Suchen

Microsoft Exchange Server – Tipps und Tricks Teil II Einrichten und Konfigurieren der Nachrichtenverfolgung in Exchange 2007

| Autor / Redakteur: Autor: Frank Castro Lieberwirth / Dipl.-Ing. (FH) Andreas Donner

Die Nachrichtenverfolgung zeigt sich im Microsoft Exchange Server 2007 gegenüber früheren Versionen verändert. Eine Nachrichtenverfolgung ist sinnvoll, wenn ein Senden bzw. Empfangen von Systemnachrichten oder regulären E-Mails überprüft werden soll. IP-Insider beschreibt das Aktivieren dieser Funktion, das Konfigurieren einzelner Optionen des Nachrichtenverfolgungsprotokolls sowie die detaillierte Nachrichtenverfolgung über die Verwaltungskonsole.

Firmen zum Thema

„Message-Tracking“ mit Microsoft Exchange Server 2007
„Message-Tracking“ mit Microsoft Exchange Server 2007
( Archiv: Vogel Business Media )

Die Nachrichtenverfolgung in Exchange Server 2003 ist voreingestellt deaktiviert und muss bei Bedarf auf denjenigen Servern aktiviert werden, auf denen diese Funktion durchgeführt werden soll. In Exchange Server 2007 ist die Nachrichtenverfolgung standardmäßig auf denjenigen Servern aktiviert, die als Hub-Transport (bisher Bridgehead-Server genannt), Mailbox oder Edge-Transport eingerichtet sind.

Zum Einrichten der Funktionen in Exchange Server 2007 wird oft die Exchange-Verwaltungsshell verwendet, da sie derzeit wesentlich mehr Konfigurationsmöglichkeiten, als die Exchange-Verwaltungskonsole bietet. Bestes Beispiel hierfür sind die Nachrichtenverfolgungsprotokolle, die nicht über die Exchange-Verwaltungskonsole konfiguriert werden können.

Bildergalerie

Obwohl der Inhalt von E-Mails wegen des Schutzes der Privatsphäre nicht ausgelesen werden darf, kann doch ermittelt werden, wann und ob ein Nachrichtentransfer stattgefunden hat. Auch der Betreff kann abgefragt werden. Dennoch ist aufgrund dieser umfangreichen Kontrollmöglichkeiten beim Gebrauch in Deutschland Vorsicht zu wahren und ggf. eine Genehmigung der Geschäftsführung, des Betriebsrats oder des IT-Sicherheitsbeauftragten im Vorfeld einzuholen.

Szenario

In einer Exchange Organisation mit Exchange Server 2007 verarbeiten Transportserver den Nachrichtenverkehr. Bei mittleren und sehr großen Organisationen mit vielen Servern kann es vorkommen, dass zur Fehlersuche eine Nachrichtenverfolgung eingestellt werden muss. Abbildung 1 zeigt an einem Beispiel mit „nur“ drei Standorten, dass Nachrichten verschiedene Wege nehmen können, wenn mehrere Leitungsverbindungen zur Verfügung stehen und mehrere Transportserver vorhanden sind.

Die Nachrichtenverfolgung ermöglicht die Überprüfung der systeminternen Meldungen und des normalen E-Mail-Verkehrs aus dem Internet. Systeminterne Meldungen können beispielsweise Replikationsmeldungen öffentlicher Ordner sein.

Nachrichtenverfolgungsprotokolle

In den meisten Situationen ist das Nachrichtenverfolgungsprotokoll bereits gestartet, falls es aber doch deaktiviert wurde, kann es mithilfe der Exchange-Verwaltungsshell wieder aktiviert werden. Eine Überprüfung des Transportserverstatus erfolgt mit dem Cmdlet „Get-TransportServer “.

Der Befehl, bzw. das Cmdlet zum Aktivieren bzw. Deaktivieren des Nachrichtenverfolgungsprotokolls lautet (Beispiel siehe Abbildung 2):

  • Set-TransportServer -MessageTrackingLogEnabled <$true | $false>

Der Platzhalter ist der Hostname oder die IP-Adresse des Exchange Servers. Voreingestellt werden die Informationen im Verzeichnis „:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking“ gespeichert. Die Dateien mit der Endung LOG können mit einem beliebigen Log-Viewer oder mit dem Notepad geöffnet werden. Eine Einzelabfrage kann auch über die Exchange 2007 Verwaltungskonsole erfolgen.

Protokolleigenschaften konfigurieren

Beim Konfigurieren von Exchange Server 2007 sind Mail- und Transportserver voneinander zu unterscheiden. Transportserver können über das Cmdlet „Set-TransportServer“ und Mailserver über das Cmdlet „Set-MailboxServer“ eingerichtet werden. Die Optionen für die jeweiligen Server sind identisch gehalten, sodass man sich nur eine Version zu merken braucht. Ist der Server sowohl Transport- als auch Mailboxserver, werden für jede Rolle getrennte Protokolle aufgezeichnet.

Folgende Optionen sind hierbei sinnvoll:

  • Die Veränderung des Speicherorts kann mit der Option „-MessageTrackingLogPath “ durchgeführt werden.
  • Als Größe der Log-Datei sind voreingestellt 10 MB vorgesehen. In Abhängigkeit vom zulässigen Alter und der Maximalgröße wird eine neue Protokolldatei erstellt bzw. gelöscht. Die Dateigröße kann mit der Option „-MessageTrackingLogMaxFileSize ” verändert werden. Als Dateigröße können Werte in B (Byte), KB (Kilobyte), MB (Megabyte), GB (Gigabyte) oder TB (Terabyte) eingegeben werden, wie beispielsweise „20 MB“.
  • Das maximal zulässige Alter der Protokolldatei kann mit der Option „-MessageTrackingLogMaxAge „ eingerichtet werden. Bei der Umlaufprotokollierung werden die ältesten Dateien auch dann gelöscht, wenn das Verzeichnis für Nachrichtenverfolgungsprotokolle seine festgelegte, maximal zulässige Größe von voreingestellt 250 MB erreicht. Die Voreinstellung für die Option beträgt 30 Tage.
  • Aus Gründen des Datenschutzes kann die Betreffzeile aus der Protokollierung herausgenommen werden. Dies geschieht über die Option „-MessageTrackingLogSubjectLoggingEnabled <$true|$false>“

Nachrichtenprotokollierung über die Verwaltungskonsole

Die einfachste Art, die Nachrichten zu verfolgen, ist die über die Exchange Server 2007 Verwaltungskonsole in der Toolbox. Hier kann über Kontrollhaken die gewünschte Abfrage der Protokollierung schnell und fehlerfrei eingestellt werden, wie die Abbildungen 3 und 4 demonstrieren. Aber auch mittels ausführbaren Cmdlets für die Verwaltungsshell kann bei Bedarf in die Abfrage eingegriffen werden.

Das ausführbare Cmdlet heißt „get-messagetrackinglog“. Das Ergebnis der Abfrage sind beispielweise Hinweise, zu welchem Zeitpunkt eine E-Mail geliefert (Ereignis: „Deliver“) und empfangen (Ereignis: „Receive“) wurde. Konnte die Nachricht nicht zugestellt werden, erscheint ein „Badmail“ oder „Fail“. Auch der Name des Sendeconnectors oder Empfangsconnectors am Quell- oder Zielstandort ist verfügbar. Weitere Informationen zur Nachrichtenverfolgung sind online in der Microsoft Exchange Server 2007 Technet Library erhältlich.

Fazit

Die Nachrichtenverfolgung zeigt nicht nur, dass ein Nachrichtentransfer stattgefunden hat, sondern auch wann und wie die Nachricht einem Empfänger übermittelt worden ist. Dies kann sowohl zur Fehlersuche, als auch zu forensischen Beweisnahmen dienen.

Gemäß den IT-Sicherheitsbestimmungen muss der Gebrauch dieser Mittel mit dem IT-Sicherheitsbeauftragten abgesprochen sein, wenn die Organisation beispielsweise nach ISO 27001:2005 (oder nach BSI-Grundschutz) zertifiziert ist. Sind diese Formalien geklärt, ist das Ausführen der Nachrichtenverfolgung in Exchange Server 2007 spielend einfach – entsprechende administrative Privilegien vorausgesetzt.

Artikelfiles und Artikellinks

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 2008769)