In den vorigen Artikeln, wurde eine sehr kleine Exchange Organisation aufgebaut und es wurde die Frage gestellt, ob sich nachträglich daraus eine Umgebung für eine höhere Anzahl an Benutzern und besserer Verfügbarkeit erstellen lässt. Eine höhere Anzahl von Benutzern lässt sich natürlich auch mit einer Singe Server Lösung abbilden, wenn die Ressourcen ausreichen. Im Falle eines Defekts betrifft der Ausfall dann natürlich alle Benutzer oder zumindest einen großen Teil.
Um die Frage noch einmal kurz zu wiederholen:
Ich würde die Umgebung gerne so nachbauen, derzeit sind wir nur ein kleines Unternehmen, mit noch relativ eingeschränkten Budget für die IT, wir sind bisher mit einer NAS als “Server” ausgekommen, allerdings kommen wir langsam an dessen Grenzen und wollen einen entsprechenden Server kaufen. Da wir aber auch schnell wachsen und ggf. eine weitere Firma aufkaufen, stellt sich mir die Frage, ob es möglich ist diese Beispielkonfiguration noch weiter auszubauen hinsichtlich Verfügbarkeit und höherer Benutzeranzahl?
Die Antwort auf diese Frage lautet: Ja, es geht. Die folgenden Artikel zeigen wie.
Die folgenden Artikel beziehen sich auf die vorherigen Artikel zur Aufbau einer kleinen Exchange 2016 Organisation. Daher bitte diese Artikel vorher lesen:
- Teil 1: Installation Active Directory und Konfiguration DNS
- Teil 2: Installation Exchange Server 2016 CU 2
- Teil 3: Konfiguration Exchange Server inkl. Zertifikat
- Teil 4: Konfiguration Sophos UTM 9.4 und Exchange Server für E-Mail Empfang / Versand
- Teil 5: Konfiguration Exchange Webservices, Sophos UTM, Fritzbox
Vorwort
Das Thema Verfügbarkeit ist immer so eine Sache. Jedes Unternehmen definiert die Anforderungen an die Verfügbarkeit anders, dass ist auch nur logisch und auch richtig, denn in jedem Unternehmen, gibt es Dienste die wichtig, weil ggf. produktionskritisch, und Dienste die weniger wichtig sind. In welche Kategorie das Unternehmen also seinen Exchange Server einordnet, hängt vom Unternehmen ab.
Bei einer hochverfügbaren Exchange Umgebung gibt es allerdings einiges zu beachten, denn es sind viele unterschiedliche Komponenten beteiligt: Netzwerkinfrastruktur (Internetanbindung, Router, Switches, Firewalls, AntiSPAM Gateways), Serverhardware, Active Directory, DNS und schließlich auch die Exchange Server selbst.
Ich kann an dieser Stelle leider nicht die „All-In-One“-Komplettlösung liefern, denn dazu fehlt mir die nötige Hardware. Daher werden die folgenden Artikel weniger die Netzwerkinfrastruktur behandeln, aber es wird sicherlich der ein oder andere Hinweis fallen.
Die Umgebung
Die kleine Exchange Umgebung sieht im Prinzip wie folgt aus:
Es gibt einen physikalischen Server (Server1), dieser Server beheimatet 3 virtuelle Maschinen: Sophos UTM als Firewall / AntiSPAM Gateway, Domain Controller und Exchange Server. Der Internetzugang erfolgt über eine Fritzbox.
Server1 ist ein ganz normaler Server mit lokalen Storage, ob nun Hyper-V, VMware ESXi oder was auch immer als Hypervisor eingesetzt wird, ist nebensächlich, denn wenn Server1 ausfällt wird es dunkel.
Daher wird die kleine Exchange Organisation etwas erweitert, um einen Serverausfall abfangen zu können:
Dazu werden zwei weitere Server benötigt. Server2 wird ebenfalls 3 VMs beheimaten, genau wie Server1 auch eine UTM, ein Domain Controller und einen Exchange Server. Server2 sollte also mindestens die gleiche Hardware Ausstattung haben wie Server1. Server3 muss nicht zwingend ein HyperVisor sein, daher ist er auch „kleiner“ gezeichnet. Für Server3 reicht ein Windows Server mit FileServer Rolle um später das Witness für Exchange bereitzustellen. In den folgenden Artikel gehe ich darauf noch detaillierter ein.
Vorbereitungen
Als Vorbereitung habe ich auf Server2 zwei virtuelle Windows 2012 R2 Server angelegt und zum bestehenden Active Directory hinzugefügt.
Die Namen der VMs lauten wie folgt:
- dc2.frankysweb.org
- exchange2.frankysweb.org
Die VM für die UTM kommt später dazu. Auf den WIndows Servern wurden nur die Windows Updates installiert und zur Domain hinzugefügt.
Die virtuellen Ressourcen sind gleich mit den VMs auf Server1.
Konfiguration zweiter Domain Controller auf Server2
Herzstück der kleinen Exchange Organisation ist das Active Directory. Es empfiehlt sich immer mindestens zwei Domain Controller pro Domain zu installieren, denn im Falle eines Ausfalls eines Domain Controllers steht sonst schnell die komplette Umgebung. Glücklicherweise ist es recht einfach das Active Directory redundant auszulegen. Es genügt im Prinzip einen weiteren Domain Controller hinzuzufügen. Im Falle der kleinen Exchange Organisation wurde also ein weiterer Server mit dem Namen „DC2“ installiert. DC2 verfügt über folgende Netzwerkkonfiguration:
Der Server mit dem Namen „DC2“ ist bisher nur Mitglied im Active Directory. Außer des Betriebssystems und der Windows Updates ist bisher nichts installiert.
Damit aus dem Server ein Domain Controller wird, müssen zunächst die Rolle installiert werden:
Nach der Installation, kann der Server zum DC hochgestuft werden. DC2 wird als zusätzlicher Domain Controller in das vorhandene Active Directory installiert:
Der neue Domain Controller wird ebenfalls DNS und Globaler Katalog, die restlichen Dialoge können mit „Weiter“ bestätigt werden:
Die Warnungen in der Voraussetzungsüberprüfung sind wie in den vorigen Beiträgen erwähnt normal.
Nach dem Neustart, stehen noch ein paar kleine Konfigurationen an. Die Netzwerkkonfiguration wird wie folgt abgeändert:
Somit können von diesem Server auch DNS-Records aufgelöst werden, wenn ein DNS Server ausfällt. DC2 sollte nun bereits die DNS Zonen durch die Active Directory Replikation erhalten haben:
Auch im Active Directory sollte es nun einen entsprechendes Computer Konto in der OU „Domain Controllers“ geben:
Alle weiteren Server und auch Clients (ggf. per DHCP) müssen nun den zusätzlichen DNS-Server konfiguriert bekommen. Hier als Beispiel der vorhandene Exchange Server mit dem Namen „Exchange“:
Wichtig: Alle Clients und Server müssen neben dem bevorzugten DNS Server auch den alternativen DNS Server konfiguriert bekommen, welcher DNS Server als erstes genannt wird, spielt im Prinzip keine Rolle. Fällt der bevorzugte DNS Server aus, wird auf ein TimeOut gewartet und dann der alternative DNS Server verwendet. Im Falle des Ausfalls den bevorzugten DNS Servers kann es also zu Wartezeiten kommen, wichtig ist aber: Es funktioniert weiterhin. Ebenfalls könnte man die Clients/Server 50/50 konfigurieren: 50% der Clients/Server benutzen „DC“ als bevorzugten DNS, die anderen 50% benutzen „DC2“.
Auch Exchange findet den zweiten DC und protokolliert dies mit EventID 2080:
Konfiguration Sophos UTM
Damit auch die Sophos UTM in der Lage ist beide Domain Controller zu verwenden, muss zunächst eine „Availability Group“ angelegt werden. Zu dieser Gruppe werden dann beide Domain Controller hinzugefügt:
Die neue Gruppe wird jetzt für die Authentication Services verwendet:
Somit ist auch die UTM in der Lage den Ausfall eines DCs zu tolerieren.
Zusammenfassung
Das Active Directory redundant auszulegen ist der einfachste Teil. Im Prinzip reicht es einen weiteren DC zu konfigurieren. Wichtig ist an dieser Stelle, dass alle Clients und Server auch den zweiten DC als DNS Server konfiguriert bekommen. Somit kann das Active Directory schon einmal den Ausfall von Server1 abfangen.