Bei Microsoft betreibt inzwischen jedes Team einen eigenen Blog. Damit man da noch die Übersicht bei den vielen “offiziellen Team Blogs” behalten kann, gibt es bei BlogsMS eine aktuell gehaltene Liste. Bis zum heutigen Datum sind dort 214 Blogs gelistet. Den Artikel mit der Blog-Liste kann hier eingesehen werden. Sehr zu empfehlen sind folgende Blogs:

• Product Support
  • Support Lifecycle
  • SysInternals
• Security
  • Windows Security
• Systems Management
  • System Center Configuration Manager
  • System Center Operations Manager
  • System Center Virtual Machine Manager
• Unified Communications
  • Microsoft Exchange
• Virtualization
  • Terminal Services Remote Desktop Services
  • Windows Virtualization
• Windows Server and Infrastructure
  • Active Directory Services
  • Clustering and High Availability
  • Group Policy
  • Server Core Ask the Core Team
  • Storage
  • Windows Powershell
• Windows Server Networking and Remote Access
  • DHCP Windows Enterprise Networking Group
  • Network Access Protection

Sehr praktisch sind auch die Microsoft Team Blogs OPML Files. Damit lassen sich die Links direkt in Outlook importieren, zum Download…

Für die Installation von Exchange Server 2007 ist eine Schema Erweiterung erforderlich. Diese kann automatisch im grafischen Setup (GUI) durchgeführt werden, oder man führt diese step-by-step in einem Command Prompt (CMD) durch. Dies hat den Vorteil, dass sämtliche Änderungen vollständig im Forest repliziert und unangenehme Fehler dadurch vermieden werden können. Optimaler weise wird die Erweiterung des Schemas direkt auf dem Domain Controller mit der FSMO-Role “Schema Master” durchgeführt. Der Vorgang kann aber auch von dem zukünftigen Exchange Server gestartet werden… Da in den meisten Fällen die Domain Controller basierend auf einem 32-Bit Windows installiert wurden (was auch völlig in Ordnung ist), kann hier nicht die gleiche Source wie für die produktive Exchange Server 2007 Installation verwendet werden. Die 32-Bit Version stellt Microsoft als Trial zum Download bereit. Auf dem System wo die Schema Extentsion durchgeführt werden soll, müssen folgende Voraussetzungen geschaffen werden:

• Windows Server 2003
  • Microsoft Windows PowerShell
  • Microsoft .NET Framework 2.0
  • Microsoft .NET Framework 2.0 Update
  • Microsoft Management Console (MMC) 3.0
• Windows Server 2008
  • Microsoft Windows PowerShell: ServerManagerCmd -i PowerShell
  • Microsoft AD Management Tools: ServerManagerCmd -i RSAT-ADDS

Die Source (Exchange Server 2007 32-Bit) sollte in ein Temporäres Directory entpackt werden, zum Beispiel “C:\Temp\EXCSource”. Die Befehle für die Schema Extension werden in einem “Command Prompt” durchgeführt. Diese muss bei Windows Server 2008 als Administrator ausgeführt werden

Schritt 1

Dieser Vorgang bereitet die Exchange Server 200x Umgebung für Exchange Server 2007 vor. Wird eine neue Exchange Server 2007 Organization installiert, ist dieser Befehl nicht notwendig.

• Permissions
  • Mitglied der Gruppe “Domain Admins”
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal: setup /PrepareLegacyExchangePermissions
  • Kurzform: setup /pl
• Weitere Informationen
  • Microsoft Technet: Preparing Legacy Exchange Permissions

Schritt 2

In diesem Vorgang wird das Active Directory Schema für Exchange Server 2007 erweitert. Dieser Vorgang darf/muss nur einmal pro Active Directory ausgeführt werden. Übrigens, wurde “setup /pl” nicht separat ausgeführt, ist dies nicht weiter schlimm. In diesem Fall wird der fehlende Vorgang automatisch zusammen mit “setup /ps” ausgeführt.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
  • Mitglied der Gruppe “Schema Admins “
  • Mitglied der Gruppe “Exchange Full Administrator”
• Befehl
  • Normal: setup /PrepareSchema
  • Kurzform: setup /ps
• Weitere Informationen
  • Microsoft Technet: Active Directory Schema Changes

Schritt 3

Dieser Parameter bereitet das Active Directory für die Exchange Installation vor. Existiert noch keine Exchange Organization, muss diese mit “/OrganizationName” (gemäss Konzept) definiert und angelegt werde. Bei einem Upgrade kann dieser Switch weggelassen werden. Für diesen Vorgang müssen sämtliche Domains im Forest auf Port 389 ansprechbar sein.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal: setup /PrepareAD /OrganizationName:ExchangeTalk
  • Kurzform: setup /p /on:ExchangeTalk
• Prüfung
  • Mit ADSIEdit kann die “objectVersion” in Active Directory geprüft werden. Dazu müssen die “Properties” von “DC=MyDomain,CN=Configuration,CN=Services,CN=Microsoft Exchange,CN=MyOrganization” geöffnet werden. Die Version von Exchange Server 2007 SP1 lautet 11221, Exchange Server 2007 RTM 10666.
• Weitere Informationen
  • Microsoft Technet: Exchange 2007 Server Setup Permissions Reference
  • Microsoft Technet: Insufficient Permissions to Prepare Active Directory

Schritt 4

In jeder zusätzlichen Domain des Forest, wo Exchange Server 2007 installiert werden soll oder E-Mail-aktivierte User enthalten soll, muss die Domain vorbereitet werden. Dazu wird entweder der FQDN der Domain explizit angegeben, oder der Vorgang direkt für sämtliche Domains ausgeführt. Die lokale Domain wurde bereits in Schritt 3, mit /prepareAD, entsprechend vorbereitet.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal (specific Domain): setup /PrepareDomain:fqdn.mydomain.com
  • Kurzform (specific Domain): setup /pd:fqdn.mydomain.com
  • Normal (alle Domains): setup /PrepareAllDomains
  • Kurzform (alle Domains): : setup /pad
• Weitere Informationen
  • Microsoft Technet: Exchange 2007 Server Setup Permissions Reference

Überprüfung

Die Version des Schema kann mittels ADSIEdit ermittelt und kontrolliert werden. ADSI Edit (“adsiedit.msc”) oder ein anderes Tool starten und folgenden Path öffnen: CN=ms-Exch-Schema-Version-Pt,CN=Schema,CN=Configuration,DC=intra,DC=server-talk,DC=eu. Das Attribute “Range Upper” zeigt die aktuelle Version an, für welche der Active Directory Forest vorbereitet wurde. Mögliche Werte wären:

• Exchange Server 2000 = 4397
• Exchange Server 2000 SP3 = 4406
• Exchange Server 2003 = 6870
• Exchange Server 2003 SP3 = 6936
• Exchange Server 2007 = 10628
• Exchange Server 2007 SP1 = 11116

Der Status der Active Directory Replikation kann mit dem Support Tool “replmon.exe” verfolgt werden. Diesem Thema hat Yusuf in seinem Blog einen kompletten Artikel gewidmet.

Weitere Informationen

• Microsoft Technet: Preparing Active Directory for Exchange 2007 White Paper
• Microsoft Technet: How to Prepare Active Directory and Domains
• Microsoft Technet: Active Directory Schema Changes (SP1)
• Microsoft Technet: Description of the Parameters Used With the Exchange 2007 Setup.com Tool White Paper
• Microsoft KB 556086: How to find the current Schema Version
• Active Directory Team Blog: Troubleshooting ADPREP Errors

Damit Exchange Server 2007 auf einem Windows Server 2008 System installiert werden kann, Vorbereitungen am zukünftigen Exchange Server aber auch am Active Directory notwendig. Wichtig, es lässt sich nur die Version mit integriertem Exchange Server Service Pack 1 auf Windows Server 2008 installieren. Die Installation auf Basis des Server Core ist bei Exchange Server nicht möglich.

Server Vorbereitungen

Für die Installation einer Exchange Umgebung auf Basis von Windows Server 2008 müssen auf den Servern zunächst gewisse Basis Erweiterungen installiert werden. Windows PowerShell gehört zwar zum Lieferumfang von Windows Server 2008, wird aber nicht standardmässig installiert. Die Installation kann mit dem Befehl “ServerManagerCmd -i PowerShell” gestartet werden. Für die Installation muss ein Command Prompt zwingend als Administrator ausgeführt werden.

Mit dem Befehl “ServerManagerCmd -i RSAT-ADDS“ wird die Installation der “Active Directory Domain Services Remote Management Tools” gestartet. Diese Tools werden auch auf dem Server benötigt, wo das Active Directory Schema vorbereitet wird. Nach Abschluss der Installation ist ein Neustart des Servers erforderlich.

Für die Verwaltung der Exchange Server müssen zusätzliche IIS Components installiert werden. Auch diese Befehle aus einer Command Prompt starten: “ServerManagerCmd -i Web-Metabase” und “ServerManagerCmd -i Web-Lgcy-Mgmt-Console“. Ohne diese IIS Components währe es nicht möglich, die Client Access Role von einem Hub-Transport Server aus zu verwalten.

Jede Exchange Server Role erfordert spezifische Components. Nachfolgend eine Zusammenstellung:

• Client Access Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • IIS
    • ServerManagerCmd -i Web-Server
    • ServerManagerCmd -i Web-ISAPI-Ext
    • ServerManagerCmd -i Web-Metabase
    • ServerManagerCmd -i Web-Lgcy-Mgmt-Console
    • ServerManagerCmd -i Web-Basic-Auth
    • ServerManagerCmd -i Web-Digest-Auth
    • ServerManagerCmd -i Web-Windows-Auth
    • ServerManagerCmd -i Web-Dyn-Compression
  • RPC-über-HTTP-Proxyfeature
    • ServerManagerCmd -i RPC-over-HTTP-proxy
• Edge Transport Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • Active Directory Lightweight Directory Services (AD LDS)
    • ServerManagerCmd -i ADLDS
• Hub Transport Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
• Mailbox Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • IIS
    • ServerManagerCmd -i Web-Server
    • ServerManagerCmd -i Web-ISAPI-Ext
    • ServerManagerCmd -i Web-Metabase
    • ServerManagerCmd -i Web-Lgcy-Mgmt-Console
    • ServerManagerCmd -i Web-Basic-Auth
    • ServerManagerCmd -i Web-Windows-Aut
  • Failover Clustering (Sofern Cluster…)
    • ServerManagerCmd -i Failover-Clustering
• Unified Messaging Server
  • Windows PowerShell
    • ServerManagerCmd -i PowerShell
  • Windows Media Player audio/video codecs
    • ServerManagerCmd -i Desktop-Experience

Übrigens, eine Liste sämtlicher konfigurierten Server Roles und Features kann mit “ServerManagerCmd -q” erstellt und angezeigt werden. Nils Kaczenski von faq-o-matic.net hat ein Script für die vereinfachte Installation der benötigten Komponenten geschrieben.

Active Directory Schema Erweiterung

Vor der Installation eines Exchange Server 2007 sind wie Vorbereitungen am Active Directory notwendig. In grösseren Umgebungen ist es zu empfehlen, die Vorbereitungen als Command-line Setup durchzuführen. Dies ermöglicht die Verifizierung jedes Tasks und verschafft der Replikation mehr Zeit. Die Schema Erweiterung wird wie folgt durchgeführt:

1. setup.com /PrepareLegacyExchangePermissions
   Dieser Parameter bereitet die Exchange Server 200x Umgebung für Exchange Server 2007 vor. Wird eine neue Exchange Server 2007 Organization installiert, ist dieser Befehl nicht notwendig.
2. setup.com /PrepareSchema
   Damit wird das Active Directory Schema für Exchange Server 2007 erweitert. Dieser Vorgang darf/muss nur einmal pro Active Directory ausgeführt werden.
3. setup.com /PrepareAD /OrganizationName:MyOrganizationName
Dieser Parameter bereitet das Active Directory für die Exchange Installation vor. Den Exchange Organization Name gemäss Konzept eingeben.
4. setup.com /PrepareDomain
   Zusätzlich zu der Schema Erweiterung muss auch jede Domäne vorbereitet werden, in der E-Mail aktivierte Objects erstellt oder auch aktiviert werden.
5. setup.com /PrepareAllDomain
   Dieser Parameter bereitet alle Domains in einem Forest für die Verwendung von Exchange Server 2007 vor. Dieser Befehl sollte aus der Root Domain als Enterprise Administrator aufgerufen werden.

Exchange Server Installation

Die Installation kann ebenfalls auf als Command-line Setup aufgerufen werden, im sogenannten Unattended Mode. Mit “setup.com /Roles:HT,CA,MB /Mode:Install /DomainController:MyDC” werden zum Beispiel die Rollen Client Access, Hub-Transport und Mailbox Server installiert. Alle mögliche Parameter können mit “setup.com /help:install” angezeigt werden.

Nach Abschluss der Installation wird folgendes in der Command Prompt ausgegeben:

Welcome to Microsoft Exchange Server 2007 Unattended Setup

Preparing Exchange Setup

The following server roles will be installed
    Management Tools
    Hub Transport Role
    Client Access Role
    Mailbox Role

Performing Microsoft Exchange Server Prerequisite Check

    Hub Transport Role Checks         ……………………. COMPLETED
        Setup cannot detect an SMTP or Send connector with an address space of ‘*’. Mail flow
        to the Internet may not work properly.
    Client Access Role Checks          ……………………. COMPLETED
    Mailbox Role Checks                  ……………………. COMPLETED

Configuring Microsoft Exchange Server
    Copying Exchange files               ……………………. COMPLETED
    Exchange Management Tools       ……………………. COMPLETED
    Hub Transport Server Role           ……………………. COMPLETED

The Microsoft Exchange Server setup operation completed successfully.

Es empfiehlt sich, Exchange Server Updates direkt in die Installation mit einzubeziehen: How-To: Exchange Server Updates automatisch mit-installieren

Ab diesem Zeitpunkt kann Exchange Server 2007 konfiguriert werden. Zum Beispiel sollte ein gültiger Product Key eingetragen werden: Set-ExchangeServer MyExchangeServer -ProductKey:MyKey.

Weitere Informationen

• Microsoft Technet: How to Prepare Active Directory and Domains
• Microsoft Technet: How to Install Exchange 2007 in Unattended Mode
• Gerod Serafin’s Technet Blog: Preparing your AD for Exchange 2007 SP1

Soll ein Domain Controller auf einem Windows Server Core 2008 installiert werden, muss zunächst ein neuer Server als Core Server installiert werden. Nach Abschluss der Windows Installation müssen folgende Komponenten gemäss Konzept konfiguriert werden:

• Network
• Computer Name
• Remote Desktop Connection
• Firewall

Server Konfiguration

Die Konfiguration kann mittels Command Prompt, beschrieben in einem älteren Artikel “How-To: Hyper-V mit Windows Server Core 2008“, oder dem inoffiziellen Tool “Server Core Configurator” von Guy Teverovsky vorgenommen werden. Zum Download…

Domain Controller Installation

Beim Server Core kann der “Active Directory Domain Controller Installation Wizard” (dcpromo) nicht wie früher ausgeführt werden. In diesem Fall wird ein “Unattend file” für die Installation der Domain Controller Role benötigt. Einfachheitshalber kann das benötigte Unattend file auf einem anderen Windows Server 2008 (mit GUI) erstellt werden. Informationen dazu gibt es im Microsoft Support KB 947034. Ein solches File kann wie folgt aussehen:

[DCINSTALL]
UserName=Administrator
UserDomain=intra.server-talk.eu
Password=MyPa$$w0rdIsSaf3
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=intra.server-talk.eu
InstallDNS=Yes
ConfirmGC=Yes
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=MyPa$$w0rdIsSaf3
RebootOnCompletion=Yes

Die Installation wird dann mit dem Command “dcpromo /answer:c:\dccore.txt” gestartet. Die Active Directory Domain Services binaries werden automatisch installiert. Nach dem Reboot wurde der Server bereits in die OU “Domain Controllers” verschoben und nimmt seine Tätigkeiten als Domain Controller auf.

Nach der Installation der Domain wird im lokalen File der Eintrag bei “Password” und “SafeModeAdminPassword” entfernt. Das File kann also ohne Bedenken auf dem Server belassen werden. Übrigens, ein Demotion (De-Installation) eines Domain Controllers erfolgt mit dem Befehl: dcpromo /AdministratorPassword:"MyPa$$w0rdIsSaf3"

Weitere Informationen

• Microsoft TechNet: Server Core Installation Option of Windows Server 2008 Step-By-Step Guide
• Microsoft TechNet: Demotion Operation

Wenn bei der Exchange Server Source die Updates integriert wurden, erfolgt die Installation wahrscheinlich von einer lokalen Disk, wie zum Beispiel “E:\Microsoft\Exchange Server\Source\”. Bei der Vorbereitung des Active Directory kann es beim Ausführen des Command “setup.com /PrepareAD /OrganizationName: ServerTalkMail“ zu einem Fehler kommen:

Performing Microsoft Exchange Server Prerequisite Check
    Organization Checks              ……………………. COMPLETED

Configuring Microsoft Exchange Server
    Organization Preparation         ……………………. FAILED
     You do not have permissions to read the security descriptor on CN=Deleted
     Objects,CN=Configuration,DC=intra,DC=server-talk,DC=ch.

Wird allerdings die Installation respektive “setup.com“ von “D:\Microsoft\Exchange Server\Source\” gestartet, funktioniert der Command “/PrepareAD” ohne Probleme:

Performing Microsoft Exchange Server Prerequisite Check
    Organization Checks              ……………………. COMPLETED

Configuring Microsoft Exchange Server
    Organization Preparation         ……………………. COMPLETED

The Microsoft Exchange Server setup operation completed successfully.

Weitere Informationen

• Microsoft Technet: White Paper: Preparing Active Directory for Exchange 2007
• Microsoft KB 556086: How to find the current Schema Version
• Microsoft KB 274737: How to Verify That ForestPrep and DomainPrep Completed Successfully

Jeder kennt Microsoft’s ADSIEDIT um mittels LDAP auf das Active Directory zuzugreifen. Softerra bietet mit “Softerra LDAP Administator” ein kommerzielles Produkt mit zusätzlichen Funktionen und vereinfachter Handhabnung. Besonders hilfreich ist, dass im rechten Fenster direkt die entsprechenden Felder samt Inhalt angezeigt werden. Leider werden aber auch nur die ausgefüllten Felder angezeigt… Im grossen und Ganzen ist das Tool im Wesentlichen Übersichtlicher als ADSIEDIT von Windows Server. LDAP Administrator 2008.1 ist unter den gängigen Operating Systems lauffähig: Windows 2000 SP4+/ XP SP2+/ Vista / Server 2003 SP2 / Server 2008.

Für rund USD 250.00 kann eine Lizenz im Softerra Online Store bezogen werden. Eine in den Funktionen eingeschränkte Version wird ebenfalls gratis als “LDAP Browser” in der Version 2.6 zum Download angeboten. Mit dieser Version lassen sich allerdings keine Änderungen im Directory vornehmen.

Weitere Informationen

• www.softerra.com: Softerra LDAP Administrator 2008.1 Overview
• www.softerra.com: Softerra LDAP Browser 2.6 Download

Im DNS können für Domains spezifische “Forwarders” eingetragen werden. Beispielsweise in einem Forest-Trust ist es notwendig, die Active Directory Domain mit entsprechenden DNS-Servern als Weiterleitung einzutragen. Wenn die Domain demselben DNS-Tree angehört, kommt es zu folgender Fehlermeldung:

The server forwarders cannot be updated.
A zone configuration problem occurred.

In anderen Worten gesagt, es kann keine Weiterleitung zu “resources.domain.com” konfiguriert werden, wenn im DNS die Zone “domain.com” eingetragen ist. In einem solchen Fall muss mit “Delegations” gearbeitet werden.

Mit Windows Server 2008 wird erstmals die neue Rolle des “Read-only Domain Controller” (RODC) eingeführt. Die Autoren von “Ask the Directory Services Team” haben zwei interessante Artikel zu diesem Thema veröffentlicht: 

• Understanding “Read Only Domain Controller” authentication
• Read-Only Domain Controllers and Account Lockouts

Diese Informationen sollten zwingend beim Desing der Infrastruktur berücksichtig werden. Bei Technet gibt ebenfalls einen Artikel zu RODC. Ebenfalls sollte man den Artikel von Yusuf bei Gelegenheit lesen um weiterführende Informationen zum Thema zu erhalten.

Damit ein Citrix Provisioning Target Device automatisch als Mitglied einer Active Directory Domain aufgenommen werden kann, müssen zunächst folgende Komponenten dafür konfiguriert werden:

• Citrix Provisioning Server
  • Password Manager 
  • vDisk
  • Computer Account
• Group Policy

PVS “Password Manager” Konfiguration

1. In der Management Console die Properties des Provisioning Servers öffnen
2. Unter “Options” die Funktion “Enable automatic password support” aktivieren
3. Unter “Change computer account password every … days” die gewünschte Anzahl Tage eingeben. Der Default Wert von 7 Tagen ist in der Regel OK.

vDisk Konfiguration

1. In der Management Console die Properties der entsprechenden vDisk öffnen
2. Unter “Options” die Funktion “Enable Active Directory machine account password management” aktivieren

Computer Account

Für sämtliche Target Devices, welche einen Computer Account im Active Directory erhalten sollen, kann in der PVS Management Console mittels “Add target devices to domain…” ein Computer Account angelegt werden. Es empfiehlt sich, die PVS Target Devices in eine separate OU anzulegen (insbesondere auch bezüglich den GPO’s). Der Provisioning Server setzt beim Anlegen des Computer Account das Password im Active Directory.

Group Policy

Aus Sicherheit, damit das Operating System nicht selber das machine account password ändert, und der Provisioning Server nichts davon mitbekommt muss in der Group Policy die Funktion unterbunden werden. So wird sichergestellt, dass der PVS Target Device sich auch nach einem machine password change an der der Domain anmelden kann. Unter “Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\” muss die Option “Domain Member: Disable machine account password” aktiviert werden. Wie zuvor erwähnt macht es aus diesem Grund Sinn, die PVS Target Devices in eine eigne OU anzulegen, damit die GPO darauf gelinkt werden kann.

Weitere Informationen

• Microsoft KB 175468: Effects of machine account replication on a domain
• Rich Crusco’s Citrix Blog: Citrix Provisioning Server and Active Directory Machine Account Password Synchronization

Microsoft beschreibt in diversen Knowledge Base sehr genau, wie Microsoft Exchange Server 2000/2003 richtig aus einer Active Directory Domain entfernt werden kann:

• Microsoft KB 273478: How to completely remove Exchange 2000 or Exchange 2003 from Active Directory
• Microsoft KB 833396: How to remove Exchange Server 2003 from your computer
• Microsoft KB 822931: How to remove the first Exchange Server 2003 computer from the administrative group

Diese Anweisungen müssen zwingend befolgt werden, da ansonsten die Verfügbarkeit und Stabilität der bestehenden Exchange Server nicht mehr gewährleistet werden kann.