Maßnahmen zur Fehlertoleranz auf Systemebene

 

Letztes Änderungsdatum des Themas: 2006-08-16

In diesem Abschnitt finden Sie Berücksichtigungen und Strategien für die Erhöhung der Fehlertoleranz Ihrer Exchange 2003-Organisation auf Systemebene. Systemebene bezieht sich auf die Exchange 2003-Infrastruktur und die empfohlenen bewährten Methoden zum Implementieren einer Fehlertoleranz innerhalb dieser Infrastruktur.

In der folgenden Abbildung wird eine zuverlässige Exchange 2003-Infrastruktur dargestellt, und es werden die bewährten Methoden zum Beibehalten eines hohen Grads an Fehlertoleranz aufgeführt.

Maßnahmen zur Fehlertoleranz der Infrastruktur

In diesem Abschnitt werden Methoden zum Entwickeln von Fehlertoleranz auf jeder Ebene der Exchange 2003-Infrastruktur erläutert. Insbesondere enthält dieser Abschnitt Informationen über die folgenden Themen:

• Implementieren von Firewalls und Umkreisnetzwerken
• Sicherstellen des zuverlässigen Zugriffs auf Active Directory und DNS (Domain Name System)
• Sicherstellen des zuverlässigen Zugriffs auf Exchange-Front-End-Server
• Konfigurieren von virtuellen Exchange-Protokollservern
• Implementieren einer zuverlässigen Back-End-Speicherlösung
• Implementieren einer Serverclusterlösung
• Implementieren einer Überwachungsstrategie
• Implementieren eines Verfahrens für die Wiederherstellung nach Datenverlust

Implementieren von Firewalls und Umkreisnetzwerken

Es wird empfohlen, in der Exchange 2003-Topologie ein Umkreisnetzwerk sowie eine Front-End- und Back-End-Server-Architektur einzuschließen. In der folgenden Abbildung wird diese Topologie veranschaulicht, einschließlich der zusätzlichen Sicherheit durch einen fortschrittlichen Reverseproxyserver (in diesem Fall ISA Server 2000 (Internet Security and Acceleration) Feature Pack 1).

Anmerkung:
Um die Leistung und die Skalierbarkeit des fortschrittlichen Reverseproxyservers zu erhöhen, können Sie auf den Servern im Umkreisnetzwerk Windows Server 2003-Netzwerklastenausgleich implementieren. Informationen über den Netzwerklastenausgleich finden Sie weiter unten in diesem Thema unter „Verwenden des Netzwerklastenausgleichs auf Front-End-Servern“.

Die Bereitstellung von ISA Server 2000 Feature Pack 1 in einem Umkreisnetzwerk stellt nur eine Methode zum Absichern des Messagingsystems dar. Andere Methoden schließen die Verwendung von sicherem Transport wie IPSec (Internet Protocol Security) oder SSL (Secure Sockets Layer) ein.

Wichtig

Unabhängig davon, ob Sie eine Topologie mit Exchange 2003-Front-End-Servern implementieren möchten, ist es empfehlenswert, Internet-Benutzern keinen direkten Zugriff auf Ihre Back-End-Server zu gewähren.

Umfassende Informationen über den Entwurf einer sicheren Exchange-Topologie finden Sie unter „Planning Your Exchange Infrasturcture“ im Handbuch Planning an Exchange Server 2003 Messaging System.

Informationen zum Verwenden von ISA Server 2000 mit Exchange Server 2003 finden Sie unter „Using ISA Server 2000 with Exchange Server 2003“.

Sicherstellen des zuverlässigen Zugriffs auf Active Directory und DNS (Domain Name System)

Exchange ist in großem Maße von Active Directory und dem DNS-System abhängig. Um einen zuverlässigen und effizienten Zugriff auf Active Directory und DNS zur Verfügung zu stellen, müssen Sie sicherstellen, dass Ihre Domänencontroller, globalen Katalogserver und DNS-Server gut vor möglichen Ausfällen geschützt sind.

Domänencontroller

Ein Domänencontroller ist ein Server, auf dem eine Domänendatenbank verwaltet wird und der Authentifizierungsdienste durchführt, die für die Anmeldung und den Zugriff auf Exchange durch Clients erforderlich sind. (Benutzer müssen entweder von Exchange oder von Windows authentifiziert werden können.) Exchange 2003 ist für System- und Serverinformationen von Domänencontrollern abhängig. In Windows Server 2003 ist die Domänendatenbank ein Teil der Active Directory-Datenbank. In einer Windows Server 2003-Domänengesamtstruktur werden die Active Directory-Informationen zwischen den Domänencontrollern repliziert, auf denen auch eine Kopie der Konfiguration der Gesamtstruktur und der Schemacontainer gespeichert ist.

Ein Domänencontroller kann innerhalb einer Active Directory-Infrastruktur viele Funktionen darstellen: einen globalen Katalogserver, einen Betriebsmaster oder einen einfachen Domänencontroller.

Globale Katalogserver

Ein globaler Katalogserver ist ein Domänencontroller, auf dem der globale Katalog gespeichert ist. Globale Katalogserver werden für die Anmeldung benötigt, da sie Informationen über die globale Gruppenmitgliedschaft enthalten. Durch diese Mitgliedschaft wird der Benutzerzugriff auf Ressourcen gewährt oder verweigert. Wenn die Verbindung mit einem globalen Katalogserver nicht möglich ist, kann die globale Gruppenmitgliedschaft eines Benutzers nicht ermittelt werden, und der Anmeldezugriff wird abgelehnt.

Anmerkung:

Obwohl für einige Features von Windows Server 2003 kein lokaler globaler Katalogserver benötigt wird, ist für Exchange und Outlook ein solcher erforderlich. Sie benötigen einen globalen Katalogserver, um Exchange-Dienste (einschließlich Anmeldung, Gruppenmitgliedschaft und Speicherdienste) zu verwenden und Zugriff auf die globale Adressliste (GAL) zu erhalten. Durch die lokale Bereitstellung von globalen Katalogservern für Server und Benutzer können Adressbuch-Suchen effizienter ausgeführt werden. Wenn das Abrufen eines globalen Katalogservers über eine langsame Verbindung stattfindet, erhöht sich der Netzwerkverkehr und die Gesamtleistung wird beeinträchtigt.

Mindestens ein globaler Katalogserver muss in jeder Exchange Server-Domäne installiert werden.

Bewährte Methoden zu Domänencontrollern und globalen Katalogservern

Da Domänencontroller wichtige Active Directory-Informationen enthalten, müssen Sie sicherstellen, dass die Domänencontroller in Ihrer Organisation vor möglichen Ausfällen gut geschützt sind.

Es folgen einige bewährte Methoden für die Bereitstellung und Konfiguration von Active Directory-Domänencontrollern und globalen Katalogservern:

• Führen Sie Exchange 2003 nicht auf einem Domänencontroller aus, wenn dies keine Vorgabe für Ihre Organisation ist. Informationen über die Auswirkungen des Ausführens von Exchange auf einem Domänencontroller finden Sie weiter unten in diesem Thema unter „Ausführen von Exchange 2003 auf einem Domänencontroller“.

• Platzieren Sie an jedem Active Directory-Standort mindestens zwei Domänencontroller. Wenn ein Domänencontroller an einem Standort nicht verfügbar ist, sucht Exchange nach einem anderen Domänencontroller. Dies ist besonders wichtig, wenn die anderen Domänencontroller in der Organisation nur über ein WAN erreicht werden können. Dieser Umstand könnte zu Leistungsproblemen führen und möglicherweise einen einzelnen Fehlerpunkt bilden.

• Platzieren Sie an jedem Active Directory-Standort mindestens zwei globale Katalogserver. Wenn ein globaler Katalogserver an einem Standort nicht verfügbar ist, sucht Exchange nach einem anderen globalen Katalogserver. Dies ist besonders wichtig, wenn die globalen Katalogserver in der Organisation nur über ein WAN erreicht werden können. Dieser Umstand könnte zu Leistungsproblemen führen und möglicherweise einen einzelnen Fehlerpunkt bilden.

  Anmerkung:
  Wenn die Bandbreite von zwei Domänencontrollern und zwei globalen Katalogservern nach Ihren Leistungsanforderungen nicht erforderlich ist, sollten Sie in Erwägung ziehen, alle Domänencontroller als globale Katalogserver zu konfigurieren. In diesem Szenario bietet jeder Domänencontroller globale Katalogdienste für die Exchange 2003-Organisation.

• Es sollte im Allgemeinen ein Verhältnis von 4:1 zwischen den Prozessoren für Exchange und den Prozessoren für globale Katalogserver bestehen, vorausgesetzt, die Prozessoren haben ähnliche Geschwindigkeiten. Es können jedoch weitere globale Katalogserver erforderlich werden, wenn diese stärker beansprucht werden, eine große Active Directory-Datenbank vorhanden ist oder umfangreiche Verteilerlisten verwaltet werden müssen.

• An Zweigstellen mit mehr als 10 Benutzern muss an jedem Standort mit Exchange-Servern ein globaler Katalogserver installiert sein. Um Ausfallsicherheit zu gewährleisten, sollten jedoch im Idealfall zwei globale Katalogserver bereitgestellt werden. Wenn ein physischer Standort nicht zwei globale Katalogserver aufweist, können Sie bestehende Domänencontroller als globale Katalogserver konfigurieren.

• Wenn Ihre Architektur mehrere Subnetze pro Standort enthält, erhalten Sie zusätzliche Verfügbarkeit, indem Sie sicherstellen, dass mindestens ein Domänencontroller und ein globaler Katalogserver in jedem Subnetz vorhanden sind. Selbst bei einem Routerausfall können Sie dann noch auf den Domänencontroller zugreifen.

• Stellen Sie sicher, dass es sich bei dem Server, der in der Infrastruktur als Masterserver dient, nicht um einen globalen Katalogserver handelt. Informationen über die Masterrolle in der Infrastruktur finden Sie unter dem Thema „Globale Katalog- und Infrastruktur-Masterserver“ in der Hilfe zu Windows 2000 Server.

• Ziehen Sie in Betracht, die LDAP-Wartezeit aller Exchange 2003-Domänencontroller zu überwachen. Informationen zur Überwachung von Exchange finden Sie unter Implementieren von Softwaretools zur Überwachung und Fehlererkennung.

• Ziehen Sie in Betracht, die LDAP-Threads von 20 auf 40 zu erhöhen, je nach Ihren Anforderungen. Informationen zum Abstimmen von Exchange finden Sie unter Performance and Scalability Guide for Exchange Server 2003.

• Stellen Sie sicher, dass für Ihre Domänencontroller ein zuverlässiger Sicherungsplan besteht.

Ausführen von Exchange 2003 auf einem Domänencontroller

Als bewährte Methode sollten Sie Exchange 2003 nicht auf Computern ausführen, die auch als Windows-Domänencontroller fungieren. Stattdessen sollten Sie Exchange-Server und Windows-Domänencontroller separat konfigurieren.

Wenn in Ihrer Organisation jedoch die Ausführung von Exchange 2003 auf einem Domänencontroller erforderlich ist, berücksichtigen Sie die folgenden Einschränkungen:

• Wenn Sie Exchange 2003 auf einem Domänencontroller ausführen, wird nur dieser Domänencontroller verwendet. Dies hat zur Folge, dass bei einem Ausfall des Domänencontrollers Exchange keinen Failover zu einem anderen Domänencontroller durchführen kann.
• Wenn auf Ihren Exchange-Servern neben der Verarbeitung von Exchange-Clientcomputeranfragen auch die Aufgaben eines Domänencontrollers durchgeführt werden, kann es bei diesen Servern während starker Benutzerlast zu Leistungseinbußen kommen.
• Wenn Sie Exchange 2003 auf einem Domänencontroller ausführen, überschneiden sich möglicherweise die Verantwortungsbereiche der Administratoren für Active Directory und Exchange zur Wiederherstellung nach Datenverlusten.
• Exchange 2003-Server, die auch als Domänencontroller fungieren, können nicht in Windows-Clustern aufgenommen werden. Insbesondere unterstützt Exchange 2003 keine Exchange 2003-Clusterserver, die gemeinsam mit Active Directory-Servern vorhanden sind. Beispielsweise können Exchange-Administratoren, die sich beim lokalen Server anmelden, ihre Berechtigungen in Active Directory potenziell ausweiten, da sie physischen Zugriff auf die Konsole des Domänencontrollers haben.
• Wenn es sich bei dem Server um den einzigen Domänencontroller im Messagingsystem handelt, muss dieser auch die Funktion eines globalen Katalogservers einnehmen.
• Wenn Sie Exchange 2003 auf einem Domänencontroller ausführen, verwenden Sie nicht die Option /3GB. Bei Verwendung dieser Option wird der Systemspeicher u. U. exklusiv vom Exchange-Cache übernommen. Darüber hinaus ist die Option /3GB wahrscheinlich nicht erforderlich, da nur eine geringe Anzahl von Benutzerverbindungen vorliegen sollte.
• Da alle Dienste unter „LocalSystem“ ausgeführt werden, besteht gegenüber möglichen Sicherheitslücken ein höheres Risiko der Aussetzung. Wenn Exchange 2003 beispielsweise auf einem Domänencontroller ausgeführt wird, erhält ein Angreifer durch einen möglichen Fehler, der zum Gewähren des Zugriffs auf Active Directory führt, auch Zugriff auf Exchange.
• Ein Domänencontroller, auf dem Exchange 2003 ausgeführt wird, benötigt zum Neustarten oder Herunterfahren eine lange Zeit (mindestens ungefähr 10 Minuten). Dies ist darauf zurückzuführen, dass mit Active Directory verbundene Dienste (z. B. Lsass.exe) vor den Exchange-Diensten beendet werden. Dadurch schlagen Suchvorgänge der Exchange-Dienste nach Active Directory-Diensten wiederholt fehl. Eine Lösung dieses Problems besteht darin, das Zeitlimit für einen fehlgeschlagenen Dienst zu ändern. Eine weitere Lösung ist die manuelle Beendigung der Exchange-Dienste vor dem Herunterfahren des Servers.

Verfügbarkeit von DNS (Domain Name System) und WINS (Windows Internet Name Service)

Ähnlich den Diensten für Domänencontroller und globale Katalogserver sind die DNS-Dienste für die Verfügbarkeit der Exchange 2003-Organisation von entscheidender Bedeutung. In einem Windows Server 2003-Netzwerk suchen Benutzer über DNS und WINS (Windows Internet Name Service) nach Ressourcen. Der Ausfall eines DNS-Servers kann dazu führen, dass Benutzer Ihr Messagingsystem nicht mehr finden können.

Um sicherzustellen, dass die Exchange 2003-Topologie zuverlässigen Zugriff auf DNS bietet, sollten Sie Folgendes berücksichtigen:

• Stellen Sie sicher, dass im Netzwerk ein zweiter DNS-Server vorhanden ist. Wenn der primäre DNS-Server ausfällt, sollte der sekundäre Server in der Lage sein, die Benutzer an die richtigen Server zu verweisen.
• Integrieren Sie Windows Server 2003-DNS-Zonen in Active Directory. In diesem Szenario stellt jeder Domänencontroller einen potenziellen DNS-Server dar.
• Konfigurieren Sie jeden Clientcomputer mit mindestens zwei DNS-Adressen.
• Im Idealfall sollten sich beide DNS-Server am selben Standort wie der Client befinden. Wenn sich die DNS-Server nicht am selben Standort wie der Client befinden, sollte es sich bei dem Server, der sich am selben Standort wie der Client befindet, um den primären DNS-Server handeln.
• Stellen Sie sicher, dass sowohl die Namensauflösung als auch DNS ordnungsgemäß funktionieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 322856, „Konfigurieren von DNS für eine Verwendung mit Exchange Server“.
• Stellen Sie vor dem Bereitstellen von Exchange sicher, dass DNS am Hub-Standort und an allen Zweigstellen ordnungsgemäß konfiguriert ist.
• Für Exchange ist WINS erforderlich. Obwohl Exchange 2003 ohne WINS ausgeführt werden kann, wird dies nicht empfohlen. Aus der Verwendung von WINS zum Auflösen von NetBIOS-Namen ergeben sich Vorteile bezüglich der Verfügbarkeit. (Beispielsweise wird durch die Verwendung von WINS bei einigen Konfigurationen das potenzielle Risiko einer Verdoppelung von NetBIOS-Namen vermieden. Dies würde andernfalls zu einem Fehler bei der Namensauflösung führen.) Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 837391, „Exchange Server 2003 und Exchange 2000 Server erfordern die NetBIOS-Namensauflösung für volle Funktionalität“.

Informationen über die Bereitstellung von DNS und WINS finden Sie unter „Deploying DNS“ und „Deploying WINS“ im Microsoft Windows Server 2003 Deployment Kit.

Sicherstellen des zuverlässigen Zugriffs auf Exchange-Front-End-Server

Wenn Ihre Organisation über mehr als einen Exchange-Server verfügt, wird die Front-End- und Back-End-Serverarchitektur für Exchange empfohlen. Die Front-End- und Back-End-Architektur bietet verschiedene Vorteile für die Leistung und die Verfügbarkeit des Clientzugriffs.

Internet-Clients greifen über Front-End-Server auf ihre Postfächer zu. In Exchange 2003-Standardkonfigurationen können MAPI-Clients jedoch keine Front-End-Server verwenden. Stattdessen greifen diese Clients über Back-End-Server direkt auf ihre Postfächer zu.

Anmerkung:
Sie können RPC-über-HTTP für Exchange 2003 konfigurieren, damit die MAPI-Clients über Front-End-Server auf ihre Postfächer zugreifen können. Informationen zum Verwenden von RPC-über-HTTP finden Sie unter Exchange Server 2003 RPC over HTTP Deployment Scenarios.

Bei der Verwendung von HTTP, POP3 und IMAP4 durch Front-End-Server wird die Leistung erhöht, da die Front-End-Server den Back-End-Servern einige Lastenverarbeitung abnehmen.

Wenn MAPI, HTTP, POP3 oder IMAP4 unterstützt werden sollen, können Sie die Front-End- und Back-End-Serverarchitektur für Exchange verwenden, um folgende Vorteile zu nutzen:

• Mit Front-End-Servern werden Verarbeitungsaufgaben zwischen Servern verteilt. Beispielsweise werden durch Front-End-Server Vorgänge der Authentifizierung, Verschlüsselung und Entschlüsselung durchgeführt. Dadurch wird die Leistung Ihrer Exchange-Back-End-Server verbessert.
• Die Sicherheit des Messagingsystems wird verbessert. Weitere Informationen finden Sie im Abschnitt „Sicherheitsmaßnahmen“ weiter unten in diesem Thema.
• Um Redundanz und Lastenausgleich in Ihr Messagingsystem zu integrieren, können Sie auf den Exchange-Front-End-Servern den Netzwerklastenausgleich verwenden.

Informationen über die Planung einer Exchange 2003-Front-End- und Back-End-Architektur finden Sie unter „Planning Your Exchange Infrastructure“ im Handbuch Planning an Exchange Server 2003 Messaging System.

Weitere Informationen zum Bereitstellen von Front-End- und Back-End-Servern finden Sie unter Using Microsoft Exchange 2000 Front-End Servers. Obwohl dieses Dokument für Exchange 2000 gedacht ist, kann der Inhalt auch auf Exchange 2003 angewendet werden.

Um Fehlertoleranz in Ihr Messagingsystem zu integrieren, sollten Sie die Implementierung von Exchange-Front-End-Servern mit Netzwerklastenausgleich in Betracht ziehen. Sie sollten außerdem redundante virtuelle Server auf den Front-End-Servern konfigurieren.

Verwenden des Netzwerklastenausgleichs auf Front-End-Servern

Netzwerklastenausgleich (Network Load Balancing, NLB) ist ein Windows Server 2003-Dienst, der Unterstützung des Lastenausgleichs für Anwendungen und Dienste auf IP-Basis bietet, für die eine hohe Skalierbarkeit und Leistung erforderlich ist. Nach der Implementierung auf Exchange 2003-Front-End-Servern kann NLB zur Beseitigung von Engpässen verwendet werden, die durch Front-End-Dienste verursacht wurden.

In der folgenden Abbildung wird eine grundlegende Front-End- und Back-End-Architektur mit NLB dargestellt.

In einem NLB-Cluster wird der IP-Verkehr dynamisch an zwei oder mehrere Exchange-Front-End-Server verteilt, Clientanfragen werden transparent zwischen den Front-End-Servern verteilt, und Clients können über einen einzelnen Server-Namensraum auf ihre Postfächer zugreifen.

NLB-Cluster sind Computer, die über ihre Anzahl zu einer Erhöhung der Skalierbarkeit und Leistung der folgenden Elemente beitragen:

• Webserver
• Computer mit ISA Server (für Proxy- und Firewallserver)
• Andere Anwendungen, die TCP/IP- und UDP-Datenverkehr (User Datagram Protocol) empfangen

NLB-Clusterknoten weisen normalerweise identische Hardware- und Softwarekonfigurationen auf. Somit kann besser sichergestellt werden, dass die Benutzer eine konsistente Front-End-Dienstleistung erhalten, die unabhängig vom NLB-Clusterknoten ist, in dem der Dienst zur Verfügung gestellt wird. Die Knoten in einem NLB-Cluster sind alle aktiv.

Wichtig

NLB-Clusterbildung bietet nicht wie der Windows-Clusterdienst eine Failoverunterstützung. Weitere Informationen finden Sie im nächsten Abschnitt, „Netzwerklastenausgleich und Skalierbarkeit“.

Weitere Informationen über NLB finden Sie unter „Designing Network Load Balancing“ und „Deploying Network Load Balancing“ im Microsoft Windows Server 2003 Deployment Kit.

Netzwerklastenausgleich und Skalierbarkeit

Mit NLB können Sie das System bei steigender Beanspruchung Ihrer Exchange 2003-Front-End-Server nach oben oder nach außen skalieren. Wenn Ihr Hauptziel darin besteht, Ihren Exchange-Benutzern schnelleren Service zu bieten, ist die Skalierung nach oben (z. B. durch Hinzufügen weiterer Prozessoren und zusätzlichen Speichers) eine gute Lösung. Wenn Sie jedoch eine Maßnahme zur Fehlertoleranz für die Front-End-Server implementieren möchten, stellt die Skalierung nach außen (durch Hinzufügen weiterer Server) die optimale Lösung dar. Mit NLB ist die Skalierung nach außen auf bis zu 32 Server möglich. Mit der Skalierung nach außen wird die Fehlertoleranz erhöht, da mit steigender Anzahl der Server in einem NLB-Cluster die Auswirkungen eines Serverausfalls weniger Benutzer betreffen.

Wichtig

Sie müssen die Server im NLB-Cluster sorgfältig überwachen. Wenn ein Server in einem NLB-Cluster ausfällt, werden Clientanfragen, die für die Sendung an den ausgefallenen Server konfiguriert wurden, nicht automatisch an die anderen Server im Cluster verteilt. Wenn ein Server in einem NLB-Cluster ausfällt, muss er daher umgehend aus dem Cluster entfernt werden, um sicherzustellen, dass die Benutzer weiterhin mit den erforderlichen Diensten versorgt werden.

Konfigurieren von virtuellen Exchange-Protokollservern

Erstellen Sie beim Konfigurieren des Exchange 2003-Messagingsystems mit dem Exchange-System-Manager einen virtuellen Protokollserver, der auf einem bestimmten Front-End-Server unterstützt werden soll.

Für eine maximale Verfügbarkeit und Leistung der Front-End-Server sollten Sie beim Konfigurieren der virtuellen Protokollserver die folgenden Empfehlungen berücksichtigen:

• Stellen Sie beim Konfigurieren von NLB für Ihre Exchange 2003-Front-End-Server sicher, dass alle virtuellen Protokollserver auf den NLB-Front-End-Servern mit identischen Einstellungen konfiguriert werden.

  Wichtig

  Wenn die virtuellen Protokollserver im NLB-Cluster nicht identisch sind, treffen die E-Mail-Clients möglicherweise je nach dem Server, mit dem sie verbunden sind, auf unterschiedliches Verhalten.

• Wenn Sie für die Front-End-Server nicht NLB verwenden, erstellen Sie keine zusätzlichen virtuellen Protokollserver auf jedem Front-End-Server. (Erstellen Sie beispielsweise keine zwei identischen virtuellen HTTP-Protokollserver auf demselben Front-End-Server.) Zusätzliche virtuelle Server können die Leistung beträchtlich beeinflussen und sollten daher nur erstellt werden, wenn die virtuellen Standardserver nicht angemessen konfiguriert werden können.

Weitere Informationen über das Konfigurieren von virtuellen Exchange-Protokollservern finden Sie im Administration Guide for Exchange Server 2003.

Informationen zum Abstimmen von Exchange Server 2003-Front-End-Servern finden Sie unter Performance and Scalability Guide for Exchange Server 2003.

Implementieren einer zuverlässigen Back-End-Speicherlösung

Eine zuverlässige Speicherstrategie ist zum Erreichen eines fehlertoleranten Messagingsystems von außerordentlich großer Bedeutung. Zum Implementieren und Konfigurieren einer zuverlässigen Speicherlösung sollten Sie mit den folgenden Punkten vertraut sein:

• Exchange 2003-Datenbanktechnologie
• Bewährte Methoden zum Konfigurieren und Verwalten von Exchange-Daten
• Erweiterte Speichertechnologien wie RAID und SANs (Storage Area Networks)
• Ausführliche Informationen über das Planen und Implementieren einer zuverlässigen Back-End-Speicherlösung finden Sie unter Planen einer zuverlässigen Back-End-Speicherlösung.

Implementieren einer Serverclusterlösung

Durch das Ermöglichen von Failover für Ressourcen bieten Servercluster eine Fehlertoleranz für die Exchange 2003-Organisation. Insbesondere bieten Servercluster mit dem Clusterdienst eine Erhaltung der Datenintegrität und Unterstützung von Failover und hohe Verfügbarkeit für wichtige Anwendungen und Dienste auf den Back-End-Servern, einschließlich Datenbanken, Messagingsystemen sowie Datei- und Druckdiensten.

In der folgenden Abbildung wird ein Beispiel für einen Cluster mit vier Knoten dargestellt, in dem ein Knoten passiv ist und drei Knoten aktiv sind.

In Serverclustern ist der Zugriff auf Daten zwischen den Knoten freigegeben. Knoten können entweder aktiv oder passiv sein, und die Konfiguration jedes Knotens hängt vom Betriebsmodus (aktiv oder passiv) und von der Konfiguration des Failovers ab. Ein Server, der zum Verarbeiten von Failover festgelegt wurde, muss so dimensioniert sein, dass er den Umfang der Arbeitslast für den ausgefallenen Knoten übernehmen kann.

Anmerkung:

In Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition können Servercluster bis zu acht Knoten enthalten. Jeder Knoten ist mit mindestens einem Clusterspeichergerät verbunden. Dadurch können verschiedene Server gemeinsam auf dieselben Daten zugreifen. Da die Knoten in einem Servercluster gemeinsam auf die Daten zugreifen, sind Typ und Methode des Speichers im Servercluster wichtige Faktoren.

Informationen über die Planung von Exchange-Serverclustern finden Sie unter Planen der Exchange-Clusterbildung.

Vorteile des Clustering

Servercluster bieten der Organisation zwei Vorteile: Failover und Skalierbarkeit.

Failover

Failover ist einer der wichtigsten Vorteile von Serverclustern. Wenn ein Server in einem Cluster nicht mehr funktioniert, wird die Arbeitslast des ausgefallenen Servers in einem Failover an einen anderen Server im Cluster übergeben. Durch Failover wird die ständige Verfügbarkeit von Anwendungen und Daten sichergestellt. Die Windows-Clustertechnologien tragen zum Schutz vor drei bestimmten Ausfalltypen bei:

• Ausfälle von Anwendungen und Diensten. Diese Ausfälle betreffen Anwendungssoftware und wichtige Dienste.
• System- und Hardwareausfälle. Diese Ausfälle betreffen Hardwarekomponenten wie CPUs, Laufwerke, Speicher, Netzwerkadapter und Netzteile.
• Standortausfälle in Organisationen mit mehreren Standorten. Diese Ausfälle können durch Naturkatastrophen, Stromausfälle oder Verbindungsausfälle ausgelöst werden. Zum Schutz gegen diese Art von Ausfällen müssen Sie eine fortschrittliche Geoclusterlösung implementieren. Weitere Informationen finden Sie weiter unten in diesem Thema unter „Verwenden von mehreren physischen Standorten“.

Durch den Beitrag zum Schutz vor diesen Ausfalltypen bieten Servercluster für die Messagingumgebung die folgenden beiden Vorteile:

• Hohe Verfügbarkeit   Die Möglichkeit, Endbenutzern einen verlässlichen Zugriff auf Dienste zu bieten und gleichzeitig ungeplante Ausfälle zu verringern.
• Hohe Zuverlässigkeit   Die Möglichkeit, die Häufigkeit von Systemausfällen zu verringern.

Skalierbarkeit

Skalierbarkeit ist ein weiterer Vorteil von Serverclustern. Da Sie den Clustern weitere Knoten hinzufügen können, sind Windows-Servercluster hochgradig skalierbar.

Grenzen des Clustering

Servercluster bieten keine Fehlertoleranz auf Datenebene, sondern Fehlertoleranz auf Anwendungsebene. Beim Implementieren einer Serverclusterlösung müssen Sie auch stabile Lösungen für den Datenschutz und die Wiederherstellung implementieren, um einen Schutz vor Viren, Beschädigungen und anderen Gefahren für Daten zu gewährleisten. Clustertechnologien können keinen Schutz vor Ausfällen durch Viren, beschädigte Software oder menschliches Versagen bieten.

Clustering und fehlertolerante Hardware

Durch Clusterbildung und fehlertolerante Hardware wird das System gegen Komponentenausfälle geschützt (z. B. Ausfälle von CPU, Arbeitsspeicher, Lüfter oder PCI-Bus). Obwohl Sie Cluster und fehlertolerante Hardware gemeinsam als End-to-End-Lösung verwenden können, sollten Sie sich darüber im Klaren sein, dass mit den beiden Methoden auf unterschiedliche Weise hohe Verfügbarkeit bereitgestellt wird:

• Cluster können Schutz vor Anwendungs- oder Betriebssystemausfällen bieten. Ein eigenständiger (nicht in einem Cluster befindlicher) Server mit fehlertoleranter Hardware (oder ein Server mit Hotswap-fähiger Hardware, die bei laufendem Betrieb ausgetauscht werden kann) kann keinen Schutz vor diesen Ausfalltypen bieten.
• Mit Clustern können Sie Aktualisierungen oder Installationen in einem Clusterknoten durchführen, während sämtliche Exchange-Dienste für Benutzer verfügbar bleiben. Mit eigenständigen (nicht in Clustern befindlichen) Server müssen Sie die Exchange-Dienste häufig unterbrechen, um diese Aktualisierungen oder Installationen durchzuführen. Genaue Informationen über die Erhaltung der Exchange-Dienstverfügbarkeit beim Durchführen von Aktualisierungen oder Installationen finden Sie unter „Taking Exchange Virtual Servers or Exchange Resources Offline“ im Exchange Server 2003 Administration Guide.

Implementieren einer Überwachungsstrategie

Die ständige Überwachung des Netzwerks, der Anwendungen, der Daten und der Hardware ist für eine hohe Verfügbarkeit unerlässlich. Mit Softwareüberwachungstools und -techniken können Sie den Zustand des Systems ermitteln und potenzielle Probleme identifizieren, bevor ein Fehler auftritt.

Für eine maximale Verfügbarkeit müssen Sie Ihre Server und Anwendungen ständig verwalten und überwachen sowie Problembehandlungen durchführen. Beim Auftreten eines Problems müssen Sie schnell reagieren können, damit Sie die Daten wiederherstellen und so schnell wie möglich wieder verfügbar machen können. Als Hilfe bei der Überwachung der Exchange 2003-Organisation können Sie z. B. das Exchange 2003 Management Pack für Microsoft Operations Manager verwenden.

Vollständige Informationen über Exchange 2003 Management Pack, Microsoft Operations Manager und andere Überwachungstools finden Sie unter Implementieren von Softwaretools zur Überwachung und Fehlererkennung.

Implementieren einer Lösung für die Wiederherstellung nach Datenverlust

Zum Erhöhen der Fehlertoleranz in der Organisation müssen Sie eine gut geplante Sicherungs- und Wiederherstellungsstrategie entwickeln und implementieren. Wenn Sie vorbereitet sind, können Sie nach den meisten Fehlern eine Wiederherstellung vornehmen.

Weitere bewährte Methoden auf Systemebene

Nach dem Berücksichtigen der Maßnahmen zur Erhöhung der Fehlertoleranz in der Exchange 2003-Infrastruktur sollten Sie die folgenden bewährten Methoden auf Systemebene zusätzlich in Erwägung ziehen:

• Absichern der physikalischen Umgebungsbedingungen der Server   Ergreifen Sie Vorsichtsmaßnahmen, um zu gewährleisten, dass die Umgebungsbedingungen sicher sind.
• Sicherheitsmaßnahmen   Implementieren Sie Berechtigungsmethoden, Sicherheitspatches, physische Computersicherheit, Antivirusschutz und Antispamlösungen.
• Nachrichtenrouting   Verwenden Sie fehlertolerante Hardware, und konfigurieren Sie die Routinggruppen und Connectors ordnungsgemäß.
• Verwenden von mehreren physischen Standorten   Schützen Sie Daten vor Standortausfällen, indem Sie die Daten an Remotestandorten spiegeln oder Geoclustering implementieren, um im Fall eines Standortausfalls Failover zu ermöglichen.
• Betriebsverfahren   Verwalten und überwachen Sie Server, verwenden Sie standardisierte Verfahren, und testen Sie Ihre Verfahren zur Wiederherstellung nach Datenverlust.
• Labortests und Pilotinstallationen   Testen Sie vor dem Bereitstellen des Messagingsystems in einer Produktionsumgebung die Leistung und Skalierbarkeit in Labor- und Pilotumgebungen.

Absichern der physikalischen Umgebungsbedingungen der Server

Zum Aufrechterhalten der Verfügbarkeit der Server müssen Sie hohe Standards für die Umgebung umsetzen, in der die Server ausgeführt werden. Berücksichtigen Sie zum Erhöhen der Lebensdauer und Zuverlässigkeit der Serverhardware die folgenden Faktoren:

• Temperatur und Luftfeuchtigkeit   Installieren Sie wichtige Server in einem Raum, der zu diesem Zweck eingerichtet wurde. Dies bedeutet insbesondere, dass Sie in diesem Raum die Temperatur und die Luftfeuchtigkeit sorgfältig überwachen können. Computer weisen die beste Leistung bei ungefähr 21 °C auf. In einer Büroumgebung stellt die Temperatur normalerweise kein Problem dar. Bedenken Sie jedoch auch lange Ferienwochenenden im Sommer bei ausgeschalteter Klimaanlage.
• Staub oder Verunreinigungen   Schützen Sie Server und andere Geräte möglichst vor Staub und Verunreinigungen, und überprüfen Sie regelmäßig, ob sich Staub abgesetzt hat. Staub und andere Verunreinigungen können zu Kurzschlüssen und Überhitzung von Komponenten führen, die zwischenzeitliche Ausfälle auslösen können. Wenn das Gehäuse eines Geräts aus einem bestimmten Grund geöffnet ist, prüfen Sie kurz, ob das Gerät gereinigt werden muss. Ist dies der Fall, überprüfen Sie auch alle anderen Geräte im Bereich.
• Stromversorgung   Wie bei allen anderen Plänen zur Wiederherstellung nach Datenverlust wird die Einplanung von Stromausfällen am besten lange vor der tatsächlichen Möglichkeit eines Ausfalls vorgenommen und schließt das Ermitteln von Ressourcen ein, die für den Geschäftsbetrieb von großer Bedeutung sind. Stellen Sie Strom möglichst von mindestens zwei Schaltkreisen im Computerraum zur Verfügung, und teilen Sie redundante Stromversorgungen zwischen den Stromquellen auf. Im Idealfall sollten die Schaltkreise aus zwei Quellen von außerhalb des Gebäudes stammen. Achten Sie auf die maximale Leistungsaufnahme eines Standortes. Es kann vorkommen, dass an einem Standort so viele Server vorhanden sind, dass die maximale Leistung nicht für weitere Server ausreicht. Ziehen Sie eine Reservestromversorgung in Betracht, die im Fall eines Stromausfalls in der Computerzentrale verwendet wird. Möglicherweise ist es notwendig, Computerdienste weiterhin für andere Gebäude in der Umgebung oder für geografisch entfernte Standorte zur Verfügung zu stellen. Sie können für kurzfristige Stromausfälle Geräte für unterbrechungsfreie Stromversorgung (USV) und für längere Ausfälle Reservegeneratoren verwenden. Bei der Planung von Geräten, die während eines Stromausfalls mit Reservestrom versorgt werden müssen, sollten Sie Netzwerkgeräte wie Router berücksichtigen.
• Lage von Kabeln   Um physischen Schaden an Kabeln zu vermeiden, stellen Sie sicher, dass die Kabel ordentlich liegen, entweder durch ein Kabelverwaltungssystem oder durch Kabelbinder. Kabel sollten in einem Schrank nie lose hängen, sodass sie versehentlich abgetrennt werden könnten. Stellen Sie möglichst sicher, dass alle Kabel an beiden Enden fest verbunden sind. Achten Sie auch darauf, dass bei Geräten in Gestellen zum Herausziehen genügend Freiraum um die Kabel vorhanden ist, und dass die Kabel nicht aufgewickelt oder zerkratzt werden können. Richten Sie entsprechende Pfade für redundante Kabelsätze ein. Wenn Sie mehrere Strom- oder Netzwerkkommunikationsquellen einrichten, leiten Sie die Kabel möglichst von mehreren Punkten aus in die Gestellschränke. Wenn ein Kabel abgetrennt wird, funktionieren die anderen auf diese Weise weiterhin. Stecken Sie doppelte Netzteile nicht an derselben Stromleiste an. Verwenden Sie möglichst getrennte Steckdosen oder USV-Geräte (im Idealfall an getrennten Schalkreisen angeschlossen), um einen einzelnen Fehlerpunkt zu vermeiden.

Sicherheitsmaßnahmen

Sicherheit ist zum Erreichen eines hoch verfügbaren Messagingsystems eine wichtige Komponente. Obwohl viele Sicherheitsmaßnahmen zu berücksichtigen sind, haben die folgenden besonders große Bedeutung:

• Berechtigungsmethoden
• Sicherheitspatches
• Physische Sicherheit
• Antivirusschutz
• Antispamlösungen

Ausführliche Informationen über diese und andere Sicherheitsmaßnahmen finden Sie im Exchange Server 2003 Security Hardening Guide.

Überlegungen zum Nachrichtenrouting

Die Routingtopologie stellt die Basis des Messagingsystems dar. Bei der Planung Ihrer Routingtopologie sollten Sie daher Überlegungen zum Netzwerk, zur Bandbreite und zu geografischen Standorten berücksichtigen.

Mit dem Begriff Routing wird bezeichnet, wie mit Exchange Nachrichten zwischen den Servern ausgetauscht werden. Bei der Planung der Routingtopologie sollten Sie die Funktionsweise der Nachrichtenübertragung in Exchange verstehen, um eine optimale Nachrichtenübertragung zu gewährleisten. Sie müssen außerdem die Standorte der Connectors für Messagingsysteme außerhalb Ihrer Exchange-Organisation vorausplanen. Durch eine sorgfältige Planung kann die Menge des Netzwerkverkehrs reduziert und die Ausführung der Exchange- und Windows-Dienste optimiert werden.

Berücksichtigen Sie die folgenden Empfehlungen auf hoher Ebene, um sicherzustellen, dass das Messagerouting zuverlässig und verfügbar ist:

• Stellen Sie sicher, dass das physische Netzwerk integrierte Redundanz aufweist. Weitere Informationen finden Sie weiter oben in diesem Thema unter „Netzwerkhardware“.
• Stellen Sie sicher, dass die Connectors und Routinggruppen ordnungsgemäß konfiguriert sind. In einigen Szenarios kann beispielsweise durch die Konfiguration von redundanten Connectorpfaden mit dem Exchange-System-Manager ein einzelner Fehlerpunkt begrenzt werden.
• Konfigurieren Sie die Connectors zum Sicherstellen, dass zu allen Bridgeheadservern mehrere Pfade vorhanden sind.
• Stellen Sie sicher, dass die SMTP-Gatewayserver (Simple Mail Transfer Protocol) redundant sind, sofern vorhanden. In großen Datenzentren wird es allgemein empfohlen, bestimmte Exchange 2003-Server für die Verarbeitung von eingehendem bzw. ausgehendem SMTP-Verkehr zu dedizieren. Diese Server werden in der Regel als SMTP-Gatewayserver oder SMTP-Hubs bezeichnet. Diese Server sind für das Verschieben von SMTP-E-Mail-Nachrichten zwischen Clients und Exchange 2003-Postfachservern (Back-End-Server) zuständig.

Informationen über die Planung des Routingentwurfs und der Konfiguration (einschließlich Empfehlungen zum Erstellen von Routinggruppen und Connectors) finden Sie im Handbuch Planning an Exchange Server 2003 Messaging System.

Informationen über die Konfiguration des Nachrichtenroutings finden Sie im Exchange Server 2003 Transport and Routing Guide.

Verwenden von mehreren physischen Standorten

Zum Verbessern der Wiederherstellung nach Datenverlust und zum Erhöhen der Verfügbarkeit werden in einigen Organisationen mehrere physische Standorte verwendet. In den meisten Entwürfen mit mehreren Standorten ist ein primärer Standort und ein oder mehrere Remotestandorte enthalten, an denen der primäre Standort gespiegelt wird. Die Ebene, auf der Komponenten und Daten zwischen den Standorten gespiegelt werden, ist von der Vereinbarung zum Servicelevel und den Geschäftsanforderungen abhängig. Eine andere Option besteht in der Implementierung geografisch verteilter Cluster. Bei geografisch verteilten Clustern können im Fall eines Datenverlusts Anwendungen an einem Standort einen Failover zu einem anderen Standort durchführen.

In den folgenden Abschnitten werden weitere Informationen über Standortspiegelung und Geoclustering dargelegt.

Standortspiegelung

Bei der Standortspiegelung werden Daten (z. B. Exchange 2003-Datenbanken und -Transaktionsprotokolldaten) über synchrone oder asynchrone Replikation vom primären Standort an einen oder mehrere Remotestandorte gespiegelt.

Wenn der primäre Standort vollständig ausfällt, hängt die erforderliche Zeit zum Aktivieren der Exchange-Dienste am gespiegelten Standort von der Komplexität der Exchange-Organisation, der Menge von vorhandener vorkonfigurierter Reservehardware und dem Grad an administrativer Unterstützung ab. Eine Organisation kann beispielsweise einem vorausgeplanten Verfahren zur Wiederherstellung nach Datenverlust folgen und das Exchange-Messagingsystem innerhalb von 24 Stunden online stellen. Obwohl 24 Stunden möglicherweise nach einer langen Ausfallzeit klingen, können Sie Daten u. U. sehr nah am Fehlerpunkt wiederherstellen. Informationen über die synchrone und asynchrone Replikation von Exchange-Daten finden Sie unter „Exchange-Datenreplikationstechnologien“ in Übersicht über Speichertechnologien.

Geografisch verteilte Cluster

Eine erweiterte Methode zum Implementieren von Fehlertoleranz auf Standortebene besteht im Implementieren von geografisch verteilten Clustern. Zum Einrichten von geografisch verteilten Clustern mit Windows Server 2003 verbinden Sie SANs über große Entfernungen mit virtuellen LANs (VLANs).

Konfigurationen mit geografisch verteilten Clustern können komplex sein, und in den Clusterservern dürfen nur von Microsoft unterstützte Komponenten enthalten sein. Sie sollten geografisch verteilte Cluster nur bei Anbietern einrichten, die qualifizierte Konfigurationen anbieten.

Weitere Informationen über geografisch verteilte Clusterlösungen mit Exchange 2003 finden Sie unter Planen der Exchange-Clusterbildung.

Informationen über Windows Server 2003 und geografisch verteilte Cluster finden Sie unter Geografisch verteilte Cluster in Windows Server 2003.

Bewährte Betriebsmethoden

Beim Betreiben und Verwalten eines Exchange 2003-Messagingsystems ist es wichtig, dass das IT-Personal sich nach bewährten IP-Methoden richtet. In diesem Abschnitt werden bewährte Methoden zum Maximieren der Verfügbarkeit von Anwendungen und Computern bereitgestellt. (Diese Informationen beziehen sich auf Umgebungen mit und ohne Cluster.)

• Minimieren oder Beseitigen der Unterstützung von mehreren Betriebssystemversionen, unterschiedlichen Service Packs und veralteten Anwendungen
  Die Bereitstellung von zuverlässiger Unterstützung gestaltet sich schwierig, wenn Kombinationen von verschiedenen Software- und Hardwareversionen in einem System verwendet werden (ebenso in Systemen, die über das Netzwerk interagieren). Veraltete Software, Protokolle und Treiber (und zugehörige Hardware) sind unpraktisch, wenn sie neue Technologien nicht unterstützen. Richten Sie Ressourcen und Zeit für die Planung, Prüfung und Installation von neuen Betriebssystemen, Anwendungen und Hardware ein. Arbeiten Sie beim Planen von Softwareaktualisierungen mit Benutzern zusammen, um die benötigten Features zu identifizieren. Bieten Sie Schulung für Benutzer an, um den Übergang der Software zu erleichtern. Stellen Sie in Ihrem Software- und Supportbudget Gelder zum zukünftigen Aktualisieren von Anwendungen und Betriebssystemen bereit.

• Isolieren von unzuverlässigen Anwendungen
  Eine unzuverlässige Anwendung ist eine für das Geschäft erforderliche Anwendung, die jedoch bestimmten Standards für Zuverlässigkeit nicht entspricht. Wenn Sie mit einer solchen Anwendung arbeiten müssen, gibt es zwei grundsätzliche Herangehensweisen:

  • Entfernen Sie die unzuverlässigen Anwendungen von den Servern, die für das Unternehmen besonders wichtig sind. Wenn eine Anwendung als unzuverlässig bekannt ist, ergreifen Sie Maßnahmen, um sie zu isolieren, und führen Sie sie nicht auf besonders wichtigen Servern aus.
  • Stellen Sie ausreichende Überwachung bereit, und verwenden Sie Optionen zum automatischen Neustart, sofern möglich. Für die ausreichende Überwachung müssen Sie in regelmäßigen Abständen Snapshots von wichtigen Systemleistungswerten anfertigen. Sie können den automatischen Neustart einer Anwendung oder eines Diensts einrichten, indem Sie das Dienste-Snap-In. Weitere Informationen zu Windows-Diensten finden Sie in der Windows Server 2003-Hilfe im Überblick über Dienste.

• Verwenden von aktueller, standardisierter Hardware
  Inkompatible Hardware kann zu Leistungsproblemen und Datenverlusten führen. Richten Sie einen Hardwarestandard für neue Systeme, Ersatzteile und Reserveteile ein, und halten Sie sich an diesen Standard.

• Planen von zukünftigen Kapazitätsanforderungen
  Die Kapazitätsplanung ist für den Erfolg von hoch verfügbaren Systemen von entscheidender Bedeutung. Um zu erfahren, wie groß die derzeit verfügbare zusätzliche Kapazität des System ist, untersuchen und überwachen Sie das System zu Zeiten der größten Auslastung.

• Verwalten einer aktuellen Liste von Betriebsverfahren
  Wenn ein Stammsystemproblem behoben wurde, stellen Sie sicher, dass Sie nicht länger aktuelle Verfahren aus den Betriebs- und Supportplänen entfernen. Wenn Software ersetzt oder aktualisiert wird, kann es beispielsweise vorkommen, dass bestimmte Verfahren nicht mehr notwendig oder nicht mehr zutreffend sind. Achten Sie besonders auf Verfahren, die regelmäßig durchgeführt werden. Stellen Sie sicher, dass alle Verfahren notwendig sind und es sich nicht um zwischenzeitliche Umgehungsmöglichkeiten für Probleme handelt, deren Ursache noch nicht erkannt wurde.

• Durchführen geeigneter Überwachungsmethoden
  Wenn Sie das Messagingsystem nicht auf geeignete Weise überwachen, können Sie Probleme möglicherweise nicht erkennen, bevor sie schwerwiegend werden und Systemausfälle verursachen. Ohne Überwachung erkennen Sie ein Problem eventuell erst durch einen Anwendungs- oder Serverausfall.

• Ermitteln der Natur eines Problems vor dem Reagieren
  Wenn das Betriebspersonal nicht im sorgfältigen Analysieren von Problemen vor der Reaktion geschult und bestärkt wird, kann es vorkommen, dass viel Zeit für eine falsche Reaktion auf ein Problem aufgewendet wird. Möglicherweise verwendet das Personal auch Überwachungstools nicht effektiv in der wichtigen Zeit zwischen den ersten Anzeichen eines Problems und einem tatsächlichen Fehler.

• Behandeln der Ursache von Problemen anstelle der Symptome
  Beim Auftreten eines unerwarteten Fehlers oder beim Durchführen von kurzfristiger Vorsorgewartung ist eine Symptombehandlung eine effektive Methode zum Wiederherstellen der Dienste. Symptombehandlungen können jedoch den Verwaltungsrahmen sprengen, wenn sie normalen Betriebsverfahren hinzugefügt werden. Das Supportpersonal ist möglicherweise den Symptombehandlungen nicht gewachsen und kann auf neue Fehler nicht ordnungsgemäß reagieren.

• Vermeiden des Beendens und Neustartens von Diensten und Servern zum Vermeiden von Fehlerbedingungen
  Das Beenden und Neustarten eines Servers kann mitunter notwendig sein. Wenn durch diesen Vorgang jedoch ein Problem zwischenzeitlich behoben wird und die Ursache nicht betroffen ist, kann dies zu zusätzlichen Problemen führen.

Labortests und Pilotinstallationen

Bevor Sie eine neue Lösung in einer Produktionsumgebung bereitstellen, sollten Sie sie ausführlich testen. Dabei ist es gleichgültig, ob es sich um fehlertolerante oder Netzwerkhardware, ein Softwareüberwachungstool oder eine Windows-Clusterlösung handelt. Testen Sie nach den Test in einem isolierten Labor die Lösung in einer Pilotinstallation, in der nur wenige Benutzer betroffen sind, und führen Sie dann die erforderlichen Anpassungen des Entwurfs durch. Sobald Sie mit der Pilotinstallation zufrieden sind, können Sie eine vollständige Bereitstellung in der Produktionsumgebung durchführen.

Abhängig von der Anzahl der Benutzer in Ihrer Exchange-Organisation sollten Sie in Betracht ziehen, die vollständige Bereitstellung in mehreren Stufen durchzuführen. Vergewissern Sie sich nach jeder Stufe, dass das System für die zusätzliche Verarbeitungslast der zusätzlichen Benutzer geeignet ist, bevor Sie die nächste Benutzergruppe aufnehmen. Vollständige Informationen über die Einrichtung von Test- und Pilotinstallationen finden Sie unter „Designing a Test Environment“ und „Designing a Pilot Project“ im Microsoft Windows Server 2003 Deployment Kit.

Exchange-Kapazitätsplanungstools

Verwenden Sie folgende Kapazitätsplanungstools, um die Anzahl der für die Bewältigung der Benutzerbelastung erforderlichen Exchange-Server zu ermitteln:

• Exchange Server Load Simulator 2003 (LoadSim)
• Exchange Server Stress and Performance-Tool (ESP)
• Jetstress

Wichtig

Da einige dieser Tools Konten mit unsicheren Kennwörtern erstellen, sollten die Tools nur in Testumgebungen, jedoch nicht in Produktionsumgebungen verwendet werden.

Exchange Server Load Simulator 2003

Mit Exchange Server Load Simulator 2003 (LoadSim) können Sie die Auslastung von MAPI-Clients für Exchange ermitteln. Sie simulieren die Auslastung, indem Sie LoadSim-Tests auf Clientcomputern ausführen. Mithilfe dieser Tests werden Messaginganforderungen an den Exchange-Server gesendet, die eine Last auf dem Server verursachen.

Mit den Ergebnissen dieser Tests können Sie folgende Aktionen durchführen:

• Berechnen der Clientcomputer-Reaktionszeit für die Serverkonfiguration unter Clientlast
• Abschätzen der Anzahl von Benutzern pro Server
• Erkennen von Engpässen auf dem Server

Sie können LoadSim 2003 auf der Website Downloads for Exchange Server 2003 herunterladen.

Exchange Server Stress and Performance-Tool

Das Exchange Server Stress and Performance 2003-Tool (ESP) ist ein hoch skalierbares Belastungs- und Leistungstool für Exchange. Es simuliert eine große Anzahl von Clientsitzungen durch gleichzeitiges Zugreifen auf einen oder mehrere Protokolldienste. Die Aktionen jedes simulierten Benutzers werden durch Skripts gesteuert. Diese Skripts enthalten die Algorithmen für die Kommunikation mit dem Server. Die Skripts werden von Testmodulen (DLLs) ausgeführt. Die Testmodule stellen Serververbindungen über Internetprotokolle, Aufrufe der API-Funktionen (Application Programming Interfaces) oder Schnittstellen wie OLE DB her.

ESP ist modular und erweiterbar und bietet derzeit Module für die meisten Internetprotokolle, einschließlich der folgenden:

• WebDAV
• Internet Message Access Protocol, Version 4rev1 (IMAP4)
• Lightweight Directory Access Protocol (LDAP)
• OLE DB
• Post Office Protocol, Version 3 (POP3)
• Simple Mail Transfer Protocol (SMTP)

ESP 2003 kann unter https://go.microsoft.com/fwlink/?linkid=27881 heruntergeladen werden.

Jetstress

Exchange 2003 ist eine datenträgerintensive Anwendung. Für eine ordnungsgemäße Funktion von Exchange ist ein schnelles, zuverlässiges Datenträgersubsystem erforderlich. Jetstress ist ein Exchange-Tool, mit dem Administratoren vor dem Bereitstellen des Exchange-Servers in der Produktionsumgebung die Leistung und Stabilität des Datenträgersubsystems überprüfen können. Weitere Informationen zu Jetstress und Exchange-Back-End-Speicher finden Sie unter Planen einer zuverlässigen Back-End-Speicherlösung.

Jetstress kann unter https://go.microsoft.com/fwlink/?linkid=27883 heruntergeladen werden.