Erstellen eines Active Directory-Standorts für Exchange Server
Aufgrund der starken Messagingauslastung innerhalb von Microsoft sind äußerst leistungsfähige Active Directory-Server mit hoher Verfügbarkeit erforderlich, damit die Service Level Agreements (SLAs – Vereinbarungen zum Servicelevel) für Postfachserver, Server für öffentliche Ordner, SMTP-Server (Simple Mail Transport Protocol) und Routinggruppen-Bridgeheadserver sowie für Exchange-Front-End-Server erfüllt werden können. Microsoft IT erläutert die Schritte zum Erstellen eines dedizierten Active Directory-Standorts für Rechenzentren von Großunternehmen, in denen Exchange-Daten gespeichert werden.
Auf dieser Seite
 | Einführung |
| Hintergrund |
| Erstellen eines Active Directory-Standorts für Exchange |
| Zusammenfassung |
| Weitere Informationen |
Einführung
Microsoft verfügt über mehr als 100.000 Postfächer und über 85.000 Verteilergruppen. Bei Microsoft werden intern mehr E-Mail-Nachrichten gesendet und mehr eingehende Internet-E-Mail-Nachrichten empfangen als in den meisten anderen Unternehmen dieser Größe.
Das Ausführen von Microsoft™ Exchange Server 2003 oder Exchange 2000 Server in größeren Umgebungen kann mit einer sehr hohen Häufigkeit von Abfragen an den Active Directory™-Verzeichnisdienst verbunden sein. Exchange Server verwendet die zugehörige Verzeichniszugriffskomponente für die Kommunikation mit Active Directory-Domänencontrollern und globalen Katalogservern, um Aufgaben wie E-Mail-Adressbuch-Suchvorgänge, Verteilergruppenerweiterungen, Microsoft Outlook™-Clientproxy- und Referenzdienste auszuführen. Aufgrund dieser hohen Auslastung der Domänencontroller hat Microsoft IT die Leistung von Exchange bei der Kommunikation mit Active Directory durch Erstellen eines neuen Active Directory-Standorts sowie durch Isolieren der Domänencontroller und globalen Katalogserver ausschließlich für Exchange optimiert.
In diesem Dokument soll ein besseres Verständnis der umgebungsbedingten Einflussfaktoren vermittelt werden, die sich auf die Microsoft IT Active Directory-Serverleistung und auf die Leistung von Exchange auswirken. Darüber hinaus wird eine Entwurfslösung für diese Einflussfaktoren bereitgestellt.
Hinweis: Aus Sicherheitsgründen stellen die in diesem Dokument verwendeten Beispielnamen für Gesamtstrukturen, Domänen, interne Ressourcen, Organisationen sowie intern entwickelte Anwendungen und Dateien keine bei Microsoft tatsächlich verwendeten Namen dar und dienen nur der Veranschaulichung. Außerdem wird in diesem Dokument beschrieben, wie die IT-Abteilung bei Microsoft das Rechenzentrum des Unternehmens betreibt. Die hierin eingeschlossenen Verfahren und Prozesse sind nicht als Anleitung für den Betrieb eines allgemeinen Rechenzentrums gedacht und werden vom Microsoft-Kundendienst möglicherweise nicht unterstützt.
Hintergrund
Active Directory-Standorte stellen in der Regel die physische Struktur eines Unternehmensnetzwerks dar. Standorte sind über Standortverknüpfungen miteinander verbundene Netzwerkgruppen. Sie definieren die Replikationstopologie eines Unternehmens. Subnetze sind Standorten im CIDR-Format (Classless Interdomain Routing) zugeordnet. Mithilfe von Subnetzen können Administratoren Computergruppen und andere Netzwerkgeräte einem bestimmten Standort zuordnen. Mit Standorten kann auch die Authentifizierung von Benutzern ermittelt werden.
WORKSTATION1 ist beispielsweise ein Client unter Microsoft Windows™ XP Professional, der seit kurzem Mitglied der Microsoft-Unternehmensdomäne nwtraders.local ist:
1. | Wenn sich der Benutzer von WORKSTATION1 zum ersten Mal an der Domäne anmeldet, sendet WORKSTATION1 eine Abfrage an den in den zugehörigen TCP/IP-Konfigurationseinstellungen (Transmission Control Protocol/Internet Protocol) angegebenen DNS-Server (Domain Name System), um den Eintrag _ldap._tcp._dc._msdcs.nwtraders.local in Active Directory abzufragen. |
2. | Der DNS-Server gibt eine nach Priorität und Gewichtung sortierte Liste der Domänencontroller dieser Domäne zurück. Dies wird weiter unten in diesem Dokument erörtert. |
3. | WORKSTATION1 wählt einen Domänencontroller für die Authentifizierung aus. |
4. | WORKSTATION1 sendet eine LDAP-Abfrage (Lightweight Directory Access Protocol), um eine Verbindung mit diesem Domänencontroller herzustellen. Dieser Domänencontroller gibt eigene Informationen und unter Verwendung der Quelladresse aus der LDAP-Abfrage Informationen zum Standort, dem WORKSTATION1 angehört, an WORKSTATION1 zurück. |
5. | WORKSTATION1 führt eine standortspezifische DNS-Suche nach einem Domänencontroller aus. Die nachfolgenden Vorgänge werden mithilfe dieses Domänencontrollers ausgeführt. |
Dieser Prozess findet auch statt, wenn die Standortsuche von einem Exchange-Mitgliedsserver ausgeführt wird. Weitere Informationen zur Authentifizierung von Clients finden Sie in den folgenden Microsoft Knowledge Base-Artikeln: „ Auffinden von Domänencontrollern in Windows XP“ unter http://support.microsoft.com/kb/314861 und „ Finden von Domänencontrollern in Windows 2000/XP“ unter http://support.microsoft.com/kb/247811 .
Erstellen eines Active Directory-Standorts für Exchange
Zum Erstellen eines Active Directory-Standorts für Exchange müssen Sie drei Schritte ausführen:
1. | Erstellen Sie den Active Directory-Standort. |
2. | Erstellen Sie ein neues Subnetz. |
3. | Isolieren Sie den Authentifizierungsdatenverkehr zwischen Clients und Exchange-orientierten Domänencontrollern. |
Microsoft IT erstellt Standorte mithilfe des MMC-Snap-Ins Active Directory-Standorte und -Dienste. Damit Sie Standorte von einem Computer, der kein Domänencontroller ist, anzeigen können, müssen Sie mithilfe der folgenden Schritte entweder Windows Administration Pack (Adminpak.msi) im Ordner %SystemRoot%\System32 installieren oder manuell in der MMC (Microsoft Management Console) öffnen:
1. | Klicken Sie auf Start und dann auf Ausführen. |
2. | Geben Sie mmc.exe ein, und drücken Sie die EINGABETASTE. |
3. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. |
4. | Klicken Sie auf Hinzufügen. |
5. | Wählen Sie das Modul Active Directory-Standorte und -Dienste aus, und klicken Sie auf Hinzufügen. |
6. | Klicken Sie auf Schließen. |
7. | Klicken Sie zum Fertigstellen auf OK. |
Erstellen des Active Directory-Standorts
Folgen Sie den Anweisungen zum Erstellen eines neuen Active Directory-Standorts:
1. | Öffnen Sie in der MMC das Modul Active Directory-Standorte und -Dienste. | ||||
2. | Klicken Sie mit der rechten Maustaste auf den Container Standorte, und wählen Sie die Option Neuer Standort aus. | ||||
3. | Geben Sie einen Standortnamen ein, der dem Verwendungszweck dieses neuen Standorts entspricht. (In diesem Beispiel wird Datacenter-Exchange verwendet.) | ||||
4. | Wählen Sie eine für die Umgebung geeignete Standortverknüpfung aus. (In diesem Beispiel wird DEFAULTIPSITELINK verwendet. Die tatsächlich in den einzelnen Unternehmen verwendete Verknüpfung richtet sich jedoch nach der jeweiligen Topologie.)
| ||||
5. | Klicken Sie auf OK. | ||||
6. | Verschieben Sie die Domänencontroller und die globalen Kataloge in den neuen Standort:
|
Erstellen eines neuen Subnetzes
Folgen Sie den Anweisungen zum Erstellen eines neuen Subnetzes:
1. | Klicken Sie im geöffneten MMC-Modul Active Directory-Standorte und -Dienste mit der rechten Maustaste auf den Container Subnetze, und wählen Sie die Option Neues Subnetz aus. | ||||
2. | Folgen Sie diesen Anweisungen zum Erstellen eines einem Exchange-Server zugewiesenen Subnetzes (siehe Abbildung 1):
Auf diese Weise wird ein Subnetz nur diesem Exchange-Server mit der Bezeichnung 10.0.0.10/32, der CIDR-Notation für die IP-Adresse und eine 32-Bit-Subnetzmaske, zugewiesen.  Abbildung 1: Erstellen eines neuen Subnetzes für einen Exchange-Server Hinweise: Wenn Sie über mehrere Server mit nicht zusammenhängenden IP-Adressbereichen verfügen, benötigen Sie ebenfalls ein wie oben definiertes Subnetz. | ||||
3. | Wählen Sie unter Wählen Sie ein Standortobjekt für dieses Subnetz den zuvor neu erstellten Standort Datacenter-Exchange aus. | ||||
4. | Warten Sie mindestens 30 Minuten (bzw. bis sich das beim Erstellen der Standortverknüpfung mit 15 Minuten konfigurierte Replikationsintervall zweimal wiederholt hat), damit der Replikationsvorgang für den neuen Standort und das Subnetz vollständig abgeschlossen ist. | ||||
5. | Führen Sie an einer Eingabeaufforderung den folgenden Befehl aus, um zu überprüfen, ob die Mitgliedschaft aktualisiert wurde: nltest /dsgetsite Dieser Befehl gibt die Standortmitgliedschaft des Servers zurück. Es wird in etwa folgende Ausgabe angezeigt: Datacenter-Exchange The command completed successfully. | ||||
6. | Wenn die Standortmitgliedschaft nicht aktualisiert wurde, können Sie das MMC-Snap-In Dienste verwenden, um den Netzwerkanmeldungsdienst auf dem Exchange-Server zu beenden und neu zu starten, damit die zugehörige Standortmitgliedschaft aktualisiert wird. | ||||
7. | Wenn keine Aktualisierung der Standortmitgliedschaft erfolgt ist, werden die entsprechenden Informationen vermutlich aus dem Cache gelesen. Mithilfe des folgenden Befehls geben Sie nicht zwischengespeicherte Informationen zurück: nltest /dsgetdc: < NetBIOS-Domänenname> /force Die vom Befehl zurückgegebenen Informationen sind mit der folgenden Ausgabe vergleichbar, wobei „Intranet“ als NetBIOS-Beispieldomänenname verwendet wird. C:\ >nltest /dsgetdc:intranet /force DC: \\DC1 Address: \\10.1.1.50 Dom Guid: bfa3fad5-fa44-4268-b416-0626c013f9ea Dom Name: INTRANET Forest Name: nwtraders.local Dc Site Name: Datacenter-Exchange Our Site Name: Datacenter-Exchange Flags: GC DS LDAP KDC WRITABLE DNS_FOREST CLOSE_SITE The command completed successfully. |
Isolieren des Authentifizierungsdatenverkehrs zwischen Clients und Exchange-orientierten Domänencontrollern
Beim Authentifizieren von Clients gibt der DNS-Server eine Liste der Server zurück. In DNS sind SRV-Einträgen drei Werte zugeordnet.
Im DNS-Manager wird beispielsweise ein mit der folgenden Ausgabe vergleichbarer SRV-Eintrag angezeigt:
_ldap._tcp._dc._msdcs.nwtraders.local [0] [100] [389] dc1.nwtraders.local
Die numerischen Werte des mittleren Teils dieser Anzeige sind wie folgt definiert:
| • | [0] stellt die Priorität des Eintrags dar. Ein Client muss versuchen, eine Verbindung mit dem Zielhost mit der niedrigstmöglichen Priorität herzustellen. Die Reihenfolge von Zielhosts mit derselben Priorität ist durch die Gewichtung des Eintrags definiert. Der Bereich liegt zwischen 0 und 65535. |
| • | [100] stellt die Gewichtung des Eintrags dar. Über die Gewichtung wird festgelegt, wie der Lastenausgleich für Einträge mit derselben Priorität erfolgen soll. Je höher dieser Wert, desto größer ist die Wahrscheinlichkeit, dass der Client den in diesem SRV-Eintrag identifizierten Domänencontroller für die Ausführung von Abfragen auswählt. In der Regel richtet sich die jeweilige Gewichtung nacg der Hardwareplattform des Domänencontrollers. Sind zwei Domänencontroller vorhanden, von denen einer eine höhere Verarbeitungsgeschwindigkeit bietet, kann der leistungsstärkere Domänencontroller eine größere Anzahl von Abfrageanforderungen verarbeiten. Daher sollte diesem Domänencontroller auch ein höherer Prozentsatz der Gesamtarbeitsauslastung zugewiesen werden. Hinweis: Der Exchange-Verzeichniszugriff verwendet nur den Gewichtungswert zur Ermittlung des für den Client bevorzugten Servers. Aus diesem Grund können Administratoren die durch Anmeldungen verursachte Active Directory-Auslastung mithilfe des Prioritätswertes und die durch Exchange erzeugte Active Directory-Auslastung mithilfe des Gewichtungswertes steuern. Eine höhere Gewichtung erhöht die Wahrscheinlichkeit, dass der Verzeichniszugriff einen Server auswählt. Der Verzeichniszugriff behandelt eine Gewichtung von 0 wie eine Gewichtung von 1. Wenn der Verzeichniszugriff die Gewichtung nicht lesen kann, verwendet er die Standardgewichtung 100. |
| • | [389] stellt den Netzwerkport dar, auf dem der Diensteintrag Aktivitäten überwacht. |
Diese Werte werden vom Netzwerkanmeldungsdienst auf dem Domänencontroller gesteuert. Standardmäßig ist ein Prioritätswert von 0 und ein Gewichtungswert von 100 festgelegt. Sie können diese Werte in der Registrierung des Domänencontrollers ändern.
In den folgenden Schritten wird detailliert ausgeführt, wie Microsoft IT bestimmte Registrierungsänderungen implementiert hat, um die Serverpriorität zu ändern.
Warnung: Eine fehlerhafte Bearbeitung der Registrierung kann ernsthafte, unerwartete Folgen haben und dazu führen, dass das System nicht mehr gestartet wird und Sie Microsoft Windows neu installieren müssen. Es wird empfohlen, den Unterschlüssel vor der Bearbeitung zu exportieren. Sie können auch vor dem Verwenden des Registrierungs-Editors einen Systemwiederherstellungspunkt festlegen.
1. |
Starten Sie Regedit.exe, und suchen Sie dann nach folgendem Unterschlüssel: | ||||||
2. | Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und geben Sie dann die folgenden Werte für den Registrierungsunterschlüssel ein:
| ||||||
3. | Klicken Sie zum Ändern der Servergewichtung im Menü Bearbeiten auf Wert hinzufügen, und geben Sie dann die folgenden Registrierungswerte ein:
| ||||||
4. | Schließen Sie Regedit.exe. | ||||||
5. | Verwenden Sie das MMC-Snap-In Dienste, um den Netzwerkanmeldungsdienst auf dem Domänencontroller zu beenden und neu zu starten. Hinweis: Priorität und Gewichtung können in der DNS-Verwaltungskonsole geändert werden. Es handelt sich bei den dort vorgenommenen Änderungen jedoch nicht um statische Änderungen. Bei der nächsten Aktualisierung der DNS-Einträge des Netzwerkanmeldungsdienstes (die entweder stündlich oder durch Neustarten des Netzwerkanmeldungsdienstes erfolgt) werden die Standardwerte verwendet, und in DNS werden neue SRV-Einträge erstellt. Dadurch entstehen mehrere SRV-Einträge für denselben Server, und dies kann wiederum zu unerwartetem Verhalten führen. |
In Umgebungen mit Clients unter älteren Betriebssystemen als Windows 2000 oder in denen Clients oder Anwendungen weiterhin WINS (Windows Internet Name Service) verwenden, müssen Änderungen an der WINS-Datenbank vorgenommen werden, um zu verhindern, dass beim Authentifizierungsdatenverkehr Exchange-orientierte Domänencontroller ermittelt werden:
1. | Löschen Sie den von den Domänencontrollern dynamisch erstellten WINS-Eintrag <1C>. | ||||
2. | Erstellen Sie einen neuen und wie folgt konfigurierten WINS-Eintrag <1C> für die Domäne:
|
Nach Ausführung der oben aufgeführten Schritte haben Sie einen neuen Standort an die spezifischen IP-Adressen des Exchange-Servers zugewiesen. Darüber hinaus wurden diesem Standort vom Clientauthentifizierungsdatenverkehr abgeschirmte Domänencontroller und globale Katalogserver zugewiesen.
Zeigen Sie die Eigenschaften des Exchange-Servers und die Registerkarte Verzeichniszugriff an, um zu überprüfen, ob sich Exchange im eigenen Standort befindet. Das Diagnoseprotokoll kann in der MSExchangeDSAccess-Topologie auch auf Maximum erhöht werden. Führen Sie zum Durchführen dieser Änderung die folgenden Schritte aus:
1. | Starten Sie den Exchange-System-Manager. |
2. | Klicken Sie mit der rechten Maustaste, und wählen Sie die Seite Eigenschaften des Servers aus, den Sie in den Exchange-Standort verschoben haben. |
3. | Klicken Sie auf Diagnoseprotokoll. |
4. | Wählen Sie das Objekt MSExchangeDSAccess aus, und erhöhen Sie die Option Topologie auf Maximum. |
Die Verzeichniszugriffskomponente von Exchange führt alle 15 Minuten eine neue Topologiesuche aus und meldet die Ereigniskennung 2080 im Anwendungsprotokoll mit Informationen zu den Domänencontrollern und globalen Katalogservern innerhalb und außerhalb des Standorts. Der Abschnitt mit der Ereigniskennung 2080 wird in etwa wie folgt angezeigt:
Ereignistyp: Information
Ereignisquelle: MSExchangeDSAccess
Ereigniskategorie: Topologie
Ereigniskennung: 2080
Computer: EXCHANGE1
Beschreibung:
Prozess MAD.EXE (PID=1808). DSAccess hat folgende Server mit folgenden Eigenschaften gefunden:
(Servername | Rollen | Erreichbarkeit | Synchronisiert | GK-fähig | PDC | SACL-Recht | Benötigte Daten | Netlogon | Betriebsystemversion)
In Standort:
dc1.nwtraders.local CDG 7 7 1 0 0 1 7 1
dc2.nwtraders.local CDG 7 7 1 0 1 1 7 1
Außerhalb von Standort:
dc3.nwtraders.local CDG 7 7 1 0 1 1 7 1
Weitere Informationen hierzu finden Sie unter http://www.microsoft.com/germany/exchange/.
Weitere Informationen zum obigen Ereignisprotokolleintrag finden Sie im Microsoft Knowledge Base-Artikel „ Ereigniskennung 2080 von MSExchangeDSAccess“ unter http://support.microsoft.com/kb/316300 (maschinelle Übersetzung).
Zusammenfassung
In diesem Dokument wurde erörtert, dass Microsoft IT im Rahmen der Entwurfsmethoden neue Exchange-Standorte in Active Directory erstellt hat, um in Unternehmensrechenzentren stabile Active Directory-Server mit hoher Verfügbarkeit für Exchange bereitzustellen. Microsoft IT fügt Exchange-Server mit /32 Subnetzmasken zu Active Directory-Standorten hinzu. Darüber hinaus verwendet Microsoft IT folgende Prioritäts- und Gewichtungswerte:
LDAPSrvPriority REG_DWORD = 1
LDAPSrvWeight REG_DWORD = <Wert ist von der verwendeten Serverhardwareplattform abhängig>
Anderen Unternehmen wird empfohlen, die Werte gemäß den Unternehmensanforderungen und der Topologie auszuwählen.
Informationen zum Überwachen der Active Directory-Leistung für Exchange finden Sie im Microsoft-Whitepaper Troubleshooting Microsoft Exchange Server 2003 Performance im Kapitel mit dem Titel „Chapter 3: Isolating the Causes of the Degraded Performance“ im Abschnitt „Ruling Out Active Directory-bound Problems“ unter http://www.microsoft.com/technet/prodtechnol/exchange/guides/TrblshtE2k3Perf/d0d14d02-7671-4cf0-9b79-1752de13b414.mspx (nur auf Englisch verfügbar).
Weitere Informationen
Um weitere Informationen zu Microsoft-Produkten oder -Diensten zu erhalten, wenden Sie sich an die entsprechende Microsoft-Kundenbetreuung:Geschäftskundenbetreuung E-Mail: , Telefon: 01805 / 22 95 52 (0,12 EUR pro Min.), Telefax: 01805 / 22 95 54 (0,12 EUR pro Min.) Privatkundenbetreuung E-Mail: , Telefon: 01805 / 25 11 99 (0,12 EUR pro Min.), Telefax: 01805 / 25 11 91 (0,12 EUR pro Min.). Darüber hinaus finden Sie weiterführende Informationen unter folgenden Adressen:
http://www.microsoft.com/germany/
http://www.microsoft.com/technet/itsolutions/msit/default.mspx
Fragen, Kommentare oder Vorschläge zum vorliegenden Dokument oder Anforderungen weiterer Informationen zu Microsoft IT Showcase richten Sie bitte per E-Mail (in Englisch) an: