Advanced Administration
Exchange Server 2016/2019
High Availability – Active Monitoring & Maintenance Mode – ESAE und Exchange Split Permissions
Zielgruppe:
Das Seminar richtet sich an Exchange Server Administratoren.
Enterprise AD Administratoren & Sicherheitsbeauftragter, die eine ESAE konforme Umgebung aufbauen möchten, sollten die Exchange Permissions Modelle kennenlernen.
Voraussetzungen:
Erfahrung mit Exchange und Active Directory wird vorausgesetzt.
Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.
Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2–4: 08:30–17:00 Uhr / Tag 5: 08:30–13:00 Uhr
Advanced Exchange Server Intensivkurs im Detail
Dieser anspruchsvolle neu aufgelegte Intensivkurs ist für fortgeschrittene Exchange Administratoren konzipiert, die eine hochverfügbare Exchange Server 2016/2019 HA (High Availability) in einem Datacenter oder verteilt auf mehreren Datacentern planen, aufbauen und administrieren wollen. Das seit Exchange 2013 eingeführte Active Monitoring sorgt dafür, dass Exchange 2016/2019 durch „Selbstheilung“ sehr stabill läuft. Das relativ komplexe Active Monitoring wird im Kurs systematisch behandelt.
Der Aufbau der Exchange Server und DAG wird im Kurs weitgehend nach der Exchange 2016/2019 Preferred Architecture praktiziert.
Meta Cache Database (MCDB) und BigFunnel sind zwei große neue Features von Exchange 2019, die im Kurs praktiziert werden.
Durch die bekannten Sicherheitslöcher in AD (Golden Tickets, Skeleton Key etc.) wird bei den Firmen eine neue Sicherheitsinfrastruktur nach dem ESAE Modell (Enhanced Security Administrative Environment) mit Trennung der Rechner und Administration nach Tier 0, Tier 1, Tier 2 verlangt. Exchange ist eine Applikation, die zu Tier 1 gehören und sehr eng an AD hängt. Exchange arbeitet standardmäßig mit dem RBAC Shared Model. Das ist absolut nicht ESAE konform, da die Verwaltung der Benutzerobjekte allein der Tier 0 AD Administration gehört. Im Kurs zeigen wir wie das Standard RBAC Shared Permissions auf das sichere AD Split Permissions Modell umgestellt werden kann.
Exchange 2016/2019 High Availability:
Exchange 2016/2019 (Build 15.1, 15.2) ist eigentlich ein Upgrade von Exchange 2013 (15.0), mit einem Unterschied, dass es keine separate CAS Rolle bei Exchange 2016/2019 mehr gibt. Mit Exchange 2016 hat Microsoft die Cloud-Intensivierung voran getrieben. Auch MAPI over HTTPS ist jetzt ein fester Bestandteil von Exchange 2019. Jegliche Arten von Clients greifen auf die Mailbox Server (MBS) nur noch über HTTPS zu. Es ist zu erwarten, dass die noch On-Premise Mailbox Server eines Tages durch Exchange Online in der Azure Cloud ersetzt werden. Outlook on The Web (OoW) bietet noch mehr Funktionalität als sein Vorgänger OWA.
Wie bei Exchange 2010 HA können bis zu 16 Exchange 2016/2019 Server zu einem 2016/2019 Failover Cluster, sog. DAG (Database Availability Group) zusammen geschlossen werden. Jedes DAG-Mitglied (Enterprise Edition) kann bis zu 100 Datenbanken besitzen, wobei jede DB bis zu 16 Kopien haben kann. Die Failover-Einheit ist die Datenbank, d.h. bei Fehler wird automatisch die „gesundeste“ DB-Kopie gemountet. Die AutoMount-Strategie von Exchange 2016/2019 nutzt dabei das Active Monitoring um auch den gesundesten Mailbox Server auszuwählen.
Mit Exchange 2016/2019 wird die Anzahl der Serverrollen auf einem MBS (Mailboxserver) reduziert. Exchange Edge existiert nach wie vor für die DMZ. Es gibt keinen Hub Transport Server (HTS) und ab 2016 auch keinen CAS mehr. Eine minimale DAG kann somit aus zwei Exchange 2016/2019 Servern plus File Share Witness bestehen. Im Kurs baut jeder Teilnehmer zunächst für sich eine 2-Node DAG mit File Share Witness auf. Später wird die DAG auf mehrere Server und Datenbanken erweitert. Eine DAG ist zugleich ein „multimaster“ Failover Cluster. Die Clusterdatenbank wird mit Quorum Replica Set Algorithm (Paxos Algorithmus) synchronisiert. Mit Exchange 2010 SP1 wurde die Block Mode (CRB) eingeführt, die in der Lage ist, durch MemoryCopy sogar offene Logs in den LogBuffer über das Netzwerk zu kopieren. Durch CRB ist es endlich möglich, dass bei einem sog. „lossy Failover“ nahezu keine Daten mehr fehlen.
Die neue Mailbox Search Technologie von Exchange 2019 wird BigFunnel genannt. Anders als Exchange 2016 arbeitet BigFunnel, eine Exchange Online Technologie, mit einem neuen Search Stack, welcher sich in der Mailbox Database befindet. Zusätzlich werden die Metadaten und die Search Daten durch Meta Cache Database (MCDB) aus der Mailbox Datenbank auf schnelle SSDs ausgelagert. Dabei werden die Technologien MCDB und BigFunnel kombiniert, sodass die Reaktionszeit der Suche verringert wird.
Jeder Exchange 2016/2019 Server wird von seinem Active Manager Client (früher eine 2013 CAS Komponente) informiert, welche Datenbank für das jeweilige Postfach im Moment aktiv (gemountet) ist. Dabei kommuniziert der Active Manager Client mit dem Active Manager Sever, der auf einem Mailbox Server läuft. Man unterscheidet wiederum zwischen PAM (Primary Active Manager) und SAM (Standby Active Manager), wobei der PAM die Entscheidung eines DB-Failovers trifft und auch die Clusterdatenbank schreibt.
Im Modul Continuous Replication werden Log Shipping sowie Seeding, Reseeding, Incremental Resync, Page Patching und die beteiligten Komponenten (MSExchangeRepl, MSExchangeADTopology, etc.) behandelt. Es werden *Over (SwitchOver von Datenbank sowie FailOver von Datenbank und Server) praktiziert. Auch sog. „lossy“ Failover wird simuliert, um das Zusammenspiel von DAG mit Safety Net (Transport Dumpster) und die Wirkung von Continuous Replication in Block Mode (CRB) zu untersuchen.
Konsequent wurde die Transport High Availability mit Exchange 2013 ausgebaut, um jede Mail während des Transits redundant zu halten. Die Transport Dumpster Technik (seit Exchange 2007) wurde mit der Shadow Redundancy (seit Exchange 2010) zu Safety Net zusammengefasst und weiter entwickelt. Safety Net sorgt dafür, dass eingehende (Shadow Redundancy) und ausgehende Mail (Transport Dumpster) doppelt gehalten werden. Dabei dient ein Mailbox Server als Primary und ein zweiter Mailbox Server in der Transport High Availability Boundary (DAG oder AD Site) als Shadow Safety Net Server. Im Kurs zeigen wir diese Technik und nutzen ESE-Tool, um die Transport Database mail.que zu analysieren. Ab Exchange 2016 werden diese Techniken nochmal optimiert.
Noch wichtiger für das Troubleshooting ist, das in Exchange 2016/2019 integrierte Active Monitoring (Managed Availability) zu verstehen und anzuwenden. Mit Active Monitoring ist quasi jede Exchange Komponente z.B. FrontendTransport, HubTransport, Store, AD, ECP, OWA oder Outlook etc. mit ihrem sog. Healthset für ihre Gesundheit selbst verantwortlich. Ein Healthset besteht aus Probe, Monitor und Responder. Eine Probe entnimmt, wie der Name bereits verrät, verschiedene Testproben in regelmäßigen Abständen von einer Exchange Komponente und übergibt diese dem zuständigen Monitor, der anhand eines Regelwerks (Policy, Schwellenwert) den Gesundheitszustand dieser Komponente beurteilt. Einem Monitor ist ein Responder nachgeschaltet, der entweder versucht die defekte Komponente selbst zu reparieren (z.b. restart Service) oder die entsprechenden Events in den jeweiligen Crimson Channel Log zu schreiben. Im Kurs lernen wir mit PowerShell eine Fehlerquelle systematisch zu lokalisieren.
Managed Availability bringt neben Active Monitoring den Maintenance Mode, um Exchange 2016/2019 Server sauber in Wartungsmodus zu setzen, ohne dass ein Exchange Dienst gestoppt wird. Besonders in einer DAG ist es wichtig, dass ein DAG-Member alle seine Tätigkeiten und Warteschlangen einem anderen DAG-Member abgibt, bevor er gewartet wird. Mit Get-ServerComponentStates kann der Status (State) von allen Exchange-Komponenten z.B. Hub Transport oder OWA etc. angezeigt und mit Set-ServerComponentStates auch Inactiv gesetzt werden.
Exchange Split Permissions:
Um Active Directory vor „Golden Tickets“ und dergleichen Angriffe schützen zu können, muss auch eine Exchange Organisation künftig ESAE konform arbeiten!
Exchange Server und Exchange Administratoren gehören zu Tier 1, während Domain Controller und AD Admins sowie PKI Zertifizierungsstellen zu Tier 0 gehören. T1 Administratoren dürfen nie auf T0 Server bewegen und auch T0 Konten gefährden.
D.h. ein Exchange T1 Organisationsadmin bzw. T1 Mailbox Administrator darf nicht selbst infolge des RBAC Shared Permissions Models (Default) Benutzerobjekte in AD anlegen oder löschen. Dies ist die Aufgabe eines T0 (Tier 0) Administrators von Active Directory. Ein Exchange Administrator, der aber beide Funktionen bedienen soll. Benutzerobjekt und Postfach anlegen, muss auch zwei Konten besitzen: T0-ADAdmin und T1-ExAdmin.
Um diese Trennung zu erreichen, kann man das Standard „RBAC Shared Permissions“ Model auf RBAC Split Permissions oder noch strenger auf AD Split Permissions Model umstellen. Für eine Exchange Organisation im selben Account Forest ist das „AD Split Permissions“ Model geeignet.
