zondag 6 december 2009

Exchange 2003 - 2010; Migratie en coëxistentie

Gezien de vele vragen van cursisten en de belangstelling bij klanten lijkt het erop dat het komende jaar een groot aantal van de huidige Exchange 2003 gebruikers zullen gaan migreren naar Exchange 2010 en daarmee Exchange 2007 zullen overslaan. Ongeacht de omvang van de bestaande Exchange 2003 omgeving is het aan te bevelen om de migratie zorgvuldig te plannen. De verschillen in architectuur tussen 2003 en 2010 zijn aanzienlijk, hetgeen een nauwgezette planning noodzakelijk maakt. In dit artikel -het eerste uit een te volgen reeks van artikelen- bieden we een overzicht van deze verschillen en de daarbij te verwachten complicerende factoren voor een migratie. De volgorde bij een dergelijke operatie is cruciaal voor het welslagen ervan. Een eerste tip bij het lezen van de artikelen:



De belangrijkste verschillen op een rij: (Exchange 2003 - Exchange 2010)
  1. Exchange server kent -sinds versie 2007- een opdeling van de belangrijkste servertaken in zogenaamde rollen. Deze rollen kunnen voor een groot deel zijn gecombineerd in één machine: de typical setup. De rollen kunnen ook worden gedistribueerd over speciaal daartoe aangewezen servers. Het doel van deze rolverdeling is om de Exchange organisatie te kunnen matchen aan e-mail omgevingen van totaal verschillende omvang en complexiteit. Van simpele single-server uitvoeringen tot organisaties met vele Active Directory domeinen en dito sites verspreid over de wereld. Door de rolverdeling zijn de prestatie-eisen beter af te stemmen op voor een rol benodigde bronnen (CPU, RAM en Disks). Een ander aspect is dat hierdoor de security-  en de redundantie-eisen veel controleerbaarder worden, evenals de schaalbaarheid. (Het laatste betekent dat naar behoefte meer servertaken aan een organisatie kunnen worden toegevoegd; meegroeien met de organisatie).
  2. Exchange 2010 werkt -net als Exchange 2007- alleen op 64-bits Windows Server platformen. Dit gegeven verhindert de mogelijkheid tot een in-place upgrade. (Upgrade van dezelfde machine, gebaseerd op Exchange Server 2003). Met deze quantum-leap, van 32- naar 64-bits is een geheel ander geheugen- en database-gebruik mogelijk. Er kan bijvoorbeeld aanzienlijk meer database-content in een keer worden opgenomen in de RAM-cache. Dit biedt aan de gebruikers een veel snellere weergave van hun mailbox-inhoud op het scherm omdat er minder disk I/O nodig is.
  3. Client-server communicatie wordt in Exchange 2010 geheel via de Client Access Server afgehandeld. Deze serverrol, eveneens geïntroduceerd in Exchange 2007, neemt de functies over van de Exchange 2003 Front-End Server. Bij Exchange 2007 was het nog zo dat alleen de Outlook (Office) client rechtstreeks met de Mailbox Server communiceerde en alle andere clients daarvoor de Client-Access Server aanspraken; nu, in Exchange 2010 loopt alle communicatie tussen de clients en de servers altijd via de Client Access Server.
  4. De SMTP service is ontkoppeld van de Mailbox Server. In Exchange 2003 was de SMTP service nog uitgevoerd als een IIS component, die door de setup van Exchange server 2003 werd uitgebreid met ESMTP en specifieke Exchange SMTP opdrachten. Zo zie je met de Exchange System Manager van Exchange 2003 de SMTP Virtual Server in de Protocols-container terug onder het Server-object bij een Back-end server. Ook al kon je de SMTP virtual server desgewenst tevens installeren op een 2003 Front-End: het werd niet veel gedaan, omdat je dan ook weer een mailbox-store op de Front-End nodig had. Bij een Front-End server was het nu juist te doen om het achterwege kunnen laten van een store-database. Doordat de SMTP service -sinds Exchange 2007- geheel herschreven is als een zelfstandige component hoeven we nu op de Mailbox server ook geen tweeledige store databases te onderhouden, opgedeeld in een *.edb en een *.stm bestand. De *.stm (=streaming) database bevat de rechtstreeks van het Internet afkomstige, native SMTP/MIME 7-bits content vóór conversie naar de 8-bits clients. De *.edb (Exchange DataBase) bevat de van de Outlook clients afkomstige 8-bits, rich text content, vóór conversie naar 7-bits SMTP. De conversie maakt deel uit van iedere e-mail transmissie tussen servers onderling en het Internet en verbruikt daarmee ook serverbronnen. In Exchange 2007 en 2010 is SMTP nu van de Mailbox Server gesepareerd in een aparte rol; bovendien worden e-mailberichten nu op de SMTP server, dat  is de Hub Transport Server, geconverteerd van 8- naar 7-bits, alleen als de verzending de site verlaat en omgekeerd als deze de site binnenkomt. Wat er tussen de Mailbox Server en de Hub Transport Server overblijft is slechts 8-bits communicatie, MAPI over RPC.
  5. Administratieve- en Routing groepen zijn verdwenen. De Exchange topologie volgt eenvoudig de Active Directory Site topologie en de beheerspermissies zijn ondergebracht in Role-groups (2007) of door middel van Role Based Access Control (RBAC) in Exchange 2010. Het is niet langer nodig om twee topologiën naast elkaar aan te houden; die van AD-replicatie en die van SMTP transport. Er van uitgaande dat een AD-omgeving correct is opgezet lijkt er geen extra noodzaak te bestaan om de Exchange omgeving een eigen naastgelegen topologie te moeten geven. Echter, ook al is AD afgestemd op de organisatie; je kunt het SMTP verkeer desgewenst andere routes laten afleggen als controle op SMTP verkeer dat vereist, bijvoorbeeld bij message-hygiëne (AntiVirus, AntiSpam) en bij toepassing van specifieke transport-rules voor tracing en logging.
  6. De toevoeging van een externe SMTP server, de Edge Transport Server en een "Voice-Mail" server, de Unified Messaging Server. Beiden zijn geïntroduceerd in Exchange 2007 en het betreft optionele server-rollen. De Edge Transport Server is bedoeld als een First-Line-of-Defence SMTP server in de perimeter van het netwerk. De installatie vindt plaats op een non-domain-member, een stand-alone server dus en speciaal voor de door Exchange Server vereiste schema- en configuratie-storage wordt een lokale, stand-alone versie van een Directory Service meegeïnstalleerd: de ADAM- (Windows Server 2003) of AD-LDS Service (Windows Server 2008). De Edge Transport Server kan ook controles uitvoeren op outbound e-mail om bijvoorbeeld te voorkomen dat geclassificeerde documenten de organisatie verlaten. Hiervoor is wel de installatie van AD-RMS services vereist. (Rights Management Service). De Unified Messaging service tenslotte zal alleen interessant zijn voor gebruikers die beschikken over VoIP of Enterprise Voice systemen, bijvoorbeeld Office Communications Server 2007 (R2).
  7. Veranderingen in storage. Het is al eerder even aan de orde geweest bij het stukje over SMTP, maar ook de organisatie van de storage is ingrijpend gewijzigd. Er wordt bij Exchange 2010 geanticipeerd op veel grotere mailboxen (tot wel 1 TB) per gebruiker en daardoor ook veel grotere mailbox databases. De afmetingen van dergelijke databases vereisen weer veel langere backup- en recovery tijden, zodat Microsoft heeft nagedacht over alternatieven waarmee de druk op dagelijkse backups kan worden verlicht, zonder daarmee de herstelmogelijkheden geweld aan te doen. De oplossing bestaat uit database-redundantie. (In contrast met Server-redundantie, zoals bij clustering). De eerste aanzet is al gegeven in Exchange 2007 met de introductie van Local Continuous Replication (LCR), Cluster Continuous Replication (CCR) en Standby Continuous Replication (SCR). Door de databases in meervoud achter de hand te hebben, zowel op dezelfde als op andere, verspreid aanwezige mailbox-servers in de organisatie, kan nu betrekkelijk eenvoudig bij beschadiging van een database worden omgeschakeld naar een gezonde replica van dezelfde database. De details laten we hier nog even achterwege, maar met name in Exchange 2010 is dit concept veel verder uitgewerkt.
Ongetwijfeld heb ik in bovenstaande opsomming zaken nog niet vermeld, maar het ging immers om een overzicht in grote lijnen.

Migratie en Coëxistentie

Migratie gaat natuurlijk over het verhuizen van het bestaande systeem naar het nieuw te plaatsen systeem. Het bestaande systeem kan bestaan uit welk denkbare e-mail oplossing dan ook, maar in deze reeks artikelen beperk ik mij tot een uitgangssituatie gebaseerd op Exchange Server 2003. Misschien kom ik later nog terug op andere scenario's. Veel migraties beslaan tegenwoordig een periode waarin het oude- en het nieuwe systeem enige tijd naast elkaar zullen blijven bestaan; de coëxistentie-periode. Exchange 2003 en -2010 hebben prima voorzieningen om gedurende langere tijd naast elkaar te opereren, al is er wel wat kennis van zaken nodig om dit vlekkeloos te laten verlopen. De verschillen in architectuur maken het noodzakelijk om bepaalde stappen in de migratie nu juist in die volgorde te nemen en niet anders. Verkeerde keuzes kunnen tot drama's leiden, reden waarom soms ogenschijnlijk onlogische stappen en handelingen strikt moeten worden gevolgd. We sommen het even kort op:
  1. De eisen aan het Windows Server platform.
  2. De eisen aan de bestaande Exchange Servers en clients
  3. De eisen aan AD-schema en AD-configuratie
  4. De eisen aan de nieuw te gebruiken server hard- en software
  5. De eisen aan DNS, Certificaten, AntiVirus en Backup voorzieningen
  6. De eisen aan de volgorde waarin handelingen worden verricht en componenten worden geplaatst en vervangen
Voordat we ook maar één onderdeel van Exchange Server 2010 zullen gaan installeren moeten we de uitgangssituatie goed in kaart brengen en bijwerken tot en met het niveau waarop Exchange 2010 zal kunnen functioneren. Daarmee sluit je al minstens de helft aan teleurstellingen, frustraties en vele uren aan extra werk uit. We gaan beginnen ...

De eisen aan het Windows Server Platform
Met dit item bedoelen we niet de server waarop Exchange 2010 zelf zal gaan draaien, maar de machines waarop nu Active Directory aanwezig is. De Domain Controllers met respectievelijk de rol van Schema Master en/of Global Catalog moeten draaien op tenminste de onderstaande operating systemen en patchlevels:

  • Windows Server 2003 SP2
  • Windows Server 2008
  • Windows Server 2008 R2

Het domain- en forest functional level moeten tenminste in Windows 2003 functional level opereren en de DNS servers, voor zover niet Windows 2003, moeten Service records ondersteunen voor AD-servers.

De eisen aan bestaande Exchange servers en clients
De bestaande Exchange 2003 servers moeten zijn bijgewerkt tot en met Exchange Service Pack 2 of hoger. Exchange 2010 accepteert clients vanaf Outlook 2003 SP1, al zal met de latere versies meer profijt worden behaald met de extra mogelijkheden die de latere Exchange versies bieden.

De eisen aan AD-Schema en AD-configuratie
Iedere Exchange server versie vanaf 2000 maakt wijzigingen in Active Directory, aan zowel het schema als aan de configuratie. Dit is nodig om onderdak te bieden aan de nieuwe object-typen en bijbehorende attributen als bijvoorbeeld Mailbox, Mailbox-Store, e-mailadres, Hub Transport Server, policies etc. Iedere versie opnieuw maakt weer aanvullingen op dit schema, dus ook bij Exchange 2010 zal een aantal objecttypen moeten worden toegevoegd en/of gewijzigd. Dit gebeurt in de /prepareschema fase van de setup. Ook de in configuratie-partitie van AD worden een paar veranderingen aangebracht; zo wordt er een container aangemaakt onder de node "Services" in deze partitie met de naam "Exchange Services" (Dat is in geval van een reeds aanwezige Exchange 2003 ook al bij de setup gebeurd). Door de aanzienlijke verschillen in de hier gedemonstreerde versies 2003 en 2010 kan de upgrade van Active Directory beter worden uitgevoerd met gebruik van de switch /PrepareAD. Als de persoon die de installatie verricht zowel lid is van de groep Enterprise Admins als de groep Schema Admins dan wordt in deze ene opdracht al het noodzakelijke werk in AD uitgevoerd; Schema en Configuratie-partities bijgewerkt, LegacyExchangePermissions bijgewerkt (noodzakelijk voor het koppelen van de Recipient Update Service uit Exchange 2003 aan de bevoegdheden om hetzelfde werk te verzetten in Exchange 2010) en het aanmaken van de benodigde securitygroepen in AD.

De eisen aan de nieuw te gebruiken server hard- en software
Hierover kunnen we kort zijn: De serverhardware moet een van de 64-bits Windows operating systemen ondersteunen: Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 of Windows Server 2008 R2. Verder wordt aanbevolen om tenminste 4 GB RAM aan boord te hebben voor welke serverrol dan ook. Voor Mailbox Servers kan deze hoeveelheid nog verder stijgen naar gelang het aantal databases en mailboxen, tot een maximum van 32 GB. We zien later hoe deze waarden beter kunnen worden berekend.

De eisen aan DNS, Certificaten, AntiVirus en Backup voorzieningen
Net als in eerdere versies, met terugwerkende kracht tot Exchange 2000, wordt aan DNS de eis gesteld dat het moet voorzien in service-records voor het localiseren van Domain Controllers en Global Catalog servers in het forest. Als de DNS servers Windows-eigen services zijn is er niets aan de hand, maar als gekozen wordt voor een open source versie als BIND, dan moet deze tenminste versie 8.2.2. zijn. Toegang tot de Exchange server voor clients, maar ook de communicatie tussen Exchange servers onderling is beveiligd met SSL/TLS security en dat betekent dat er certificaten in het spel komen. De Hub Transport Servers gebruiken voor dit doel zogenaamde self-signed certificaten en een dergelijk certificaat wordt ook automatisch aangemaakt voor de Client Access Server(s). Het is nu eenmaal zo dat wanneer je SSL aanbiedt voor bijvoorbeeld HTTP(S) er daarvoor al een certificaat anwezig moet zijn, vandaar dat Exchange van tevoren hiervoor zelf een certificaat uitschrijft. Dergelijke certificaten worden echter niet zomaar geaccepteerd door
clients als Outlook Web Access (in casu Internet Explorer) en het wordt nog wat lastiger bij gebruik van Outlook Anywhere, waarover later meer. In veel gevallen zul je daarom moeten overgaan tot de aanschaf van een commercieel certificaat via kanalen als Verisign, Thawte, BT of anderszins. Microsoft heeft ondersteuning voor dergeljike certificaten nu eenmaal ingebouwd in het besturingssysteem; niet voor de self-signed- of voor de certificaten die uit eigen Certificate Server afkomstig zijn. Voor alles is een oplossing en we zullen later zien dat je ook heel goed zelf een Certificate Authority (CA) kunt installeren, waarop je zelf je certificaten produceert. Clients in de buitenwereld zullen protesteren bij niet-officiële certificaten, behalve wanneer zij bekend zijn met de CA die het certificaat heeft uitgegeven.

Eisen aan Backup en AntiVirus voorzieningen

Bij Exchange 2007 op Windows Server 2008 was er even geen streaming backup voorhanden wanneer je daarvoor gebruik wilde maken van de Windows Backup tool. Deze tekortkoming is verholpen met Exchange 2007 SP2. Bij Exchange 2010 is op een breed terrein ingezet om de druk op het maken van dagelijkse backups te verlichten. Zo is daar de Database Availability Group (DAG), waarbij niet de servers, maar de databases redundant worden uitgevoerd en kunnen worden gerepliceerd naar verschillende database servers. Als je wilt kun je zelfs tot 16 database-replica's aanhouden. De DAG voorziet zelf in fail-over mechanismen, geleend van de Windows Cluster service. Je hoeft dus geen hardware cluster op te stellen, maar er worden wel software componenten van de cluster service gebruikt voor deze database availability. Er is ook de vrijheid om uit deze replica's een database te kiezen die bewust achterblijft bij de current databases, zodat, wanneer een virusuitbraak plaatsvindt, je een database-versie kunt activeren van vlak voor deze aanval. Ondanks deze aanzienlijke uitbreidingen op database-redundantie blijft de VSS-methode voor het maken van backups beschikbaar, ook wanneer je daarvoor slechts de Windows Server Backup wilt gebruiken.

AntiVirus voorzieningen

In Exchange 2010 is, net als in Exchange 2007, de Edge Server rol als stand-alone beschikbaar. Deze non-domain member is de aangewezen machine voor message-hygiëne. In het produkt zijn spamfilters aanwezig, die weliswaar uitstekend werken, maar een heuristische manier van filteren ontberen. Een heuristisch filter leert zelf over de organisatie en naarmate deze langer in gebruik is wordt de false-positive rate steeds kleiner. Een bekend type hiervan is het Bayesian filter, zoals o.a. in GFI Mail Essentials aanwezig is. Het filter spaart eerst een groot aantal uitgaande e-mailberichten op in een database, zodat daaruit geleerd kan worden welke trefwoorden typerend zijn voor de organisatie en welke geadresseerden regelmatig opduiken. Een dergelijk filter wordt in de loop van de tijd steeds slimmer bij het elimineren van spam. Met het afschermen van spam wordt ook meteen een groot deel van de virus bevattende e-mail berichten afgevangen. Helemaal uitsluiten kun je niets en daarvoor is ook separate virusscanning noodzakelijk. Met de komst van Exchange 2007 was daarvoor Forefront Security de aangewezen software van Microsoft zelf. GFI Mailsecurity 10.1 is op het moment nog in Beta en belooft goed samen te werken met Exchange 2010. Bescherming tegen virussen in e-mail zou de gehele Message Delivery Chain moeten omvatten voor de hoogste bescherming. Dat begint al met het scannen bij binnenkomst, gedurende het SMTP transport op bijvoorbeeld de Edge Transport Server. Door het verhinderen van attachments van een bepaald type (executables, zip's, scripts e.d.) is veel van de rommel buiten de deur te houden. Bij opslag in de databases behoort ook te worden gecontroleerd op de dan  naar 8-bits geconverteerde berichten en attachments en tenslotte op de client, waar het bericht geopend wordt. De laatste twee etappes worden in een later artikel belicht.

Gepost door op

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)