Erst mit der Powershell wird die Exchange-Verwaltung komplett

16. September 2011

Exchange-Technologie, Directory und Identity Training, Virtualisierung und Cloud Computing sowie Powershell – in diesen vier Bereichen können sich Administratoren und IT-Entscheider auf der TEC 2011 in Frankfurt (vom 17. bis zum 19. Oktober 2011) weiterbilden. Dazu gibt es eine Vielzahl von Sessions, darunter auch die "Powershell Deep Dive“.

Im Vorfeld der Veranstaltung gab uns David Sengupta, der für den Bereich der Exchange-Vorträge auf der TEC verantwortlich zeichnet, ein Interview. darin zeigt er die Alternativen zu einer eigenen Exchange-Umgebung auf und verdeutlich die Relevanz der Powershell, wenn es um die Verwaltung von Exchange-Infrastrukturen geht.

Das Programm zum Exchange-Track auf der TEC 2011 in Frankfurt verspricht eine sehr detaillierte Behandlung der Exchange-Technologie.

Als Verantwortlicher für den Exchange-Track hat uns David Sengupta die Wichtigkeit der Powershell für die Verwaltung von Exchange-Strukturen nochmals verdeutlicht. Auf der TEC Europe 2011 ist daher auch eine eigene Powershell-Schulung für Administratoren vorgesehen.

Frage: Wie stark helfen die Powershell-Module für Exchange bei der Bewältigung der Administrationsaufgaben von Exchange-Infrastrukturen?

David Sengupta: Microsoft hat enorm in die Powershell-Infrastruktur für Exchange investiert – und das seit vielen Jahren. Die Management Konsolen, die mit Exchange ausgeliefert wurden, basierten alle auf der Powershell. Es gibt zudem immer Funktionalitäten, die nur über die Powershell verfügbar sind und auf die der Administrator nicht über die GUI-basierten Tools zugreifen kann. Daher gilt die Powershell zu Recht als das mächtigste Werkzeug für das Ausführen von administrativen Aufgaben im Exchange-Umfeld. Zwar haben immer noch viele Exchange-Administratoren einen gewissen Respekt vor dem Powershell-Scripting, daher werden die GUI-basierten Tools weiterhin ihre Berechtigung haben.

Frage: Die Office-365-Angebote von Microsoft sind vor kurzem komplett ausgefallen. Wie kann ein Unternehmen, das von Exchange 2003 auf die neuen Versionen im Zuge von Office 365 wechseln möchte, hier sinnvoll vorbeugen? Ist eine komplette Migration auf Office 365 denn überhaupt empfehlenswert, wenn ein Unternehmen beispielsweise die Mail-Plattform zu 99,999 Prozent verfügbar haben muss?

David Sengupta: Wenn es um die Frage der Hochverfügbarkeit geht, sollte man in einem Unternehmen in Bezug auf die anstehenden SLAs (Service Level Agreements) ganz genau klären, was wirklich notwendig und was wünschenswert ist. Denn das Bereitstellen eines extrem hochverfügbaren Mail-Dienstes (mit den berühmten fünf Neunen, also den 99,999 Prozent), gilt als eine sehr große Herausforderung – auch für Microsoft. Die Redmonder garantieren für Office 365 nämlich nur eine 99,9 prozentige Verfügbarkeit – sprich die Infrastruktur darf neun Stunden im Jahr (oder etwa 10 Minuten pro Woche) ausfallen. Falls Office 365 länger ausfällt, bekommen die Kunden einen Teil ihrer Aufwendungen zurück – im Falle des Blackouts im August diesen Jahres 25 Prozent der monatlichen Kosten.

Benötigt ein Unternehmen in der Tat die 99,999 prozentige Verfügbarkeit, ist Office 365 nicht die geeignete Lösung. Auch wenn Microsoft die technischen Vorkehrungen für eine derart hohe Verfügbarkeit bereitstellen würde, gilt das nur für die Infrastruktur, die von Microsoft stammt – anders ausgedrückt: alles was sich innerhalb der Office-365-Firewall befindet.

Die externe Anbindung an die Rechenzentren, in denen Office 365 läuft, die Software aber auf den Mail-Clients (also das Outlook der Anwender oder die OWA-Clients) fallen dabei nicht unter diese SLAs. Konsequenz: Wenn das Internet in einem Teilbereich ausfällt oder auch nur sehr langsam wird, kann man keinen „Internet Help Desk“ anrufen und die Leistung einfordern.
Doch dabei darf man nicht vergessen: Für eine Vielzahl von Unternehmen wird Office 365 eine sehr gute Wahl darstellen. Mit dem „Outlook Cached Mode“ lassen sich kurzfristige Ausfallzeiten von Servern vor den Endbenutzern verbergen und mit dem System kann man in diesen Fällen immer noch gut arbeiten.

Der Ausfall von Office 365 im August 2011 dauerte mehr als drei Stunden. Unternehmen mit einer starken Fokussierung ihrer Geschäftsprozesse auf die E-Mail (wie Hotel-Buchungssysteme oder komplexe Verkaufsprozesse) würden bei einem derartigen Szenario  allerdings Geschäft einbüßen. Daher  muss ein jedes Unternehmen selbst entscheiden, welche Ausfallzeiten akzeptabel sind – und unter Umständen eben eine eigene Exchange-Infrastruktur hochziehen – mit allen Konsequenzen.

Frage: Wie kann man sicherstellen, dass vertrauliche Informationen auch vor dem Zugriff der Exchange-Administratoren gesichert sind (Überwachen der Administratoren)?

David Sengupta: Zu den wesentlichen Aspekten im Umfeld der Sicherheit gehört der Schutz gegenüber Angriffen, die innerhalb des eigenen Unternehmens erfolgen. Dazu gehören die Aktionen von Insidern – wie das zum Beispiel bei der Société Genéralé der Fall war. Hier hatte ein Händler mit betrügerischen Transaktionen einen Schaden in Höhe von zirka 5 Milliarden Euro verursacht.

Aber auch gefrustete Mitarbeiter, die wie etwa bei Fanny Mae in den USA ein Skript zum Einsatz bringen, das alle Daten auf den 4000 Servern der Firma auslöschen sollte, stellen eine Gefahr dar. Wenn darauf nicht schnell reagiert worden wäre, hätte das Unternehmen für mindestens eine Woche schließen müssen, um aus den Sicherungen die „IT-Inhalte“ wiederherzustellen.

Für den Schutz gegen derartige Insider-Angriffe braucht es ein mehrschichtiges Verteidigungskonzept. Zuerst sollte ein PAM-System (Privileged Account Management) für die Verwaltungs- und Domänenadministrator-Konten zum Einsatz kommen. Die Vorgaben für derartige Konten sollten sehr eng sein – was ihren Geltungsbereich aber auch ihre Einsatzhäufigkeit angeht. Nur wer diese Berechtigungen unbedingt braucht, sollte sie für die betreffende Aufgabe erteilt bekommen. Mit der rollenbasierten Administration lassen sich anstehenden Aufgaben zuweisen (man spricht dabei von der SOD – Separation of Duties). Hier gilt es Verstöße dagegen automatisch zu erkennen, sie zu protokollieren und diese Informationen auch regelmäßig zu überwachen.

Ein einfacher Protokollier- und Reporting-Mechanismus reicht hierzu nicht aus. Es sind vielmehr die Auswirkungen auf die Geschäftsprozesse mit einzubeziehen und eine Reaktion in Echtzeit muss sichergestellt werden. Denn nur so lässt sich das Zeitfenster für böswillige Aktionen bestmöglich reduzieren. Im Falle des Problems bei der Société Genéralé wäre ein Verstoß gegen die Vorgaben gemeldet  und  weitere Handelsaktionen für den Mitarbeiter automatisch gesperrt worden.

Frage: Welche Tools von Drittherstellern machen dem Exchange-Administrator das Leben leichter?

David Sengupta: Jedes Tool von Drittherstellern muss eine Vorgabe erfüllen: der Administrator muss damit mehr Arbeit bei weniger Zeiteinsatz leisten können – oder aber er muss damit etwas erledigen können, was bislang noch als unmöglich galt. Hierzugibt es verschiedene Kategorien von Werkzeugen:

  • Migrations-Werkzeuge: Sie sollten sowohl weniger Zeitaufwand erfordern als auch die Komplexität und das Risiko reduzieren. Dabei stehen ein schnellerer Übergang auf das neue System oder aber eine vernünftige Koexistenz der beiden Systeme im Vordergrund.
  • Compliance-Tools: Werkzeuge für das Archivieren oder E-Discovery-Lösungen helfen beim Erfüllen von rechtlichen Vorgaben und internen Regularien. In extremen Fällen lässt sich damit sogar vermeiden, dass jemand aus der Führungsriege des Unternehmens ins Gefängnis muss.
  • Reporting Werkzeuge: Sie legen die Lupe auf bestimmte Vorgänge, die für Administratoren und Manager wichtig sind. Sie zeigen zudem auf, welche Einsparungen sich aufgrund eines effizienteren IT-Betriebs erzielen lassen.
  • Überwachungs-Tools: Hier erweisen sich vor allem End-to-End-Werkzeuge als nützlich – wie zum Beispiel „Foglight“. Damit kann man kritische Meldungen über die komplette IT-Infrastruktur verfolgen und kommt den Problemen auf die Spur.
  • Identity- und Access-Management: In diesem Bereich sind Zusatz-Tools nötig, da sich die IT über mehrere Systeme erstrecken und somit nicht von einem Active Directory allein abgedeckt werden kann. Prominente Beispiele hierfür sind die Kopplungen von Inhouse-IT mit externen Cloud-Angeboten.
  • Applikations- Management: Für wichtige Applikationen – wie zum Beispiel SQL Server, Sharepoint oder Exchange – sind Tools nötig, die eine höhere Effizienz für die Administratoren bieten.
  • Datensicherungs-Lösungen: Das Thema Sicherung und Wiederherstellung nach dem Katastrophenfall aber auch die schnelle Wiederherstellung von einzelnen Objekten wird von Dritthersteller-Tools abgedeckt. Zu nennen sind hier Produkte wie Quest Recovery Manager, LiteSpeed, vRanger and Quest NetVault Backup.

Rainer Huttenloher

Lesen Sie auch