Zwei DCs und ein Exchange-Server - Benutzer aus zweiter Domäne können nicht ausgewählt werden
Hallo liebe Forenmitglieder,
erstmal für alle noch ein gutes neues Jahr. Nun komm ich gleich zum Punkt:
Ich habe zwei DCs welche über eine Vertrauensstellung miteinander kommunizieren. Die Domänen sind Firma1.local und Firma2.local.
Während Firma1.local von Anfang an existiert haben kam Firma2.local nun über die Vertrauensstellung hinzu. Nun wollte ich die Postfächer für die Benutzer der Domäne Firma2.local in Exchange einrichten und musste feststellen, dass diese dort nicht ausgewählt werden können. Ein Kollege von mir meinte es wäre erforderlich, im Exchange ebenfalls eine Vertrauensstellung zu bauen. Leider habe ich bei meinen Recherchen nichts brauchbares gefunden. Gibt es hier jemanden der mir weitere Informationen dazu liefern kann? Es wird Exchange 2013 verwendet. Als DCs kommen in der Domäne Firma1.local (gleiche Domäne wie der Exchange Server) Windows Server 2012 zum Einsatz. Der DC von Domäne Firma2.local läuft unter Windows Server 2003 R2.
Für jeden Hinweis bin ich dankbar.
Viele Grüße
Maik
erstmal für alle noch ein gutes neues Jahr. Nun komm ich gleich zum Punkt:
Ich habe zwei DCs welche über eine Vertrauensstellung miteinander kommunizieren. Die Domänen sind Firma1.local und Firma2.local.
Während Firma1.local von Anfang an existiert haben kam Firma2.local nun über die Vertrauensstellung hinzu. Nun wollte ich die Postfächer für die Benutzer der Domäne Firma2.local in Exchange einrichten und musste feststellen, dass diese dort nicht ausgewählt werden können. Ein Kollege von mir meinte es wäre erforderlich, im Exchange ebenfalls eine Vertrauensstellung zu bauen. Leider habe ich bei meinen Recherchen nichts brauchbares gefunden. Gibt es hier jemanden der mir weitere Informationen dazu liefern kann? Es wird Exchange 2013 verwendet. Als DCs kommen in der Domäne Firma1.local (gleiche Domäne wie der Exchange Server) Windows Server 2012 zum Einsatz. Der DC von Domäne Firma2.local läuft unter Windows Server 2003 R2.
Für jeden Hinweis bin ich dankbar.
Viele Grüße
Maik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226021
Url: https://administrator.de/contentid/226021
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
27 Kommentare
Neuester Kommentar
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das musst du dann auch noch anpassen.
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur einmal vorhanden sein muss
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur einmal vorhanden sein muss
Zitat von @SpeakerST:
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre
Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das
musst du dann auch noch anpassen.
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur
einmal vorhanden sein muss
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre
Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das
musst du dann auch noch anpassen.
Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur
einmal vorhanden sein muss
Sorgt aber nur für eine größeres Ausfallpotential (100% DB down 200% Mail Down) ;)
Wie oben genannt: Zieh die Domain um, dann hast du auch weniger Stress, was Wartung angeht (siehst du auch hierbei), weniger Lizenzkosten (zweiter Ex) und eine bessere Basis für Upgrades.
Zitat von @maikmueller:
Hallo!
Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an
unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?
Danke und viele Grüße
Hallo!
Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an
unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?
Danke und viele Grüße
Ja. Ein Exchangeserver kann nur zu einer Domäne gehören.
Hier könnte man pure Logondomänen benutzen, die entsprechende Vertrauensstellungen haben und in denen dann quasi alle Benutzerkonten sind aber keine Computerkonten. Das kommt dann dem Umzug der Nutzerkonten nahe. Wäre hier aber wohl keine Option.
Es geht schon, ich war längere Zeit Nutzer eines solchen Konstrukts, dazu wurde in der Domäne mit dem XNG ein Schattenbenutzer angelegt, der mit meinem Domänenbenutzer verknüpft war. Damit konnte ich mich mit meiner normalen Benutzerkennung anmelden, hab aber einen XNG in einer anderen Domäne genutzt. Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Zitat von @tikayevent:
Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Also ist es noch nicht verjährt. Superschlaues Geständnis hier.
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell eingestellt um sich mit dem Exchange zu verbinden.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Zitat von @maikmueller:
Vielen Dank für deine Antwort.
Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann
nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?
Viele Grüße
Vielen Dank für deine Antwort.
Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann
nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?
Viele Grüße
Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Zitat von @chfr77:
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell
eingestellt um sich mit dem Exchange zu verbinden.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter
bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL
für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell
eingestellt um sich mit dem Exchange zu verbinden.
Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter
bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL
für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.
Zitat von @certifiedit.net:
Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Ich kann es mir schon vorstellen. Im Regelfall hat es keinen Grund, dass es keine Unterabteilung der vorhandenen Firma sondern eine eigene Firma ist. Irgendwann könnte es ja veräußert werden und solange eine vollständige Trennung vorhanden ist, ist dies problemlos möglich. Bei uns war diese Trennung leider nicht so sauber, so dass wir jetzt schon seit über 10 Jahren an der Trennung von der alten Muttergesellschaft arbeiten.Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Aber in diesem Fall ist eine o.g Verzwickung doch auch nicht besser?
Also @to: Warum gibt es eine Tochter? Die IT muss hier eben Abbilden, was Rechtstechnisch vorgedacht wurde. Ohne dies Info kann es keine gute Antwort geben.
Tendenz meinerseits zwar zu zweitem Exchange.
Ist dies aber so geplant, dass die Tochter nur aus Steuerrechtlichem (Frau ovgl?) ausgegliedert wurde kann auch eine komplette Domain mit einem Exchange her. Vorteile s.o.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Also @to: Warum gibt es eine Tochter? Die IT muss hier eben Abbilden, was Rechtstechnisch vorgedacht wurde. Ohne dies Info kann es keine gute Antwort geben.
Tendenz meinerseits zwar zu zweitem Exchange.
Ist dies aber so geplant, dass die Tochter nur aus Steuerrechtlichem (Frau ovgl?) ausgegliedert wurde kann auch eine komplette Domain mit einem Exchange her. Vorteile s.o.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte ich damit sofort auf meine E-Mails zugreifen.
Zitat von @tikayevent:
> Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die
Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
> Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die
Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
Das kann ich mir dann aber nur in einer Vertrauensstellung vorstellen (mit deinen o.g. Lizenzlimitierungen?) hier stehen wir vor dem Problem der Realisierung. Außerdem müssen wir hier doch annehmen (richtig?), dass es bei einer Firmenverschiebung (hier Klärung der Verhältnisse notwendig) zu den gleichen Problemen wie bei einer Domäne kommt (pi * Daumen). Da der EX mit dem anderen Netz verknüpft ist.
Hallo,
Bei uns gibt es eine ähnliche Konstellation.
Ich hab es nicht geschafft. Einzig als Subdomain könnte es vielleicht funktionieren. Aber nicht mal da währ ich mir sicher.
Auf Grund der wenigen Benutzer hab ich die von der Tochterfirma doppelt angelegt. Und selbst das ist nicht so schön, weshalb ich auf 2 Exchange wechseln werde.
Bei uns gibt es eine ähnliche Konstellation.
Ich hab es nicht geschafft. Einzig als Subdomain könnte es vielleicht funktionieren. Aber nicht mal da währ ich mir sicher.
Auf Grund der wenigen Benutzer hab ich die von der Tochterfirma doppelt angelegt. Und selbst das ist nicht so schön, weshalb ich auf 2 Exchange wechseln werde.
Diese Benutzer kannst Du über ecp beim Exchange 2013 anlegen.
Dazu gehst Du in die Postfach-Verwaltung und kannst über das + ein Verknüpftes Postfach hinzufügen.
Somit kannst Du über die Vertrauensstellung auf die Benutzer-Konten der anderen Domäne zugreifen.
In diesem Zug wird ein Benutzer mit den Daten die Du angibst auf deinem Server angelegt (aber deaktiviert).
So kann der Benutzer mit firma2\Benutzer und seinem Kennwort auf sein Exchange-Postfach zugreifen.
Mit firma1\Benutzer (Schattenbenutzer) geht dies allerdings nicht, da der Benutzer deaktiviert ist.
Dazu gehst Du in die Postfach-Verwaltung und kannst über das + ein Verknüpftes Postfach hinzufügen.
Somit kannst Du über die Vertrauensstellung auf die Benutzer-Konten der anderen Domäne zugreifen.
In diesem Zug wird ein Benutzer mit den Daten die Du angibst auf deinem Server angelegt (aber deaktiviert).
So kann der Benutzer mit firma2\Benutzer und seinem Kennwort auf sein Exchange-Postfach zugreifen.
Mit firma1\Benutzer (Schattenbenutzer) geht dies allerdings nicht, da der Benutzer deaktiviert ist.
Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht
mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.
mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.
Nein, da wird nichts "verknüpft", einfach den Benutzer aus der anderen Domäne für den Zugang zum Exchange einsetzen. Wie das funktioniert kann ich Dir sagen. [...]
Es gibt auch eine Gesamtstruktur-Vertrauensstellung:
http://technet.microsoft.com/de-DE/library/ms.exch.eac.TrustedForestOrD ...
Hier gibt es aber keine zentralisierte, separate, dedizierte Exchange-Gesamtstruktur.
Zitat von @certifiedit.net:
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile
von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile
von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Haargenau, es ist immer besser einheitliche, gemeinsame Lösungen oder klar isolierte Lösungen mit definierten Schnittstellen zu implementieren.
Zitat von @tikayevent:
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.
Das geht in der oben genannten Konstellation nur mit zusätzlichen Skripten/Tools.