Mit der Recovery Storage Group (RSG) für Exchange Server hat Microsoft die Funktionalitäten des Exchange Server 2003 um ein interessantes Recovery Feature erweitert. Mit Exchange Server 2007 wurde die RSG mit einem neuen User Interface und PoweShell cmdlets erweitert. Wichtig zu wissen, wenn eine RSG angelegt wurde, ist diese nicht in der Exchange Management Console (EMC) sondern nur in der Exchange Management Shell (EMS) ersichtlich.

Als Basis für ein Recovery dient immer ein Backup des Exchange Information Store. Dazu eignet sich sehr gut Microsofts Data Protection Manager (DPM) oder Backup Exec von Symantec. Mit Windows Server 2003 waren auch noch Sicherungen mit NTBackup möglich. Soweit so gut, nun zu den eigentlichen Arbeiten.

Vorbereitungen

1. Zunächst muss mit dem PowerShell cmdlet “New-StorageGroup” eine neue Storage Group angelegt werden:
   • New-StorageGroup -Server <ExchangeServer> -LogFolderPath X:\Microsoft\Exchange Server\Mailbox\<RSG> -SystemFolderPath Y:\Microsoft\Exchange Server\Mailbox\<RSG> -Name <RSGN> –Recovery
2. In der EMC wird die Recovery Storage Group nun allerdings nicht angezeigt. Jedoch kann mit dem cmdlet “Get-StorageGroup | ft” der Vorgang geprüft werden. Besonders wichtig ist, dass die Option “Recovery” auf “True” gesetzt ist.
3. Für die Wiederherstellung muss nun noch eine Mailbox Database angelegt werden:
   • New-MailboxDatabase -MailboxDatabaseToRecover <ExchangeServer>\<SG>\<Database> –StorageGroup <ExchangeServer>\<RSG> -EdbFilePath Y:\Microsoft\Exchange Server\Mailbox\<RSG>\<Database.edb>
4. Die Option “This Database can be overwritten by a restore” wird mit dem PowerShell cmdlet “Set-MailboxDatabase -Identity <ExchangeServer>\<RSG>\<Database> –AllowFileRestore:$true“. Diese Mailbox Database darf erst nach dem Restore bereitgestellt werden.

Restore

1. Für einen Restore muss nun ein Restore der Mailbox Database gestartet werden. Bei Backup Exec kann zum Beispiel explizit angegeben werden, dass dieser in die RSG erfolgen soll. Wie der Vorgang auszuführen ist, gibt der Hersteller der Backup Software vor.
2. Die wiederhergestellte Mailbox Database kann nun, wenn nicht durch die Backup Software bereits erledigt, mit dem PowerShell cmdlet mit “Mount-Database -Identity <ExchangeServer>\<RSG>\<Database>” bereitgestellt werden.
3. Zu diesem Zeitpunkt steht zusätzlich die Mailbox Database mit dem Stand des letzten Backup zur Verfügung. Es stehen nun folgende Szenarien für die Wiederherstellung der Daten zur Verfügung:
   • Mailbox-Wiederherstellung in Original-Folders
     • Restore-Mailbox -Identity <Mailbox> -RSGDatabase <ExchangeServer>\<RSG>\<Database>
   • Mailbox-Wiederherstellung in einen Sub-Folder
     • Restore-Mailbox -Identity <Mailbox> -RSGDatabase <ExchangeServer>\<RSG>\<Database> -RSGMailbox <Mailbox> -TargetFolder <FolderName>
   • Mailbox-Wiederherstellung in einen Sub-Folder eines anderen Users
     • Restore-Mailbox -Identity <TargetMailbox> -RSGDatabase <ExchangeServer>\<RSG>\<Database> -RSGMailbox <SourceMailbox> -TargetFolder <FolderName>
   • Last but not least lassen sich auch Selektionen erstellen, dass zum Beispiel nur E-Mails mit einem entsprechenden Betreff, Nachrichtentext, oder Ordner. Dies könnte dann wie folgt aussehen:
     • Restore-Mailbox -Identity -RSGDatabase <ExchangeServer>\<RSG>\<Database> -SubjectKeywords "Meeting" -IncludeFolders \Inbox,\Calendar

Clean Up

1. Nach der erfolgreichen Wiederherstellung kann die Bereitstellung wieder aufgehoben “Dismount-Database -Identity <ExchangeServer>\<RSG>\<Database>” und entfernt werden: “Remove-MailboxDatabase -Identity <ExchangeServer>\<RSG>\<Database>“. Die Files müssen dann noch manuell von den Disks gelöscht werden.
2. Auch die Recovery Storage Group kann entfernt werden:
   • Remove-StorageGroup -Identity <ExchangeServer>\<RSG>

Ein wichtiger Hinweis für Backup Exec Administratoren. Sollte nachfolgende Fehlermeldung bei einem Restore-Job kommen, muss bei der Recovery Storage Group für die Transaction Logs und die Database Files derselbe Ordner konfiguriert werden, Symantec Document 304636.

e000ff00 – Unable to restore some Microsoft Exchange components because one or more of the databases are currently mounted or because the Recovery Storage Group is not properly configured. Use the Exchange System Manager to check the configuration of the Recovery StFor additional information regarding this error refer to link V-79-57344-65280

Weitere Informationen

• Microsoft Technet: How to Recover a Mailbox by Using a Recovery Storage Group
• Microsoft Technet: Understanding Recovery Storage Groups
• Microsoft Technet: Restore-Mailbox
• Symantec Documend 299849: About restoring Exchange 2003 and Exchange 2007 data using the recovery storage group

Microsoft hat heute das Update Rollup 5 für Microsoft Exchange Sever 2007 SP1 freigegebenen. Weitere Informationen zum Update gibt es im Microsoft KB 953467. Das Rund ~66MB grosse Update kann für x64 und x86 heruntergeladen werden. Zum Download… Besonders herausheben möchte ich den Fix für das Problem mit dem Offline Address Book (OAB) und Windows Server 2008 Failover-Clusters (SCC und CCR):

• Microsoft KB 954197: Exchange 2007 CAS cannot copy the OAB from the OAB share on Windows Server 2008-based Exchange 2007 CCR clusters
• Microsoft KB 957978: The OAB generation is unsuccessful and Event IDs 9328 and 9373 are logged in the Application log in a Windows Server 2008-based Exchange 2007 Single-Copy cluster environment

Gemäss Microsoft Exchange Team Blog werden weitere weit bekannte Probleme angegangen:

• The rollup installer will now make the required modifications to the config files, even create new config files if not found. If customers have already modified the config files and have a generatePublisherEvidence setting, it will be left intact. Note that you still need the right version of .NET (see KB 944752) for the fix to take effect.
• Blank OWA logon page after installation of rollups 3 and 4, if you have modified logon.aspx file. The rollup installer will now overwrite any OWA script files if required to ensure proper operation of OWA. You will need to redo any customization after installation of the rollup.

Elan Shudnow hat in seinem Blog einen Artikel zum Thema “Exchange 2007 SP1 and Server 2008 information” geschrieben, welche weitere interessante Issues beschreibt.

Weitere Informationen

• MSExchangeFAQ: Rollups für Exchange 2007
• Microsoft TechNet Forum: Community für Issues rund um Exchange Softwaree Updates
• Server Talk: Exchange Server 2007 benötigt Zugriff auf Certificate Revocation List

Mal wieder etwas Off Topic. Im Internet bin ich über dieses Video gestossen. Sehr Humorvoll zeigt dieses YouTube Video das Szenario, falls die Matrix auf Windows basieren würde…

Die Anforderungen an eine Messaging Plattform wie Exchange Server 2007 ist längst nicht mehr auf E-Mail beschränkt. Die Kunden möchten jederzeit und von überall auf die Mailbox zugreifen. Dies wird mit Features wie Exchange Active Sync, Outlook Web Access oder auch Outlook Anywhere (RPC over HTTPS) ermöglicht.

Mit Exchange Server 2007 wurde eine Schlüsselkomponente namens “Autodiscover” eingeführt. Das Ziel dieses Services besteht darin, dass Outlook 2007 und Windows Mobile 6.1 automatisch die entsprechende Konfiguration vom Client Access Server erhalten und den Weg zur entsprechenden Mailbox oder dem Offline Adressbuch finden. Die Kommunikation findet jeweils über HTTPS, TCP Port 443, statt. By Default wird daher bei der Installation bei jedem Exchange Server, ausgenommen bei der Mailbox Role, ein “self-signed” Certificate angelegt. Dies ist natürlich weniger für eine produktive Umgebung geeignet. Der Einsatz einer öffentlichen Zertifizierungsstelle wird daher dringendst zu erwägen.

Mit Exchange Server 2007 werden verschiedene URL’s angesprochen. Es empfiehlt sich bei der Konfiguration folgende URL’s einzuplanen, für welche auch ein Zertifikat erforderlich ist:

• mail.domain.tld (für MX-Record, SMTP, POP3, IMAP, OWA, Exchange ActiveSync)
• autodiscover.domain.tld (Autodiscover Service)
• srvname.internaldomain.tld (Exchange CAServer FQDN)
• srvname (Exchange CAServer NetBIOS Name)

Damit das Management einfach und übersichtlich bleibt, wird der Einsatz eines “Subject Alternative Name” (SAN), oder auch “Unified Communications Certificates” (UCC) genannt, empfohlen. Zum aktuellen Zeitpunkt sind diese SAN Certificates noch nicht bei allen Certification Authority (CA) verfügbar. Weitere Informationen dazu im Microsoft KB 929395. Sehr guten Service bieten Digicert und GoDaddy.

In manchen Situationen kann es vorkommen, dass man kein SAN Certificate einsetzen möchte. Mit Microsoft Outlook 2007 SP1, oder entsprechendem Hotfix, ist auch die Konfiguration mit einem Single Name Certificate möglich. Ein solches bekommt man bei schon ab $30 pro Jahr. Das empfohlene Subject Alternative Name (SAN) Certificate bekommt man allerdings inzwischen schon ab $90 pro Jahr (Stand November 2008). Wichtig, die Konfiguration von Exchange Server mit einem Single Name Certificate ist durchaus komplexer und nicht für alle Services geeignet. Ob es sich nun also wirklich lohnt die paar Dollars zu sparen lassen wir mal offen stehen…

Certificate Request und Import

Am einfachsten kann ein Certificate Request mit dem Wizard von Digicert erstellt werden. Ein PowerShell cmdlet für ein Single Name Certificate für die Domain mail.server-talk.eu sieht zum Beispiel wie folgt aus: New-ExchangeCertificate -GenerateRequest -Path c:\mail_server-talk_eu.csr -KeySize 2048 -SubjectName "c=CH, s=, l=, o=Server Talk, ou=Bloggers, cn=mail.server-talk.eu" -PrivateKeyExportable $True

Dieses cmdlet muss in der Exchange Management Shell (EMS) ausgeführt werden. Nebenbei erwähnt, Unterstützung für PowerShell bietet Quest’s PowerGUI (Freeware). In den meisten Fällen wird die Bestellung durch den Certification Authority innert wenigen Stunden bearbeitet. Der offene Request kann ebenfalls in der EMS abegschlossen und das Certificate direkt aktiviert werden. Dies wird mit diesem cmdlet durchgeführt: Import-ExchangeCertificate -Path C:\ certificates\import.pfx | Enable-ExchangeCertificate -Services IIS

DNS

Da das Singele Name Certificate auf mail.server-talk.eu ausgestellt wurde, Microsoft Outlook 2007 jedoch über autodiscover.server-talk.eu den Autodiscover Service kontaktiert wird ein SSL Fehler ausgegeben. Aus diesem Grund wird die Verbindung mittels DNS auf den registrierten Namen umgeleitet. Sämtliche HOST (A)- und CNAME Records welche für den Autodiscover Service angelegt wurden sollten vorgängig bereinigt werden. Bei einem Windows DNS Server wird ein SRV-Record wie folg angelegt:

1. Im DNS Manager den DNS-Server auswählen und die “Forward Lookup Zones” erweitern.
2. Auf der entsprechenden Domain mittels Rechtsklick “Other New Records… | Service Location (SRV)” anwählen und mit “Create New Record…” bestätigen.
3. Folgende Werte müssen nun eingetragen werden
   • Service: _autodiscover
   • Protocol: _tcp
   • Port Number: 443
   • Host offering this service:
4. Mit “OK” wird der SRV-Record angelegt.

Bei einem externen DNS stehen unter Umständen weniger Felder zur Verfügung. Die Konfiguration sieht zum Beispiel bei DynDNS wie folgt aus:

• Host: _autodiscover._tcp.server-talk.eu
• Type: SRV
• Data: 0 0 443 mail.server-talk.eu.

Ob nun der DNS-Record vorhanden ist und entsprechend funktioniert, kann mit nslookup getestet werden: nslookup -type=srv _autodiscover._tcp.server-talk.eu. Als Output sollte etwas in dieser Form geliefert werden:

_autodiscover._tcp.server-talk.eu SRV service location:
priority = 0
weight = 0
port = 443
svr hostname = mail.server-talk.eu

Exchange Server URL Konfiguration

Als letzer, aber durchaus einer der wichtigsten Punkte, ist die Konfiguration der Exchange Server URL’s. Für Exchange ActiveSync (EAS), Offline Address Book (OAB), Outlook Web Access (OWA) und Outlook Anywhere muss die im SSL Certificate registrierete URL als External URL und wenn auch intern über Port 443 kommuniziert werden soll, ebenfalls als Internal URL angepasst werden. Ein mögliches Konfigurations-Script wird in diesem Artikel beschrieben (comming soon).

Viele wichtige, interessante Hinweise zur Technik und Konfiguration liefert das ”Exchange 2007 Autodiscover Service“ White Paper von Microsoft. Weitere Unterstützung zur Konfiguration gibt es bei den Exchange Ninjas, oder bei Franks Exchange FAQ.

Connectivity Tests

Abschliessend sollte die Konfiguration getestet werden. Besonders eignet sich dazu Microsoft’s testexchangeconnectivity.com, mit welchem sich diverse Test-Szenarien durchführen lassen.

Weitere Informationen

• Microsoft Technet: Understanding the Self-Signed Certificate in Exchange 2007
• Microsoft KB 940881: Enable Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service
• Microsoft KB 939184: Description of the update rollup for Outlook 2007: June 27, 2007
• Microsoft KB 200525: Using NSlookup.exe

Wer eine Exchange Server 2007 Infrastruktur aufbauen will, muss sich früher oder später mit der Planung und dem Design auseinander setzen. Microsoft stellt dafür ein sehr hilfreiches Tool zur Verfügung, den System Center Capacity Planer 2007. Ein Überblick über die Funktionen:

• Simple installation and setup
• Built-in knowledge of Exchange Server 2007
• Add-in knowledge for Microsoft Windows SharePoint Services 3.0, and Microsoft Office SharePoint Server 2007, as well as Microsoft System Center Operations Manager 2007
• Recommended topology in a Graphical User Interface
• Export topology to Visio and server configuration to Excel
• Model server performance and end-user response time
• Hardware library includes popular configurations
• Create custom hardware

Der Capacity Planer ist einfach zu handhaben, schnell installiert und dazu noch kostenlos. Es stehen folgende Capacity Planning Models bereit:

• Exchange Server 2007
• Office SharePoint Server 2007
• System Center Operations Manager 2007
• Windows SharePoint Services 3.0

Mit diesem Tool ist die Antwort auf die Frage “wie gross soll mein Exchange Server sein” um einiges einfacher. Zum Download…