Exchange Server 2010/2013 im Verbund mit Domänencontrollern

So spielen Active Directory und Exchange optimal zusammen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Bei größere Domänen mit zahlreichen Servern lohnt es sich, eine gezielte Domänencontroller-Zuordnung zu Exchange zu pflegen.
Bei größere Domänen mit zahlreichen Servern lohnt es sich, eine gezielte Domänencontroller-Zuordnung zu Exchange zu pflegen. ( © fotogestoeber - Fotolia)

Exchange benötigt für zahlreiche Aufgaben und die Anbindung der Benutzer immer eine stabile und schnelle Verbindung zu den Domänencontrollern und globalen Katalogen in Active Directory. Neben der automatischen Verbindung können Administratoren auch eine Liste der Domänencontroller vorgeben, die Exchange verwenden soll. Wir zeigen wie das geht.

Normalerweise müssen Administratoren keine Änderungen an der Verbindung zwischen Domänencontroller und Exchange vornehmen. Sind aber größere Domänen mit zahlreichen Servern im Einsatz, oder betreiben Administratoren bestimmte Domänencontroller, die nicht für Exchange verwendet werden sollen, lässt sich die Liste pflegen.

Tipp: Generell gilt für nahezu alle CMDlets in der Verwaltungsshell von Exchange Server 2010/2013, dass Administratoren den Befehl, den sie gerade eingeben, immer mit einem spezifischen Domänencontroller ausführen. Dazu muss nur die Option DomainController mit dem entsprechenden CMDlet verwendet werden. Dabei spielt es keine Rolle, welche Domänencontroller die Exchange-Server in der Organisation ansonsten verwenden.

Allerdings lässt sich diese Konfiguration auch festschreiben. Das heißt Administratoren können eine Liste von Domänencontroller pflegen, welche die Exchange-Server immer verwenden sollen, oder umgekehrt eine Liste vorgeben, die Exchange nie verwenden soll. Darauf gehen wir nachfolgend etwas genauer ein.

set-exchangeserver: Domänencontroller-Verbindung für Exchange setzen

Die Einstellung der Domänencontroller lässt sich in Exchange Server 2010/2013 über die Exchange-Verwaltungskonsole setzen. Im Kontextmenü der Organisation oder der Serverkonfiguration kann der Domänencontroller geändert werden. Auf der Registerkarte "Systemeinstellungen" in den Eigenschaften von Servern bei "Serverkonfiguration" (siehe Abbildung 1) lassen sich die Einstellungen anzeigen.

Professioneller ist es aber, wenn Administratoren die Exchange-VerwaltungsShell verwenden. Der Befehl dazu sieht folgendermaßen aus:

set-exchangeserver -Identity "Name" -StaticDomainControllers "FQDN des DC" -StaticGlobalCatalogs "FQDN des DC"

Weitere Beispiele sind:

Set-ExchangeServer -Identity <Server> -StaticDomainControllers DC-01.dc.local,DC-02.dc.local

Set-ExchangeServer -Identity <Server> -StaticGlobalCatalogs DC-01.dc.local,DC-02.dc.local

Bei diesem Vorgang wird ein bestimmter Domänencontroller immer verwendet. Allerdings birgt das die Gefahr, dass bei Ausfall des Domänencontrollers auch die Exchange-Organisation nicht mehr funktioniert. Daher ist es besser, wenn Administratoren keine Liste von erwünschten Domänencontrollern pflegen, sondern besser eine Liste der Domänencontroller erstellen, die Exchange nicht verwenden soll. Der Befehl ist fast der gleiche mit dem Unterschied der Option "StaticExcludedDomainControllers".

Get-/Set-ADServerSettings: Sitzungs-Einstellungen setzen und prüfen

Wollen Administratoren nur für die aktuelle Exchange-Verwaltungsshell-Sitzung die Domänencontroller und den Bereich in Active Directory anpassen, lassen sich ebenfalls Einstellungen in der der Exchange-Verwaltungsshell setzen.

Eine umfangreiche Liste der möglichen Domänencontroller-Einstellungen in Verbindung mit Exchange kann mit dem Befehl "Get-ADServerSettings | fl" abgeruen werden (siehe Abbildung 2).

Auf dieser Ebene lassen sich Einstellungen aber natürlich nicht nur anzeigen, sondern auch setzen. Dazu wird das CMDlet "Set-ADServerSettings" verwendet. Das Cmdlet ersetzt übrigens die Sitzungsvariable "AdminSessionADSettings", die noch in Microsoft Exchange Server 2007 verwendet wurde um die Anbindung an Active Directory zu steuern.

Interessant ist vor allem die Option, mit der Administratoren einen bevorzugten Domänencontroller für die Verbindung von Exchange mit Active Directory für die aktuelle Sitzung festlegen können:

Set-ADServerSettings -PreferredServer <Servername>

Bei dem Befehl prüft die Exchange-Verwaltungsshell auch, ob der entsprechende Server verfügbar ist. Wenn sich ein Tippfehler einschleicht, bricht der Befehl mit einem Fehler ab. Die Einstellungen dieses Befehls lassen sich natürlich auch jederzeit wieder anpassen. In Exchange Server 2010 können Administratoren dazu die Exchange-Verwaltungsshell oder die Exchange-Verwaltungskonsole nutzen. In Exchange Server 2013 müssen Administratoren die Exchange-Verwaltungsshell bemühen.

Es besteht aber auch die Möglichkeit, den Benutzerbereich einzuschränken, der in der aktuellen Sitzung verwendet werden soll, zum Beispiel auf eine bestimmte Organisationseinheit:

Set-AdServerSettings -RecipientViewRoot "contoso.int/Einkauf"

Active Directory-Standorte in Exchange steuern

Normalerweise binden sich Exchange-Server automatisch an den Active Directory-Standort. Die Einstellungen dazu lassen sich in der Exchange-Verwaltungsshell anzeigen, aber auch anpassen, wenn sich ein Exchange-Server zum Beispiel mit dem falschen Standort verbindet. Den aktuellen Active Directory-Standort zeigen Administratoren mit "Get-AdSite" an, mit "Set-AdSite" wird er geändert (siehe Abbildung 3). Auf diese Weise können Administratoren dann auch den Standort als Hub-Standort für Exchange konfigurieren, also für das Mail-Routing aktivieren:

Set-AdSite <Standort> -HubSiteEnabled $true

In diesem Bereich spielen natürlich auch die Standortverknüpfungen eine wichtige Rolle. Auch diese lassen sich in der Exchange-Verwaltungsshell abfragen ("Get-AdSiteLink") und anpassen ("Set-AdSiteLink"). Mit "Set-AdSiteLink" lassen sich auch die Nachrichtengrößen und die Kosten der Verbindungen setzen, um das Routing der E-Mails im Unternehmen zu steuern:

Set-AdSiteLink DEFAULT_IP_SITE_LINK -ExchangeCost 25 -MaxMessageSize 10MB

Domänencontroller und Organisationseinheiten abfragen

Um sich in der Exchange-Verwaltungsshell eine Liste von Domänencontrollern anzuzeigen, verwenden Administratoren das CMDlet "Get-DomainController". Dieses zeigt die wichtigsten Informationen zu Domänencontrollern an, die für Exchange eine Rolle spielen (siehe Abbildung 4).

Das Cmdlet "Get-Credential" wird verwendet, um den Benutzernamen und das verschlüsselte Kennwort eines Benutzers abzufragen. Dazu sind jedoch nicht alle Administratoren berechtigt. Die Anmeldeinformationen werden in der Variablen "$UserCredentials" gespeichert:

$UserCredentials = Get-Credential

Die Variable wird anschließend an die Option "Credential" für das CMDlet "Get-DomainController" übergeben. Um eine noch bessere Liste zu erhalten, lassen sich die Daten strukturiert anordnen:

Get-DomainController -DomainName toparis.de -Credential $UserCredentials | Format-Table -AutoSize Name, ADSite

Über diesen Weg lassen sich auch Informationen zu Organisationseinheiten anzeigen:

Get-OrganizationalUnit

Auch hier lassen sich Filter verwenden:

Get-OrganizationalUnit -SearchText "Einkauf" | Format-Table Name, DistinguishedName

In großen Umgebungen spielen zum Beispiel auch Vertrauensstellungen eine wichtige Rolle. Diese lassen sich mit "Get-Trust" ebenfalls in der Exchange-Verwaltungsshell anzeigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42897086 / Tipps & Tricks)