Als eine wesentliche Neuerung für den ursprünglich geplanten Nachfolger von Exchange 2003 (Code- name "Kodiak") hatte Microsoft den Wechsel des Datenspeichers auf den SQL Server angekündigt. Damit wollte das Unternehmen nicht nur die Parallelentwicklung von zwei Datenbanksystemen beenden, sondern die technischen Vorteile des SQL-Systems für Exchange nutzen. Nachdem Microsoft dieses Vorhaben aufgegeben hatte, sollten einige fortgeschrittene Features des SQL Server auf Basis der weiterhin eingesetzten "Jet"-Datenbank realisiert werden.
Wichtige Neuerungen
• Replikationsfunktion für die Datenbank, die das Einrichten von Shared-Nothing-Clustern ermöglicht;
• drei zusätzliche Server-Rollen für Sicherheit, Compliance und Unified Messaging;
• Unterstützung für Fax- und Sprachnachrichten sowie Zugriff auf das Postfach und den Kalender per Telefon;
• umfangreiches Regelsystem zur Steuerung des Mail-Flusses und der Verwaltung der Mail-Ordner;
• für den produktiven Einsatz unterstützt Microsoft nur die 64-Bit-Version, für die 32-Bit-Ausführung gibt es keinen Support.
www.computerwoche.de/
576332: Corporate Identity auch bei E-Mails;
1050576: Microsoft erläutert Exchange-Fahrplan;
572023: Notes erhält Technik von Workplace.
Weitere Links:
Gehostete Exchange-Services: http://www.microsoft.com/exchange/services;
Microsoft Exchange-Blog: http://msexchangeteam.com;
Gartner-Kurzstudie: http://mediaproducts.gartner. com/reprints/microsoft/ article12/article12.html.
Neue Replikationsfunktion
Tatsächlich bringen einige Verbesserungen des Datenspeichers erhebliche Fortschritte für das System. Die neue Replikationsfunktion mit der Bezeichnung "Continuous Replication" erlaubt die Einrichtung von Shared-Nothing-Clustern. Bisher mussten sich mehrere Rechner in einem Exchange-Verbund eine Datenbank teilen ("Shared Disk"), was auf Kosten der Ausfallsicherheit ging. Bei Hardwaredefekten stand das gesamte Messaging-System still und war erst nach Wiederherstellung der Datenbank verfügbar. Diese Operation gilt als notorisch fehleranfällig und schwierig.
Die Möglichkeit der Datenreplikation lässt es zu, dass eine aktuelle Kopie des Speichers angelegt wird, die im Störfall für die Produktivdatenbank einspringen kann. Die Backup-Datenbank lässt sich nicht nur in Clustern einrichten, sondern auch bei Exchange-Installationen auf einem Server. Die Kopie des Speichers liegt dort auf einem zusätzlichen Plattenlaufwerk.
Neben der Continous Replication soll eine bessere Portabilität der Datenbank für höhere Verfügbarkeit sorgen. Bisher musste sie auf dem gleichen Server wiederhergestellt werden oder auf einer identisch konfigurierten Maschine. Zukünftig kann ein Backup auch auf andere Rechner zurückgespielt werden.
Angesichts der verbesserten Jet-Datenbank sieht Jeff Ressler, Microsoft Director for Exchange, auf absehbare Zeit keine Notwendigkeit für eine Umstellung auf den SQL Server. Auch das Standard-Interface, das dieser mit seiner Abfragesprache biete, werde nicht mehr so dringend benötigt. Im Gespräch mit der computerwoche wies Ressler darauf hin, dass der Exchange-Speicher zukünftig via Web- Services angesprochen werden könne und daher eine SQL-Schnittstelle nicht mehr so wichtig sei.
Neue Server-Rollen
Die Option für Shared-Nothing-Konfigurationen stellt nicht die einzige grundlegende Neuerung für die Exchange-Architektur dar. Die mit Exchange 2000 eingeführte Verteilung der Aufgaben auf mehrere spezialisierte Server baut die Version 2007 weiter aus. Beschränkte sich Exchange 2003 noch auf die Arbeitsteilung zwischen den Protokoll-Servern für die Interaktion mit den diversen Clients sowie den Mailbox-Servern für die Datenhaltung, so sieht die nächste Ausführung des Systems drei weitere Rollen vor. Es handelt sich dabei um "Hub Transport", "Edge Transport" und "Unified Messaging".
Mit Ausnahme des Edge Transport, der sich in der demilitarisierten Zone (DMZ) befindet und von den anderen Exchange-Komponenten durch eine Firewall getrennt ist, können bei kleineren Installationen sämtliche Rollen auf einem einzigen Server eingerichtet werden. Sollen sich die Aufgaben des Messaging-Systems jedoch auf mehrere Maschinen verteilen, so bietet Microsoft nun ein rollenspezifisches Setup an. Im Gegensatz zu Exchange 2003, wo noch auf jedem Rechner sämtliche Dienste sowie die "Internet Information Services" installiert werden müssen, begnügt sich die neue Version mit den tatsächlich benötigten Komponenten. Dadurch reduzieren sich auch Sicherheitsrisiken, weil nicht benötigte Dienste zusätzliche Angriffsflächen bieten.
Sämtliche Mails, auch jene, die innerhalb des Unternehmens versandt werden, laufen in Exchange 2007 über einen Hub Transport. Dieser repräsentiert eine zentrale Schaltstelle für den Fluss von Nachrichten. Microsoft hat ihm daher die Aufgabe zugedacht, über eine Fülle möglicher Regeln die ein- und ausgehenden Mails zu steuern. Ein Wizard zur Definition von Policies gibt zahlreiche Bedingungen und Aktionen vor, die sich auf elektronische Post anwenden lassen. Sie können einfach nur dazu dienen, Unternehmensstandards für alle ausgehenden Nachrichten zu gewährleisten. So können Administratoren beispielsweise die Fußzeile in Mails auf Basis einer zentralen Vorgabe einfügen - eine Aufgabe, für die bisher ein separates Signatur-Management erforderlich war.
Im Zeichen von Compliance
Der vornehmliche Zweck von Regeln für den Mail-Fluss besteht aber darin, Unternehmen Werkzeuge zu bieten, mit denen sie rechtlichen Anforderungen genügen können. In gerichtlichen Auseinandersetzungen kommt elektronischer Post als Beweismittel immer größere Bedeutung zu, so dass Firmen zu Mail-Management angehalten sind. Vor allem aber verpflichten gesetzliche Vorschriften wie des Sarbanes-Oxley-Act und die GDPdU zum sorgsamen Umgang mit digitalen Informationen.
Regeln in Exchange 2007 können helfen, die entsprechenden Auflagen zu erfüllen, etwa dadurch, dass Mails archiviert werden, die bestimmte Kriterien erfüllen. Per Voreinstellung kann das System Nachrichten in Sharepoint ab- legen, alternativ lässt sich dafür auch Software einsetzen, die über SMTP versandte Dokumente empfangen kann. Exchange 2007 bietet darüber hinaus zahlreiche Optionen, um unternehmensinterne Richtlinien durchzusetzen. So könnten der Nachrichtenaustausch zwischen Mitgliedern bestimmter Verteilerlisten unterbunden oder Mails, die bestimmte Begriffe enthalten, gelöscht, in Kopie an ausgewählte Personen gesendet beziehungsweise zum Absender zurückgeschickt werden. Die Integration mit Microsofts DRM-System "Information Rights Management" erlaubt es zudem, mit Hilfe solcher Regeln die Berechtigungen von Nutzern einzuschränken, etwa die Weiterleitung von Mails oder das Ausdrucken zu unterbinden.
Mailbox unter Kontrolle
Administratoren können Policies nicht nur für den Mail-Fluss definieren, sondern auch auf dem Mailbox-Server hinterlegen, um dort firmenspezifische Vorgaben zu erzwingen. Dazu zählt etwa die Einhaltung von Aufbewahrungsfristen oder die Protokollierung von Benutzeraktivitäten ("Auditing") - etwa ob ein Empfänger Nachrichten gelesen, weitergeleitet oder gelöscht hat. Außerdem können Mails wie bisher ausschnittweise oder vollständig mitgeschnitten werden ("Journaling"), wobei Exchange 2007 diese Aufgabe auf den Hub Transport verlagern kann.
Eine weitere Neuerung der kommenden Version stellen so genannte Managed Folder dar. Sie können entweder vom Benutzer selbst eingerichtet oder aber zentral vom Administrator angelegt werden. Letzterer könnte wiederum auf Nachrichten in diesen Ordnern Regeln anwenden oder für darin enthaltene Mail die Archivierung steuern.
Zu den Verbesserungen, die Microsoft unter der Rubrik Compliance anführt, zählt auch die neue Suchmaschine. Sie beruht auf der gleichen Engine wie jene in Windows oder im Sharepoint Server. Mit ihr lässt sich nicht nur in Postfächern einzelner Benutzer recherchieren, sondern sie eignet sich auch dazu, in den gesamten Mail-Datenbanken zu suchen. Das ist etwa dann erforderlich, wenn Unternehmen im Rahmen eines Gerichtsverfahrens alle prozessrelevanten Informationen finden müssen.
Wächter vor der Firewall
Microsoft empfahl bisher für alle Exchange-Installationen, dass aus Sicherheitsgründen kein Server direkt über das Internet zugänglich sein sollte. Der Zugriff von außen sollte etwa über einen Reverse Proxy wie Microsofts ISA-Server erfolgen. Diese Empfehlung gilt weiterhin für alle Client-Protokolle wie HTTP, Imap oder POP. Die Client-Access-Rolle sieht nämlich Server vor, die im Unternehmensnetz hinter der Firewall stehen. Für den Nachrichtenaustausch mit Mail-Servern im Internet via SMTP führt Microsoft jedoch eine neue Server-Rolle namens Edge Transport ein. Solche Maschinen befinden sich normalerweise in der DMZ und dienen als quasi Türsteher für Exchange-Systeme. Aufgrund der engen Integration von Exchange mit dem Active Directory (AD) könnte die exponierte Position des Edge Transport zu einer Gefahr für das Verzeichnissystem werden. Daher erhält ein Server in dieser Rolle ein eigenes anwendungsspezifisches Verzeichnis (ADAM) und muss somit nicht Mitglied einer AD-Domäne sein.
Aufgrund seiner Position besteht die vornehmliche Aufgabe eines Edge Transport darin, Spam auszusondern und Viren zu erkennen. Beim Filter für unaufgeforderte Werbe-Mails handelt es sich um eine Weiterentwicklung des "Intelligent Message Filter" (IMF), der bereits mit Exchange 2003 eingeführt wurde. Zum Lieferumfang von Exchange 2007 gehört "Forefront Security for Exchange Server". Die Software enthält mehrere Virenscanner von diversen Drittanbietern und kann bis zu sieben solche Engines parallel ausführen. Sie lässt sich auch auf einem Hub Transport oder Mailbox-Server ausführen. Ihre Benutzung erfordert allerdings den Erwerb einer eigenen Lizenz, sie ist nicht im Messaging-System enthalten. Alternativ bietet Microsoft die Möglichkeit, diese Aufgaben an seine gehosteten Exchange-Services auszulagern. Zu diesen Diensten zählen auch solche für Archivierung und Verschlüsselung.
Auch der Edge Transport kann ein- und ausgehende Mails anhand definierbarer Regeln kontrollieren und in den Nachrichtenfluss eingreifen. Während die Policies auf einem Hub Transport vor allem der Compliance gelten, dienen sie auf dem Außenposten der Mail-Hygiene. Da sich der Edge Transport nicht auf der gleichen Maschine zusammen mit anderen Exchange-Rollen installieren lässt, können kleinere Firmen darauf verzichten und den Hub Transport so konfigurieren, dass er direkt mit externen Mail-Servern kommuniziert. Microsoft rät von einer solchen Konstellation allerdings ab, weil der Rules Agent des Hub Transport nicht für die Aufgaben eines externen Brückenkopfs ausgelegt ist. Stattdessen sollte in solchen Fällen auf die gehosteten Dienste der Redmonder zurückgegriffen werden.
Fax und Voice integriert
Zu den wesentlichen Neuerungen von Exchange 2007 zählt die Integration von Voice-Mails und Faxnachrichten. Das Messaging-System bietet damit ein gemeinsames Postfach für mehrere Nachrichtentypen. Mit dem neuen Feature tritt Microsoft in Konkurrenz zu Partnern, die Exchange bisher um solche Funktionen erweiterten. Microsofts Exchange-Manager Ressler sieht allerdings für Unternehmen mit einem sehr hohen Faxaufkommen auch in Zukunft Bedarf an besonders leistungsfähigen Servern von Drittanbietern. Die Unified-Messaging-Dienste in Exchange 2007 beschränken sich indes nicht auf simple Basisfunktionen. Wenn Faxe etwa an eine Sammelnummer geschickt werden, dann kann der Fax-Server die übermittelten Daten per optische Zeichenerkennung (OCR) in Text übersetzen und versucht anschließend, aufgrund des Inhalts den Empfänger für das Dokument zu ermitteln und es diesem zuzustellen.
Den mit Unified Messaging zu erwartenden Anstieg des Datenvolumens nennt Microsoft als einen Grund für die Entscheidung, Exchange 2007 nur mehr als 64-Bit-System anzubieten. Diese Ausführung sei dem 32-Bit-Pendant besonders bei Datenbankoperationen in puncto Geschwindigkeit weit überlegen.
Die zweite Anwendung für Sprache besteht in einer neuen Zugriffsmöglichkeit auf Exchange via Telefon. Dieses Audio-Navigationssystem ergänzt die bisher verfügbaren Clients. Mit seiner Hilfe können Benutzer ohne PC und Internet-Verbindung auf ihre Mails und ihren Kalender zugreifen, sich Nachrichten vorlesen lassen oder Termine verändern. Die Software versteht vorerst jedoch nur englische Kommandos, eine Unterstützung für Deutsch soll nachgereicht werden. Alternativ zur Spracherkennung bietet das Messaging-System auch die Ausführung von Befehlen via Tastencodes an.
Schattenseiten
Auch wenn Exchange 2007 neben den grundlegenden Änderungen noch eine Reihe weiterer Verbesserungen bringt (wie etwa die neue Management-Konsole auf Basis der "Powershell" oder Proxy-Funktionen für Dateifreigaben und Sharepoint via "Outlook Web Access"), so weist die neue Version auch einige Nachteile auf. Einer besteht in erheblich gesteigerten Hardwareanforderungen. Da Exchange 2007 ausschließlich in einer 64-Bit-Version verfügbar sein wird, lassen sich eventuell vorhandene 32-Bit-Maschinen dafür nicht mehr einsetzen. Falls im Sinne einer höheren Ausfallsicherheit ein Cluster eingesetzt wird, dann lässt sich die neue Rolle des Hub Transport dort nicht einrichten, sondern bedarf einer eigenen Hardware - und der Edge Transport benötigt ohnehin noch eine weitere Maschine.
Die neue Version gibt zudem eine Reihe von Funktionen auf, die bei den Vorgängern noch verfügbar waren. Dazu zählen etwa Konnektoren für Novells Groupwise und X.400-Verzeichnisse. In puncto Abwärtskompatibilität gilt die Einschränkung, dass die neueste Ausführung nicht mit der Version 5.5 koexistieren kann.
Entgegen ersten Absichtserklärungen unterstützt auch Exchange 2007 öffentliche Ordner, obwohl Microsoft die Sharepoint Services als bevorzugte Dokumentenablage propagiert. Allerdings gilt für die neueste Ausführung des Messaging-Systems, dass man auf Public Folders nicht mehr über Outlook Web Access, NNTP und Imap zugreifen kann.