten unter der ursprünglichen Adresse empfangen können, muss Contoso auch E-Mail für die nichtlokale Domäne fourthcoffee.com akzeptieren. Die folgende Abbildung veranschaulicht, wie die beiden Domänen fourthcoffee.com und contoso.com unterstützt werden. 111 Unterstützung von zwei SMTP-Maildomänen Um E-Mail für die nicht-lokale Domäne der neu erworbenen Firma Fourth Coffee empfangen zu können, erstellt ein Administrator bei Contoso einen SMTP-Connector für die Domäne fourthcoffee.com. Dieser Connector wird mit einem Adressraum der von Fourth Coffee verwendeten SMTP-Domäne (fourthcoffee.com) konfiguriert und so eingestellt, dass er Nachrichten per Relay an diese Domäne weiterleitet. Zu diesem Zweck öffnet der Administrator die Eigenschaften des SMTP-Connectors, klickt auf die Registerkarte Adressraum und aktiviert anschließend das Kontrollkästchen Weitergabe von Nachrichten an diese Domänen per Relay zulassen. Wichtig: Sie müssen diesen Connector auf jedem Bridgeheadserver konfigurieren, der aus dem Internet eingehende E-Mail-Nachrichten für die Domäne fourthcoffee.com akzeptiert. Darüber hinaus stellt der Administrator sicher, dass für die Maildomäne, für die E-Mail angenommen werden soll (fourthcoffee.com), ein MX-Eintrag auf dem Internet-DNS-Server existiert. Dieser MX-Eintrag sollte auf die IP-Adresse des Gatewayservers verweisen, der die eingehende E-Mail annimmt. Weitere Informationen zu DNS finden Sie unter „DNS“ in Transportabhängigkeiten in Exchange Server 2003. Address Rewrite als Zwischenlösung Mit Exchange 2003 steht ein neues Tool namens Address Rewrite zur Verfügung, das für eine vorläufige Lösung bei einem Fusions- oder Übernahmeszenario verwendet werden kann. Dieses Tool ersetzt E-Mail-Adressen in ausgehenden Nachrichten, die an Exchange gesendet werden und an externe oder Internetadressen gerichtet sind. (Address Rewrite hat eine ähnliche Funktion wie das Exchange 5.5-Feature ReRouteViaStore.) Bei einer Fusion oder Übernahme können Sie die Adressen aller ausgehenden E-Mail-Nachrichten in eine 112 einzige SMTP-Maildomäne der Muttergesellschaft ändern und weiterhin beide SMTPDomänen (die Domäne der Muttergesellschaft und die Domäne der erworbenen Firma) so lange unterstützen, bis Sie in der Lage sind, alle Benutzer in das Exchange-System zu migrieren. Anhand des Beispiels der Übernahme von Fourth Coffee durch Contoso soll angenommen werden, dass als Zwischenlösung zunächst alle Benutzer von Fourth Coffee die SMTPMaildomäne contoso.com verwenden sollen. Da diese Benutzer noch nicht in das Exchange-System migriert wurden, können Sie mithilfe von Address Rewrite alle ausgehenden E-Mail-Nachrichten, die von Benutzern des Fourth Coffee-Systems gesendet werden, unter Verwendung der E-Mail-Adresse von contoso.com umschreiben. Allerdings sollen weiterhin auch E-Mail-Nachrichten akzeptiert werden, die an die alten Adressen von fourthcoffee.com gerichtet sind. Um die Adressen ausgehender Nachrichten umzuschreiben und weiterhin beide SMTPDomänen zu unterstützen, führen Sie folgende Schritte durch: 1. Verwenden Sie Address Rewrite, um die Adressen aller ausgehenden E-MailNachrichten umzuschreiben, die von Fourth Coffee-Benutzern gesendet werden. 2. Erstellen Sie für alle Benutzer des Fourth Coffee-Mailsystems Kontakte in Active Directory mit einer Zieladresse innerhalb von fourthcoffee.com und einer primären SMTP-Adresse innerhalb von contoso.com. 3. Erstellen Sie einen SMTP-Connector mit einem Adressraum von fourthcoffee.com. Schritt 1: Umschreiben von E-Mail-Adressen mit Address Rewrite Nachdem Sie das von Fourth Coffee verwendet Mailsystem so konfiguriert haben, dass ausgehende Internet-E-Mail-Nachrichten mithilfe von SMTP durch den Exchange-Server geleitet wird, müssen Sie anschließend Address Rewrite auf den virtuellen SMTP-Servern innerhalb der Exchange-Organisation aktivieren, die für die Annahme von E-Mail des Mailsystems der Tochtergesellschaft zuständig sind. In diesem Beispiel aktivieren Sie Address Rewrite auf allen virtuellen SMTP-Servern, die E-Mail der Tochtergesellschaft Fourth Coffee akzeptieren. Damit Address Rewrite ordnungsgemäß funktioniert, müssen folgende Bedingungen erfüllt sein: Die Nachricht wurde extern über SMTP übermittelt und an den ExchangeBridgeheadserver gesendet. Die E-Mail-Nachrichten sind an Adressaten im Internet gerichtet. Interne E-Mail oder E-Mail, die von anderen Exchange-Servern in der Organisation an den Bridgeheadserver gesendet wird, auf dem die Adressumschreibung aktiviert wurde, unterliegt nicht der Adressumschreibung. Für diese Regel gibt es eine Ausnahme: E-Mail, die von 113 Outlook Express oder einem anderen SMTP-Client gesendet wird, wird auf diesem Bridgeheadserver einer Adressumschreibung unterzogen. Beachten Sie, dass der Zweck dieses Tools darin besteht, nur die Adressen derjenigen EMail-Nachrichten umzuschreiben, die von der Tochtergesellschaft (extern über SMTP) an die E-Mail-Server der Muttergesellschaft übermittelt und anschließend an das Internet übergeben werden. Sie können das Tool Address Rewrite (exarcfg) über die Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=25097) downloaden. Nach dem Download des Tools gehen Sie wie folgt vor, um die Adressumschreibung auf den entsprechenden virtuellen SMTP-Servern zu aktivieren. Wichtig: Address Rewrite muss auf allen virtuellen SMTP-Servern des Bridgeheadservers aktiviert werden, die E-Mail vom Mailsystem der Tochtergesellschaft empfangen. Es findet keine Adressumschreibung statt, wenn die Nachricht zuerst an einen virtuellen SMTP-Server ohne aktivierte Adressumschreibung übermittelt wird. Ausführliche Anweisungen finden Sie unter Aktivieren der Funktion zum Umschreiben von Adressen mithilfe von „exarcfg“. Schritt 2: Erstellen von Kontakten für Fourth Coffee-Benutzer in Active Directory Sie müssen im Snap-In Active Directory-Benutzer und -Computer für jeden Benutzer des Fourth Coffee-Mailsystems einen Kontakt erstellen. Jeder Kontakt muss eine Zieladresse innerhalb von fourthcoffee.com und eine primäre SMTP-Adresse innerhalb von contoso.com besitzen. Die Zieladresse wird in den Eigenschaften eines Kontakts auf der Registerkarte Exchange Allgemein angezeigt. Die primäre SMTP-Adresse wird in den Eigenschaften eines Kontakts auf der Registerkarte E-Mail-Adresse festgelegt. Es ist möglich, die Kontakte mithilfe eines automatischen Vorgangs zu Active Directory hinzuzufügen oder die entsprechenden Schritte manuell durchzuführen. Das in Erstellen eines Kontakts in Active Directory beschriebene Verfahren zeigt, wie Sie einen Kontakt manuell in Active Directory erstellen, indem Sie als Zieladresse das fremde Mailsystem (Fourth Coffee) und als primäre SMTP-Adresse eine von der ExchangeOrganisation (Contoso) eingerichtete Adresse verwenden. Schritt 3: Erstellen eines SMTP-Connectors mit einem Adressraum von fourthcoffee.com Um E-Mail für Benutzer der Firma Fourth Coffee annehmen zu können, erstellt ein Administrator bei Contoso einen SMTP-Connector für die Domäne fourthcoffee.com und legt 114 jeden virtuellen SMTP-Server, der eingehende Internet-Mai akzeptiert, als lokalen Bridgeheadserver für den Connector fest. Der Connector wird mit einem Adressraum der von Fourth Coffee verwendeten SMTP-Domäne (fourthcoffee.com) konfiguriert und so eingestellt, dass er Nachrichten per Relay an diese Domäne weiterleitet. Zu diesem Zweck öffnet der Administrator die Eigenschaften des SMTP-Connectors, klickt auf die Registerkarte Adressraum und aktiviert anschließend das Kontrollkästchen Weitergabe von Nachrichten an diese Domänen per Relay zulassen. Hinweis: Aus Performancegründen wird empfohlen, nicht denselben virtuellen SMTP-Server für das Empfangen der E-Mail von der Tochtergesellschaft und die Annahme eingehender Internet-E-Mail-Nachrichten zu verwenden. Sie sollten für jede Funktion jeweils einen separaten virtuellen SMTP-Server auf getrennten Exchange-Servern zuordnen. Die folgende Abbildung zeigt die Topologie, die von Contoso und Fourth Coffee verwendet wird. Beachten Sie, dass ein Exchange-Server die ausgehende E-Mail von Fourth Coffee annimmt und ein anderer Server eingehende E-Mail an Fourth Coffee-Benutzer weiterleitet. Der virtuelle SMTP-Server, der für die Annahme der E-Mail von Fourth Coffee zuständig ist, kann auch als Gatewayserver für ausgehende E-Mail fungieren. Dies ist jedoch keine notwendige Bedingung. Dieser virtuelle SMTP-Server kann die von Fourth Coffee-Benutzern empfangene Internet-E-Mail-Nachrichten entweder direkt an das Internet oder an den geeigneten Gatewayserver weiterleiten. Topologie mit aktivierter Adressumschreibung 115 Gemeinsame Nutzung einer SMTP-Maildomäne mit einem anderen System Kurz vor Abschluss einer Unternehmenszusammenführung oder nach dem Erwerb eines Unternehmens ist es ein übliches Szenario, dass eine SMTP-Maildomäne von einer Exchange 2003-Organisation und einem anderen E-Mail-System oder einer anderen Exchange 2003-Organisation gemeinsam genutzt wird. In diesem Beispiel wird davon ausgegangen, dass Contoso sich in der abschließenden Phase befindet, die eigenen Systeme mit denen des neu erworbenen Unternehmens Fourth Coffee zu konsolidieren. Die einheitliche SMTP-Domäne von contoso.com wird nun sowohl von den Postfächern in der Exchange 2003-Organisation (die alle Mitarbeiter von Contoso enthält) als auch von den Postfächern des anderen Systems (die alle Mitarbeiter von Fourth Coffee enthält) in den Adressen gemeinsam verwendet. Im Idealfall wird die gemeinsame Verwendung einer SMTP-Maildomäne folgendermaßen ermöglicht: Exchange akzeptiert eingehende Nachrichten aus dem Internet, sucht einen übereinstimmenden Empfänger in der ExchangeOrganisation und leitet die Nachricht an die Benutzer des anderen Mailsystems weiter. In der folgenden Abbildung ist eine mit einem anderen System gemeinsam genutzte Domäne dargestellt. Gemeinsame Nutzung einer SMTP-Domäne Wenn Exchange als erster Mailserver fungiert, gibt es zwei Methoden, wie Exchange für die gemeinsame Nutzung eines SMTP-Adressraums konfiguriert werden kann. Methode 1: Gemeinsame Nutzung ausgewählter Namespaces In Methode 1 werden nur ausgewählte SMTP-Adressräume gemeinsam von den Mailsystemen verwendet, und Exchange bleibt autorisierend für die anderen. Diese Methode ist am flexibelsten und wird daher bevorzugt. Darüber hinaus müssen Sie diese Methode oder das oben beschriebene Address Rewrite-Tool auch verwenden, wenn in Ihrer Umgebung eine der folgenden Bedingungen gegeben ist: 116 Sie erstellen Kontakte in Active Directory, um Nachrichten an externe Empfänger zu senden. Die SMTP-Zieladressen dieser externen Empfänger stimmen mit einer der SMTPDomänen überein, die in Exchange 2003-Empfängerrichtlinien konfiguriert sind. Wenn zum Beispiel die Adresse „@contoso.com“ in einer der Empfängerrichtlinien konfiguriert ist und Sie Kontakte mit der Zieladresse „@contoso.com“ erstellen möchten, müssen Sie diese Methode verwenden, um die SMTP-Maildomäne @contoso.com gemeinsam zu nutzen. Methode 2: Gemeinsame Nutzung aller Adressräume Methode 2 ist weniger flexibel, kann allerdings in kleinen Umgebungen einfacher konfiguriert werden. Sie können diese Methode jedoch nicht verwenden, wenn in Active Directory Kontakte für die externen Empfänger auf dem anderen Mailsystem vorhanden sind. Weitere Informationen zur Verwendung von Kontakten in einer gemeinsam genutzten SMTP-Domäne finden Sie im Microsoft Knowledge Base-Artikel 319759 „XADM: How to Configure Exchange 2000 Server to Forward Messages to a Foreign Messaging System That Shares the Same SMTP Domain Name Space“. Methode 1: Gemeinsame Nutzung ausgewählter Namespaces Methode 1 bietet ausgezeichnete Flexibilität, da Sie Kontakte in Active Directory erstellen und Benutzer leicht in ein einzelnes System migrieren können. Bei dieser Methode werden zwei grundlegende Prinzipien verwendet: Es wird ein SMTP-Connector mit einem Adressraum der Remotedomäne fourthcoffee.com erstellt. Der Connector ermöglicht die Weitergabe von Nachrichten an diese Domäne. Durch Ermöglichen der Weitergabe an die Remotedomäne kann Exchange eingehende Nachrichten für diese Domäne akzeptieren. Wichtig: Sie müssen diesen Connector auf jedem Bridgeheadserver konfigurieren, der aus dem Internet eingehende E-Mail-Nachrichten für die Domäne fourthcoffee.com akzeptiert. Exchange ist nicht autorisierend für die Domäne. Wenn Exchange für eine Domäne autorisierend ist, geht Exchange davon aus, dass alle Adressen in der Domäne in der eigenen Organisation vorhanden sind. Daher versucht Exchange niemals, Nachrichten, die nicht lokal aufgelöst werden können, durch einen externen Connector zu senden. Wenn Exchange nicht autorisierend für die Domäne konfiguriert ist und der Benutzer nicht lokal gefunden werden kann, leitet Exchange die Nachricht weiter durch den Connector zum Remotesystem. 117 Hinweis: Es ist nicht von Bedeutung, dass Exchange eingehende Nachrichten für Domänen akzeptiert, für die es autorisierend ist, da Exchange für die SMTPMaildomäne in diesem Fall nicht autorisierend ist. Durch die Connectorkonfiguration wird sichergestellt, dass die Exchange-Organisation Mails für diese Domäne akzeptiert. Der Grund dafür ist, dass der Connector mit einem SMTP-Adressraum der Remotedomäne konfiguriert ist und die Weiterleitung an diese Domäne ermöglicht. Exchange akzeptiert nur eingehende E-Mail-Nachrichten für die gemeinsam genutzte SMTP-Domäne, da der Connector zum E-Mail-Remotesystem die Weiterleitung an diesen Adressraum ermöglicht. Da Exchange für die gemeinsam genutzte Maildomäne nicht autorisierend ist, akzeptiert Exchange keine weiteren eingehenden Nachrichten für diese SMTP-Domäne, wenn Sie den Connector entfernen. Wenn Sie den Connector entfernen, müssen Sie die Empfängerrichtlinie so ändern, dass Exchange für diese SMTP-Maildomäne autorisierend ist. Die Verwendung von Methode 1 umfasst drei wesentliche Schritte (jeder Schritt wird weiter unten in den folgenden Abschnitten ausführlich beschrieben): 1. Ermitteln, ob Exchange autorisierend für die SMTP-Maildomäne ist, die gemeinsam genutzt werden soll. 2. Konfigurieren der Empfängerrichtlinie für die SMTP-Maildomäne, die gemeinsam genutzt werden soll. Die genaue Vorgehensweise hängt davon ab, ob die SMTP-Maildomäne in der Standardempfängerrichtlinie, in einer anderen Empfängerrichtlinie oder bislang noch in keiner Empfängerrichtlinie vorhanden ist. 3. Erstellen eines SMTP-Connectors, um die Nachricht an das andere Mailsystem oder den anderen Host weiterzuleiten. Schritt 1: Ermitteln, ob Exchange autorisierend für die SMTPMaildomäne ist, die gemeinsam genutzt werden soll Vor dem Konfigurieren der Empfängerrichtlinie für die SMTP-Maildomäne, die gemeinsam genutzt werden soll, müssen Sie ermitteln, ob Exchange für die Domäne autorisierend ist. Je nachdem, ob Exchange 2003 autorisierend oder nicht autorisierend ist, werden E-MailNachrichten für bestimmte SMTP-Adressen von Exchange unterschiedlich behandelt. Nachrichten, die für eine autorisierende Domäne nicht lokal aufgelöst werden können, werden von Exchange nicht weitergeleitet. Daher müssen Sie sicherstellen, dass Exchange nicht autorisierend ist für die SMTP-Maildomäne, die gemeinsam genutzt werden soll. Ausführliche Anweisungen finden Sie unter Anzeigen der Einstellung, mit der die autorisierende Eigenschaft von Exchange Server festgelegt wird. 118 Schritt 2: Konfigurieren der Empfängerrichtlinie für die SMTPMaildomäne, die gemeinsam genutzt werden soll Beim Konfigurieren der Empfängerrichtlinie für die SMTP-Maildomäne, die gemeinsam genutzt werden soll, können Sie auf drei mögliche Szenarios treffen: Szenario 1 Die SMTP-Maildomäne, die gemeinsam genutzt werden soll, ist in der Standardempfängerrichtlinie vorhanden. Szenario 2 Die SMTP-Maildomäne, die gemeinsam genutzt werden soll, ist in einer anderen Empfängerrichtlinie vorhanden. Szenario 3 Die SMTP-Maildomäne, die gemeinsam genutzt werden soll, ist in keiner Empfängerrichtlinie vorhanden. Szenario 1: Konfigurieren einer gemeinsam genutzten SMTP-Domäne, die in der Standardempfängerrichtlinie vorhanden ist Sie können nicht festlegen, dass Exchange nicht autorisierend für den primären SMTPAdressraum der Standardempfängerrichtlinie ist. Um zu verhindern, dass Exchange autorisierend für diese Domäne ist, müssen Sie die Standardempfängerrichtlinie ändern, indem Sie einen neuen primären Adressraum hinzufügen, der ausschließlich für interne Zwecke verwendet wird. Diese Adresse kann zum Beispiel „@localhost“ lauten, um zu signalisieren, dass sie ausschließlich für internen Nachrichtenfluss innerhalb der ExchangeOrganisation verwendet wird. Nachdem Sie den neuen Adressraum hinzugefügt haben, müssen Sie den gemeinsam genutzten Adressraum als nicht autorisierend festlegen. Zum Konfigurieren von Exchange für die gemeinsame Nutzung einer Maildomäne, die als primärer Adressraum in der Standardempfängerrichtlinie vorhanden ist, müssen Sie die folgenden Aufgaben durchführen: 1. Fügen Sie in der Standardempfängerrichtlinie einen neuen primären Adressraum hinzu, für den Exchange autorisierend ist, und legen Sie dann den gemeinsam genutzten Adressraum als nicht autorisierend fest. 2. Erstellen Sie eine zweite Empfängerrichtlinie, die über denselben Suchfilter verfügt wie die Standardempfängerrichtlinie. Anschließend weisen Sie der zweiten Empfängerrichtlinien eine höhere Priorität zu als der Standardempfängerrichtlinie, sodass als gemeinsam genutzter Adressraum die Absender- oder die Antwort an-Adresse angezeigt wird. Dieser Schritt ist notwenig, da Exchange den primären Adressraum als Antwort anAdresse verwendet, die in ausgehenden E-Mail-Nachrichten angezeigt wird. Da in ausgehenden Nachrichten der gemeinsame Namensraum in der Zeile Antwort an angezeigt werden soll, müssen Sie eine weitere Empfängerrichtlinie erstellen, die ebenfalls nicht autorisierend ist, jedoch eine höhere Priorität aufweist. Exchange verwendet diesen Adressraum dann für die Absenderadresse ausgehender Nachrichten. Da es sich bei der neuen Empfängerrichtlinie nicht um die Standardempfängerrichtlinie handelt, können Sie diesen Adressraum als nicht autorisierend festlegen. 119 Führen Sie das in Ändern der Standardempfängerrichtlinie beschriebene Verfahren durch, um einen neuen primären Adressraum in der Standardempfängerrichtlinie zu erstellen und den gemeinsam genutzten Adressraum als nicht autorisierend festzulegen. Wenn die Standardempfängerrichtlinie auf diese Weise geändert wird, verwendet Exchange die neue primäre Adresse als Absender- oder Antwort an-Adresse für ausgehende E-MailNachrichten. In obigem Beispiel verfügen nun alle Benutzer in dieser Richtlinie über eine Absender-E-Mail-Adresse, die mit dem neuen primären Adressraum @localhost übereinstimmt. Wenn Sie möchten, dass alle Benutzer über eine Absenderadresse der gemeinsam genutzten Maildomäne verfügen (in diesem Fall contoso.com), müssen Sie eine neue Empfängerrichtlinie mit einer höheren Priorität erstellen, die den Adressraum contoso.com enthält. Exchange verwendet in der Absenderadresse die Empfängerrichtlinie mit der höheren Priorität. Da es sich bei dieser Empfängerrichtlinie nicht um die Standardempfängerrichtlinie handelt, können Sie sie auch als nicht autorisierend festlegen. (Beachten Sie, dass Exchange nur Adressräume durch den Connector zum externen System weiterleitet, die nicht autorisierend sind.) Führen Sie das in Erstellen einer Empfängerrichtlinie mit höherer Priorität für die gemeinsam verwendete E-Mail-Domäne beschriebene Verfahren durch, um eine Empfängerrichtlinie mit höherer Priorität zu erstellen, damit in den ausgehenden E-Mail-Nachrichten die korrekte Absender-/Antwort an-Adresse angezeigt wird. Szenario 2: Die SMTP-Domäne, die gemeinsam genutzt werden soll, ist in einer anderen Empfängerrichtlinie vorhanden Wenn die SMTP-Domäne, die gemeinsam genutzt werden soll, nicht in der Standardempfängerrichtlinie vorhanden ist, können Sie den Adressraum als nicht autorisierend festlegen. Ausführliche Anweisungen finden Sie unter Ändern einer vorhandenen Empfängerrichtlinie für die gemeinsam zu nutzende SMTP-Domäne. Szenario 3: Die SMTP-Domäne, die gemeinsam genutzt werden soll, ist nicht in einer Empfängerrichtlinie vorhanden Wenn die SMTP-Domäne, die gemeinsam genutzt werden soll, in keiner Empfängerrichtlinie vorhanden ist, können Sie eine neue Empfängerrichtlinie mit dem Adressraum erstellen und als nicht autorisierend festlegen. Ausführliche Anweisungen finden Sie unter Erstellen einer neuen Empfängerrichtlinie für eine SMTP-E-Mail-Domäne, für die es noch keine Empfängerrichtlinie gibt. Schritt 3: Erstellen eines SMTP-Connectors, um Nachrichten an das andere Mailsystem weiterzuleiten Exchange 2003 ist jetzt nicht autorisierend für die gemeinsam genutzte SMTP-Domäne. Daher versucht Exchange 2003, einen externen Pfad zu dieser Domäne zu finden, wenn keine übereinstimmende Adresse in Active Directory vorhanden ist. Um diesen Pfad zu 120 finden, sucht Exchange zunächst nach einem Connector und überprüft dann das Domain Name System (DNS). Sie müssen einen SMTP-Connector erstellen, um die Nachrichten an einen bestimmten Host weiterzuleiten, sofern der Mail-Exchanger-Eintrag (MX) für diese Domäne nicht bereits auf den Server verweist, auf dem sich das andere Mailsystem befindet (oft verweist der MX-Eintrag auf den Exchange 2003-Server). Wichtig: Sie müssen diesen Connector auf jedem Bridgeheadserver konfigurieren, der aus dem Internet eingehende E-Mail-Nachrichten für die Domäne fourthcoffee.com akzeptiert. Ausführliche Anweisungen finden Sie unter Erstellen eines SMTP-Connectors zur Weiterleitung von E-Mail-Nachrichten an einen bestimmten Host. Wenn Sie diese Einstellungen konfiguriert haben und Exchange 2003 keine übereinstimmende lokale Adresse in dieser SMTP-Domäne findet, wird die Nachricht an den Host mit dem übereinstimmenden Adressraum weitergeleitet, der im SMTP-Connector angegeben ist. Methode 2: Gemeinsame Nutzung aller Adressräume Diese Methode umfast die gemeinsame Nutzung von allen Adressräumen oder SMTPMaildomänen. Diese Konfiguration ist leichter zu implementieren, allerdings weniger flexibel als Methode 1. In dieser Konfiguration ist Exchange 2003 autorisierend für alle Adressräume. In Ihrem Verzeichnis dürfen sich keine Kontakte mit Zieladressen befinden, die mit einer Domäne übereinstimmen, für die Exchange 2003 autorisierend ist. Ausführliche Anweisungen finden Sie unter Freigeben aller Adressräume innerhalb der Exchange-Organisation. Diese Einstellung gilt nur für autorisierende Domänen. Daher werden in autorisierenden Domänen alle Nachrichten, die an unaufgelöste Adressen gesendet wurden, an den Server weitergeleitet, der im virtuellen SMTP-Server angegeben ist. Alle nicht autorisierenden Domänen in Exchange 2003 sind von dieser Einstellung nicht betroffen. Alle Nachrichten, die an unaufgelöste Adressen in einer nicht autorisierenden Domäne gesendet wurden, werden gegebenenfalls an einen übereinstimmenden SMTP-Connector weitergeleitet. Wenn kein übereinstimmender SMTP-Connector gefunden werden kann, wird die Nachricht an den Server gesendet, der im MX-Eintrag im DNS angegeben ist. Unterstützen von zusätzlichen Mailsystemen Wie in den vorausgegangenen Szenarios beschrieben, kann das andere Mailsystem, das die von Exchange weitergeleiteten Nachrichten empfängt, dieselben Aufgaben durchführen wie Exchange und die Nachrichten an ein drittes E-Mailsystem weiterleiten. Um Schleifen in der Nachrichtenübermittlung zu vermeiden, muss das letzte E-Mailsystem (an das die 121 Nachrichten weitergeleitet werden) autorisierend für die Domäne sein. Mit anderen Worten, das letzte Empfängermailsystem muss nach einem passenden Empfänger suchen. Wenn das System keinen übereinstimmenden Empfänger finden kann, erstellt es für die Nachricht einen Unzustellbarkeitsbericht (NDR, Non-Delivery Report). Mailschleifen treten auf, wenn das empfangende System keinen überstimmenden Empfänger finden kann und die Nachricht zurück an das ursprüngliche System des Absenders weiterleitet. Wenn in dieser Konfiguration Exchange das letzte System ist, wird standardmäßig für jede unaufgelöste Nachricht ein NDR zurückgesendet. Es ist jedoch sinnvoll, benutzerdefinierte Empfänger in Active Directory für alle Empfänger zu erstellen, die sich auf einem anderen Mailsystem befinden. Diese Empfänger sollten Zieladressen in einer ähnlichen Form wie „@subdomäne.contoso.com“ aufweisen, wobei durch subdomäne zusätzliche Adressinformationen zum Unterscheiden des Adressraums vom typischen Adressraums „@example.com“ angegeben werden. Beispiel: @sales.contoso.com. Aktivieren der Funktion zum Umschreiben von Adressen mithilfe von „exarcfg“ Die Funktion zum Umschreiben von Adressen muss auf allen virtuellen SMTP-Servern des Bridgeheadservers aktiviert werden, die E-Mail-Nachrichten vom E-Mail-System der Tochtergesellschaft empfangen Es findet keine Adressumschreibung statt, wenn die Nachricht zuerst an einen virtuellen SMTP-Server ohne aktivierte Adressumschreibung übermittelt wird. Bevor Sie beginnen Sie können das Tool Address Rewrite (exarcfg) von der Microsoft-Website Downloads for Exchange Server 2003 herunterladen. Nach dem Herunterladen des Tools gehen Sie wie folgt vor, um die Adressumschreibung auf den entsprechenden virtuellen SMTP-Servern zu aktivieren. Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe 122 Verfahren So aktivieren Sie die Funktion zum Umschreiben von Adressen mithilfe des Tools exarcfg 1. Laden Sie exarcfg in ein beliebiges Verzeichnis herunter. 2. Öffnen Sie eine Eingabeaufforderung. 3. Navigieren Sie zu dem Verzeichnis, in dem Sie exarcfg installiert haben. 4. Geben Sie folgenden Befehl ein: exarcfg –e -s server –v: SMTP virtual server instance number Dabei gilt: Server bezeichnet den vollqualifizierten Domänennamen des Exchange-Servers, auf dem die Adressumschreibung aktiviert werden soll. Instanz des virtuellen SMTP-Servers bezeichnet die Instanznummer des virtuellen SMTP-Servers. Wenn Sie die Option -v nicht angeben, verwendet der Befehl die erste Instanz des virtuellen Servers. In der Regel ist dies der virtuelle StandardSMTP-Server. Erstellen eines Kontakts in Active Directory Jedem Benutzer im Exchange-Mailsystem muss ein Kontakt im Microsoft® Active Directory®Verzeichnisdienst entsprechen. Bevor Sie beginnen Lesen Sie Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So erstellen Sie einen Kontakt in Active Directory 1. Öffnen Sie Active Directory. 123 2. Navigieren Sie zu dem Ordner, in dem die Kontakte erstellt werden sollen, klicken Sie mit der rechten Maustaste auf den Ordner, zeigen Sie auf Neu, und klicken Sie dann auf Kontakt. 3. Vervollständigen Sie auf der Seite Neues Objekt die Namensinformationen, und klicken Sie dann auf Weiter. 4. Stellen Sie auf der nächsten Seite sicher, dass das Kontrollkästchen Eine Exchange-E-Mail-Adresse erstellen aktiviert ist. 5. Klicken Sie unter E-Mail-Adresse auf Ändern. 6. Wählen Sie in Neue E-Mail-Adresse den Adresstyp der Zieladresse aus. In diesem Beispiel wählen Sie die Option SMTP-Adresse aus. Klicken Sie anschließend auf OK. 7. Geben Sie unter Internet-Adresseigenschaften die E-Mail-Adresse ein, die vom neu übernommenen Unternehmen verwendet wird. In diesem Beispiel geben Sie <Benutzer>@fourthcoffee.com ein. Klicken Sie anschließend auf OK. 8. Beenden Sie den Assistenten, um einen Kontakt mit der geeigneten Zieladresse zu erstellen. 9. Klicken Sie mit der rechten Maustaste auf den Kontakt, und klicken Sie dann auf Eigenschaften. 10. Klicken Sie auf die Registerkarte E-Mail-Adressen, und wählen Sie dann die SMTPAdresse der Muttergesellschaft (in diesem Fall [email protected]) aus. Klicken Sie auf Hauptadresse. Registerkarte „E-Mail-Adressen“ im Dialogfeld „Benutzereigenschaften“ 124 Anzeigen der Einstellung, mit der die autorisierende Eigenschaft von Exchange Server festgelegt wird Vor dem Konfigurieren der Empfängerrichtlinie für die SMTP-Maildomäne, die gemeinsam genutzt werden soll, müssen Sie ermitteln, ob Exchange Server für die Domäne autorisierend ist. 125 Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So zeigen Sie die Einstellung an, über die festgelegt wird, ob Exchange autorisierend ist 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Empfänger, und klicken Sie dann auf Empfängerrichtlinien. 3. Klicken Sie im Detailausschnitt mit der rechten Maustaste auf eine Empfängerrichtlinie, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte E-Mail-Adressen (Richtlinie), wählen Sie eine SMTP-Adresse aus, und klicken Sie dann auf Bearbeiten. Das Dialogfeld Eigenschaften der SMTP-Adresse wird angezeigt. Dialogfeld „Eigenschaften der SMTP-Adresse“ für eine autorisierende Domäne 126 5. Wenn das Kontrollkästchen Diese Exchange-Organisation ist für die gesamte EMail-Übermittlung an diese Adresse verantwortlich aktiviert ist, ist Exchange autorisierend für diese Adresse. Wenn das Kontrollkästchen deaktiviert ist, ist Exchange für diese Adresse nicht autorisierend. 6. Weitere Informationen über autorisierende und nicht autorisierende SMTP-Domänen in Exchange finden Sie im Microsoft Knowledge Base-Artikel 315591 „XCON: Authoritative and Non-Authoritative Domains in Exchange 2000“. Ändern der Standardempfängerrichtlinie Sie können nicht festlegen, dass Microsoft® Exchange Server nicht autorisierend für den primären SMTP-Adressraum der Standardempfängerrichtlinie ist. Um zu verhindern, dass Exchange Server für diese Domäne autorisierend ist, müssen Sie die Standardempfängerrichtlinie ändern, indem Sie einen neuen primären Adressraum 127 hinzufügen, der ausschließlich für interne Zwecke verwendet wird. Diese Adresse kann zum Beispiel @localhost lauten, um zu signalisieren, dass sie ausschließlich für internen Nachrichtenfluss innerhalb der Exchange-Organisation verwendet wird. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So ändern Sie die Standardempfängerrichtlinie 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Empfänger, und klicken Sie dann auf Empfängerrichtlinien. 3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Standardempfängerrichtlinie, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte E-Mail-Adressen (Richtlinie), und klicken Sie dann auf Neu. 5. Klicken Sie im Dialogfeld Neue E-Mail-Adresse auf SMTP-Adresse, und klicken Sie dann auf OK. 6. Geben Sie in Eigenschaften von SMTP-Adresse im Feld Adresse die Zeichenfolge @localhost oder einen anderen Adressraum ein, für den die Exchange-Organisation autorisierend sein kann. Sie können @localhost oder Ihre Active Directory-Domäne verwenden, wenn Ihre Internetdomäne davon abweicht. Dieser Adressraum wird ausschließlich für interne Zwecke verwendet. 7. Vergewissern Sie sich, dass das Kontrollkästchen Diese Exchange-Organisation ist für die gesamte E-Mail-Übermittlung an diese Adresse verantwortlich aktiviert ist, und klicken Sie dann auf OK. 8. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf die neu erstellte SMTP-Adresse, und klicken Sie dann auf Hauptadresse. 9. Klicken Sie auf den SMTP-Adressraum, der gemeinsam genutzt werden soll (zum Beispiel contoso.com), und klicken Sie dann auf Bearbeiten. 128 10. Um festzulegen, dass Exchange nicht autorisierend für diese SMTP-Adresse ist, deaktivieren Sie das Kontrollkästchen Diese Exchange-Organisation ist für die gesamte E-Mail-Übermittlung an diese Adresse verantwortlich, und klicken Sie dann auf Anwenden. 11. Es wird eine Meldung mit der Frage angezeigt, ob alle entsprechenden E-MailEmpfängeradressen aktualisiert werden sollen. Klicken Sie auf Ja. 12. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf OK. Erstellen einer Empfängerrichtlinie mit höherer Priorität für die gemeinsam verwendete E-Mail-Domäne Wenn alle Benutzer über eine Absenderadresse der gemeinsam genutzten E-Mail-Domäne verfügen sollen (in diesem Fall contoso.com), müssen Sie eine neue Empfängerrichtlinie mit einer höheren Priorität erstellen, die den Adressraum contoso.com enthält. Exchange verwendet in der Absenderadresse die Empfängerrichtlinie mit der höheren Priorität. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So erstellen Sie mithilfe der gemeinsam genutzten E-Mail-Domäne eine Empfängerrichtlinie mit einer höheren Priorität 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Empfänger, klicken Sie mit der rechten Maustaste auf Empfängerrichtlinien, zeigen Sie auf Neu, und klicken Sie dann auf Empfängerrichtlinie. 3. Aktivieren Sie in Neue Richtlinie das Kontrollkästchen E-Mail-Adressen, und 129 klicken Sie anschließend auf OK. 4. Geben Sie auf der Registerkarte Allgemein im Feld Name einen geeigneten Namen ein, zum Beispiel Benutzeradressen. 5. Klicken Sie unter Filterregeln auf Ändern. 6. Aktivieren oder deaktivieren Sie in Exchange-Empfänger suchen die entsprechenden Kontrollkästchen, um die gewünschten Benutzer auszuwählen. Wenn Sie die Richtlinie für alle Benutzer übernehmen möchten, klicken Sie auf OK. 7. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf die SMTP-EMail-Domäne, die gemeinsam genutzt werden soll. Klicken Sie anschließend auf Hauptadresse (belassen Sie die Domäne @local als sekundäre Proxyadresse), und klicken Sie dann auf Übernehmen. 8. Es wird eine Meldung mit der Frage angezeigt, ob alle entsprechenden E-MailEmpfängeradressen aktualisiert werden sollen. Klicken Sie auf Ja. 9. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf OK. Ändern einer vorhandenen Empfängerrichtlinie für die gemeinsam zu nutzende SMTP-Domäne Wenn die SMTP-Domäne, die gemeinsam genutzt werden soll, nicht in der Standardempfängerrichtlinie vorhanden ist, können Sie den Adressraum als nicht autorisierend festlegen. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist 130 Verfahren So ändern Sie eine vorhandene Empfängerrichtlinie für die SMTP-Domäne, die gemeinsam genutzt werden soll 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Empfänger, und klicken Sie dann auf Empfängerrichtlinien. 3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Empfängerrichtlinie mit der SMTP-Adresse, die gemeinsam genutzt werden soll, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf die SMTPAdresse, und klicken Sie dann auf Hauptadresse. 5. Klicken Sie auf den SMTP-Adressraum, der gemeinsam genutzt werden soll, und klicken Sie dann auf Bearbeiten. 6. Um festzulegen, dass Exchange nicht autorisierend für diese SMTP-Adresse ist, deaktivieren Sie das Kontrollkästchen Diese Exchange-Organisation ist für die gesamte E-Mail-Übermittlung an diese Adresse verantwortlich, und klicken Sie dann auf Anwenden. 7. Es wird eine Meldung mit der Frage angezeigt, ob alle entsprechenden E-MailEmpfängeradressen aktualisiert werden sollen. Klicken Sie auf Ja. 8. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf OK. Erstellen einer neuen Empfängerrichtlinie für eine SMTP-E-Mail-Domäne, für die es noch keine Empfängerrichtlinie gibt Wenn die SMTP-Domäne, die gemeinsam genutzt werden soll, in keiner Empfängerrichtlinie vorhanden ist, können Sie eine neue Empfängerrichtlinie mit dem Adressraum erstellen und als nicht autorisierend festlegen. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. 131 Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So erstellen Sie eine neue Empfängerrichtlinie für eine SMTP-E-Mail-Domäne, die in keiner Empfängerrichtlinie vorhanden ist 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Empfänger, klicken Sie mit der rechten Maustaste auf Empfängerrichtlinien, zeigen Sie auf Neu, und klicken Sie dann auf Empfängerrichtlinie. 3. Aktivieren Sie in Neue Richtlinie das Kontrollkästchen E-Mail-Adressen, und klicken Sie anschließend auf OK. 4. Geben Sie auf der Registerkarte Allgemein im Feld Name einen Namen für die neue Richtlinie ein. 5. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf die SMTPAdresse, und klicken Sie dann auf Neu. 6. Klicken Sie im Dialogfeld Neue E-Mail-Adresse auf SMTP-Adresse, und klicken Sie dann auf OK. 7. Geben Sie in Eigenschaften von SMTP-Adresse im Feld Adresse den SMTPAdressraum ein, der gemeinsam genutzt werden soll. 8. Um festzulegen, dass Exchange nicht autorisierend für diese SMTP-Adresse ist, deaktivieren Sie das Kontrollkästchen Diese Exchange-Organisation ist für die gesamte E-Mail-Übermittlung an diese Adresse verantwortlich. 9. Klicken Sie in Eigenschaften von SMTP-Adresse auf OK. 10. Klicken Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) auf OK. 132 Erstellen eines SMTP-Connectors zur Weiterleitung von E-Mail-Nachrichten an einen bestimmten Host Wenn Microsoft® Exchange Server keine übereinstimmende Adresse im Directory®Verzeichnisdienst finden kann, wird versucht, einen externen Pfad zu dieser Domäne zu finden. Um diesen Pfad zu finden, sucht Exchange Server zunächst nach einem Connector und überprüft dann das Domain Name System (DNS). Sie müssen einen SMTP-Connector erstellen, um die Nachrichten an einen bestimmten Host weiterzuleiten, sofern der MXEintrag (Mail-Exchanger) für diese Domäne nicht bereits auf den Server verweist, auf dem sich das andere Mailsystem befindet. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So erstellen Sie einen SMTP-Connector zum Weiterleiten von Nachrichten an einen bestimmten Host 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Connectors, zeigen Sie auf Neu, und klicken Sie dann auf SMTP-Connector. 3. Geben Sie auf der Registerkarte Allgemein einen geeigneten Namen ein, und klicken Sie dann auf Gesamte Mail über diesen Connector an diese Smarthosts weiterleiten. Geben Sie in eckigen Klammern ([ ]) den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse des Servers ein, an den die E-MailNachrichten für den gemeinsam genutzten SMTP-Adressraum weitergeleitet werden sollen. 4. Klicken Sie auf Hinzufügen, um die Bridgeheadserver zu konfigurieren, und wählen Sie dann die Exchange-Gatewayserver aus, die für diese Domäne E-MailNachrichten über das Internet akzeptieren. 133 5. Klicken Sie auf die Registerkarte Adressraum, klicken Sie auf Hinzufügen, klicken Sie auf SMTP, und klicken Sie dann auf OK. 6. Geben Sie unter E-Mail-Domäne den SMTP-Adressraum ohne das @-Zeichen ein, zum Beispiel fourthcoffee.com, und klicken Sie dann auf OK. Hinweis: Es ist wichtig, die SMTP-Maildomäne genau zu bestimmen. Geben Sie für den SMTP-Connector kein * (Sternchen) ein. Mit der Einstellung * akzeptiert Exchange Server E-Mail-Nachrichten für alle externen Domänen und leitet sie dann extern weiter. Diese Konfiguration ermöglicht die offene Weiterleitung für beliebige Personen im Internet und ist extrem unsicher. 7. Da Exchange Server 2003 auch Nachrichten für diese Domäne empfangen muss, klicken Sie auf der Registerkarte Adressraum auf Weitergabe von Nachrichten an diese Domänen per Relay erlauben, und klicken Sie dann auf OK. Mit dieser Einstellung können alle virtuellen SMTP-Server, die unter Lokale Bridgeheads aufgelistet sind, Nachrichten für diese Domäne akzeptieren. Freigeben aller Adressräume innerhalb der Exchange-Organisation Gehen Sie folgendermaßen vor, um alle Adressräume in der Exchange-Organisation gemeinsam zu nutzen. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So nutzen Sie alle Adressräume in der Exchange-Organisation gemeinsam 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 134 2. Erweitern Sie in der Konsolenstruktur Server, erweitern Sie <Servername>, erweitern Sie Protokolle, und erweitern Sie dann SMTP. 3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften des virtuellen SMTP-Servers auf die Registerkarte Nachrichten. 5. Geben Sie im Feld Alle Nachrichten mit nicht ausgewerteten Empfängern weiterleiten an Host die IP-Adresse oder in eckigen Klammern ([ ]) den vollqualifizierten Domänennamen des Servers ein, der alle Nachrichten erhält, die nicht aufgelöst wurden. Klicken Sie anschließend auf OK. 6. Wiederholen Sie diesen Vorgang für den virtuellen SMTP-Standardserver auf allen Exchange 2003-Servern mit Ausnahme der virtuellen Server, die als Gateway für eingehende Nachrichten des anderen Systems fungieren. Es wird empfohlen, dass sich auf diesem Server keine Postfächer befinden. Konfigurieren einer gesamtstrukturübergreifenden SMTP-MailZusammenarbeit Um gefälschte Identitäten (Spoofing) zu verhindern, erfordert Exchange 2003 eine Authentifizierung, bevor der Name eines Absenders in den Anzeigenamen in der globalen Adressliste (GAL) aufgelöst wird. Aus diesem Grund wird ein Benutzer in einer Organisation, die sich über zwei Gesamtstrukturen erstreckt, beim Senden von Nachrichten von einer Gesamtstruktur in die andere nicht authentifiziert. Außerdem wird der Name des Benutzers nicht in einen Anzeigenamen in der globalen Adressliste (GAL) aufgelöst, auch wenn der Benutzer in der Ziel-Gesamtstruktur als Kontakt vorhanden ist. Für die Aktivierung von gesamtstrukturübergreifenden E-Mail-Nachrichten in Exchange 2003 sind weitere Konfigurationsschritte erforderlich, um Kontakte außerhalb Ihrer Organisation in die Anzeigenamen in Active Directory auflösen zu können. Zum Aktivieren der Auflösung dieser Kontakte stehen zwei Optionen zur Verfügung: Option 1 (empfohlen) Verwenden Sie die Authentifizierung, sodass Benutzer, die EMails von einer Gesamtstruktur in eine andere senden, authentifizierte Benutzer sind, deren Namen in die Anzeigenamen in der globalen Adressliste (GAL) aufgelöst werden. Option 2 Schränken Sie den Zugriff auf den virtuellen SMTP-Server ein, der für gesamtstrukturübergreifende Übertragungen verwendet wird, und konfigurieren Sie Exchange anschließend für die Auflösung von anonymen E-Mail-Nachrichten. Diese 135 Konfiguration wird zwar unterstützt, ihre Verwendung empfiehlt sich jedoch nicht. Standardmäßig werden bei dieser Konfiguration die Exch50-Nachrichteneigenschaften (dies sind die erweiterten Eigenschaften einer Nachricht) bei der Übertragung von E-MailNachrichten zwischen Gesamtstrukturen nicht übernommen. Zum besseren Verständnis der Vorteile einer gesamtstrukturübergreifenden Übertragungskonfiguration sind im Folgenden zwei Beispielszenarien aufgeführt, eines mit anonymer E-Mail-Übertragung und eines mit authentifizierter gesamtstrukturübergreifender E-Mail-Übertragung. Szenario: Anonyme E-Mail-Übertragung E-Mail-Adressen werden bei der anonymen Übertragung nicht aufgelöst. Dadurch kann ein anonymer Benutzer mit einer gefälschten E-Mail-Adresse eines internen Benutzers zwar Nachrichten senden, deren Absenderadresse wird jedoch nicht in den Anzeigenamen der Globalen Adressliste (GAL) aufgelöst. Beispiel: Kim Akers ist als legitimer interner Benutzer bei Contoso, Ltd registriert. Ihr Anzeigename in der GAL ist Kim Akers, und ihre E-Mail-Adresse lautet [email protected]. Kim muss zum Senden von E-Mail-Nachrichten authentifiziert sein. Da sie authentifiziert ist, sehen die Empfänger ihrer Nachrichten, dass Kim der Absender ist. Außerdem werden die Eigenschaften des Benutzers Kim Akers in der Globalen Adressliste (GAL) angezeigt. Wenn jedoch der Benutzer Ted Bremer versucht, eine Nachricht mit einer gefälschten E-MailAdresse zu senden, indem er in der Zeile Von die Adresse [email protected] eingibt und diese Nachricht anschließend an den Exchange 2003-Server von Contoso sendet, wird diese Adresse nicht in den Anzeigenamen von Kim aufgelöst, da Ted nicht authentifiziert ist. Der Absender dieser E-Mail lautet in Microsoft Office Outlook® in diesem Fall [email protected]. Die E-Mail-Adresse wird nicht in den Anzeigenamen Kim Akers aufgelöst, wie dies bei authentifizierten E-Mail-Nachrichten von Kim der Fall ist. Szenario: Gesamtstrukturübergreifende E-Mail-Übertragung Bei diesem Szenario wird von einer Organisation ausgegangen, die sich über zwei Gesamtstrukturen erstreckt: die Gesamtstrukturen Adatum und Fabrikam. Beide Gesamtstrukturen verfügen jeweils über einzelne Domänen. Diese lauten adatum.com und fabrikam.com. Um die gesamtstrukturübergreifende E-Mail-Übertragung zu ermöglichen, sind alle Benutzer der Gesamtstruktur Adatum in Active Directory für die Gesamtstruktur Fabrikam als Kontakte verzeichnet. Ebenso werden alle Benutzer der Gesamtstruktur Fabrikam als Kontakte in Active Directory für die Gesamtstruktur Adatum angezeigt. Wenn ein Benutzer der Adatum-Gesamtstruktur eine Nachricht an die FabrikamGesamtstruktur sendet und diese über eine anonyme Verbindung übertragen wird, wird die Absenderadresse nicht aufgelöst, obwohl der Absender in Active Directory und im Globalen Adressbuch von Outlook als Kontakt vorhanden ist. Dies liegt darin begründet, dass Benutzer aus der Adatum-Gesamtstruktur keine authentifizierten Benutzer in der FabrikamGesamtstruktur sind. 136 Beispiel: Ted Bremer ist ein E-Mail-Benutzer in der Adatum-Gesamtstruktur. Seine E-MailAdresse lautet [email protected], und sein GAL-Anzeigename in Outlook ist Ted Bremer. Adam Barr ist ein Benutzer in der Fabrikam-Gesamtstruktur. Seine E-Mail-Adresse lautet [email protected], und sein Anzeigename im Globalen Adressbuch (GAL) von Outlook ist Adam Barr. Da Adam in der Adatum-Gesamtstruktur als Active Directory-Kontakt festgelegt ist, kann Ted die E-Mail-Nachrichten von Adam anzeigen lassen, und die E-Mail-Adresse von Adam wird im Globalen Adressbuch von Outlook in den Anzeigenamen Adam Barr aufgelöst. Wenn Adam eine E-Mail von Ted erhält, wird die E-Mail-Adresse nicht aufgelöst. Statt des Anzeigenamens von Ted, wie er im Globalen Adressbuch (GAL) eingerichtet ist, sieht Adam lediglich die unaufgelöste E-Mail-Adresse [email protected]. Die E-Mail-Adresse von Ted wird nicht aufgelöst, da er die E-Mail als anonymer Benutzer gesendet hat. Ted ist zwar beim Senden von Nachrichten authentifiziert, die Verbindung zwischen den beiden Gesamtstrukturen ist dies jedoch nicht. Um sicherstellen zu können, dass die gesendeten Nachrichten einer Gesamtstruktur an die Empfänger in anderen Gesamtstrukturen gelangen und die E-Mail-Adressen in die Anzeigenamen im Globalen Adressbuch (GAL) aufgelöst werden, sollte die gesamtstrukturübergreifende E-Mail-Übertragung aktiviert sein. In den folgenden Abschnitten werden die beiden verfügbaren Optionen für die Konfiguration der E-Mail-Übertragung zwischen zwei Gesamtstrukturen beschrieben. Aktivieren der gesamtstrukturübergreifenden Authentifizierung Um die gesamtstrukturübergreifende SMTP-Authentifizierung zu aktivieren, müssen Sie in jeder Gesamtstruktur einen Connector erstellen, der ein authentifiziertes Konto der jeweils anderen Gesamtstruktur verwendet. Dadurch wird bei jeder zwischen den beiden Gesamtstrukturen von einem authentifizierten Benutzer gesendeten E-Mail der Anzeigename in der Globalen Adressliste (GAL) aufgelöst. In diesem Abschnitt wird beschrieben, wie die gesamtstrukturübergreifende Authentifizierung aktiviert wird. Führen Sie die folgenden Schritte unter Verwendung der Beispielgesamtstrukturen Adatum und Fabrikam durch (siehe „Szenario: Gesamtstrukturübergreifende E-Mail-Übertragung“ weiter oben in diesem Thema), um die gesamtstrukturübergreifende Authentifizierung zu aktivieren: 1. Erstellen Sie in der Fabrikam-Gesamtstruktur ein Konto mit der Berechtigung Senden als. (Für die Benutzer der Adatum-Gesamtstruktur existiert auch ein Kontakt in der FabrikamGesamtstruktur. Dadurch können Adatum-Benutzer über dieses Konto authentifizierte EMail-Nachrichten senden.) Konfigurieren Sie diese Berechtigungen auf allen ExchangeServern, die eingehende E-Mail der Adatum-Gesamtstruktur akzeptieren. 2. Erstellen Sie auf einem Exchange-Server in der Adatum-Gesamtstruktur einen Connector, der für dieses Konto Authentifizierung bei ausgehenden Nachrichten erfordert. 137 Um die gesamtstrukturübergreifende Authentifizierung von Fabrikam zu Adatum einzurichten, wiederholen Sie diese Schritte, wobei Sie das Konto in der Adatum-Gesamtstruktur und den Connector in der Fabrikam-Gesamtstruktur erstellen. Schritt 1: Erstellen eines Kontos mit der Berechtigung „Senden als“ in der Zielgesamtstruktur Bevor Sie den Connector in der verbindenden Gesamtstruktur einrichten, müssen Sie ein Konto mit der Berechtigung Senden als in der Zielgesamtstruktur (die Gesamtstruktur, zu der Sie die Verbindung herstellen) erstellen. Richten Sie diese Berechtigungen auf allen Servern der Zielgesamtstruktur ein, die eingehende Verbindungen der anderen Gesamtstruktur akzeptieren. Bei dem in Erstellen des für die gesamtstrukturübergreifende Authentifizierung verwendeten Kontos beschriebenen Verfahren wird erläutert, wie Sie ein Konto in der Fabrikam-Gesamtstruktur und in dem in Konfigurieren eines Connectors und Festlegen einer gesamtstrukturübergreifenden Authentifizierung beschriebenen Verfahren wird beschrieben, wie ein Connector in der Adatum-Gesamtstruktur erstellt wird. Dadurch haben Benutzer der Adatum-Gesamtstruktur die Möglichkeit, Nachrichten an die Fabrikam-Gesamtstruktur zu senden, deren E-Mail-Adressen aufgelöst werden. Schritt 2: Erstellen eines Connectors in der Gesamtstruktur für die Verbindung Nachdem Sie das Konto mit den entsprechenden Berechtigungen in der Ziel-Gesamtstruktur erstellt haben, erstellen Sie in der Gesamtstruktur, die die Verbindung herstellt, einen Connector unter Verwendung des erstellten Kontos, das eine Authentifizierung erfordert. Bei dem in Konfigurieren eines Connectors und Festlegen einer gesamtstrukturübergreifenden Authentifizierung beschriebenen Verfahren wird ein Connector auf einem Exchange-Server der Adatum-Gesamtstruktur erstellt, durch den die Verbindung mit der FabrikamGesamtstruktur hergestellt wird. Aktivieren der gesamtstrukturübergreifenden Übertragung durch Auflösen anonymer E-MailNachrichten Sie können Exchange auch für die Auflösung von Kontakten außerhalb Ihrer Organisation in ihre Anzeigenamen in Active Directory konfigurieren, indem Sie Exchange so einstellen, dass anonyme E-Mail-Nachrichten aufgelöst werden. Im folgenden Beispiel wird eine Organisation verwendet, die sich über zwei Gesamtstrukturen mit den Namen Adatum und Fabrikam erstreckt. 138 Wichtig: Wenn Sie Exchange so konfigurieren, dass anonyme E-Mail-Nachrichten aufgelöst werden, können Benutzer Nachrichten mit falscher Absenderadresse übermitteln. Authentifizierte E-Mail-Nachrichten lassen sich dadurch nicht mehr von gefälschten Nachrichten unterscheiden. Um diesem Problem vorzubeugen, sollten Sie sicherstellen, dass der Zugriff auf den virtuellen SMTP-Server auf die IP-Adressen Ihres Exchange-Servers beschränkt ist. Führen Sie die folgenden Schritte durch, um Adatum-Kontakte in ihre Anzeigenamen in der Fabrikam-Gesamtstruktur aufzulösen. Jeder dieser Schritte wird in den folgenden Abschnitten genauer beschrieben: 1. Erstellen Sie in der Adatum-Gesamtstruktur einen Connector, der eine Verbindung zur Fabrikam-Gesamtstruktur herstellt. 2. Schränken Sie den Zugriff auf den virtuellen SMTP-Server auf dem empfangenden Bridgeheadserver der Fabrikam-Gesamtstruktur nach IP-Adressen ein. Dadurch wird sichergestellt, dass nur Server der Adatum-Gesamtstruktur Nachrichten an diesen Server übermitteln können. 3. Aktivieren Sie auf dem virtuellen SMTP-Server, der als Host des Connectors fungiert, die Einstellung Anonyme E-Mails auflösen. 4. Ändern Sie einen Registrierungsschlüssel, um die erweiterten Nachrichteneigenschaften (Exch50-Eigenschaften) für alle Gesamtstrukturen zu übernehmen. Andernfalls können wichtige Nachrichteninformationen verloren gehen. Nach dem Ausführen dieser Schritte werden alle Benutzer, die E-Mail aus der Gesamtstruktur von Adatum an die Gesamtstruktur von Fabrikam senden, in ihre Anzeigenamen im Globalen Adressbuch (GAL) aufgelöst. In einer Produktionsumgebung würden Sie die Schritte dieses Beispiels für die Fabrikam-Kontakte in der AdatumGesamtstruktur wiederholen. Schritt 1: Erstellen eines Connectors in der Gesamtstruktur für die Verbindung Zunächst muss in der verbindenden Gesamtstruktur ein Connector erstellt werden. Ausführliche Anweisungen finden Sie unter „Erstellen eines Connectors in der verbindungsherstellenden Gesamtstruktur“ in What's New in Exchange Server 2003. Nachdem Sie den Connector erstellt haben, leitet Exchange Server nun alle E-MailNachrichten über diesen Connector an fabrikam.com weiter (die Gesamtstruktur von Fabrikam). 139 Schritt 2: Beschränken der IP-Adressen für den empfangenden Bridgeheadserver Nachdem Sie den Connector in der Gesamtstruktur von Adatum (der Gesamtstruktur für die Verbindung) erstellt haben, müssen Sie den Zugriff auf den empfangenden Bridgeheadserver beschränken. Dazu genehmigen Sie das Senden von E-Mail an den empfangenden Bridgeheadserver in der Gesamtstruktur von Fabrikam nur für IP-Adressen der Verbindungsserver in der Gesamtstruktur von Adatum. Ausführliche Anweisungen finden Sie unter Beschränken des Zugriffs auf den empfangenden Bridgeheadserver nach IP-Adressen. Schritt 3: Auflösen von anonymer E-Mail auf dem virtuellen SMTP-Server Nachdem Sie den Zugriff auf den empfangenden Bridgeheadserver beschränkt haben, müssen Sie den virtuellen SMTP-Server auf diesem Bridgehead für das Auflösen anonymer E-Mail-Adressen konfigurieren. Ausführliche Anweisungen finden Sie unter Konfigurieren eines virtuellen SMTP-Servers für das Auflösen anonymer E-Mail-Adressen. Schritt 4: Aktivieren des Registrierungsschlüssels zum gesamtstrukturübergreifenden Beibehalten der Nachrichteneigenschaften Wie zuvor bereits erläutert wurde, werden die erweiterten Eigenschaften einer Nachricht beim anonymen Senden über Gesamtstrukturen nicht übertragen. Für einzelne Unternehmen, die ein Szenario mit mehreren Gesamtstrukturen implementieren, müssen diese Nachrichteneigenschaften übertragen werden, da Informationen über die Nachricht verloren gehen können. Die SCL-Eigenschaft, eine erweiterte Exchange-Eigenschaft, enthält z. B. eine Spambewertung, die von Lösungen von Drittanbietern erstellt wird. Diese Eigenschaft wird beim anonymen Senden von E-Mail nicht übertragen. Wenn in der Gesamtstruktur von Adatum eine Antispamlösung bereitgestellt wird und eine in dieser Gesamtstruktur empfangene Nachricht für einen Empfänger in der Gesamtstruktur von Fabrikam vorgesehen ist, wird die SCL-Eigenschaft von der Antispamlösung auf die Nachricht gestempelt. Beim Weiterleiten der Nachricht an die Gesamtstruktur von Fabrikam wird die erweiterte Eigenschaft mit der Spambewertung jedoch nicht übernommen. Zum Konfigurieren von Exchange für das Akzeptieren der erweiterten Nachrichteneigenschaften können Sie auf dem empfangenden Bridgeheadserver oder auf dem virtuellen SMTP-Server des Bridgeheads einen Registrierungsschlüssel einrichten. Durch das Aktivieren des Registrierungsschlüssels auf dem Exchange-Server werden alle virtuellen SMTP-Server auf dem Exchange-Server so konfiguriert, dass erweiterte Eigenschaften akzeptiert werden. 140 Konfigurieren des Exchange-Servers für das Akzeptieren von erweiterten Nachrichteneigenschaften bei anonymen Verbindungen Führen Sie das in Aktivieren eines Exchange-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften beschriebene Verfahren aus, um den Exchange-Server für das Akzeptieren von erweiterten Eigenschaften bei anonymen Verbindungen zu konfigurieren. Wenn Ihr Exchange-Server ausschließlich die Funktion eines Bridgeheadservers für die gesamtstrukturübergreifende Kommunikation übernimmt, sollten Sie diese Einstellung auf Serverebene vornehmen. Wenn auf diesem Exchange-Server weitere virtuelle SMTP-Server vorhanden sind, sollten Sie den Registrierungsschlüssel nur auf dem virtuellen SMTP-Server einrichten. Hinweis: Wenn Sie diesen Registrierungsschlüssel auf einem Exchange-Server aktivieren, betrifft die Einstellung alle virtuellen SMTP-Server auf dem Exchange-Server. Wenn Sie diese Einstellung für einen einzelnen virtuellen SMTP-Server konfigurieren möchten, müssen Sie den Registrierungsschlüssel auf dem virtuellen SMTP-Server aktivieren. Hinweis: Die falsche Verwendung des Registrierungs-Editors kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. Konfigurieren eines virtuellen SMTP-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften Führen Sie das in Aktivieren eines virtuellen SMTP-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften beschriebene Verfahren aus, um den virtuellen SMTP-Server auf dem Exchange-Server für das Akzeptieren von erweiterten Eigenschaften zu konfigurieren. Erstellen des für die gesamtstrukturübergreifende Authentifizierung verwendeten Kontos Bevor Sie den Connector in der verbindenden Gesamtstruktur einrichten, müssen Sie ein Konto mit der Berechtigung Senden als in der Zielgesamtstruktur (die Gesamtstruktur, zu der Sie die Verbindung herstellen) erstellen. Richten Sie diese Berechtigungen auf allen Servern 141 der Zielgesamtstruktur ein, die eingehende Verbindungen der anderen Gesamtstruktur akzeptieren. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So erstellen Sie ein Konto für die gesamtstrukturübergreifende Authentifizierung 1. Erstellen Sie in der Zielgesamtstruktur (in diesem Fall Fabrikam) in Active DirectoryBenutzer und -Computer ein Benutzerkonto. Dieses Konto muss aktiv sein, jedoch werden die folgenden Berechtigungen nicht benötigt: lokale Anmeldung und Anmeldung über Terminalserver. 2. Richten Sie auf jedem Exchange-Server, der eingehende Verbindungen der verbindenden Gesamtstruktur akzeptiert, die Berechtigung Senden als für dieses Konto ein. Hinweis: Gehen Sie beim Erstellen der Kennwortrichtlinien sorgfältig vor. Wenn Sie das Kennwort so einrichten, dass es abläuft, sollten Sie eine Richtlinie verwenden, durch die sich das Kennwort vor dem Ablaufzeitpunkt ändert. Wenn das Kennwort für dieses Konto abläuft, kann die gesamtstrukturübergreifende Authentifizierung nicht ausgeführt werden. 3. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 4. Erweitern Sie in der Konsolenstruktur das Element Server. Klicken Sie mit der rechten Maustaste auf einen Exchange-Server, der eingehende Verbindungen einer Gesamtstruktur akzeptiert, und klicken Sie anschließend auf Eigenschaften. 5. Klicken Sie in den Eigenschaften für <Servername> auf der Registerkarte Sicherheit auf Hinzufügen. 6. Fügen Sie das vorher erstellte Konto in Benutzer, Computer oder Gruppen auswählen hinzu, und klicken Sie anschließend auf OK. 142 7. Wählen Sie das Konto auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus. 8. Aktivieren Sie unter Berechtigungen für Connector neben dem Eintrag Senden als das Kontrollkästchen Zulassen. Zulassen der Berechtigung „Senden als“ für einen Connector Konfigurieren eines Connectors und Festlegen einer 143 gesamtstrukturübergreifenden Authentifizierung Wenn Sie einen Microsoft® Exchange Server zum anonymen Auflösen von E-Mail in einem gesamtstrukturübergreifenden Szenario konfigurieren, muss ein Connector mit einer direkten Verbindung zur Gesamtstruktur erstellt werden, aus der E-Mail empfangen werden soll. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So konfigurieren Sie einen Connector und fordern eine gesamtstrukturübergreifende Authentifizierung an 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Connectors, zeigen Sie auf Neu, und klicken Sie dann auf SMTP-Connector. 3. Geben Sie auf der Registerkarte Allgemein im Feld Name einen Namen für den Connector ein. 4. Klicken Sie auf Gesamte Mail über diesen Connector an diese Smarthosts weiterleiten, und geben Sie den FQDN oder die IP-Adresse des empfangenden Bridgeheadservers ein. 5. Klicken Sie auf Hinzufügen, und wählen Sie einen lokalen Bridgeheadserver und einen virtuellen SMTP-Server für die Bereitstellung des Connectors aus. Registerkarte „Allgemein“ im Dialogfeld „Eigenschaften“ eines virtuellen SMTP-Servers 144 6. Klicken Sie auf der Registerkarte Adressraum auf Hinzufügen, wählen Sie SMTP aus, und klicken Sie dann auf OK. 7. Geben Sie unter Internet-Adressraumeigenschaften die Domäne der Gesamtstruktur ein, mit der Sie eine Verbindung herstellen möchten, und klicken Sie dann auf OK. Da in diesem Beispiel der Connector aus der Gesamtstruktur von Adatum an die Gesamtstruktur von Fabrikam sendet, stimmt der Adressraum mit der Domäne der Gesamtstruktur, fabrikam.com, überein. Dialogfeld „Internet-Adressraumeigenschaften“ 145 Exchange leitet nun alle E-Mails über diesen Connector an fabrikam.com weiter (die Gesamtstruktur von Fabrikam). 8. Klicken Sie auf der Registerkarte Erweitert auf Ausgehende Sicherheit. 9. Klicken Sie auf Integrierte Windows-Authentifizierung. Schaltfläche „Integrierte Windows-Authentifizierung“ im Dialogfeld „Ausgehende Sicherheit“ 146 10. Klicken Sie auf Ändern. 11. Legen Sie im Dialogfeld Anmeldeinformationen für ausgehende Verbindungen in den Feldern Konto, Kennwort und Kennwort bestätigen das Konto und das Kennwort der Zielgesamtstruktur (in diesem Fall Fabrikam) fest. Dieses Konto muss ein authentifiziertes Fabrikam-Konto sein und über die Berechtigung Senden als verfügen. Verwenden Sie für den Kontonamen das folgende Format: Domäne\Benutzername, wobei Folgendes gilt: Domäne ist eine Domäne in der Zielgesamtstruktur. Benutzername gibt ein Konto in der Ziel-Gesamtstruktur wieder, das auf allen Exchange-Servern der Ziel-Gesamtstruktur, die eingehende E-Mail-Nachrichten dieses Connectors akzeptieren, über die Berechtigung Senden als verfügt. Dialogfeld „Anmeldeinformationen für ausgehende Verbindungen“ 12. Klicken Sie auf OK. Beschränken des Zugriffs auf den empfangenden Bridgeheadserver nach IPAdressen Durch Beschränken des Zugriffs auf den virtuellen SMTP-Server nach IP-Adresse, können Sie sicherstellen, dass nur Server von einer bestimmten IP-Adresse E-Mail an einen Exchange-Bridgeheadserver senden können. 147 Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So beschränken Sie den Zugriff auf den empfangenden Bridgeheadserver nach IPAdressen 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur Server, erweitern Sie <Name des Bridgeheadservers>, erweitern Sie Protokolle, und erweitern Sie dann SMTP. 3. Klicken Sie mit der rechten Maustaste auf den gewünschten virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Zugriff auf Verbindung. 5. Klicken Sie unter Verbindung auf Nur Computer in der Liste unten, um den Zugriff auf eine angegebene Liste von IP-Adressen zu beschränken. 6. Klicken Sie auf Hinzufügen, und führen Sie dann einen der folgenden Schritte aus: Klicken Sie auf Einzelner Computer, und geben Sie im Feld IP-Adresse die IPAdresse des verbindenden Exchange-Servers in der Gesamtstruktur „Adatum“ (der verbindungsherstellenden Gesamtstruktur) ein. Wiederholen Sie diesen Schritt für jeden Computer in der Gesamtstruktur von Adatum. 7. Klicken Sie auf Gruppe von Computern, und geben Sie in den Feldern Subnetadresse und Subnetmask die Teilnetzadressen und die Subnetmasks für die Gruppe von Computern ein, auf denen Connectors für die Gesamtstruktur von Fabrikam bereitgestellt werden. 148 Konfigurieren eines virtuellen SMTPServers für das Auflösen anonymer E-MailAdressen Eine Möglichkeit zum Konfigurieren von Exchange Server für die Auflösung von Kontakten außerhalb der Organisation in ihre Anzeigenamen in Active Directory besteht darin, den virtuellen SMTP-Server so zu konfigurieren, dass anonyme E-Mail-Adressen aufgelöst werden. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So konfigurieren Sie einen virtuellen SMTP-Server für das Auflösen anonymer E-MailAdressen 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur Server, erweitern Sie <Name des Bridgeheadservers>, erweitern Sie Protokolle, und erweitern Sie dann SMTP. 3. Klicken Sie mit der rechten Maustaste auf den gewünschten virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Zugriff auf Authentifizierung. 5. Vergewissern Sie sich unter Authentifizierung, dass das Kontrollkästchen Anonymer Zugriff aktiviert ist, und aktivieren Sie dann das Kontrollkästchen Anonyme E-Mails auflösen. 149 Aktivieren eines Exchange-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften Erweiterte Eigenschaften einer Nachricht werden beim anonymen Senden über Gesamtstrukturen nicht übertragen. Viele kleine Organisationen jedoch, die ein gesamtstrukturübergreifendes Szenario implementieren, müssen Nachrichteneigenschaften übertragen, da diese Informationen andernfalls verloren gehen. Die SCL-Eigenschaft (Spam Confidence Level), eine erweiterte Exchange ServerEigenschaft, enthält z. B. eine Spambewertung, die von Lösungen von Drittanbietern erstellt wird. Diese Eigenschaft wird beim anonymen Senden von E-Mail nicht übertragen. Wenn in einer Gesamtstruktur eine Antispamlösung bereitgestellt wird und eine in dieser Gesamtstruktur empfangene Nachricht für einen Empfänger in einer anderen Gesamtstruktur vorgesehen ist, wird die SCL-Eigenschaft von der Antispamlösung auf die Nachricht gestempelt. Wenn die Nachricht jedoch übertragen wird, wird die erweiterte Eigenschaft nicht übernommen. Zum Konfigurieren von Exchange Server für das Akzeptieren der erweiterten Nachrichteneigenschaften müssen Sie auf dem empfangenden Bridgeheadserver des Bridgeheads einen Registrierungsschlüssel aktivieren. Dadurch können alle ExchangeServer erweiterte Eigenschaften anonym annehmen. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe Verfahren So aktivieren Sie einen Exchange-Server zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften 1. Starten Sie den Registrierungs-Editor: Klicken Sie auf Start, anschließend auf Ausführen, und geben Sie dann regedit ein. 2. Navigieren Sie in der Konsolenstruktur zum folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\ XEXCH50 150 3. Klicken Sie mit der rechten Maustaste auf XEXCH50, zeigen Sie auf Neu aus, und klicken Sie dann auf DWORD-Wert. 4. Geben Sie im Detailausschnitt für den Wertnamen die Zeichenfolge Exch50AuthCheckEnabled ein. In der Standardeinstellung ist dieser Wert 0. Dadurch wird angezeigt, dass die XEXCH50-Eigenschaften beim anonymen Senden von E-Mail übertragen werden. Aktivieren eines virtuellen SMTP-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften Erweiterte Eigenschaften einer Nachricht werden beim anonymen Senden über Gesamtstrukturen nicht übertragen. Viele kleine Organisationen jedoch, die ein gesamtstrukturübergreifendes Szenario implementieren, müssen Nachrichteneigenschaften übertragen, da diese Informationen andernfalls verloren gehen. Die SCL-Eigenschaft (Spam Confidence Level), eine erweiterte Exchange ServerEigenschaft, enthält z. B. eine Spambewertung, die von Lösungen von Drittanbietern erstellt wird. Diese Eigenschaft wird beim anonymen Senden von E-Mail nicht übertragen. Wenn in einer Gesamtstruktur eine Antispamlösung bereitgestellt wird und eine in dieser Gesamtstruktur empfangene Nachricht für einen Empfänger in einer anderen Gesamtstruktur vorgesehen ist, wird die SCL-Eigenschaft von der Antispamlösung auf die Nachricht gestempelt. Wenn die Nachricht jedoch übertragen wird, wird die erweiterte Eigenschaft nicht übernommen. Zum Konfigurieren von Exchange Server für das Akzeptieren der erweiterten Nachrichteneigenschaften können Sie auf dem empfangenden Bridgeheadserver oder auf dem virtuellen SMTP-Server des Bridgeheads einen Registrierungsschlüssel aktivieren. Dadurch können alle virtuellen SMTP-Server erweiterte Eigenschaften anonym annehmen. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist 151 Verfahren So aktivieren Sie einen virtuellen SMTP-Server zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften 1. Starten Sie den Registrierungs-Editor: Klicken Sie auf Start, anschließend auf Ausführen, und geben Sie dann regedit ein. 2. Navigieren Sie in der Konsolenstruktur zum folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\ XEXCH50 3. Klicken Sie mit der rechten Maustaste auf XEXCH50, zeigen Sie auf Neu, und klicken Sie anschließend auf Schlüssel. 4. Geben Sie als Schlüsselwert die Nummer der virtuellen SMTP-Serverinstanz ein. Die Standardinstanz für virtuelle SMTP-Server ist beispielsweise 1, und der zweite auf einem Server erstellte virtuelle SMTP-Server erhält die Instanznummer 2. 5. Klicken Sie mit der rechten Maustaste auf den soeben erstellen Schlüssel, zeigen Sie auf Neu, und klicken Sie auf DWORD-Wert. 6. Geben Sie im Detailausschnitt für den Wertnamen die Zeichenfolge Exch50AuthCheckEnabled ein. In der Standardeinstellung ist dieser Wert 0. Dadurch wird angezeigt, dass die XEXCH50-Eigenschaften beim anonymen Senden von E-Mail übertragen werden. Konfigurieren eines Windows Server 2003Servers als Relayserver oder Smarthost Wenn Microsoft® Windows Server™ 2003 als SMTP-Relayserver verwendet wird, wird dieser mit einer öffentlichen Standarddomäne konfiguriert. Darüber hinaus wird in seiner Konfiguration festgelegt, dass er Nachrichten nur für SMTP-Maildomänen innerhalb der Exchange Server-Organisation per Relay weiterleitet. Nachrichten an andere Domänen werden also nicht per Relay weitergeleitet. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Bereitstellungsszenarios für Internetverbindungen. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: 152 Mitglied der lokalen Administratorgruppe Verfahren So konfigurieren Sie einen Windows Server 2003-Servern als Relayserver oder Smarthost 1. Stellen Sie sicher, dass SMTP auf dem Microsoft Windows Server 2003-Server installiert ist. So überprüfen Sie, ob SMTP installiert ist: a. Doppelklicken Sie in der Systemsteuerung auf Software und anschließend auf Windows-Komponenten hinzufügen/entfernen. b. Wählen Sie unter Komponenten die Komponente Internetinformationsdienste (IIS) aus, und klicken Sie dann auf Details. c. Stellen Sie unter Unterkomponenten von „Internetinformationsdienste (IIS) sicher, dass das Kontrollkästchen SMTP-Dienst aktiviert ist. Aktivieren Sie das Kontrollkästchen, wenn es deaktiviert ist, klicken Sie auf OK, und folgen Sie den Installationsanweisungen bis zum Abschluss der Installation. 2. Fügen Sie im Internetdienste-Manager die SMTP-Maildomäne hinzu, für die der Windows-Server Nachrichten per Relay weiterleiten soll. So fügen Sie die SMTPDomäne hinzu a. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetdienste-Manager. b. Erweitern Sie den gewünschten Server, und erweitern Sie anschließend den virtuellen Standard-SMTP-Server. Der virtuelle Standard-SMTP-Server verfügt standardmäßig über eine lokale Domäne mit dem vollqualifizierten Domänennamen des Servers. c. Um die SMTP-Domäne für eingehende E-Mail zu erstellen, klicken Sie mit der rechten Maustaste auf Domänen, zeigen Sie auf Neu, und klicken Sie dann auf Domäne. d. Klicken Sie im Assistenten für neue SMTP-Domänen auf Remote als Domänentyp, und klicken Sie dann auf Weiter. e. Geben Sie im Feld Name den Domänennamen der SMTP-Maildomäne für die Exchange-Organisation ein. f. Klicken Sie auf Fertig stellen. 3. Konfigurieren Sie die neu erstellte SMTP-Maildomäne für die Weiterleitung: a. Klicken Sie im Internetdienste-Manager mit der rechten Maustaste auf die SMTPMaildomäne und dann auf Eigenschaften. b. Aktivieren Sie die Option Relay eingehender Nachrichten an diese Domäne 153 erlauben. c. Aktivieren Sie die Option Gesamte E-Mail an Smarthost weiterleiten, und geben Sie dann die IP-Adresse in eckigen Klammern ([ ]) oder den vollqualifizierten Domänennamen des Exchange-Servers ein, der für das Empfangen von E-Mail an die Domäne zuständig ist. Eine mögliche Eingabe für eine IP-Adresse wäre beispielsweise [123.123.123.123]. d. Klicken Sie auf OK. 4. Legen Sie die Hosts fest, die E-Mail per offenem Relay an alle Domänen weiterleiten: a. Klicken Sie im Internetdienste-Manager mit der rechten Maustaste auf Virtueller Standardserver, und klicken Sie anschließend auf Eigenschaften. b. Klicken Sie auf der Registerkarte Zugriff auf Relay. c. Aktivieren Sie Nur Computer in der Liste unten, klicken Sie auf Hinzufügen, und fügen Sie anschließend die Hosts hinzu, die den SMTP-Server für das Senden von E-Mail verwenden. d. Legen Sie unter Einzelner Computer die IP-Adresse des ExchangeBridgeheadservers fest, der für die Relay-Weitergabe unter Verwendung dieses SMTP-Servers eingesetzt werden soll. Klicken Sie auf DNS-Lookup, um die IPAdresse des angegebenen Servers zu ermitteln. Weitere Informationen Weitere Informationen zum Konfigurieren eines Windows-Servers als Relayserver oder Smarthost finden Sie im Microsoft Knowledge Base-Artikel 293800, „XCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart HostXCON: SO WIRD'S GEMACHT: Installieren von Windows 2000 als SMTP-Relay-Server oder Smarthost“. Herstellen einer Verbindung mit dem Internet Nachdem Sie nun interne E-Mail-Nachrichten konfiguriert und Informationen über die verschiedenen Szenarios für Internetverbindungen erhalten haben, können Sie eine Internetverbindung für die Exchange-Organisation einrichten. Dieser Abschnitt enthält Konfigurationsverfahren für die Microsoft® Exchange Server 2003-Organisation zum Senden und Empfangen von Internet-E-Mail. Insbesondere erhalten Sie Informationen zu folgenden Themen: 154 Überprüfen der ordnungsgemäßen Installation von SMTP Bevor Sie eine Verbindung mit dem Internet herstellen, überprüfen Sie, ob SMTP (Simple Mail Transfer Protocol) ordnungsgemäß auf dem Exchange-Server funktioniert. Verwenden eines Assistenten zum Konfigurieren der Übermittlung von Internet-EMail Der Internet Mail-Assistent ist hauptsächlich für kleine und mittlere Unternehmen mit weniger komplexen Umgebungen als in Großunternehmen konzipiert. Manuelles Konfigurieren der Übermittlung von Internet-E-Mail In Umgebungen von Großunternehmen müssen Sie die Übermittlung von Internet-E-Mail möglicherweise entsprechend den Sicherheitsrichtlinien der Organisation manuell konfigurieren. Bei der manuellen Konfiguration von Internet-E-Mail ist das Einrichten von Exchange zum Senden und Empfangen von Internet-E-Mail mit einer Reihe eigener Aufgaben verbunden. Verwenden des Internet Mail-Assistenten zum Konfigurieren der Übermittlung von Internet-E-Mail Mit Exchange Server 2003 wird eine neue Version des Assistenten für Internet-E-MailNachrichten implementiert, der das Konfigurieren von Internet-E-Mail-Verbindungen mit Exchange Server 2003 und Exchange 2000 Server erleichtert. Mit dem Assistenten für Internet-E-Mail-Nachrichten können Sie einen Exchange-Server für das Senden von InternetE-Mail-Nachrichten, Empfangen von Internet-E-Mail-Nachrichten oder Senden und Empfangen von Internet-E-Mail-Nachrichten konfigurieren. Wenn Sie den Assistenten für Internet-E-Mail-Nachrichten verwenden, müssen Sie außerdem den SMTP-Connector und den virtuellen SMTP-Server nicht manuell konfigurieren. Der Assistent für Internet-E-MailNachrichten erstellt automatisch den erforderlichen SMTP-Connector für ausgehende Internet-E-Mail-Nachrichten und konfiguriert den virtuellen SMTP-Server für das Annehmen von eingehenden Nachrichten. Mithilfe des Assistenten für Internet-E-Mail-Nachrichten können Sie Exchange für das Senden, das Empfangen oder das Senden und Empfangen von Internet-E-Mail-Nachrichten konfigurieren. Beachten Sie, dass Sie den Internet Mail-Assistenten für große oder komplexe Messagingumgebungen nicht verwenden können. Sie müssen Exchange in komplexen Umgebungen manuell für die Übermittlung von Internet-E-Mail-Nachrichten konfigurieren. Ausführliche Anweisungen finden Sie unter Verwenden des Assistenten für Internet-E-MailNachrichten. 155 Konfigurieren eines mit zwei Netzwerken verbundenen Servers mithilfe des Assistenten Wenn Sie die Übermittlung von Internet-E-Mail auf einem mit zwei Netzwerken verbundenen Server (ein mit mindestens zwei Netzwerkadressen konfigurierter Server, normalerweise mit zwei Netzwerkschnittstellenkarten) mit dem Internet Mail-Assistenten konfigurieren, führt der Assistent die unter Verwenden des Assistenten für Internet-E-Mail-Nachrichten beschriebenen Konfigurationsschritte durch. Der Assistent erstellt auch auf dem Exchange-Server einen weiteren virtuellen SMTP-Server. Er ermöglicht die Übermittlung von Internet-E-Mail auf dem virtuellen SMTP-Server wie folgt: Um einen Server zum Senden von Internet-E-Mail-Nachrichten einzurichten, leitet Sie der Assistent durch den Vorgang des Zuweisens der Intranet-IP-Adresse an den virtuellen SMTP-Server, auf dem der Assistent den SMTP-Connector zum Senden ausgehender Nachrichten erstellt. Sie weisen diesem virtuellen Server die Intranet-IP-Adresse zu, damit nur interne Benutzer in Ihrem Intranet ausgehende Nachrichten senden können. Um einen Server für den Empfang von Internet-E-Mail einzurichten, leitet Sie der Assistent durch den Vorgang des Zuweisens der Internet-IP-Adresse an den virtuellen SMTP-Internetserver. Sie weisen diesem virtuellen Server eine Internet-IP-Adresse zu, da externe Server zum Senden von Internet-E-Mail eine Verbindung mit diesem virtuellen SMTP-Server herstellen müssen. Darüber hinaus muss auf einem Internet-DNS-Server ein MX-Eintrag vorhanden sein, der auf Ihren Server und die IP-Adresse des virtuellen SMTP-Internetservers verweist. Wichtig: Verwenden Sie zum Erhöhen der Sicherheit auf einem mit zwei Netzwerken verbundenen Server IPSec-Richtlinien (Internet Protocol Security), um Anschlüsse auf der Internet-Netzwerkschnittstellenkarte (Network Interface Card – NIC) zu filtern und die Anmeldung von Benutzern auf diesem Server strengen Einschränkungen zu unterwerfen. Weitere Informationen über IPSec finden Sie in der WindowsDokumentation. Verwenden des Assistenten für Internet-EMail-Nachrichten Mithilfe des Assistenten für Internet-E-Mail-Nachrichten können Sie Exchange für das Senden, das Empfangen oder das Senden und Empfangen von Internet-E-Mail-Nachrichten konfigurieren. Beachten Sie, dass Sie den Assistenten für Internet-E-Mail-Nachrichten für große oder komplexe Messagingumgebungen nicht verwenden können. Sie müssen 156 Exchange in komplexen Umgebungen manuell für die Übermittlung von Internet-E-MailNachrichten konfigurieren. Mit Exchange Server 2003 wird eine neue Version des Assistenten für Internet-E-MailNachrichten implementiert, der das Konfigurieren von Internet-E-Mail-Verbindungen mit Exchange Server 2003 und Exchange 2000 Server erleichtert. Mit dem Assistenten für Internet-E-Mail-Nachrichten können Sie einen Exchange-Server für das Senden von InternetE-Mail-Nachrichten, Empfangen von Internet-E-Mail-Nachrichten oder Senden und Empfangen von Internet-E-Mail-Nachrichten konfigurieren. Wenn Sie den Assistenten für Internet-E-Mail-Nachrichten verwenden, müssen Sie außerdem den SMTP-Connector und den virtuellen SMTP-Server nicht manuell konfigurieren. Der Assistent für Internet-E-MailNachrichten erstellt automatisch den erforderlichen SMTP-Connector für ausgehende Internet-E-Mail-Nachrichten und konfiguriert den virtuellen SMTP-Server für das Annehmen von eingehenden Nachrichten. Hinweis: Wenn Sie bereits SMTP-Connectors eingerichtet, die IP-Adresse oder Anschlussnummer des SMTP-Standardservers geändert oder zusätzliche virtuelle SMTP-Server auf dem Exchange-Server erstellt haben, können Sie den Internet Mail-Assistenten nicht ausführen. Dazu müssen Sie zunächst die Serverkonfiguration auf die Standardeinstellungen zurücksetzen. Wichtig: Der Assistent für Internet-E-Mail-Nachrichten wurde in erster Linie für kleine und mittlere Unternehmen konzipiert, deren Umgebung weniger komplex als in Großunternehmen strukturiert ist. Für eine komplexe Messagingumgebung oder eine Messagingumgebung eines Großunternehmens sollten Sie Exchange manuell für die Übermittlung von Internet-E-Mail-Nachrichten konfigurieren. Weitere Informationen zum manuellen Konfigurieren finden Sie unter „Manuelles Konfigurieren von Exchange Server für die Übermittlung von Internet-E-Mail-Nachrichten“ weiter unten in diesem Kapitel. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Der Assistent für Internet-E-Mail-Nachrichten konfiguriert automatisch den virtuellen SMTPServer und SMTP-Connector für die Übermittlung von Internet-E-Mail-Nachrichten. Sie 157 müssen jedoch vor dem Ausführen des Assistenten die Aufgaben ausführen, die in dieser Tabelle aufgeführt sind. Voraussetzungen für das Ausführen des Assistenten für Internet-E-Mail-Nachrichten Schritt Aufgabe Anmerkungen 1 Überprüfen Sie, ob SMTP ordnungsgemäß auf dem Exchange-Server installiert ist. Weitere Informationen zum Überprüfen der ordnungsgemäßen Einrichtung von SMTP finden Sie unter Ordnungsgemäßes Laden von SMTP für Exchange. 158 Schritt Aufgabe Anmerkungen 2 Stellen Sie sicher, dass DNS ordnungsgemäß konfiguriert ist. Zum Senden von Internet-EMail-Nachrichten muss der vom Exchange-Server verwendete DNS-Server externe Adressen auflösen können. Zum Empfangen von Internet-E-Mail-Nachrichten benötigen Sie einen MXRessourceneintrag (Mail Exchanger). Dieser Eintrag muss auf die IP-Adresse des virtuellen SMTP-Servers verweisen, der eingehende Internet-E-Mail-Nachrichten empfängt. Außerdem muss der Zugriff auf den Mailserver über das Internet möglich sein, damit andere DNSServer den MX-Eintrag auflösen können. Weitere Informationen zum Überprüfen der ordnungsgemäßen Konfiguration von DNS finden Sie unter „Konfigurieren von DNS für ausgehende Nachrichten“ unter Überprüfen des DNSDesigns und der Konfiguration. Verfahren So verwenden Sie den Assistenten für Internet-E-Mail-Nachrichten 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf die Exchange-Organisation, und klicken Sie anschließend auf den Assistenten für Internet-E-Mail-Nachrichten. 159 Hinweis: Sie müssen den Assistenten für Internet-E-Mail-Nachrichten mit der Version des Exchange-System-Managers ausführen, die in Exchange Server 2003 enthalten ist. 2. Folgen Sie den Anweisungen des Assistenten, um die zum Konfigurieren der Übermittlung von Internet-E-Mail-Nachrichten erforderlichen Aufgaben auszuführen. Die Konfigurationselemente werden in den folgenden Tabellen dargestellt: Verwenden des Assistenten für Internet-E-Mail-Nachrichten zum Konfigurieren des Sendens von Nachrichten Verwenden des Assistenten für Internet-E-Mail-Nachrichten zum Konfigurieren des Nachrichtenempfangs Verwenden des Assistenten für Internet-E-Mail-Nachrichten zum Konfigurieren des Sendens von Nachrichten Aufgabe Anmerkungen Auswählen eines Exchange-Servers in der Sie können den Assistenten nicht auf Organisation zum Senden von Internet-E- einem Server ausführen, auf dem Sie Mail-Nachrichten bereits SMTP-Connectors eingerichtet oder zusätzliche virtuelle SMTP-Server erstellt haben. Sie können den Assistenten nur zum Festlegen von Exchange 2000-Servern oder Servern neuerer Versionen verwenden. Festlegen eines Bridgeheadservers Hierbei handelt es sich um den ExchangeServer und den virtuellen SMTP-Server auf diesem Server. Der Assistent erstellt auf dem ausgewählten virtuellen SMTPServer und dem Exchange-Server einen SMTP-Connector. Der Bridgeheadserver für ausgehende Nachrichten verarbeitet alle über diesen Connector gesendeten Nachrichten. 160 Konfigurieren eines SMTP-Connectors zum Senden von Internet-E-MailNachrichten Stellen Sie sicher, dass auf dem virtuellen SMTP-Server offene Relays deaktiviert sind. Der Assistenten für Internet-E-MailNachrichten führt Sie durch den Vorgang der Konfiguration des SMTP-Connectors. Folgende Optionen stehen zur Verfügung: Sie können die Übermittlung von Internet-E-Mail-Nachrichten für alle externen Domänen zulassen oder auf bestimmte Domänen beschränken. Sie können festlegen, ob der SMTP-Connector ausgehende Nachrichten mit DNS sendet, um die Namen externer Domänen aufzulösen, oder ob er einen Smart Host verwendet, der für das Auflösen externer Namen und die Übermittlung von Nachrichten zuständig ist. Bei einer Konfiguration für offenes Relay können externe Benutzer Ihren Server zum Senden von unerwünschten kommerziellen E-Mail-Nachrichten (auch als „Spam“ bezeichnet) verwenden. Dies führt möglicherweise dazu, dass andere autorisierte Server Nachrichten von Ihrem Exchange-Server blockieren. Wenn offenes Relay auf dem Server deaktiviert ist, können ausschließlich authentifizierte Benutzer mit diesem Server Nachrichten an das Internet senden. Verwenden des Assistenten für Internet-E-Mail-Nachrichten zum Konfigurieren des Nachrichtenempfangs Aufgabe Anmerkungen 161 Auswählen eines Exchange-Servers in der Organisation zum Empfangen von Internet-E-Mail-Nachrichten Sie können den Assistenten nicht auf einem Server ausführen, auf dem Sie bereits SMTP-Connectors eingerichtet oder zusätzliche virtuelle SMTP-Server erstellt haben. Sie können den Assistenten nur zum Festlegen von Exchange 2000-Servern oder Servern neuerer Versionen verwenden. Konfigurieren eines SMTP-Servers zum Empfangen von Internet-E-MailNachrichten Um eingehende Internet-E-MailNachrichten zu empfangen, darf der Server über nur einen virtuellen SMTPServer verfügen, und dieser virtuelle Server muss die Standard-IP-Adresse Alle nicht zugewiesen und den zugewiesenen TCP-Anschluss 25 aufweisen. Wenn auf dem Exchange-Server mehrere virtuelle SMTP-Server vorhanden sind oder die IPAdresse bzw. der zugewiesene Anschluss von den Standardeinstellungen abweichen, werden die nächsten Schritte des Assistenten nicht ausgeführt. Sie können dann entweder den ExchangeServer auf die Standardkonfiguration zurücksetzen und den Assistenten erneut ausführen, oder Sie können Exchange mithilfe des Exchange-System-Managers manuell konfigurieren. Sicherstellen, dass der virtuelle SMTPServer anonymen Zugriff zulässt Andere Server im Internet müssen eine anonyme Verbindung mit Ihrem virtuellen SMTP-Server herstellen können. Daher muss der anonyme Zugriff auf Ihrem virtuellen SMTP-Server zulässig sein. Wenn der anonyme Zugriff nicht eingerichtet ist, leitet Sie der Assistent durch den Vorgang der Aktivierung des anonymen Zugriffs. 162 Konfigurieren der Empfängerrichtlinien mit Die SMTP-Domänen, für die Sie Internetden SMTP-Domänen, für die eingehende E-Mail empfangen möchten, werden im Nachrichten empfangen werden sollen Exchange-System-Manager in Empfängerrichtlinien konfiguriert. Für jede SMTP-Domäne, für die Sie InternetE-Mail-Nachrichten annehmen möchten, muss eine Empfängerrichtlinie konfiguriert werden, und Exchange muss für diese Domäne autorisierend sein, oder Sie benötigen einen Connector für diese Domäne, für den das Relay zulässig ist. Wenn Ihre Standardrichtlinie die richtige E-Mail-Domäne für Ihre Organisation enthält, verwenden Sie diese Richtlinie. Wenn Sie im Exchange-System-Manager mehrere Empfängerrichtlinien erstellt haben, können Sie mit diesem Assistenten keine weiteren Empfängerrichtlinien erstellen. In diesem Fall müssen Sie zum Hinzufügen oder Ändern von Empfängerrichtlinien den ExchangeSystem-Manager verwenden. Weitere Informationen zur manuellen Konfiguration von Empfängerrichtlinien finden Sie unter „Konfigurieren von Empfängerrichtlinien“ unter Manuelles Konfigurieren von Exchange Server für die Übermittlung von Internet-E-Mail. Denken Sie daran, dass die DNS-Server in der Lage sein müssen, alle Domänennamen lokal oder mithilfe einer konfigurierten Weiterleitung in DNS aufzulösen. Wenn die DNS-Server keine Domänennamen auflösen können, kann Exchange E-Mail-Nachrichten nicht verarbeiten. 163 Ordnungsgemäßes Laden von SMTP für Exchange Zur ordnungsgemäßen Übertragung von E-Mail-Nachrichten muss SMTP mit allen erforderlichen Befehlen auf dem Exchange-Server installiert sein. Überprüfen Sie bei E-MailProblemen zuerst die grundlegenden Funktionen der SMTP-Installation. Wenn die Kommunikation eines Exchange-Servers anhand von SMTP erfolgt, muss der Zugriff auf Anschluss 25 möglich sein. Wenn SMTP richtig konfiguriert ist, stellt Exchange erweiterte SMTP-Verben für eine ordnungsgemäße Kommunikation bereit. Diese Verben werden in der IIS-Metabase (Internetinformationsdienste) und in Exchange-Ereignissenken gesteuert. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Führen Sie einen Telnet-Test aus, um zu ermitteln, ob die richtigen erweiterten ExchangeVerben geladen sind. Verwenden Sie zum Ausführen des Tests einen Telnet-Befehl auf Anschluss 25 mit der IP-Adresse des Exchange-Servers. Geben Sie z. B. Folgendes an der Eingabeaufforderung ein: telnet <Server-IP-Adresse> 25 Hierbei steht Server-IP-Adresse für die IP-Adresse des Exchange-Servers und 25 gibt die Verbindung zum TCP-Anschluss 25 an. Das folgende Beispiel zeigt einen Telnet-Befehl, mit dem die Verbindung zu Anschluss 25 eines Servers mit der IP-Adresse 172.16.0.1 hergestellt wird: telnet 172.16.0.1 25 Geben Sie anschließend ehlo <Servername> ein. Hierbei ist Servername der Fully Qualified Domain Name (FQDN – vollqualifizierter Domänenname) Ihres Exchange-Servers. Der Exchange-Server gibt daraufhin eine Liste der unterstützten SMTP- und ESMTP-Verben zurück. 164 Verfahren So laden Sie SMTP von Exchange ordnungsgemäß 1. Deinstallieren Sie IIS. 2. Löschen Sie die Datei metabase.bin. 3. Starten Sie den Server neu. 4. Installieren Sie IIS erneut. 5. Installieren Sie das aktuelle Windows 2000 Service Pack neu, wenn Sie Exchange auf einem Windows 2000-Server ausführen. 6. Installieren Sie Exchange Server neu. Bei einer erneuten Installation von Exchange werden alle fehlenden Dateien ersetzt. Die Einstellungen auf dem Exchange-Server werden nicht beeinträchtigt. 7. Installieren Sie alle Exchange Service Packs sowie alle sonstigen zu Exchange gehörenden Programmaktualisierungen neu (z. B. alle Exchange-Aktualisierungen, die Sie auf der Microsoft-Website erhalten). Hinweis: Abonnieren Sie den Microsoft Security Notification-Dienst, um automatisch Benachrichtigungen zu sicherheitsrelevanten Aktualisierungen von Exchange zu erhalten. Melden Sie sich hierfür unter http://go.microsoft.com/fwlink/?LinkId=12322 für diesen Dienst an. Beispiel Die Verben, die Sie bei ordnungsgemäß geladenem SMTP erhalten, werden in Beispiel 1 aufgeführt. Ist SMTP nicht ordnungsgemäß konfiguriert, sehen Sie nur die Verben aus Beispiel 2. Beispiel 1 Erweiterte SMTP-Verben (bei ordnungsgemäß geladenen ExchangeEreignissenken) 250-mail1.example.com Hello [172.16.0.1] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 165 250-X-EXPS GSSAPI NTLM 250-AUTH GSSAPI NTLM 240-X-EXPS=LOGIN * 250-X-LINK2STATE * 250-XEXCH50 * 250 OK * * Diese erweiterten Verben sollten angezeigt werden. Wenn SMTP von Exchange nicht ordnungsgemäß geladen wurde oder die IIS-Metabase beschädigt ist, sind die erweiterten Exchange-Verben nicht in der Antwort des Servers enthalten. Beispiel 2 führt die Verben auf, die Sie bei nicht ordnungsgemäß geladenem SMTP erhalten. Hinweis: Die Verben in Beispiel 2 entsprechen den Verben, die angezeigt werden, wenn Sie Exchange nicht installiert haben. Beispiel 2 Erweiterte SMTP-Verben (bei nicht geladenen Exchange 2003Ereignissenken) 250-mail1.example.com Hello [172.16.0.1] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-AUTH GSSAPI NTLM 250 OK Wenn Sie nur die in Beispiel 2 aufgeführten SMTP-Verben erhalten, ist der SMTP-Dienst für Microsoft Windows® 2000 Server oder Windows Server 2003™ zwar installiert, SMTP in Exchange jedoch nicht ordnungsgemäß geladen. Es fehlen alle Verben, die mit „X“ beginnen („X“ für eXtended = erweitert). Sonstige unvollständige Listen können auch bedeuten, dass Exchange nicht ordnungsgemäß geladen oder die IIS-Metabase möglicherweise beschädigt ist. Folgende Gründe können zu einer Beschädigung der IIS-Metabase führen: Neuinstallation von Exchange Server 2003 Neuinstallation von Windows 2000 Server oder Windows Server 2003 Entfernen oder Deaktivieren von IIS 166 Überprüfen der Datei %systemroot%\system32\inetsrv\metabase.bin durch Antivirussoftware Unerwartetes Anhalten des Prozesses IIsadmin.exe (fehlerhaftes Herunterfahren) Nicht unterstützte Bearbeitung der Metabase Beschädigung des Datenträgers oder sonstige Hardwarefehler Bei einer Beschädigung der IIS-Metabase müssen Sie SMTP von Exchange ordnungsgemäß laden. Hinweis: Bei diesem Verfahren gehen alle für den IIS-Dienst vorgenommenen Anpassungen verloren. Dieser mögliche Verlust schließt Anpassungen für Microsoft Office Outlook® Web Access oder andere IIS-Dienste ein. Einführung in den Assistenten für InternetE-Mail-Nachrichten Sie können einen mit zwei Netzwerken verbundenen Exchange-Server unter Verwendung des Internet Mail-Assistenten konfigurieren. Der Assistent führt Sie durch die erforderlichen Konfigurationsschritte und erstellt automatisch einen Connector auf dem virtuellen SMTPServer für ausgehende E-Mail-Nachrichten. Gehen Sie folgendermaßen vor, um einen mit zwei Netzwerken verbundenen ExchangeServer mit zwei virtuellen SMTP-Servern zum Senden und Empfangen von Internet-E-Mail zu konfigurieren. Nachdem Sie den Assistenten für Internet-E-Mail-Nachrichten ausgeführt haben, sendet und empfängt der Exchange-Server sämtliche Internet-E-Mail entsprechend der im Assistenten festgelegten Konfiguration. Hinweis: Wenn Sie bereits einen SMTP-Connector konfiguriert oder einen zusätzlichen virtuellen SMTP-Server auf dem Exchange-Server erstellt haben, können Sie den Assistenten für Internet-E-Mail-Nachrichten nicht ausführen. Sie müssen erst die Standardkonfiguration wiederherstellen, bevor Sie den Assistenten für Internet-EMail-Nachrichten ausführen können. Bevor Sie beginnen Lesen Sie den Artikel unter Bereitstellungsszenarios für Internetverbindungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: 167 Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So starten Sie den Assistenten für Internet-E-Mail-Nachrichten 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf die Exchange-Organisation, und klicken Sie anschließend auf Assistent für Internet-EMail-Nachrichten. Hinweis: Sie müssen den Assistenten für Internet-E-Mail-Nachrichten mit der Version des Exchange-System-Managers ausführen, die in Exchange Server 2003 enthalten ist. 2. Folgen Sie den Anweisungen des Assistenten, um die zum Konfigurieren der Übermittlung von Internet-E-Mail-Nachrichten erforderlichen Aufgaben auszuführen. Der Assistent erstellt auf dem Exchange-Server einen weiteren virtuellen SMTPServer. Er konfiguriert die Übermittlung von Internet-E-Mail-Nachrichten mit den folgenden Verfahren: Um einen Server zum Senden von Internet-E-Mail-Nachrichten einzurichten, leitet Sie der Assistent durch den Vorgang des Zuweisens der Intranet-IPAdresse an den virtuellen SMTP-Server, auf dem der Assistent den SMTPConnector zum Senden ausgehender Nachrichten erstellt. Sie weisen diesem virtuellen Server die Intranet-IP-Adresse zu, damit nur interne Benutzer in Ihrem Intranet ausgehende Nachrichten senden können. Um einen Server für den Empfang von Internet-E-Mail einzurichten, leitet Sie der Assistent durch den Vorgang des Zuweisens der Internet-IP-Adresse an den virtuellen SMTP-Internetserver. Sie weisen diesem virtuellen Server eine Internet-IP-Adresse zu, da externe Server zum Senden von Internet-E-MailNachrichten an Ihr Unternehmen eine Verbindung mit diesem virtuellen SMTPServer herstellen müssen. Darüber hinaus muss ein MX-Eintrag auf dem Internet-DNS-Server vorhanden sein, der auf diesen Server verweist. Der Assistent für Internet-E-Mail-Nachrichten führt außerdem die erforderlichen Überprüfungen auf dem virtuellen SMTP-Server für eingehende E-Mail-Nachrichten durch, um eine ordnungsgemäße Konfiguration sicherzustellen. Er überprüft dabei folgende Punkte: Der virtuelle SMTP-Server für das Internet akzeptiert anonyme Verbindungen. Der SMTP-Server für das Internet lässt keine Relayweiterleitung von E-MailNachrichten zu. 168 Manuelles Konfigurieren von Exchange Server für die Übermittlung von Internet-EMail Beim Konfigurieren von Exchange für das Senden und Empfangen von Internet-E-Mail können Sie für große oder komplexe Messagingumgebungen den Internet Mail-Assistenten nicht verwenden. Sie müssen Exchange in komplexen Umgebungen manuell für die Übermittlung von Internet-E-Mail-Nachrichten konfigurieren. Die folgenden Abschnitte behandeln diese Themen: Einrichten von Exchange Server zum Empfangen von Internet-E-Mail Einrichten des Exchange-Servers zum Senden von Internet-E-Mail Konfigurieren erweiterter Einstellungen Einrichten von Exchange Server zum Empfangen von Internet-E-Mail In diesem Abschnitt wird erläutert, wie der Exchange-Server zum Empfangen von Internet-EMail eingerichtet wird. Insbesondere erhalten Sie Informationen zu folgenden Themen: Konfigurieren von Empfängerrichtlinien Konfigurieren von Einstellungen für auf einem virtuellen SMTP-Server eingehende Nachrichten Stellen Sie mithilfe der Liste in der folgenden Tabelle sicher, dass Sie alle Konfigurationsschritte ausführen. Konfigurationsschritte für das Einrichten eines Exchange-Servers zum Empfangen von Internet-E-Mail Schritt Aufgabe Anmerkungen 1 Überprüfen Sie, ob SMTP Siehe auch „Überprüfen der ordnungsgemäß auf dem ordnungsgemäßen Exchange-Server geladen ist. Installation von SMTP“ 169 Schritt Aufgabe Anmerkungen 2 Überprüfen Sie, ob auf einem Internet-DNS-Server ein MXEintrag vorhanden ist. Der Eintrag muss auf Ihren Server und die IP-Adresse des virtuellen SMTP-Servers verweisen, der eingehende Internet-E-Mail akzeptiert. Siehe „Konfigurieren von DNS für ausgehende Nachrichten“ in Überprüfen des DNS-Designs und der Konfiguration. 3 Überprüfen Sie, ob über das Internet auf Ihren E-MailServer zugegriffen werden kann. Damit externe DNS-Server den MX-Eintrag des E-MailServers auflösen und eine Verbindung herstellen können, muss er aus dem Internet erreichbar sein. Siehe „Konfigurieren von DNS für ausgehende Nachrichten“ in Überprüfen des DNS-Designs und der Konfiguration. 4 Stellen Sie sicher, dass keine Empfängerrichtlinie mit dem vollqualifizierten Domänennamen eines Exchange-Servers übereinstimmt. Siehe „Konfigurieren von Empfängerrichtlinien“. 5 Überprüfen Sie, ob jede Domäne, für die Sie eingehende Internet-E-Mail empfangen möchten, in einer Empfängerrichtlinie aufgeführt wird und Exchange für diese Domäne autorisierend ist, andernfalls muss ein Connector für die Domäne konfiguriert und das Relay dafür zugelassen sein. Siehe „Konfigurieren von Empfängerrichtlinien“. 170 Schritt Aufgabe Anmerkungen 6 Überprüfen Sie, ob der virtuelle SMTP-Server für eingehende Verbindungen Port 25 verwendet und den richtigen IP-Adressen zugeordnet ist. Andere SMTP-Server müssen eine Verbindung mit dem virtuellen SMTP-Server über Port 25 herstellen können. Siehe Konfigurieren des eingehenden Ports und der IP-Adresse auf dem virtuellen SMTP-Server. 7 Überprüfen des anonymen Zugriffs auf dem virtuellen SMTP-Server für eingehende Nachrichten Andere SMTP-Server müssen eine anonyme Verbindung mit Ihrem virtuellen SMTP-Server herstellen können. Siehe Überprüfen, ob der virtuelle SMTP-Server anonymen Zugriff zulässt. 8 Überprüfen Sie, ob die Standardrelayeinschränkung en auf dem virtuellen SMTPServer für eingehende Nachrichten konfiguriert sind. Die Standardeinschränkungen auf einem virtuellen SMTPServer verhindern offenes Relay. Bei einer Konfiguration für offenes Relay können externe Benutzer Ihren Server zum Senden von Spam verwenden. Dies führt möglicherweise dazu, dass andere autorisierte Server Nachrichten von Ihrem Exchange-Server blockieren. Ausführliche Anweisungen finden Sie in den folgenden Themen: Überprüfen, dass die Empfängerrichtlinien keine Adressen enthalten, die mit dem vollqualifizierten Domänennamen übereinstimmen Überprüfen, ob die Benutzer E-Mail-Nachrichten von anderen SMTP-Domänen empfangen können Konfigurieren der von Ihren Benutzern benötigten SMTP-E-Mail-Adressen 171 Konfigurieren des eingehenden Ports und der IP-Adresse auf dem virtuellen SMTPServer Überprüfen, ob der virtuelle SMTP-Server anonymen Zugriff zulässt Überprüfen der Relayeinschränkungen auf einem virtuellen SMTP-Server Konfigurieren des eingehenden Ports und der IP-Adresse auf dem virtuellen SMTPServer Der eingehende Port ist der Port, den der virtuelle SMTP-Server auf eingehende Kommunikation überwacht. Die IP-Adresse ist die Adresse, an die eingehende Anforderungen gesendet werden. In der Standardeinstellung überwacht der virtuelle Standardserver für SMTP Port 25 und alle verfügbaren IP-Adressen auf eingehende Anforderungen. Bevor Sie beginnen Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So konfigurieren Sie den eingehenden Port und die IP-Adressen auf dem virtuellen SMTP-Server 1. Klicken Sie mit der rechten Maustaste auf Virtueller Standardserver für SMTP, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie in den Eigenschaften für den virtuellen SMTP-Standardserver auf die Registerkarte Übermittlung. Registerkarte „Allgemein“ im Eigenschaftendialogfeld für den virtuellen SMTPStandardserver 172 3. Überprüfen Sie unter Virtueller Standardserver für SMTP die folgenden Einstellungen: IP-Adresse Die Standardeinstellung ist (Alle nicht zugewiesen). Diese Einstellung sollten Sie nur ändern, wenn Sie mehrere virtuelle SMTP-Server konfigurieren möchten. (Das ist die IP-Adresse für eingehende Verbindungen.) Wenn der virtuelle SMTP-Server mehrere Netzwerkschnittstellenkarten (NICs) oder mehrere IP-Adressen, die einer einzelnen NIC zugewiesen sind, überwachen soll, und Sie möchten einzelne IP-Adressen auswählen, klicken Sie auf Erweitert, und geben Sie dann die vom Standard abweichenden Anschlüsse an. Hinweis: Verwenden Sie die Optionen unter Erweitert mit Bedacht. Andere Server (z. B. im Internet) verwenden für die Kommunikation mit Ihrem Server in der Standardeinstellung den TCP-Port 25. 173 Überprüfen, ob der virtuelle SMTP-Server anonymen Zugriff zulässt Wie Sie wissen, erwarten SMTP-Server im Internet, dass Ihr virtueller SMTP-Server eine anonyme Verbindung mit ihnen herstellt. Beachten Sie, dass andere SMTP-Server im Internet nicht in der Lage sind, E-Mail-Nachrichten an Ihre Organisation zu senden, wenn Sie auf den Gatewayservern, die Internet-E-Mail akzeptieren, keinen anonymen Zugriff gestatten. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator - Nur anzeigen (zum Anzeigen der Konfiguration) oder die Funktion Exchange-Administrator (zum Ändern der Konfiguration) auf der administrativen Gruppenebene zugewiesen ist Verfahren So überprüfen Sie, ob der virtuelle SMTP-Server anonymen Zugriff zulässt 1. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Zugriff, und klicken Sie dann auf Authentifizierung. 3. Überprüfen Sie in Authentifizierung, ob das Kontrollkästchen Anonymer Zugriff aktiviert ist. Dialogfeld „Authentifizierung“ 174 Überprüfen, dass die Empfängerrichtlinien keine Adressen enthalten, die mit dem vollqualifizierten Domänennamen übereinstimmen Um festzulegen, welche Nachrichten angenommen und intern an die Postfächer Ihrer Organisation weitergeleitet werden sollen, werden in Exchange Server Empfängerrichtlinien verwendet. Durch fehlerhaft konfigurierte Empfängerrichtlinien kann der Nachrichtenfluss zu einigen oder allen Empfängern des Messagingsystems unterbrochen werden. Damit die Empfängerrichtlinien ordnungsgemäß konfiguriert sind, überprüfen Sie folgende Punkte: Stellen Sie sicher, dass keine Empfängerrichtlinie eine SMTP-Adresse enthält, die mit dem vollqualifizierten Domänennamen eines Exchange-Servers Ihrer Organisation übereinstimmt. Wenn z. B. @exchangeserver.example.com als SMTP-Adresse und als 175 Domänenname in einer Empfängerrichtlinie aufgeführt wird, verhindert dies die Weiterleitung an andere Server in der Routinggruppe. Überprüfen Sie, ob die Domäne, für die SMTP-Nachrichten empfangen werden sollen, in einer Empfängerrichtlinie eingetragen ist (entweder in der Standardrichtlinie oder auch in einer anderen Empfängerrichtlinie). Durch das Überprüfen dieser Angaben können Sie sicherstellen, dass die Benutzer in der Lage sind, Nachrichten aus anderen SMTPDomänen zu empfangen. Überprüfen Sie, ob die nötigen SMTP-E-Mail-Adressen zum Empfangen von E-MailNachrichten für weitere Domänen konfiguriert wurden. Wenn Sie nicht für alle Ihrer SMTP-Domänen E-Mail-Nachrichten empfangen können, müssen Sie möglicherweise für die Empfänger weitere SMTP-Adressen konfigurieren. Beispielsweise empfangen einige Ihrer Benutzer derzeit E-Mail-Nachrichten an die Domäne contoso.com, sie sollen jedoch auch Nachrichten an die Domäne fourthcoffee.com empfangen. Überprüfen Sie mit dem folgenden Verfahren, ob Ihre Empfängerrichtlinien ordnungsgemäß konfiguriert sind und mit Ihrer E-Mail-Domäne (z. B. @example.com) übereinstimmen, nicht mit dem vollqualifizierten Domänennamen des Exchange-Servers (z. B. @exchange.example.com). Weitere Informationen zu den Gründen, weshalb Empfängerrichtlinien nicht mit den vollqualifizierten Domänennamen von Exchange-Servern übereinstimmen dürfen, finden Sie im Microsoft Knowledge Base-Artikel 288175, XCON: Recipient Policy Cannot Match the FQDN of Any Server in the Organization, 5.4.8 NDRs. Obwohl sich dieser Artikel auf Exchange 2000 bezieht, treffen die Beschreibungen auch auf Exchange 2003 zu. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So überprüfen Sie, ob Ihre Empfängerrichtlinien keine Adressen enthalten, die mit dem vollqualifizierten Domänennamen übereinstimmen 1. Erweitern Sie in der Konsolenstruktur den Eintrag Empfänger, und klicken Sie dann auf Empfängerrichtlinien. 2. Klicken Sie im Detailbereich mit der rechten Maustaste auf eine auf dem Server 176 konfigurierte Empfängerrichtlinie, und klicken Sie anschließend auf Eigenschaften. 3. Überprüfen Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) die von dieser Richtlinie konfigurierten SMTP-Adressen, und stellen Sie sicher, dass keine der SMTP-Adressen mit dem vollqualifizierten Domänennamen eines Exchange-Servers der Organisation übereinstimmt. SMTP-Adressen einer Empfängerrichtlinie 4. Wiederholen Sie für jede auf dem Server konfigurierte Empfängerrichtlinie die Schritte 2 und 3 dieses Verfahrens. 177 Überprüfen, ob die Benutzer E-MailNachrichten von anderen SMTP-Domänen empfangen können Um E-Mail-Nachrichten aus anderen SMTP-Domänen empfangen zu können, muss in der Empfängerrichtlinie die Domäne ordnungsgemäß angegeben sein, für die Sie E-MailNachrichten empfangen möchten. Wichtig: In der Standardeinstellung ist der SMTP-Domänenname in der Standardempfängerrichtlinie der Name der Domäne, in der sich der Verzeichnisdienst Microsoft Active Directory® befindet. Dieser SMTPStandarddomänenname entspricht nicht immer dem, den Sie für die SMTP-E-MailDomäne verwenden möchten. Beispielsweise könnten Sie in einer großen, verteilten Gesellschaft eindeutige SMTPAdressen verwenden, um für die Empfänger in den verschiedenen Abteilungen verschiedene E-Mail-Adressen zu erstellen. Beispielsweise können Benutzer in verschiedenen Abteilungen des Unternehmens Wingtip Toys folgende Adressen verwenden: [email protected] und [email protected]. Bestätigen Sie mit dem folgenden Verfahren, dass Empfänger in Ihrer Organisation in der Lage sind, E-Mail-Nachrichten aus anderen SMTP-Domänen zu empfangen. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So überprüfen Sie, ob Ihre Benutzer E-Mail-Nachrichten aus anderen SMTP-Domänen empfangen können 1. Erweitern Sie im Exchange-System-Manager in der Konsolenstruktur den Eintrag Empfänger, und klicken Sie dann auf Empfängerrichtlinien. 2. Klicken Sie im Detailbereich mit der rechten Maustaste auf eine auf dem Server konfigurierte Empfängerrichtlinie, und klicken Sie anschließend auf Eigenschaften. 178 3. Überprüfen Sie auf der Registerkarte E-Mail-Adressen (Richtlinie) die von dieser Richtlinie konfigurierten SMTP-Adressen, und stellen Sie sicher, dass die Domäne, für die Sie SMTP-E-Mail-Nachrichten empfangen möchten, als Adresse aufgelistet ist. Überprüfen Sie, ob das Kontrollkästchen neben der Adresse aktiviert ist. 4. Doppelklicken Sie auf die gewünschte SMTP-Adresse, und überprüfen Sie dann in den Eigenschaften der SMTP-Adresse, ob das Kontrollkästchen Diese ExchangeOrganisation ist für die gesamte E-Mail-Übermittlung an diese Adresse verantwortlich aktiviert ist. Eigenschaftendialogfeld für die SMTP-Adresse Hinweis: Wenn auf einem Server mehrere Empfängerrichtlinien konfiguriert sind, befindet sich die zu überprüfende SMTP-E-Mail-Adresse möglicherweise in einer anderen Empfängerrichtlinie. 5. Wenn auf einem Server mehrere Empfängerrichtlinien konfiguriert sind, wiederholen Sie für jede Empfängerrichtlinie die Schritte 3 bis 5 dieses Verfahrens. 179 Konfigurieren der von Ihren Benutzern benötigten SMTP-E-Mail-Adressen Stellen Sie mit dem folgenden Verfahren sicher, dass die E-Mail-Adresse jedes Benutzers ordnungsgemäß in einer Empfängerrichtlinie konfiguriert ist. Denken Sie daran, dass Microsoft® Exchange Server nur E-Mail-Nachrichten für Adressen akzeptiert, die ordnungsgemäß in einer Empfängerrichtlinie konfiguriert sind. Diese Adressen werden im Microsoft-Verzeichnisdienst Active Directory und der IIS-Metabase gespeichert, in der das Nachrichtenkategorisierungsmodul nach Adressen- und Konfigurationsinformationen sucht. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Herstellen einer Verbindung mit dem Internet. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf Organisationsgruppenebene zugewiesen ist Verfahren So konfigurieren Sie die erforderlichen SMTP-E-Mail-Adressen für Ihre Benutzer 1. Erweitern Sie im Exchange-System-Manager in der Konsolenstruktur den Eintrag Empfänger, und klicken Sie dann auf Empfängerrichtlinien. 2. Klicken Sie im Detailfenster mit der rechten Maustaste auf die zu ändernde Empfängerrichtlinie, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf der Registerkarte E-Mail Addresses (Policy) auf Neu. 4. Wählen Sie im Dialog Neue E-Mail-Adresse die Option SMTP-Adresse aus, und klicken Sie dann auf OK. Geben Sie im Dialogfeld Eigenschaften für SMTP-Adresse im Feld Adresse die Informationen ein, die für den von Ihnen ausgewählten Adresstyp erforderlich sind. Geben Sie beispielsweise @example.com ein, um E-Mail-Nachrichten an die Firma Example Corporation weiterzuleiten (siehe Abbildung). 180 Weitere Informationen Weitere Informationen zum Konfigurieren von Empfängerrichtlinien finden Sie im Microsoft Knowledge Base-Artikel 260973 „XCON: Setting Up SMTP Domains for Inbound and Relay E-Mail in Exchange 2000 Server and Exchange Server 2003“. Obwohl sich dieser Artikel auf Exchange 2000 bezieht, treffen die Beschreibungen auch auf Exchange 2003 zu. Weitere Informationen zum Korrigieren von Problemen mit SMTP-Proxyadressen finden Sie im Microsoft Knowledge Base-Artikel 140933 „XFOR: SMTP Proxy Address Generated Incorrectly“. Obwohl sich dieser Artikel auf Exchange 2000 bezieht, treffen die Beschreibungen auch auf Exchange 2003 zu. Überprüfen der Relayeinschränkungen auf einem virtuellen SMTP-Server In der Standardeinstellung lässt der virtuelle Standardserver für SMTP die Weiterleitung von E-Mail-Nachrichten per Relay nur für authentifizierte Benutzer zu. Die Standardeinstellung wird empfohlen, da Sie dadurch verhindern, dass nicht authentifizierte Benutzer E-MailNachrichten an externe Domänen über Ihren Exchange-Server senden können. In der sichersten Relaykonfiguration ist Authentifizierung für jeden erforderlich, der eine Verbindung aus dem Internet herstellt und E-Mail-Nachrichten per Relay weiterleiten möchte. Bridgeheadserver, die mit dem Internet verbunden sind und Internet-E-Mail akzeptieren, müssen im Allgemeinen anonyme Verbindungen akzeptieren, jedoch lassen diese Bridgeheadserver in der Standardeinstellung keine anonyme Weiterleitung per Relay zu. Es wird dringend davon abgeraten, die anonyme Weiterleitung per Relay zu aktivieren. Wenn Sie die anonyme Weiterleitung per Relay gestatten, können andere Benutzer über Ihren Server Spam senden. Das kann dazu führen, dass Ihr Server auf anderen Internetservern in eine Sperrliste eingetragen wird. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator - Nur anzeigen (zum Anzeigen der Konfiguration) oder die Funktion Exchange-Administrator (zum Ändern der Konfiguration) auf der administrativen Gruppenebene zugewiesen ist 181 Verfahren So überprüfen Sie die Relayeinschränkungen auf einem virtuellen SMTP-Server 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie nacheinander Server, <Servername>, Protokolle und SMTP. 3. Klicken Sie mit der rechten Maustaste auf Virtueller Standardserver für SMTP, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften für den virtuellen SMTP-Standardserver auf die Registerkarte Zugriff. Registerkarte „Zugriff“ im Eigenschaftendialogfeld für den virtuellen SMTPStandardserver 5. Klicken Sie zur Überprüfung der Relayeinschränkungen unter Relayeinschränkungen auf Relay. Das Dialogfeld Relayeinschränkungen wird 182 geöffnet. Standardrelayeinschränkungen im Dialogfeld „Relayeinschränkungen“ 6. Überprüfen Sie in Relayeinschränkungen die folgenden Einstellungen: Überprüfen Sie, ob Nur Computer in der Liste unten ausgewählt ist. Um nur die Computer aufzulisten, denen Sie die Weiterleitung von E-Mail-Nachrichten per Relay gestattet möchten, klicken Sie auf Hinzufügen, und folgen Sie den Anweisungen. Wenn Sie Alle, mit Ausnahme der Computer in der Liste unten auswählen, ist Ihr Server möglicherweise eine Quelle für im Internet unerwünschte kommerzielle E-Mail-Nachrichten. Überprüfen Sie, ob das Kontrollkästchen Jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste oben das Relay erlauben aktiviert ist. Mit dieser Einstellung können Sie allen nicht authentifizierten Benutzern den Zugriff verweigern. Jeder Remotebenutzer, der zum Senden von E-Mail-Nachrichten per POP (Post Office Protocol) oder IMAP (Internet Message Access Protocol) auf diesen Server zugreift, muss sich authentifizieren. Wenn keine Benutzer mit IMAP oder POP auf diesen Server zugreifen, können Sie dieses Kontrollkästchen deaktivieren und damit die Weiterleitung vollständig verhindern. Dadurch erhöhen Sie die Sicherheit. 183 Konfigurieren von Einstellungen für eingehende Nachrichten auf virtuellen SMTP-Servern Zum Konfigurieren des virtuellen SMTP-Servers für den Empfang von Internetmail müssen Sie folgende Aufgaben durchführen: Konfigurieren des eingehenden Anschlusses auf 25, und Festlegen der IP-Adresse Überprüfen des anonymen Zugriffs auf dem virtuellen SMTP-Server für eingehende Nachrichten Aus Sicherheitsgründen: Überprüfen der Relayeinschränkungen auf dem virtuellen Server für eingehende Nachrichten (In der Standardeinstellung können nur autorisierte Benutzer E-Mail-Nachrichten per Relay weiterleiten.) Wichtig: Sie sollten überprüfen, ob die Einstellungen des virtuellen SMTP-Servers ordnungsgemäß festgelegt sind. Außerdem sollten Ihnen bei der Behebung von SMTP-Nachrichtenflussproblemen die Konsequenzen bestimmter Konfigurationsentscheidungen vertraut sein. Einrichten des Exchange-Servers zum Senden von Internetmail In diesem Abschnitt wird die Konfiguration des Exchange-Servers für das Senden von Internetmail erläutert. Insbesondere erhalten Sie Informationen zu folgenden Themen: Konfigurieren der Einstellungen für ausgehende Nachrichten auf virtuellen SMTPServern Konfigurieren eines Smarthosts auf einem virtuellen SMTP-Server Konfigurieren eines SMTP-Connectors Stellen Sie mit der Prüfliste in der folgenden Tabelle sicher, dass Sie alle erforderlichen Konfigurationsschritte ausgeführt haben, um Ihren Exchange-Server für das Senden von Internetmail einzurichten. Jeder Schritt wird in den folgenden Abschnitten oder weiter oben in diesem Dokument ausführlich erläutert. 184 Konfigurationsschritte zum Einrichten eines Exchange-Servers für das Senden von Internetmail Schritt Aufgabe Anmerkungen 1 Überprüfen Sie, ob SMTP auf Mehr zu diesem Thema dem Exchange-Server erfahren Sie unter ordnungsgemäß geladen ist. Ordnungsgemäßes Laden von SMTP für Exchange. 2 Überprüfen Sie, ob der DNSServer externe DNS-Namen (Internetnamen) auflösen kann. Siehe „Konfigurieren von DNS für ausgehende Nachrichten“ in Überprüfen des DNS-Designs und der Konfiguration. 3 Überprüfen Sie, ob der ausgehende Anschluss des virtuellen SMTP-Servers auf 25 gesetzt ist. SMTP-Server im Internet erwarten, dass Ihr virtueller SMTP-Server eine Verbindung auf Anschluss 25 herstellt. Informationen hierzu finden Sie unter Sicherstellen, dass für ausgehende Nachrichten Anschluss 25 verwendet wird. 4 Überprüfen Sie, ob der virtuelle SMTP-Server für ausgehende Nachrichten anonymen Zugriff zulässt. SMTP-Server im Internet erwarten von Ihrem SMTPServer keine Authentifizierung. Mehr zu diesem Thema erfahren Sie unter Gewähren des anonymen Zugriffs auf den virtuellen SMTP-Server für ausgehende Nachrichten. 185 Schritt Aufgabe Anmerkungen 5 Wenn Sie einen Smarthost auf dem virtuellen SMTPServer konfigurieren müssen, überprüfen Sie dessen Konfiguration. Es wird empfohlen, Smarthosts auf einem SMTPConnector zu konfigurieren, nicht direkt auf dem virtuellen Server. Wenn Sie einen Smarthost auf einem virtuellen SMTP-Server konfigurieren müssen, stellen Sie sicher, dass dieser die unter Konfigurieren eines Smarthosts auf einem virtuellen SMTP-Server angegebenen Kriterien erfüllt. 6 Erstellen Sie zum Weiterleiten von Internetmail auf dem virtuellen SMTPServer für ausgehende Nachrichten einen SMTPConnector mit dem Adressraum * (Sternchen). Wenn Sie einen SMTPConnector mit dem Adressraum * erstellen, leitet Exchange alle Internetmail durch diesen Connector weiter. Mehr zu diesem Thema erfahren Sie unter Erstellen eines SMTPConnectors. Konfigurieren der Einstellungen für ausgehende Nachrichten auf virtuellen SMTP-Servern Mit den Einstellungen für ausgehende Nachrichten auf einem virtuellen SMTP-Server steuern Sie die Anschlüsse und IP-Adressen, über die ausgehende Nachrichten gesendet werden. Diese Einstellungen werden für Connectors verwendet, die auf Bridgeheadservern konfiguriert sind, die E-Mail-Nachrichten in das Internet weiterleiten. Diese Einstellungen können Sie hauptsächlich in den Eigenschaften des virtuellen SMTP-Servers auf der Registerkarte Übermittlung konfigurieren. Beachten Sie bei der Konfiguration des virtuellen SMTP-Servers für die Übertragung ausgehender Nachrichten die folgenden Punkte: Sicherstellen, dass der ausgehende Anschluss auf 25 gesetzt ist (dies ist die Standardeinstellung) Zulassen des anonymen Zugriffs für die ausgehende Verbindung (dies ist die Standardeinstellung) 186 Gegebenenfalls Festlegen von externen DNS-Servern für SMTP Sie können den virtuellen SMTP-Server für die Verwendung eines externen DNS-Servers konfigurieren. Es ist jedoch einfacher und allgemein üblich, DNS-Abfragen über einen internen DNSServer an die konfigurierten externen DNS-Server weiterzuleiten. Weitere Informationen hierzu finden Sie unter den folgenden Themen: Sicherstellen, dass für ausgehende Nachrichten Anschluss 25 verwendet wird Gewähren des anonymen Zugriffs auf den virtuellen SMTP-Server für ausgehende Nachrichten Sicherstellen, dass für ausgehende Nachrichten Anschluss 25 verwendet wird Konfigurieren Sie den ausgehenden Anschluss, über den der Server Internetmail übermittelt, in den Eigenschaften des virtuellen SMTP-Servers auf der Registerkarte Übermittlung. Wenn Sie Internetmail über dieselben Gatewayserver senden und empfangen, sollten die eingehenden und ausgehenden Anschlüsse auf Anschluss 25 gesetzt sein. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Herstellen einer Verbindung mit dem Internet. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator - Nur Anzeigen (zum Anzeigen der Konfiguration) oder die Funktion Exchange-Administrator (zum Ändern der Konfiguration) auf der administrativen Gruppenebene zugewiesen ist Verfahren So überprüfen Sie, ob der ausgehende Anschluss auf 25 gesetzt ist 1. Klicken Sie mit der rechten Maustaste auf Virtueller Standardserver für SMTP, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie in Eigenschaften für Virtueller Standardserver für SMTP auf die Registerkarte Übermittlung. Auf der Registerkarte Übermittlung können Sie Einstellungen für ausgehende Nachrichten, z. B. für Wiederholungszeitgeber, ausgehende Sicherheit und Verbindungsbeschränkungen, sowie andere erweiterte 187 Einstellungen angeben. Die Registerkarte „Übermittlung“ in „Eigenschaften für Virtueller Standardserver für SMTP“ 3. Klicken Sie auf der Registerkarte Übermittlung auf Ausgehende Verbindungen, um den TCP-Anschluss festzulegen, über den der Server eine Verbindung zu Remoteservern herstellt. Das Dialogfeld Ausgehende Verbindungen wird angezeigt. Dialogfeld „Ausgehende Verbindungen“ 188 4. Überprüfen Sie, ob in Ausgehende Verbindungen der TCP-Anschluss auf 25 gesetzt ist. Remoteserver im Internet erwarten, dass Ihr Server den TCPAnschluss 25 verwendet. Es wird nicht empfohlen, den Wert von TCP-Anschluss auf einen anderen Wert als 25 festzulegen. Gewähren des anonymen Zugriffs auf den virtuellen SMTP-Server für ausgehende Nachrichten Auf dem virtuellen SMTP-Server für ausgehende Nachrichten sollten Sie anonymen Zugriff zulassen, außer wenn Sie sich direkt mit einem Smarthost verbinden. Remoteserver im Internet erwarten von Ihrem Server keine Authentifizierung. Hinweis: Im Allgemeinen ist es einfacher, einen Smarthost auf einem Connector zu konfigurieren. Es ist nicht die bevorzugte Methode, einen Smarthost auf einem virtuellen SMTP-Server zu konfigurieren. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist 189 Verfahren So gestatten Sie anonymen Zugriff auf Ihrem virtuellen SMTP-Server für ausgehende Nachrichten 1. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server für ausgehende Nachrichten, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Übermittlung. 3. Klicken Sie auf Ausgehende Sicherheit, um den Authentifizierungstyp auszuwählen, den der Server für Remoteserver verwendet. 4. Klicken Sie in Ausgehende Sicherheit auf Anonymer Zugriff. Dialogfeld „Ausgehende Sicherheit“ Hinweis: Wenn Sie eine Verbindung mit einem Smarthost herstellen (klicken Sie zur Konfiguration auf der Registerkarte Übermittlung auf Erweitert), fordert der Smarthost Sie möglicherweise auf, sich zu authentifizieren. Ob eine Authentifizierung erforderlich ist, erfahren Sie vom Besitzer des Smarthosts oder von Ihrem Internetdienstanbieter (ISP). 190 Erstellen eines SMTP-Connectors SMTP-Connectors ermöglichen eine einfache Weiterleitung von Internet-E-Mail. Gehen Sie folgendermaßen vor, um einen SMTP-Connector zu erstellen. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator - Nur anzeigen (zum Anzeigen der Konfiguration) oder die Funktion Exchange-Administrator (zum Ändern der Konfiguration) auf der administrativen Gruppenebene zugewiesen ist Verfahren So erstellen Sie einen SMTP-Connector 1. Klicken Sie im Exchange-System-Manager mit der rechten Maustaste auf Connectors, zeigen Sie auf Neu, und klicken Sie dann auf SMTP-Connector. 2. Geben Sie in den Eigenschaften auf der Registerkarte Allgemein im Feld Name einen Namen für den Connector ein. SMTP-Connectoreigenschaften 191 3. Aktivieren Sie eines der folgenden Kontrollkästchen: Wenn Sie möchten, dass dieser Connector DNS-Namen verwendet, um E-MailNachrichten direkt an den Remoteserver weiterzuleiten, aktivieren Sie DNS für Weiterleitung über Connector zu jedem Adressraum verwenden. Wenn Sie diese Option aktivieren, leitet der Connector E-Mail-Nachrichten mithilfe des konfigurierten DNS-Servers weiter. Überprüfen Sie bei Aktivierung dieses Kontrollkästchens die folgenden Angaben: Überprüfen Sie, ob Sie mit Nslookup Namen aus dem Internet erfolgreich auflösen können. Weitere Informationen zur Routingtopologie finden Sie unter Konfigurieren der Routingtopologie. Wenn Sie E-Mail-Nachrichten an einen Smarthost weiterleiten möchten, der die Zuständigkeit für DNS-Namensauflösung und Nachrichtenübermittlung übernimmt, aktivieren Sie das Kontrollkästchen Gesamte Mail über diesen Connector an diese Smarthosts weiterleiten. Diese Option wird häufig 192 verwendet, wenn Sie E-Mail-Nachrichten an einen Windows-SMTP- oder anderen Server im Umkreisnetzwerk weiterleiten. Überprüfen Sie bei Aktivierung dieses Kontrollkästchens die folgenden Angaben: Wenn Sie für den Smarthost eine IP-Adresse auflisten, schließen Sie diese in eckigen Klammern ein, z. B. [10.0.0.1]. Wenn Sie für den Smarthost eine IP-Adresse angeben, sollte diese mit der dieses Servers übereinstimmen. Wenn Sie für den Smarthost einen Namen angeben, sollte dieser ein vollqualifizierter Domänenname sein. So ist beispielsweise Server Name" kein vollqualifizierter Domänenname. Servername.contoso.com ist jedoch ein vollqualifizierter Domänenname. Wenn ein Name angegeben ist, sollte dieser nicht der vollqualifizierte Domänenname dieses Servers sein. Wenn sich innerhalb des Netzwerks kein Smarthost befindet, fragen Sie bei Ihrem Internetdienstanbieter nach der hier anzugebenden IP-Adresse oder dem vollqualifizierten Domänennamen. 4. Definieren Sie mindestens einen Bridgeheadserver und einen virtuellen SMTPServer, indem Sie unter Lokale Bridgeheads auf Hinzufügen klicken. Zum Senden ausgehender E-Mail-Nachrichten verwendet der Connector den für den virtuellen SMTP-Server konfigurierten ausgehenden Anschluss. Konfigurieren eines Smarthosts auf einem virtuellen SMTP-Server Möglicherweise treten Probleme auf, wenn Sie den Smarthost auf der Ebene des virtuellen Servers einrichten, nicht auf der des SMTP-Connectors. Beachten Sie die folgenden Einschränkungen, wenn Sie den Smarthost auf der Ebene des virtuellen Servers konfigurieren: Hinweis: Die folgenden Einstellungen für den Smarthost finden Sie im Dialogfeld Erweiterte Übermittlungsoptionen. Sie können auf dieses Dialogfeld zugreifen, indem Sie in den Eigenschaften Ihres virtuellen SMTP-Servers für ausgehende Nachrichten auf der Registerkarte Übermittlung auf Erweitert klicken. Wenn in Ihrer Exchange-Organisation mehrere Exchange ausführende Computer vorhanden sind, sollten Sie im Feld Smarthost keine Daten eingeben. Der Nachrichtenfluss zwischen Servern funktioniert sonst möglicherweise nicht. 193 Eine im Feld Smarthost aufgelistete IP-Adresse sollte in eckigen Klammern eingeschlossen sein, z. B. [10.0.0.1]. Stellen Sie sicher, dass eine im Feld Smarthost aufgelistete IP-Adresse nicht mit der IPAdresse dieses Exchange-Servers übereinstimmt. Ein im Feld Smarthost aufgelisteter Name sollte als FQDN angegeben sein. (So ist beispielsweise „Servername“ kein FQDN. „Servername.contoso.com“ ist jedoch ein FQDN.) Ein im Feld Smarthost aufgelisteter Name sollte nicht der FQDN dieses Servers sein. Sollte sich innerhalb Ihres Netzwerks keine Smarthost befinden, fragen Sie bei Ihrem Internetdienstanbieter nach der hier anzugebenden IP-Adresse oder dem FQDN. Wenn Sie einen Smarthost angeben, aktivieren Sie das Kontrollkästchen Direkte Übermittlung versuchen, bevor zum Smarthost gesendet wird. Durch die Aktivierung dieses Kontrollkästchens verringern Sie auf diesem Server möglicherweise die Speicherung von Nachrichten in Warteschlangen. Für die Verwendung mehrerer Smarthosts mit Ausgleich der Anforderungslast ist eine spezifische Konfiguration erforderlich. Ausführliche Anweisungen finden Sie in den folgenden Themen: Erstellen eines SMTP-Connectors Angeben eines Adressraums für den Connector Konfigurieren von erweiterten Einstellungen In diesem Abschnitt wird erklärt, wie Sie einige erweiterte Einstellungen konfigurieren, mit denen Sie die Zustellung von Inernet-E-Mail-Nachrichten steuern können. Obwohl diese Einstellungen den Nachrichtenfluss nicht entscheidend beeinflussen, sind sie hilfreich bei der Leistungsoptimierung, bei der Steuerung des Zugriffs auf Ihre virtuellen SMTP-Server und in vielen weiteren Bereichen. Insbesondere erhalten Sie Informationen zu folgenden Themen: Konfigurieren von erweiterten Einstellungen für eingehende Nachrichten Konfigurieren von erweiterten Einstellungen für ausgehende Nachrichten Konfigurieren von erweiterten Einstellungen auf dem SMTP-Connector Konfigurieren der Benachrichtigung von Zustellbarkeitsberichten Ausführliche Anweisungen zur Konfiguration von Zugriffssteuerungen und Sicherheitseinstellungen finden Sie in den folgenden Themen: How to Configure Access Controls and Authentication Methods Angeben von Nachrichtenbeschränkungen 194 Konfigurieren von erweiterten Einstellungen für eingehende Nachrichten In diesem Abschnitt wird Ihnen gezeigt, wie Sie erweiterte Einstellungen für eingehende Nachrichten konfigurieren können. Insbesondere erhalten Sie Informationen zu folgenden Themen: Konfigurieren der Zugriffssteuerung und weiterer Sicherheitseinstellungen Konfigurieren von Nachrichtenfiltern Festlegen von Grenzwerten für eingehende Nachrichten Ausführliche Anweisungen finden Sie in den folgenden Themen: Sicherstellen, dass der Exchange-Server nicht ausschließlich das RTF-Format verwendet Einrichten von Beschränkungen für ausgehende Nachrichten auf dem virtuellen SMTPServer Konfigurieren von erweiterten Einstellungen für ausgehende Nachrichten In diesem Abschnitt wird erläutert, wie Sie erweiterte Einstellungen für die Steuerung von ausgehenden Nachrichten konfigurieren. Insbesondere erfahren Sie, wie Nachrichtenformate für Internet-E-Mail-Nachrichten, Beschränkungen für ausgehende Nachrichten und erweiterte Connectoreinstellungen konfiguriert werden. Konfigurieren von erweiterten Einstellungen für den SMTPConnector Der SMTP-Connector bietet mehrere Konfigurationsoptionen, die Sie verwenden können, um Ihre Spezifikationen für E-Mail-Nachrichten, die über diesen Server weitergeleitet werden, gezielt anzupassen. Mit Ausnahme der Beschränkungen für die Nachrichtengröße, überschreiben die Einstellungen für den SMTP-Connector die Einstellungen für den virtuellen SMTP-Server. In diesem Fall wird die niedrigste Größenbeschränkung erzwungen. In diesem Abschnitt erfahren Sie, wie die folgenden Aufgaben durchgeführt werden: Festlegen von Übermittlungsbeschränkungen. Festlegen eines Zeitplans für die Verbindung mit einem Netzwerkdienstanbieter. Festlegen von Inhaltseinschränkungen für einen SMTP-Connector. Konfigurieren, wie mit Unzustellbarkeitsberichten verfahren werden soll. Ausführliche Anweisungen finden Sie in den folgenden Themen: Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen 195 How to Set Delivery Restrictions on the SMTP CONNECTOR Festlegen eines Zeitplans für den Connector Festlegen von Inhaltsbeschränkungen für den SMTP-Connector Angeben des Verfahrens zum Verwalten unzustellbarer E-Mail-Nachrichten Angeben eines Adressraums für den Connector Mit dem Adressraum eines Connectors definieren Sie die Domäne oder den Bereich von Domänen, an den ein Connector E-Mail-Nachrichten sendet. Sie können die Adressgruppen angeben, die ein bestimmter Connector behandelt. Wenn Sie Internet-E-Mail-Nachrichten über mehrere SMTP-Connectors weiterleiten, sollte mindestens ein Connector den Adressraum „*“ (Sternchen) behandeln. Das Sternchen stellt alle externen Domänen dar. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So geben Sie einen Adressraum für den Connector an 1. Klicken Sie in den Eigenschaften des SMTP-Connectors auf die Registerkarte Adressraum. 2. Klicken Sie auf Hinzufügen. Das Dialogfeld Adressraum hinzufügen wird angezeigt. Das Dialogfeld „Adressraum hinzufügen“ 196 3. Klicken Sie unter Wählen Sie einen Adresstyp aus auf SMTP, und klicken Sie anschließend auf OK. Das Dialogfeld Internet-Adressraumeigenschaften wird angezeigt. Dialogfeld „Internet-Adressraumeigenschaften“ 197 Wichtig: Der Standardwert in den Internet-Adressraumeigenschaften im Feld EMail-Domäne ist „*“. Das „*“ bezeichnet alle Adressen. Mindestens für einen Connector Ihrer Organisation sollte dieser Adressraum angegeben sein, damit sichergestellt ist, dass alle externen Domänen über das Internet weitergeleitet werden können. 4. Tragen Sie in Internet-Adressraumeigenschaften im Feld E-Mail-Domäne eine EMail-Domäne für den Connector ein. Weisen Sie dem Connector im Feld Kosten einen entsprechenden Wert zu. Wenn Sie z. B. möchten, dass die Benutzer immer diesen Connector verwenden und nur auf einen Sicherungsconnector ausweichen, wenn dieser Connector nicht verfügbar ist, setzen Sie die Kosten dieses Connectors auf 1 und die des sekundären Connectors auf einen höheren Wert. Denken Sie daran, dass Exchange immer die Route mit den geringsten Kosten wählt, wenn diese Route verfügbar ist. Wichtig: Geben Sie im Adressraum eines SMTP-Connectors nicht die Domänen für 198 eingehende Verbindungen an. Diese sind in den Empfängerrichtlinien aufgeführt. Wenn einige oder alle Domänen für eingehende Nachrichten aufgelistet sind, empfangen Sie möglicherweise Unzustellbarkeitsberichte, die auf eine Mailschleife hinweisen (diese Unzustellbarkeitsberichte haben möglicherweise den Fehlercode 5.3.5). Indem Sie Domänen auf der Registerkarte Adressraum angeben, können Sie diese Domänen als routingfähige Domänen konfigurieren. 5. Klicken Sie auf OK, um zur Registerkarte Adressraum zurückzukehren. 6. Wählen Sie unter Connectorbereich auf Grundlage Ihrer Routingtopologie eine der folgenden Optionen: Wählen Sie Gesamte Organisation aus, wenn Sie möchten, dass die Benutzer aller Routinggruppen in der Lage sind, Internet-E-Mail-Nachrichten über diesen Connector zu senden. Wenn diese Option ausgewählt ist, können alle ExchangeServer der Organisation E-Mail-Nachrichten über diesen Connector in das Internet weiterleiten. Wählen Sie Routinggruppe aus, wenn Sie möchten, dass nur Benutzer in der Routinggruppe dieses Bridgeheadservers E-Mail-Nachrichten über diesen Connector senden können. Hinweis: Weitere Informationen über die Zuweisung von Kosten und Bereiche finden Sie unter Grundlagen zu Connectorbereichen und beschränkungen. 7. Wenn Sie möchten, dass E-Mail-Nachrichten über Ihr System in die angegeben Domänen per Relay weitergeleitet werden, aktivieren Sie das Kontrollkästchen Relay von Nachrichten an diese Domänen zulassen. Hinweis: Deaktivieren Sie dieses Kontrollkästchen, wenn Sie einen Connector mit dem Adressraum „*“ erstellen. 8. Klicken Sie auf OK. Konfigurieren der Zugriffssteuerung und Authentifizierungsmethoden Für virtuelle SMTP-Server können Sie angeben, welche Verbindungstypen akzeptiert bzw. abgelehnt werden, und Sie können vorschreiben, dass Benutzer sich vor der Übermittlung 199 von Nachrichten authentifizieren müssen. Authentifizierungsmethoden sind hilfreich, wenn Sie IMAP- oder POP-Clients unterstützen, die eine Verbindung aus dem Internet herstellen. Jedoch können Sie auf einem virtuellen SMTP-Server, der als Internetgateway agiert, keine Authentifizierung vorschreiben, wenn Sie E-Mail-Nachrichten von Benutzern aus dem Internet empfangen möchten. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Herstellen einer Verbindung mit dem Internet. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So konfigurieren Sie Zugriffssteuerung und Authentifizierungsmethoden 1. Klicken Sie mit der rechten Maustaste auf Virtueller Standardserver für SMTP und dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Zugriff, klicken Sie dann unter Zugriffskontrolle auf Authentifizierung, und geben Sie an, wie sich Benutzer vor dem Senden von Nachrichten an diesem Server authentifizieren müssen. Das Dialogfeld Authentifizierung wird geöffnet. Das Dialogfeld „Authentifizierung“ 200 3. Unter Authentifizierung sind die folgenden Kontrollkästchen verfügbar: Anonymer Zugriff Normalerweise aktivieren Sie dieses Kontrollkästchen für Server, die direkt mit dem Internet verbunden sind. Wenn dieses Kontrollkästchen aktiviert ist, müssen sich Server im Internet vor dem Senden von E-Mail-Nachrichten an diesen Server nicht authentifizieren. Erhöhen Sie die Sicherheit, indem Sie den anonymen Zugriff auf Ihre internen virtuellen SMTPServer deaktivieren, die keine eingehende Internetmail akzeptieren. Aus ähnlichen Sicherheitsgründen können Sie den anonymen Zugriff auch auf dedizierten virtuellen SMTP-Servern deaktivieren, die Sie für IMAP- und POPRemotebenutzer verwenden. Hinweis: Wenn das Kontrollkästchen Anonymer Zugriff auf Ihren InternetGatewayservern nicht aktiviert ist, können Sie möglicherweise keine eingehenden E-Mail-Nachrichten aus dem Internet empfangen. Auf internen virtuellen SMTP-Servern und virtuellen SMTP-Servern, die nur von IMAP- und POP-Benutzern verwendet werden, können Sie dieses Kontrollkästchen jedoch deaktivieren, da diese sich authentifizieren müssen. 201 Standardauthentifizierung Verwenden Sie dieses Kontrollkästchen für E-MailClients (wie Microsoft Outlook), die eine Verbindung zum Server mit POP3 (Post Office Protocol, Version 3) oder IMAP4 (Internet Message Access Protocol, Version 4rev1) herstellen. Zum Senden von E-Mail-Nachrichten authentifizieren sich diese Clients am Server. Wichtig: Wenn Sie das Kontrollkästchen Standardauthentifizierung (Kennwort wird unverschlüsselt gesendet) aktivieren, werden Benutzernamen und Kennworte unverschlüsselt über das Netzwerk übertragen. Diese Informationen können im Internet einfach abgehört werden. Wenn Sie die Standardauthentifizierung verwenden, sollten Sie zur Erhöhung der Sicherheit TLS (Transport Layer Security) implementieren. TLS-Verschlüsselung erforderlich Verwenden Sie dieses Kontrollkästchen, wenn Sie über ein digitales Zertifikat verfügen. Das bietet sich für Hochsicherheitsumgebungen an. Wenn Sie dieses Kontrollkästchen aktivieren, müssen Sie im entsprechenden Feld Standarddomäne den Namen der Windows 2000- oder Windows Server 2003-Domäne eingeben, bei der sich der Benutzer authentifizieren soll, wenn dieser keine Domäne angibt. Weitere Informationen über TLS-Verschlüsselung finden Sie in der ExchangeOnlinedokumentation. Integrierte Windows-Authentifizierung Dieses Kontrollkästchen wird nur für Windows-Benutzerkonten verwendet. Mit dem NTLM-Protokoll werden Benutzernamen und Kennworte verschlüsselt und dann zur Authentifizierung an den virtuellen SMTP-Server weitergegeben. Hinweis: In der Standardeinstellung sind die Kontrollkästchen Anonymer Zugriff, Standardauthentifizierung und Integrierte WindowsAuthentifizierung aktiviert. Wenn Sie nur einen virtuellen Standardserver verwenden, wird empfohlen, dass Sie die Standardeinstellungen beizubehalten. Dadurch können Benutzer sich mit den gängigsten Methoden authentifizieren. 4. Klicken Sie in den Eigenschaften des <virtuellen SMTP-Servers> auf der Registerkarte Zugriff unter Sichere Kommunikation auf Zertifikat, um ein Zertifikat (für die TLS-Verschlüsselung) zu konfigurieren, mit dem Nachrichten für die Übertragung zwischen den Servern verschlüsselt werden. Weitere Informationen über TLS-Verschlüsselung finden Sie in der Exchange-Onlinedokumentation. 5. Klicken Sie auf der Registerkarte Zugriff unter Verbindungskontrolle auf Verbindung, und gestatten oder verbieten Sie den Zugriff auf den Server abhängig von der IP-Adresse. Wenn Sie mehrere virtuelle SMTP-Server verwenden und Sie 202 möchten den Zugriff auf bestimmte Hosts verbieten, müssen Sie für jeden virtuellen Server den folgenden Vorgang durchführen: a. Klicken Sie für direkt mit dem Internet verbundene Server in Verbindung auf Alle, mit Ausnahme der Computer in der Liste unten. b. Um nur die Computer aufzulisten, von denen Sie keine E-Mail-Nachrichten empfangen möchten, klicken Sie auf Hinzufügen, und folgen Sie den Anweisungen im Dialogfeld Computer. Sie können alle Server angeben, die Sie für eine Quelle von Spam halten. c. Klicken Sie zweimal auf OK, um die Einstellungen zu übernehmen. Angeben von Nachrichtenbeschränkungen In den Eigenschaften des virtuellen Servers können Sie auf der Registerkarte Nachrichten die Standardanzahl der Empfänger pro Nachricht konfigurieren. Durch eine Reduzierung dieser Zahl können die Auswirkungen von Spam verringert werden, indem die Zustellung einer einzigen Nachricht an eine große Zahl von Benutzern verhindert wird. Sie können auch die maximale Nachrichtengröße und die Länge einer Sitzung verringern. Hinweis: Wenn in der Organisation umfangreiche Verteilerlisten verwendet werden, die über SMTP von Internetbenutzern empfangen werden, kann die Reduzierung der Anzahl der Empfänger pro Nachricht eine Beeinträchtigung für Ihre Benutzer darstellen. MAPI-Empfänger (z. B. Benutzer von Outlook) werden jedoch nicht von der Reduzierung beeinträchtigt. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist 203 Verfahren So legen Sie Nachrichtenbeschränkungen fest 1. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, den Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Nachrichten, um die Nachrichtenbeschränkungen für diesen Server festzulegen. Registerkarte „Nachrichten“ im Eigenschaftendialogfeld für den virtuellen SMTP-Standardserver 3. Aktivieren Sie unter Legen Sie die folgenden Nachrichtenbeschränkungen fest das Kontrollkästchen Nachrichtengröße beschränken auf (KB), um die maximale Nachrichtengröße zu beschränken. Um zu verhindern, dass Benutzer große Dokumente senden, geben Sie im entsprechenden Feld einen niedrigen Wert ein. Wenn Sie die maximale Nachrichtengröße nicht begrenzen, kann sich dies auf die Leistung auswirken. Es wird empfohlen, dass die Begrenzung der für Ihre 204 Organisation angemessenen maximalen Nachrichtengröße entspricht. Hinweis: Dokumente werden um ungefähr 33 Prozent größer, wenn sie aus der Routinggruppe oder der Organisation heraus gesendet werden. Wenn Sie Dokumente bis zu einer Größe von 3 MB senden möchten, legen Sie die maximale Nachrichtengröße auf 4.096 KB fest. 4. Aktivieren Sie das Kontrollkästchen Nachrichtengröße beschränken auf (KB), und geben Sie einen Wert ein, der größer ist als die maximale Nachrichtengröße. 5. Aktivieren Sie das Kontrollkästchen Zahl der Nachrichten pro Verbindung beschränken auf, um das System so zu konfigurieren, dass die Verbindung getrennt wird, wenn die angegebene Nachrichtenzahl erreicht wurde. Diese Standardeinstellung optimiert den Nachrichtenfluss in den meisten Messagingtopologien. Die Aktivierung dieses Kontrollkästchens kann jedoch auch zu einer leichten Leistungsverringerung führen, wenn Ihr System viele Nachrichten von einer einzelnen Quelle empfängt. 6. Aktivieren Sie das Kontrollkästchen Zahl der Nachrichten pro Empfänger beschränken auf, damit Exchange einen Unzustellbarkeitsbericht an die Absender zurückgibt, deren Nachrichten die maximale Anzahl von Empfängern überschreitet. Durch die Aktivierung dieses Kontrollkästchens können Sie verhindern, dass Benutzer eine E-Mail-Nachricht an eine zu große Anzahl von Empfängern sendet. Sicherstellen, dass der Exchange-Server nicht ausschließlich das RTF-Format verwendet Für jede unter Internet-Nachrichtenformate aufgelistete Domäne können Sie konfigurieren, wie Internet-E-Mail-Nachrichten gesendet werden. Als allgemeine Richtlinie gilt, Nachrichten nicht ausschließlich im RTF-Format zu senden, da zahlreiche E-Mail-Server anderer Anbieter als Microsoft Rich-Text-Nachrichten nicht lesen können. Diese erhalten möglicherweise eine E-Mail-Nachricht mit einem winmail.dat-Dateianhang. Um dieses Problem zu vermeiden, stellen Sie sicher, dass in Ihren globalen Nachrichteneinstellungen nicht ausschließlich Exchange-RTF verwendet wird. 205 Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So stellen Sie sicher, dass Ihr Exchange Server nicht ausschließlich RTF verwendet 1. Erweitern Sie im Exchange-System-Manager Globale Einstellungen, und klicken Sie dann auf Internet-Nachrichtenformate. 2. Klicken Sie mit der rechten Maustaste im Detailbereich auf den gewünschten Namen, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Erweitert. 4. Stellen Sie unter Exchange-Rich-Text-Format sicher, dass entweder Nie verwenden oder Individuelle Benutzereinstellungen verwenden ausgewählt ist. Registerkarte „Erweitert“ für Internetnachrichtenformate 206 Hinweis: Die Auswahl von Immer verwenden kann dazu führen, dass Benutzer auf Nicht-Microsoft-Servern Ihre E-Mail-Nachrichten nicht lesen können. Diese erhalten möglicherweise eine E-Mail-Nachricht mit einem winmail.datDateianhang. Einrichten von Beschränkungen für ausgehende Nachrichten auf dem virtuellen SMTP-Server Sie können auf Ihrem virtuellen SMTP-Server, der die Zustellung ausgehender Nachrichten verarbeitet, die Verbindungsbeschränkungen und Timeouteinstellungen konfigurieren, die der 207 Server mit Remoteservern verwendet. Konfigurieren Sie diese Beschränkungen so, dass Ihr Server nicht überlastet wird. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Herstellen einer Verbindung mit dem Internet. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So richten Sie Beschränkungen für ausgehende Nachrichten auf Ihrem virtuellen SMTP-Server ein. 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur Server, erweitern Sie <Name des Servers>, erweitern Sie Protokolle, und erweitern Sie dann SMTP. 3. Klicken Sie mit der rechten Maustaste auf <Ihr virtueller SMTP-Server für ausgehende Nachrichten>, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Übermittlung. 5. Unter Ausgehend können Sie die Zeit in Minuten für den ersten, den zweiten, den dritten und nachfolgende Wiederholungsversuche ändern, indem Sie die für Ihre Organisation angemessenen Werte eingeben. Diese Einstellungen für ausgehende Nachrichten steuern die Nachrichtenübermittlung für E-Mail, die aus Ihrer Organisation heraus gesendet wird. Einstellungen für „Ausgehend“ auf der Registerkarte „Übermittlung“ 208 Hinweis: Das Einrichten eines Wiederholungsintervalls mit einem zu kleinen Wert kann zu einer Beeinträchtigung der Leistung führen, insbesondere wenn Ihre Internetverbindung oder der angegebene Smarthost nicht verfügbar sind. 6. Legen Sie unter Lokal die Werte für Benachrichtigung über Verzögerung und Timeout für Ablauf für die lokale Nachrichtenübertragung in den entsprechenden Feldern fest, und wählen Sie dann die Zeit in Minuten, Stunden oder Tagen aus. Es wird empfohlen, die Standardeinstellungen zu verwenden. Diese lokalen Einstellungen gelten für Mail, die an den lokalen Postfachspeicher oder den Microsoft Exchange MTA gesendet werden. Hinweis: Systeme im Internet haben möglicherweise andere Werte für die Benachrichtigung bei Verzögerung und das Timeout für Ablauf. Die hier eingegebenen Werte beziehen sich auf Nachrichten, die in der Warteschlange auf diesem Server aufgenommen werden. 209 7. Klicken Sie auf Ausgehende Verbindungen, um Verbindungsbeschränkungen und Timeoutwerte zu konfigurieren, die der Server mit Remoteservern verwendet. Das Dialogfeld Ausgehende Verbindungen wird angezeigt. Dialogfeld „Ausgehende Verbindungen“ 8. Unter Berücksichtigung der von Ihnen verwendeten Hardware können Sie das Kontrollkästchen Zahl der Verbindungen beschränken auf aktivieren, um die Verbindung zu anderen Servern zu beschränken und den Datenverkehr zu verringern. Sie können auch das Kontrollkästchen Verbindungen pro Domäne beschränken auf aktivieren. Nach der Aktivierung der Kontrollkästchen, geben Sie die entsprechenden Werte für Ihre Organisation ein. 9. Sie können die Werte für Timeout (Minuten) abhängig von Ihrer Bandbreite und Verbindungsqualität ändern. Hinweis: Eine Reduzierung der ausgehenden Verbindungen und eine Erhöhung des Zeitlimits führt möglicherweise dazu, dass alle ausgehenden Verbindungen auf eine Reaktion der Remoteserver warten. Mit dieser Einstellung bleiben EMail-Nachrichten länger in einer Warteschlange (und verursachen möglicherweise eine Verzögerung bei der Nachrichtenübermittlung), aber der Netzwerkverkehr wird so auf ein Minimum beschränkt. 210 Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen In der Standardeinstellung kann jeder Benutzer in der Organisation den SMTP-Connector verwenden. In den meisten Situationen reicht diese Einstellung aus, da die Benutzer im Allgemeinen das Internet-E-Mail senden können sollten. Verwenden Sie zum Festlegen strikterer Beschränkungen für die Übermittlung das folgende Verfahren sowie Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen. Auf der Registerkarte Übermittlung können Sie die Verwendung des Connectors beschränken. Um diese Beschränkungen zu aktivieren, müssen Sie jedoch auch bestimmte Einstellungen des Registrierungsschlüssels ändern. Wichtig: Beachten Sie, dass es sich bei der Übermittlungsbeschränkung um einen äußerst verarbeitungsintensiven Vorgang handelt, der sich negativ auf die Serverleistung auswirken kann. Die Einschränkungsüberprüfung wird durch einen Registrierungsschlüssel auf dem Exchange Server 2003 ausführenden Bridgeheadserver (die Quelle des überprüften Connectors) gesteuert. Wenn durch einen Connector eingeschränkt werden soll, durch wen Daten an die festgelegte Verbindung gesendet werden können, muss der Registrierungswert für die Einschränkungsüberprüfung manuell hinzugefügt werden. Hinweis: Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. Bevor Sie beginnen Lesen Sie die Artikel unter Herstellen einer Verbindung mit dem Internet und Festlegen von Übermittlungsbeschränkungen für den SMTP-Connector, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe 211 Verfahren So aktivieren Sie die Registrierungsschlüssel für Übermittlungsbeschränkungen 1. Starten Sie den Registrierungs-Editor: Geben Sie bei entsprechender Eingabeaufforderung Regedit.exe ein. 2. Navigieren Sie in der Registrierung zu folgendem Schlüssel, und wählen Sie diesen aus: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/RESvc/Parameters/ 3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann folgenden Registrierungsschlüssel hinzu: Value Name: CheckConnectorRestrictions Data Type: REG_DWORD Date: 1 Radix: Decimal 4. Beenden Sie den Registrierungs-Editor: Klicken Sie im Menü Registrierung auf Beenden. 5. Nach dem Aktivieren der Einstellungen für den Registrierungsschlüssel müssen Sie auf dem Exchange-Server folgende Dienste neu gestartet werden: Microsoft Exchange MTA-Stacks (MSExchangeMTA) Microsoft Exchange-Routingmodul (RESvc) SMTPSVC (Simple Mail Transfer Protocol) Festlegen von Übermittlungsbeschränkungen für den SMTP-Connector In der Standardeinstellung kann jeder Benutzer in der Organisation den SMTP-Connector verwenden. In den meisten Situationen reicht diese Einstellung aus, da die Benutzer im Allgemeinen das Internet-E-Mail senden können sollten. Verwenden Sie zum Festlegen strikterer Beschränkungen für die Übermittlung das Verfahren Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen sowie das folgende Verfahren. Nach der Aktivierung des Registrierungsschlüssels und dem Neustart der Dienste können Sie die Übermittlungsbeschränkungen für den SMTP-Connector festlegen. 212 Bevor Sie beginnen Lesen Sie die Artikel unter Herstellen einer Verbindung mit dem Internet und Aktivieren der Registrierungsschlüssel für Übermittlungseinschränkungen, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So legen Sie die Übermittlungsbeschränkungen für den SMTP-Connector fest 1. Erweitern Sie im Exchange-System-Manager Connectors, indem Sie einen der folgenden Schritte ausführen: Wenn keine Routinggruppen oder administrative Gruppen angezeigt werden, erweitern Sie Ihre Exchange-Organisation, und erweitern Sie dann Connectors. Wenn nur Routinggruppen angezeigt werden, erweitern Sie nacheinander Routinggruppen, <Routinggruppenname> und Connectors. Wenn nur administrative Gruppen angezeigt werden, erweitern Sie nacheinander Administrative Gruppen, <Name der administrativen Gruppe> und Connectors. Wenn administrative Gruppen und Routinggruppen angezeigt werden, erweitern Sie nacheinander Administrative Gruppen, <Name der administrativen Gruppe>, Routinggruppe, <Routinggruppenname> und Connectors. 2. Klicken Sie mit der rechten Maustaste auf <SMTP-Connector>, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Empfangseinschränkungen. Registerkarte „Übermittlungsbeschränkungen“ im Eigenschaftendialogfeld für den SMTP-Connector 213 4. So nehmen Sie Nachrichten von jedem Absender mit Ausnahme bestimmter Benutzer an a. Stellen Sie sicher, dass unter Standardmäßig werden Nachrichten von allen Absendern die Option Angenommen ausgewählt ist. b. Klicken Sie unter Nachrichten ablehnen von auf Hinzufügen, und geben Sie dann in Empfänger auswählen jeden Benutzer oder Gruppennamen an, von dem Sie nicht möchten, dass er den Connector verwendet. 5. So lehnen Sie Nachrichten von jedem Absender mit Ausnahme bestimmter Benutzer ab a. Klicken Sie unter Standardmäßig werden Nachrichten von allen Absendern auf Abgelehnt. b. Klicken Sie unter Nachrichten annehmen von auf Hinzufügen, und geben Sie dann in Empfänger auswählen auf jeden Benutzernamen, dem Sie die Verwendung des Connectors erlauben möchten. 214 Festlegen eines Zeitplans für den Connector Wenn Sie über einen SMTP-Connector eine Verbindung mit einem Netzwerkdienstanbieter herstellen und Internet-E-Mail-Nachrichten herunterladen, können Sie bestimmte Zeiten festlegen, zu denen der Connector einen Kontakt zum Server des Netzwerkdienstanbieters herstellt. Alternativ können Sie auch angeben, dass ein Connector E-Mail-Nachrichten speichert, bis ein Remoteserver die Übermittlung auslöst. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So legen Sie einen Connectorzeitplan fest 1. Erweitern Sie im Exchange-System-Manager Connectors, indem Sie einen der folgenden Schritte ausführen: Wenn keine Routinggruppen oder administrative Gruppen angezeigt werden, erweitern Sie Ihre Exchange Server-Organisation, und erweitern Sie dann Connectors. Wenn nur Routinggruppen angezeigt werden, erweitern Sie nacheinander Routinggruppen, <Routinggruppenname> und Connectors. Wenn nur administrative Gruppen angezeigt werden, erweitern Sie nacheinander Administrative Gruppen, <Name der administrativen Gruppe> und Connectors. Wenn administrative Gruppen und Routinggruppen angezeigt werden, erweitern Sie nacheinander Administrative Gruppen, <Name der administrativen Gruppe>, Routinggruppe, <Routinggruppenname> und Connectors. 2. Klicken Sie mit der rechten Maustaste auf <SMTP-Connector>, und klicken Sie dann 215 auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Zustelloptionen. Registerkarte „Zustelloptionen“ im Eigenschaftendialogfeld für den SMTPConnector 4. Um eine Zeit festzulegen, zu der der Connector ausgeführt wird, klicken Sie auf Festlegen, wann Nachrichten über diesen Connector gesendet werden. 5. Wählen Sie in der Liste Verbindungszeit eine Uhrzeit aus, oder klicken Sie auf Anpassen, um einen benutzerdefinierten Zeitplan zu erstellen. 6. Um einen anderen Zeitpunkt festzulegen, zu dem der Connector überlange Nachrichten übermitteln soll, aktivieren Sie das Kontrollkästchen Abweichende Zeiten für Übermittlung von überlangen Nachrichten. Wenn Sie dieses Kontrollkästchen aktivieren, werden die folgenden Optionen angezeigt: Überlange Nachrichten sind größer als (KB) Geben Sie in diesem Feld einen 216 Schwellenwert ein, der überlange Nachrichten definiert. Verbindungszeit Wählen Sie in dieser Liste eine Uhrzeit aus, oder klicken Sie auf Anpassen, um einen benutzerdefinierten Zeitplan zu erstellen. 7. Um E-Mail-Nachrichten zu speichern, bis ein Remoteserver die Übermittlung auslöst, klicken Sie auf Mail für remote ausgelöste Übermittlung in der Warteschlange speichern, und klicken Sie dann auf Hinzufügen, um autorisierte Konten hinzuzufügen, die eine Remoteübermittlung auslösen können. Festlegen von Inhaltsbeschränkungen für den SMTP-Connector Hier können Sie die Nachrichtentypen einschränken, die von einem Connector übermittelt werden. Wenn Sie beispielsweise besondere Geschäfts- oder Verwaltungsanforderungen haben, können Sie den Nachrichtentyp so einschränken, dass nur E-Mail-Nachrichten mit hoher Priorität durch einen bestimmten Connector übermittelt wird. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So legen Sie Inhaltseinschränkungen für einen SMTP-Connector fest 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Wechseln Sie in der Konsolenstruktur zu Connectors, indem Sie einen der folgenden Schritte ausführen: Erweitern Sie unter der Exchange-Organisation Connectors. Wenn keine Routinggruppen definiert sind, erweitern Sie Administrative Gruppen, dann <Name der administrativen Gruppe>, und erweitern Sie anschließend Connectors. 217 Wenn Routinggruppen definiert sind, erweitern Sie nacheinander Administrative Gruppen, <Name der administrativen Gruppe>, Routinggruppe, <Routinggruppenname> und Connectors. 3. Klicken Sie mit der rechten Maustaste auf <SMTP-Connector>, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Inhaltseinschränkungen. Registerkarte „Inhaltsbeschränkungen“ im Eigenschaftendialogfeld für den SMTP-Connector 5. Wählen Sie unter Zugelassene Prioritätseinstellungen, jeden Nachrichtentyp mit Priorität aus, den Sie über den Connector senden möchten. 6. Wählen Sie unter Zugelassene Typen jeden Nachrichtentyp (von System stammend oder nicht vom System stammend) aus, den Sie über den Connector senden möchten. 218 7. Wenn Sie eine Größenbeschränkung festlegen möchten, aktivieren Sie unter Zugelassene Größen das Kontrollkästchen Nur Nachrichten kleiner als (KB), und geben Sie dann eine Größenbeschränkung ein. Angeben des Verfahrens zum Verwalten unzustellbarer E-Mail-Nachrichten Gehen Sie folgendermaßen vor, um zu steuern, wie unzustellbare E-Mail-Nachrichten auf einem bestimmten virtuellen Server verarbeitet wird. Für die Bearbeitung aller Unzustellbarkeitsberichte für eine Organisation können Sie stets Unzustellbarkeitsberichte (NDR) verwenden. Wenn Sie mit einem anderen E-Mail-System einen Namespace gemeinsam verwenden, E-Mail-Nachrichten für diese Benutzer annehmen und diese E-MailNachrichten an das andere System weiterleiten möchten, indem Sie es als Smarthost angeben, kann es sinnvoll sein festzulegen, wie unzustellbare E-Mail-Nachrichten auf einem virtuellen Server behandelt werden. Bevor Sie beginnen Lesen Sie den Artikel unter Herstellen einer Verbindung mit dem Internet, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So geben Sie an, wie unzustellbare E-Mail-Nachrichten verwaltet werden 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur Server, erweitern Sie <Servername>, erweitern Sie Protokolle, und erweitern Sie dann SMTP. 3. Klicken Sie mit der rechten Maustaste auf den gewünschten virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Nachrichten. Registerkarte „Nachrichten“ im Eigenschaftendialogfeld für den virtuellen 219 SMTP-Standardserver 5. Geben Sie im Feld Kopie von Unzustellbarkeitsberichten senden an die SMTPAdresse des Exchange-Administrators an, der die Kopien der Unzustellbarkeitsberichte erhalten soll. Die Unzustellbarkeitsberichte können Ihnen bei der Analyse von Benutzerproblemen helfen. Weitere Informationen zum Auswerten von Unzustellbarkeitsberichten finden Sie unter Problembehandlung bei Unzustellbarkeitsberichten. Hinweis: Unzustellbarkeitsberichte sind oft darauf zurückzuführen, dass Benutzer die falsche E-Mail-Adresse eingeben. Sie können dieses Feature deaktivieren, bis Probleme auftreten und Sie die Unzustellbarkeitsberichte untersuchen müssen. 6. Im Feld BADMAIL-Verzeichnis können Sie den Speicherort der Nachrichten ändern, die fehlerhaft weitergeleitet wurden und nicht übermittelt werden können. Es wird empfohlen, den Standardspeicherort beizubehalten. Der Standardspeicherort ist \Exchsrvr\Mailroot\vsi #Instanz des virtuellen Servers\badmail. 220 Vorsicht: Das Verschieben des Badmail-Verzeichnisses auf einen Datenträger, auf dem sich nicht auch das Warteschlangenverzeichnis befindet, kann zu einer Beeinträchtigung der Leistung führen und die Rückverfolgung von fehlerhaft weitergeleiteten Nachrichten erschweren. 7. Im Feld Alle E-Mails mit nicht ausgewerteten Empfängern weiterleiten an Host können Sie einen anderen Host angeben, an den unzustellbare Nachrichten weitergeleitet werden. Das ist sinnvoll, wenn Sie gemeinsam mit einem anderen EMail-System einen Namespace verwenden, insbesondere wenn es E-MailEmpfänger mit Ihrem Domänennamen gibt, die jedoch nicht zur ExchangeOrganisation gehören. Zum Beispiel befindet sich [email protected] innerhalb der Exchange-Organisation und [email protected] außerhalb der Exchange-Organisation. In diesem Beispiel können Benutzer von [email protected] E-MailNachrichten an Benutzer von [email protected] senden, und Exchange leitet die Nachricht an den angegebenen anderen Host weiter. Teil drei Netzwerkangriffe treten immer häufiger auf, und dieser Trend wird wahrscheinlich weiter zunehmen. Daher ist es sehr wichtig, dass Sie nach dem Konfigurieren des Nachrichtenflusses in der Exchange-Organisation Maßnahmen zum Absichern des Nachrichtenflusses ergreifen. Nachrichten, die an und von Microsoft® Exchange-Servern oder andere externe Systeme geroutet werden, durchlaufen das lokale Netzwerk und das Internet. Um zu vermeiden, dass böswillige Internetbenutzer die E-Mail-Nachrichten der Organisation widerrechtlich manipulieren und einen Angriff auf den Server ausführen, müssen Sie die Internetverbindungen sichern. Es werden drei Arten von Internetverbindungen unterschieden: Verwendung eines Connectors zur Herstellung einer E-Mail-Verbindung zwischen der Organisation und anderen externen Systemen Verwendung eines Connectors zur Herstellung einer Internetverbindung zwischen den Exchange-Routinggruppen innerhalb der Organisation Zulassen des Zugriffs auf Exchange-Postfächer in der Organisation durch ExchangeClients mithilfe von Internet-E-Mail-Protokollen oder Microsoft Office Outlook® Web Access 221 Im Allgemeinen ist für jede dieser Verbindungsarten ein eine andere Sicherheitsebene erforderlich. In den Abschnitten von Teil 3 werden unterschiedliche Möglichkeiten zum Absichern einer Exchange-Organisation erläutert: Absichern der Infrastruktur In diesem Abschnitt werden Methoden beschrieben, die zur Sicherung der Infrastruktur durch Deaktivierung unnötiger Diensten von IIS (Internetinformationsdienste) sowie Verwendung einer Firewall und von VPNs (Virtual Private Networks) verwendet werden können. Absichern des Exchange-Servers In diesem Abschnitt werden allgemeine Sicherheitsmethoden erläutert, die zur Sicherung der Exchange-Server verwendet werden können. Konfigurieren der Spamsteuerung und -filterung In diesem Abschnitt wird erläutert, wie unerwünschte kommerzielle E-Mail-Nachrichten, auch als Spam bezeichnet, über Absender-, Empfänger- und Verbindungsfilterung von Exchange gesteuert werden können. Hinweis: Weitere Informationen über Exchange finden Sie im Exchange Server 2003 Security Hardening Guide. Absichern der Infrastruktur In diesem Thema werden wichtige Infrastrukturkomponenten beschrieben, die Sie zur Erhöhung der Sicherheit implementieren können. Es enthält folgende Themen: Sichern der IIS-Umgebung (Internetinformationsdienste) zum Schutz von Internetdiensten Die Bedeutung von Firewalls beim Schutz von Servern vor direktem Internetzugriff Verwenden von virtuellen privaten Netzwerken (VPNs) als Sicherheitsmaßnahme beim Zugriff auf private Netzwerkressourcen Sichern von IIS Wie bereits im Abschnitt „Internetinformationsdienste (IIS)“ in Transportabhängigkeiten in Exchange Server 2003 erläutert, bietet IIS eine Umgebung für Internetdienste wie HTTP, SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol) und NNTP (Network News Transfer Protocol). Daher ist die Sicherheit von IIS von besonderer Bedeutung. Die Art und Weise, wie Sie IIS sichern können, ist abhängig von der auf dem 222 Exchange-Server verwendeten Version von Microsoft® Windows®. Windows 2000 Server bietet den IIS-Lockdown-Assistenten; Windows Server 2003™ bietet URLScan. Verwenden Sie zum Sichern von IIS das entsprechende Tool der verwendeten Windows-Version. Verwenden des IIS-Lockdown-Assistenten für Windows 2000 Server Der unter Windows 2000 Server zur Verfügung gestellte IIS-Lockdown-Assistent für IIS 5.0 deaktiviert unnötige IIS-Dienste und verringert so das mögliche Sicherheitsrisiko durch diese Dienste. Um Schutz vor Angriffen zu bieten, integriert der IIS-Lockdown-Assistent URLScan mit benutzerdefinierten Vorlagen für Exchange-Server. Der IIS-Lockdown-Assistent ist in erster Linie zur Sicherung von Microsoft Office Outlook® Web Access-Servern und FrontEnd-Servern konzipiert, er ist jedoch auch sinnvoll zur Überprüfung der Sicherheitskonfiguration auf einem Exchange-Server. Um ein besonders hohes Maß an Sicherheit zu erreichen, führen Sie den IIS-LockdownAssistenten auf jedem Exchange-Server und Domänencontroller in Ihrer Organisation aus. Sie können den IIS Lockdown Wizard im Microsoft Download Center downloaden. Weitere Informationen zum IIS-Lockdown-Assistenten finden Sie im Microsoft Knowledge Base-Artikel 309508 „XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment“. Bei der zweifachen Ausführung des IIS-Lockdown-Assistenten gilt es einige Probleme zu beachten. Weitere Informationen zum zweimaligen Ausführen des IIS-Lockdown-Assistenten finden Sie im Microsoft Knowledge Base-Artikel 317052 „HOW TO: Undo Changes Made by the IIS Lockdown Wizard“. Ausführen von URLScan unter Windows Server 2003 Der IIS-Lockdown-Assistent steht nicht für Windows Server 2003 zur Verfügung, Sie können jedoch URLScan ausführen, um IIS unter Windows Server 2003 abzusichern. URLScan, Version 2.5, ist ein Sicherheitstool, mit dem die Arten der von IIS verarbeiteten HTTPAnforderungen eingeschränkt werden können. Indem bestimmte HTTP-Anforderungen gesperrt werden, können mithilfe des URLScan-Sicherheitstools potenziell gefährliche Anforderungen den Exchange-Server nicht erreichen. Weitere Informationen zum Tool URLScan finden Sie im Microsoft Knowledge BaseArtikel 823175, „Fine-Tuning and Known Issues When You Use the Urlscan Utility in an Exchange 2003 Environment“. 223 Verwenden von Firewalls Ein Firewall verhindert den unberechtigten Zugriff auf Daten, die sich auf Servern hinter dem Firewall befinden. Egal ob Ihre Organisation bereits über ein Netzwerk verfügt oder ein neues Netzwerk erstellt wird – die Firewallplanung ist sehr wichtig. Mit Software wie Microsoft ISA Server (Internet Security and Acceleration) können Sie den gesamten Internetdatenverkehr über einen einzigen Standort routen. Zwar sind dazu umfangreichere Einrichtungs- und Planungsarbeiten erforderlich als bei einer einfachen direkten Internetverbindung, jedoch wird die Sicherheit der Server in Ihrer Organisation erheblich erhöht. Sie können einen Firewall so einrichten, dass nur wesentlicher Internetverkehr über festgelegte Anschlüsse zugelassen ist. Beispielsweise können Sie das Netzwerk so konfigurieren, dass nur SMTP-Datenverkehr (Anschluss 25) den Firewall passieren darf, und somit Verbindungen mit allen anderen Anschlüssen verhindern. Damit Exchange in einer Firewallumgebung ordnungsgemäß ausgeführt wird, insbesondere in Hinsicht auf Remoteclients, müssen zur Ermöglichung des Internetzugangs bestimmte Anforderungen berücksichtigt werden. Firewalls können beispielsweise bestimmte TCPAnschlüsse filtern oder vollständig blockieren. Damit Remoteclients und -server über einen Firewall kommunizieren können, dürfen Sie daher die Anschlusszuordnungen für die verschiedenen Protokolle, die Exchange unterstützt, nicht ändern oder blockieren. Weitere Informationen zu den für Exchange erforderlichen Anschlüssen finden Sie unter „Von Exchange verwendete Anschlüsse“ in SMTP-Befehle und Definitionen und im Microsoft Knowledge Base-Artikel 278339, „XGEN: TCP/UDP Ports Used By Exchange 2000 ServerXGEN: TCP/UDP Ports Used By Exchange 2000 Server.“ Obwohl dieser Artikel für Exchange 2000 geschrieben wurde, gelten die Informationen auch für Exchange 2003. Wenn Sie einen einfachen SMTP-Server im Umkreisnetzwerk eines Firewalls einrichten möchten, benötigen Sie oft nur einen Computer mit Windows 2000 Server oder Windows Server 2003 für SMTP-Dienste. Zusätzliche Sicherheit wird durch die Netzwerkadressübersetzung (NAT) von Exchange 2003 Enterprise Server, Windows 2000 Server oder Windows Server 2003, Microsoft ISA Server sowie andere Lösungen erreicht, die einen Puffer zwischen Internet und internem LAN bilden. Wenn Sie keine Firewallverbindung zum Internet implementieren, müssen Sie bedenken, wie sich dies auf die Serversicherheit auswirkt. Alle Exchange-Server in einem Netzwerk mit einer direkten Verbindung zum Internet, unterliegen den Sicherheitsrisiken des Internets. Verwenden von virtuellen privaten Netzwerken (VPNs) Der Routing- und RAS-Dienst (RRAS) von Windows 2000 Server und Windows Server 2003 ist eine offene, erweiterbare Plattform für Routing und für das Arbeiten im Internet. RRAS 224 ermöglicht den Remotezugriff über das Internet und auf Organisationen in LAN- und WANUmgebungen, indem sichere VPN-Verbindungen eingesetzt werden. VPNs sind sichere, authentifizierte Verbindungen über öffentliche oder private Netzwerke wie beispielsweise das Internet. Die RAS- und RRAS-Dienste in Windows 2000 Server und Windows Server 2003 bieten Optionen, die Remotebenutzer für den DFÜ-Zugriff auf das Internet verwenden können. Damit diese Zugriffsdienste ordnungsgemäß funktionieren, sind folgende Komponenten notwendig: Remoteverbindungsverfahren mit der Bezeichnung PPTP (Point-to-Point Tunneling Protocol) Internetverbindung zur Erstellung eines VPN PPTP wurde für die Unterstützung von VPNs entwickelt. VPNs sind durch DSL (Digital Subscriber Line) und Internetverbindungen über Kabelmodem kostengünstiger einzurichten und zu unterstützen als traditionelle WANs. Durch ein VPN entfallen die Gebühren für Ferngespräche. Weiterhin stehen eine gesicherte Verbindung, gegenseitige Authentifizierung und Paketfilterung zur Verfügung. Nachdem ein PPTP-Server einen Remoteclient authentifiziert hat, wird die VPN-Verbindung geöffnet. Die PPTP-Sitzung dient als Tunnel, durch den die Netzwerkpakete übertragen werden. Die Pakete werden zunächst beim Senden verschlüsselt. Die Pakete durchlaufen dann den Tunnel und werden auf der Empfängerseite entschlüsselt. Eine Organisation kann beispielsweise Remoteclients unter Verwendung eines VPNs die Verbindung zu einem Unternehmensnetzwerk über das Internet erlauben. Obwohl bei einem VPN keine Breitbandverbindung notwendig ist, kann eine VPN-Breitbandverbindung für VPNRemotebenutzer von Vorteil sein. Durch die Verwendung einer VPN-Breitbandverbindung können Benutzer eine Verbindung mit einem Unternehmensnetzwerk über das Internet herstellen und dann das Unternehmensnetzwerk verwenden, als wären sie direkt angemeldet. Absichern des Exchange-Servers In diesem Thema werden die verschiedenen Möglichkeiten zum Absichern des Microsoft® Exchange-Servers beschrieben. Sie können die Sicherheit Ihrer Server erhöhen, indem Sie die unten aufgeführten Aufgaben ausführen. Diese werden in den folgenden Abschnitten näher erläutert: Deaktivieren offener Relays auf allen virtuellen SMTP-Servern. Die Standardrelayeinschränkungen hindern nicht autorisierte Benutzer daran, eine Nachricht per Relay über Ihren Exchange-Server weiterzuleiten. Wenn Ihr Server als offenes Relay konfiguriert ist, können nicht autorisierte Benutzer über Ihren Server unerwünschte kommerzielle E-Mail-Nachrichten (Spam) senden. Dadurch halten andere Organisationen 225 Ihren Server möglicherweise für ein offenes Relay und blockieren den Server auch für andere, legitime Mails. Verhindern des anonymen Zugriffs auf interne virtuelle SMTP-Server und dedizierte virtuelle SMTP-Server für IMAP- und POP-Clients. Da alle ExchangeServer in Ihrer Organisation zum Senden von E-Mail-Nachrichten gegenseitig authentifiziert werden müssen, ist es nicht notwendig, den anonymen Zugriff für Ihre internen virtuellen SMTP-Server (Simple Mail Transfer Protocol) zu aktivieren. Außerdem erfolgt eine Authentifizierung aller POP- (Post Office Protocol) und IMAP-Clients (Internet Message Access Protocol) mit dem virtuellen SMTP-Server, sodass auf einem Server, der ausschließlich von POP- und IMAP-Clients verwendet wird, kein anonymer Zugriff erforderlich ist. Wenn Sie den anonymen Zugriff auf diesen Servern deaktivieren, können nur autorisierte Benutzer auf diese zugreifen. Einschränken des Übermittlungs- und Relayzugriffs auf internen virtuellen SMTPServern. Unter Microsoft Exchange Server 2003 können Sie den Zugriff auf virtuelle SMTP-Server weiter einschränken, indem Sie Standardsicherheitsprinzipien der Microsoft Windows® 2000 Server- bzw. Windows Server™ 2003-DACL (Discretionary Access Control List) verwenden. Damit können Sie Benutzern und Gruppen explizite Berechtigungen für die Verwendung eines virtuellen SMTP-Servers zuweisen. Deaktivieren offener Relays auf allen virtuellen SMTP-Servern Wie in Festlegen der Relayeinschränkungen erläutert wurde, ist es äußerst wichtig, dass Sie auf Ihren virtuellen SMTP-Servern die anonyme Weiterleitung nicht eröffnen oder zulassen. Die Weiterleitung per Relay bedeutet, dass ein Benutzer den Exchange-Server für das Senden einer E-Mail an eine externe Domäne verwendet. In der Standardkonfiguration lässt Exchange die Weiterleitung von Nachrichten per Relay nur für authentifizierte Benutzer zu, d. h. nur authentifizierte Benutzer können Exchange zum Senden von Mails an eine externe Domäne verwenden. Wenn Sie die Standardrelayeinstellungen so ändern, dass nicht authentifizierte Benutzer Mails per Relay weiterleiten können, oder wenn über einen Connector in Ihrer Domäne ein offenes Relay vorhanden ist, können nicht authentifizierte Benutzer Ihren Exchange-Server zum Senden von Spam verwenden. Dadurch wird Ihr Server möglicherweise gesperrt, und es können keine E-Mail-Nachrichten mehr an legitime Remoteserver gesendet werden. Um zu verhindern, dass nicht autorisierte Benutzer Ihren Exchange-Server zum Weiterleiten von EMail-Nachrichten per Relay verwenden, sollten Sie immer die Standardrelayeinschränkungen verwenden. 226 Hinweis: Die Weiterleitung per Relay wird oft mit Spam verwechselt. Durch die Relaykontrolle wird der Empfang von Spam-Mails nicht verhindert. Weitere Informationen zum Steuern von Spam finden Sie unter Konfigurieren der Spamsteuerung und -filterung. Weitere Informationen zum Steuern der Weiterleitung per Relay finden Sie im Microsoft Knowledge Base-Artikel 304897 „XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests“. Verhindern des anonymen Zugriffs auf interne virtuelle SMTPServer und dedizierte virtuelle SMTP-Server für IMAP- und POP-Clients Sie können zur Verbesserung der Sicherheit den anonymen Zugriff auf Ihren internen virtuellen SMTP-Server und auf andere virtuelle SMTP-Server verhindern, die für das Annehmen eingehender Mails von IMAP- oder POP-Remotebenutzern dediziert sind. Beim Senden einer internen E-Mail müssen Exchange-Server automatisch authentifiziert werden. Der Mailfluss wird also durch das Beschränken des anonymen Zugriffs auf internen Servern nicht beeinträchtigt, Ihr interner virtueller SMTP-Server verfügt jedoch über eine zusätzliche Sicherheitsschicht. Auch bei IMAP- und POP-Clients erfolgt vor dem Senden einer E-Mail an virtuelle SMTPServer eine Authentifizierung. Wenn Sie also dedizierte virtuelle SMTP-Server für Ihre IMAPund POP-Clients verwenden, können Sie diese Server so konfigurieren, dass nur authentifizierter Zugriff zugelassen wird. Um anonymen Zugriff zu verhindern, klicken Sie in den Eigenschaften des virtuellen SMTP-Servers auf der Registerkarte Zugriff auf Authentifizierung, und deaktivieren Sie anschließend das Kontrollkästchen Anonymer Zugriff. Schrittweise Anweisungen für das Verhindern des anonymen Zugriffs finden Sie in Konfigurieren der Zugriffssteuerung und Authentifizierungsmethoden. Wichtig: Deaktivieren Sie den anonymen Zugriff nicht auf virtuellen Internet-SMTPBridgeheadservern. Virtuelle SMTP-Server, die E-Mail-Nachrichten vom Internet annehmen, müssen anonymen Zugriff zulassen. Einschränken von Übermittlungen an Verteilerlisten und Benutzer In Exchange 2003 können Sie einschränken, welche Personen E-Mail-Nachrichten an einen einzelnen Benutzer oder an eine Verteilerliste senden dürfen. Durch das Einschränken von Übermittlungen in einer Verteilerliste wird verhindert, dass nicht vertrauenswürdige Absender (z. B. nicht autorisierte Internet-Benutzer) E-Mail-Nachrichten an eine ausschließlich interne Verteilerliste senden können. Die Verteilerliste All Employees darf für niemanden außerhalb des Unternehmens zugänglich sein (weder durch Täuschung noch auf andere Weise). 227 Hinweis: Eingeschränkte Verteilerlisten sowie Übermittlungseinschränkungen für Benutzer können nur auf Bridgeheadservern oder SMTP-Gatewayservern verwendet werden, auf denen Exchange Server 2003 ausgeführt wird. Sie können beispielsweise Einschränkungen für interne Verteilerlisten mit allen Festangestellten oder für andere interne Gruppen festlegen. Dadurch schützen Sie diese Verteilerlisten vor Spam-E-Mail-Nachrichten und verhindern, dass anonyme Benutzer E-MailNachrichten an diese Verteilerlisten senden können. Ausführliche Anweisungen zum Festlegen von Übermittlungseinschränkungen für Benutzer bzw. Verteilerlisten finden Sie unter Einrichten von Einschränkungen für Benutzer und Einrichten von Einschränkungen für eine Verteilergruppe. Einschränken der Übermittlungs- und Relayberechtigungen auf internen virtuellen SMTP-Servern Unter Exchange Server 2003 können Sie Übermittlungs- und Relayberechtigungen an einen virtuellen SMTP-Server über die Windows 2000 Server- oder Windows 2003 ServerStandard-DACL (Discretionary Access Control List) auf eine beschränkte Anzahl von Benutzern oder Gruppen begrenzen. Dadurch können Sie Benutzergruppen festlegen, die berechtigt sind, E-Mail-Nachrichten zu übermitteln oder per Relay weiterzuleiten. Einschränken von Übermittlungen an virtuelle SMTP-Server Die Einschränkung von Übermittlungen an einen virtuellen SMTP-Server ist sinnvoll, wenn Sie bestimmte Benutzer dazu berechtigen möchten, Internet-E-Mail an bestimmte virtuelle Server zu senden. Sie können dann nur diesen Benutzern oder Gruppen die Berechtigung zum Übermitteln von E-Mail-Nachrichten an diese virtuellen SMTP-Server erteilen. Hinweis: Schränken Sie nicht die Übertragungen an virtuelle SMTP-Server ein, die Internet-EMail annehmen. Ausführliche Anweisungen finden Sie unter Einschränken von Übertragungen an virtuelle SMTP-Server mithilfe von Sicherheitsgruppen. Einschränken der Weiterleitung per Relay an virtuelle SMTP-Server Die Relayeinschränkung für virtuelle Server ist von Nutzen, wenn Sie einer Gruppe von Benutzern das Relay von E-Mail-Nachrichten in das Internet gestatten, einer anderen Gruppe diese Berechtigung jedoch verweigern möchten. Ausführliche Anweisungen finden Sie unter Einschränken der Weiterleitung mithilfe einer Sicherheitsgruppe. 228 Einrichten von Einschränkungen für Benutzer In Exchange 2003 können Sie einschränken, welche Personen E-Mail-Nachrichten an einen einzelnen Benutzer senden dürfen. Hinweis: Übermittlungseinschränkungen für Benutzer können nur auf Bridgeheadservern oder SMTP-Gatewayservern verwendet werden, auf denen Exchange 2003 ausgeführt wird. Bevor Sie beginnen Lesen Sie den Artikel unter Absichern des Exchange-Servers, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So richten Sie Einschränkungen für einen Benutzer ein 1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf Active Directory-Benutzer und -Computer. 2. Erweitern Sie den Container für Organisationseinheiten, und klicken Sie auf Benutzer oder auf den Container, in dem sich der Benutzer befindet. 3. Klicken Sie mit der rechten Maustaste im Detailbereich auf den Benutzer, dessen Übermittlungen Sie einschränken möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Exchange – Allgemein, und klicken Sie anschließend auf Empfangseinschränkungen. 5. Wählen Sie unter Einschränken des Nachrichtenempfangs unter Nachrichten annehmen eine der folgenden Optionen aus: Klicken Sie auf Nur von authentifizierten Benutzern, um nur für authentifizierte Benutzer das Senden von Nachrichten an den ausgewählten Benutzer zuzulassen. Durch Auswählen der Option Nur von authentifizierten Benutzern wird festgelegt, wie die weiteren Optionen implementiert werden. Klicken Sie auf Von allen, um festzulegen, dass alle authentifizierten Benutzer 229 Nachrichten an den ausgewählten Benutzer senden dürfen. Klicken Sie auf Nur von, um eine Reihe von authentifizierten Benutzern oder Gruppen festzulegen, die Nachrichten an den ausgewählten Benutzer senden dürfen. Klicken Sie auf Hinzufügen, um Benutzer oder Gruppen festzulegen, die an diesen Benutzer Nachrichten senden dürfen. Klicken Sie auf Von allen außer, um zuzulassen, dass alle authentifizierten Benutzer mit Ausnahme einer ausgewählten Reihe von Benutzern Nachrichten an den ausgewählten Benutzer senden dürfen. Klicken Sie auf Hinzufügen, um die Liste der Benutzer oder Gruppen festzulegen, die an diesen Benutzer keine Nachrichten senden dürfen. 6. Lassen Sie die Option Nur von authentifizierten Benutzern deaktiviert. Wenn Sie dieses Kontrollkästchen deaktiviert lassen, werden die folgenden Optionen so implementiert wie hier dargestellt: Klicken Sie auf Von allen, um festzulegen, dass alle Benutzer Nachrichten an den ausgewählten Benutzer senden dürfen. Dies schließt auch anonyme Benutzer aus dem Internet ein. Klicken Sie auf Nur von, um eine Reihe von Benutzern oder Gruppen festzulegen, die Nachrichten an den ausgewählten Benutzer senden dürfen. Klicken Sie auf Hinzufügen, um Benutzer oder Gruppen festzulegen, die an diesen Benutzer Nachrichten senden dürfen. 7. Klicken Sie auf Von allen außer, um festzulegen, dass alle mit Ausnahme einer ausgewählten Reihe von Benutzern oder Gruppen Nachrichten an den ausgewählten Benutzer senden dürfen. Klicken Sie auf Hinzufügen, um die Liste der Benutzer oder Gruppen festzulegen, die an diesen Benutzer keine Nachrichten senden dürfen. Bei diesen Benutzern bzw. Gruppen kann es sich um authentifizierte oder anonyme Benutzer handeln. Einrichten von Einschränkungen für eine Verteilergruppe In Exchange Server 2003 können Sie die Anzahl der Personen einschränken, die E-MailNachrichten an eine Verteilerliste senden dürfen. Durch das Einschränken von Übermittlungen in einer Verteilerliste wird verhindert, dass nicht vertrauenswürdige Absender (z. B. nicht autorisierte Internet-Benutzer) E-Mail-Nachrichten an eine ausschließlich interne Verteilerliste senden können. Die Verteilerliste Alle Mitarbeiter darf für niemanden außerhalb des Unternehmens zugänglich sein (weder durch Täuschung noch auf andere Weise). 230 Hinweis: Eingeschränkte Verteilerlisten sowie Übermittlungseinschränkungen für Benutzer können nur auf Bridgeheadservern oder SMTP-Gatewayservern verwendet werden, auf denen Exchange 2003 ausgeführt wird. Sie können beispielsweise Einschränkungen für interne Verteilerlisten mit allen Festangestellten oder für andere interne Gruppen festlegen. Dadurch schützen Sie diese Verteilerlisten vor Spam-E-Mails und verhindern, dass anonyme Benutzer E-Mails an diese Verteilerlisten senden können. Bevor Sie beginnen Lesen Sie den Artikel unter Absichern des Exchange-Servers, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So richten Sie Einschränkungen für eine Verteilerliste ein 1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf Active Directory-Benutzer und -Computer. 2. Erweitern Sie den Container für Organisationseinheiten, und klicken Sie auf Benutzer oder auf den Container, in dem sich die Verteilerliste befindet. 3. Klicken Sie mit der rechten Maustaste im Detailausschnitt auf die Verteilerliste, deren Übermittlungen Sie einschränken möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie unter Eigenschaften für <Verteilerliste> auf die Registerkarte Exchange – Allgemein. 5. Wählen Sie unter Einschränken des Nachrichtenempfangs unter Nachrichten annehmen eine der folgenden Optionen aus: Aktivieren Sie das Kontrollkästchen Nur von authentifizierten Benutzern, um festzulegen, dass nur authentifizierte Benutzer Nachrichten an die ausgewählte Verteilerliste senden dürfen. Wenn Sie dieses Kontrollkästchen aktivieren, werden die folgenden Optionen so implementiert wie hier dargestellt: Klicken Sie auf Von allen, um festzulegen, dass authentifizierte Benutzer Nachrichten an die ausgewählte Verteilerliste senden dürfen. Klicken Sie auf Nur von, um eine Reihe von authentifizierten Benutzern oder 231 Gruppen festzulegen, die Nachrichten an die ausgewählte Verteilerliste senden dürfen. Klicken Sie auf Hinzufügen, um Benutzer oder Gruppen festzulegen, die an diese Verteilerliste Nachrichten senden dürfen. Klicken Sie auf Von allen außer, um zuzulassen, dass alle authentifizierten Benutzer mit Ausnahme einer ausgewählten Reihe von Benutzern Nachrichten an die ausgewählte Verteilerliste senden dürfen. Klicken Sie auf Hinzufügen, um die Liste der Benutzer oder Gruppen festzulegen, die an diese Verteilerliste keine Nachrichten senden dürfen. 6. Lassen Sie die Option Nur von authentifizierten Benutzern deaktiviert. Wenn Sie dieses Kontrollkästchen deaktiviert lassen, werden die folgenden Optionen so implementiert wie hier dargestellt: Klicken Sie auf Von allen, um festzulegen, dass alle Benutzer Nachrichten an die ausgewählte Verteilerliste senden dürfen. Dies schließt auch anonyme Benutzer aus dem Internet ein. Klicken Sie auf Nur von, um eine Reihe von Benutzern oder Gruppen festzulegen, die Nachrichten an die ausgewählte Verteilerliste senden dürfen. Klicken Sie auf Hinzufügen, um Benutzer oder Gruppen festzulegen, die an diese Verteilerliste Nachrichten senden dürfen. Klicken Sie auf Von allen außer, um festzulegen, dass alle mit Ausnahme einer ausgewählten Reihe von Benutzern oder Gruppen Nachrichten an die ausgewählte Verteilerliste senden dürfen. Klicken Sie auf Hinzufügen, um die Liste der Benutzer oder Gruppen festzulegen, die an diese Verteilerliste keine Nachrichten senden dürfen. Bei diesen Benutzern bzw. Gruppen kann es sich um authentifizierte oder anonyme Benutzer handeln. Einschränken von Übertragungen an virtuelle SMTP-Server mithilfe von Sicherheitsgruppen Unter Exchange Server 2003 können Sie Übermittlungs- und Relayberechtigungen an einen virtuellen SMTP-Server über die Windows 2000 Server- oder Windows 2003 ServerStandard-DACL (Discretionary Access Control List) auf eine beschränkte Anzahl von Benutzern oder Gruppen begrenzen. Dadurch können Sie Benutzergruppen festlegen, die berechtigt sind, E-Mail-Nachrichten zu übermitteln oder per Relay weiterzuleiten. Die Einschränkung von Übermittlungen an einen virtuellen SMTP-Server ist sinnvoll, wenn Sie bestimmte Benutzer dazu berechtigen möchten, Internet-E-Mail an bestimmte virtuelle 232 Server zu senden. Sie können dann nur diesen Benutzern oder Gruppen die Berechtigung zum Übermitteln von E-Mail-Nachrichten an diese virtuellen SMTP-Server erteilen. Hinweis: Schränken Sie nicht die Übertragungen an virtuelle SMTP-Server ein, die Internet-EMail annehmen. Bevor Sie beginnen Lesen Sie den Artikel unter Absichern des Exchange-Servers, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So schränken Sie Übertragungen an virtuelle SMTP-Server mithilfe von Sicherheitsgruppen ein 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, den gewünschten Server, Protokolle und schließlich SMTP. 3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, für den Sie Übertragungen einschränken möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften für den virtuellen SMTP-Server auf der Registerkarte Zugriff auf die Schaltfläche Authentifizierung. 5. Deaktivieren Sie im Dialogfeld Authentifizierung das Kontrollkästchen Anonymer Zugriff, und klicken Sie dann auf Benutzer, um die Benutzer festzulegen, denen Sie auf diesem virtuellen SMTP-Server Sendeberechtigungen gewähren möchten. 6. Wenn Sie Benutzer oder Gruppen entfernen möchten, wählen Sie in Berechtigungen für Übermittlung und Relay die entsprechende Gruppe bzw. den Benutzer aus, und klicken Sie auf Entfernen. 7. Klicken Sie zum Hinzufügen von Gruppen oder Benutzern auf Hinzufügen, und wählen Sie dann die Gruppe bzw. den Benutzer aus, für die/den Sie Berechtigungen festlegen möchten. Wählen Sie eine der folgenden Optionen aus: Geben Sie unter Windows Server 2003 im Dialogfeld Benutzer, Computer oder 233 Gruppen auswählen unter Auszuwählenden Objektnamen eingeben den Namen des Benutzers bzw. der Gruppe ein. Wenn Sie nach dem Benutzer bzw. der Gruppe suchen möchten, klicken Sie auf Erweitert, suchen Sie nach dem entsprechenden Namen, und klicken Sie dann auf Namen überprüfen, um den Eintrag zu überprüfen. Tipp: Klicken Sie auf die Verknüpfung Beispiele, damit gültige Formate für die Einträge angezeigt werden. Wählen Sie unter Windows 2000 Server im Dialogfeld Benutzer, Computer oder Gruppen auswählen die Gruppen bzw. Benutzer aus, denen Sie Sendeberechtigungen gewähren möchten, und klicken Sie dann auf Hinzufügen. 8. Klicken Sie auf OK, um zum Dialogfeld Berechtigungen für Übermittlung und Relay zurückzukehren. 9. Markieren Sie unter Gruppen- oder Benutzernamen die Gruppe, die Sie gerade hinzugefügt haben. 10. Klicken Sie bei Bedarf unter Berechtigungen für <Markierte Gruppe> neben Übermittlungsberechtigung auf Zulassen, damit die markierten Benutzer bzw. Gruppen E-Mail-Nachrichten über diesen virtuellen SMTP-Server senden können. 11. Klicken Sie auf OK. Einschränken der Weiterleitung mithilfe einer Sicherheitsgruppe Die Relayeinschränkung für virtuelle Server ist von Nutzen, wenn Sie einer Gruppe von Benutzern das Relay von E-Mail-Nachrichten ins Internet gestatten, einer anderen Gruppe diese Berechtigung jedoch verweigern möchten. Bevor Sie beginnen Lesen Sie den Artikel unter Absichern des Exchange-Servers, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist 234 Verfahren So schränken Sie die Weiterleitung mithilfe von Sicherheitsgruppen ein 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, den gewünschten Server, Protokolle und schließlich SMTP. 3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, für den Sie die Weiterleitung einschränken möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie in den Eigenschaften für den virtuellen SMTP-Server auf der Registerkarte Zugriff auf die Schaltfläche Relay. 5. Deaktivieren Sie im Dialogfeld Relayeinschränkungen das Kontrollkästchen Jedem Computer, der erfolgreich authentifiziert ist, unabhängig von der Liste oben das Relay erlauben, und klicken Sie dann auf Benutzer, um die Benutzer festzulegen, denen Sie auf diesem virtuellen SMTP-Server Relayberechtigungen gewähren möchten. 6. Wenn Sie Benutzer oder Gruppen entfernen möchten, wählen Sie in Berechtigungen für Übermittlung und Relay den entsprechenden Benutzer bzw. die Gruppe aus, und klicken Sie auf Entfernen. 7. Klicken Sie zum Hinzufügen von Gruppen oder Benutzern auf Hinzufügen, und wählen Sie dann den Benutzer bzw. die Gruppe aus, für die Sie Berechtigungen festlegen möchten. Wählen Sie eine der folgenden Optionen aus: Geben Sie unter Windows Server 2003 im Dialogfeld Benutzer, Computer oder Gruppen auswählen unter Geben Sie die zu verwendenden Objektnamen ein den Namen des Benutzers bzw. der Gruppe ein. Wenn Sie nach dem Benutzer bzw. der Gruppe suchen möchten, klicken Sie auf Erweitert, suchen Sie nach dem entsprechenden Namen, und klicken Sie dann auf Namen überprüfen, um den Eintrag zu überprüfen. Klicken Sie auf die Verknüpfung Beispiele, damit gültige Formate für die Einträge angezeigt werden. Wählen Sie unter Windows 2000 Server im Dialogfeld Benutzer, Computer oder Gruppen auswählen die Gruppen bzw. Benutzer aus, denen Sie Sendeberechtigungen gewähren möchten, und klicken Sie dann auf Hinzufügen. 8. Klicken Sie auf OK, um zum Dialogfeld Berechtigungen für Übermittlung und Relay zurückzukehren. 9. Markieren Sie unter Gruppen- oder Benutzernamen die Gruppe, die Sie gerade hinzugefügt haben. 235 10. Aktivieren Sie bei Bedarf unter Berechtigungen für <Markierte Gruppe> neben Übermittlungsberechtigung das Kontrollkästchen Zulassen, damit die markierten Benutzer bzw. Gruppen E-Mail-Nachrichten über diesen virtuellen SMTP-Server senden können. 11. Aktivieren Sie neben Relayberechtigung das Kontrollkästchen Zulassen, damit die markierten Benutzer bzw. Gruppen auf diesem virtuellen SMTP-Server die Relayfunktion verwenden können, oder aktivieren Sie das Kontrollkästchen Verweigern, damit die markierten Benutzer bzw. Gruppen kein Relay über diesen virtuellen Server durchführen können. Hinweis: Wenn Sie Relayberechtigungen gewähren möchten, müssen auch Sendeberechtigungen aktiviert sein. 12. Klicken Sie auf OK. Konfigurieren der Spamsteuerung und filterung Die Steuerung von Spam stellt eine Herausforderung dar, jedoch stehen einige Methoden zur Verminderung von Spam zur Verfügung: Verwenden der Exchange 2003-Filterfunktionen. Zur Verminderung von an Benutzer in Ihrer Organisation gesendetem Spam sind in Microsoft® Exchange Server 2003 Funktionen zur Verbindungs-, Empfänger- und Absenderfilterung enthalten. Weisen Sie Ihre Benutzer an, Spam nicht zu beantworten oder an andere weiterzuleiten. Weisen Sie Ihre Benutzer an, nicht auf die in diesen E-Mail-Nachrichten enthaltenen Links zum „Entfernen“ zu klicken, da diese häufig zum Überprüfen von Adressen verwendet werden. In Exchange Server 2003 kann die Filterung auf virtuellen SMTP-Servern konfiguriert und so der Zugriff auf den virtuellen Server eingeschränkt werden. Die Filterung wird im ExchangeSystem-Manager unter Globale Einstellungen in Eigenschaften für Nachrichtenübermittlung konfiguriert. Obwohl die Filterung auf globaler Ebene konfiguriert wird, muss diese auf jedem Server einzeln aktiviert werden. Mithilfe der Filterung können Sie eingehende, an Ihren virtuellen SMTP-Server gesendete EMail-Nachrichten auf folgende Weise blockieren: Durch Verbindungsfilterung werden an Ihre Organisation gesendete Nachrichten auf Grundlage der IP-Adresse (Internet Protocol) des SMTP-Servers blockiert, der die 236 Verbindung herstellt. Für immer anzunehmende Nachrichten können globale IPAdresslisten konfiguriert werden. Ebenso können auch für stets zurückzuweisende Nachrichten globale IP-Adresslisten festgelegt werden. Sie können auch bei einem Drittanbieter eine Sperrliste abonnieren und überprüfen, ob die verbindende IP-Adresse in dieser Sperrliste enthalten ist. Hinweis: Wenn eine bestimmte IP-Adresse für das Senden an Ihre virtuellen SMTP-Server blockiert werden soll, können Sie diese IP-Adressen unter den Eigenschaften des virtuellen SMTP-Servers auf der Registerkarte Zugriff mithilfe der Schaltfläche Verbindung hinzufügen. Diese Einschränkungen sollten auf den virtuellen SMTP-Gatewayservern konfiguriert werden. Mithilfe der Empfängerfilterung können Nachrichten blockiert werden, die an eine bestimmte Empfängeradresse in Ihrer Organisation gesendet werden. Mithilfe der Absenderfilterung können Sie von bestimmten Absendern gesendete Nachrichten blockieren. Erhält Ihre Organisation wiederholt Spam von denselben Absenderadressen, können Sie E-Mail-Nachrichten von diesen Absendern für Ihre Organisation blockieren. Verbindungsfilterung Exchange Server 2003 unterstützt eine auf Sperrlisten basierte Verbindungsfilterung. Für die Verbindungsfilterung werden externe Dienste genutzt, durch die eine Liste bekannter Spamquellen, DFÜ-Benutzerkonten und Server mit Relayfunktion zur Verfügung gestellt werden (auf der Grundlage von IP-Adressen). Durch die Verbindungsfilterung werden Filterprodukte von Drittanbietern ergänzt. Mithilfe dieses Features können Sie eingehende IPAdresse nach festgelegten Filterkategorien anhand der Liste eines Sperrlistenanbieters abgleichen. Darüber hinaus können Sie mehrere Verbindungsfilter verwenden und die Anwendungsreihenfolge dieser Filter festlegen. Verbindungsfilterung ermöglicht außerdem die folgenden Vorgänge: Konfigurieren globaler Annahme- und Verweigerungslisten. Bei einer globalen Annahmeliste handelt es sich um eine Liste der IP-Adressen, von denen Nachrichten angenommen werden sollen. Bei einer globalen Verweigerungsliste handelt es sich um eine Liste der IP-Adressen, von denen Nachrichten stets verweigert werden sollen. Globale Annahme- und Verweigerungslisten können mit oder ohne Sperrlistendienstanbieter verwendet werden. Konfigurieren einer Empfängeradresse als Ausnahme zu sämtlichen Verbindungsfilterungsregeln An diese Adresse gesendete Nachrichten werden automatisch angenommen, auch wenn der Absender in einer Sperrliste enthalten ist. 237 Verwenden von Verbindungsfilterungsregeln Wenn Sie eine Verbindungsfilterungsregel erstellen, wird diese durch SMTP für eine DNSSuche in der Sperrliste eines Drittanbieters verwendet. Über den Verbindungsfilter werden sämtliche eingehenden IP-Adressen mit der Sperrliste des Drittanbieters abgeglichen. Der Sperrlistenanbieter gibt eine der folgenden Antworten aus: Host wurde nicht gefunden Zeigt an, dass die IP-Adresse nicht in der Sperrliste enthalten ist. 127.0.0.x Mit diesem Antwortstatuscode wird angezeigt, dass für die IP-Adresse eine Übereinstimmung in der Verstoßliste gefunden wurde. Der Wert x variiert je nach Sperrlistenanbieter. Wenn sich die eingehende IP-Adresse in der Sperrliste befindet, gibt SMTP auf den Befehl RCPT TO den Fehler 5x.x zurück (RCPT TO ist der durch den verbindenden Server ausgegebene SMTP-Befehl zum Identifizieren des angegebenen Nachrichtenempfängers). Die an den Absender zurückgegebene Antwort kann angepasst werden. Da Sperrlistenanbieter in der Regel unterschiedliche Kategorien für Verstöße festlegen, können Sie zusätzlich die Übereinstimmungen angeben, die Sie ablehnen möchten. Die meisten Sperrlistenanbieter filtern nach drei Verstoßtypen: Spamquellen Diese Listen werden erstellt, indem nach unerwünschten Werbe-E-MailNachrichten gefiltert wird und die Quelladressen der Liste hinzugefügt werden. Bekannte Server für offenes Relay Diese Listen werden erstellt, indem das Internet nach SMTP-Servern mit offenen Relays durchsucht wird. Offene Relays bei Servern sind häufig das Ergebnis einer falschen Konfiguration durch den entsprechenden Systemadministrator. DFÜ-Benutzerlisten Diese Listen werden entweder aus vorhandenen ISP-Listen (Internet Service Provider) erstellt, die IP-Adressen mit DFÜ-Zugriff enthalten, oder durch die Prüfung von Adressen mit wahrscheinlicher DFÜ-Verbindung. Abgleich gegen Regeln verstoßender IP-Adressen durch Sperrlistenanbieter Wenn nach dem Einrichten Ihres Verbindungsfilters eine E-Mail-Nachricht an Ihre Organisation gesendet wird, erhält der Sperrlistenanbieter durch Exchange eine entsprechende Benachrichtigung. Der Anbieter überprüft dann, ob in seinem DNS ein Hostadresseneintrag (A-Record) vorliegt. Diese Informationen werden von Exchange in einem festgelegtem Format abgefragt. Soll beispielsweise beim Sperrdienstanbieter contoso.org die Verbindungsadresse „192.168.5.1“ überprüft werden, wird durch Exchange eine Abfrage für folgenden Eintrag gesendet: 238 <reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x In diesem Fall: 1.5.168.192..contoso.org Wenn diese IP-Adresse in der Liste des Anbieters aufgeführt ist, gibt der Anbieter den Statuscode 127.0.0.x zurück, der auf eine problematische IP-Adresse und die Art des Verstoßes hinweist. Der Antwortcode 127.0.0.x wird von allen Sperrlistenanbietern zurückgegeben, wobei x die Art des Verstoßes anzeigt. Der Wert x variiert je nach Sperrlistenanbieter. Grundlagen zu den Antwortcodes der Sperrlistenanbieter Wie bereits erwähnt, gibt der Sperrlistenanbieter immer den Statuscode 127.0.0.x zurück, wenn eine Übereinstimmung gefunden wird. Der Statuscode ist entweder ein expliziter Rückgabecode oder eine Bitmaske, d. h. ein Multifunktions-Rückgabecode. Wenn der Sperrlistenanbieter einen Wert zurückgibt, können Sie angeben, nach welchen Werten gefiltert werden soll. Wird jedoch eine Bitmaske zurückgegeben, müssen Sie die Funktionsweise einer Bitmaske verstehen, um die Übereinstimmungen angeben zu können, nach denen gefiltert werden soll. Eine Bitmaske ist eine Methode, mit der überprüft werden kann, ob ein bestimmtes Bit für einen Eintrag gesetzt ist. Eine Bitmaske unterscheidet sich von einer normalen Maske darin, dass in ihr nach einem bestimmten Bitwert gesucht wird. Über eine Subnetmask wird dagegen nach einem Bereich von Werten gesucht. Betrachten Sie das folgende Beispiel. Für jede Übereinstimmung mit der Sperrliste gibt der Sperrlistenanbieter die in der folgenden Tabelle aufgeführten Statuscodes zurück. Beispiele für Sperrlistenstatuscodes Kategorie Zurückgegebener Statuscode Bekannte Spamquelle 127.0.0.3 DFÜ-Benutzerkonto 127.0.0.2 Bekannter Relayserver 127.0.0.4 Wenn jedoch eine IP-Adresse in zwei Listen enthalten ist, fügt der Sperrlistenanbieter die Werte des letzten Oktetts hinzu. Ein Sperrlistenanbieter gibt bei einer IP-Adresse, die in den Listen bekannter Relayserver und bekannter Spamquellen enthalten ist, den Statuscode „127.0.7“ zurück. Dabei ist 7 der kombinierte Wert des letzten Oktetts, das aufgrund bekannter Quellen von unerwünschten Werbe-E-Mail-Nachrichten und bekannter Relayserver zurückgegeben wurde. 239 Soll nur nach bekannten Quellen von unerwünschten Werbe-E-Mail-Nachrichten gefiltert werden, geben Sie den Bitmaskenwert „0.0.0.3“ ein. Über die Sperrliste wird dann auf alle der möglichen Werte gefiltert, in diesem Fall auf 127.0.0.3, 127.0.0.5, 127.0.0.7 und 127.0.0.9. Die folgende Tabelle enthält die den einzelnen Beispielstatuscodes zugeordneten Bitmaskenwerte. Beispiele für Sperrlistenstatuscodes und entsprechende Bitmaskenwerte Kategorie Zurückgegebener Statuscode Bitmaskenwert Bekannte Spamquelle 127.0.0.3 0.0.0.3 DFÜ-Benutzerkonto 127.0.0.2 0.0.0.2 Bekannter Relayserver 127.0.0.4 0.0.0.4 Bekannte Relayserver und DFÜ-Benutzerkonten 127.0.0.6 0.0.0.6 Mit der in der letzten Kategorie in dieser Tabelle („Bekannte Relayserver und DFÜBenutzerkonten“) angegebenen Bitmaske „0.0.0.6“ wird eine Übereinstimmung für eine IPAdresse nur zurückgegeben, wenn diese sowohl in der Liste der bekannten Relayserver als auch in der Liste der DFÜ-Benutzerkonten enthalten ist. Ist die IP-Adresse nur in einer der beiden Listen enthalten, wird keine Übereinstimmung zurückgegeben. Mit einer Bitmaske können nicht mehrere Listen auf eine einzelne Übereinstimmung hin überprüft werden. Hinweis: Mit einer Bitmaske wird immer nur ein einzelner Wert überprüft. Bei einem Bitmaskenwert für eine in zwei Listen enthaltene IP-Adresse werden mit der Maske nur Übereinstimmungen zurückgegeben, wenn diese IP-Adresse in beiden Listen enthalten ist. Wenn Sie eine IP-Adresse in einer der beiden Listen überprüfen möchten, geben Sie die Statuscodes für diese Einstellungen ein. Festlegen von Ausnahmen zur Verbindungsfilterregel Sie können eine Nachrichtenübermittlung an bestimmte Empfänger zulassen, auch wenn diese in einer Sperrliste aufgeführt sind. Diese Ausnahme ist nützlich, wenn Sie über das Postmaster-Konto die Kommunikation legitimer Organisationen mit Ihren Administratoren zulassen möchten. Wenn zum Beispiel in einem legitimen Unternehmen ein Server versehentlich zum Zulassen von offenem Relay konfiguriert wurde, werden E-MailNachrichten von diesem Unternehmen an Ihre Benutzer gesperrt. Wenn der Verbindungsfilter jedoch so konfiguriert wurde, dass die Nachrichtenübermittlung an das Postmaster-Konto in Ihrer Organisation zugelassen wird, kann der Administrator in dem gesperrten Unternehmen 240 Nachrichten an Ihr Postmaster-Konto senden. In diesen können dann mögliche Probleme mitgeteilt bzw. nachgefragt werden, warum die Nachrichten abgelehnt wurden. Aktivieren der Verbindungsfilterung Im Folgenden wird das Verfahren zum Aktivieren der Verbindungsfilterung beschrieben: 1. Erstellen Sie im Dialogfeld Eigenschaften für Nachrichtenübermittlung mithilfe der Registerkarte Verbindungsfilterung die Verbindungsfilterung. Ausführliche Anweisungen finden Sie unter Erstellen eines Empfängerfilters. 2. Wenden Sie den Filter auf der Ebene des virtuellen SMTP-Servers an. Ausführliche Informationen finden Sie unter Anwenden eines Empfängerfilters auf einen virtuellen SMTP-Server. Die einzelnen Schritte werden in den folgenden Abschnitten ausführlich beschrieben. Konfigurieren der Verbindungsfilterung Führen Sie zum Konfigurieren der Verbindungsfilterung die folgenden Aufgaben aus: Erstellen Sie globale Annahme- und Verweigerungslisten. Erstellen Sie Verbindungsfilterregeln. Erstellen Sie Ausnahmen zu den Verbindungsfilterregeln. Ausführliche Anweisungen zum Erstellen von globalen Annahmelisten und globalen Verweigerungslisten, finden Sie unter den folgenden Themen: Erstellen einer globalen Annahmeliste Erstellen einer globalen Verweigerungsliste Ausführliche Anweisungen zum Erstellen von Ausnahmen zu den Regeln für die Verbindungsfilterung finden Sie im folgenden Thema: Erstellen eines Verbindungsfilters Festlegen einer Ausnahme für eine Verbindungsregel Anwenden des Verbindungsfilters auf die gewünschten virtuellen SMTPServer Nach dem Erstellen des Verbindungsfilters sowie möglicher Ausnahmen müssen Sie diesen auf die entsprechenden virtuellen SMTP-Server anwenden. Der Verbindungsfilter wird in der Regel auf die virtuellen SMTP-Server angewendet, die sich auf den Gatewayservern für die Annahme eingehender E-Mail-Nachrichten befinden. Gehen Sie folgendermaßen vor, um einen Verbindungsfilter auf einen virtuellen SMTP-Server anzuwenden. 241 Ausführliche Informationen finden Sie unter Anwenden eines Verbindungsfilters auf einen virtuellen SMTP-Server. Empfängerfilterung Mithilfe der Empfängerfilterung können an in Ihrer Organisation nicht existierende Empfänger gesendete Nachrichten gefiltert oder häufig von Spam betroffene Empfängeradressen hinzugefügt werden. Aktivieren der Empfängerfilterung Im Folgenden wird das Verfahren zum Aktivieren der Empfängerfilterung beschrieben: 1. Erstellen Sie im Dialogfeld Eigenschaften für Nachrichtenübermittlung mithilfe der Registerkarte Empfängerfilterung die Empfängerfilterung. 2. Wenden Sie den Filter auf der Ebene des virtuellen SMTP-Servers an. Die einzelnen Schritte werden in den folgenden Abschnitten ausführlich beschrieben. Absenderfilterung Die Absenderfilterung funktioniert in Exchange Server 2003 wie in Exchange 2000 Server. Mit dieser können von bestimmten Absendern gesendete Nachrichten gefiltert werden. Sie können Nachrichten blockieren, die von einem beliebigen Benutzer einer Domäne oder von einem bestimmten Benutzer gesendet werden. Aktivieren der Absenderfilterung Im Folgenden wird das Verfahren zum Aktivieren der Absenderfilterung beschrieben: 1. Erstellen Sie im Dialogfeld Eigenschaften für Nachrichtenübermittlung mithilfe der Registerkarte Absenderfilterung die Absenderfilterung. 2. Wenden Sie den Filter auf der Ebene des virtuellen SMTP-Servers an. Grundlagen zum Anwenden von aktivierten Filtern und IPEinschränkungen Folgende Filter und IP-Einschränkungen werden von Exchange 2003 unterstützt: Verbindungsfilterung Empfängerfilterung Absenderfilterung 242 IP-Einschränkungen auf der Grundlage virtueller Server Obwohl Verbindungsfilterung, Empfängerfilterung und Absenderfilterung unter Eigenschaften für Nachrichtenübermittlung konfiguriert werden, müssen diese Optionen auf den virtuellen Servern einzeln aktiviert werden. Im Gegensatz dazu werden IPEinschränkungen direkt auf jedem virtuellen Server konfiguriert. In diesem Abschnitt wird die Reihenfolge erläutert, in der IP-Einschränkungen und Filter (nach der Konfiguration und Aktivierung) während einer SMTP-Sitzung überprüft werden. 1. Ein SMTP-Client versucht, eine Verbindung zum virtuellen SMTP-Server herzustellen. 2. Die IP-Adresse des Clients, von dem die Verbindung ausgeht, wird mit den IPBeschränkungen des virtuellen SMTP-Servers verglichen (dies wird im Dialogfeld Eigenschaften auf der Registerkarte Zugriff des virtuellen SMTP-Servers mithilfe der Schaltfläche Verbindung konfiguriert): Wenn sich die IP-Adresse in der Liste der beschränkten IP-Adressen befindet, wird die Verbindung sofort getrennt. Wenn sich die IP-Adresse nicht in der Liste der beschränkten IP-Adressen befindet, wird die Verbindung angenommen. 3. Der SMTP-Client sendet einen EHLO- oder HELO-Befehl. 4. Der SMTP-Client stellt einen MAIL FROM-Befehl aus, ähnlich dem folgenden Befehl: MAIL FROM: [email protected] 5. Die IP-Adresse des SMTP-Clients wird dann mit den Einträgen der globalen Annahmeliste verglichen (wird im Exchange-System-Manager im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Verbindungsfilterung konfiguriert). Wenn sich die IP-Adresse in der globalen Annahmeliste befindet, wird die globale Verweigerungsliste nicht überprüft. Im Vorgang wird Schritt 6 übersprungen und mit Schritt 7 fortgefahren. Wenn sich die IP-Adresse nicht in der globalen Annahmeliste befindet, werden die Schritte 6 und 7 durchgeführt. 6. Die IP-Adresse des SMTP-Clients wird dann mit den Einträgen der globalen Verweigerungsliste verglichen (wird im Exchange-System-Manager im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Verbindungsfilterung konfiguriert). Wenn sich die IP-Adresse des SMTP-Clients in der globalen Verweigerungsliste befindet, wird die Verbindung getrennt. Wenn sich die IP-Adresse des SMTP-Clients nicht in der globalen Verweigerungsliste befindet, wird die Sitzung fortgesetzt. 243 7. Bei der Absenderfilterung wird der im MAIL FROM-Befehl angegebene Absender mit den Einträgen der Liste gesperrter Absender verglichen (wird im Exchange-System-Manager im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Absenderfilterung konfiguriert). Wenn sich der Absender in die Liste gesperrter Absender befindet, wird in Abhängigkeit von der Konfiguration für die Absenderfilterung eine der beiden folgenden Aktionen durchgeführt: - Wenn für die Absenderfilterung die Verbindungstrennung konfiguriert ist, wird die Verbindung getrennt. - Wenn für die Absenderfilterung die Annahme von Nachrichten ohne Benachrichtigung des Absenders konfiguriert ist, wird die Sitzung fortgesetzt, die Nachrichten werden jedoch an das Badmail-Verzeichnis gesendet und dem vorgesehenen Empfänger nicht übermittelt. Wenn der Absender nicht in die Absenderfilterliste eingetragen ist, sendet der virtuelle SMTP-Server eine Antwort ähnlich der folgenden zurück: 250 2.1.0 [email protected] OK 8. Durch den SMTP-Server, von dem die Verbindung ausgeht, wird ein RCPT TO-Befehl gesendet. Beispiel: RCPT TO: [email protected] 9. Über die Verbindungsfilterregeln wird die IP-Adresse, von der die Verbindung ausgeht, mit allen Sperrlisten der jeweiligen Sperrlistendienste verglichen. Wenn sich die IP-Adresse des SMTP-Clients in der Annahmeliste befindet, werden die Verbindungsfilterregeln übersprungen. Der Vorgang wird mit Schritt 10 fortgesetzt. Durch die Verbindungsfilterung werden sämtliche Sperrlisten des Anbieters in der für die Verbindungsfilterung konfigurierten Reihenfolge überprüft. Wenn bei der Verbindungsfilterung eine Übereinstimmung mit der Liste der Sperrlistenanbieters ermittelt wird, gibt der virtuelle SMTP-Server zunächst einen Fehlercode zurück und sendet anschließend die in der Verbindungsfilterregel konfigurierte benutzerdefinierte Fehlerbenachrichtung. Wenn eine Übereinstimmung erkannt wurde, werden keine weiteren Sperrlisten überprüft. Wenn sich die IP-Adresse des SMTP-Clients nicht in der Sperrliste eines Sperrlistendiensts befindet, wird die Sitzung fortgesetzt. 10. Bei der Verbindungsfilterung wird überprüft, ob sich der gewünschte Empfänger in der Verbindungsfilterungs-Ausnahmeliste befindet. Wenn der Empfänger in dieser Liste eingetragen ist, wird die Verbindung akzeptiert und für den RCPT TO-Befehl werden keine weiteren Überprüfungen durchgeführt. Im 244 Vorgang werden die Schritte 11 und 12 übersprungen und mit Schritt 13 fortgefahren. Wenn der Empfänger nicht in der Ausnahmeliste eingetragen ist, werden weitere Filterüberprüfungen durchgeführt. 11. Wenn der Empfänger nicht in der für die Verbindungsfilterung konfigurierten Ausnahmeliste eingetragen ist, wird überprüft, ob er sich in einer der für Empfängerfilterung konfigurierten Liste gesperrter Empfänger befindet. Wenn es sich bei dem Empfänger um einen gesperrten Empfänger handelt, wird vom virtuellen SMTP-Server die Fehlermeldung zurückgegeben, dass der Empfänger ungültig ist. Wenn der Empfänger nicht gesperrt ist, wird die Sitzung fortgesetzt. 12. Wenn der Empfänger nicht gesperrt ist, wird Active Directory überprüft, um sicherzustellen, dass der gewünschte Empfänger in diesem Verzeichnis vorhanden ist. Wenn es sich bei dem gewünschten Empfänger nicht um einen in Active Directory eingetragenen gültigen Empfänger handelt, wird vom virtuellen SMTP-Server die Fehlermeldung zurückgegeben, dass der Empfänger ungültig ist. Wenn es sich um einen in Active Directory eingetragenen gültigen Empfänger handelt, wird die Sitzung fortgesetzt. 13. Auf alle im RCPT TO-Befehl angegebenen weiteren Empfänger werden die Schritte 10 bis 12 angewendet. 14. Durch den SMTP-Server, von dem die Verbindung ausgeht, wird dann ein DATA-Befehl gesendet. Beispiel: DATA An: Kim Akers Von: [email protected]<Ted Bremer> Betreff: E-Mail-Nachricht 15. Bei der Absenderfilterung wird dann überprüft, ob die Absenderadresse im Feld Von mit einem gesperrten Absender übereinstimmt. Wenn der im DATA-Befehl angegebene Absender gesperrt ist, wird eine der beiden folgenden Aktionen durchgeführt: - Wenn für die Absenderfilterung die Verbindungstrennung konfiguriert ist, wird vom virtuellen SMTP-Server der Fehler 5.1.0, „Absender verweigert“, zurückgegeben und die Verbindung getrennt. - Wenn für die Absenderfilterung die Annahme von Nachrichten ohne Benachrichtigung des Absenders konfiguriert ist, wird die Sitzung fortgesetzt, die 245 Nachrichten werden jedoch an das Badmail-Verzeichnis gesendet und dem vorgesehenen Empfänger nicht übermittelt. Wenn der im DATA-Befehl angegebene Absender nicht gesperrt ist, wird die Nachricht akzeptiert und zur Übermittlung in der Warteschlange gespeichert. Identifizieren von gefälschten Nachrichten Sie können Ihren Benutzer erklären, wie sie Nachrichten mit gefälschten Absender erkennen können. Anders als in Exchange 2000 werden in der Standardeinstellung von Exchange 2003 anonyme E-Mail-Nachrichten nicht in Anzeigenamen aufgelöst. Bei Nachrichten mit gefälschten Adressen wird daher von Exchange 2003 die E-Mail-Adresse des Absenders in der globalen Adressliste nicht in den entsprechenden Anzeigenamen aufgelöst. Beispiel für das Verhindern von gefälschten Nachrichten durch Exchange 2003: Angenommen, der interne Benutzer Ted Bremer sendet in Ihrer Domäne example.com eine interne Nachricht. In der E-Mail-Nachricht wird seine Absenderadresse als Ted Bremer angezeigt. Dabei handelt es sich um den in Active Directory für [email protected] konfigurierten Anzeigennamen. (Ted Bremer sendet seine Nachrichten als authentifizierter Benutzer.) Anschließend wird von Exchange überprüft, ob für Ted Bremer in seinen Anmeldeinformationen über die Berechtigung „senden als“ verfügt. Anschließend wird seine E-Mail-Adresse in Active Directory in seinen Anzeigennamen aufgelöst. Bei einer gefälschten Absenderadresse sendet ein nicht autorisierter Benutzer, der mit einer gefälschten E-MailAdresse als Ted agiert, eine Nachricht an einen anderen Benutzer in Ihrer Domäne. Durch Exchange 2003 werden E-Mail-Adressen aus externen Quellen nicht aufgelöst. Wenn daher ein anonymer Benutzer versucht, unter Teds Identität eine Nachricht zu senden, wird die Absenderadresse durch Exchange in der Zeile Von nicht in seinen Anzeigennamen aufgelöst. Stattdessen wird in der Zeile Von dieser E-Mail [email protected] angezeigt. Wenn sich Ihre Benutzer mit diesem Unterschied vertraut gemacht haben, können sie gefälschte Nachrichten zumindest erkennen. In der Standardeinstellung in Exchange 2000-Servers werden anonyme E-Mail-Adressen jedoch aufgelöst. Wenn in Ihrer Organisation Exchange 2000-Server vorhanden sind und durch diese anonyme E-Mail-Nachrichten aufgelöst und an einen Exchange 2003-Server gesendet werden, wird die Adresse in der GAL in den Anzeigennamen aufgelöst. Sie vermeiden dies, indem Sie Ihre Exchange 2000-Server so konfigurieren, dass anonyme Nachrichten nicht aufgelöst werden. Ausführliche Informationen finden Sie unter Sicherstellen, dass Exchange 2003 nicht zum Auflösen anonymer Nachrichten konfiguriert ist und Konfigurieren von Exchange 2000 Server zum Nichtauflösen von aus externen Quellen stammenden E-Mail-Adressen. 246 Erstellen einer globalen Annahmeliste Mithilfe der Verbindungsfilterung können Sie globale Annahmelisten erstellen. Mit diesen Listen können Sie unabhängig von der Verwendung eines Sperrlistendienstanbieters festlegen, ob von festgelegten IP-Adressen gesendete Nachrichten immer angenommen werden sollen. Alle in der globalen Annahmeliste aufgeführten IP-Adressen werden automatisch akzeptiert. Dabei werden alle Verbindungsfilterregeln umgangen. Einträge in der globalen Annahmeliste haben Vorrang vor Einträgen in der globalen Verweigerungsliste. Durch Exchange Server wird die globale Annahmeliste vor der globalen Verweigerungsliste überprüft. Wenn Sie Verbindungen von einem bestimmten Subnet und einer entsprechenden Subnetmask ablehnen möchten, Verbindungen von einer einzelnen IPAdresse aus diesem Bereich jedoch angenommen werden sollen, müssen Sie die IPAdresse eingeben, von der Verbindungen aus der globalen Annahmeliste angenommen werden sollen. Wenn über eine in der globalen Annahmeliste enthaltene IP-Adresse versucht wird, eine Verbindung zu Ihrem Exchange-Server herzustellen, wird durch Exchange Server zunächst die globale Annahmeliste überprüft. Da Exchange Server eine Übereinstimmung für die IPAdresse findet, wird die Verbindung angenommen, und es werden keine weiteren Verbindungsfilterungsprüfungen von Exchange Server durchgeführt. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Konfigurieren der Spamsteuerung und -filterung. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So erstellen Sie eine globale Annahmeliste 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur das Element Globale Einstellungen, klicken Sie mit der rechten Maustaste auf Nachrichtenübermittlung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Verbindungsfilterung. 247 4. Klicken Sie auf Annehmen. Das Dialogfeld Annahmeliste wird geöffnet. Das Dialogfeld „Annahmeliste“ 5. Klicken Sie auf Hinzufügen. 6. Wählen Sie unter IP-Adresse (Mask) eine der folgenden Optionen aus: Klicken Sie auf Einzelne IP-Adresse, um der globalen Annahmeliste eine einzelne IP-Adresse für diese Verbindungsfilterregel hinzuzufügen. Klicken Sie auf Gruppe von IP-Adressen, um der globalen Annahmeliste eine Subnetadresse und -mask hinzuzufügen. 7. Klicken Sie auf OK. 248 Erstellen einer globalen Verweigerungsliste Mithilfe der Verbindungsfilterung können Sie globale Verweigerungslisten erstellen. Mit diesen Listen können Sie unabhängig von der Verwendung eines Sperrlistendienstanbieters festlegen, ob von festgelegten IP-Adressen gesendete Nachrichten immer abgelehnt werden sollen. Es werden alle in der globalen Verweigerungsliste aufgeführten IP-Adressen automatisch abgelehnt. Einträge in der globalen Annahmeliste haben Vorrang vor Einträgen in der globalen Verweigerungsliste. Durch Exchange Server wird die globale Annahmeliste vor der globalen Verweigerungsliste überprüft. Wenn Sie Verbindungen von einem bestimmten Subnet und einer entsprechenden Subnetmask ablehnen möchten, Verbindungen von einer einzelnen IPAdresse aus diesem Bereich jedoch angenommen werden sollen, müssen Sie das Subnet und die Maske für den IP-Adressbereich eingeben, aus dem Verbindungen aus der globalen Verweigerungsliste abgelehnt werden sollen. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Konfigurieren der Spamsteuerung und -filterung und Erstellen einer globalen Annahmeliste. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So erstellen Sie eine globale Verweigerungsliste 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur das Element Globale Einstellungen, klicken Sie mit der rechten Maustaste auf Nachrichtenübermittlung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Verbindungsfilterung. 4. Klicken Sie auf Verweigern. Das Dialogfeld Verweigerungsliste wird angezeigt. Das Dialogfeld „Verweigerungsliste“ 249 5. Klicken Sie auf Hinzufügen. 6. Wählen Sie unter IP-Adresse (Mask) eine der folgenden Optionen aus: Klicken Sie auf Einzelne IP-Adresse, um der globalen Verweigerungsliste eine einzelne IP-Adresse für diese Verbindungsfilterregel hinzuzufügen. Klicken Sie auf Gruppe von IP-Adressen, um der globalen Verweigerungsliste eine Subnetadresse und -mask hinzuzufügen. 7. Klicken Sie auf OK. Erstellen eines Verbindungsfilters Im Folgenden wird das Verfahren zum Erstellen einer Verbindungsfilterregel sowie die Konfiguration der gewünschten Ausnahmen zu dieser Regel beschrieben. 250 Bevor Sie beginnen Lesen Sie den Artikel unter Konfigurieren der Spamsteuerung und -filterung, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So erstellen Sie einen Verbindungsfilter 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur das Element Globale Einstellungen, klicken Sie mit der rechten Maustaste auf Nachrichtenübermittlung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Verbindungsfilterung. Registerkarte „Verbindungsfilterung“ im Dialogfeld „Eigenschaften für Nachrichtenübermittlung“ 251 4. Klicken Sie auf Hinzufügen, um eine Verbindungsfilterregel zu erstellen. Das Dialogfeld Verbindungsfilterregel wird geöffnet. Das Dialogfeld Verbindungsfilterregel wird geöffnet. 252 5. Geben Sie im Feld Anzeigename einen Namen für den Verbindungsfilter ein. 6. Geben Sie im Feld DNS-Suffix des Anbieters das DNS-Suffix ein, das der IPAdresse vom Anbieter nachgestellt wird. 7. Geben Sie ggf. im Feld Benutzerdefinierte Fehlermeldung für Rückgabe (bei keiner Angabe wird Standardfehlermeldung verwendet) die benutzerdefinierte Fehlermeldung ein, die an den Absender zurückgegeben werden soll. Lassen Sie dieses Feld leer, wenn die folgende Standardfehlermeldung verwendet werden soll: „<IP-Adresse> wurde blockiert von <Name der Verbindungsfilterregel>" Mit den folgenden Variablen können Sie eine benutzerdefinierte Meldung erstellen: %0 – IP-Adresse der Verbindung %1 – Name der Verbindungsfilterregel %2 – Name des Sperrlistenanbieters Angenommen, Ihre benutzerdefinierte Fehlermeldung soll wie folgt lauten: „Die IP-Adresse <IP-Adresse> wurde vom Sperrlistenanbieter <Sperrlistenanbietername> gesperrt." 253 In diesem Fall müssen Sie die folgende benutzerdefinierte Fehlermeldung eingeben: Die IP-Adresse %0 wurde vom Sperrlistenanbieter %2 gesperrt Exchange ersetzt %0 durch die IP-Adresse der Verbindung und %2 durch den Sperrlistenanbieter. Hinweis: Wenn Sie in der Fehlermeldung ein Prozentzeichen (%) verwenden möchten, müssen Sie dieses zweimal eingeben (%%). 8. Klicken Sie auf Rückgabestatuscode, um zu festzulegen, nach welchen Rückgabestatuscodes des Sperrlistenanbieters in diesem Verbindungsfilter gefiltert werden soll. Das Dialogfeld Rückgabestatuscode wird angezeigt. Das Dialogfeld „Rückgabestatuscode“ 9. Wählen Sie eine der folgenden Optionen aus: Klicken Sie auf Filterregel auf beliebigen Rückgabecode anwenden (diese Verbindungsfilterregel wird auf einen beliebigen vom Anbieterdienst erhaltenen Rückgabestatuscode angewendet), um den Standardwert, der dem Verbindungsfilter entspricht, auf einen beliebigen Rückgabewert festzulegen. 254 Klicken Sie auf Filterregel auf folgende Maske anwenden (diese Verbindungsfilterregel wird auf den vom Anbieterdienst erhaltenen Rückgabestatuscode durch Interpretation des Codes mit einer Maske angewendet), und geben Sie dann die Maske ein, mit der Sie die von Ihren Anbietern verwendeten Masken filtern möchten. Hinweis: Mit einer Bitmaske wird immer nur ein einzelner Wert überprüft. Bei nach zwei Listen filternden Bitmaskenwerten für IP-Adressen werden durch die Maske nur Übereinstimmungen mit IP-Adressen angezeigt, die in beiden Listen enthalten sind. Wenn Sie eine IP-Adresse in einer der beiden Listen überprüfen möchten, geben Sie die Statuscodes für diese Einstellungen ein. Klicken Sie auf Filterregel auf eine der folgenden Antworten anwenden (die Verbindungsfilterregel wird auf den vom Anbieterdienst erhaltenen Rückgabestatuscode mithilfe der speziellen Werte des Rückgabestatuscodes angewendet). Klicken Sie auf Hinzufügen, und geben Sie im Dialogfeld Rückgabestatuscode den Statuscode ein, nach dem gefiltert werden soll. Klicken Sie für jeden weiteren Statuscode auf Hinzufügen, geben Sie den Code ein, und klicken Sie dann auf OK. 10. Klicken Sie auf OK. Sicherstellen, dass Exchange 2003 nicht zum Auflösen anonymer Nachrichten konfiguriert ist In der Standardeinstellung lösen Exchange 2000-Server anonyme E-Mail-Nachrichten auf. Wenn in Ihrer Organisation Exchange 2000-Server vorhanden sind, und diese eine anonyme E-Mail-Nachricht auflösen und sie an einen Exchange 2003-Server senden, wird die Adresse in den Anzeigenamen der globalen Adressliste (GAL) aufgelöst. Um dies zu verhindern, konfigurieren Sie die Exchange 2000-Server so, dass sie anonyme E-Mail nicht auflösen. Hinweis: Die falsche Verwendung des Registrierungs-Editors kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. 255 Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Konfigurieren der Spamsteuerung und -filterung. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So stellen Sie sicher, dass der Exchange 2003-Server nicht zum Auflösen anonymer Nachrichten konfiguriert ist 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur Server, erweitern Sie <Name des Bridgeheadservers>, erweitern Sie Protokolle, und erweitern Sie dann SMTP. 3. Klicken Sie mit der rechten Maustaste auf den gewünschten virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Registerkarte Zugriff auf Authentifizierung. 5. Vergewissern Sie sich unter Authentifizierung unter dem Kontrollkästchen Anonymer Zugriff, dass das Kontrollkästchen Anonyme E-Mails auflösen deaktiviert ist. Hinweis: Beachten Sie, dass auch das Kontrollkästchen Anonymer Zugriff deaktiviert werden kann, wenn es sich bei diesem Server um einen internen virtuellen SMTP-Server handelt. Weitere Informationen zu anonymen Zugriffen auf interne virtuelle SMTP-Server finden Sie unter „Verhindern des anonymen Zugriffs auf interne virtuelle SMTP-Server und dedizierte virtuelle SMTPServer für IMAP- und POP-Clients“ in Absichern des Exchange-Servers. 256 Konfigurieren von Exchange 2000 Server zum Nichtauflösen von aus externen Quellen stammenden E-Mail-Adressen Durch Exchange Server 2003 werden E-Mail-Adressen aus externen Quellen nicht aufgelöst. Wenn daher ein anonymer Benutzer versucht, unter der Identität eines anderen Benutzers eine Nachricht zu senden, wird die Absenderadresse durch Exchange Server in der Zeile Von nicht in seinen Anzeigennamen aufgelöst. Stattdessen wird für einen Benutzer mit dem Namen Ted in der Zeile Von dieser E-Mail [email protected] angezeigt. Wenn sich Ihre Benutzer mit diesem Unterschied vertraut gemacht haben, können sie gefälschte Nachrichten zumindest erkennen. Bevor Sie beginnen Sie sollten vorsichtig sein, wenn Sie die Server auswählen, auf denen Sie diese Einstellung aktivieren. Wenn Sie das Verhalten beim virtuellen Standard-SMTP-Server ändern und sich mehrere Server in Ihrer Organisation befinden, sind davon alle internen E-Mail-Nachrichten betroffen, die von anderen Exchange 2000-Servern ausgehen. Da Exchange 2000 Server für die Weiterleitung von internen E-Mail-Nachrichten zwischen Servern SMTP verwendet, sollten Sie einen neuen virtuellen SMTP-Server erstellen oder diese Einstellung nur auf einen Bridgeheadserver anwenden, über den der eingehende SMTP-Datenverkehr abgewickelt wird. Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Konfigurieren der Spamsteuerung und -filterung und Sicherstellen, dass Exchange 2003 nicht zum Auflösen anonymer Nachrichten konfiguriert ist. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So konfigurieren Sie Exchange 2000 Server zum Nichtauflösen von aus externen Quellen stammenden E-Mail-Adressen 1. Starten Sie den Registrierungs-Editor: Klicken Sie auf Start, klicken Sie dann auf Ausführen, geben Sie regedt32 ein, und klicken Sie dann auf OK. 2. Navigieren Sie zu folgendem Registrierungsschlüssel, oder erstellen Sie diesen (mit 1 wird die Nummer des virtuellen SMTP-Servers angegeben): HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ 257 MsExchangeTransport/Parameters/1 Hinweis: Sie müssen ggf. sowohl den Schlüssel Parameter als auch den Schlüssel 1 erstellen. 3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann folgenden Registrierungsschlüssel hinzu: Value name: ResolveP2 Data type: REG_DWORD 4. Verwenden Sie die folgenden Flags, um den zu verwendenden Wert festzulegen: Field ----------FROM: TO: and CC: REPLY TO: Value ----2 16 32 Addieren Sie zum Festlegen des gewünschten Werts die Werte aller aufzulösender Elemente. Um beispielsweise alle Felder mit Ausnahme des Absenders aufzulösen, geben Sie 48 (16+32=48) ein. Wenn Sie nur die Empfänger auflösen möchten, geben Sie lediglich 16 ein. In der Standardeinstellung löst Exchange 2000 Server alle Angaben auf. Sie können dieses Verhalten entweder durch Entfernen des Schlüssels oder durch Festlegen des Werts mit der folgenden Formel festlegen: 2+16+32=50. 5. Beenden Sie den Registrierungs-Editor. 6. Starten Sie den virtuellen SMTP-Server neu. Erstellen eines Empfängerfilters Gehen Sie folgendermaßen vor, um einen Empfängerfilter zu erstellen: Bevor Sie beginnen Lesen Sie den Artikel unter Konfigurieren der Spamsteuerung und -filterung, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist 258 Verfahren So erstellen Sie einen Empfängerfilter 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur das Element Globale Einstellungen, klicken Sie mit der rechten Maustaste auf Nachrichtenübermittlung, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie im Eigenschaftendialogfeld für die Nachrichtenübermittlung auf die Registerkarte Empfängerfilterung. Registerkarte „Empfängerfilterung“ im Eigenschaftendialogfeld für die Nachrichtenübermittlung 4. Klicken Sie auf Hinzufügen, um die Adresse eines bestimmten Empfängers 259 hinzuzufügen, geben Sie im Dialogfeld Empfänger hinzufügen die Empfängeradresse ein, und klicken Sie dann auf OK. Die Empfängeradresse muss die folgenden Bedingungen erfüllen: Die Empfängeradresse muss ein @-Zeichen enthalten. Anzeigenamen müssen in Anführungszeichen direkt vor dem @-Zeichen eingegeben werden. Stellen Sie sicher, dass zwischen den Anführungszeichen und dem @-Zeichen keine Leerzeichen stehen. Wenn Sie zum Beispiel die Nachrichten für einen Empfänger mit dem Anzeigenamen „Ted Bremer“ in der Domäne contoso.com filtern möchten, müssen Sie Folgendes eingeben: "Ted Bremer"@contoso.com Verwenden Sie ein Sternchen (*), um alle Mitglieder einer Domäne zu bezeichnen, oder geben Sie einfach @domain ein. Um beispielsweise sämtliche Nachrichten an Empfänger mit dem Domänensuffix contoso.com zu filtern, geben Sie Folgendes ein: *@contoso.com @contoso.com 5. Um Nachrichten zu filtern, die an nicht im Microsoft Active Directory®Verzeichnisdienst vorhandene Benutzer gesendet werden, aktivieren Sie das Kontrollkästchen Empfänger filtern, die nicht im Verzeichnis vorhanden sind. Hinweis: Das Aktivieren des Kontrollkästchens Empfänger filtern, die nicht im Verzeichnis vorhanden sind kann dazu führen, dass böswillige Absender gültige E-Mail-Adressen in der Exchange-Organisation auflösen. Anwenden eines Empfängerfilters auf einen virtuellen SMTP-Server Nach dem Erstellen des Empfängerfilters müssen Sie diesen auf die entsprechenden virtuellen SMTP-Server anwenden. Der Empfängerfilter wird in der Regel auf die virtuellen SMTP-Server angewendet, die sich auf den Gatewayservern befinden, die eingehende EMail-Nachrichten entgegennehmen. Gehen Sie folgendermaßen vor, um einen Empfängerfilter auf einen virtuellen SMTP-Server anzuwenden. 260 Bevor Sie beginnen Lesen Sie die Artikel unter Konfigurieren der Spamsteuerung und -filterung und Erstellen eines Empfängerfilters, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So wenden Sie einen Empfängerfilter auf einen virtuellen SMTP-Server an 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, den gewünschten Server, Protokolle und schließlich SMTP. 3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, auf den Sie den Empfängerfilter anwenden möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie unter Eigenschaften von<Virtueller SMTP-Server> auf die Registerkarte Allgemein auf Erweitert. 5. Wählen Sie unter Erweitert die IP-Adresse aus, auf die der Filter angewendet werden soll, und klicken Sie dann auf Bearbeiten. 6. Aktivieren Sie unter Identifikation das Kontrollkästchen Empfängerfilter anwenden, um den zuvor festgelegten Filter anzuwenden. Dialogfeld „Identifikation“ 261 7. Wenn Sie über mehrere virtuelle Server verfügen, wiederholen Sie die Schritte 3 bis 6 für jeden virtuellen Server, auf den Sie den Filter anwenden möchten. Festlegen einer Ausnahme für eine Verbindungsregel Sie können Ausnahmen zur Verbindungsfilterregel erstellen. Insbesondere können Sie die Übermittlung von Nachrichten an bestimmte Empfänger zulassen (z. B. an den Postmaster), unabhängig davon, ob die IP-Adresse in einer Sperrliste aufgeführt ist. Bevor Sie beginnen Lesen Sie den Artikel unter Konfigurieren der Spamsteuerung und -filterung, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist 262 Verfahren So legen Sie eine Ausnahme zu einer Verbindungsregel fest 1. Klicken Sie im Eigenschaftendialogfeld für die Nachrichtenübermittlung auf der Registerkarte Verbindungsfilterung auf Ausnahme. Das Dialogfeld Einstellungen von Sperrlistendienstkonfiguration wird angezeigt. Dialogfeld „Einstellungen von Sperrlistendienstkonfiguration“ 2. Klicken Sie auf Hinzufügen. 3. Geben Sie unter Empfänger hinzufügen die SMTP-Adresse des Empfängers ein, für den Sie unabhängig von den Sperrlisten sämtliche Nachrichten annehmen möchten. 4. Klicken Sie zweimal auf OK. 263 Anwenden eines Verbindungsfilters auf einen virtuellen SMTP-Server Nach dem Erstellen des Verbindungsfilters sowie möglicher Ausnahmen müssen Sie diesen auf die entsprechenden virtuellen SMTP-Server anwenden. Der Verbindungsfilter wird in der Regel auf die virtuellen SMTP-Server angewendet, die sich auf den Gatewayservern für die Annahme eingehender E-Mail-Nachrichten befinden. Gehen Sie folgendermaßen vor, um einen Verbindungsfilter auf einen virtuellen SMTP-Server anzuwenden. Bevor Sie beginnen Lesen Sie den Artikel unter Konfigurieren der Spamsteuerung und -filterung, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So wenden Sie einen Verbindungsfilter auf einen virtuellen SMTP-Server an 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur den Eintrag Server, den gewünschten Server, Protokolle und schließlich SMTP. 3. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, auf den Sie den Empfängerfilter anwenden möchten, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie unter Eigenschaften von<Virtueller SMTP-Server> auf die Registerkarte Allgemein auf Erweitert. 5. Wählen Sie unter Erweitert die IP-Adresse aus, auf die der Filter angewendet werden soll, und klicken Sie dann auf Bearbeiten. 6. Aktivieren Sie unter Identifikation das Kontrollkästchen Verbindungsfilter anwenden, um den zuvor festgelegten Filter anzuwenden. Dialogfeld „Identifikation“ 264 7. Wenn Sie über mehrere virtuelle Server verfügen, wiederholen Sie die Schritte 3 bis 6 für jeden virtuellen Server, auf den Sie den Filter anwenden möchten. Teil vier In Teil 4 werden Vorgehensweisen zur Behandlung von Transportproblemen erläutert. Ferner erfahren Sie, in welchen Situationen Probleme mit dem Nachrichtenfluss auftreten und wie sie gelöst werden können. Problembehandlung beim Routing In diesem Abschnitt finden Sie Informationen zur Behebung von Routingproblemen in einer Messagingumgebung in Microsoft® Exchange 2000 Server und Exchange Server 2003 mithilfe des WinRoute-Tools. Problembehandlung bei Nachrichtenfluss und SMTP In diesem Abschnitt werden allgemeine Nachrichtenflussprobleme erläutert. Ferner erfahren Sie, wie Sie verschiedene Tools verwenden und die Diagnoseprotokollierung konfigurieren. Problembehandlung bei Unzustellbarkeitsberichten Dieser Abschnitt enthält Strategien und Tools zur Behebung von Problemen mit Unzustellbarkeitsberichten (NDRs). Bei NDRs handelt es sich um Benachrichtigungen über den Übermittlungsstatus. 265 Problembehandlung beim Routing In diesem Thema werden allgemeine Situationen erläutert, in denen das Routing in der Microsoft® Exchange-Organisation unterbrochen wird. Folgende Themen werden behandelt: Verwenden von WinRoute In diesem Abschnitt werden die Vorteile des WinRoute-Tools bei der Behebung von Routingproblemen erläutert. Allgemeine Verbindungsstatusprobleme In diesem Abschnitt werden die Probleme auf Grund von getrennten Verbindungen zwischen Routinggruppen, Konflikten von Routinggruppenmastern, gelöschten Routinggruppen, nicht als verfügbar markierten Connectors und oszillierenden Verbindungen erläutert und ihre Behebung erläutert. Unterbrochene Verbindungsstatusübermittlung In diesem Abschnitt werden die Probleme beim Ändern eines RoutinggruppenBridgeheadservers von Exchange Server, Version 5.5, in einen Server mit Exchange 2000 oder einen Bridgeheadserver mit Exchange Server 2003 und anschließendem erneuten Ändern in einen Server mit Exchange 5.5 erläutert. Verwenden von WinRoute WinRoute ist ein Exchange 2003-Tool, mit dem Sie die Routingtopologie und die Verbindungsstatus-Routinginformationen ermitteln, die dem Routingmaster bekannt sind. Verwenden Sie dieses Tool als ersten Schritt bei der Behandlung von Routingproblemen in einer Exchange 2000- und Exchange 2003-Messagingumgebung. Das Tool stellt die Verbindung zum Verbindungsstatusanschluss (TCP-Anschluss 691) auf Exchange 2000oder Exchange 2003-Servern her und extrahiert die Verbindungsstatusinformationen einer Organisation. Die Informationen liegen als eine Reihe von GUIDs vor, die WinRoute auf Übereinstimmung mit Objekten im Microsoft Verzeichnisdienst Active Directory®, auf Connectors und auf Bridgeheadservern prüft. Das Ergebnis wird in einem lesbaren Format dargestellt. Hinweis: Das WinRoute-Tool und die Benutzerdokumentation stehen auf der Website Downloads for Exchange Server 2003 zum Download bereit. Laden Sie dieses Tool herunter, und installieren Sie es auf allen Exchange 2000- und Exchange 2003Servern in Ihrer Organisation. Verwenden Sie nicht das mit Exchange 2000 ausgelieferte WinRoute-Tool. 266 Allgemeine Verbindungsstatusprobleme Innerhalb einer Routinggruppe verwendet Exchange den TCP-Anschluss 691 zum Austausch von aktualisierten Verbindungsstatus- und Routinginformationen zwischen dem Routinggruppenmaster und seinen Routinggruppenmitgliedern. Zwischen zwei Routinggruppen tauschen zwei Routinggruppen-Bridgeheadserver mithilfe des Verbs XLINK2STATE Verbindungsstatusinformationen aus. Dabei wird die Digest verglichen, eine verschlüsselte Digitalsignatur im Orginfo-Paket, die Verbindungsstatusinformationen zu den zwei Routinggruppen-Bridgeheadservern enthält. Stimmen diese Digests nicht überein, werden die Verbindungsstatusinformationen zwischen den beiden Servern über den SMTPAnschluss 25 ausgetauscht. Der Routinggruppenmaster koordiniert Änderungen des durch die Server gemeldeten Verbindungsstatus in seiner Routinggruppe und ruft Aktualisierungen aus Active Directory ab. Wenn der Routinggruppenmaster nicht zur Verfügung steht, werden alle Server in der Routinggruppe weiterhin auf Grundlage der Informationen ausgeführt, die zu dem Zeitpunkt vorlagen, als die Verbindung zum Routinggruppenmaster getrennt wurde. Sobald der Routinggruppenmaster wieder verfügbar ist, rekonstruiert er seine Verbindungsstatusinformationen und beginnt dabei mit allen Servern und Connectors, die als „Nicht verfügbar“ markiert sind. Werden nicht verfügbare Server entdeckt, aktualisiert der Routinggruppenmaster die Mitglieder in der Routinggruppe. In diesem Abschnitt werden folgende Verbindungsstatusprobleme und die jeweils empfohlene Problembehebung erläutert: Trennen der Verbindung zwischen Routinggruppenmitgliedern und Routinggruppenmaster Konflikte zwischen Routinggruppenmastern Probleme durch gelöschte Routinggruppen Nicht als „Inaktiv“ markierte Connectors Oszillierende Verbindungen Trennen der Verbindung zwischen Routinggruppenmitgliedern und Routinggruppenmaster Wenn ein Routinggruppenmitglied keine Verbindung zum Routinggruppenmaster herstellen kann, zeigt das WinRoute-Tool in diesem Fall ein rotes X neben dem betreffenden Routinggruppenmitglied an. 267 Trennen der Verbindung zwischen Routinggruppenmitgliedern und Routinggruppenmaster So beheben Sie das Problem: Stellen Sie sicher, dass der Microsoft Exchange-Routingdienst (RESvc) in einem kontrollierten Zustand auf allen betroffenen Servern in der Routinggruppe gestartet wird. Ist der Routingdienst in einem instabilen Zustand, können Routinggruppenmitglieder u. U. keine Verbindung zum Routinggruppenmaster herstellen. Ermitteln Sie zunächst die eigentliche Ursache für die Instabilität der Dienste. Stellen Sie sicher, dass Port 691 nicht durch eine Firewall eingeschränkt wird, indem Sie eine Telnet-Sitzung auf Port 691 der betroffenen Servern und des Masterknotens initiieren. Im aktiven Status wird das Microsoft Routingmodul-Banner angezeigt. Geben Sie an der Eingabeaufforderung Folgendes ein: netstat –a –n Das Ergebnis sollte ähnlich der nachfolgenden Anzeige alle Routinggruppenmitglieder und den Master anzeigen, die an Port 691 auf dem Masterknoten angeschlossen sind: TCP 127.0.0.1:691 127.0.0.1:691 ESTABLISHED 268 Überprüfen Sie die Anwendungsprotokolle der Ereignisanzeige auf alle Ereignisse, die einen Fehler bei der Authentifizierung mit dem Computerkonto anzeigen (Domäne\Servername). Überwachen Sie die folgenden Transportereignisse: Ereignis ID 961 wird protokolliert, wenn ein Mitgliedsserver nicht durch seinen Routinggruppenmaster authentifiziert werden kann. Ereignis ID 962 wird protokolliert, wenn ein Clientknoten nicht durch den Routingdienst (RESvc) authentifiziert werden konnte. Ereignis ID 996 wird bei erfolgreicher Authentifizierung eines Clientroutingknotens durch den Routingdienst protokolliert. Ereignis ID 995 wird bei erfolgreicher Authentifizierung eines Routinggruppenmitglieds durch seinen Routinggruppenmaster protokolliert. Überprüfen Sie, ob die betroffenen Server einen ServicePrincipalName (SPN) generieren können, der beim Authentifizierungsvorgang zum überprüfen des Werts „ncacn_ip_tcp“ im Netzwerkadressattribut der betroffenen Server verwendet wird. Dies geschieht mit einem Verzeichniszugriffstool wie LDP (ldp.exe) oder ADSI-Bearbeitung (adsiEdit.msc). Mitglieder einer Routinggruppe müssen zur Verbindungsherstellung gegenseitig durch den Routinggruppenmaster authentifiziert werden. Dazu generieren sie den SPN für den Masterknoten durch Aufrufen von DsClientMakeSpnForTargetServer mit dem Wert ncacn_ip_tcp im Netzwerkadressattribut des Exchange-Servers. Anschließend können die Routinggruppenmitglieder mit Kerberos authentifiziert werden. Stellen Sie sicher, dass es sich bei diesem Wert um einen Fully Qualified Domain Name (FQDN – vollqualifizierten Domänennamen) und nicht um einen NetBIOS-Namen oder um eine Internetprotokolladresse handelt. Starten Sie den Exchange-Routingdienst neu. Überprüfen Sie, ob das Domänenkennwort für das Computerkonto noch gültig ist. Wenn die Mitgliedschaft der Routinggruppe mehrere Domänen umfasst, darf die Ursache des Problems keine untergeordnete Domäne oder ein Stammdomänenproblem auf Grund einer DNS-Fehlkonfiguration sein. Überprüfen Sie alle Microsoft-fremden Anwendungen oder Gruppenrichtlinienobjekte, die Berechtigungen oder die Sicherheit einschränken. Konfigurieren Sie einen anderen Server in der Routinggruppe als Routinggruppenmaster. Dieses Vorgehen stellt eine Übergangslösung dar. Eine Neuzuweisung der Rolle des Routinggruppenmasters kann Abhilfe schaffen, bis das Problem behoben ist. Wenn der Routinggruppenmaster oder Routinggruppenmitglieder keine SendAsBerechtigung besitzen, zeigt WinRoute den Server als Besteht eine Verbindung mit dem Master?: Nein an. Überprüfen Sie, ob diesem Server oder der Gruppe, der er angehört, auf dem Gruppenmaster nicht explizit die SendAs-Berechtigung verweigert wurde. 269 Konflikte zwischen Routinggruppenmastern Der erste Server, der in der Routinggruppe installiert wird, wird automatisch als Masterknoten oder Routinggruppenmaster festgelegt. Werden weitere Server installiert, können Sie einen dieser Server als Routinggruppenmaster festlegen. Es darf jeweils nur ein Server von sich und den anderen Servern als Master erkannt werden. Diese Konfiguration wird durch einen Algorithmus erzwungen, bei dem (N/2) +1 Server in der Routinggruppe den Master akzeptieren und erkennen müssen. N steht dabei für die Anzahl der Server in der Routinggruppe. Die Mitgliederknoten senden daher ATTACHVerbindungsstatusdaten an den Master. Gelegentlich verwenden zwei oder mehr Server den falschen Server als Routinggruppenmaster. Wenn Sie z. B. einen Routinggruppenmaster verschieben oder löschen, ohne einen anderen Masterknoten auszuwählen, verweist das Attribut msExchRoutingMasterDN in Active Directory unter Umständen auf einen gelöschten Server, da das Attribut nicht verbunden ist. Ein weiteres Beispiel ist, wenn ein alter Routinggruppenmaster die Trennung als Master ablehnt, oder wenn ein Rogue-Knoten weiterhin ATTACH-Verbindungsstatusinformationen an einen alten Routinggruppenmaster sendet. Wenn msExchRoutingMasterDN in Exchange 2003 auf ein gelöschtes Objekt verweist, gibt der Masterknoten seine Rolle als Master auf und initiiert die Beendigung der Masterrolle. So beheben Sie das Problem: Überprüfen Sie die ordnungsgemäße Verbindungsstatusübermittlung in der Routinggruppe an Anschluss 691. Stellen Sie sicher, dass keine Firewall und kein SMTPFilter die Kommunikation blockiert. Stellen Sie sicher, dass kein Exchange-Dienst gestoppt wurde. Überprüfen Sie die Active Directory-Replikationswartezeiten mithilfe des Replikationsmonitors von Active Directory (Replmon.exe), den Sie im Windows Resource Kit finden. Überprüfen Sie Netzwerkprobleme und Latenzen. Überprüfen Sie gelöschte Routinggruppenmaster oder nicht mehr vorhandene Server. Ist dies der Fall, wird das Transportereignis 958 im Anwendungsprotokoll der Ereignisanzeige protokolliert. Es besagt, dass ein Routinggruppenmaster nicht mehr vorhanden ist. Überprüfen Sie diese Informationen mit einem Verzeichniszugriffstool wie LDP (ldp.exe) oder ADSI-Bearbeitung (adsiEdit.msc). Probleme durch gelöschte Routinggruppen Wenn Routinggruppen gelöscht werden, z. B. nachdem Server aus den Gruppen verschoben wurden, zeigt WinRoute den Text „object_not_found_in_DS“ (Objekt in DS nicht gefunden) für die Objekte an. 270 Exchange-Server bewahren die Verbindungsstatustabelle, die weiterhin auf die Objekte verweist. Allerdings fehlen diese Objekte in Active Directory, wenn der Routingdienst gestartet wird und Active Directory auf die betreffenden Objekte untersucht. Exchange-Routing kann gelöschte Routinggruppen und ihre Mitglieder (Server und Connectors) nicht automatisch aus der Verbindungsstatustabelle entfernen, sondern behandelt die gelöschten Routinggruppen wie bestehende, funktionsfähige Routinggruppen. In seltenen Fällen verursachen gelöschte Routinggruppen Fehlfunktionen beim Routing oder Mailschleifen. Gelöschte Routinggruppen können Topologien, in denen ein Standort mit Exchange 5.5 einer Organisation mit Exchange 2003 beitritt, schwer beeinträchtigen. Zudem können sich die gelöschten Routinggruppen wesentlich auf die Größe der Verbindungsstatustabelle auswirken und den Netzwerkverkehr beim Austausch von Verbindungsstatusinformationen erhöhen. Wenn das Persönliche Adressbuch (PAB) oder das Offlineadressbuch (OAB) einen LegacyExchange-Domänennamen hat, der einer gelöschten Routinggruppe entspricht, bewirken die gelöschten Routinggruppenobjekte, dass E-Mail-Nachrichten an nicht vorhandene Benutzer aus den PABs und OABs in der Warteschlange für Nachrichten mit nicht erreichbarem Ziel platziert werden. Nach einer Standardwartezeit von zwei Tagen wird die E-Mail mit einem Non-Delivery Report (NDR – Unzustellbarkeitsbericht) an den Absender zurückgesendet. Ohne das gelöschte Routinggruppenobjekt werden E-Mail-Nachricht an nicht vorhandene Benutzer sofort mit einem NDR an den Absender zurückgesendet und nicht in eine Warteschlange gestellt. Gelöschte Routinggruppe in WinRoute Stellen Sie zur Behebung dieses Problems zunächst sicher, dass das Konto, mit dem Sie die Routinginformationen anzeigen, über die entsprechenden Berechtigungen verfügt. Melden 271 Sie sich, wenn möglich, mit dem Systemkonto und dem interaktiven AT-Befehl bei WinRoute an. Wenn keine entsprechenden Leseberechtigungen erteilt wurden, wird in WinRoute die Fehlermeldung „object_not_found_in_DS“ (Objekt in DS nicht gefunden) angezeigt. Sie können gelöschte Routinggruppen mit einer der folgenden Methoden aus den Verbindungsstatusinformationen entfernen: Fahren Sie alle Server in der Organisation gleichzeitig herunter, um zwischengespeicherte Routingdaten zu aktualisieren, und entfernen Sie gelöschte Routinggruppen und Connectors. Fahren Sie auf allen Exchange-Servern in der Organisation sämtliche Dienste von Exchange und Windows Management Instrumentation (WMI) gleichzeitig herunter. Sie können dieses Problem auch beheben, indem Sie mit Remonitor.exe den Speicherbedarf für die gelöschte Routinggruppe reduzieren und die Routinggruppe als gelöscht markieren. Remonitor.exe ist ein Tool, mit dem ein benutzerdefiniertes Routingpaket in eine ExchangeOrganisation eingeführt werden kann. Das benutzerdefinierte Paket ist eine modifizierte Version des Pakets für die gelöschte Routinggruppe. Diese modifizierte Version weist keine Server- oder Connector-Einträge auf. Dadurch wird der Umfang des Routinggruppenobjekts erheblich verkleinert. Diese Version schließt auch ein mögliches Versagen oder eine Verzögerung beim Routing durch einen Connector-Eintrag mit gelöschter Routinggruppe aus. Da dieses Tool ein modifiziertes Paket ohne Connector-Einträge einführt, kann es keinen Connector-Eintrag mit gelöschter Routinggruppe geben. Schließlich aktualisiert Remonitor.exe die Versionsnummer der modifizierten Routinggruppe, sodass dieser gelöschten Routinggruppe keine Server- oder Connector-Einträge hinzugefügt werden können. Ausführliche Anweisungen finden Sie unter Ausführen von „Remonitor.exe“ als lokales Systemkonto im Modus zum Einfügen. Nach dem Ausführen von Remonitor.exe enthält das Routingpaket keine Servermitglieder oder Connectors. Den Adressen der Routinggruppe ist nun das Schlüsselwort deleted vorangestellt. Außerdem wurde die Versionsnummer des Routinggruppenobjekts erhöht. 272 Gelöschte Routinggruppe in WinRoute nach Ausführen von Remonitor.exe Connectors sind nicht als „Nicht verfügbar“ markiert In einigen Fällen wird der Verbindungsstatus eines Connectors als „Verfügbar“ markiert, obwohl er eigentlich gar nicht zur Verfügung steht. Routing markiert den Verbindungsstatus folgender Connectors nicht als „Nicht verfügbar“: Connectors, die für das Routing zu einer Domäne im Adressraum DNS verwenden (z. B. SMTP-Connectors mit DNS). Connectors in Exchange 5.5 bzw. benutzerdefinierte EDK-Connectors (Exchange Development Kit), da sie kein Verbindungsstatusrouting verwenden. Routinggruppenconnectors mit lokalen Bridgeheadservern eines beliebigen Bridgeheads. Sie legen einen lokalen Bridgeheadserver als lokalen Bridgehead fest, indem Sie beim Erstellen einer Routinggruppe auf Jeder lokale Server kann E-Mail über diesen Connector senden klicken. Routinggruppenconnectors mit einem Exchange 5.5-Server als Bridgeheadserver Weitere, eher unübliche Beispiele sind: Situationen, in denen in einer Routinggruppe die Weiterleitung von E-Mail-Nachrichten per Relay zur Vermeidung von MTA-Schleifen (Message Transfer Agent) in einer Routinggruppe fehlschlägt Connectors, die mit einem Smart Host konfiguriert sind, der erst vor kurzem geändert wurde. 273 Damit beim Routing ein Connector als „Nicht verfügbar“ markiert wird, müssen alle Bridgehead-Quellserver nicht verfügbar sein und den Status „VS_CONN_NOT_AVAILABLE oder VS_CONN_NOT_STARTED“ aufweisen. Sie können den Status mithilfe von WinRoute überprüfen. Oszillierende Verbindungen Connectors in einem unzuverlässigen Netzwerk, die erst als „Verfügbar“ und anschließend als „Nicht verfügbar“ markiert werden, führen wiederholt zu übermäßigen Aktualisierungen des Verbindungsstatus zwischen Servern. Diese Änderungen verursachen teure und häufige Neuberechnungen von Routen in Exchange. In der Ereignisanzeige wird die Ereignis-ID 4005 häufig protokolliert und mit dem Text „Reset routes“ (Routen zurücksetzen) angezeigt. Exchange 2003 reduziert diese Änderungen, wenn ein sich häufig ändernder Connectorstatus festgestellt wird, indem der Status für die Zeit, in der ein Server die Änderung überwacht, in einem einzelnen Abruffenster als „Verfügbar“ markiert bleibt. Treten diese Änderungen jedoch in unterschiedlichen Abrufzeiten auf, kann eine oszillierende Verbindung weiterhin den Verbindungsstatusverkehr generieren. Das Standwert für das Statusänderungsintervall für Exchange 2003-Server beträgt 10 Minuten. Exchange-Routing wählt den optimalen Pfad und ermittelt den nächsten Server, zu dessen nächstem Abschnitt eine Nachricht geht. Dabei wird der Name dieses Servers in der Warteschlange platziert. Der optimale Pfad wird unter Berücksichtigung von Variablen wie beispielsweise Kosten, Nachrichtentyp und Einschränkungen ausgewählt. Folglich muss Exchange wegen des oszillierenden Status eines Connectors den optimalen Pfad wiederholt neu berechnen, was Abfragen von Active Directory sowie Leistungseinbußen mit sich zieht. Wenn die Exchange-Warteschlange einen Verbindungsfehler zum Bridgeheadserver auf einem Connector feststellt, werden diese Information an den Routinggruppenmaster weitergeleitet. Dieser unterdrückt die Information für die Dauer von bis zu 10 Minuten, um Fluktuationen des Connectorstatus zu vermeiden. Wenn Routing den Connector als „Nicht verfügbar“ markiert, wird diese Änderung an alle Exchange-Server in der Organisation übermittelt (einschließlich des Servers, auf dem der Fehler aufgetreten ist). Diese Benachrichtigung, auch „Rücksetzungsroute“ genannt, ist hinsichtlich der CPU-Auslastung ein aufwändiger Vorgang. E-Mails werden nicht mehr auf dem Connector in die Warteschlange gestellt, und das Routing muss neue Übermittlungspfade generieren. Der gleiche Vorgang gilt beim Markieren eines Connectors als „Verfügbar“. Eine oszillierende Verbindung tritt in folgenden Situationen auf: Netzwerkprobleme, die in einer Netzwerkverfolgung angezeigt werden Reaktionen auf Verbindungsstatus-Benachrichtigungsrückrufe von zu Grunde liegenden Protokolldiensten (SMTP und MTA) auf Grund einer Interferenz auf den X.400- oder SMTP-Protokollebenen durch Microsoft-fremde Anwendungen In diesem Szenario können die Probleme nur durch eine Erfassung der Netzwerküberwachung ermittelt 274 werden. Zusätzlich können Sie das Tool remonitor.exe des Microsoft-Produktsupport verwenden. Mit dem Netzwerkmonitor (Netmon.exe) oder dem Tool remonitor.exe können Sie die eigentliche Ursache für oszillierende Verbindungen ermitteln. Wenn die oszillierenden Verbindungen bei der Weitergabe erheblichen Netzverkehr erzeugen, können Sie zusätzlich die Weitergabe von Änderungen des Verbindungsstatus bis zur Lösung des Problems unterbinden. Ausführliche Anweisungen finden Sie unter Unterdrücken der Verbindungsstatusinformationen auf einem Server. Weitere Informationen über das Unterbinden des Verbindungsstatus-Datenverkehr finden Sie unter „Unterbinden des Verbindungsstatus-Datenverkehrs für Connectors“ unter Erweiterte Routingkonfiguration. Unterbrochene Verbindungsstatusübermittlung Exchange 5.5-Server verwenden keine Verbindungsstatusinformationen, sondern die Gateway-Addressroutingtabelle (GWART) für das Nachrichtenrouting. In einer Organisation im gemischten Modus erkennen Exchange 2000 und höhere Versionen diese Einschränkung und lesen die Konfiguration von Exchange 5.5-Servern direkt aus Active Directory. Daher erwarten Exchange 2000- und Exchange 2003-Server keinen Austausch von Verbindungsstatusinformationen mit Exchange 5.5-Servern. Wenn ein Exchange 5.5-Bridgeheadserver in einer Exchange-Routinggruppe auf einen Exchange 2000- oder Exchange 2003-Server aktualisiert und als Bridgeheadserver festgelegt wird, nimmt er am Austausch von Verbindungsstatusinformationen teil und besitzt nicht länger die Hauptversionsnummer Null. Exchange 2000- und Exchange 2003-Server vergleichen Verbindungsstatustabellen mithilfe der Versionsnummern und stellen sicher, dass Server über die aktuellsten Informationen zum Verbindungsstatus verfügen. Die Hauptversionsnummer Null weist auf einen Server hin, der nicht am Austausch von Verbindungsstatusinformationen teilnimmt bzw. nie teilgenommen hat. Ein reiner Exchange 5.5-Standort besitzt die Versionsnummer Null, da er keine Verbindungsstatusinformationen austauscht. Wenn der Server auf einen Exchange 2000oder Exchange 2003-Server aktualisiert wird, nimmt er am Austausch von Verbindungsstatusinformationen teil und erhöht seine Hauptversionsnummer. Bridgeheadserver in anderen Routinggruppen erwarten also, dass sie vom neu aktualisierten Server über Verbindungsstatusänderungen in der Routinggruppe informiert werden. Es kommt zu Problemen, wenn Sie nun einen Exchange 5.5-Server als Bridgeheadserver für diese Routinggruppe festlegen. Andere Server gehen weiterhin davon aus, dass der Exchange 5.5-Bridgeheadserver (d. h. der frühere Exchange 2000- oder Exchange 2003Bridgeheadserver) an der Übermittlung von Verbindungsstatusinformationen teilnimmt und warten auf aktualisierte Informationen von diesem Server. Da dieser Server jedoch wieder in einen Exchange 5.5-Server geändert wurde, besitzt er keine Verbindungsstatustabelle mehr. 275 Daher wird diese Routinggruppe nun isoliert und nimmt nicht an den dynamischen Verbindungsstatusaktualisierungen in der Organisation teil. Die isolierte Routinggruppe verursacht in einer in Abbildung 11.4 dargestellten Situation Probleme. Insbesondere weil der Exchange 5.5-Bridgeheadserver früher ein Exchange 2000oder Exchange 2003-Bridgeheadserver war, erwarten andere Server, dass er an der Weitergabe des Verbindungsstatus teilnimmt. Der Internet Mail-Connector in Exchange 5.5 und der SMTP-Connector in Exchange 2003 in der folgenden Abbildung leiten E-Mails über einen einzelnen Smart Host an das Internet weiter. Da der Smart Host unverfügbar wird, markiert der Exchange 2003-Bridgeheadserver die Route über seinen SMTP-Connector als „Nicht verfügbar“. Da jedoch der Bridgeheadserver vom Exchange 5.5-Server Verbindungsstatusinformationen zu seinen Routinggruppen und Connectors erwartet, nimmt er an, dass die Route über den Internet Mail Connector zur verfügbar ist und versucht, die Nachrichten über diese Route zu senden. Nach einem Fehlversuch erkennt der Exchange 2003-Server eine mögliche Schleife und verwendet diese Route nicht mehr. Verbindungsherstellung von Exchange 5.5- und Exchange 2003-Servern mit einem Smart Host Die Weitergabe des Verbindungsstatus kann auch durch eine Firewall im System unterbrochen werden, die diese Weitergabe blockiert. Die Anschlüsse 25 und 691 sind innerhalb einer Routinggruppe und der Anschluss 25 ist zwischen Routinggruppen erforderlich. Auch darf der ESMTP-Befehl X-LINK2STATE (Extended Simple Mail Transfer Protocol) nicht durch eine Firewall blockiert werden. Zur Problembehebung stehen zwei Lösungen zur Verfügung: Aktualisieren Sie den Exchange 5.5-Bridgeheadserver auf einen Exchange 2000- oder Exchange 2003-Server, oder senden Sie die Verbindungsstatusinformationen zu dieser Routinggruppe über einen anderen Exchange 2000- oder Exchange 2003-Server. Mit diesen beiden Möglichkeiten können Sie das Problem am einfachsten beheben. 276 Wenn Sie die nicht verbundenen Routinggruppen auf einen Verbindungsstatus mit Hauptversionsnummer Null zurücksetzen möchten, fahren Sie alle Exchange-Server in der Organisation gleichzeitig herunter, und starten Sie sie anschließend neu. Konfigurieren Sie die Firewall so, dass die Weitergabe des Verbindungsstatus nicht verhindert wird. Weitere Informationen über isolierte oder nicht zusammenhängende Routinggruppen und die Hauptversionsnummern finden Sie im Microsoft Knowledge Base-Artikel 842026 "Routing status information is not propagated correctly to all servers in Exchange 2000 Server or in Exchange Server 2003". Ausführen von „Remonitor.exe“ als lokales Systemkonto im Modus zum Einfügen Remonitor.exe ist ein Tool, mit dem ein benutzerdefiniertes Routingpaket in eine Exchange Server-Organisation gebracht werden kann. Das benutzerdefinierte Paket ist eine modifizierte Version des Pakets für die gelöschte Routinggruppe. Diese modifizierte Version hat keine Server- oder Connector-Einträge. Dadurch wird der Umfang des Routinggruppenobjekts erheblich verkleinert. Diese Version vermeidet auch ein mögliches Versagen oder eine Verzögerung beim Routing durch einen Connector-Eintrag mit gelöschter Routinggruppe. Da dieses Tool ein modifiziertes Paket ohne Connector-Einträge injiziert, kann es keinen Connector-Eintrag mit gelöschter Routinggruppe geben. Schließlich aktualisiert Remonitor.exe die Versionsnummer der modifizierten Routinggruppe, sodass dieser gelöschten Routinggruppe keine Server- oder Connector-Einträge hinzugefügt werden können. Um Remonitor.exe verwenden zu können, müssen Sie das Tool zuerst von Microsoft® Product Support Services anfordern. Remonitor.exe muss in das Verzeichnis Exchsrvr\bin auf einem Exchange-Server kopiert werden. Hinweis: Auf dem Server, auf dem das Tool Remonitor ausgeführt wird, kann kein Routingpaket eingebracht werden. Das Tool muss auf einem separaten Server ausgeführt werden. Hinweis: Nachdem Sie eine Routinggruppe gelöscht haben, müssen Sie warten, bis diese Änderung auf allen Servern des Microsoft Active Directory®-Verzeichnisdiensts in der Organisation repliziert wurde, bevor Sie Remonitor.exe ausführen. Sie müssen das Tool mit einem Konto ausführen, das über SendAs-Berechtigungen auf dem Exchange-Server verfügt, z. B. das lokale Systemkonto. 277 Hinweis: Remonitor.exe muss nur für einen Server in der Exchange Server-Organisation ausgeführt werden. Die Paketinjektion wird an die anderen Server der Organisation weitergegeben. Nach dem Ausführen von Remonitor.exe enthält das Routingpaket keine Servermitglieder oder Connectors. Den Adressen der Routinggruppe ist nun das Schlüsselwort deleted vorangestellt. Außerdem wurde die Versionsnummer des Routinggruppenobjekts erhöht. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Problembehandlung beim Routing. Verfahren So führen Sie „Remonitor.exe“ als lokales Systemkonto im Modus zum Einfügen aus 1. Geben Sie an der Eingabeaufforderung Folgendes ein: at <Zeit> /interactive "cmd.exe" wobei <Zeit> eine beliebige Tageszeit ist. 2. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Zubehör, zeigen Sie auf Systemprogramme, und klicken Sie dann auf Geplante Tasks. 3. Klicken Sie in Geplante Tasks mit der rechten Maustaste auf den gerade erstellten Job Um, und klicken Sie auf Ausführen. Hinweis: Die von Ihnen erstellte Aufgabe wird als At<ID> angezeigt, wobei ID der bei der Erstellung der Task zugewiesenen Task-ID entspricht. 4. Es wird ein neues Eingabeaufforderungsfenster geöffnet, das als das lokale Systemkonto ausgeführt wird. 5. Navigieren Sie in diesem Fenster zum Verzeichnis .\Exchsrvr\bin im ExchangeInstallationsverzeichnis. Standardmäßig ist dies das Verzeichnis <Laufwerkbuchstabe:>\Programme\Exchsrvr\bin. 6. Geben Sie folgenden Befehl ein: remonitor -i <zu injizierender Server> 7. Klicken Sie in Geplante Tasks mit der rechten Maustaste auf die Task Um, und klicken Sie auf Löschen. 278 Unterdrücken der Verbindungsstatusinformationen auf einem Server Mit dem Netzwerkmonitor (Netmon.exe) oder dem Tool remonitor.exe können Sie die eigentliche Ursache für oszillierende Verbindungen ermitteln. Wenn die oszillierenden Verbindungen bei der Weitergabe erheblichen Netzverkehr erzeugen, können Sie zusätzlich die Weitergabe von Änderungen des Verbindungsstatus bis zur Lösung des Problems unterbinden. Beachten Sie, dass durch eine Änderung dieses Registrierungsschlüssels nicht das Weiterleiten der Verbindungsstatustabelle über Server hinweg beendet wird. Es wird lediglich der durch Connectorstatuswechsel erzeugte Verbindungsstatus-Datenverkehr unterdrückt. Vorsicht: Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung beim Routing, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So unterdrücken Sie Verbindungsstatusinformationen auf einem Server 1. Starten Sie den Registrierungs-Editor (regedit). 2. Navigieren Sie in der Registrierung zu folgendem Schlüssel, und klicken Sie mit der rechten Maustaste darauf: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RESvc\Parameters 3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann folgenden Registrierungsschlüssel hinzu: Name: SuppressStateChanges 279 Datentyp: REG_DWORD Daten: 1 Basis: Decimal 4. Schließen Sie den Registrierungs-Editor. 5. Starten Sie die folgenden Dienste neu: Microsoft Exchange-Routingmodul (RESvc) SMTP-Dienst (SMTPSVC) Microsoft Exchange MTA-Stacks (MSExchangeMTA) Weitere Informationen Weitere Informationen über das Unterbinden des Verbindungsstatus-Datenverkehrs finden Sie unter „Unterbinden des Verbindungsstatus-Datenverkehrs für Connectors“ unter Erweiterte Routingkonfiguration. Problembehandlung bei Nachrichtenfluss und SMTP Nachrichtenflussprobleme können auch auftreten, nachdem Sie SMTP (Simple Mail Transfer Protocol) in der Microsoft® Exchange Server-Organisation konfiguriert und alle notwendigen Sicherheitseinstellungen vorgenommen haben. In diesem Thema werden viele der häufig auftretenden Probleme sowie entsprechende Methoden zu deren Lösung erläutert. Insbesondere erhalten Sie Informationen zu folgenden Themen: Verwenden von Telnet Verwenden von SMTP und X.400-Warteschlangen Verwenden des Nachrichtenstatus Verwenden der Ereignisanzeige Konfigurieren der SMTP-Diagnoseprotokollierung Bevor Sie jedoch auf die in diesem Thema beschriebenen Problembehandlungsverfahren zurückgreifen, sollten Sie sicherstellen, dass Exchange Server ordnungsgemäß für das Senden und Empfangen von E-Mail konfiguriert ist. In der folgenden Liste sind die Anforderungen für die ordnungsgemäße Übertragung eingehender und ausgehender Nachrichten kurz zusammengefasst. Für den Nachrichtenfluss bei eingehenden Internet-E-Mail-Nachrichten: 280 Müssen die Empfängerrichtlinien richtig konfiguriert sein. Muss der virtuelle SMTP-Server, auf dem Internet-E-Mail-Nachrichten empfangen wird, für den Empfang über Anschluss 25 eingerichtet sein und anonyme Verbindungen zulassen. Muss für Ihre Domäne eine MX-Ressource (Mail Exchanger) auf einem Internet-DNSServer vorhanden sein, und der MX-Eintrag muss auf die externe oder Internet-Domäne des Mailservers verweisen. Ihr Internetmailserver muss für Remoteserver im Internet zugänglich sein. Für den Nachrichtenfluss bei ausgehenden Internet-E-Mail-Nachrichten: Muss der virtuelle SMTP-Server, der Internet-E-Mail-Nachrichten sendet, für die Verwendung von Anschluss 25 konfiguriert sein. Wenn Sie SMTP-Connectors verwenden, muss mindestens ein Connector einen Adressraum von * enthalten, durch den alle externen Domänen festgelegt sind. Ihr Exchange-Server muss externe DNS-Namen auflösen können. Externe DNS-Namen lassen sich folgendermaßen auflösen: Verwenden Sie einen internen DNS-Server, der Nachrichten an einen externen DNSServer weiterleitet. Konfigurieren Sie den virtuellen SMTP-Server so, dass dieser einen bestimmten externen DNS-Server verwendet. Leiten Sie Nachrichten an einen Smarthost weiter, der DNS-Auflösung durchführt. Weitere Informationen über die Konfiguration von Exchange Server zum Senden und Empfangen von E-Mail-Nachrichten finden Sie in Überprüfen des DNS-Designs und der Konfiguration. Ausführliche Informationen zur Verwendung von Telnet zum Testen von SMTP finden Sie im folgenden Thema: Testen der SMTP-Verbindung mit Telnet Verwenden von SMTP und X.400Warteschlangen SMTP verwendet SMTP-Warteschlangen zur internen und externen Übertragung von Nachrichten. Exchange-Server in der Version 5.5, MAPI-Clients (wie Microsoft Office Outlook®) und andere Mail-Connectors (wie Microsoft Exchange Connector for Lotus Notes und Microsoft Exchange Connector for Novell Groupwise) verwenden X.400-Warteschlangen zum Senden an und Empfangen von Nachrichten aus Exchange Server. In den folgenden Abschnitten wird beschrieben, wie Sie SMTP- und X.400-Warteschlangen verwenden, um Probleme beim Nachrichtenfluss zu beheben. 281 Grundlagen zu SMTP-Warteschlangen Während der Kategorisierung und Übermittlung der Nachrichten werden alle Nachrichten vom erweiterten Warteschlangenmodul durch die SMTP-Warteschlangen eines virtuellen SMTP-Servers gesendet. Tritt an irgendeiner Stelle der Übermittlung einer Nachricht ein Problem auf, so verbleibt die Nachricht in der entsprechenden Warteschlange. Sie können die SMTP-Warteschlangen verwenden, um mögliche Gründe für Nachrichtenflussprobleme einzugrenzen. Wenn sich eine Warteschlange im Status „Wiederholen“ befindet, sollten Sie die Eigenschaften der Warteschlange überprüfen, um die Ursache festzustellen. Wenn beispielsweise in den Eigenschaften der Warteschlange eine Meldung wie „Ein SMTP-Fehler ist aufgetreten“ angezeigt wird, sollten Sie die Ereignisprotokolle für den Server überprüfen, um die Ursache dafür zu finden. Wenn das Protokoll keine Ereignisse enthält, sollten Sie den SMTP-Protokolliergrad erhöhen. Weitere Informationen zum Erhöhen der Protokollierungsstufe des SMTP-Protokolls finden Sie in Anzeigen des Anwendungsprotokolls in der Ereignisanzeige und Ändern von Protokollierungseinstellungen für MSExchangeTransport . In der folgenden Tabelle werden die SMTP-Warteschlangen mit Beschreibungen und Informationen zur Fehlerbehebung bei einer Anhäufung von Nachrichten in einer der Warteschlangen angezeigt. 282 Beschreibungen der SMTP-Warteschlangen und entsprechende Problembehandlungsinformationen SMTP-Warteschlange Beschreibung Problembehandlung [Lokaler Domänenname] (Lokale Übermittlung) Enthält Nachrichten, die auf dem Exchange-Server für die lokale Übermittlung an ein Exchange-Postfach oder einen Informationsspeicher für Öffentliche Ordner in die Warteschlange eingereiht sind. Nachrichten können sich in dieser Warteschlange anhäufen, wenn der Exchange-Server keine Nachrichten für die lokale Übermittlung annimmt. Langsame oder nur gelegentliche Nachrichtenübermittlung kann auf eine Nachrichtenschleife oder ein Leistungsproblem hinweisen. Diese Warteschlange wird vom ExchangeInformationsspeicher beeinflusst. Sie können die Diagnoseprotokollierung des ExchangeInformationsspeichers erhöhen, wie in Ändern von Protokollierungseinstellungen für MSExchangeTransport beschrieben. 283 SMTP-Warteschlange Beschreibung Problembehandlung Nachrichten warten auf Verzeichnissuche Enthält Nachrichten an Empfänger, die noch nicht anhand des Microsoft Active Directory®Verzeichnisdiensts aufgelöst wurden. Nachrichten verbleiben ebenfalls während des Erweiterns von Verteilerlisten auf diesem Server. Im Allgemeinen tritt eine Anhäufung von Nachrichten in dieser Warteschlange auf, wenn das erweiterte Warteschlangenmodul nicht in der Lage ist, die Nachrichten zu kategorisieren. Das erweiterte Warteschlangenmodul ist möglicherweise nicht in der Lage, auf die globalen Katalogserver und somit auf die Empfängerinformationen zuzugreifen, oder der globale Katalogserver ist nicht erreichbar oder arbeitet sehr langsam. Weiterhin können sich Nachrichten durch folgende Ursachen anhäufen: Active Directory ist nicht verfügbar (da das Kategorisierungsmodul Active Directory zur Kategorisierung von Nachrichten verwendet). Active Directory ist möglicherweise überlastet (wenn sich viele Nachrichten in der Warteschlange vor der Kategorisierung befinden). Ein Konvertierungsfehler ist aufgetreten. Das Kategorisierungsmodul ist ebenfalls für die Inhaltskonvertierung zuständig. Das Nachrichtenkategorisieru ngsmodul kann keine Postfachspeicher finden. Wenn SMTP erneut installiert oder entfernt 284 SMTP-Warteschlange Beschreibung Problembehandlung Nachrichten warten auf Routing Nachrichten verbleiben in dieser Warteschlange, bis der nächste Zielserver ermittelt wurde, und werden anschließend in die entsprechenden Verbindungswarteschlangen verschoben. Nachrichten werden in dieser Warteschlange angehäuft, wenn in Exchange Server Routingprobleme auftreten. Das Nachrichtenrouting wird möglicherweise gesichert. Sie können die Diagnoseprotokollierung für das Routing erhöhen, wie in Ändern von Protokollierungseinstellungen für MSExchangeTransport beschrieben. Enthält Nachrichten für die Remoteübermittlung. Der [Connectorname| Name der Warteschlange Servername|Remotedomäne] ergibt sich aus dem Ziel der Remoteübermittlung, also dem Namen des entsprechenden Connectors bzw. Servers oder dem Namen der Domäne. Wenn es zu einer Anhäufung von Nachrichten in dieser Warteschlange kommt, sollten Sie zuerst den Status der Warteschlange überprüfen. Ist der Status der Warteschlange auf Wiederholen gesetzt, überprüfen Sie die Eigenschaften der Warteschlange, um die Ursache dafür herauszufinden. Verwenden Sie bei DNS-Problemen zur Fehlersuche Nslookup und Telnet. Ist der Host nicht erreichbar, verwenden Sie Telnet, um festzustellen, ob der Remoteserver antwortet. Remoteübermittlung 285 SMTP-Warteschlange Beschreibung Problembehandlung Endgültiges Ziel momentan nicht erreichbar Der endgültige Zielserver für diese Nachrichten kann nicht erreicht werden. Exchange war z. B. nicht in der Lage, einen Netzwerkpfad zum endgültigen Ziel zu finden. Nachrichten können in dieser Warteschlange angehäuft werden, wenn keine Route für die Übermittlung vorhanden ist. Außerdem werden Nachrichten hier eingereiht, wenn ein Connector oder eine Warteschlange für Remoteübermittlung nicht erreichbar oder eine zeitlang auf Wiederholen gesetzt ist und keine andere Route zu dem Connector oder dem Remoteziel vorhanden ist. Dadurch kann ein Administrator das Problem beheben oder eine andere Route festlegen. Um neue Nachrichten in die entsprechenden Warteschlangen für ihre Remoteziele einzureihen, führen Sie einen Neustart des virtuellen SMTP-Servers durch. Dies gibt Ihnen die Möglichkeit, eine Verbindung zu erzwingen und eine Verfolgung im Netzwerkmonitor (Netmon) durchzuführen. 286 SMTP-Warteschlange Beschreibung Problembehandlung Vor Übermittlung Enthält Nachrichten, die vom SMTP-Dienst bestätigt und angenommen wurden. Mit der Verarbeitung dieser Nachrichten wurde jedoch noch nicht begonnen. Kommt es hier zu einer ständigen Anhäufung von Nachrichten, ist dies ein Zeichen für Leistungsprobleme. Gelegentliche Leistungsspitzen können zur Folge haben, dass in dieser Warteschlange zeitweilig Nachrichten angezeigt werden. DSN-Nachrichten mit ausstehender Übertragung Enthält Benachrichtigungen über den Zustellstatus, auch Unzustellbarkeitsberichte genannt, die zum Übermitteln durch Exchange bereit sind. Nachrichten können sich in dieser Warteschlange anhäufen, wenn der Microsoft ExchangeInformationsspeicher nicht verfügbar ist bzw. nicht ausgeführt wird oder wenn Probleme bei der Speicherkomponente IMAIL Exchange vorhanden sind. Über diese Komponente erfolgt die Konvertierung. Hinweis Die folgenden Vorgänge sind für diese Warteschlange nicht verfügbar: Alle Nachrichten löschen (kein Unzustellbarkeitsbericht) Alle Nachrichten löschen (Unzustellbarkeitsbericht) Überprüfen Sie das Ereignisprotokoll auf mögliche Fehler beim Microsoft ExchangeInformationsspeicher. 287 SMTP-Warteschlange Beschreibung Problembehandlung Warteschlange für Nachrichten mit fehlerhafter Übermittlung Enthält Benachrichtigungen, deren Warteschlangenübertragung fehlgeschlagen ist, meistens bevor eine andere Art der Verarbeitung stattgefunden hat. Standardmäßig werden Nachrichten in dieser Warteschlange nach 60 neu übertragen. Mögliche Gründe für fehlgeschlagene Übertragung von Nachrichten sind die folgenden: Beschädigte Nachrichten Drittanbieterprogramme oder Ereignissenken führen unter Umständen zu einem Konflikt mit der Warteschlangenfunktion oder der Integrität. Niedrige Systemressourcen können eine langsame Reaktion des Systems oder andere Leistungsprobleme verursachen. Ein Neustart von IIS hilft möglicherweise vorübergehend bei Ressourcenproblemen, Sie sollten die Ursache jedoch feststellen. 288 SMTP-Warteschlange Beschreibung Nachrichten in Enthält Nachrichten, die Warteschlange für verzögerte eingeordnet sind und später Übermittlung gesendet werden sollen (darunter auch Nachrichten, die mit älteren Versionen von Outlook gesendet wurden. Diese Option kann bei Outlook-Clientcomputern festgelegt werden.) Problembehandlung Mögliche Gründe für die Anhäufung von Nachrichten sind die folgenden: Frühere Versionen von Outlook sind für die Übermittlung von Nachrichten vom Message Transfer Agent (MTA) abhängig. Nun wird die Übermittlung von Nachrichten über SMTP und nicht den MTA durchgeführt. Daher wird die verzögerte Übermittlung von Nachrichten, die über frühere Outlook-Versionen gesendet werden, anders gehandhabt. Diese Nachrichten verbleiben bis zum angesetzten Übermittlungszeitpunkt in der Warteschlange. Wenn eine Nachricht an das Postfach eines Benutzers gesendet wird, das gerade verschoben wird, können die Nachrichten in diese Warteschlange eingereiht werden. Wenn der Benutzer noch kein Postfach hat und für den Benutzer keine Hauptkonto-SID (Security ID) vorhanden ist. Weitere Informationen finden Sie im Microsoft Knowledge BaseArtikel 316047, „XADM: Addressing Problems That Are Created When You Enable ADCGenerated Accounts“. Die Nachricht ist möglicherweise beschädigt oder der Empfänger ungültig. Zum Feststellen, ob eine Nachricht beschädigt ist, überprüfen Sie deren Eigenschaften. Wenn auf eine Nachricht nicht zugegriffen werden kann, ist diese möglicherweise beschädigt. Überprüfen Sie auch, ob der Empfänger gültig ist. 289 Weiter Informationen zur Problembehandlung bei Nachrichtenfluss und SMTP finden Sie in den folgenden Themen: Anzeigen der Eigenschaften einer Warteschlange Anzeigen von Nachrichten in einer Warteschlange Überprüfen der SMTP-Leistungsindikatoren Aktivieren des Nachrichtenstatus auf einem Server Anzeigen des Anwendungsprotokolls in der Ereignisanzeige Anzeigen des Systemprotokolls in der Ereignisanzeige Ändern von Protokollierungseinstellungen für MSExchangeTransport Festlegen der Protokollierung auf Debugebene für das SMTP-Protokoll Aktivieren der Protokollierung auf Debugebene für die Nachrichtenkategorisierung Testen der SMTP-Verbindung mit Telnet Telnet ist ein leistungsstarkes Tool zur Behebung von SMTP- und Nachrichtenflussproblemen. Telnet kann beispielsweise für die folgenden Vorgänge verwendet werden: Überprüfen der SMTP-Installation und der Verfügbarkeit der erforderlichen Befehle. Sicherstellen des Serverzugriffs über das Internet. Testen der direkten Nachrichtenübertragung über TCP-Anschlüsse. Überprüfen der Verbindungsannahme der gesamten Server. Feststellen von Verbindungssperren durch eine Firewall. Sicherstellen des Nachrichtenempfangs einzelner Benutzer. Sicherstellen des Nachrichtenempfangs einer bestimmten Domäne. Sicherstellen des Empfangs von Nachrichten bestimmter Benutzer oder Domänen in Ihrer Domäne. Hinweis: Im Folgenden wird dargestellt, wie Sie das Verfahren zum Senden einer Nachricht eines internen Benutzers an einen Remotebenutzer testen, wenn für die Weiterleitung von Nachrichten aus Ihrer Organisation eine Standardauthentifizierung erforderlich ist. 290 Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So verwenden Sie Telnet zum Testen der SMTP-Kommunikation 1. Öffnen Sie eine Telnet-Sitzung: Geben Sie dazu an der Eingabeaufforderung telnet ein, und drücken Sie die EINGABETASTE. 2. Geben Sie auf einem Computer mit Microsoft Windows® 2000 Server set local_echo und auf einem Computer mit Windows Server™ 2003 oder Windows XP SET LOCALECHO ein, und drücken Sie die EINGABETASTE. Durch diesen Befehl werden die Rückmeldungen zu den Befehlen angezeigt. Hinweis: Geben Sie set ? ein, um eine Liste der verfügbaren Telnet-Befehle anzuzeigen. 3. Geben Sie o <Ihre Mailserverdomäne> 25 ein, und drücken Sie die EINGABETASTE. 4. Geben Sie EHLO <Ihre Mailserverdomäne> ein, und drücken Sie die EINGABETASTE. 5. Geben Sie AUTH LOGIN ein. Daraufhin werden Sie vom Server in einer verschlüsselten Eingabeaufforderung zur Eingabe Ihres Benutzernamens aufgefordert. 6. Geben Sie Ihren mit Base64-Codierung verschlüsselten Benutzernamen ein. Sie können dazu eines der verfügbaren Programme zur Verschlüsselung von Benutzernamen verwenden. 7. Daraufhin werden Sie vom Server in einer verschlüsselten Base64Eingabeaufforderung zur Eingabe Ihres Kennworts aufgefordert. Geben Sie Ihr mit Base64-Codierung verschlüsseltes Kennwort ein. 8. Geben Sie MAIL FROM:<[email protected]> ein, und drücken Sie dann die EINGABETASTE. Wenn der Absender keine Berechtigung zum Senden von E-MailNachrichten hat, wird vom SMTP-Server eine Fehlermeldung zurückgegeben. 9. Geben Sie RCPT TO:<[email protected]> ein, und drücken Sie dann die EINGABETASTE. Wenn der Empfänger ungültig ist, oder der Server keine E-Mail für 291 diese Domäne annimmt, wird vom SMTP-Server eine Fehlermeldung zurückgegeben. 10. Geben Sie DATA ein. 11. Geben Sie gegebenenfalls einen Nachrichtentext ein, drücken Sie die EINGABETASTE, geben Sie einen Punkt (.) ein, und drücken Sie dann erneut die EINGABETASTE. 12. Wenn der Nachrichtenfluss ordnungsgemäß funktioniert, wird eine Meldung zur Anordnung der Nachricht in der Warteschlange angezeigt, die der im Folgenden aufgeführten ähnlich ist: 250 2.6.0 <[email protected]. Weitere Informationen Das folgende Beispiel ist ein Telnet-Test, bei dem eine Nachricht vom Absender contoso.com erfolgreich an eine Remotedomäne gesendet wird: 250-mail1.fourthcoffee.com Hello [172.16.0.0] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-X-EXPS GSSAPI NTLM 250-AUTH GSSAPI NTLM 250-X-LINK2STATE 250-XEXCH50 250 OK 292 334 VXNlcm5hbWU6 334 UGFzc3dvcmQ6 235 2.7.0 Authentication successful. 250 2.1.0 [email protected] OK 250 2.1.5 [email protected] 354 Start mail input; end with <CRLF>.<CRLF> . 250 2.6.0 <[email protected]> Queued mail for delivery Weitere Informationen finden Sie unter Absichern des Exchange-Servers. Anzeigen der Eigenschaften einer Warteschlange Wenn sich Nachrichten in einer der Warteschlangen anhäufen, können Sie die Eigenschaften der Warteschlange anzeigen, um weitere Informationen über die möglichen Ursachen der Anhäufung zu erhalten. Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist 293 Verfahren So können Sie die Eigenschaften einer Warteschlange anzeigen 1. Starten Sie den Exchange-System-Manager: Klicken Sie auf Start, zeigen Sie auf Alle Programme und anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie nacheinander Administrative Gruppen, <Name der administrativen Gruppe>, Server und den gewünschten Server, und klicken Sie anschließend auf Warteschlangen. 3. Klicken Sie im Detailbereich auf die gewünschte Warteschlange. Weitere Informationen zu dieser Warteschlange werden ggf. unten im Detailbereich unter Weitere Warteschlangeninformationen angezeigt. Anzeigen von Nachrichten in einer Warteschlange Wenn Nachrichtenflussprobleme auftreten, müssen Sie zunächst bestimmen, ob es sich um globale Probleme oder um Probleme mit einzelnen Empfängern oder Domänen handelt. Dies lässt sich durch die Anzeige der Nachrichten in einer Warteschlange feststellen. Bevor Sie beginnen Lesen Sie Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das in diesem Thema beschriebene Verfahren durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Wenn Sie in der Warteschlangenanzeige mit der rechten Maustaste auf die einzelnen Warteschlangen klicken, werden die folgenden Optionen zur Verfügung gestellt: Nachrichten suchen Sie können Suchkriterien für die Nachrichten angeben, die Sie untersuchen möchten. Fixieren Beendet die Übermittlung aller Nachrichten, die sich in der Warteschlange befinden. Sie können diese Option verwenden, um vorübergehend zu verhindern, dass Nachrichten die Warteschlange verlassen, während Sie die Nachrichten untersuchen. Das Fixieren der Warteschlange verhindert, dass Nachrichten die 294 Warteschlange verlassen, nicht jedoch, dass Nachrichten in die Warteschlange aufgenommen werden. Fixierung aufheben Nimmt die Übermittlung der aller Nachrichten, die sich in der Warteschlange befinden, wieder auf. Das Aufheben der Fixierung der Warteschlange hebt nicht die Fixierung einzelner Nachrichten auf, die vom Administrator fixiert wurden. Verbindung erzwingen Zwingt eine Warteschlange, die sich in einem Wiederholungszustand befindet, zum Versuch, sofort eine Verbindung herzustellen. Verfahren So können Sie Nachrichten in einer Warteschlange anzeigen 1. Öffnen Sie den Exchange-System-Manager. Erweitern Sie Administrative Gruppen, erweitern Sie <Name der administrativen Gruppe>, erweitern Sie Server, erweitern Sie den Server, auf dem Sie Warteschlangen anzeigen möchten, und klicken Sie dann auf Warteschlangen. Hinweis: Wenn Sie eine bestimmte Nachricht anzeigen möchten, können Sie den Nachrichtenstatus zum Bestimmen verwenden, welcher Server diese Nachricht zuletzt verarbeitet hat, und dann die Warteschlangen auf dem betreffenden Server anzeigen, um die Nachricht zu untersuchen. 1. Die Warteschlangen, die sich auf dem ausgewählten Server befinden, werden im Ergebnisbereich angezeigt. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die Warteschlange, die Sie untersuchen möchten, und klicken Sie dann auf Nachrichten suchen. Das Dialogfeld Nachrichten suchen wird angezeigt. 2. Optional. Geben Sie die Einschränkungen für Adressen an, die zum Filtern der Suchergebnisse verwendet werden. Um alle Nachrichten von einem bestimmten Absender zu suchen, geben Sie eine SMTP-Adresse in das Feld Absender ein, oder klicken Sie auf Absender, um einen Absender aus dem Active DirectoryVerzeichnisdienst auszuwählen. Um alle an einen bestimmten Empfänger adressierten Nachrichten zu suchen, geben Sie eine SMTP-Adresse in das Feld Empfänger ein, oder klicken Sie auf Empfänger, um einen Empfänger aus Active Directory auszuwählen. 3. Optional. Geben Sie die Einschränkungen für Adressen an, die zum Beschränken der Suchergebnisse verwendet werden. Wenn Sie die Anzahl der zurückgegebenen Suchergebnisse steuern möchten, wählen Sie einen Wert aus der Dropdownliste Anzahl der bei der Suche aufzulistenden Nachrichten aus. Der Standardwert ist 100. Um nur nach Nachrichten zu suchen, die einen bestimmten Status besitzen, wählen Sie einen Wert aus der Dropdownliste Nachrichten mit folgendem Status 295 anzeigen aus. In der Standardeinstellung werden alle Nachrichten angezeigt. Sie können auch auswählen, dass nur Nachrichten angezeigt werden, die den Status "Fixiert" oder "Wiederholen" besitzen. 4. Klicken Sie auf Suche starten, um die Suchergebnisse anzuzeigen. Die Nachrichten, Ergebnisse die den Suchkriterien entsprechen, werden unter Suchergebnisse angezeigt. 5. Um die Eigenschaften einer einzelnen Nachricht anzuzeigen, klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die gewünschte Nachricht, und klicken Sie dann auf Eigenschaften. Im Eigenschaftendialogfeld der Nachricht werden der Name des Absenders, der Name des Empfängers, die Größe der Nachricht und weitere Informationen über die Nachricht angezeigt. 6. Um den Status einer einzelnen Nachricht zu ändern, klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die Nachricht, und wählen Sie dann eine der folgenden Optionen: Fixierung aufheben Nimmt die Übermittlung einer zuvor fixierten Nachricht wieder auf. Fixieren Unterbricht die Übermittlung einer Nachricht. Löschen (mit Unzustellbarkeitsbericht) Löscht die Nachricht aus der Warteschlange und sendet einen Unzustellbarkeitsbericht an den Absender der Nachricht. Löschen (ohne Unzustellbarkeitsbericht) Löscht die Nachricht aus der Warteschlange und sendet keinen Unzustellbarkeitsbericht an den Absender der Nachricht. Überprüfen der SMTPLeistungsindikatoren Wenn sich Nachrichten in der Warteschlange vor der Kategorisierung anhäufen (in der Warteschlangenanzeige mit „Nachrichten warten auf Verzeichnissuche“ gekennzeichnet), überprüfen Sie die SMTP-Leistungsindikatoren, insbesondere die Leistungsindikatoren für die Warteschlangenlänge des Kategorisierungsmoduls. Diese Leistungsindikatoren werden mithilfe des folgenden Verfahrens aktiviert. 296 Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So überprüfen Sie die SMTP-Leistungsindikatoren 1. Öffnen Sie Systemmonitor: Klicken Sie auf Start, zeigen Sie auf Ausführen, und geben Sie perfmon ein. 2. Klicken Sie im Detailbereich von Systemmonitor mit der rechten Maustaste, und klicken Sie dann auf Leistungsindikatoren hinzufügen. 3. Wählen Sie eine der folgenden Optionen aus: Zur Überwachung aller Computer, auf denen die Überwachungskonsole ausgeführt wird, klicken Sie auf Leistungsindikatoren des lokalen Computers verwenden. Zur Überwachung eines bestimmten Computers unabhängig von der Konsolenausführung, klicken Sie auf Leistungsindikatoren dieses Computers verwenden, und geben Sie anschließend einen Computernamen an (in der Standardeinstellung ist der Name des lokalen Computers ausgewählt). 4. Wählen Sie unter Datenobjekt den Eintrag SMTP-Server. 5. Wählen Sie eine der folgenden Optionen aus: Wenn alle Leistungsindikatoren überwacht werden sollen, wählen Sie Alle Leistungsindikatoren aus. Um nur gewählte Leistungsindikatoren zu überwachen, klicken Sie auf Leistungsindikatoren wählen, und wählen Sie anschließend die zu überwachenden Indikatoren aus. 6. Klicken Sie auf Hinzufügen. 7. Anzeigen von CAT: Categorizer queue length counter [Leistungsindikator für Länge der Kategorisierungsmodulwarteschlange] 297 Weitere Informationen In der folgenden Tabelle sind weitere Leistungsindikatoren aufgeführt, mit denen sich Probleme des Kategorisierungsmoduls überwachen lassen. Leistungsindikatoren zur Überwachung von Kategorisierungsproblemen Leistungsindikator Beschreibung Cat: Address lookup completions [Abgeschlossene Adress-Suchvorgänge] Anzahl der abgeschlossenen AdressSuchvorgänge, die verarbeitet wurden Cat: Address lookup completions/sec [Abgeschlossene Adress-Suchvorgänge/s] Anzahl der abgeschlossenen AdressSuchvorgänge, die pro Sekunde verarbeitet wurden Cat: Address lookups [Adress-Suchvorgänge] Anzahl der Verzeichnisdienst-Suchvorgänge für einzelne Adressen Cat: Address lookups not found [AdressSuchvorgänge ohne Ergebnis] Anzahl der Adress-Suchvorgänge, bei denen kein Verzeichnisdienstobjekt gefunden wurde Cat: Address lookups/sec [AdressSuchvorgänge/s] Anzahl der Adress-Suchvorgänge, die pro Sekunde an den Verzeichnisdienst gesendet wurden Cat: Categorizations completed [Abgeschlossene Kategorisierungen] Gesamtanzahl der zum Nachrichtenkategorisierungsmodul übertragenen Nachrichten, bei denen die Kategorisierung abgeschlossen wurde Cat: Categorizations completed successfully [Erfolgreich abgeschlossene Kategorisierungen] Anzahl der fehlerfrei abgeschlossenen Kategorisierungen. Cat: Categorizations completed/sec [Abgeschlossene Kategorisierungen/s] Die Rate der pro Sekunde abgeschlossenen Kategorisierungen Cat: Categorizations failed (directory service connection failure) [Fehlgeschlagene Kategorisierungen (VerzeichnisdienstVerbindungsfehler)] Anzahl der Kategorisierungen, die aufgrund eines Verzeichnisdienst-Verbindungsfehlers nicht abgeschlossen werden konnten Cat: Categorizations failed (directory service logon failure) [Fehlgeschlagene Kategorisierungen (VerzeichnisdienstAnmeldefehler)] Anzahl der Kategorisierungen, die aufgrund eines Verzeichnisdienst-Anmeldefehlers nicht abgeschlossen werden konnten 298 Leistungsindikator Beschreibung Cat: Categorizations failed (non-retryable error) [Fehlgeschlagene Kategorisierungen (nicht behebbarer Fehler)] Anzahl der Kategorisierungen, die aufgrund eines schwerwiegenden (nicht behebbaren) Fehlers nicht abgeschlossen werden konnten Cat: Categorizations failed (Out Of Memory) [Fehlgeschlagene Kategorisierungen (nicht genügend Speicher)] Anzahl der Kategorisierungen, die aufgrund von nicht genügend freiem Speicherplatz fehlgeschlagen sind Cat: Categorizations failed (retryable error) [Fehlgeschlagene Kategorisierungen (behebbarer Fehler)] Anzahl der Kategorisierungen, die aufgrund eines behebbaren Fehlers nicht abgeschlossen werden konnten Cat: Categorizations failed (sink retryable error) [Fehlgeschlagene Kategorisierungen (behebbarer Ereignissenkfehler)] Anzahl der Kategorisierungen, die aufgrund eines allgemeinen behebbaren Fehlers nicht abgeschlossen werden konnten Cat: Categorizations in progress [Ausgeführte Anzahl der derzeit ausgeführten Kategorisierungen] Kategorisierungen Cat: LDAP bind failures [LDAPBindungsfehler] Die Gesamtzahl der LDAP-Bindungsfehler (Lightweight Directory Access Protocol) Cat: LDAP binds [LDAP-Bindungen] Anzahl der erfolgreich ausgeführten LDAPBindungen Cat: LDAP connection failures [LDAPVerbindungsfehler] Anzahl der LDAP-Server-Verbindungsfehler Cat: LDAP connections [LDAPVerbindungen] Gesamtzahl der geöffneten LDAPVerbindungen Cat: LDAP connections currently open [Derzeit geöffnete LDAP-Verbindungen] Anzahl der derzeit geöffneten LDAPVerbindungen Cat: LDAP general completion failures [Allgemeine LDAP-Abschlussfehler] Anzahl der LDAP-Abschlüsse, bei denen ein allgemeiner Fehler aufgetreten ist Cat: LDAP paged search completion failures [Abschlussfehler bei der LDAP-Suche] Anzahl der LDAP-Suchvorgänge, die mit einem Fehler abgeschlossen wurden Cat: LDAP paged search failures [Fehler bei der LDAP-Suche] Anzahl der Fehler bei der Ausführung einer asynchronen LDAP-Suche Cat: LDAP paged searches [LDAPSuchvorgänge] Anzahl der erfolgreich ausgeführten LDAPSuchvorgänge Cat: LDAP paged searches completed [Abgeschlossene LDAP-Suchvorgänge] Anzahl der abgeschlossenen LDAPSuchvorgänge, die verarbeitet wurden. 299 Leistungsindikator Beschreibung Cat: LDAP search completion failures [LDAPSuchabschlussfehler] Anzahl der LDAP-Suchvorgänge, die mit einem Fehler abgeschlossen wurden Cat: LDAP search failures [LDAP-Suchfehler] Anzahl der Fehler bei der Ausführung einer asynchronen LDAP-Suche Cat: LDAP searches [LDAP-Suchvorgänge] Anzahl der erfolgreich ausgeführten LDAPSuchvorgänge Cat: LDAP searches abandoned [Abgebrochene LDAP-Suchvorgänge] Anzahl der abgebrochenen LDAPSuchvorgänge Cat: LDAP searches completed [Abgeschlossene LDAP-Suchvorgänge] Anzahl der abgeschlossenen LDAPSuchvorgänge, die verarbeitet wurden Cat: LDAP searches completed/sec [Abgeschlossene LDAP-Suchvorgänge/s] Anzahl der abgeschlossenen LDAPSuchvorgänge, die pro Sekunde verarbeitet wurden Cat: LDAP searches pending completion [LDAP-Suchvorgänge mit ausstehendem Abschluss] Anzahl der LDAP-Suchvorgänge, bei denen der asynchrone Abschluss aussteht Cat: LDAP searches/sec [LDAPSuchvorgänge/s] Anzahl der erfolgreich pro Sekunde ausgeführten LDAP-Suchvorgänge Cat: mailmsg duplicate collisions [MailmsgKonflikt aufgrund doppelter Einträge] Anzahl der doppelten Empfängeradressen, die von Mailmsg oder dem Nachrichtenkategorisierungsmodul gefunden wurden Cat: Messages aborted [Verworfene Nachrichten] Anzahl der Nachrichten, die vom Nachrichtenkategorisierungsmodul zum Verwerfen gekennzeichnet wurden Cat: Messages bifurcated [Verzweigte Nachrichten] Anzahl der vom Nachrichtenkategorisierungsmodul erstellten neuen Nachrichten (Verzweigung) Cat: Messages categorized [Kategorisierte Nachrichten] Anzahl der Nachrichten, die vom Nachrichtenkategorisierungsmodul in die Warteschlange übertragen wurden Cat: Messages submitted [Übermittelte Nachrichten] Gesamtanzahl der Nachrichten, die an das Nachrichtenkategorisierungsmodul übertragen wurden 300 Leistungsindikator Beschreibung Cat: Messages submitted/sec [Übermittelte Nachrichten/s] Rate der Nachrichtenübertragung an das Nachrichtenkategorisierungsmodul Cat: Recipients after categorization [Empfänger nach der Kategorisierung] Anzahl der MAILMSG-Empfänger, die vom Nachrichtenkategorisierungsmodul in die Warteschlange übertragen wurden Cat: Recipients before categorization [Empfänger vor der Kategorisierung] Anzahl der MAILMSG-Empfänger, die an das Nachrichtenkategorisierungsmodul übertragen wurden Cat: Recipients in categorization [Empfänger in der Kategorisierung] Anzahl der Empfänger, die derzeit vom Nachrichtenkategorisierungsmodul verarbeitet werden Cat: Recipients NDRd (ambiguous address) [Empfänger mit Unzustellbarkeitsbericht (keine eindeutige Adresse)] Anzahl der Empfänger, deren Adressen mit mehreren Verzeichnisdienstobjekten übereinstimmen Cat: Recipients NDRd (forwarding loop) [Empfänger mit Unzustellbarkeitsbericht (Weiterleitungsschleife)] Anzahl der Empfänger, für die das Nachrichtenkategorisierungsmodul einen Unzustellbarkeitsbericht aufgrund einer Weiterleitungsschleife erstellt hat Cat: Recipients NDRd (illegal address) [Empfänger mit Unzustellbarkeitsbericht (ungültige Adresse)] Anzahl der vom Nachrichtenkategorisierungsmodul gefundenen Empfänger mit ungültiger Adresse Cat: Recipients NDRd (sink recip errors) [Empfänger mit Unzustellbarkeitsbericht (Ereignissenk-Empfängerfehler)] Anzahl der Empfänger, für die das Nachrichtenkategorisierungsmodul einen Unzustellbarkeitsbericht aufgrund eines allgemeinen Empfängerfehlers erstellt hat Cat: Recipients NDRd (unresolved) [Empfänger mit Unzustellbarkeitsbericht (nicht aufgelöst)] Anzahl der nicht aufgelösten Empfänger (lokale Adresse wurde nicht gefunden) Cat: Recipients NDRd by Categorizer [Empfänger mit Unzustellbarkeitsbericht vom Nachrichtenkategorisierungsmodul] Anzahl der Empfänger, bei denen das Nachrichtenkategorisierungsmodul zum Erstellen eines Unzustellbarkeitsberichts eingerichtet ist Cat: Senders unresolved [Absender nicht aufgelöst] Anzahl der Absender, die nicht im Verzeichnisdienst gefunden wurden 301 Leistungsindikator Beschreibung Cat: Senders with ambiguous addresses [Absender mit nicht eindeutigen Adressen] Anzahl der Absender, deren Adressen mit mehreren Verzeichnisdienstobjekten übereinstimmen Categorizer Queue Length [Warteschlangenlänge des Kategorisierungsmoduls] Anzahl der Nachrichten in der Warteschlange des Nachrichtenkategorisierungsmoduls Aktivieren des Nachrichtenstatus auf einem Server Um Informationen über Nachrichten zu protokollieren, die über Ihr Messagingsystem gesendet werden, können Sie den Nachrichtenstatus von Exchange verwenden. Der Nachrichtenstatus protokolliert Informationen über den Absender, die E-Mail-Nachricht und den Nachrichtenempfänger. Sie können insbesondere Statistiken überprüfen, z. B. den Zeitpunkt des Sendens und des Empfangs der Nachricht, die Nachrichtengröße und -priorität sowie eine Liste der Empfänger der Nachricht. Sie können auch die Betreffzeile von E-MailNachrichten protokollieren. Mit dem Nachrichtenstatus können Sie nach allen Arten von Nachrichten suchen, einschließlich Systemmeldungen, Nachrichten in öffentlichen Ordnern und E-Mail-Nachrichten. Der Nachrichtenstatus muss auf jedem Server aktiviert sein, auf dem Sie Nachrichten nachverfolgen möchten. Wenn er aktiviert ist, werden sämtliche über einen Server weitergeleiteten Nachrichten zu den Nachrichtenverfolgungsprotokollen hinzugefügt. Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So aktivieren Sie den Nachrichtenstatus auf einem Server 1. Erweitern Sie im Exchange-System-Manager Server, klicken Sie mit der rechten 302 Maustaste auf den Server, für den Sie Nachrichtentracking aktivieren möchten, und klicken Sie dann auf Eigenschaften. 2. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Nachrichtenverfolgung aktivieren. 3. Aktivieren Sie das Kontrollkästchen Nachrichtenbetreff protokollieren und anzeigen, um die Betreffzeile aufzuzeichnen, die an, von oder über einen Server gesendet wurde. Hinweis: Durch das Aktivieren der Betreffsprotokollierung verringert sich die Leistung. 4. Unter Wartung der Protokolldateien können Sie festlegen, wie lange Protokolle gespeichert werden und ob die Protokolldateien entfernt werden. Die Standardeinstellung für den Speicherzeitraum ist sieben Tage. Hinweis: Auf Servern, die große Mengen an E-Mail-Nachrichten verarbeiten, nimmt die Größe der Verfolgungsprotokolle schnell zu. Stellen Sie sicher, dass genügend freier Speicherplatz für die Protokolldateien und andere Dienste oder Anwendungen zur Verfügung steht. 5. Klicken Sie auf OK oder auf Anwenden. Sie müssen die Dienste neu starten, damit die Änderungen übernommen werden. Weitere Informationen Weitere Informationen zum Verwenden des Nachrichtenstatus finden Sie im Microsoft Knowledge Base-Artikel 262162, XADM: Using the Message Tracking Center to Track a Message. Anzeigen des Anwendungsprotokolls in der Ereignisanzeige In der Ereignisanzeige enthalten das Anwendungsprotokoll und das Systemprotokoll Fehler-, Warn- und Informationsereignisse, die sich auf den Betrieb von Exchange, des SMTPDiensts und weiterer Anwendungen beziehen. Um die Ursachen für Nachrichtenflussprobleme festzustellen, überprüfen Sie die Daten des Anwendungs- und des Systemprotokolls sorgfältig. Gehen Sie wie im Folgenden beschrieben vor, um Fehler, Warnungen und Informationsereignisse im Anwendungsprotokoll anzuzeigen. 303 Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So zeigen Sie das Anwendungsprotokoll in der Ereignisanzeige an 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Ereignisanzeige. 2. Klicken Sie in der Konsolenstruktur auf Anwendungsprotokoll. 3. Klicken Sie im Detailbereich auf Quelle, um das Protokoll alphabetisch zu sortieren und einen Eintrag für einen Exchange-Dienst schnell zu finden. 4. Doppelklicken Sie auf einen Protokolleintrag, um die Eigenschaftenseite eines Ereignisses anzuzeigen. 5. Klicken Sie im Menü Ansicht auf Filter, um das Protokoll so zu filtern, dass Einträge für einen bestimmten Exchange-Ereignistyp aufgeführt werden. 6. Wählen Sie im Eigenschaftendialogfeld für das Anwendungsprotokoll in der Liste Ereignisquelle eine Exchange-Ereignisquelle aus. Beispiel: MSExchangeTransport Ereignisse, die aufgezeichnet werden, wenn SMTP für das Nachrichtenrouting verwendet wird. IMAP4Svc Ereignisse, die in Verbindung mit dem Dienst stehen, über den Benutzer Zugriff auf Postfächer und Öffentliche Ordner mithilfe von IMAP4 erhalten. MSExchangeAL Ereignisse in Verbindung mit dem Dienst, der E-MailNachrichten über Adresslisten überträgt. MSExchangeIS Ereignisse in Verbindung mit dem Dienst, durch den auf den Exchange-Informationsspeicherdienst zugegriffen werden kann. MSExchangeMTA Ereignisse in Verbindung mit dem Dienst, durch den X.400Connectors den MTA (Message Transfer Agent) verwenden können. MSExchangeMU Ereignisse bezüglich des Metabase-Aktualisierungdiensts. Dies ist eine Komponente, die Informationen aus Active Directory liest und diese in die lokale IIS-Metabase überträgt. MSExchangeSA Ereignisse, die aufgezeichnet werden, wenn Exchange zum 304 Speichern und Freigeben von Verzeichnisinformationen Active Directory verwendet. MSExchangeSRS Ereignisse, die aufgezeichnet werden, wenn der Standortreplikationsdienst (Site Replication Service – SRS) verwendet wird, um Computer, auf denen Exchange 2003 ausgeführt wird, mit Computern zu replizieren, auf denen Exchange 5.5 installiert ist. POP3Svc Ereignisse, die aufgezeichnet werden, sobald POP3 (Post Office Protocol, Version 3) für den Zugriff auf E-Mail-Nachrichten verwendet wird. 7. Wählen Sie in der Liste Kategorien einen bestimmten Ereignissatz aus, oder behalten Sie die Standardeinstellung Alle bei, um alle Ereignisse der Ereignisquelle anzuzeigen. 8. Klicken Sie auf OK. Anzeigen des Systemprotokolls in der Ereignisanzeige In der Ereignisanzeige enthalten das Anwendungsprotokoll und das Systemprotokoll Fehler-, Warn- und Informationsereignisse, die sich auf den Betrieb von Exchange, des SMTPDiensts und weiterer Anwendungen beziehen. Um die Ursachen für Nachrichtenflussprobleme festzustellen, überprüfen Sie die Daten des Anwendungs- und des Systemprotokolls sorgfältig. Gehen Sie wie nachfolgend beschrieben vor, um Fehler, Warnungen und Informationsereignisse für den SMTP-Dienst im Systemprotokoll anzuzeigen. Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So zeigen Sie das Systemprotokoll in der Ereignisanzeige an 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und 305 klicken Sie dann auf Ereignisanzeige. 2. Klicken Sie in der Konsolenstruktur auf Systemprotokoll. 3. Klicken Sie im Detailbereich auf Quelle, um das Protokoll alphabetisch zu sortieren und einen Eintrag für einen Exchange-Dienst schnell zu finden. 4. Doppelklicken Sie auf einen Protokolleintrag, um die Eigenschaftenseite eines Ereignisses anzuzeigen. 5. Klicken Sie im Menü Ansicht auf Filter, um das Protokoll so zu filtern, dass Einträge für einen bestimmten SMTP-Dienstereignistyp aufgeführt werden. 6. Wählen Sie in den Eigenschaften des Systemprotokolls in der Liste Ereignisquelle die Option SMTPSVC aus. 7. Wählen Sie in der Liste Kategorien einen bestimmten Ereignissatz aus, oder verwenden Sie die Standardeinstellung Alle, um alle Ereignisse des SMTP-Diensts anzuzeigen. 8. Klicken Sie auf OK. Ändern von Protokollierungseinstellungen für MSExchangeTransport Eine Überprüfung der Ereignisse im Zusammenhang mit MSExchangeTransport kann hilfreich bei der Ermittlung der Ursachen eines Übertragungsproblems sein. Erhöhen Sie beim Auftreten von Nachrichtenflussproblemen in Exchange Server zuerst die Protokolliergrade bezüglich MSExchangeTransport. Über Protokolliergrade wird die Menge der Daten gesteuert, die im Anwendungsprotokoll gespeichert werden. Je mehr Ereignisse protokolliert werden, desto mehr Ereignisse, die sich auf die Übertragung beziehen, werden im Anwendungsprotokoll angezeigt. Dadurch haben Sie eine bessere Chance, die Ursache für ein Nachrichtenflussproblem zu ermitteln. Die SMTP-Protokolldatei finden Sie im Ordner Exchsrvr\Servername.log. Durch Probleme bei bestimmten Transport- und Routingkomponenten können sich Nachrichten in einer Warteschlange anhäufen. Dies wird im Abschnitt „Grundlagen zu SMTPWarteschlangen“ unter Problembehandlung bei Nachrichtenfluss und SMTP beschrieben. Wenn Probleme mit einer bestimmten Warteschlange auftreten, erhöhen Sie den Protokolliergrad für die Komponente, die diese Warteschlange beeinflusst. 306 Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So ändern Sie die Protokollierungseinstellungen für MSExchangeTransport 1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft Exchange, und klicken Sie dann auf System-Manager. 2. Erweitern Sie in der Konsolenstruktur Server, klicken Sie mit der rechten Maustaste auf <Servername>, und klicken Sie dann auf Eigenschaften. 3. Klicken Sie auf die Registerkarte Diagnoseprotokoll. 4. Klicken Sie unter Dienste auf MSExchangeTransport. 5. Klicken Sie unter Kategorien auf die Kategorie, für die Sie den Protokolliergrad konfigurieren möchten: Wählen Sie Routingmodul/-dienst aus, um Routingprobleme zu beheben. Erhöhen Sie den Protokolliergrad für diese Komponente, wenn sich in der SMTPWarteschlange Nachrichten mit dem Eintrag Nachrichten warten auf Routing ansammeln. Wählen Sie bei Problemen mit der Adressauflösung in Active Directory, der Erweiterung der Verteilergruppen oder bei anderen Kategorisierungsmodulproblemen Kategorisierungsmodul aus. Erhöhen Sie den Protokolliergrad für diese Komponente, wenn sich in der SMTPWarteschlange Nachrichten mit dem Eintrag Nachrichten warten auf Verzeichnissuche ansammeln. Wählen Sie bei Problemen mit DFÜ- und VPN-Verbindungen VerbindungsManager aus, um diese mithilfe des Verbindungs-Managers zu beheben. Wählen Sie bei Problemen mit dem Warteschlangenmodul Warteschlangenmodul aus. Erhöhen Sie den Protokolliergrad für diese Komponente, wenn Probleme mit dem Nachrichtenfluss auftreten und sich in keiner der Warteschlangen E-Mails sammeln. Wählen Sie bei Problemen mit dem Exchange-Informationsspeichertreiber den Exchange-Informationsspeichertreiber aus. Erhöhen Sie den Protokolliergrad 307 für diese Komponente, wenn sich Nachrichten in der SMTP-Warteschlange für lokale Übermittlung oder den X.400-Warteschlangen ansammeln, oder wenn Probleme beim Empfangen der E-Mail von Exchange 5.x-Servern oder anderen E-Mail-Systemen auftreten. Wählen Sie SMTP-Protokoll aus, um allgemeine SMTP-Probleme zu beheben. Erhöhen Sie den Protokolliergrad für diese Komponente, wenn sich Nachrichten in der SMTP-Warteschlange Remoteübermittlung ansammeln, um festzustellen, ob der Engpass durch SMTP-Fehler verursacht wird. Wählen Sie NTFS-Informationsspeichertreiber aus, um Probleme mit diesem Treiber zu beheben. Erhöhen Sie den Protokolliergrad für diese Komponente, wenn sich Nachrichten im Warteschlangenordner des virtuellen SMTP-Servers ansammeln, und diese langsam oder gar nicht verarbeitet werden. Klicken Sie unter Protokolliergrad auf Keine, Minimum, Mittel oder Maximum. Klicken Sie zu Zwecken der Problembehandlung auf Maximum. Vorsicht: Wenn Sie den Protokolliergrad für Exchange-Dienste erhöhen, kommt es zu geringfügigen Leistungseinbußen. Es wird empfohlen, die Größe des Anwendungsprotokolls so zu erhöhen, dass alle erzeugten Daten darin Platz finden. Wenn Sie die Größe des Anwendungsprotokolls nicht erhöhen, erhalten Sie häufig Erinnerungsmeldungen, dass das Anwendungsprotokolls voll ist. Festlegen der Protokollierung auf Debugebene für das SMTP-Protokoll Wenn Probleme mit dem E-Mail-Durchsatz auftreten und Sie alle Ereignisse anzeigen möchten, können Sie einen Registrierungsschlüssel so ändern, dass die Protokollierung auf der höchsten Stufe (Stufe 7, Field Engineering) erfolgt. Hinweis: Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. 308 Bevor Sie beginnen Lesen Sie Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das in diesem Thema beschriebene Verfahren durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So stellen Sie die Protokollierung auf Debugebene für das SMTP-Protokoll ein 1. Starten Sie den Registrierungs-Editor: Klicken Sie im Menü Start auf Ausführen, und geben Sie dann regedit ein. 2. Suchen Sie im Registrierungs-Editor den folgenden Registrierungsschlüsselwert, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Bearbeiten: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ MSExchangeTransport\Diagnostics\SMTP Protocol 3. Legen Sie den Wert auf 7 fest. Aktivieren der Protokollierung auf Debugebene für die Nachrichtenkategorisierung Wenn Probleme mit dem E-Mail-Durchsatz auftreten und Sie alle Ereignisse anzeigen möchten, können Sie einen Registrierungsschlüssel so ändern, dass die Protokollierung auf der höchsten Stufe (Stufe 7, Field Engineering) erfolgt. Hinweis: Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten. 309 Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Nachrichtenfluss und SMTP, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So aktivieren Sie die Protokollierung auf Debugebene für das Nachrichtenkategorisierungsmodul 1. Starten Sie den Registrierungs-Editor: Klicken Sie im Menü Start auf Ausführen, und geben Sie dann regedit ein. 2. Suchen Sie im Registrierungs-Editor den folgenden Registrierungsschlüsselwert, klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann auf Bearbeiten: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ MSExchangeTransport\Diagnostics\Categorizer 3. Legen Sie den Wert auf 7 fest. Problembehandlung bei Unzustellbarkeitsberichten Unzustellbarkeitsberichte (Non-Delivery Report – NDR) stellen eine Art von Benachrichtigung über den Übermittlungsstatus dar. Unzustellbarkeitsberichte werden erstellt, wenn eine Nachricht nicht übermittelt werden konnte. Wenn ein Server die Ursache für die Nichtübermittlung ermitteln kann, wird diese Ursache mit einem Fehlercode verknüpft und eine entsprechende Fehlermeldung erstellt. Die folgenden grundsätzlichen Fragen sollen Sie bei der Problembehandlung von Unzustellbarkeitsberichten in Microsoft® Exchange Server 2003 unterstützen. Sammeln Sie folgende Informationen zur Vorbereitung der Problembehebung: Welche Clients werden verwendet (beispielsweise Microsoft Outlook® 2000, Outlook 2002 oder Microsoft Office Outlook 2003)? Erhalten ein oder mehrere Benutzer Unzustellbarkeitsberichte beim Senden von E-MailNachrichten an einen bestimmten Empfänger oder an alle Empfänger? 310 Können andere Benutzer erfolgreich E-Mail-Nachrichten an den gleichen Empfänger vom gleichen Server senden? Treten die Probleme auf einem bestimmten Server auf, oder bemerken die Benutzer auf mehreren Servern das gleiche Problem? Ist das Problem standortspezifisch, oder tritt es an mehreren Standorten auf? Können Sie das Problem jederzeit reproduzieren, oder tritt es zufällig auf? Wenn die Unzustellbarkeitsberichte zufällig auftreten: in welcher Häufigkeit treten sie auf? Welcher Empfängertyp hat das Problem festgestellt? An welchem Standort hält sich der Empfänger auf? Wie wurde der Empfänger im Feld An der Nachricht eingegeben (beispielsweise durch Auswahl aus dem globalen Adressbuch, Auswahl aus der persönlichen Adressbuchdatei oder vollständig manuell eingegeben)? Hinweis: Die Erstellung eines neuen Testbenutzers ist bei der Problembehebung von Unzustellbarkeitsberichten immer sinnvoll. Ermitteln Sie die Zeiträume, in denen die Unzustellbarkeitsberichte auftreten, und alle weiteren Hintergrundinformationen, die zum Problem erhältlich ist. Beachten Sie jede sich ändernde Variable mit Auswirkungen auf das Problem. Es ist von Bedeutung, dass Sie das Problem so weit wie möglich eingrenzen, indem Sie ähnliche Fragen wie in der vorangehenden Liste stellen. Tools zur Problembehebung bei Unzustellbarkeitsberichten Sie können die folgenden Analysetools und Dateien zur Unterstützung der grundlegenden Problembehebung verwenden: Eine Kopie des Unzustellbarkeitsberichts. Stellen Sie die Speicherung der Unzustellbarkeitsnachricht sicher. Den Code in der Benachrichtigung über den Übermittlungsstatus im Unzustellbarkeitsbericht. Stellen Sie die Speicherung des Übermittlungscodes in der Unzustellbarkeitsnachricht sicher. Das Ereignisprotokoll der Anwendung. Legen Sie den Diagnoseprotokollierungsgrad des Nachrichtenkategorisierungsmoduls auf 7 fest. Ausgaben des LDP-Tools. Die Ausgaben des LDP-Tools (ldp.exe) können Sie als Hilfestellung zur Problembehebung verwenden. Sie können das Tool zur Ausführung von 311 LDAP-Abfragen (Lightweight Directory Access Protocol) an den Microsoft Active Directory®-Verzeichnisdienst verwenden. Das LDP-Tool ist in den Supporttools von Microsoft Windows® 2000 Server und Windows Server™ 2003 enthalten. Ausgaben von LDIFDE. Die Ausgaben von LDIFDE können Sie als Hilfestellung zur Problembehebung verwenden. Dieses Befehlszeilentool können Sie zur Erstellung, Änderung und Entfernung von Active Directory-Objekten verwenden. Das Tool ist in Windows 2000 Server und Windows Server 2003 enthalten. Weitere Informationen zu LDIFDE finden Sie in der Windows-Onlinedokumentation. Nachrichtenstatus. Der Nachrichtenstatus kann Nachrichten in Exchange 2003Organisationen und in kombinierten Exchange 5.5 und Exchange 2000-Bereitstellungen nachverfolgen. Weitere Informationen über den Nachrichtenstatus finden Sie in der Exchange Server 2003-Onlinedokumentation. Metabase-Ausgaben. Mit dem Metabase-Editor können Sie die Metabase-Ausgaben abrufen und die Attribute in der IIS-Metabase durchsuchen und ändern. Der MetabaseEditor ist im Resource Kit von Microsoft Windows 2000 Server und Microsoft Windows Server 2003 enthalten. Systemmonitor-Leistungsindikatoren. Verwenden Sie die Leistungsindikatoren des Systemmonitors für das Nachrichtenkategorisierungsmodul als Hilfe zur Problembehebung bei Unzustellbarkeitsberichten. Die Leistungsindikatoren für das Nachrichtenkategorisierungsmodul werden weiter unten in diesem Abschnitt besprochen. Nachverfolgung im Netzwerkmonitor. Den Netzwerkmonitor (Netmon.exe) können Sie zur Sammlung des vollständigen lokalen Netzwerkverkehrs oder zur Auswahl einer Untermenge an Frames verwenden. Sie können ebenfalls eine Sammlungsbeantwortung der Netzwerkereignisse erstellen. Der Netzwerkmonitor ist in Windows 2000 Server und Windows Server 2003 enthalten. Weitere Informationen zum Netzwerkmonitor finden Sie in der Windows-Onlinedokumentation. Das Regtrace-Tool. Weitere Informationen zum Regtrace-Tool finden Sie im Microsoft Knowledge Base-Artikel 238614, XCON: How to Set Up Regtrace for Exchange 2000. Obwohl dieser Artikel für Exchange 2000 geschrieben wurde, gelten die Informationen auch für Exchange 2003. Strategien und Tipps zur Fehlerbehebung In diesem Abschnitt werden Strategien und Tipps zur Problembehebung bei Unzustellbarkeitsberichten vorgestellt. Führen Sie die folgenden Schritte zur Feststellung der Ursache eines Unzustellbarkeitsberichts durch: 1. Verwenden Sie den Fehlercode im Unzustellbarkeitsbericht zur Feststellung der möglichen Ursachen. 312 2. Erhöhen Sie den Protokollierungsgrad, damit alle Ereignisse protokolliert werden. 3. Verwenden Sie Regtrace zum Erfassen von Informationen. Bestimmen der möglichen Ursachen eines Unzustellbarkeitsberichts In der folgenden Tabelle werden die gängigsten Fehlercodes bei Unzustellbarkeitsberichten aufgelistet, außerdem entsprechende Fehlerbedingungen und Vorschläge zur Problembehebung. 313 Fehlercodes des Unzustellbarkeitsberichts und entsprechende Fehlerursachen Fehlercode des Unzustellbarkeitsberichts Mögliche Ursache Problembehandlung 314 Fehlercode des Mögliche Ursache Problembehandlung In Exchange 2000 wird diese Benachrichtigung über den Übermittlungsstatus erstellt, wenn das Postfach des Empfängers seine Speicherbegrenzung überschreitet. Überprüfen Sie den Postfachspeicher und die Speicherbegrenzung für die Warteschlange. Unzustellbarkeitsberichts 4.2.2 In Windows 2000 und Microsoft Windows Server™ 2003 wird diese Benachrichtigung erstellt, wenn die Speichergröße des Dropverzeichnisses (ein Verzeichnis, in das Nachrichten zur Übermittlung platziert werden können) das Datenträgerkontingent des virtuellen SMTP-Servers überschreitet. Das Datenträgerkontingent des virtuellen SMTP-Servers verfügt über die 11-fache Größe der maximalen Nachrichtengröße auf dem virtuellen Server. Wenn keine maximale Größe angegeben ist, beträgt das Datenträgerkontingent in der Standardeinstellung 22 MB. Wenn der Festplattenspeicher innerhalb der maximalen Nachrichtengröße des Kontingents ist oder der Festplattenspeicher 20 MB beträgt und keine maximale Nachrichtengröße angegeben ist, geht Exchange davon aus, dass die eingehende Nachricht das Datenträgerkontingent überschreitet, und erstellt den Unzustellbarkeitsbericht. 315 Fehlercode des Mögliche Ursache Problembehandlung 4.3.1 Ein Fehler durch unzureichenden Speicher ist aufgetreten. Ein Ressourcenproblem, beispielsweise eine volle Festplatte, kann die Ursache sein. Stellen Sie sicher, dass der Exchange-Server über ausreichenden Speicherplatz verfügt. Verschieben Sie die Warteschlangen nach Möglichkeit auf eine NTFSPartition. 4.3.2 Verfügbar in Exchange 2000 Service Pack 1 oder höher. Dieser Unzustellbarkeitsbericht wird erstellt, wenn eine Warteschlange fixiert wurde. Heben Sie die Fixierung der Warteschlange auf. 4.4.1 Ein Host antwortet nicht. Vorübergehende Netzwerkbedingungen können diesen Fehler verursachen. Der ExchangeServer versucht automatisch erneut einen Verbindungsaufbau zum Server, um die Nachricht zu übermitteln. Wenn die Übermittlung nach mehreren Versuchen fehlschlägt, wird ein Unzustellbarkeitsbericht mit diesem Fehlercode erstellt. Überwachen Sie den Zustand. Es handelt sich um ein vorübergehendes Problem, das sich möglicherweise von selbst löst. Unzustellbarkeitsberichts 316 Fehlercode des Mögliche Ursache Problembehandlung 4.4.2 Eine Verbindung zwischen den Servern wurde abgebrochen. Vorübergehende Netzwerkbedingungen oder unerreichbare Server können diesen Fehler verursachen. Der Server versucht die Nachrichtenübermittlung in einer festgelegten Zeitspanne durchzuführen, nach Ablauf werden weitere Statusberichte erstellt. Überwachen Sie den Zustand. Es handelt sich um ein vorübergehendes Problem, das sich möglicherweise von selbst löst. 4.4.6 Der maximale Hop Count wurde für diese Nachricht überschritten. Eine Schleife zwischen den sendenden und empfangenden Servern in unterschiedlichen Organisationen kann diesen Fehler verursachen. Die Nachrichtensprünge zwischen den Servern, bis das Hop Count überschritten wird. Die maximale Hop CountEigenschaft wird pro virtuellem Server eingestellt. Die Standardeinstellung von 15 kann manuell überschrieben werden. Sie sollten gleichzeitig prüfen, welche Ursachen für eine Schleife zwischen den Servern in Frage kommen. Unzustellbarkeitsberichts 317 Fehlercode des Mögliche Ursache Problembehandlung Die Nachricht in der Warteschlange ist abgelaufen. Der sendende Server versuchte, die Nachricht weiterzugeben oder zu übermitteln, der Vorgang konnte jedoch nicht abgeschlossen werden, bevor die Ablaufzeit der Nachricht erreicht wurde. Der Bericht kann ebenfalls darauf hinweisen, dass eine Begrenzung des Nachrichtenheaders auf dem Remoteserver erreicht wurde oder während der Kommunikation mit dem Remoteserver das Zeitlimit eines anderen Protokolls erreicht wurde. Diese Nachricht deutet üblicherweise auf ein Problem beim empfangenden Server. Überprüfen Sie die Gültigkeit der Empfängeradresse und die ordnungsgemäße Konfiguration zum Empfang von Nachrichten des empfangenden Servers. Unzustellbarkeitsberichts 4.4.7 Möglicherweise müssen Sie die Anzahl der Empfänger im Nachrichtenheader für den Host reduzieren, von dem Sie den Fehler erhalten haben. Wenn beim erneuten Senden der Nachricht wird sie wieder in die Warteschlange gestellt. Wenn der empfangende Server erreichbar ist, wird die Nachricht übermittelt. 318 Fehlercode des Mögliche Ursache Problembehandlung Dies deutet auf einen temporären Routingfehler oder eine unzulässige Routingkonfiguration. Zu den möglichen Ursachen gehören: Durch Routing werden diese Probleme ermittelt, und Exchange sendet dann DSNs zurück. Unzustellbarkeitsberichts 4.4.9 Erstes Szenario: Ein SMTP-Connector wurde mithilfe von DNS (anstelle eines Smarthosts) konfiguriert und ein Nicht-SMTPAdressraum, z. B. eine X.400-Adresse, wurde diesem Connector hinzugefügt. Zweites Szenario: Eine Routinggruppe wurde erstellt, und ein Empfänger in dieser Routinggruppe sollte Nachrichten empfangen. Ein Routinggruppenconnecto r, der DNS verwendet, wurde zum Herstellen einer Verbindung zur Routinggruppe eingesetzt, und diese administrative Gruppe oder Routinggruppe wurde dann entfernt. Daher wurde die gesamte Mail, die an diese Routinggruppe gesendet wurde, im Format „MSGWIA.X500“ (Adressenverkapselung, die für Nicht-SMTPAdressen verwendet wird) gesendet. DNS erkennt dieses Format nicht. Um die erste Problemsituation zu beheben, konfigurieren Sie den SMTP-Connector für die Verwendung eines Smarthosts an Stelle von DNS, um den NichtSMTP-Adressraum aufzulösen. Um die zweite Problemsituation zu beheben, stellen Sie sicher, dass Sie alle Benutzer in der entfernten administrativen Gruppe oder Routinggruppe zu einer zulässigen Gruppe verschoben haben. 319 Fehlercode des Mögliche Ursache Problembehandlung Hinweis In Exchange 2000 SP1 vorhergehenden Versionen, wurden die folgenden Codes innerhalb des Codes 5.0.0. dargestellt: Fügen Sie einem oder mehreren SMTP-Connectors ein Platzhalterzeichen Sternchen (*) als SMTPAdressraum hinzu; überprüfen Sie, ob DNS arbeitet; stellen Sie sicher, dass die Routinggruppen über verbindende Connectors verfügen. Unzustellbarkeitsberichts 5.0.0 4.3.2 5.4.0 5.4.4 5.5.0 Die Ausführung des Kategorisierungsmoduls ist fehlgeschlagen, zu den möglichen Ursachen gehören: Es ist keine Route für den angegebenen Adressraum verfügbar, beispielsweise ist ein SMTP-Connector konfiguriert, die Adresse stimmt jedoch nicht überein. DNS gibt einen Authoritative Host zurück, der für die Domäne nicht gefunden wurde. Die Routinggruppe hat keinen definierten Connector, Nachrichten eines Servers in einer Routinggruppe haben keine Route zu einer anderen Routinggruppe. Ein SMTP-Fehler ist aufgetreten. 320 Fehlercode des Mögliche Ursache Problembehandlung Dieser NDR wird durch einen allgemeinen Fehler im Kategorisierungsmodul verursacht (ungültige Adresse). Eine E-MailAdresse oder ein anderes Attribut kann in Active Directory nicht gefunden werden. Kontakteinträge ohne das Attribut targetAddress können dieses Problem verursachen. Eine weitere mögliche Ursache kann sein, dass das Kategorisierungsmodul nicht in der Lage ist, das Attribut homeMDB für einen Benutzer zu ermitteln. Das Attribut homeMDB gehört zu dem Exchange-Server, auf dem sich das Postfach des Benutzers befindet. Entweder ist die Empfängeradresse nicht ordnungsgemäß formatiert oder das Kategorisierungsmodul war nicht in der Lage, den Empfänger richtig aufzulösen. Der erste Schritt zur Lösung des Problems ist die Überprüfung der Empfängeradresse und das erneute Senden der Nachricht. Unzustellbarkeitsberichts 5.1.0 Eine weitere übliche Ursache für diesen Unzustellbarkeitsbericht liegt in der Verwendung von Outlook zur Speicherung einer E-Mail-Nachricht als Datei. Diese Nachricht wird dann offline geöffnet und beantwortet. Die Nachrichteneigenschaft behält bei der Übermittlung durch Outlook nur das Attribut legacyExchangeDN bei, daher kann der Suchvorgang fehlschlagen. 321 Fehlercode des Mögliche Ursache Problembehandlung Das E-Mail-Konto existiert nicht in der Organisation, in die die Nachricht gesendet wurde. Das kann auftreten, wenn Benutzer an neue Standorte innerhalb einer Site verschoben wurden. Wenn beispielsweise ein vorheriger Benutzer der Gruppe Administrative_Gruppe_1 in die Gruppe Administrative_Gruppe_2 verschoben wurde und dann auf eine ältere Nachricht antwortet oder ein OutlookProfil nicht neu erstellt, wird eine ältere Administrative Gruppe-ähnliche LegacyDNAdresse verwendet werden und dieser NDR erstellt. Analog führt das Senden von Nachrichten an veraltete Einträge im persönlichen Adressbuch zu diesem Fehler. Entweder ist die Empfängeradresse nicht ordnungsgemäß formatiert oder das Kategorisierungsmodul war nicht in der Lage, den Empfänger richtig aufzulösen. Der erste Schritt zur Lösung des Problems ist die Überprüfung der Empfängeradresse und das erneute Senden der Nachricht. Unzustellbarkeitsberichts 5.1.1 Auch die Konfiguration von SMTP-Kontakten mit ungültigen SMTP-Zeichen (siehe RFC 821) führt zum Zurückweisen der Übermittlung durch das Kategorisierungsmodul mit diesem Fehlercode. 322 Fehlercode des Mögliche Ursache Problembehandlung 5.1.3 Dieser Unzustellbarkeitsbericht wird durch eine fehlerhafte Syntax der Adresse verursacht. Beispielsweise wird ein Kontakt, der in Active Directory zwar mit dem Attribut targetAddress, jedoch ohne Adresse konfiguriert wurde, zu diesem Fehler führen. Entweder ist die Empfängeradresse nicht ordnungsgemäß formatiert oder das Kategorisierungsmodul war nicht in der Lage, den Empfänger richtig aufzulösen. Der erste Schritt zur Lösung des Problems ist die Überprüfung der Empfängeradresse und das erneute Senden der Nachricht. 5.1.4 Zwei Objekte haben die gleiche (Proxy-)Adresse und Nachrichten werden an diese Adresse gesendet. Das Problem kann ebenfalls auftreten, wenn der Empfänger auf dem Remoteserver nicht vorhanden ist. Überprüfen Sie die Empfängeradresse, und senden Sie die Nachricht erneut. 5.1.6 Eine mögliche Ursache dieses Unzustellbarkeitsberichts kann das Fehlen oder die Beschädigung der Verzeichnisattribute homeMDB (StammPostfachspeicher des Benutzers) oder msExchHomeServerName (Server, auf dem sich das Postfach des Benutzers befindet) des Benutzers sein. Überprüfen Sie die Integrität der Verzeichnisattribute des Benutzers, und führen Sie den Empfängeraktualisierungsdie nst erneut aus, damit die Gültigkeit der Attribute überprüft wird, die für den Transport notwendig sind. Unzustellbarkeitsberichts 323 Fehlercode des Mögliche Ursache Problembehandlung 5.1.7 Der Absender hat eine ungültige oder fehlende SMTP-Adresse, das Attribut mail im Verzeichnisdienst. Das Kategorisierungsmodul kann die Nachricht ohne ein gültiges Attribut mail nicht übermitteln. Überprüfen Sie die Verzeichnisstruktur des Absenders, und prüfen Sie das Vorhandensein des Attributs mail. 5.2.1 Lokale Nachrichten werden zurückgewiesen, da die Nachricht zu groß ist. Eine fehlende SID-Nummer (Master Account Security ID) des Empfängers kann diesen Fehler ebenfalls verursachen. Überprüfen Sie die Zugriffsberechtigungen und die Größe der Nachricht. Überprüfen Sie, ob der Empfänger über eine SID in Active Directory verfügt. 5.2.2 Dieser Unzustellbarkeitsbericht wird erstellt, wenn das Postfach des Empfängers seine Speicherbegrenzung überschreitet. Überprüfen Sie den Postfachspeicher und die Speicherbegrenzung für die Warteschlange. 5.2.3 Die Nachricht ist zu groß und übersteigt die lokale Begrenzung. Beispielsweise kann ein ExchangeRemotebenutzer möglicherweise eine Beschränkung der maximalen Größe für eine eingehende Nachricht haben. Senden Sie die Nachricht ohne Anlagen erneut oder konfigurieren Sie den Server oder clientseitige Beschränkung, damit größere Nachrichten ermöglicht werden. Unzustellbarkeitsberichts 324 Fehlercode des Mögliche Ursache Problembehandlung 5.3.0 Exchange 2003 kann ohne den MTA (Message Transfer Agent) ausgeführt werden. Wenn versehentlich Mail zum MTA gesendet wurde, gibt Exchange diese DSN an den Absender zurück. Dieser Zustand wird nur erzwungen, wenn Sie den MTA-Dienst deaktiviert haben und den MTA/StoreDriver mithilfe von bestimmten Registrierungseinstellungen deaktiviert haben. Fehlerhaft weitergeleitete Mail wird durch eine Standardkonfiguration in die MTA-Warteschlangen gesetzt. Überprüfen Sie Ihre Routingtopologie. Stellen Sie mit dem Winroute-Tool sicher, dass die Routen ordnungsgemäß zwischen den Servern und Routinggruppen repliziert werden. 5.3.3 Wenn der RemoteExchange-Server die Kapazitätsgrenzen des Festplattenspeicherplatzes für Nachrichten ereicht, kann er mit diesem Unzustellbarkeitsbericht darauf reagieren. Dieser Fehler tritt üblicherweise auf, wenn der sendende Server die Nachrichten mit dem Befehl ESMTP BDAT sendet. Dieser Fehler zeigt ebenfalls einen möglichen SMTPFehler an. Stellen Sie sicher, dass der Remoteserver über ausreichenden Festplattenspeicherplatz für Nachrichten verfügt. Überprüfen Sie das SMTPProtokoll. Unzustellbarkeitsberichts 325 Fehlercode des Mögliche Ursache Problembehandlung Das Auftreten einer Nachrichtenschleife wurde festgestellt. Darunter ist eine Konfiguration des Servers zu verstehen, in der er Nachrichten an sich selbst übermittelt. Wenn Sie mehrere virtuelle SMTPServer auf Ihrem ExchangeServer konfiguriert haben, müssen Sie die Verwendung eindeutiger eingehender Anschlüsse sicherstellen. Stellen Sie außerdem sicher, dass die Konfiguration des ausgehenden SMTPAnschlusses gültig ist, damit Schleifen zwischen lokalen virtuellen SMTP-Servern vermieden werden. Überprüfen Sie die Konfiguration der ServerConnectors für Schleifen. Wenn mehrere virtuelle Server vorhanden sind, darf kein Server eine Festlegung auf Alle nicht zugewiesenen aufweisen. Unzustellbarkeitsberichts 5.3.5 326 Fehlercode des Mögliche Ursache Problembehandlung Zu den möglichen Ursachen gehören: Überprüfen Sie die DNSKonfiguration mit den Tools DNS Resolver (Dnsdiag.exe) oder Nslookup. Prüfen Sie die IP-Adresse auf Einhalten des IPv4-Literalformats. Stellen Sie einen gültigen DNS-Eintrag für den betroffenen Server oder Computer sicher. Aktualisieren Sie den Eintrag im Exchange SystemManager mit einer gültigen IP-Adresse oder einem ordnungsgemäßen Namen, wenn Sie einen FQDN in einer HOSTS-Datei benötigen. Unzustellbarkeitsberichts 5.4.0 Der Authoritative Host konnte in DNS nicht gefunden werden. Der Smarthost-Eintrag ist fehlerhaft. Vollqualifizierter Domänenname (FQDN) in der Datei HOSTS (behoben in Windows 2000 SP3). Ein DNS-Fehler ist aufgetreten oder Sie haben eine ungültige IPAdresse als Smarthost konfiguriert. Virtuelle SMTP-Server haben keinen gültigen FQDN oder Suchmöglichkeit. Eine SMTP-Domäne eines Kontakts führt keine Auflösung für einen SMTP-Adressraum durch. 327 Fehlercode des Mögliche Ursache Problembehandlung Verfügbar in Exchange 2000 SP1 und höheren Versionen. Konfigurieren oder fügen Sie einen Routinggruppenconnector zwischen den Routinggruppen hinzu. Unzustellbarkeitsberichts 5.4.4 Dieser Unzustellbarkeitsbericht tritt auf, wenn keine Route zur Nachrichtenübermittlung vorhanden ist oder das Kategorisierungsmodul nicht in der Lage ist, das nächste Hop-Ziel zu ermitteln. Sie haben eine Routinggruppentopologie festgelegt, es ist jedoch kein Routinggruppenconnector zwischen den Routinggruppen vorhanden. 328 Fehlercode des Mögliche Ursache Problembehandlung Das Auftreten einer Weiterleitungsschleife im Kategorisierungsmodul wurde festgestellt. Das Attribut targetAddress ist für einen postfachaktivierten Benutzer festgelegt. Dies ist der Fall, wenn Kontakt A über einen alternativen Empfänger verfügt, der auf Kontakt B zeigt, der wiederum über einen alternativen Empfänger verfügt, der zurück auf Kontakt A zeigt. Überprüfen Sie den alternativen Empfänger des Kontakts. Prüfen und entfernen Sie das Attribut targetAddress von postfachaktivierten Benutzern. Für das Hosting, also dem Senden von Nachrichten eines Benutzers in einer Organisationseinheit an einen Benutzer in einer anderen Organisation und Organisationseinheit, sollten Sie die zwei folgenden verbundenen Objekte konfigurieren: User: SMTPProxy: [email protected] Kontakt: targetAddress: [email protected]; SMTP-Proxy: [email protected], wobei fourthcoffee.com für den Namen der zweiten Organisation steht. Unzustellbarkeitsberichts 5.4.6 Dieses gängige Problem der Hostingkonfiguration tritt auf, wenn jemand einen Kontakt in einer Organisationseinheit erstellt und dann mit dem Provisioningtool einen Benutzer in einer anderen Organisationseinheit erstellt, die beide die gleiche E-MailAdresse haben. 329 Fehlercode des Mögliche Ursache Problembehandlung Unzustellbarkeitsberichts 5.4.8 Verfügbar in Exchange 2000 SP1 und höheren Versionen. Überprüfen Sie die Richtlinien für den Empfänger. Wenn eine Diese Meldung warnt vor Empfängerrichtlinie einen einer Schleifenbedingung, die FQDN eines Exchangemöglicherweise auftreten Servers enthält, müssen Sie kann, da eine der diesen Eintrag entfernen. Die Empfängerrichtlinien eine Empfängerrichtlinie darf den lokale Domäne enthält, die FQDN eines Servers nicht dem FQDN eines Exchangeenthalten; stattdessen sollte Servers in der Organisation sie lediglich die Maildomäne entspricht. Bei der enthalten. Geben Sie Verarbeitung von beispielsweise contoso.com Nachrichten durch das statt server1.contoso.com Kategorisierungsmodul, die ein. als Ziel eine Domäne haben, die einem vollqualifizierten Domänennamen eines Exchange-Servers entspricht, wird ein Unzustellbarkeitsbericht zurückgegeben. 330 Fehlercode des Mögliche Ursache Problembehandlung 5.5.0 Ein generischer Protokollfehler oder ein SMTP-Fehler verursacht diesen Unzustellbarkeitsbericht. Der Remote-SMTP-Server antwortet auf die den sendenden Server identifizierenden EHLO mit einem Fehler 500. Das sendende System wird anschließend die Verbindung unterbrechen und einen Unzustellbarkeitsbericht mit der Aussage übermitteln, dass der Remote-SMTPServer das Protokoll nicht verarbeiten kann. Wenn beispielsweise ein E-MailKonto bei Microsoft Hotmail® nicht mehr besteht, tritt ein SMTP-Fehler 550 auf. Zur Prüfung, warum der Remote-SMTP-Server die Protokollanfrage zurückweist, können Sie das SMTPProtokoll oder den Netzwerkmonitor verwenden. 5.5.2 Ein generischer SMTP-Fehler tritt auf, wenn SMTP-Befehle vom Ablauf abweichend gesendet werden. Beispielsweise versucht ein Server den Befehl AUTH (Authorization) zu senden, bevor er sich selbst mit dem Befehl EHLO identifiziert hat. Verwenden Sie das SMTPProtokoll oder den Netzwerkmonitor zur Sicherstellung, dass ausreichender Festplattenspeicherplatz und virtueller Speicher zum SMTP-Betrieb zur Verfügung steht. Unzustellbarkeitsberichts Dieser Fehler kann möglicherweise auch dann auftreten, wenn die Systemfestplatte voll ist. 331 Fehlercode des Mögliche Ursache Problembehandlung Zu viele Empfänger für eine Nachricht können diesen Unzustellbarkeitsbericht verursachen. Die Begrenzung der Empfängeranzahl ist konfigurierbar. Um das Problem zu beheben, können Sie entweder die Anzahl der Empfänger erhöhen oder die Nachricht in mehrere Nachrichten aufteilen, um so der Serverbegrenzung zu entsprechen. Unzustellbarkeitsberichts 5.5.3 Hinweis: Die maximale Empfängeranzahl für eine SMTP-Nachricht beträgt in der Standardeinstellung 5.000. Zur Änderung dieser Begrenzung starten Sie den Exchange SystemManager, erweitern Sie Globale Einstellungen, klicken mit der rechten Maustaste auf Nachrichtenübermit tlung, klicken Sie auf Eigenschaften, und dann auf die Registerkarte Standard. Dies kann ebenfalls als Einstellung für einzelne Benutzer in Active Directory erzielt werden. 332 Fehlercode des Mögliche Ursache Problembehandlung Zu den möglichen Ursachen gehören: Überprüfen Sie die Berechtigungen und Attribute für den Kontakt, und senden Sie die Nachricht erneut. Stellen Sie außerdem bei anderen bekannten Problem sicher, dass Exchange 2000 Service Pack 1 oder höher ausgeführt wird. Unzustellbarkeitsberichts 5.7.1 Allgemeiner Zugriff oder Absenderzugriff verweigert: der Absender der Nachricht verfügt nicht über die erforderlichen Berechtigungen, um die Übermittlung durchzuführen. Sie versuchen Ihre Nachricht über einen anderen SMTP-Server weiterzugeben, und der Server lässt die Weitergabe nicht zu. Der Empfänger hat möglicherweise aktivierte Übermittlungseinschränk ungen für Postfächer. Ist beispielsweise die Übermittlungseinschränk ung des Empfängers so konfiguriert, dass nur Nachrichten von einer Verteilerliste empfangen werden können, werden alle Nachrichten von Nicht-Mitgliedern zurückgewiesen und diese Fehlermeldung erstellt. Neu in Exchange 2003: Ein anonymer Benutzer hat versucht, Nachrichten an Empfänger oder Verteilerlisten zu senden, die nur Nachrichten von einer authentifizierten SMTP-Sitzung annehmen. 333 Verwenden von Ereignisprotokollen Wenn Sie auch weiterhin die Ursache für das Erstellen der Unzustellbarkeitsberichte nicht feststellen können, besteht der nächste Schritt aus dem Erhöhen des Diagnoseprotokollierungsgrads. Versuchen Sie dann den Unzustellbarkeitsbericht zu reproduzieren, und untersuchen Sie das Ereignisprotokoll der Anwendung. Es kann möglicherweise die Informationen bieten, aus welchen Gründen der Unzustellbarkeitsbericht erstellt wurde. Das Windows-Kategorisierungsmodul hat eine eingeschränkte Ereignisprotokollierung, das Exchange-Kategorisierungsmodul verfügt jedoch über eine erweiterte Ereignisprotokollierung. Zur Feststellung der Ursachen für einen Unzustellbarkeitsbericht sollten Sie die Diagnoseprotokollierung des Nachrichtenkategorisierungsmoduls auf Field Engineering Protokollierungsgrad 7 einstellen. Wenn Sie die Protokollierung auf diesem Grad aktivieren, wird die folgende Informationsereignisnachricht in der Ereignisanzeige für Nachrichten erstellt, die Unzustellbarkeitsberichte erstellen: Messageid=9000 Facility=Interface Severity=Informational SymbolicName=PHATCAT_NDR_REASON The function of <function name> failed for reason <cause of failure> when processing recipient <recipient name> of type <recipient type> A delivery status notification has been generated Verwenden von Regtrace Regtrace ist auf Exchange-Servern verfügbar. Es ist ein hilfreiches Werkzeug für Diagnose und Problembehebung von Unzustellbarkeitsberichten. Ausführliche Anweisungen finden Sie unter Aktivieren von regtrace. Die Ablaufverfolgungsdatei Die Ablaufverfolgungsdatei befindet sich an dem Speicherort, die Sie auf der Registerkarte Output in Regtrace angegeben haben. Der Standardpfad für diese Datei lautet C:\Trace.atf. Die Ablaufverfolgungsdatei ist eine Datei im Binärformat, die Debuginformationen der Transport- und Routingkomponenten enthält, deren Ablauf verfolgt wird. Aus diesem Grund ist das Senden der Ablaufverfolgungsdateien an die Microsoft Software Services zu internen Analysezwecken erforderlich. Sie müssen möglicherweise ein Programm zur 334 Dateikomprimierung verwenden, damit Sie die Dateien an die Microsoft Software Service übermitteln können, auf einen FTP-Server, den Microsoft File Exchange (MSFE) oder den Premier Service Desk. Ihr Ansprechpartner der Microsoft Software Services informiert Sie über Einzelheiten zu diesen Übermittlungsmethoden. Aktivieren von regtrace Regtrace ist auf Exchange-Servern verfügbar. Es ist ein hilfreiches Werkzeug zur Analyse und Problembehebung von Unzustellbarkeitsberichten. Nachfolgend wird das Verfahren zum Aktivieren von Regtrace beschrieben. Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Unzustellbarkeitsberichten, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So aktivieren Sie Regtrace 1. Geben Sie an der Eingabeaufforderung regtrace ein. Das Dialogfeld Trace Settings wird geöffnet. 2. Aktivieren Sie auf der Registerkarte Traces alle Kontrollkästchen. Registerkarte „Traces“ im Dialogfeld „Trace Settings“ 335 3. Aktivieren Sie auf der Registerkarte Output die Option File. Geben Sie anschließend einen Pfad zu einem Speicherort an, der über ausreichende Kapazitäten zum Speichern von sehr großen Ausgabedateien verfügt. 4. Stellen Sie sicher, dass die Option Write traces on a Background Thread auf der Registerkarte Threading nicht aktiviert ist, und klicken Sie dann auf OK. 5. Navigieren Sie im Registrierungs-Editor zu folgendem Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MosTrace\CurrentVersion\ DebugAsyncTrace 6. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann die folgenden Registrierungsschlüssel hinzu: Value Name: Modules Data Type: REG_SZ Value: AQ CAT DS2MB dsevntwrap EXSINK IMAP4SVC REAPI RESVC Routing SMTP StoreDev TranMsg DSACCESS 7. Fügen Sie jetzt den Registrierungsschlüsselwert MaxTraceFileSize hinzu, um die 336 maximale Dateigröße auf 20 MB festzulegen. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann folgenden Registrierungsschlüsselwert hinzu: Value Name: MaxTraceFileSize Data Type: REG_DWORD Value: 20 (decimal) 8. Beenden Sie den Registrierungs-Editor. 9. Reproduzieren Sie den Fehler, für den Sie eine Problembehebung durchführen. Wenn beispielsweise Nachrichten als unzustellbar zurückgegeben werden, senden Sie einige E-Mail-Nachrichten an eine Adresse, die Exchange veranlasst, die Nachrichten ohne erfolgreiche Zustellung zurückzugeben. 10. Unterbrechen Sie die Nachverfolgung, nachdem Sie das Problem einige Male reproduziert haben. Klicken Sie in Regtrace auf die Registerkarte Output, und wählen Sie No Tracing aus. Die Ablaufverfolgungsdatei befindet sich an dem Speicherort, die Sie auf der Registerkarte Output in Regtrace angegeben haben. Der Standardpfad für diese Datei lautet C:\Trace.atf. Die Ablaufverfolgungsdatei ist eine Datei im Binärformat, die Debuginformationen der Transport- und Routingkomponenten enthält, deren Ablauf nachverfolgt wird. Aus diesem Grund ist das Senden der Ablaufverfolgungsdateien an die Microsoft Software Services zu internen Analysezwecken erforderlich. Sie müssen möglicherweise ein Programm zur Dateikomprimierung verwenden, damit Sie die Dateien an die Microsoft Software Service übermitteln können, auf einen FTP-Server, den Microsoft File Exchange (MSFE) oder den Premier Service Desk. Ihr Ansprechpartner der Microsoft Software Services informiert Sie über Einzelheiten zu diesen Übermittlungsmethoden. Überprüfen der erforderlichen Active Directory-Attribute Überprüfen Sie bei der Behebung von NDR-Problemen, dass alle für das Nachrichtenkategorisierungsmodul erforderlichen E-Mail-aktivierten Attribute in Active Directory für diesen Empfänger vorhanden sind. In Exchange 2000 müssen zur Nachrichtenkategorisierung mehrere Attribute vorhanden sein: homeMDB homeMTA legacyExchangeDN mail mailNickname 337 msExchHomeServerName msExchMailboxGuid msExchMailboxSecurityDescriptor proxyAddresses Diese Liste der erforderlichen Attribute ist nur gültig, wenn es sich bei dem Empfänger um ein postfachaktiviertes Objekt in Active Directory handelt (z. B. ein Exchange 2003-Empfänger). Handelt es sich jedoch um einen Exchange Server 5.5-Empfänger, müssen lediglich folgende Attribute vorhanden sein: legacyExchangeDN homeMDB homeMTA Für postfachaktivierte Objekte (z. B. ein benutzerdefinierter Empfänger) und alternative Adressen ist das targetAddress-Attribut erforderlich. Wenn das targetAddress-Attribut nicht vorhanden ist, wird auf das mail-Attribut zurückgegriffen. Fehlt in einer E-Mail eines der erforderlichen Attribute oder sind die Attribute nicht korrekt, verbleibt die Nachricht unter Umständen im Kategorisierungsmodul, und in der Ereignisanzeige werden keine Ereignisse erstellt. Wenn Sie die Nachricht verfolgen, wird sie – je nach fehlendem Attribut – im Nachrichtenkategorisierungsmodul angezeigt oder generiert einen NDR. Sie überprüfen diese Attribute für einen Benutzer in Active Directory mit dem LDP-Tool oder mit ADSIEdit. Weitere Informationen zum LDP-Tool oder ADSIEdit finden Sie in der Windows Onlinedokumentation. Hinweis: Wenn Sie das ADSI-Bearbeitungs-Snap-In, das LDP-Tool oder einen anderen LDAPClient (Version 3) verwenden und die Attribute von Active Directory-Objekten falsch ändern, kann dies zu ernsthaften Problemen führen. Bei Auftreten dieser Probleme müssen Sie möglicherweise eine oder mehrere der folgenden Komponenten neu installieren: Windows 2000 Server, Windows Server 2003 oder Exchange Server 2003. Möglicherweise können Sie die Probleme nicht beheben, wenn Sie die Attribute von Active Directory-Objekten falsch geändert haben. Das Ändern dieser Attribute geschieht daher auf eigenes Risiko. In der folgenden Tabelle finden Sie Beispiele zu jedem erforderlichen Active DirectoryAttribut. 338 E-Mail-aktivierte Active Directory-Attribute in Exchange 2003 E-Mail-aktivierte Attribute in Exchange 2003 Beispiel homeMDB CN=Postfachspeicher (CONTOSO-MSG01),CN=Erste Speichergruppe,CN=Informationsspeicher,C N=CONTOSO-MSG01,CN=Server,CN=Erste administrative Gruppe,CN=Administrative Gruppen,CN=Erste Organisation,CN=Microsoft Exchange,CN=Dienste,CN=Konfiguration,DC =contoso,DC=com homeMTA CN=Microsoft MTA,CN=CONTOSO-MSG01,CN=Server,CN=Erste administrative Gruppe,CN=Administrative Gruppen,CN=Erste Organisation,CN=Microsoft Exchange,CN=Dienste,CN=Konfiguration,DC =contoso,DC=com legacyDN /o=Erste Organisation/ou=Erste administrative Gruppe/cn=Empfänger/cn=ted mail [email protected] mailNickname ted msExchHomeServerName /o=Erste Organisation/ou=Erste administrative Gruppe/cn=Konfiguration/cn=Server/cn=CON TOSO-MSG-01 msExchMailboxGuid 0x06 0x4f 0x69 0xcc 0x5e 0xfe 0x79 0x4f 0x8c 0x6e 0x7b 0x67 0x57 0x92 0x51 0xd2 msExchMailboxSecurityDescriptor Dieses Attribut ist ein binärer Abschnitt und zeigt keinen Wert in ADSIEdit oder LDP an. proxyAddresses SMTP: [email protected] X400:c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted; In den nachfolgenden Beispielen sehen Sie eine Speicherabbilddatei aus dem LDP-Tool mit allen E-Mail-aktivierten Active Directory-Attributen in Exchange 2003, die das Kategorisierungsmodul erfordert: 339 Expanding base 'CN=Ted Bremer,CN=Users,DC=contoso,DC=com'... Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: CN=Ted Bremer,CN=Users,DC=contoso,DC=com 1> homeMDB: CN=Mailbox Store (CONTOSO-MSG-01),CN=First Storage Group,CN=InformationStore,CN=CONTOSO-MSG-01,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; 1> memberOf: CN=Sales Team,CN=Users,DC=contoso,DC=com; 1> accountExpires: 9223372036854775807; 1> badPasswordTime: 0; 1> badPwdCount: 0; 1> codePage: 0; 1> cn: Ted Bremer; 1> countryCode: 0; 1> displayName: Ted Bremer; 1> mail: [email protected]; 1> givenName: Ted; 1> instanceType: 4; 1> lastLogoff: 0; 1> lastLogon: 126416003544864704; 1> legacyExchangeDN: /o=First Organization/ou=First Administrative Group/cn=Recipients/cn=ted; 1> logonCount: 19; 1> distinguishedName: CN=Ted Bremer,CN=Users,DC=contoso,DC=com; 1> objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=contoso,DC=com; 4> objectClass: top; person; organizationalPerson; user; 1> objectGUID: fdd08ce8-be92-4652-96db-f44785ef49e4; 1> objectSid: S-15-C2EF2A3A-4F67EE69-69068D04-64A; 1> primaryGroupID: 513; 340 2> proxyAddresses: SMTP:[email protected]; X400:c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted;; 1> pwdLastSet: 126415962391597356; 1> name: Ted Bremer; 1> sAMAccountName: ted; 1> sAMAccountType: 805306368; 2> showInAddressBook: CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; CN=All Users,CN=All Address Lists,CN=Address Lists Container,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; 1> sn: Bremer; 1> textEncodedORAddress: c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted;; 1> userAccountControl: 512; 1> userPrincipalName: [email protected]; 1> uSNChanged: 16820; 1> uSNCreated: 16814; 1> whenChanged: 8/6/2001 11:31:17 Pacific Standard Time Pacific Daylight Time; 1> whenCreated: 8/6/2001 11:30:38 Pacific Standard Time Pacific Daylight Time; 1> homeMTA: CN=Microsoft MTA,CN=CONTOSO-MSG-01,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; 1> msExchMailboxGuid: <ldp: Binary blob>; 1> msExchMailboxSecurityDescriptor: <ldp: Binary blob>; 1> msExchALObjectVersion: 56; 1> msExchHomeServerName: /o=First Organization/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=CONTOSO-MSG-01; 1> mailNickname: ted; 1> mDBUseDefaults: TRUE; 1> msExchPoliciesIncluded: {E7B464D2-65EF-4B3E-8AF4-8EB84BA7088E},{26491CFC-9E50-4857861B-0CB8DF22B5D7}; 1> msExchUserAccountControl: 0; 341 Aktualisieren von Attributen durch den Empfängeraktualisierungsdienst Der Empfängeraktualisierungsdienst besitzt drei Systemrichtlinien für E-Mail-aktivierte Empfänger, postfachaktivierte Empfänger und ausgeblendete Verteilergruppenmitgliedschaft, die bei der Installation von Exchange 2003 standardmäßig mit installiert werden. Alle drei Richtlinien erfüllen den gleichen Zweck: Das Aktualisieren einiger Attribute für Objekte in Active Directory unter bestimmten Bedingungen. Wenn Benutzer, Kontakte oder Verteilergruppen mit benutzerdefinierten Tools erstellt werden, korrigiert der Empfängeraktualisierungsdienst alle Auslassungen, wenn ein Tool nicht alle erforderlichen Attribute für ein Objekt erstellt. Wenn ein Benutzer, Kontakt oder eine Verteilergruppe nicht über alle erforderlichen Attribute verfügt, können Probleme entstehen. Für E-Mail-aktivierte Empfänger ist eine Mindestanzahl von Attributen erforderlich, damit die Exchange-Komponenten ordnungsgemäß ausgeführt werden können. So muss beispielsweise ein E-Mail-aktivierter Eintrag (Benutzer, Kontakt, Gruppe oder öffentlicher Ordner) mindestens die folgenden Attribute aufweisen: mailNickname, legacyExchangeDN und displayName. Ohne das mailNickname-Attribut gilt ein Objekt nicht als E-Mail-aktiviert. Besitzt ein Objekt das mailNickname-Attribut, müssen die beiden anderen Attribute festgelegt werden. Richtlinie für E-Mail-aktivierte Empfänger Wenn der Empfängeraktualisierungsdienst einen neuen Eintrag identifiziert, der hinzugefügt oder geändert wurde und zwar das mailNickname-Attribut, jedoch nicht die Attribute legacyExchangeDN oder displayName besitzt, erstellt der Aktualisierungsdienste diese fehlenden Attribute. Das displayName-Attribut wird aus dem mailNickname-Attribut kopiert. Das legacyExchangeDN-Attribut durchläuft einen Algorithmus, der die Organisation und Administrationsgruppe des Eintrags identifiziert und anschließend einen Wert im folgenden Format erstellt: /o=MyCompany/ou=MyAdminGroup/cn=Recipients/cn=MailNickname Richtlinie für postfachaktivierte Benutzer Für einen postfachaktivierten Benutzer müssen zwei Attribute vorhanden sein. Das erste Attribut ist das mailNickname-Attribut, und das zweite ist eines der folgenden Attribute: msExchHomeServerName homeMDB homeMTA 342 Besitzt der Benutzer das mailNickname-Attribut, und eines der oben genannten Attribute ist vorhanden, gilt der Benutzer als postfachaktiviert. In diesem Fall füllt der Empfängeraktualisierungsdienst einige der folgenden Attribute auf, falls sie nicht vorhanden sind: msExchHomeServerName homeMDB homeMTA legacyExchangeDN displayName msExchMailboxGuid Diese Attribute werden in der folgenden Reihenfolge aufgefüllt: 1. Wenn das msExchHomeServerName-Attribut nicht vorhanden ist, wird es auf Grundlage der Attribute homeMDB oder homeMTA erstellt (je nachdem, welches Attribut vorhanden ist). Kann das msExchHomeServerName-Attribut nicht erstellt werden, wird der Vorgang gestoppt. 2. Nachdem das msExchHomeServerName-Attribut festgelegt wurde, werden die Attribute homeMDB und homeMTA aufgefüllt, wenn sie fehlen. Wenn mehrere Postfachspeicher oder Message Transfer Agents (MTAs) auf dem Server installiert sind, verwendet der Empfängeraktualisierungsdienst den ersten, den er beim Durchsuchen von Active Directory findet. Die Auswahl basiert daher auf dem Zufallsprinzip. 3. Beim Erstellen der Attribute legacyExchangeDN und displayName geht der Empfängeraktualisierungsdienst wie bei Attributerstellung für einen E-Mail-aktivierten Empfänger vor. 4. Wenn das msExchMailboxGuid-Attribut nicht vorhanden ist, wird es vom Empfängeraktualisierungsdienst durch Generieren eines GUID (global eindeutiger Bezeichner) erstellt. Richtlinie für verdeckte Verteilergruppenmitgliedschaft Entsprechend der Richtlinie für verdeckte Verteilergruppenmitgliedschaft wird der Empfängeraktualisierungsdienst nicht nur ausgeführt, wenn ein neuer Eintrag erstellt wird (z. B. eine Sicherheitsgruppe oder Verteilergruppe), sondern auch, wenn Sie den Status des hideDLMembership-Attributs ändern. Wenn das Attribut den Wert TRUE hat, fügt der Empfängeraktualisierungsdienst der Sicherheitsbeschreibung einen nicht-kanonischen Teil hinzu. Dadurch kann das Mitgliedattribut dieses Eintrags nicht angezeigt werden. Dies gilt für alle Clienttypen, die das Verzeichnis mithilfe von MAPI oder LDAP durchsuchen. 343 Hat das Attribut den Wert FALSE, entfernt der Empfängeraktualisierungsdienst die nichtkanonische Sicherheitsbeschreibung, und das Mitgliedattribut wird wieder angezeigt. Weitere Informationen zum Ausblenden der Gruppenmitgliedschaft finden Sie im Microsoft Knowledge Base-Artikel 253827 „XADM: How Exchange Hides Group Membership in Active Directory“. Obwohl sich dieser Artikel auf Exchange 2000 bezieht, treffen die Beschreibungen auch auf Exchange 2003 zu. Allgemeine Szenarios bei Unzustellbarkeitsberichten In diesem Thema werden folgende allgemeine Szenarios behandelt, in denen Unzustellbarkeitsberichte generiert werden: Probleme mit Active Directory Verzögerte Nachrichtenübermittlung auf Grund globaler Katalogserverprobleme Senden von Nachrichten an Empfänger in persönlichen Adressbüchern oder Kontaktlisten Senden von Nachrichten an einen öffentlichen Ordner Probleme mit Active Directory Unzustellbarkeitsberichte können auf Grund von Problemen mit Active Directory auftreten. Folgende NDR-Kategorien beziehen sich auf Active Directory-Probleme: Empfänger wurden mit dem Active Directory Connector (ADC) nach Active Directory verschoben Empfänger wurden mit dem Tool Postfach verschieben nach Active Directory verschoben Attribute fehlen Empfänger wurden mit dem Active Directory Connector nach Active Directory verschoben Wenn bei einigen Ihrer Benutzer NDRs auftreten und Sie Empfänger mit dem Active Directory Connector verschoben haben, müssen Sie Folgendes ermitteln: Für welchen Empfängertyp werden NDRs generiert (z. B. ein Postfach, eine Verteilergruppe oder ein Kontakt)? Wie wurde der Empfänger nach Active Directory verschoben? Wenn der Empfänger mit dem ADC in Active Directory repliziert wurde, rufen Sie mit dem ADCDump-Tool eine 344 ADC-Speicherabbilddatei ab, und vergleichen Sie die Attribute in beiden Verzeichnissen für den betreffenden Empfänger. Die ADC-Speicherabbilddatei enthält die fehlenden Attribute zwischen dem Exchange 2003-Objekt und dem Exchange Server 5.5-Objekt. Sie erhalten das ADCDump-Tool bei Microsoft Product Support Services. Wenn die Benutzer mit dem ADC verschoben wurden, müssen sie zumindest als deaktivierte Benutzer in Active Directory vorhanden sein. Das Replizieren von Benutzern als Kontakte (benutzerdefinierte Empfänger) vom Exchange 5.5-Verzeichnis in Active Directory führt zur Generierung von NDRs. Wenn die Empfänger in Exchange 5.5 und Microsoft Windows NT® Server, Version 4.0, als Kontakte in Active Directory repliziert wurden, sendet Exchange 2003 keine E-Mails an Empfänger in Windows NT Server 4.0, die als Kontakte in Active Directory dargestellt sind. In diesem Szenario wird folgender NDR zurück gegeben: A configuration error in the e-mail system caused the message to bounce between two servers or to be forwarded between two recipients. Contact your administrator. <servername.contoso.com #5.4.6> Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 272593 „XCON: Message Generates NDR When Sent to a Windows NT Server 4.0 Recipient Represented as Contact in Active Directory“. Obwohl sich dieser Artikel auf Exchange 2000 bezieht, treffen die Beschreibungen auch auf Exchange 2003 zu. Dieses Verhalten tritt nicht bei Kontakten auf, die in Exchange 2003 erstellt wurden; Es bezieht sich ausschließlich auf Benutzer von Windows NT Server 4.0, die mit dem ADC als Kontakte in Active Directory repliziert wurden. Nachrichten an systemeigene Exchange 2003Kontakte können problemlos gesendet werden. Hinweis: Wenn deaktivierte Benutzer nicht in Active Directory angezeigt werden und Sie „8277 MSADC“-Fehlermeldungen erhalten, müssen Sie den Replikationsserver für die Verbindungsvereinbarung zum Bridgeheadserver im Exchange 2003-Standort oder in der Domäne ändern, in die Sie replizieren. Zur Gewährleistung der vollständigen Interoperabilität zwischen Exchange 2003-Servern und Exchange 5.5-Computern müssen Sie zudem sicher stellen, dass die ADC-Replikation in beide Richtungen ausgeführt wird. Empfänger wurden mit dem Tool Postfach verschieben nach Active Directory verschoben Stellen Sie sicher, dass alle E-Mail-aktivierten Attribute vorhanden sind, wenn ein Empfänger, eine Verteilergruppe oder ein Benutzer als systemeigenes Exchange 2003-Objekt existiert oder mit dem Tool Postfach verschieben aus Exchange 5.5 verschoben wurde. Berücksichtigen Sie folgende Schritte: 345 Bestimmen Sie den Exchange-Server, auf dem der Absender physisch vorhanden ist. Wenn es sich bei dem Empfänger um eine Verteilergruppe handelt, müssen Sie den entsprechenden Server für die Aufgliederung der Verteilerlisten ermitteln. Bestimmen Sie den globalen Katalogserver, den der Exchange-Server des Absenders oder der Verteilergruppen-Server für die Aufteilung der Verteilerlisten zur Namensauflösung kontaktiert. (Ausführliche Anweisungen hierzu finden Sie weiter unten in diesem Abschnitt.) Bestimmen Sie mit dem Nltest-Tool in Windows 2000 und Windows Server 2003, welcher globale Katalogserver vom Server des Absenders oder dem Verteilergruppen-Server für die Aufteilung der Verteilerlisten kontaktiert wird. Stellen Sie sicher, dass Sie das NltestTool auf dem Exchange-Server des Absenders bzw. dem Verteilergruppen-Server für die Aufteilung der Verteilerlisten ausführen. Wenn ein beliebiger Server als VerteilergruppenServer für die Aufteilung der Verteilerlisten verwendet wird, führen Sie das Nltest-Tool auf dem absendenden Server aus. Ausführliche Anweisungen finden Sie unter Festlegen des Servers für die Aufgliederung der Verteilergruppen für eine Verteilergruppe. Nachdem Sie den globalen Katalog ermittelt haben, rufen Sie eine Speicherabbilddatei der Verteilergruppe des Empfängers ab. Weitere Informationen zum Abrufen einer Speicherabbilddatei finden Sie in folgenden Microsoft Knowledge Base-Artikeln: 255253,"XADM: How to Perform a Dump of a Container or Object in Exchange 2000" 271201,"XADM: Alternative Methods to Obtain a Dump of an Object" Eine LDP-Speicherabbilddatei des Empfängerobjekts können Sie auch mit dem LDP-Tool abrufen. Stellen Sie dabei sicher, dass die Verbindung zum globalen Katalogserver über Port 3268 hergestellt wird. Über diesen Port fragt das Nachrichtenkategorisierungsmodul die globalen Katalogserver zur Namensauflösung ab. Hinweis: Wenn das LDP-Tool die Ergebnisse abschneidet, können Sie die Basisinformationen zum DN für das Objekt (erforderlich für das in Knowledge Base-Artikel 271201 beschriebene Vorgehen) aus dem NDR abrufen. Jeder NDR enthält alle Basisinformationen zum definierten Namen des Objekts. Wenn das Format des NDRs oder die Basisinformationen zum definierten Namen des Objekts ungültig erscheinen, können Sie eine neue Testnachricht mit einer angeforderten Übermittlungsbestätigung senden. Senden Sie diese Testnachricht von einem Benutzer aus, der Nachrichten problemlos an den Empfänger senden kann, bei dem die Probleme auftreten. 346 Fehlende Attribute Attribute können aus verschiedenen Gründen in einem Objekt fehlen, beispielsweise, wenn sie manuell gelöscht wurden oder wenn es Probleme beim Synchronisieren des globalen Katalogs gab. Attribute fehlen jedoch meistens, wenn der Empfängeraktualisierungsdienst diese Attribute nicht ordnungsgemäß geschrieben hat oder Probleme bei der ADCReplikation aufgetreten sind. Ausführliche Informationen finden Sie unter Korrigieren fehlender Attribute. Verzögerte Nachrichtenübermittlung auf Grund globaler Katalogserverprobleme Probleme mit einem globalen Katalog können zu Verzögerungen bei der Nachrichtenübermittlung führen. In diesem Fall werden NDRs generiert und informieren den Absender über die Verzögerung. Mithilfe des Nachrichtenstatus können Sie diese Probleme analysieren. Folgende Beispieldaten wurden vom Nachrichtenstatus gesammelt: 6/22/2001 3:54 PM Tracked message history on server CONTOSO-MSG-01 6/22/2001 3:54 PM SMTP Store Driver: Message Submitted from Store 6/22/2001 3:54 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 3:54 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 3:54 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM 6/22/2001 4:24 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 4:24 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 4:24 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM Message transferred out to FOURTHCOFFEE.COM through SMTP 6/22/2001 4:24 PM SMTP Store Driver: Message Delivered Locally to Store Message transferred out to FOURTHCOFFEE.COM through SMTP Beachten Sie, dass die Nachrichten in diesem Beispiel für die Dauer von 30 Minuten im Nachrichtenkategorisierungsmodul verblieben sind, ehe die ausgehende Übermittlung begonnen und die Nachricht schließlich übermittelt wurde. Bestimmen Sie in diesen Fällen mithilfe des Nltest-Tools, welchen globalen Katalogserver Exchange verwendet. Die entsprechenden Anweisungen finden Sie weiter oben in diesem Thema im Abschnitt „Empfänger wurden mit dem Tool Postfach verschieben nach Active Directory verschoben“. 347 Untersuchen Sie anschließend die betroffenen globalen Katalogserver. Allgemeine Ursachen für globale Katalogprobleme sind: Überlastete oder überarbeitete globale Katalogserver Leistungsprobleme globaler Katalogserver Unzureichende Speicherkapazität Unzureichender Festplattenspeicher Probleme zwischen Exchange 2000 und globalen Katalogservern auf Grund eines nicht ständig verfügbaren Netzwerks Zu viele Exchange-Server verwenden denselben globalen Katalogserver (empfohlenes Verhältnis von Exchange-Prozessoren und globalen Katalogserverprozessoren ist 4:1). Wichtig: Protokolle zur Nachrichtenverfolgung können irreführend sein. Wenn beispielsweise der globale Katalogserver ordnungsgemäß funktioniert und die Nachrichten korrekt kategorisiert wurde, jedoch ein SMTP-Remoteserver für die Dauer von 30 Minuten nicht verfügbar war, ähnelt das Nachrichtenverfolgungsprotokoll dem oben abgebildeten Beispielprotokoll. Auch wenn die Nachricht lokal übermittelt werden musste und der Exchange-Informationsspeicher langsam war, zeigt das Nachrichtenverfolgungsprotokoll eine große Zeitdifferenz zwischen „Nachricht an Nachrichtenkategorisierungsmodul übermittelt“ und „Nachricht lokal an Informationsspeicher übermittelt“ an. Verwenden Sie bei der Reproduktion des Problems das Systemmonitorprotokoll eines globalen Katalogservers. Es kann Ihnen bei der Problemanalyse nützlich sein. Die Wiederverwendung der globalen Katalogserver kann diese Probleme unter Umständen beheben. Geben Sie zur Problembehebung für jeden Exchange-Server einen globalen Katalogserver an. Hinweis: Die manuelle Konfiguration von globalen Katalogservern sollte nur zur Problembehebung durchgeführt werden. Wenn Ihre globalen Katalogserver manuell konfiguriert sind, kann Exchange nicht feststellen, wenn ein Server nicht mehr verfügbar ist. Ausführliche Informationen finden Sie unter Angeben eines globalen Katalogservers. Weitere Informationen zu DSAccess finden Sie im Microsoft Knowledge Base-Artikel 250570 „XCON: Directory Service Server Detection and DSAccess Usage“. 348 Unzustellbarkeitsberichte beim Senden an ein persönliches Adressbuch und eine persönliche Kontaktliste Wenn ein Benutzer aus einem Computer mit Exchange Server 5.5 unter Verwendung des Exchange 2003-Tools Postfach verschieben verschoben wurde und das verschobene Postfach ein persönliches Adressbuch oder eine Kontaktliste im Exchange 5.5-Postfach besitzt, werden diese in einem Exchange 2003-Postfach ungültig. Alle Adressen, die gegen das persönliche Adressbuch oder die Kontaktliste aufgelöst werden, generieren einen NDR ähnlich dem Folgenden: Your message did not reach some or all of the intended recipients. Subject: Test Sent: 8/3/2000 5:24 PM The following recipient(s) could not be reached: CN=\ Network,OU=United States,OU=Distribution Lists,DC=Contoso,DC=com on 8/3/2000 5:24 PM The e-mail address could not be found. Perhaps the recipient moved to a different email organization, or there was a mistake in the address. Check the address and try again. <CONTOSO-MSG-01.Contoso.com #5.1.0> Da das Tool Postfach verschieben keine persönlichen Adressbücher und Kontaktlisten verschiebt, werden alle dort enthaltenen Adressdaten ungültig. Sie beheben dieses Problem, indem Sie auf dem Outlook-Client die globale Adressenliste als Quelle für das Adressbuch auswählen. Idealerweise sollten Benutzer, die aus einem Exchange 5.5-Server verschoben wurden, persönliche Adressbücher und Kontaktlisten löschen und sie anschließend neu erstellen. Senden von Nachrichten an einen öffentlichen Ordner Das Senden von E-Mails an einen öffentlichen Ordner ist komplizierter als das Senden von E-Mails an ein Postfach. Ein Postfach kann nur auf einem Server existieren und gehört daher zu einem bestimmten Postfachspeicher. Active Directory-Attribute für ein Postfach verweisen auf einen bestimmten Server. Wird der Eintrag aufgelöst, kann Exchange daher mithilfe des Routings bestimmen, an welchen Postfachspeicher die Nachricht gesendet werden soll. Ein öffentlicher Ordner in Active Directory besitzt keinen Stammserver. Er kann auf mehreren Servern existieren, und in Active Directory finden sich keine Informationen darüber, welche 349 Server Replikate des Ordners enthalten. Diese Informationen werden vom ExchangeInformationsspeicher bearbeitet. Wenn Exchange eine Nachricht an einen öffentlichen Ordner übermittelt, sendet es die Nachricht als Erstes an einen Exchange-Informationsspeicher, der auf den Standort mit den Replikaten der öffentlichen Ordner verweist. Der Exchange-Informationsspeicher durchsucht den ptagReplicaList-Eintrag, in dem die Exchange-Server mit den Ordnerreplikaten aufgeführt sind, und übermittelt die Nachricht anschließend mit neuer Adresse an einen Exchange-Informationsspeicher, der ein Ordnerreplikat enthält. Das Kategorisierungsmodul ist verantwortlich für die korrekte Auflösung der Nachrichtenadresse. Bei öffentlichen Ordnern ist es zudem noch verantwortlich für folgende Aufgaben: Bestimmung der Ordnerhierarchie de obersten Ebene Korrekte Adressierung der Nachricht, um sie an einen Informationsspeicher in dieser Hierarchie der obersten Ebene übermitteln zu können Nach Abruf der Replikatsliste neu Schreiben der Adresse einer Nachricht an einen Informationsspeicher, der ein Replikat des öffentlichen Ordners enthält Wenn eine E-Mail an einen öffentlichen Ordner gesendet wird, führt das Kategorisierungsmodul folgende Schritte aus, um die Nachricht zu übermitteln: 1. Erste Suche im öffentlichen Ordner 2. Suche auf dem Server der Hierarchie der ersten Ebene Erste Suche im Öffentlichen Ordner Wenn eine E-Mail übermittelt wird, löst Exchange die Adresse in einen Eintrag in Active Directory auf. Handelt es sich bei diesem Eintrag um einen öffentlichen Ordner und nicht um ein Postfach, ruft das Kategorisierungsmodul das homeMDB-Attribut des öffentlichen Ordners ab: homeMDB: CN=Public Folders,CN=Folder Hierarchies,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=MicrosoftExchange,CN=Services,CN=Configuration,DC=contoso-msg01,DC=contoso,DC=com; Das homeMDB-Attribut eines Ordners enthält den definierten Namen der Hierarchie der obersten Ebene diese Ordners. Suche auf dem Server der Hierarchie der obersten Ebene Als Nächstes durchsucht das Kategorisierungsmodul die Hierarchie der obersten Ebene, die aus dem homeMDB-Attribut des Ordners abgerufen wurde, um eine Liste aller Server in der Hierarchie der obersten Ebene dieses Ordners zu erhalten. Das Kategorisierungsmodul kann 350 nicht den Standort des Replikats bestimmen, jedoch die Nachricht an einen ExchangeInformationsspeicher übermitteln, der diese Information besitzt. Der definierte Name der Hierarchie der obersten Ebene enthält einen Link zu allen Servern in dieser Hierarchie. Exchange verwendet folgende Kriterien, um den Informationsspeicher für Öffentliche Order oder den Server zu bestimmen, den das Kategorisierungsmodul aus der Hierarchie der obersten Ebene auswählt: Existiert einer der Informationsspeicher des öffentlichen Ordners auf dem lokalen Server? Falls ja, wird er von Exchange verwendet. Existiert einer der Informationsspeicher des öffentlichen Ordners auf einem ExchangeServer in der lokalen Routinggruppe? Falls ja, wird er von Exchange verwendet. Existiert einer der Informationsspeicher des öffentlichen Ordners auf einem ExchangeServer? Falls ja, wird er von Exchange verwendet. Andernfalls verwendet Exchange den ersten Informationsspeicher in der Liste. Der erste Server in der Liste ist im msExchOwningPFTreeBL-Attribut enthalten. Dieses Attribut befindet sich in der Baumstruktur des öffentlichen Ordners unter den Ordnerhierarchien. Das Kategorisierungsmodul wählt anschließend einen Server aus dem msExchOwningPFTreeBL-Attribut aus, an das die Nachricht gesendet wird. Das nachfolgende Beispiel zeigt den Inhalt des msExchOwningPFTreeBL-Attributs aus der LDP-Ausgabe: msExchOwningPFTreeBL: CN=Public Information Store (PFREP55),CN=First Storage Group,CN=InformationStore,CN=PFREP55,CN=Servers,CN=FourthCoffee,CN=Administrative Groups,CN=Lake District,CN=Microsoft Exchange,CN=Services,CN=Configuration, DC=cumbria,DC=extest,DC=microsoft, DC=com; CN=Public Folder Store (PFREP57),CN=First Storage Group,CN=InformationStore, CN=PFREP57,CN=Servers,CN=Coniston,CN=Administrative Groups,CN=Lake District,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=cumbria,DC=example,DC=microsoft,DC=com; CN=Public Information Store (PFREP56),CN=First Storage Group,CN=InformationStore,CN=PFREP56,CN=Servers,CN=Coniston,CN=Administrative Groups,CN=Lake District,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=cumbria,DC=example,DC=microsoft,DC=com; 351 Festlegen des Servers für die Aufgliederung der Verteilergruppen für eine Verteilergruppe Server für die Aufgliederung der Verteilerlisten leiten Nachrichten, die an eine einzelne Verteilerliste oder Verteilergruppe gesendet wurden, an alle Empfängerobjekte in dieser Liste oder Gruppe weiter. Wenn ein Benutzer eine Nachricht an eine Gruppe sendet, gliedert der Exchange-Server für die Aufgliederung der Verteilerlisten die Gruppe in die einzelnen Mitglieder auf. Dadurch können Mitglieder der Verteilerliste oder Verteilergruppe die Nachricht empfangen. Ein Server für die Aufgliederung der Verteilergruppen löst außerdem die Namen aller Empfänger in einer Verteilerliste oder Verteilergruppe auf, und bestimmt den effizientesten Pfad für die Weiterleitung der Nachricht. Bevor Sie beginnen Bevor Sie die Verfahren in diesem Thema durchführen, lesen Sie Problembehandlung bei Unzustellbarkeitsberichten. Zur Durchführung dieses Verfahrens sind folgende Berechtigungen erforderlich: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Ebene der administrativen Gruppen zugewiesen ist Verfahren So bestimmen Sie den Verteilergruppen-Server für die Aufteilung der Verteilerlisten 1. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Verteilergruppe und anschließend auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Exchange - Erweitert, und prüfen Sie den Wert unter Server für die Aufgliederung der Verteilerlisten. Registerkarte „Exchange – Erweitert“ im Dialogfeld der Verteilergruppeneigenschaften 352 3. Geben Sie an der Eingabeaufforderung Folgendes ein: NLTEST /DSGETDC:<domain> /GC Geben Sie dabei unter Domäne den Namen Ihrer Domäne ein. Korrigieren fehlender Attribute Attribute können aus verschiedenen Gründen in einem Objekt fehlen, beispielsweise, wenn sie manuell gelöscht wurden oder wenn es Probleme beim Synchronisieren des globalen Katalogs gab. Attribute fehlen jedoch meistens, wenn der Empfängeraktualisierungsdienst diese Attribute nicht ordnungsgemäß geschrieben hat oder Probleme bei der ADCReplikation aufgetreten sind. 353 Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Unzustellbarkeitsberichten, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe Verfahren So beheben Sie Probleme aufgrund fehlender Attribute 1. Erweitern Sie im Exchange-System-Manager Empfänger, und erweitern Sie anschließend Empfängeraktualisierungsdienste. 2. Klicken Sie mit der rechten Maustaste auf den Empfängeraktualisierungsdienst, den Sie korrigieren möchten. Klicken Sie anschließend auf Jetzt aktualisieren, um die fehlenden Attribute in dem Empfängerobjekt, bei dem die Probleme auftreten, zu aktualisieren, oder klicken Sie auf Neu erstellen, um alle Empfängerobjekte neu zu erstellen. Angeben eines globalen Katalogservers Probleme mit einem globalen Katalog können zu Verzögerungen bei der Nachrichtenübermittlung führen. In diesem Fall werden Unzustellbarkeitsberichte generiert, in denen der Absender über die Verzögerung informiert wird. Mithilfe des Nachrichtenstatus können Sie diese Probleme analysieren. Allgemeine Ursachen für globale Katalogprobleme sind: Überlastete oder überarbeitete globale Katalogserver Leistungsprobleme globaler Katalogserver Unzureichende Speicherkapazität Unzureichender Festplattenspeicher Probleme zwischen Exchange 2000 Server und globalen Katalogservern aufgrund eines nicht ständig verfügbaren Netzwerks Zu viele Exchange-Server verwenden denselben globalen Katalogserver (empfohlenes Verhältnis von Exchange-Prozessoren und globalen Katalogserverprozessoren ist 4:1). 354 Wichtig: Protokolle zur Nachrichtenverfolgung können irreführend sein. Wenn beispielsweise der globale Katalogserver ordnungsgemäß funktioniert und die Nachrichten ordnungsgemäß kategorisiert wurden, jedoch ein SMTP-Remoteserver für die Dauer von 30 Minuten nicht verfügbar war, ähnelt das Nachrichtenverfolgungsprotokoll dem oben abgebildeten Beispielprotokoll. Auch wenn die Nachricht lokal übermittelt werden musste und der Exchange-Informationsspeicher langsam war, zeigt das Nachrichtenverfolgungsprotokoll eine große Zeitdifferenz zwischen „Nachricht an Nachrichtenkategorisierungsmodul übermittelt“ und „Nachricht lokal an Informationsspeicher übermittelt“ an. Verwenden Sie bei der Reproduktion des Problems das Systemmonitorprotokoll eines globalen Katalogservers. Es kann Ihnen bei der Problemanalyse nützlich sein. Die Wiederverwendung der globalen Katalogserver kann diese Probleme unter Umständen beheben. Geben Sie zur Problembehebung für jeden Exchange-Server einen globalen Katalogserver an. Hinweis: Die manuelle Konfiguration von globalen Katalogservern sollte nur zur Problembehebung durchgeführt werden. Wenn Ihre globalen Katalogserver manuell konfiguriert sind, kann Exchange nicht feststellen, wenn ein Server nicht mehr verfügbar ist. Bevor Sie beginnen Lesen Sie den Artikel unter Problembehandlung bei Unzustellbarkeitsberichten, bevor Sie das Verfahren in diesem Thema durchführen. Zur Durchführung dieses Verfahrens benötigen Sie folgende Berechtigungen: Mitglied der lokalen Administratorgruppe und einer Gruppe, der die Funktion ExchangeAdministrator auf der Organisationsebene zugewiesen ist Verfahren So legen Sie einen globalen Katalogserver fest 1. Erweitern Sie im Exchange-System-Manager Server. Klicken Sie mit der rechten Maustaste auf einen Exchange-Server, und klicken Sie anschließend auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Verzeichniszugriff. 3. Klicken Sie unter Anzeigen auf Globale Katalogserver. 4. Deaktivieren Sie das Kontrollkästchen Server automatisch finden. 355 Registerkarte „Verzeichniszugriff“ 5. Klicken Sie auf Hinzufügen, und wählen Sie den globalen Katalogserver aus, den Sie korrigieren möchten. Der globale Katalog, den Sie für die Domäne auswählen, muss in Active Directory vorhanden sein, über LDAP-Anschluss 3268 erreichbar sein, die Anfrage des Exchange-Servers zeitgerecht verarbeiten und über alle EMail-aktivierten Attribute für das Empfängerobjekt verfügen. Folgende Beispieldaten wurden vom Nachrichtenstatus gesammelt: 6/22/2001 3:54 PM Tracked message history on server CONTOSO-MSG-01 6/22/2001 3:54 PM SMTP Store Driver: Message Submitted from Store 6/22/2001 3:54 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 3:54 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 3:54 PM SMTP: Message Submitted to Categorizer 356 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM 6/22/2001 4:24 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 4:24 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 4:24 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM Message transferred out to FOURTHCOFFEE.COM through SMTP 6/22/2001 4:24 PM SMTP Store Driver: Message Delivered Locally to Store Message transferred out to FOURTHCOFFEE.COM through SMTP Beachten Sie, dass die Nachrichten in diesem Beispiel für die Dauer von 30 Minuten im Nachrichtenkategorisierungsmodul verblieben sind, ehe die ausgehende Übermittlung begonnen und die Nachricht schließlich übermittelt wurde. Bestimmen Sie in diesen Fällen mithilfe des Nltest-Tools, welchen globalen Katalogserver Exchange verwendet. Die entsprechenden Anweisungen finden Sie unter Allgemeine Szenarios bei Unzustellbarkeitsberichten. Untersuchen Sie anschließend die betroffenen globalen Katalogserver. Weitere Informationen zu DSAccess finden Sie im Microsoft Knowledge Base-Artikel 250570, „XCON: Directory Service Server Detection and DSAccess Usage“. Zusätzliche Referenz zu Unzustellbarkeitsberichten In der folgenden Tabelle finden Sie eine Beschreibung der jeweiligen ÜbermittlungsstatusBenachrichtigungscodes. Anhand dieser Tabelle können Sie die Codes interpretieren, die Sie in den NDRs empfangen. Übermittlungsstatus-Benachrichtigungscode Übermittlungsstatus-Benachrichtigungscode Beschreibung X.1.0 Anderer Adressenstatus X.1.1 Ungültige Zielpostfachadresse X.1.2 Ungültige Zielsystemadresse X.1.3 Ungültige Syntax der Zielpostfachadresse X.1.4 Mehrdeutige Zielpostfachadresse X.1.5 Gültige Zielpostfachadresse 357 Übermittlungsstatus-Benachrichtigungscode Beschreibung X.1.6 Postfach wurde verschoben X.1.7 Ungültige Syntax der Postfachadresse des Absenders X.1.8 Ungültige Systemadresse des Absenders X.2.0 Anderer oder nicht definierter Postfachstatus X.2.1 Postfach deaktiviert, Nachrichten werden nicht akzeptiert X.2.2 Postfach voll X.2.3 Nachrichtenlänge überschreitet administrativen Grenzwert X.2.4 Mailing-Liste – Erweiterungsproblem X.3.0 Anderer oder nicht definierter E-MailSystemstatus X.3.1 E-Mailsystem voll X.3.2 System akzeptiert keine Netzwerknachrichten X.3.3 System verfügt nicht über ausgewählte Funktionen X.3.4 Nachricht zu groß für das System X.3.5 System falsch konfiguriert X.4.0 Anderer oder nicht definierter Netzwerk- oder Routingstatus X.4.1 Host antwortet nicht X.4.2 Verbindungsfehler X.4.3 Fehler Routingserver X.4.4 Kein Routing möglich X.4.5 Überlastung des Netzwerks X.4.6 Routingschleife entdeckt X.4.7 Übermittlungszeit abgelaufen X.5.0 Anderer oder nicht definierter Protokollstatus X.5.1 Ungültiger Befehl 358 Übermittlungsstatus-Benachrichtigungscode Beschreibung X.5.2 Syntaxfehler X.5.3 Zu viele Empfänger X.5.4 Ungültige Befehlsargumente X.5.5 Falsche Protokollversion X.6.0 Anderer oder nicht definierter Medienfehler X.6.1 Medium nicht unterstützt X.6.2 Konvertierung erforderlich und verboten X.6.3 Konvertierung erforderlich, jedoch nicht unterstützt X.6.4 Konvertierung mit Verlust ausgeführt X.6.5 Konvertierung fehlgeschlagen X.7.0 Anderer oder nicht definierter Sicherheitsstatus X.7.1 Übermittlung nicht autorisiert, Nachricht abgelehnt X.7.2 Erweiterung der Mailing-Liste verboten X.7.3 Sicherheitskonvertierung erforderlich, jedoch nicht möglich X.7.4 Sicherheitsfunktionen nicht unterstützt X.7.5 Kryptografiefehler X.7.6 Kryptografiealgorithmus nicht unterstützt X.7.7 Nachrichtenintegrität – Fehler Teil fünf Teil 5 enthält erweiterte Konzepte zu der Microsoft® Exchange Server 2003 zugrunde liegenden Transportarchitektur und den in dieser verwendeten Verbindungsstatuskonzepten. Vor dem Lesen dieses Abschnitts sollten Sie Teil 1 dieses Handbuchs lesen und sich mit den hier beschriebenen Konzepten eingehend vertraut machen. Teil 5 enthält die folgenden Abschnitte: 359 Grundlagen zu internen Transportkomponenten In diesem Abschnitt wird das Zusammenwirken der internen Transportkomponenten (Routingmodul, erweitertes Warteschlangenmodul, Kategorisierungsmodul) bei der Nachrichtenübermittlung erläutert. Erweiterte Verbindungsstatuskonzepte In diesem Abschnitt werden die Merkmale von Verbindungsstatuspaketen untersucht und erweiterte Verbindungsstatuskonzepte erläutert. Grundlagen zu internen Transportkomponenten Dieses Thema enthält ausführliche Beschreibungen der beim Empfangen und Senden von EMail-Nachrichten in SMTP beteiligten Komponenten. Darüber hinaus wird die Funktionsweise dieser Komponenten in einem typischen Nachrichtenfluss beschrieben. Im Folgenden finden Sie eine Beschreibung der für den E-Mail-Versand wichtigen Komponenten: Routingmodul Das Microsoft® Exchange-Routingmodul ist unter den Exchange-Standarddiensten für das Ermitteln des kostengünstigsten verfügbaren Pfads zur Nachrichtenübermittlung verantwortlich. Diese Informationen werden als Teil des Nachrichtenübermittlungsvorgangs an das erweiterte Warteschlangenmodul weitergeleitet. Erweitertes Warteschlangenmodul Das erweiterte Warteschlangenmodul ist für mehrere Bereiche der Nachrichtenübermittlung zuständig. Nachrichten werden durch das erweiterte Warteschlangenmodul aus SMTP oder den Microsoft ExchangeInformationsspeichertreiber abgerufen und kategorisiert. Das Ziel der jeweiligen Nachrichten wird ermittelt und eine Schnittstelle zu den verschiedenen Warteschlangen bereitgestellt, denen die Nachrichten für das Warten auf die Übermittlung zugewiesen werden können. Nachrichtenkategorisierungsmodul Das Nachrichtenkategorisierungsmodul ist eine Komponente des erweiterten Warteschlangenmoduls, durch die zum Ausführen von Verzeichnissuchen LDAPAbfragen (Lightweight Directory Access Protocol) an den globalen Katalogserver gesendet werden. Durch diese Abfragen werden folgende Informationen abgerufen: Die E-Mail-Adressen der Empfänger Der Postfachspeicher für die Postfächer der Empfänger 360 Der Exchange-Server, auf dem sich dieser Postfachspeicher befindet In der folgenden Abbildung werden die am Nachrichtenfluss beteiligten Komponenten angezeigt. Die Transportkomponenten werden in den schattierten Bereichen dargestellt. Nachrichtenfluss über interne Transportkomponenten Empfangen von Internet-E-Mail-Nachrichten Der Empfang von Internet-E-Mail-Nachrichten in Exchange basiert auf DNS, dem SMTPProtokoll, dem Nachrichtenkategorisierungsmodul, dem erweiterten Warteschlangenmodul sowie dem Exchange-Routingmodul. Folgende Aufgaben werden durch diese Komponenten beim Übermitteln von Internet-E-Mail-Nachrichten an einen Benutzer in einer ExchangeOrganisation ausgeführt: 1. Durch den sendenden SMTP-Server wird mithilfe von DNS eine Abfrage des bevorzugten MX-Eintrags (Mail Exchanger) der Zieldomäne bzw. des Zielservers durchgeführt. Durch DNS wird eine Liste mit A-Einträgen (Host) zurückgegeben, die in eine oder mehrere Server-IP-Adressen aufgelöst werden. 2. Durch den sendenden SMTP-Server wird eine Verbindung zu Anschluss 25 auf dem SMTP-Zielserver hergestellt. Bei dem SMTP-Zielserver handelt es sich um den auf dem physischen Gatewayserver befindlichen virtuellen SMTP-Server. Dieser ist zum Annehmen eingehender Internet-E-Mail-Nachrichten an die in der Mailadresse angegebene Domäne konfiguriert. 3. Im Idealfall werden durch den SMTP-Eingangsserver eingehende Nachrichten nur für Maildomänen angenommen, die in einer Empfängerrichtlinie definiert wurden (dies gilt nicht, wenn der Server zum Weiterleiten geöffnet ist – davon wird nachdrücklich abgeraten). 361 4. Für angenommene Nachrichten wird vom virtuellen SMTP-Server ein Umschlag erstellt. Diese Nachrichtenstruktur wird als MAILMSG bezeichnet. MAILMSG enthält sämtliche Eigenschaften der Nachricht, einschließlich Absender und Empfängernamen. 5. Durch das Nachrichtenkategorisierungsmodul wird zum Abrufen des homeMdbEmpfängerattributs eine LDAP-Suchabfrage an den globalen Katalogserver gesendet. Anschließend wird der vollqualifizierte Domänenname (FQDN) dieses Exchange-Servers auf das MAILMSG-Objekt gestempelt. Beim homeMdb-Attribut handelt es sich um den Stamm-Postfachserver des Benutzers, d. h. dem Speicherort für dessen Postfachspeicher und Postfach. 6. Einer der beiden folgenden Vorgänge wird durchgeführt: Wenn sich der Postfachspeicher des Benutzers auf dem Exchange-Server befindet, wird die Nachricht über das Nachrichtenkategorisierungsmodul zur lokalen Übermittlung gekennzeichnet und durch das erweiterte Warteschlangemodul an den Exchange-Informationsspeichertreiber übertragen. Der ExchangeInformationsspeichertreiber übermittelt die Nachricht anschließend an den Postfachspeicher. Wenn sich der Postfachspeicher des Benutzers nicht auf dem Exchange-Server befindet, wird die Nachricht über das Nachrichtenkategorisierungsmodul an das erweiterte Warteschlangenmodul übertragen. Mit diesem wird dann das ExchangeRoutingmodul aufgerufen, durch das für die Nachricht der beste Sendeweg zum Server (über Verbindungsstatusrouting) sowie das nächste Ziel bzw. der nächste Hop in der Route zum Stammserver des Benutzers ermittelt wird. 7. Schließlich wird die mit Zielinformationen (vom Nachrichtenkategorisierungsmodul) und mit Routinginformationen (vom Routingmodul) versehene Nachricht durch das erweiterte Warteschlangenmodul in einem der folgenden Vorgänge an den Zielort gesendet: Handelt es sich bei dem Ziel um eine lokale Domäne, wird die Nachricht an den virtuellen SMTP-Server übermittelt, der sich auf dem Exchange-Server mit dem Postfach des Benutzers befindet. Befindet sich das Postfach des Benutzers in einer Remoteroutinggruppe, muss die Nachricht möglicherweise über andere Connectors gesendet werden. Befindet sich das Ziel außerhalb der Exchange-Organisation, wird die Nachricht in einer anderen Remotewarteschlange an den SMTP-Server für Remotedomänen übermittelt. Eine eingehende Nachricht wird nur unter einer der folgenden Konfigurationen an eine Remotedomäne gesendet: Der Exchange-Server hat Relayfunktion. Der die Nachricht sendende Benutzer verfügt über eine Relayautorisierung. Ein weiterer Connector wurde konfiguriert, mit dem das Weiterleiten an diese Domänen zugelassen wird. 362 Wenn es sich bei dem Ziel um einen Connector zu einem anderen System oder einer älteren Exchange-Version handelt, wird die Nachricht durch den ExchangeInformationsspeichertreiber an den Message Transfer Agent (MTA) übergeben. Senden von Internet-E-Mail-Nachrichten Das Senden von Internet-E-Mail-Nachrichten in Exchange beruht auf den gleichen Komponenten, die auch zum Empfangen von Internet-E-Mail-Nachrichten verwendet werden: DNS, dem SMTP-Protokoll, dem Nachrichtenkategorisierungsmodul, dem erweiterten Warteschlangenmodul und dem Exchange-Routingmodul. Internet-E-Mail-Nachrichten werden durch Exchange auf folgende Weise gesendet: 1. Ein interner Benutzer sendet eine Nachricht an eine Remotedomäne. Die Nachricht wird an den Exchange-Server übergeben, auf dem sich das Postfach des Benutzers befindet. 2. Die Nachricht wird über eines der beiden folgenden Verfahren an das erweiterte Warteschlangenmodul gesendet: Wenn die Nachricht mithilfe eines Microsoft Office Outlook® Web Access- oder Outlook-Clients (MAPI) gesendet wurde, wird diese vom ExchangeInformationsspeicher über den Informationsspeichertreiber an das erweiterte Warteschlangenmodul weitergeleitet. Wenn die Nachricht über einen POP- (Post Office Protocol) oder IMAP-Client (Internet Mail Access Protocol) gesendet wurde, wird diese mittels SMTP an das erweiterte Warteschlangenmodul übergeben. 3. Das Nachrichtenkategorisierungsmodul sendet zum Auffinden des Empfängers eine Abfrage mit der Empfängeradresse an den globalen Katalogserver. Wenn sich die Empfängeradresse in keiner Empfängerrichtlinie befindet, oder wenn kein passender Empfänger mit einer Proxyadresse existiert (die Empfängeradresse wird nicht in Active Directory gespeichert), stellt das Nachrichtenkategorisierungsmodul fest, dass diese Nachricht an eine Remotedomäne gebunden ist. 4. Durch das erweiterte Warteschlangenmodul wird ein Aufruf an das ExchangeRoutingmodul gesendet, damit das nächste Ziel oder der nächste Hop für eine Route zu dem Adressenraum ermittelt wird, der besser mit der Remotedomäne übereinstimmt. 5. Mithilfe dieser Informationen wird auf dem Server ermittelt, ob die Nachricht gesendet oder an den Smarthost weitergeleitet werden soll oder ob ein SMTP-Connector mit dem Remoteadressraum verwendet werden soll. 6. Wenn die ausgehenden Mails durch mehrere Connectors oder virtuelle Server verarbeitet werden, wird mit dem erweiterten Warteschlangenmodul der virtuelle Server oder Connector ermittelt, der am weitesten mit dem Adressraum der Remotedomäne sowie möglichen Einschränkungen für diesen Connector übereinstimmt. 363 7. Die Nachricht wird zum virtuellen SMTP-Server des Ausgangsconnectors bzw. an den für die Übermittlung verantwortlichen virtuellen SMTP-Server weitergeleitet. 8. Auf dem die Kategorisierung ausführenden Exchange-Server werden über den virtuellen SMTP-Server anschließend die Metabase-Informationen für das Route-Aktionsattribut der Remotedomäne verwendet. 9. Der virtuelle SMTP-Server auf dem Exchange-Server führt dann eine der beiden folgenden Aufgaben durch: Suchen der IP-Adresse für die Zieldomäne mit DNS und Zustellen der Nachricht Weiterleiten der Nachricht an einen Smarthost, der für DNS-Auflösung und Zustellung verantwortlich ist Erweiterte Verbindungsstatuskonzepte In diesem Abschnitt werden erweiterte Konzepte erklärt, mit denen festgelegt wird, wie Verbindungsstatusinformationen über die Microsoft® Exchange-Organisation hinweg kommuniziert und weitergeleitet werden. Darin ist das folgende Thema enthalten: Verbindungsstatuskomponenten Grundlagen zum OrgInfo-Paket Grundlagen zum Inhalt des OrgInfo-Pakets Serverdienste und Routingknoten Routingaktualisierungen Kommunikation der Routingtopologieaktualisierung Verbindungsstatuskomponenten Beim Weiterleiten von Verbindungsstatusinformationen spielen einige Komponenten eine zentrale Rolle. Es handelt sich um die folgenden Komponenten: Das OrgInfo-Paket, in dem das Paket der Verbindungsstatusinformationen für die Exchange-Topologie enthalten ist. Serverdienst- und Clientknoten, über die Verbindungsstatusinformationen verwendet bzw. ausgetauscht werden. Den Routinggruppenmaster – einen Serverdienst, der für die Beibehaltung fehlerfreier Verbindungsstatusinformationen für die Routinggruppe sowie die Verteilung dieser Informationen (das OrgInfo-Paket) an die Gruppenmitglieder verantwortlich ist. 364 Grundlagen zum OrgInfo-Paket Bei dem OrgInfo-Paket handelt es sich um die Verbindungsstatustabelle, in der Informationen und der Status der Routingtopologie der Exchange-Organisation enthalten sind. Routinggruppenmaster leiten diese Informationen in Form des OrgInfo-Pakets über die gesamte Organisation hinweg weiter. Das Paket enthält verschiedene Informationen, z. B. den Organisationsnamen, Routinggruppen, Connectors und Adressräume. Mit dem WinRoute-Tool wird die Rohform der OrgInfo-Paketinhalte in einem leichter lesbaren Format angezeigt. Die ausführlichen Erklärungen der einzelnen Bestandteile dieses Pakets in diesem Thema beziehen sich jedoch auf die Rohdatenversion dieses Pakets. Hinweis: Sie können das WinRoute-Tool von der Microsoft-Website Downloads for Exchange Server 2003 herunterladen. Die Informationsfelder in diesem Paket werden wie folgt durch Klammern getrennt: (Routinggruppe (Routinggruppenmitglieder (Connectors in Routinggruppe (Connectorkonfiguration)))) Innerhalb des Pakets werden GUIDs für die einzelnen Komponenten verwiesen. Ein Teil der Informationen wird als ASCII-Text dargestellt, beispielsweise: Teile der in jedem einzelnen Routinggruppenabschnitt aufgeführten X.400- und X.500Routinggruppenadressen Die vorherigen Distinguished Names (legacyExchangeDNs) der Connectors Die vollqualifizierten Domänennamen der virtuellen Server (beim Aufführen der Quellbzw. Remote-Bridgeheadserver der Connectors) Der DN (Distinguished Name) des eingeschränkten Objekts (für alle auf einem Connector festgelegten Einschränkungen). Wenn beispielsweise drei Benutzern durch einen Connector die Nutzung verweigert wird, werden die drei DNs (Distinguished Names) der Benutzer im Paket in ASCII-Text angezeigt. Da die oben beschriebenen Komponenten in ASCII-Text aufgeführt werden, wird die Gesamtgröße des OrgInfo-Pakets durch die Anzahl dieser Komponenten in einer Routingtopologie beeinflusst. Durch Verweigern des Connectorzugriffs nicht für Verteilungsgruppen, sondern für Benutzer, und durch unnötiges Festlegen eines Quell- und Ziel-Bridgeheadservers werden sehr viel größere OrgInfo-Pakete als normalerweise erstellt. Da dieses über die gesamte Exchange-Organisation hinweg verteilte Paket durch die soeben erwähnten Einschränkungen vergrößert wird, kann der Austausch des Verbindungsstatuspakets zwischen den Servern je nach Größe der Exchange-Organisation schwerwiegende Auswirkungen auf die Netzwerkauslastung haben. Um bei einer erforderlichen Einschränkung des Codezugriffs die Größe des OrgInfo-Pakets zu begrenzen, wird empfohlen, die Einschränkungen nicht für Benutzer, sondern für Verteilungsgruppen 365 festzulegen, und festgelegte Quell- und Ziel-Bridgeheadserver nur zu verwenden, wenn dies angemessen ist. Hinsichtlich der Größe des OrgInfo-Pakets müssen Sie darüber hinaus beachten, dass eine einmal erstellte Routinggruppe in den Speichern der einzelnen Exchange-Server in der Organisation verbleibt, bis alle Exchange-Server in der Organisation gleichzeitig ausgeschaltet werden, vorausgesetzt, dass die Informationen über die gesamte Organisation hinweg weitergeleitet wurden. Dies gilt auch, wenn die Routinggruppe im Exchange-SystemManager gelöscht wurde. Grundlagen zum Inhalt des OrgInfo-Pakets Zur Erklärung der Inhalte eines OrgInfo-Pakets wird in diesem Abschnitt die Übertragung eines OrgInfo-Pakets zwischen zwei Servern in einer Routinggruppe analysiert. Das in Abbildung 15.1 beschriebene Beispiel stammt aus einer Exchange-Organisation mit einer Routinggruppe, die wiederum zwei Server enthält. Auf beiden Servern wird Exchange Server 2003 mit einem einzelnen Benutzereinschränkungen beinhaltenden SMTP-Connector ausgeführt. Folgende Informationen sind in dem über das Netzwerk hinweg übertragenen OrgInfo-Paket enthalten: {00000457}..a9c421ebe14f06710f6ab596345ac615.(.a2a0f896d197b84999557850ac796258.2d0747 6703630a4d87a651498e2d73b9.a.0.0.f0dcd868912f54479b26d729863bb825.{26}*.A2A0F896-D197B849-9955-7850AC796258.{4b}c=US;a=.;p=Example;o=Exchange;cn=A2A0F896-D197-B849-99557850AC796258;*.{53}/o=Example/ou=First.Administrative.Group/*/A2A0F896-D197-B84999557850AC796258.(.2d07476703630a4d87a651498e2d73b9.YES.1.1aae.{10}0701000000000101..9 79733932e995742bc2d5ecf93198b4d.YES.1.1aae.{10}0701000000000101.).(.f76005bd57ad934285 18268f28f4f7e6.(.CONFIG.{4}SMTP.{23}_f76005bd57ad93428518268f28f4f7e6_S.{}.{54}/o=Exam ple/ou=First.Administrative.Group/cn=Configuration/cn=Connections/cn=JUNK.0.0.0.0.ffff ffff.ffffffff.0.1.0.().6.(.{24}CN=tester07,CN=Users,DC=domain,DC=com..{24}CN=tester04, CN=Users,DC=domain,DC=com..{24}CN=tester03,CN=Users,DC=domain,DC=com..{24}CN=tester02, CN=Users,DC=domain,DC=com..{24}CN=tester01,CN=Users,DC=domain,DC=com..{29}CN=Administr ator,CN=Users,DC=domain,DC=com.).0.().0.()..ARROWS.(.{4}SMTP.{1}*.1.).BH.(.2fdb30b62e4 ea949a71f91f319535143.CONN_AVAIL.{13}RGR-65-02.domain.com.).TARGBH.().STATE.UP))).. Im Folgenden wird der Inhalt des OrgInfo-Pakets in der Reihenfolge der oben angezeigten Informationen beschrieben: Mithilfe des Eintrags ORGINFO wird dem empfangenden Server signalisiert, dass in diesem Frame das OrgInfo-Paket enthalten ist. Beschreibung der dem Eintrag ORGINFO folgenden Inhalte: Die als MD5-Hash verschlüsselte Signatur des aktuellen OrgInfo-Pakets stellt die Versionsnummer der Verbindungsstatustabelle dar. Diese Signatur ist wichtig, da sie von Servern zum Vergleich der Verbindungsstatusinformationen verwendet wird. Durch unterschiedliche Hashs bei zwei Exchange-Servern wird (wie weiter unten beschrieben) 366 angezeigt, dass diese über unterschiedliche Routinginformationen verfügen. Zwischen den Servern werden nun OrgInfo-Pakete ausgetauscht, um zu ermitteln, welcher der beiden über die aktuellen Informationen verfügt. Durch den ersten Klammersatz wird angezeigt, dass die darin enthaltenen Informationen zu einer bestimmten Routinggruppe gehören. Im Beispiel wird eine einzelne Routinggruppe angezeigt, daher sind in folgendem Klammersatz sämtliche Routinginformationen enthalten: Die GUID der Routinggruppe: a2a0f896d197b84999557850ac796258 Die GUID des Routinggruppenmasters: 2d07476703630a4d87a651498e2d73b9 Die Haupt-, Neben- und Benutzerversionen der Verbindungsstatusinformationen: a.0.0 Die GUID dieser Versionsinformationen: f0dcd868912f54479b26d729863bb825 SMTP-Adressinformationen der Routinggruppe: {26}. Der Anfang dieser Informationen wird durch Klammern angezeigt. In einer vollständig konvergierten Organisation werden diese Routinginformationen in allen Routinggruppen gespeichert. Folglich sind bei zwei Routinggruppen die im Folgenden aufgeführten Informationen in jeweils dafür vorgesehenen Abschnitten des OrgInfo-Pakets enthalten. (Beachten Sie, dass die Zeichen in diesen und den folgenden Klammern über Implementierungen hinweg nicht unbedingt identisch sein müssen.) Durch „{4b}“wird der Beginn von X.400-Adressen für die Routinggruppe angezeigt. Wie im Vorangegangenen beschrieben, wird diese Information im OrgInfo-Paket in den Abschnitten zu den jeweiligen Routinggruppen angezeigt: „c=US;a=.;p=Example;o=Exchange;cn=A2A0F896-D197-B849-99557850AC796258;*“ bezeichnet den X.400-Adressraum, wobei unter „cn“ die GUID der Routinggruppe angegeben wird. „c=US;a=.;p=Example;o=Exchange;cn=A2A0F896-D197-B849-99557850AC796258;*“ bezeichnet den X.400-Adressraum, wobei unter „cn“ die GUID der Routinggruppe angegeben wird. Durch „{53}“ werden die X.500-Adressinformationen der Routinggruppe angezeigt. Wie im Vorangegangenen beschrieben, wird diese Information im OrgInfo-Paket in den Abschnitten zu den jeweiligen Routinggruppen angezeigt: Die unmittelbar nach „{26}, A2A0F896-D197-B849-9955-7850AC796258“ angegebene GUID bezieht sich auf die vorliegende Routinggruppe. /o=Example/ou=First Administrative Group/*/A2A0F896-D197-B849-99557850AC796258 Ab der nächsten geöffneten Klammer werden Routinggruppenmitglieder identifiziert: 367 Die GUID eines Mitgliedsservers in der Routinggruppe: 2d07476703630a4d87a651498e2d73b9 Zeigt an, ob das Mitglied mit dem Routinggruppenmaster verbunden ist. Mit „YES“ wird angezeigt, dass der Server verbunden ist. Serverversionsnummern werden abschließend aufgeführt. Hinweis: Die drei im Vorangegangenen beschriebenen Attribute werden für den zweiten Server in der Routinggruppe angegeben. Ab der nächsten geöffneten Klammer werden Connectors angegeben: Die GUID des einzelnen Connectors: a9c421ebe14f06710f6ab596345ac615 In der nächsten geöffneten Klammer werden Connectorkonfigurationsinformationen angegeben: Connectortyp (SMTP): {4} Die Adresse des lokalen Quellbridgeheads, in folgendem Format: Durch ein der GUID des Connectors hinzugefügtes „_S“ (ohne Anführungszeichen) wird ein Quellbridgehead angezeigt: {23}_f76005bd57ad93428518268f28f4f7e6_S Hierbei handelt es sich um einen SMTP-Connector. Wenn es sich hierbei jedoch um einen Routinggruppenconnector mit einem zugewiesenen Ziel- bzw. Remotebridgeheadserver handelt, wird im OrgInfo-Paket unter „{23}“ eine andere Information angezeigt. Der GUID des Connectors wird in diesem Fall ein „_D“ hinzugefügt. Wenn es sich hierbei um einen SMTP-Connector handelt, mit dem ein Smarthost angegeben wird, finden Sie im entsprechenden Eintrag im OrgInfo-Paket die FQDN des betreffenden Smarthosts. Der Distinguished Name des Connectors: {54}/o=Example/ou=First.Administrative.Group/cn=Configuration/cn=Connections/cn =JUNK Der Zeitplan des Connectors wird durch die erste „0“ angegeben. (In diesem Fall lautet die Einstellung für den Zeitplan „Immer“.) Als Nächstes werden die Einschränkungen des Connectors angegeben: Der Bereich des Connectors wird durch die nächste „0“ angegeben. (In diesem Fall ist „Organisation“ der Bereich.) Konfiguration der ausgelösten Übermittlung. Durch die dritte „0“ wird die ausgelöste Übermittlung angegeben, beispielsweise TURN/ETRN (in diesem Fall ist die ausgelöste Übermittlung nicht konfiguriert). Durch die letzte „0“ wird der über diesen Connector zugelassene Typ der Nachrichtenpriorität (Hoch, Normal, Niedrig) angegeben. 368 Einschränkungen der Nachrichtengröße: Durch „ffffffff“ wird angegeben, dass bei diesem Connector keine Einschränkungen für die Nachrichtengröße bestehen. Unabhängig davon, ob ein hoher Schwellenwert für die Nachrichtengröße festgelegt wurde, wird durch „ffffffff“ angezeigt, dass kein Schwellenwert für Nachrichten angegeben wurde. Folgende Informationen werden durch die nachfolgende Zahlenfolge „0 1 0“ angegeben: Bezüge auf Öffentliche Ordner werden zugelassen. In der Standardeinstellung werden Nachrichten von allen Absendern angenommen. Zugelassene Absender (in diesem Fall leer, da in der soeben beschriebenen Standardeinstellung Nachrichten von allen Absendern zugelassen werden). Durch ARROWS wird der Beginn der Adressrauminformationen für den Connector angezeigt: Durch „{4}SMTP“ wird SMTP als Adressraumtyp angegeben. Durch „{1}*“ wird angegeben, dass dieser Connector für alle SMTP-Domänen gilt. Durch „1“ wird unter Kosten eins angegeben. Beginnend mit dem Eintrag „BH“ werden die Bridgeheadserver des Connectors angegeben. Im vorliegenden Beispiel ist ein Bridgeheadserver vorhanden, für den folgende Informationen angegeben werden: Die GUID des virtuellen SMTP-Servers, der als lokaler Bridgeheadserver festgelegt wird: 2fdb30b62e4ea949a71f91f319535143 Die Verfügbarkeit des Remotebridgeheadservers: CONN_AVAIL Der FQDN des virtuellen Servers, der diesem Connector als Bridgeheadserver dient: {13}RGR-65-02.domain.com Sofern festgelegt, die FQDNs beliebiger Zielbridgeheadserver (im vorliegenden Beispiel wurden keine angegeben): TARGBH. Der Connectorstatus: In diesem Fall wird durch „STATE_UP“ der Status „UP“ angegeben und damit angezeigt, dass der Connector verfügbar ist. („Down“ oder nicht verfügbar ist die einzige andere Option.) Serverdienste und Routingknoten Nachdem Sie sich mit den Inhalten des OrgInfo-Pakets vertraut gemacht haben, werden in diesem Abschnitt Routingknoten erläutert. Dabei handelt es sich um Komponenten, die an 369 der Verbreitung dieser Informationen innerhalb einer Exchange-Organisation beteiligt sind. Auf einem Exchange-Server können drei Typen von Routingknoten vorliegen: Hauptdienstknoten Untergeordneter Dienstknoten Clientknoten Auf einem Server kann nur jeweils einer dieser Dienstknotentypen vorliegen: entweder der Hauptdienstknoten (wenn es sich bei dem Server nicht um den Routinggruppenmaster handelt) oder der untergeordnete Dienstknoten (wenn der Server Mitglied einer Routinggruppe ist). Clientknoten bestehen aus verschiedenen Prozessen, in denen die auf dem Server ausgeführten Routinginformationen beansprucht werden. Beispiele für diese Prozesse sind: SMTP (inetinfo.exe), Message Transfer Agent (emsmta.exe), der Informationsspeicher (store.exe), und der WMI-Dienst (WindowsVerwaltungsinstrumentation; wmiprvse.exe). Die Routingfunktionen dieser Komponenten werden mithilfe von zwei DLLs implementiert: resvc.dll für die Dienstknoten und reapi.dll für die Clientknoten. In der folgenden Abbildung werden die Routingknoten und Serverdienste dargestellt. Routingdienstknoten Die Kommunikation zwischen Clientknoten und den zugehörigen Serverdiensten erfolgt direkt. Diese Kommunikation erfolgt stets innerhalb eines einzelnen Hosts, so kommuniziert beispielsweise ein Clientknoten ausschließlich mit anderen Komponenten auf demselben Server. Die Kommunikation zwischen Mitglieds- und Hauptdienstknoten innerhalb derselben Routinggruppe erfolgt über den TCP-Port 691. Routingaktualisierungen In diesem Abschnitt werden die Aktualisierungstypen beschrieben, die vom Routinggruppenmaster empfangen und an die entsprechenden Routinggruppenmitglieder 370 verteilt werden. Im Zusammenhang mit der Routingtopologie und den Verbindungsstatusaktualisierungen liegen für die Kommunikation zwischen ExchangeServern und Domänencontrollern folgende Informationstypen vor: Große Aktualisierung Bei Aktualisierungen der Routingtopologie, z. B. bei einer Connectorkonfiguration (Hinzufügen oder Löschen eines Connectors, Hinzufügen oder Löschen eines Adressraums auf einem Connector) oder wenn ein neuer Server als Routinggruppenmaster festgelegt wird. Kleine Aktualisierung Bei Änderungen der Informationen zur Verfügbarkeit von Connectors oder virtuellen Servern, z. B. beim Wechsel eines Connectorstatus von „verfügbar“ zu „nicht verfügbar“. Benutzeraktualisierung Beim Starten bzw. Beenden von Diensten auf einem Exchange-Server (bei der Implementierung des Knotens Status im Exchange-SystemManager), beim Hinzufügen eines anderen Servers zur Routinggruppe, oder beim Abbruch der Verbindung zwischen einem Server und dem Routinggruppenmaster. Große Aktualisierungen Routinggruppenmaster werden durch einen Domänencontroller entsprechend dem StandardLDAP (Lightweight Directory Access Protocol) über wesentliche Änderungen in der Routingtopologie der betreffenden Routinggruppe informiert. Beim Starten des Routinggruppenmasters wird dieser im Verzeichnis registriert und erhält mittels DSAccess Änderungsbenachrichtigungen zu seiner Routinggruppe. Ein Routinggruppenmaster nimmt ausschließlich Aktualisierungen der seine Routinggruppe betreffenden Hauptroutinginformationen an, wenn diese von dem mit ihm kommunizierenden Domänencontroller stammen. Empfängt beispielsweise eine Routinggruppe eine Aktualisierung der Routinginformationen durch eine andere Routinggruppe, werden vom empfangenen Routinggruppenmaster die Informationen zu seiner im OrgInfo-Paket erfassten Routinggruppe stets ignoriert. Bei kleinen sowie bei Benutzeraktualisierungen werden Änderungen durch den Routinggruppenmaster von den lokalen Clientknoten bzw. allen untergeordneten Diensten (Routinggruppenmitglieder) innerhalb seiner Routinggruppe angenommen. In den folgenden Fällen sendet ein Domänencontroller Benachrichtigungen an den Routinggruppenmaster: Der Routinggruppe wurde ein neuer Connector hinzugefügt, oder an einem bestehenden Connector wurden Änderungen vorgenommen. Der Routinggruppenmaster wird beispielsweise bei Änderungen am Routinggruppenobjekt geändert. Nach Abschluss des Änderungsbenachrichtigungsvorgangs werden die Topologieänderungen an alle Server in der lokalen Routinggruppe sowie an alle Server 371 kommuniziert, die in dieser Routinggruppe einem der Connectors als Remotebridgehead dienen. Kleine Aktualisierungen Zu den kleinen Aktualisierungen gehören Verbindungsstatusänderungen in der Umgebung, beispielsweise ein Wechsel eines Connectorstatus von „verfügbar“ zu „nicht verfügbar“. Diese Änderung im Verbindungsstatus kann über jeden Clientknoten in der Umgebung erkannt werden. Wird unter Exchange 2000 Server für einen Clientknoten eine Änderung erkannt, wird diese Änderung in fünfminütigen Abständen an die Serverdienstknoten kommuniziert. Bei jedem Empfang einer Verbindungsstatusaktualisierung über einen Hauptbzw. untergeordneten Dienstknoten wird der Server gezwungen, alle Nachrichten erneut in die Warteschlange zu leiten und den Routinggruppenmaster über diese Änderung zu informieren. Unzuverlässige Verbindungen mit häufigen Statusänderungen (oszillierende Verbindungen) führen zu einer übermäßigen und häufig widersprüchlichen Kommunikation. Wenn unter Exchange Server 2003 für eine Verbindung in einer Endknoten-Routinggruppe kein alternativer Pfad besteht, wird der Verbindungsstatus stets als „verfügbar“ gekennzeichnet. Exchange ändert den Verbindungsstatus nicht in „nicht verfügbar“, wenn kein alternativer Pfad zur Verfügung steht. Zu übertragende Nachrichten werden von Exchange in eine Warteschlange geleitet und gesendet, wenn die Route wieder zur Verfügung steht. Mit dieser Änderung wird die Leistung verbessert, da weniger Verbindungsstatusinformationen weitergegeben werden. Bei oszillierenden Verbindungen überprüft Exchange 2003 in der Verbindungswarteschlange, ob für einen Connector innerhalb eines bestimmten Intervalls Konflikte zwischen den Statusänderungen vorliegen. Ist dies der Fall, wird der Connector als oszillierende Verbindung bewertet und der Verbindungsstatus bleibt „verfügbar“. Es empfiehlt sich, einen oszillierenden Connector in einem verfügbaren Status zu belassen und dessen Verbindungsstatus nicht fortlaufend zu ändern. Dadurch wird der Umfang der zwischen den Servern übertragenen Verbindungsstatusinformationen deutlich reduziert. Benutzeraktualisierungen Benutzeraktualisierungen umfassen minimale Änderungen, z. B. beim Wechsel des Routinggruppenmasters, beim Starten und Beenden von Diensten auf einem ExchangeServer, beim Hinzufügen eines Servers zu der Routinggruppe oder beim Ausfall der Verbindung zwischen einem Mitgliedsserver und dem Routinggruppenmaster. 372 Kommunikation der Routingtopologieaktualisierung Die Art der Kommunikation von Routinginformationen durch Exchange ist abhängig davon, ob eine Interrouting-Gruppenaktualisierung oder eine Intrarouting-Gruppenaktualisierung verarbeitet wird. In diesem Abschnitt werden die einzelne Kommunikationsaktualisierungsvorgänge für folgende Routingtopologieszenarios beschrieben: Verzeichnisaktualisierungen an Routinggruppenmaster Einzelner Exchange-Server, einzelner Domänencontroller Aktualisierung durch Routinggruppenmaster an Routinggruppenmitglieder Zwei Exchange-Server (in derselben Routinggruppe), ein Domänencontroller Interrouting-Gruppenaktualisierungen Drei Exchange-Server (zwei in einer Routinggruppe, einer in einer weiteren Routinggruppe), ein Domänencontroller Hinweis: In den im Folgenden dargestellten Netzwerksammlungen werden die verwendeten Konzepte beschrieben, um Ihnen ein umfassendes Verständnis des Kommunikationsaktualisierungsvorgangs zu ermöglichen. Sämtliche dieser Sammlungen wurden mit dem in Microsoft Windows Server™ 2003 enthaltenen Netzwerkmonitorprogramm (Netmon.exe) erstellt. Verzeichnisaktualisierungen an Routinggruppenmaster Die Routinggruppenmaster empfangen große Aktualisierungen von einem Domänencontroller mithilfe des Änderungsvorgangs im Microsoft Active Directory®Verzeichnisdienst. Exchange verwendet den Konfigurationsdomänencontroller zum Abrufen von Verzeichnisaktualisierungsinformationen, der im Exchange-System-Manager unter den Eigenschaften eines Servers auf der Registerkarte DS-Zugriff mit den Eintrag Konfig angegeben wird. Der Änderungsbenachrichtigungsvorgang beginnt, wenn durch den Client oder die Arbeitsstation, auf der ein neuer Connector hinzugefügt wird bzw. auf der mithilfe des Exchange-System-Manager andere Änderungen durchgeführt werden, über eine Verbindung zum Domänencontroller das Hinzufügen des neuen Connectors zu Active Directory angefordert wird. Der Domänencontroller bestätigt der Arbeitsstation das erfolgreiche Hinzufügen. Anschließend wird der für diesen neuen Connector als Routingmaster dienende Exchange-Server benachrichtigt. In einer Reihe von Kommunikationsvorgängen werden 373 Informationen über diesen Connector gesendet. Dieser Vorgang wird durch die folgenden Netzwerksammlungen dargestellt. In der folgenden Abbildung wird ein Ausschnitt aus einer Netzwerksammlung dargestellt. Das Beispiel bezieht sich auf einen Windows 2000-Domänencontroller, bei dem einer Routinggruppe ein neuer Connector hinzugefügt wurde (Exchange 2000). Beachten Sie in Frame 147 den Eintrag „AddRequest“. Ein Windows 2000-Domänencontroller mit einer Routinggruppe, der ein neuer Connector hinzugefügt wurde In dieser Abbildung wird dargestellt, wie vom Client (Arbeitsstation) beim Domänencontroller (DC) das Hinzufügen eines neuen SMTP-Connectors zum Verzeichnis angefordert wird. In Frame 148 wird angezeigt, dass über den Domänencontroller der erfolgreiche Abschluss dieses Vorgangs signalisiert wird. Unmittelbar anschließend, in Frame 149 (siehe die nachfolgende Abbildung), wird vom Domänencontroller die Nachricht „SearchResponse“ an den Exchange-Server gesendet, durch die Exchange über den neuen Connector informiert wird. Diese scheinbar unangeforderte Aktion wird vom Domänencontroller automatisch ausgeführt, da der Exchange-Server (wie alle Exchange 2000- und Exchange 2003-Server) für Änderungsbenachrichtigungen registriert wurde. Dies stellt den Änderungsbenachrichtigungsvorgang in der Praxis dar. In Frame 149 wird Exchange lediglich über den Namen und den DN (Distinguished Name) des neuen Connectors informiert. 374 Der Domänencontroller sendet die Nachricht „SearchResponse“ an den ExchangeServer, durch die Exchange über den neuen Connector informiert wird In den Frames 150 und 151 senden die Domänencontroller weitere Informationen zu diesem Vorgang an den Exchange-Server sowie an die Arbeitsstation, der der Connector hinzugefügt wurde. In der folgenden Abbildung wird Frame 151 dargestellt (an Exchange gesendet). Zusätzlich zum Namen des Objekts sind jetzt die Attribute distinguishedname, objectGUID, cn und objectClass enthalten. Der Domänencontroller sendet weitere Informationen über diesen Vorgang an den Exchange-Server sowie an die Arbeitsstation, der der Connector hinzugefügt wurde Nachdem diese Informationen vom Domänencontroller gesendet wurden, sendet die Arbeitsstation eine Abfrage nach der vollständigen Attributsliste des neuen Connectors an den Domänencontroller. 375 In Frame 176 (siehe die nachfolgende Abbildung) startet Exchange Abfragen zu der zugehörigen Routinggruppe. Dieser Vorgang wird jedes Mal gestartet, wenn der ExchangeServer eine Änderungsbenachrichtigung empfängt. In der Suchabfrage wird zunächst der Distinguished Name der Routinggruppen-GUID abgefragt. Starten der Exchange-Abfrage zur zugehörigen Routinggruppe Nach dem Empfang des Distinguished Names der Routinggruppen-GUID fragt Exchange sämtliche Attribute für alle diesem Objekt untergeordneten Objekte vom Typ msExchconnector ab. Beachten Sie hier den Unterschied zwischen den Suchbereichen „Einzelne Ebene“ und „Basisobjekt“. Durch diese Festlegung wird angezeigt, dass sich die Suche auf ein untergeordnetes Objekt bezieht. In Frame 182 (siehe die nachfolgende Abbildung) wird diese Suchabfrage angezeigt. 376 Suchabfrage nach einem untergeordneten Objekt Durch Frame 183 (siehe die nachfolgende Abbildung) wird die Teilantwort des Domänencontrollers angezeigt. Teilantwort des Domänencontrollers Als Nächstes werden von Exchange die folgenden Informationen vom Domänencontroller abgefragt und empfangen: Der FQDN und die GUID sämtlicher mit dem betreffenden Connector verbundenen Bridgeheadserver. 377 Eine Abfrage mehrerer Attribute des neuen Connectors. Diese Abfrage beruht auf der GUID des Connectors. Die zurückgegebenen Ergebnisse werden in der folgenden Abbildung dargestellt. Abfrageergebnis zu den Attributen eines neuen Connectors Wie in der folgenden Abbildung dargestellt, wird der Domänencontroller vom ExchangeServer mittels der Nachricht „ModifyRequest“ aufgefordert, in der administrativen Gruppe die drei folgenden Attribute des „legacy GWART“-Objekts zu ersetzen: GatewayRoutingTree, GWARTLastModified und ridServer. 378 Exchange-Serveranforderung an den Domänencontroller zum Ersetzen von drei Attributen des „legacy GWART“-Objekts Der Domänencontroller bestätigt mit der Nachricht „ModifyResponse“ den erfolgreichen Abschluss des Vorgangs, während der Exchange-Server die Abfrage weiterer Objekte innerhalb seiner administrativen Gruppe fortsetzt. Durch den gesamten in diesem Abschnitt beschriebenen Vorgang wird hervorgehoben, wie mit Domänencontrollern große Topologieaktualisierungen an die Routinggruppenmaster kommuniziert werden. Nach dieser Aktualisierung müssen die Informationen durch den Routinggruppenmaster an die zugehörigen Mitgliedsserver kommuniziert werden. Dieser Vorgang wird im folgenden Abschnitt erläutert. Aktualisierungen des Routinggruppenmasters an Routinggruppenmitglieder Wenn der Routinggruppenmaster über eine Aktualisierung informiert wird, überschreibt dieser die gespeicherten Verbindungsstatusinformationen (das OrgInfo-Paket) mit den neuen Informationen. Dabei wird auf der Grundlage dieser Informationen ein neuer MD5-Hash erstellt. Das neue OrgInfo-Paket wird anschließend vom Routinggruppenmaster an Clientknoten auf demselben Computer sowie an untergeordnete Dienstknoten bzw. Routinggruppenmitglieder innerhalb der Routinggruppe übermittelt. Die Kommunikation zwischen dem Routinggruppenmaster und der Routinggruppe erfolgt über den TCPAnschluss 691. In der folgenden Abbildung wird die Kommunikation auf dem Quell- bzw. Zielanschluss 691 dargestellt. Dieses Beispiel bezieht sich auf das Hinzufügen eines Connectors zu einer Routinggruppe mit zwei Servern. 379 Übermitteln von Aktualisierungsinformationen an Routinggruppenmitglieder durch den Routinggruppenmaster Bei Frame 175 handelt es sich um die Antwort „SearchResponse“, die ein Domänencontroller an den für Änderungsbenachrichtigungen registrierten Routinggruppenmaster sendet. Unmittelbar nach Erhalt dieser Informationen sendet der Routinggruppenmaster das gesamte OrgInfo-Paket an das Routinggruppenmitglied. Siehe dazu Frame 176 (Abbildung 15.11). Durch die Zeichen vor der ersten Klammer in diesem Paket wird der MD5-Hash des OrgInfoPakets dargestellt, das vom Server zum Abgleichen mit den jeweils aktuellen Informationen verwendet wird. Da sich der empfangene MD5-Hash vom gespeicherten Hash unterscheidet, wird das OrgInfo-Paket auch über das Routinggruppenmitglied verarbeitet. Nach dem Vornehmen der entsprechenden Änderungen in der gespeicherten Verbindungsstatustabelle sendet das Routinggruppenmitglied eine kurze Antwort an den Routinggruppenmaster. Dieser Benachrichtigung folgt im nächsten Frame das neu bearbeitete OrgInfo-Paket, durch das nun auch auf den neuen, zuvor durch den Routinggruppenmaster gesendeten MD5-Hash verwiesen wird. In der folgenden Abbildung wird die ursprüngliche Antwort angezeigt. 380 Ursprüngliche Antwort des Routinggruppenmitglieds an den Routinggruppenmaster Die OrgInfo-Antwort des Routinggruppenmitglieds mit dem nun aktuellen OrgInfo-Paket wird als Nächstes an den Routinggruppenmaster gesendet (siehe die nachfolgende Abbildung). OrgInfo-Antwort des Routinggruppenmitglieds Der Routinggruppenmaster verarbeitet diese Informationen und sendet eine kurze Bestätigung an das Routinggruppenmitglied. Dieser Vorgang erfolgt zwischen sämtlichen Routinggruppenmitgliedern und dem Routinggruppenmaster innerhalb einer Routinggruppe. In einem weiteren als Abrufen bezeichneten Vorgang wird sichergestellt, dass sämtliche Routinggruppenmitglieder mit jeweils aktuellen Informationen versorgt werden. 381 Abrufen Als Abrufen wird ein Vorgang bezeichnet, in dem ein Routinggruppenmitglied aktuelle Routinginformationen beim Routinggruppenmaster anfordert. In der folgenden Abbildung wird ein alle fünf Minuten wiederholter Abruf des Routinggruppenmitglieds an den Routinggruppenmaster angezeigt. Beachten Sie die mit den einzelnen Frames verbundene Zeit (die Sammlung wurde beim Speichern nach ausschließlich über Anschluss 691 geführter Kommunikation gefiltert, daher entsprechen die angezeigten Framenummern nicht den ursprünglichen Frames). Abruf an einen Routinggruppenmaster durch ein Routinggruppenmitglied In jedem Austausch zwischen zwei Frames ist vom Routinggruppenmitglied der Text „Simple_Poll“ sowie eine Antwort des Routinggruppenmasters enthalten. In Frame 1 wird die Abfrage angezeigt (siehe die nachfolgende Abbildung). Abfrage durch das Routinggruppenmitglied an den Routinggruppenmaster In Frame 2 wird die Abfrage angezeigt (siehe die nachfolgende Abbildung). 382 Antwort des Routinggruppenmasters an das Routinggruppenmitglied Zusätzlich zur lokalen Routinggruppe muss der Routinggruppenmaster auch die verbleibenden Mitglieder der Exchange-Organisation aktualisieren. Der Exchange-SMTPDienst führt Interroutinggruppen-Aktualisierungen durch. Kommunikation von Aktualisierungen in einem SMTP-Dialog Aktualisierungskommunikationen für Routing und Verbindungsstatus sind Bestandteil des SMTP-Diensts für Exchange Server 2003 und Exchange 2000. Der Exchange SMTP-Dienst vergleicht die Versionen des OrgInfo-Pakets auf den Servern während jeder SMTP-Sitzung zwischen zwei Servern. Ob Routing zwischen Servern in derselben und in verschiedenen Routinggruppen vorliegt, hat keine Auswirkung auf diesen Prozess. Dieser Prozess wird folgendermaßen ausgeführt: 1. Server 1 initiiert die TCP-Sitzung und kontaktiert Server 2 mithilfe von SMTP. Server 2 sendet die Antwort „220 Ready“ an Server 1. 2. Server 1 sendet den EHLO-Befehl. 3. Server 2 antwortet mit „250“ und einer Liste seiner implementierten ESMTP-Befehle. 4. Server 1 antwortet mit „X-EXPS GSS API“ und zeigt so an, dass er sich mittels GSS-API authentifizieren möchte. 5. Server 2 antwortet mit „334 GSSAPI supported“. 6. In den darauf folgenden Frames wird die Authentifizierung zwischen den beiden Servern durchgeführt, die mit der Antwort „235 2.7.0 Authentication successful“ von Server 2 endet. 7. Nach dieser Antwort beginnt die Verbindungsstatuskommunikation. 383 8. Server 1 sendet die in der folgenden Abbildung dargestellten Informationen an Server 2: Von Server 1 an Server 2 gesendete Informationen Die folgenden Angaben sind in den von Server 1 gesendeten Informationen enthalten: X-LINK2STATE weist darauf hin, dass dieses Paket Informationen enthält, die sich auf die Routingtopologie der Organisation beziehen. LAST CHUNK weist darauf hin, dass dies der letzte Frame der Verbindungsstatuskommunikation innerhalb der aktuellen SMTP-Sitzung ist. Weitere Optionen für diesen Befehl sind: FIRST CHUNK Weist darauf hin, dass die folgenden Verbindungsstatusinformationen über mehrere Frames verteilt sind und dieser Frame der erste Frame ist. NEXT CHUNK Weist darauf hin, dass die folgenden Verbindungsstatusinformationen über mehrere Frames verteilt sind und dieser Frame weder der erste noch der letzte Frame ist. 9. Server 2 vergleicht nun seinen MD5-Hashwert mit dem von Server 1 gesendeten MD5Hashwert, und eine der beiden folgenden Aktionen wird ausgeführt: Wenn die Hashs identisch sind, muss Server 2 nicht das vollständige OrgInfo-Paket von Server 1 empfangen. Deshalb sendet Server 2 die Antwort „DONE_RESPONSE“ (siehe die nachfolgende Abbildung), und Server 1 sendet den Befehl „MAIL FROM:“ und schließt das Senden der Mailnachricht ab. 384 Von Server 2 an Server 2 gesendete „Done_Response“ Wenn Server 2 nicht über denselben Hashwert wie Server 1 verfügt, sendet Server 2 sein gesamtes OrgInfo-Paket in einem Prozess an Server 1, der dem oben beschriebenen ähnelt, in dem Server 1 seine Informationen an Server 1 gesendet hat. Im nächsten Abschnitt wird dieser Prozess im Zusammenhang mit Aktualisierungen zwischen verschiedenen Routinggruppen erläutert. Aktualisierungen zwischen verschiedenen Routinggruppen Wenn eine größere oder eine kleinere Aktualisierung innerhalb einer Routinggruppe vorgenommen wird, übermitteln die lokalen Bridgeheadserver, die mit anderen Routinggruppen verbunden sind, die Aktualisierung zu ihren zugehörigen Routinggruppen über SMTP auf TCP-Anschluss 25. In den Frames 485-487 (siehe die nachfolgende Abbildung) ist das vollständige OrgInfoPaket enthalten, das vom Routinggruppenmaster an das Routinggruppenmitglied übermittelt wird, das als lokaler Bridgeheadserver fungiert. In Frame 488 wird die Bestätigung des lokalen Bridgeheadserver angezeigt. Übermittlung des OrgInfo-Pakets vom Routinggruppenmaster zum Routinggruppenmitglied, das als lokaler Bridgeheadserver fungiert 385 In Frames 489 und 490 (siehe die nachfolgende Abbildung) wird Active Directory vom lokalen Bridgeheadserver nach Attributen der Standardempfängerrichtlinie abgefragt. Dies ist die einzige Empfängerrichtlinie, die in der Beispielumgebung vorhanden war. Abfrage vom lokalen Bridgeheadserver an Active Directory Nach dem Empfang der Antworten in Frames 491-494 wird in Frame 495 (siehe die nachfolgende Abbildung) der lokale Bridgeheadserver angezeigt, der jetzt eine Unterstruktursuche auf dem Konfigurationscontainer für jede Routinggruppe durchführt, die als Bridgehead fungiert (beachten Sie den „Filtertyp LDAP“). Suche von lokalem Bridgeheadserver nach Routinggruppen, für die er als Bridgehead fungiert 386 Nach dem Empfang der Antwort startet der lokale Bridgeheadserver nun eine DNS-Abfrage für den Exchange-Server in der Remoteroutinggruppe und richtet eine TCP-Sitzung mit diesem Remotebridgeheadserver ein. Der lokale Bridgeheadserver führt die Schritte aus, die weiter oben in diesem Thema unter „Kommunikation von Aktualisierungen in einem SMTP-Dialog“ beschrieben wurden. Dieser Prozess wird folgendermaßen ausgeführt: 1. Wenn die Server MD5-Hashwerte vergleichen, erkennt der Remotebridgeheadserver, dass er nicht über denselben Hashwert wie der lokale Bridgeheadserver verfügt, und sendet sein gesamtes OrgInfo-Paket an den lokalen Bridgeheadserver. Da diese Kommunikation mithilfe von SMTP durchgeführt wird und die SMTP-RFSs (Request For Comments) erfordern, dass kein SMTP-Datenbefehl 1 KB überschreitet, wird das OrgInfo-Paket wahrscheinlich in mehrere Frames aufgeteilt. In dieser Situation verwendet der SMTP-Dienst die verschiedenen CHUNK-Befehle, die in der folgenden Abbildung dargestellt werden. Verwenden des FIRST_CHUNK-Befehls 2. Der lokale Bridgeheadserver antwortet mit „X-LINK2STATE MORE“ (siehe die nachfolgende Abbildung). 387 Lokaler Bridgeheadserver antwortet dem Remotebridgeheadserver 3. Der Remotebridgeheadserver sendet den nächsten Teil des OrgInfo-Pakets (siehe die nachfolgende Abbildung). Beachten Sie, dass nur „CHUNK“ angezeigt wird: Remotebridgeheadserver antwortet dem lokalen Bridgeheadserver 4. Der Remotebridgeheadserver antwortet mit „X-LINK2STATE MORE“. Diese Kommunikation wird so lange fortgeführt, bis der Remotebridgeheadserver den letzten Teil des OrgInfo-Pakets sendet. Dies wird mithilfe des LAST_CHUNK-Befehls angezeigt (siehe die nachfolgende Abbildung). Remotebridgeheadserver zeigt mithilfe des LAST_CHUNK-Befehls an, dass er den letzten Teil des OrgInfo-Pakets sendet 388 5. Nach dem dieser Kommunikationsprozess abgeschlossen ist, tauschen der Remote- und der lokale Bridgeheadserver die Rollen. Nach dem Empfang des LAST_CHUNK-Frames vom Remotebridgeheadserver sendet der lokale Bridgeheadserver sofort einen FIRST_CHUNK-Frame (dabei wird der Start der Übermittlung seines OrgInfo-Pakets identifiziert) zum Remotebridgeheadserver. 6. Nach dem Abschluss des identischen Prozesses beim Austausch der OrgInfoInformationen antwortet der Remotebridgeheadserver mit dem Befehl „200 Done“ (siehe die nachfolgende Abbildung) nach Empfang des LAST_CHUNK-Befehls. Remotebridgeheadserver zeigt an, dass er das OrgInfo-Paket vollständig empfangen hat 7. Der lokale Bridgeheadserver gibt nun den Quit-Befehl aus, und der Remotebridgeheadserver bestätigt dessen Empfang, indem er den SMTPÜbertragungskanal schließt. SMTP-Befehle und Definitionen Dieses Thema enthält Referenzmaterial zu den folgenden Themen: SMTP-Befehle (Simple Mail Transfer Protocol) Interne SMTP-Transportmechanismen SMTP-Ereignissenken Anschlüsse, die von Microsoft® Exchange häufig verwendet werden SMTP-Befehle In der folgenden Tabelle sind die SMTP-Befehle aufgeführt, die vom Microsoft Windows®SMTP-Dienst bereitgestellt werden (SMTPSVC). SMTP-Befehle SMTP-Befehl Funktion des Befehls HELO Wird von einem Client gesendet, um sich selbst zu identifizieren, in der Regel mit einem Domänennamen. 389 SMTP-Befehl Funktion des Befehls EHLO Ermöglicht dem Server eine Identifizierung seiner Unterstützung für ESMTP-Befehle (Extended Simple Mail Transfer Protocol). MAIL FROM Identifiziert den Absender der Nachricht; wird im Formular MAIL FROM: verwendet. RCPT TO Identifiziert die Empfänger der Nachricht; wird im Formular RCPT TO: verwendet. TURN Ermöglicht, dass die Rollen von Client und Server getauscht werden und E-MailNachrichten in die umgekehrte Richtung gesendet werden können, ohne dass eine neue Verbindung hergestellt werden muss. ATRN Der ATRN-Befehl (Authenticated TURN) nimmt optional eine oder mehrere Domänen als Parameter. Der ATRN-Befehl muss abgelehnt werden, wenn die Sitzung nicht authentifiziert wurde. SIZE Bietet einen Mechanismus, nach dem der SMTP-Server die maximal unterstützte Größe anzeigen kann. Kompatible Server müssen Größenerweiterungen bieten, um die maximale Größe der Nachricht anzuzeigen, die akzeptiert werden kann. Clients sollten keine Nachrichten senden, die die vom Server angezeigte Größe überschreiten. ETRN Eine Erweiterung von SMTP. ETRN wird von einem SMTP-Server gesendet, um einen anderen Server dazu aufzufordern, alle vorhandenen E-Mail-Nachrichten zu senden. PIPELINING Bietet die Option, eine Kette von Befehlen zu senden, ohne auf eine Antwort nach jedem Befehl warten zu müssen. 390 SMTP-Befehl Funktion des Befehls CHUNKING Ein ESMTP-Befehl, der den DATA-Befehl ersetzt. Damit der SMTP-Host nicht ständig nach dem Ende der Daten suchen muss, sendet dieser Befehl einen BDAT-Befehl mit einem Argument, das die Gesamtzahl an Bytes in einer Nachricht enthält. Der empfangende Server zählt die Bytes in der Nachricht und geht bei Erreichen der vom BDAT-Befehl gesendeten Nachrichtengröße davon aus, dass alle Nachrichtendaten empfangen wurden. DATA Wird von einem Client gesendet, um die Übertragung des Nachrichteninhalts zu initiieren. DSN Ein ESMTP-Befehl, mit dem Benachrichtigungen über den Zustellstatus ermöglicht werden. RSET Hebt die gesamte Nachrichtentransaktion auf und setzt den Puffer zurück. VRFY Stellt sicher, dass ein Postfach für die Nachrichtenübermittlung zur Verfügung steht; zum Beispiel stellt vrfy ted sicher, dass ein Postfach für Ted auf dem lokalen Server vorhanden ist. Dieser Befehl ist in ExchangeImplementierungen als Standard deaktiviert. HELP Gibt eine Liste mit Befehlen zurück, die durch den SMTP-Dienst unterstützt werden. QUIT Beendet eine Sitzung. In der folgenden Tabelle sind die erweiterten SMTP-Befehle aufgeführt, die von Exchange für den SMTP-Dienst bereitgestellt werden. Erweiterte SMTP-Befehle Erweiterter SMTP-Befehl Funktion des Befehls X-EXPS GSSAPI Eine von Microsoft Exchange Server 2003und Exchange 2000 Server-Servern für die Authentifizierung verwendete Methode. 391 Erweiterter SMTP-Befehl Funktion des Befehls X-EXPS=LOGIN Eine von Exchange 2002- und Exchange 2003-Servern für die Authentifizierung verwendete Methode. X-EXCH50 Ermöglicht das Übermitteln von Nachrichteneigenschaften während der Kommunikation zwischen Servern. X-LINK2STATE Fügt Unterstützung für Verbindungsstatusrouting in Exchange hinzu. Ereignissenken Mit Ereignissenken können Sie das Verhalten des Microsoft Windows 2000 Server- und Windows Server™ 2003-SMTP-Diensts erweitern und ändern. Für eine ordnungsgemäße Ausführung von Exchange 2003 ist der Windows 2000- oder Windows Server 2003-SMTPDienst erforderlich, da ein Großteil der Übertragungsfunktionalität in Exchange 2003 mit dieser Architektur ausgeführt wird. Deshalb müssen Sie nach der Neuinstallation von IIS (Internetinformationsdienste) oder des Windows 2000- oder Windows Server 2003-SMTPDiensts auch Exchange neu installieren. Ein SMTP-Dienstereignis bezeichnet einige Aktivitäten innerhalb des SMTP-Diensts, zum Beispiel die Übertragung oder den Empfang eines SMTP-Befehls oder der Übermittlung einer Nachricht in die Transportkomponente des SMTP-Diensts. Wenn ein bestimmtes Ereignis auftritt, verwendet der SMTP-Dienst einen Ereignisverteiler, um registrierte Ereignissenken des Ereignisses zu benachrichtigen. Beim Benachrichtigen von Ereignissenken gibt der SMTP-Dienst Informationen an die Senke in Form von COM-Objektreferenzen (Component Object Model) weiter. Es gibt zwei allgemeine Kategorien von SMTP-Dienstereignissen: Protokollereignisse Protokollereignisse treten auf, wenn SMTP-Befehle über das Netzwerk empfangen oder übertragen werden. Diese Ereignisse können in den folgenden Fällen auftreten: Ein Client-SMTP-Dienst oder ein Mailbenutzeragent verwendet SMTP für die Übertragung von Nachrichten bei der Zustellung zum lokalen Dienst. Der SMTP-Dienst leitet Nachrichten an andere SMTP-Dienste weiter. Transportereignisse Transportereignisse treten auf, wenn der SMTP-Dienst eine Nachricht empfängt, und diese Nachricht über die SMTP-Kernübertragung weitergegeben wird. Während der Weitergabe durch die Übertragung wird die Nachricht kategorisiert (überprüft und in 392 Kategorien eingeordnet) und dann entweder an einen lokalen Speicherort übermittelt oder, wenn kein lokaler Speicherort vorhanden ist, an einen anderen Zielort weitergeleitet. Auf das Standardprotokoll und die Standard-Transportereignisse für Windows 2000 und Windows Server 2003 kann nur zugegriffen werden, indem COM-Objekte (Component Object Model) in Microsoft Visual C++® geschrieben werden. Diese Ereignisse sind schnell, erfordern keine zusätzliche Verarbeitung und bieten Zugriff auf die Nachrichteneigenschaften der untersten Ebene. Diese Ereignisse sind jedoch schwieriger zu schreiben. Bei kleineren Aufträgen, die keine anspruchsvolle Leistung erfordern, kann das CDO_OnArrival-Ereignis verwendet werden, das mithilfe von Microsoft Visual Basic® Scripting Edition (VBScript) geschrieben werden kann. Weitere Informationen über das Schreiben einer dieser Ereignissenken erhalten Sie, indem Sie das Platform SDK downloaden, oder im technischen Artikel Microsoft Windows 2000 SMTP Service Events des MSDN®-Entwicklerprogramms. Anschlüsse, die von Exchange häufig verwendet werden In der folgenden Tabelle sind die häufig von Exchange verwendeten Anschlüsse aufgeführt. Weitere Informationen zu den Anschlüssen, die intern oder extern verfügbar sein müssen, finden Sie unter Using Microsoft Exchange 2000 Front-End Servers Anschlüsse, die von Exchange verwendet werden Protokoll Anschluss Beschreibung SMTP TCP: 25 Der SMTP-Dienst verwendet TCP-Anschluss 25. DNS TCP/UDP: 53 DNS überwacht auf Anschluss 53. Domänencontroller verwenden diesen Anschluss. LSA TCP: 691 Das Microsoft ExchangeRoutingmodul (RESvc) überwacht auf diesem Anschluss auf VerbindungsstatusRoutinginformationen. 393 Protokoll Anschluss Beschreibung LDAP TCP/UDP: 389 LDAP (Lightweight Directory Access Protocol), das vom Microsoft Active Directory®Verzeichnisdienst, Active Directory Connector und dem Microsoft Exchange Server 5.5Verzeichnis verwendet wird, nutzen diesen Anschluss. LDAP/SSL TCP/UDP: 636 LDAP über SSL (Secure Sockets Layer) nutzt diesen Anschluss. LDAP TCP/UDP: 379 SRS (Site Replication Service) verwendet diesen Anschluss. LDAP TCP/UDP: 390 Dieser Anschluss sollte alternativ für die Konfiguration des Exchange Server 5.5 LDAP-Protokolls verwendet werden, wenn Exchange Server 5.5 auf einem Active DirectoryDomänencontroller ausgeführt wird. LDAP TCP: 3268 Globaler Katalog. Der globale Katalog für Windows 2000 und Windows Server 2003 Active Directory (eine Domänencontroller-„Rolle“) überwacht auf TCPAnschluss 3268. LDAP/SSLPort TCP: 3269 Globaler Katalog über SSL. Anwendungen, die eine Verbindung zum TCPAnschluss 3269 eines globalen Katalogservers herstellen, können SSLverschlüsselte Daten übertragen und empfangen. 394 Protokoll Anschluss Beschreibung IMAP4 TCP: 143 IMAP (Internet Message Access Protocol) nutzt diesen Anschluss. IMAP4/SSL TCP: 993 IMAP4 über SSL nutzt diesen Anschluss. POP3 TCP: 110 POP3 (Post Office Protocol, Version3) verwendet diesen Anschluss. POP3/SSL TCP: 995 POP3 über SSL nutzt diesen Anschluss. NNTP TCP: 119 NNTP (Network News Transfer Protocol) nutzt diesen Anschluss. NNTP/SSL TCP: 563 NNTP über SSL nutzt diesen Anschluss. HTTP TCP: 80 HTTP verwendet diesen Anschluss. HTTP/SSL TCP: 443 HTTP über SSL nutzt diesen Anschluss. Copyright Die in diesem Dokument enthaltenen Informationen entsprechen der zum Zeitpunkt der Veröffentlichung aktuellen Ansicht der Microsoft Corporation bezüglich der behandelten Themen. Da Microsoft auf wechselnde Marktbedingungen reagieren muss, sollte dies nicht als Verpflichtung seitens Microsoft betrachtet werden. Ferner kann Microsoft keine Gewährleistung für die Richtigkeit der dargestellten Informationen nach dem Veröffentlichungsdatum übernehmen. Dieses White Paper dient nur zu Informationszwecken. MICROSOFT ÜBERNIMMT BEZÜGLICH DER INFORMATIONEN IN DIESEM DOKUMENT KEINE GEWÄHRLEISTUNGEN, SEI SIE AUSDRÜCKLICH, KONKLUDENT ODER GESETZLICH GEREGELT. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Ohne die Urheberrechtsgesetze einzuschränken darf ohne ausdrückliche schriftliche 395 Genehmigung der Microsoft Corporation kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch, mechanisch, durch Fotokopie oder Aufzeichnen, dies geschieht. Es ist möglich, dass Microsoft Rechte an Patenten bzw.angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Die Bereitstellung dieses Dokuments erteilt keinerlei Lizenzrechte an diesen Patenten, Marken, Urheberrechten oder anderem geistigen Eigentum, ausgenommen, dies wurde explizit durch einen schriftlich festgehaltenen Lizenzvertrag mit der Microsoft Corporation vereinbart. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen sind frei erfunden, soweit dies nicht anders angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen ist rein zufällig und nicht beabsichtigt. © 2006 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, MS-DOS, Windows, Windows Server, Windows Vista, Active Directory, ActiveSync, ActiveX, Entourage, Excel, FrontPage, Hotmail, JScript, Microsoft Press, MSDN, MSN, Outlook, SharePoint, Visual Basic, Visual C++, Visual Studio, Win32, Windows Mobile, Windows NT und Windows Server System sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.. Alle anderen geschützten Marken gehören dem jeweiligen Eigentümer.