M 3.31 Schulung zur Systemarchitektur und Sicherheit von Exchange 2000 für Administratoren
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT
Um ein Exchange 2000 System korrekt und sicher administrieren zu können, ist die Schulung der verantwortlichen Administratoren unumgänglich. Schon kleine Konfigurationsfehler können dazu führen, dass die Systemsicherheit beeinträchtigt wird. Aus diesem Grund müssen Administratoren über die Systemarchitektur und besonders über die Sicherheitsmechanismen von Exchange 2000 informiert werden.
Exchange 2000 integriert sich in hohem Maße in das Active Directory von Windows 2000. Das Active Directory ist die zentrale Datenbank von Windows 2000, in der Benutzerdaten, Gruppenzugehörigkeiten und andere Verwaltungsdaten abgelegt werden. Für die Administration von Exchange 2000 werden daher Kenntnisse über das Active Directory und seine grundlegenden Konzepte benötigt. Sonst kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitsrelevante Auswirkungen haben können. Eine Schulung der Administratoren auf diesem Gebiet ist daher unerlässlich (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung).
Bei der Installation von Exchange 2000 auf einem Windows 2000 Server wird eine Schema-Erweiterung vorgenommen, um spezifische Exchange-Objekte sowie zusätzliche Attribute zu bereits bestehenden Objekten zu erzeugen. Im weiteren Verlauf der Installation sind die sogenannten Routing Groups und die Administrative Gruppe festzulegen. Dabei ist die Routing Group ein Verbund von Exchange 2000 Servern, die über eine hohe Bandbreite miteinander kommunizieren. Die administrative Gruppe legt die administrativen Grenzen des E-Mail-Systems bzw. von Teilsystemen fest. Diese Grenzen können durchaus domänenübergreifend sein, müssen jedoch innerhalb eines Forests liegen.
Das Exchange 2000 System verlangt die ständige Verfügbarkeit eines Global Catalog Servers, der von speziellen Windows 2000 Domänen Controllern angeboten wird. Außerdem müssen die Windows 2000 Netzdienste (speziell DNS) eingerichtet und funktionsfähig sein. Danach muss die externe Anbindung und die Verbindung zu eventuell vorhandenen fremden E-Mail-Systemen, z. B. X.400 oder ccMail, vorgenommen werden. Dabei sind die jeweiligen Protokolle zu aktivieren und es müssen entsprechende Regeln auf den betroffenen Firewalls definiert werden.
Schließlich müssen dann noch E-Mail-Konten und News-Gruppen konfiguriert werden. Dies geschieht mittels Windows 2000 Gruppenrichtlinien. Weitere allgemeine Hinweise zu Gruppenrichtlinien finden sich in M 2.231 Planung der Gruppenrichtlinien unter Windows.
Die beschriebenen Aspekte beziehen sich jedoch nur auf die Server-Komponente des Exchange/Outlook 2000-Systems. Für das Gesamtsystem ist zusätzlich auch die Administration der Client-Komponente wichtig.
Entsprechend dem oben skizzierten Vorgehen ergeben sich in der Folge eine Reihe administrativer Aufgaben, die von einem oder mehreren spezialisierten Teams bewerkstelligt werden müssen. Eine intensive Schulung der Administratoren und ihrer Stellvertreter ist deshalb für das reibungslose Funktionieren des Systems besonders wichtig.
Die Schulung der Administratoren sollte zumindest folgende Themen umfassen:
Grundlagen
- Überblick über die Sicherheitsmechanismen von Windows 2000
- Sicherheitsverwaltung (MMC-Snap-In)
- Active Directory und DNS
- Vertrauensbeziehungen zwischen Domänen
- Möglichkeiten der Zugriffskontrolle auf Server
Active Directory
-
Replikation
- Verwendete Mechanismen zur Replikation des Active Directory (RPC und SMTP)
- Voreingestellte Parameter zur Replikation von Inhalten des Active Directory
- Problematik der dezentralen Administration des AD im Zusammenhang mit Replikationskonflikten
-
Backup
- Problematik beim Erstellen eines "Backups des Active Directory"
- Wiedereinspielen von Backups eines Domänen-Controllers
-
Rechtevergabe
- Zugriffsrechte auf AD-Objekte können auf Attributsebene vergeben werden
- Vererbung von Zugriffsrechten und Blockade der Vererbung
- Mögliche Zugriffsrechte
- Delegation von administrativen Aufgaben auf der Ebene einzelner OUs
-
Gruppenrichtlinien
- Lokale Gruppenrichtlinien und im Active Directory gespeicherte Gruppenrichtlinien
- Konfigurationsmöglichkeiten durch Gruppenrichtlinien
- Wann werden Gruppenrichtlinien angewandt? Wie lässt sich dies konfigurieren?
- Gruppenrichtlinienobjekte (GPOs) als Objekte im Active Directory
- Gruppenrichtlinienobjekte können an Standorte / Domänen / OUs gebunden werden
- Reihenfolge, in der Gruppenrichtlinien abgearbeitet werden
- Möglichkeiten, die Anwendung von Gruppenrichtlinien zu kontrollieren (Zugriffsrechte, No Override, Block Policy Inheritance)
Exchange 2000
- Architektur eines Exchange 2000 Systems
- Grundlegende Konzepte und Routineaufgaben
- Routing Groups
- Administrative Gruppen
- Connectors zu fremden E-Mail-Systemen
- Outlook Web Access (OWA)
- E-Mail-Filter
- E-Mail-Folder und Public Folder sowie die Rechtevergabe auf diese Objekte
- Schutz der Client-Server-Kommunikation (Outlook 2000 Client, Browser, eingesetzte Verfahren)
Outlook 2000
- Benutzerprofile
- aktive Inhalte und potentiell gefährliche Dateiformate
- Auto-Reply-Funktion
Ergänzende Kontrollfragen:
- Wurden alle Administratoren für die Arbeit mit Windows 2000 und Active Directory geschult?
- Ist der Umgang mit allen relevanten Sicherheitsmechanismen von Exchange 2000 dargestellt worden?
- Wurden im Rahmen der Schulung die möglichen E-Mail-Clients, insbesondere Outlook 2000, behandelt?