M 2.249 Planung der Migration von "Exchange 5.5-Servern" nach "Exchange 2000"
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
In der Praxis wird ein bereits bestehendes E-Mail-System häufig migriert, anstatt eine vollständige Neuinstallation durchzuführen. Exchange 5.5 ist ein weit verbreitetes E-Mail- und Messaging-System, so dass die Migration von Exchange 5.5 nach Exchange 2000 ein wichtiges Szenario darstellt.
Der Wechsel von Exchange 5.5 zu Exchange 2000 bedeutet einen gravierenden Sprung in nahezu sämtlichen Teilaspekten. Es handelt sich deshalb nicht um ein Software-Update, sondern um einen weitreichenden Designwechsel. Bei diesem Wechsel ist nicht nur die Exchange-Software betroffen, sondern auch das zugrundeliegende Betriebssystem Windows 2000. Ein installierter Windows 2000 Server ist Systemvoraussetzung für den Betrieb von Exchange 2000. Häufig fällt deshalb die Migration von Exchange 5.5 nach Exchange 2000 mit dem Wechsel des Betriebssystems von Windows NT 4 nach Windows 2000 und der Einführung des Active Directory zusammen.
Exchange 2000 ist so konzipiert, dass es sich in das Windows 2000 Active Directory integriert. Bei der Installation von Exchange 2000 wird eine sogenannte Schema-Erweiterung des Active Directories vorgenommen. Eine Schema-Veränderung ist ein grundlegender Eingriff in das Active Directory, die nicht rückgängig gemacht werden kann. Es ist deshalb unerlässlich, den Windows-Systemadministrator und speziell den Active Directory-Schema-Administrator in die Migrationsplanung einzubeziehen.
Dass das Active Directory durch Exchange 2000 genutzt wird, hat folgende Auswirkungen:
- Access Control Lists (ACLs) sind auf jede einzelne Ressource anwendbar, so z. B. auf einzelne Items von öffentlichen Verzeichnissen sowie auch auf deren Eigenschaften (Properties).
- Anders als Exchange 5.5 verwendet Exchange 2000 keine Rollen mehr, da sich die Sicherheit nicht mehr aus dem Information Store selbst ableitet. Stattdessen wird die Berechtigung zur Administration des Exchange-Servers im Active Directory vergeben.
- Die Security Identifiers (SIDs) für Benutzer- und Gruppenobjekte werden in der ACL der jeweiligen Exchange-Objekte verwendet. Anonyme Zugriffsberechtigungen werden einem speziellen anonymen Logon-Konto zugewiesen. Jede Gruppe erhält Standardeinstellungen für die Zugriffsberechtigungen.
- Berechtigungen auf Benutzer-, Objekt- und Property-Basis können explizit verboten werden. Verbotseinstellungen haben dabei Vorrang vor Erlaubniseinstellungen.
- Als Authentisierungsprotokoll im Netz wird Kerberos 5 verwendet. Details dazu finden sich beispielsweise in der Beschreibung des Bausteins 6.9 Windows 2000 Server.
Die bei Exchange 5.5 noch übliche Site-Gruppierung von Exchange-Servern werden unter Exchange 2000 durch die sogenannten Routing Groups abgelöst. Die so im Verbund organisierten Exchange-Server erlauben den Datenaustausch mit hoher Bandbreite. Bei Exchange 2000 wird nun standardmäßig das Simple Mail Transfer Protocol (SMTP) eingesetzt, anstelle der vormals verwendeten Remote Procedure Calls (RPCs).
Auch hinsichtlich der Administration der Exchange-Server ergibt sich ein Unterschied: Sie beschränkte sich vormals auf eine NT-Domäne, nun ist die übergreifende Verwaltung über Domänen hinweg innerhalb eines Forests durch entsprechend autorisierte Administratoren möglich.
Die Aufgaben der Partitionierung und der Replizierung von Inhalten der E-Mail-Datenbank übernimmt in vollem Umfang das Active Directory. Hier ist jedoch eine bedarfsgerechte Planung wesentlich, wenn eine Steigerung der Performance erreicht werden soll.
Fremde E-Mail-Systeme, z. B. X.400 oder ccMail, werden mittels sogenannter Connectoren an das Exchange-System angebunden. Speziell für die hier betrachtete Migration wird auch ein Connector zur Anbindung eines Exchange 5.5 Systems an das Active Directory angeboten.
Die Migration muss in ihren einzelnen Schritten möglichst detailliert geplant, der angestrebte Migrationsprozess dokumentiert und allen Beteiligten zugänglich gemacht werden. Im Überblick sind folgende Schritte im Rahmen des Migrationprozesses durchzuführen:
- Backup des Exchange 5.5-Systems
- Probelauf der Exchange 2000 Software in einem Testszenario
- Windows 2000 Active Directory auf Domänen-Controller installieren
- Einrichten des Windows 2000 Netzes und der gewünschten Dienste (DNS, DHCP, etc.)
- Neue Rechner (für Exchange 2000 Server) mit Windows 2000 Server installieren
- Neue Rechner (für Exchange 2000 Server) Mitglied der gewünschten Domänen werden lassen
- Installation der Exchange 2000 Software auf den dafür vorgesehenen Windows 2000 Servern
- Verteilung der Outlook 2000 Clients
- Einrichten der Benutzerkonten inklusive der E-Mail-Funktionalität
- Einspielen der alten E-Mail-Daten. Dies kann dadurch geschehen, dass ein Connector zu einem Exchange 5.5 Server eingerichtet wird.
Folgende Aspekte sind aus Sicherheitssicht bei der Planung der Migration zu berücksichtigen:
- Welche E-Mail-Konten und öffentliche Verzeichnisse (public folders) sind zu migrieren?
- Wird die bestehende Sicherheitsrichtlinie übernommen oder geändert bzw. ergänzt?
- Ist das Active Directory-Konzept berücksichtigt und ggf. ergänzt worden?
- Welche fremden E-Mail-Systeme müssen angebunden werden?
- Welche Routing- und Administrations-Gruppen werden definiert?
- Die bestehende Installation von Exchange 5.5 sollte gesichert und zumindest so lange vorgehalten werden, bis das Exchange 2000 System zuverlässig in Betrieb genommen ist.
- Die neue Software sollte in einem separaten Testnetz getestet werden.
Allgemein ist zu beachten, dass sich die Terminologie der Objekte von Exchange 5.5 nach Exchange 2000 teilweise geändert hat. So wechseln beispielsweise die Begriffe Mailbox zu Mail-Enabled User, Distribution List zu Distribution or Security Group, Custom Recipient zu Contact und einiges weitere mehr.
Ergänzende Kontrollfragen:
- Wurde der Windows 2000 Systemadministrator an der Planung der Migration beteiligt?
- Wurden die vorzunehmenden Schema-Änderungen am Active Directory dokumentiert?
- Wurden für die Migration Backups des Systems und der Daten eingeplant?