maikmueller
Goto Top

Zwei DCs und ein Exchange-Server - Benutzer aus zweiter Domäne können nicht ausgewählt werden

Hallo liebe Forenmitglieder,

erstmal für alle noch ein gutes neues Jahr. Nun komm ich gleich zum Punkt:

Ich habe zwei DCs welche über eine Vertrauensstellung miteinander kommunizieren. Die Domänen sind Firma1.local und Firma2.local.

Während Firma1.local von Anfang an existiert haben kam Firma2.local nun über die Vertrauensstellung hinzu. Nun wollte ich die Postfächer für die Benutzer der Domäne Firma2.local in Exchange einrichten und musste feststellen, dass diese dort nicht ausgewählt werden können. Ein Kollege von mir meinte es wäre erforderlich, im Exchange ebenfalls eine Vertrauensstellung zu bauen. Leider habe ich bei meinen Recherchen nichts brauchbares gefunden. Gibt es hier jemanden der mir weitere Informationen dazu liefern kann? Es wird Exchange 2013 verwendet. Als DCs kommen in der Domäne Firma1.local (gleiche Domäne wie der Exchange Server) Windows Server 2012 zum Einsatz. Der DC von Domäne Firma2.local läuft unter Windows Server 2003 R2.

Für jeden Hinweis bin ich dankbar.

Viele Grüße

Maik

Content-ID: 226021

Url: https://administrator.de/contentid/226021

Ausgedruckt am: 24.11.2024 um 21:11 Uhr

certifiedit.net
certifiedit.net 07.01.2014 um 15:10:29 Uhr
Goto Top
Hallo,
du benötigst einen zweiten Exchange in Domäne zwei um darüber dann eine Vertrauensstellung zu realisieren - oder du ziehst Dom2 in Dom1.

So wie du das willst wird das wohl nicht gehen.

Beste Grüße,

Christian
tikayevent
tikayevent 07.01.2014 um 15:13:50 Uhr
Goto Top
Es gibt auch die Möglichkeit, mit Schattenbenutzern zu arbeiten.
SpeakerST
SpeakerST 07.01.2014 um 15:13:53 Uhr
Goto Top
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das musst du dann auch noch anpassen.

Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur einmal vorhanden sein muss
certifiedit.net
certifiedit.net 07.01.2014 um 15:18:40 Uhr
Goto Top
Zitat von @SpeakerST:

Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre
Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das
musst du dann auch noch anpassen.

Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur
einmal vorhanden sein muss

Sorgt aber nur für eine größeres Ausfallpotential (100% DB down 200% Mail Down) ;)

Wie oben genannt: Zieh die Domain um, dann hast du auch weniger Stress, was Wartung angeht (siehst du auch hierbei), weniger Lizenzkosten (zweiter Ex) und eine bessere Basis für Upgrades.
maikmueller
maikmueller 07.01.2014 um 15:22:49 Uhr
Goto Top
Hallo!

Vielen Dank für Eure Antworten.

Ich muss noch etwas genauer nachfragen. Was meint Ihr mit "Benutzer von Domäne2 in Domäne1 ziehen"? Würde das bedeuten, dass Domäne2 aufgelöst würde?

Das wäre nämlich keine Option für uns. Anderweitig habe ich das so verstanden, dass ich einen weiteren Exchange Server aufsetzen muss und diesen in Domäne zwei einbinden muss um die Benutzer zu sehen?

Was hat es mit den Schattenbenutzern auf sich?

Über weitere Infos wäre ich dankbar.

Viele Grüße
certifiedit.net
certifiedit.net 07.01.2014 um 15:27:54 Uhr
Goto Top
Warum ist eine Zusammenführung keine Option? (denn genau das war gemeint).

Nein, ein zweiter Exchange würde bedeuten, dass dieser dort die Benutzer von Dom2 verwaltet, getrennt von eurem.
maikmueller
maikmueller 07.01.2014 um 15:32:48 Uhr
Goto Top
Hallo!

Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?

Danke und viele Grüße
tikayevent
tikayevent 07.01.2014 um 15:42:04 Uhr
Goto Top
Kurze Lizenzfrage vorweg: Sind beide Firmen zu mindestens 51% verwandt? Wenn nicht, benötigst du für den Exchangeserver eine Exchange Hosting-Lizenz, die pro Server im mittleren fünfstelligen Bereich liegt.
chfr77
chfr77 07.01.2014 um 15:47:06 Uhr
Goto Top
Zitat von @maikmueller:

Hallo!

Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an
unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?

Danke und viele Grüße

Ja. Ein Exchangeserver kann nur zu einer Domäne gehören.

Hier könnte man pure Logondomänen benutzen, die entsprechende Vertrauensstellungen haben und in denen dann quasi alle Benutzerkonten sind aber keine Computerkonten. Das kommt dann dem Umzug der Nutzerkonten nahe. Wäre hier aber wohl keine Option.
certifiedit.net
certifiedit.net 07.01.2014 um 15:50:01 Uhr
Goto Top
Exakt, dann kommt nur eine doppelte Exchangeführung in Betracht. Ansonsten darfst du das gar nicht.

Obiges Szenario klang nach wir haben hier unsere Firma und dort nun eine zweite "einverleibt" und wollen alle schön den selben Space nutzen. Das geht nicht.
tikayevent
tikayevent 07.01.2014 um 15:54:36 Uhr
Goto Top
Es geht schon, ich war längere Zeit Nutzer eines solchen Konstrukts, dazu wurde in der Domäne mit dem XNG ein Schattenbenutzer angelegt, der mit meinem Domänenbenutzer verknüpft war. Damit konnte ich mich mit meiner normalen Benutzerkennung anmelden, hab aber einen XNG in einer anderen Domäne genutzt. Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
chfr77
chfr77 07.01.2014 um 15:59:32 Uhr
Goto Top
Zitat von @tikayevent:
Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.

Also ist es noch nicht verjährt. Superschlaues Geständnis hier.
maikmueller
maikmueller 07.01.2014 um 16:10:03 Uhr
Goto Top
Also lizenzrechtlich geht das wohl in Ordnung da Firma2 eine 100% Tochter von Firma1 mit ein und dem selben Inhaber ist. Was hat es mit den Schattenbenutzern auf sich bzw. wie oder wo werden diese angelegt?

Wäre dankbar wenn mir dazu noch einer Informationen geben könnte.

Vielen Dank und viele Grüße
chfr77
chfr77 07.01.2014 aktualisiert um 16:25:30 Uhr
Goto Top
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell eingestellt um sich mit dem Exchange zu verbinden.

Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
maikmueller
maikmueller 07.01.2014 um 16:27:35 Uhr
Goto Top
Vielen Dank für deine Antwort.

Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?

Viele Grüße
chfr77
chfr77 07.01.2014 um 16:36:22 Uhr
Goto Top
Ja.

Ein Exchange kann nur in einer Domäne sein. Benutzerkonten aus dieser Domäne können dann darauf Emailkonten bekommen.
certifiedit.net
certifiedit.net 07.01.2014 aktualisiert um 16:55:55 Uhr
Goto Top
Zitat von @maikmueller:

Vielen Dank für deine Antwort.

Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann
nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?

Viele Grüße

Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
tikayevent
tikayevent 07.01.2014 um 17:20:05 Uhr
Goto Top
Zitat von @chfr77:

Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell
eingestellt um sich mit dem Exchange zu verbinden.

Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter
bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL
für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.

Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.

Zitat von @certifiedit.net:

Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Ich kann es mir schon vorstellen. Im Regelfall hat es keinen Grund, dass es keine Unterabteilung der vorhandenen Firma sondern eine eigene Firma ist. Irgendwann könnte es ja veräußert werden und solange eine vollständige Trennung vorhanden ist, ist dies problemlos möglich. Bei uns war diese Trennung leider nicht so sauber, so dass wir jetzt schon seit über 10 Jahren an der Trennung von der alten Muttergesellschaft arbeiten.
certifiedit.net
certifiedit.net 07.01.2014 um 17:47:46 Uhr
Goto Top
Aber in diesem Fall ist eine o.g Verzwickung doch auch nicht besser?

Also @to: Warum gibt es eine Tochter? Die IT muss hier eben Abbilden, was Rechtstechnisch vorgedacht wurde. Ohne dies Info kann es keine gute Antwort geben.

Tendenz meinerseits zwar zu zweitem Exchange.
Ist dies aber so geplant, dass die Tochter nur aus Steuerrechtlichem (Frau ovgl?) ausgegliedert wurde kann auch eine komplette Domain mit einem Exchange her. Vorteile s.o.

Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
tikayevent
tikayevent 07.01.2014 um 20:22:20 Uhr
Goto Top
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.

Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte ich damit sofort auf meine E-Mails zugreifen.
certifiedit.net
certifiedit.net 07.01.2014 um 20:32:45 Uhr
Goto Top
Zitat von @tikayevent:

> Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die
Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.

Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.

Das kann ich mir dann aber nur in einer Vertrauensstellung vorstellen (mit deinen o.g. Lizenzlimitierungen?) hier stehen wir vor dem Problem der Realisierung. Außerdem müssen wir hier doch annehmen (richtig?), dass es bei einer Firmenverschiebung (hier Klärung der Verhältnisse notwendig) zu den gleichen Problemen wie bei einer Domäne kommt (pi * Daumen). Da der EX mit dem anderen Netz verknüpft ist.
wiesi200
wiesi200 07.01.2014 um 20:40:21 Uhr
Goto Top
Hallo,

Bei uns gibt es eine ähnliche Konstellation.
Ich hab es nicht geschafft. Einzig als Subdomain könnte es vielleicht funktionieren. Aber nicht mal da währ ich mir sicher.

Auf Grund der wenigen Benutzer hab ich die von der Tochterfirma doppelt angelegt. Und selbst das ist nicht so schön, weshalb ich auf 2 Exchange wechseln werde.
maikmueller
maikmueller 08.01.2014 um 08:48:03 Uhr
Goto Top
Danke für die vielen Antworten. Kann mir denn einer genauere Informationen nennen wie ein Schattenbenutzer angelegt wird? Dann würde ich das zumindest mal testen und anschließend entscheiden ob die Lösung für uns funktioniert.

Viele Grüße, ich hoffe Ihr habt besseres Wetter als hier im Norden...
111784
111784 08.01.2014 um 14:47:53 Uhr
Goto Top
Diese Benutzer kannst Du über ecp beim Exchange 2013 anlegen.

Dazu gehst Du in die Postfach-Verwaltung und kannst über das + ein Verknüpftes Postfach hinzufügen.

Somit kannst Du über die Vertrauensstellung auf die Benutzer-Konten der anderen Domäne zugreifen.

In diesem Zug wird ein Benutzer mit den Daten die Du angibst auf deinem Server angelegt (aber deaktiviert).

So kann der Benutzer mit firma2\Benutzer und seinem Kennwort auf sein Exchange-Postfach zugreifen.
Mit firma1\Benutzer (Schattenbenutzer) geht dies allerdings nicht, da der Benutzer deaktiviert ist.
chfr77
chfr77 09.01.2014 aktualisiert um 08:31:22 Uhr
Goto Top
Zitat von @tikayevent:

Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht
mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.

Nein, da wird nichts "verknüpft", einfach den Benutzer aus der anderen Domäne für den Zugang zum Exchange einsetzen. Wie das funktioniert kann ich Dir sagen. [...]

Es gibt auch eine Gesamtstruktur-Vertrauensstellung:

http://technet.microsoft.com/de-DE/library/ms.exch.eac.TrustedForestOrD ...

Hier gibt es aber keine zentralisierte, separate, dedizierte Exchange-Gesamtstruktur.
chfr77
chfr77 09.01.2014 um 08:17:58 Uhr
Goto Top
Zitat von @certifiedit.net:
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile
von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.

Haargenau, es ist immer besser einheitliche, gemeinsame Lösungen oder klar isolierte Lösungen mit definierten Schnittstellen zu implementieren.
chfr77
chfr77 09.01.2014 aktualisiert um 08:22:55 Uhr
Goto Top
Zitat von @tikayevent:
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.

Das geht in der oben genannten Konstellation nur mit zusätzlichen Skripten/Tools.