27
Zwei DCs und ein Exchange-Server - Benutzer aus zweiter Domäne können nicht ausgewählt werden
Hallo liebe Forenmitglieder,
erstmal für alle noch ein gutes neues Jahr. Nun komm ich gleich zum Punkt:
Ich habe zwei DCs welche über eine Vertrauensstellung miteinander kommunizieren. Die Domänen sind Firma1.local und Firma2.local.
Während Firma1.local von Anfang an existiert haben kam Firma2.local nun über die Vertrauensstellung hinzu. Nun wollte ich die Postfächer für die Benutzer der Domäne Firma2.local in Exchange einrichten und musste feststellen, dass diese dort nicht ausgewählt werden können. Ein Kollege von mir meinte es wäre erforderlich, im Exchange ebenfalls eine Vertrauensstellung zu bauen. Leider habe ich bei meinen Recherchen nichts brauchbares gefunden. Gibt es hier jemanden der mir weitere Informationen dazu liefern kann? Es wird Exchange 2013 verwendet. Als DCs kommen in der Domäne Firma1.local (gleiche Domäne wie der Exchange Server) Windows Server 2012 zum Einsatz. Der DC von Domäne Firma2.local läuft unter Windows Server 2003 R2.
Für jeden Hinweis bin ich dankbar.
Viele Grüße
Maik
erstmal für alle noch ein gutes neues Jahr. Nun komm ich gleich zum Punkt:
Ich habe zwei DCs welche über eine Vertrauensstellung miteinander kommunizieren. Die Domänen sind Firma1.local und Firma2.local.
Während Firma1.local von Anfang an existiert haben kam Firma2.local nun über die Vertrauensstellung hinzu. Nun wollte ich die Postfächer für die Benutzer der Domäne Firma2.local in Exchange einrichten und musste feststellen, dass diese dort nicht ausgewählt werden können. Ein Kollege von mir meinte es wäre erforderlich, im Exchange ebenfalls eine Vertrauensstellung zu bauen. Leider habe ich bei meinen Recherchen nichts brauchbares gefunden. Gibt es hier jemanden der mir weitere Informationen dazu liefern kann? Es wird Exchange 2013 verwendet. Als DCs kommen in der Domäne Firma1.local (gleiche Domäne wie der Exchange Server) Windows Server 2012 zum Einsatz. Der DC von Domäne Firma2.local läuft unter Windows Server 2003 R2.
Für jeden Hinweis bin ich dankbar.
Viele Grüße
Maik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226021
Url: https://administrator.de/contentid/226021
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
27 Kommentare
Neuester Kommentar
Hallo,
du benötigst einen zweiten Exchange in Domäne zwei um darüber dann eine Vertrauensstellung zu realisieren - oder du ziehst Dom2 in Dom1.
So wie du das willst wird das wohl nicht gehen.
Beste Grüße,
Christian
du benötigst einen zweiten Exchange in Domäne zwei um darüber dann eine Vertrauensstellung zu realisieren - oder du ziehst Dom2 in Dom1.
So wie du das willst wird das wohl nicht gehen.
Beste Grüße,
Christian
1
Es gibt auch die Möglichkeit, mit Schattenbenutzern zu arbeiten.
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das musst du dann auch noch anpassen.
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur einmal vorhanden sein muss
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur einmal vorhanden sein muss
Zitat von @SpeakerST:
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre
Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das
musst du dann auch noch anpassen.
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur
einmal vorhanden sein muss
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre
Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das
musst du dann auch noch anpassen.
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur
einmal vorhanden sein muss
Sorgt aber nur für eine größeres Ausfallpotential (100% DB down 200% Mail Down) ;)
Wie oben genannt: Zieh die Domain um, dann hast du auch weniger Stress, was Wartung angeht (siehst du auch hierbei), weniger Lizenzkosten (zweiter Ex) und eine bessere Basis für Upgrades.
Hallo!
Vielen Dank für Eure Antworten.
Ich muss noch etwas genauer nachfragen. Was meint Ihr mit "Benutzer von Domäne2 in Domäne1 ziehen"? Würde das bedeuten, dass Domäne2 aufgelöst würde?
Das wäre nämlich keine Option für uns. Anderweitig habe ich das so verstanden, dass ich einen weiteren Exchange Server aufsetzen muss und diesen in Domäne zwei einbinden muss um die Benutzer zu sehen?
Was hat es mit den Schattenbenutzern auf sich?
Über weitere Infos wäre ich dankbar.
Viele Grüße
Vielen Dank für Eure Antworten.
Ich muss noch etwas genauer nachfragen. Was meint Ihr mit "Benutzer von Domäne2 in Domäne1 ziehen"? Würde das bedeuten, dass Domäne2 aufgelöst würde?
Das wäre nämlich keine Option für uns. Anderweitig habe ich das so verstanden, dass ich einen weiteren Exchange Server aufsetzen muss und diesen in Domäne zwei einbinden muss um die Benutzer zu sehen?
Was hat es mit den Schattenbenutzern auf sich?
Über weitere Infos wäre ich dankbar.
Viele Grüße
Warum ist eine Zusammenführung keine Option? (denn genau das war gemeint).
Nein, ein zweiter Exchange würde bedeuten, dass dieser dort die Benutzer von Dom2 verwaltet, getrennt von eurem.
Nein, ein zweiter Exchange würde bedeuten, dass dieser dort die Benutzer von Dom2 verwaltet, getrennt von eurem.
Hallo!
Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?
Danke und viele Grüße
Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?
Danke und viele Grüße
Kurze Lizenzfrage vorweg: Sind beide Firmen zu mindestens 51% verwandt? Wenn nicht, benötigst du für den Exchangeserver eine Exchange Hosting-Lizenz, die pro Server im mittleren fünfstelligen Bereich liegt.
Zitat von @maikmueller:
Hallo!
Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an
unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?
Danke und viele Grüße
Hallo!
Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an
unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?
Danke und viele Grüße
Ja. Ein Exchangeserver kann nur zu einer Domäne gehören.
Hier könnte man pure Logondomänen benutzen, die entsprechende Vertrauensstellungen haben und in denen dann quasi alle Benutzerkonten sind aber keine Computerkonten. Das kommt dann dem Umzug der Nutzerkonten nahe. Wäre hier aber wohl keine Option.
Exakt, dann kommt nur eine doppelte Exchangeführung in Betracht. Ansonsten darfst du das gar nicht.
Obiges Szenario klang nach wir haben hier unsere Firma und dort nun eine zweite "einverleibt" und wollen alle schön den selben Space nutzen. Das geht nicht.
Obiges Szenario klang nach wir haben hier unsere Firma und dort nun eine zweite "einverleibt" und wollen alle schön den selben Space nutzen. Das geht nicht.
Es geht schon, ich war längere Zeit Nutzer eines solchen Konstrukts, dazu wurde in der Domäne mit dem XNG ein Schattenbenutzer angelegt, der mit meinem Domänenbenutzer verknüpft war. Damit konnte ich mich mit meiner normalen Benutzerkennung anmelden, hab aber einen XNG in einer anderen Domäne genutzt. Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Zitat von @tikayevent:
Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Also ist es noch nicht verjährt. Superschlaues Geständnis hier.
Also lizenzrechtlich geht das wohl in Ordnung da Firma2 eine 100% Tochter von Firma1 mit ein und dem selben Inhaber ist. Was hat es mit den Schattenbenutzern auf sich bzw. wie oder wo werden diese angelegt?
Wäre dankbar wenn mir dazu noch einer Informationen geben könnte.
Vielen Dank und viele Grüße
Wäre dankbar wenn mir dazu noch einer Informationen geben könnte.
Vielen Dank und viele Grüße
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell eingestellt um sich mit dem Exchange zu verbinden.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Vielen Dank für deine Antwort.
Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?
Viele Grüße
Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?
Viele Grüße
Ja.
Ein Exchange kann nur in einer Domäne sein. Benutzerkonten aus dieser Domäne können dann darauf Emailkonten bekommen.
Ein Exchange kann nur in einer Domäne sein. Benutzerkonten aus dieser Domäne können dann darauf Emailkonten bekommen.
Zitat von @maikmueller:
Vielen Dank für deine Antwort.
Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann
nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?
Viele Grüße
Vielen Dank für deine Antwort.
Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann
nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?
Viele Grüße
Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Zitat von @chfr77:
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell
eingestellt um sich mit dem Exchange zu verbinden.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter
bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL
für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell
eingestellt um sich mit dem Exchange zu verbinden.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter
bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL
für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.
Zitat von @certifiedit.net:
Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Ich kann es mir schon vorstellen. Im Regelfall hat es keinen Grund, dass es keine Unterabteilung der vorhandenen Firma sondern eine eigene Firma ist. Irgendwann könnte es ja veräußert werden und solange eine vollständige Trennung vorhanden ist, ist dies problemlos möglich. Bei uns war diese Trennung leider nicht so sauber, so dass wir jetzt schon seit über 10 Jahren an der Trennung von der alten Muttergesellschaft arbeiten.Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Aber in diesem Fall ist eine o.g Verzwickung doch auch nicht besser?
Also @to: Warum gibt es eine Tochter? Die IT muss hier eben Abbilden, was Rechtstechnisch vorgedacht wurde. Ohne dies Info kann es keine gute Antwort geben.
Tendenz meinerseits zwar zu zweitem Exchange.
Ist dies aber so geplant, dass die Tochter nur aus Steuerrechtlichem (Frau ovgl?) ausgegliedert wurde kann auch eine komplette Domain mit einem Exchange her. Vorteile s.o.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Also @to: Warum gibt es eine Tochter? Die IT muss hier eben Abbilden, was Rechtstechnisch vorgedacht wurde. Ohne dies Info kann es keine gute Antwort geben.
Tendenz meinerseits zwar zu zweitem Exchange.
Ist dies aber so geplant, dass die Tochter nur aus Steuerrechtlichem (Frau ovgl?) ausgegliedert wurde kann auch eine komplette Domain mit einem Exchange her. Vorteile s.o.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte ich damit sofort auf meine E-Mails zugreifen.
Zitat von @tikayevent:
> Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die
Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
> Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die
Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
Das kann ich mir dann aber nur in einer Vertrauensstellung vorstellen (mit deinen o.g. Lizenzlimitierungen?) hier stehen wir vor dem Problem der Realisierung. Außerdem müssen wir hier doch annehmen (richtig?), dass es bei einer Firmenverschiebung (hier Klärung der Verhältnisse notwendig) zu den gleichen Problemen wie bei einer Domäne kommt (pi * Daumen). Da der EX mit dem anderen Netz verknüpft ist.
Hallo,
Bei uns gibt es eine ähnliche Konstellation.
Ich hab es nicht geschafft. Einzig als Subdomain könnte es vielleicht funktionieren. Aber nicht mal da währ ich mir sicher.
Auf Grund der wenigen Benutzer hab ich die von der Tochterfirma doppelt angelegt. Und selbst das ist nicht so schön, weshalb ich auf 2 Exchange wechseln werde.
Bei uns gibt es eine ähnliche Konstellation.
Ich hab es nicht geschafft. Einzig als Subdomain könnte es vielleicht funktionieren. Aber nicht mal da währ ich mir sicher.
Auf Grund der wenigen Benutzer hab ich die von der Tochterfirma doppelt angelegt. Und selbst das ist nicht so schön, weshalb ich auf 2 Exchange wechseln werde.
Danke für die vielen Antworten. Kann mir denn einer genauere Informationen nennen wie ein Schattenbenutzer angelegt wird? Dann würde ich das zumindest mal testen und anschließend entscheiden ob die Lösung für uns funktioniert.
Viele Grüße, ich hoffe Ihr habt besseres Wetter als hier im Norden...
Viele Grüße, ich hoffe Ihr habt besseres Wetter als hier im Norden...
Diese Benutzer kannst Du über ecp beim Exchange 2013 anlegen.
Dazu gehst Du in die Postfach-Verwaltung und kannst über das + ein Verknüpftes Postfach hinzufügen.
Somit kannst Du über die Vertrauensstellung auf die Benutzer-Konten der anderen Domäne zugreifen.
In diesem Zug wird ein Benutzer mit den Daten die Du angibst auf deinem Server angelegt (aber deaktiviert).
So kann der Benutzer mit firma2\Benutzer und seinem Kennwort auf sein Exchange-Postfach zugreifen.
Mit firma1\Benutzer (Schattenbenutzer) geht dies allerdings nicht, da der Benutzer deaktiviert ist.
Dazu gehst Du in die Postfach-Verwaltung und kannst über das + ein Verknüpftes Postfach hinzufügen.
Somit kannst Du über die Vertrauensstellung auf die Benutzer-Konten der anderen Domäne zugreifen.
In diesem Zug wird ein Benutzer mit den Daten die Du angibst auf deinem Server angelegt (aber deaktiviert).
So kann der Benutzer mit firma2\Benutzer und seinem Kennwort auf sein Exchange-Postfach zugreifen.
Mit firma1\Benutzer (Schattenbenutzer) geht dies allerdings nicht, da der Benutzer deaktiviert ist.
Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht
mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.
mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.
Nein, da wird nichts "verknüpft", einfach den Benutzer aus der anderen Domäne für den Zugang zum Exchange einsetzen. Wie das funktioniert kann ich Dir sagen. [...]
Es gibt auch eine Gesamtstruktur-Vertrauensstellung:
http://technet.microsoft.com/de-DE/library/ms.exch.eac.TrustedForestOrD ...
Hier gibt es aber keine zentralisierte, separate, dedizierte Exchange-Gesamtstruktur.
Zitat von @certifiedit.net:
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile
von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile
von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Haargenau, es ist immer besser einheitliche, gemeinsame Lösungen oder klar isolierte Lösungen mit definierten Schnittstellen zu implementieren.
Zitat von @tikayevent:
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
Das geht in der oben genannten Konstellation nur mit zusätzlichen Skripten/Tools.
