kristov
Goto Top

1x Exchange, 2x AD - machbar?

Hallo,

wir haben in unserem Haus 2 DC (2008 Server) mit er Domäne domain1.com und einen Exchange2007. OWA (webmail.domain1.com), Outlook (username@domain1.com) funktionieren tadellos.

Nun wird eine Konstellation gewünscht, wo ich nicht sicher bin, ob das mit den vorhandenen Mitteln machbar ist:

  • Der Exchange soll noch eine domain2.org bedienen - soweit kein Problem
  • Einige User (quasi Firmenfremde, sind nicht im Haus und haben keine Geräte im AD) sollen sich ausschließlich mit dem Benutzernamen aus domain2.org an OWA und Exchange (via Outlook) oder mobilem Gerät anmelden können - hier werd ich wohl einen zweiten DC für ein eigenes AD domain2.org benötigen.
  • OWA soll für diese Benutzer über webmail.domain2.org erreichbar sein. Hier muß ich halt die entsprechenden DNS-Einträge machen und auf den bestehenden Exchangeserver verweisen. Ich denke, es muß auch ein neues Zertifikat für Exchange erstellt werden, das Einträge für beide Domains beinhaltet. Ist das möglich? Wir verwenden für domain1.com ein selbst erstelltes Zertifikat. Optimal wäre natürlich, wenn ich für webmail.domain1.com und webmail.domain2.org separate Zertifikate verwenden könnte.
  • Im Outlook muß die Anmeldung über username@domain2.org verwendet werden. Die Authentifizierung muß dann wohl der neue DC handlen.
  • Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.

Wie könnte ich das am besten realisieren?

kristov

Content-ID: 194284

Url: https://administrator.de/forum/1x-exchange-2x-ad-machbar-194284.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

SlainteMhath
SlainteMhath 15.11.2012 um 11:15:39 Uhr
Goto Top
Moin,

Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.
Spätestens im den Kopfdaten ist beim Empfänger allerdings der (externe) DNS Namen und evtl. auch noch die HELO-Meldung deines Exchange-Servers sichtbar.

lg,
Slainte
Ausserwoeger
Ausserwoeger 15.11.2012 aktualisiert um 11:46:43 Uhr
Goto Top
Zertifikat wäre kein Problem da kann man sich einfach ein Öffenliches Multidomain Zertifikat kaufen und damit alle 4 Domains abdecken 2x Extern 2x intern.

Eine Domain Vertrauensstellung muss ich sagen hab ich leider noch nie gemacht. Ich habe auch kunden mit mehreren Firmen und hab das aber anders gelöst.

DNS der 2 Firma hab ich richtig eingestellt und somit funktioniert der OWA zugang so wie er sein soll für Firma 2.
Multidomain Zertifikat habe ich gekauf und am Exchnage eingespielt.
Dann hab ich am Exchange eine neue Externe Domain hinzugefügt um die Mails von firma 2 zu empfangen. (mx eintrag geädert logisch)
Dann hab ich eine Empfängerrichtlinie gemacht die festlegt das bei Usern im AD die im Punkt Firma den Firmennamen von Firma 2 stehen haben automatisch die Mailadresse von Firma 2 zur verfügung gestellt wird.

Das wars. Kein Domaincontroller usw.

Zitat von @kristov:
  • Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.

Dann muss dein Chef neue Hardware oder(und) Lizenzen kaufen um die zweite Firma gesondert aufbauen zu können.

LG
tikayevent
tikayevent 15.11.2012 um 12:53:16 Uhr
Goto Top
Technisch möglich, ja, aber:

Du musst eine dritte Domäne haben, in welcher der Exchangeserver steht und diese dritte Domäne muss zu beiden Domänen einen bidirektionalen transistiven Domänentrust haben. Desweiteren musst du für jeden Benutzer, der auf dem Exchange ein Postfach haben soll, einen weiteren Benutzer in dieser dritten Domäne pflegen und mit den jeweiligen Benutzern der anderen Domänen verknüpfen.
Und jetzt kommt das KO-Kriterum: Das Unternehmen, was ihr mit auf eurem Exchange aufnehmen wollt, muss mindestens eine zu 51-prozentige Tochtergesellschaft der Gesellschaft sein, die den Exchange zur Verfügung stellt. Wenn dieses nicht gegeben ist, dann wird eine External Connector Lizenz pro Exchangeserver nötig und die kostet schlappe 60000€.
kristov
kristov 15.11.2012 um 14:53:03 Uhr
Goto Top
@Ausserwoeger
bleibt noch das Problem mit dem Konnex zwischen den beiden Firmen (wobei zweitere ein Verein ist). Bei Deiner Konstellation gibts ja keine Möglichkeit, sich mit einem Benutzernamen aus Firma 2 anzumelden.

@tykayevent
kling kompliziert... Verstehe konkret nicht, wozu eine dritte Domäne?
Ausserwoeger
Ausserwoeger 15.11.2012 um 15:39:26 Uhr
Goto Top
Ja das stimmt aber man kann den Server so einstellen das man keine Endung also Firma angeben muss und sich nur mit vorname.nachname anmeldet zb.

allerdings muss klar sein das beide Firmen den selben Server verwenden und man auch auf Freigabeebene Entsprechende rechte zu vergeben hat.

Es darf ja keiner von einer Firma auf die andere Zugreifen.

PS: Domainvertrauensstellungen finde ich kompliziert wenn man nicht jeden tag damit zu tun hat. Man muss dann auch beim AD design aufpassen den nur Universal Gruppen sind Domainübergreifend verfügbar und können am Domaincontroller der zweiten Firma ausgewählt werden.

LG
tikayevent
tikayevent 15.11.2012 aktualisiert um 20:33:09 Uhr
Goto Top
Du die dritte Domäne verhinderst du die Verbindung zwischen den beiden Domänen, da sonst bei einem Domänentrust beide Domänen miteinander eine Verbindung eingehen würden und somit deine Anforderungen der Trennung nicht mehr gegeben wären. Es besteht nur eine Verbindung zwischen AD1 und AD3 und AD2 und AD3, eine Verbindung, weder direkt noch indirekt zwischen AD1 und AD2 gibt es nicht, wenn du nicht explizit einen weiteren Domänentrust dazwischen erzeugst.

Ich bin momentan dabei, diese ganze Struktur wieder abzubauen, da momentan unser Exchange bei einem Outsourcingpartner steht und in den nächsten Wochen inhouse laufen soll.
kristov
kristov 16.11.2012 um 09:23:32 Uhr
Goto Top
OK, so betrachtet einleuchtend, daß man ein drittes AD braucht.

Konnte dem Antragsteller klarmachen, daß das ohne massive Eingriffe in die bestehende Struktur nicht machbar ist und ggf. mit enormen Kosten verbunden ist. Wir machen es daher nicht.

Vielen Dank für die wertvollen Inputs!