7
1x Exchange, 2x AD - machbar?
Hallo,
wir haben in unserem Haus 2 DC (2008 Server) mit er Domäne domain1.com und einen Exchange2007. OWA (webmail.domain1.com), Outlook (username@domain1.com) funktionieren tadellos.
Nun wird eine Konstellation gewünscht, wo ich nicht sicher bin, ob das mit den vorhandenen Mitteln machbar ist:
Wie könnte ich das am besten realisieren?
kristov
wir haben in unserem Haus 2 DC (2008 Server) mit er Domäne domain1.com und einen Exchange2007. OWA (webmail.domain1.com), Outlook (username@domain1.com) funktionieren tadellos.
Nun wird eine Konstellation gewünscht, wo ich nicht sicher bin, ob das mit den vorhandenen Mitteln machbar ist:
- Der Exchange soll noch eine domain2.org bedienen - soweit kein Problem
- Einige User (quasi Firmenfremde, sind nicht im Haus und haben keine Geräte im AD) sollen sich ausschließlich mit dem Benutzernamen aus domain2.org an OWA und Exchange (via Outlook) oder mobilem Gerät anmelden können - hier werd ich wohl einen zweiten DC für ein eigenes AD domain2.org benötigen.
- OWA soll für diese Benutzer über webmail.domain2.org erreichbar sein. Hier muß ich halt die entsprechenden DNS-Einträge machen und auf den bestehenden Exchangeserver verweisen. Ich denke, es muß auch ein neues Zertifikat für Exchange erstellt werden, das Einträge für beide Domains beinhaltet. Ist das möglich? Wir verwenden für domain1.com ein selbst erstelltes Zertifikat. Optimal wäre natürlich, wenn ich für webmail.domain1.com und webmail.domain2.org separate Zertifikate verwenden könnte.
- Im Outlook muß die Anmeldung über username@domain2.org verwendet werden. Die Authentifizierung muß dann wohl der neue DC handlen.
- Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.
Wie könnte ich das am besten realisieren?
kristov
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194284
Url: https://administrator.de/contentid/194284
Printed on: April 19, 2024 at 02:04 o'clock
7 Comments
Latest comment
Moin,
lg,
Slainte
Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.
Spätestens im den Kopfdaten ist beim Empfänger allerdings der (externe) DNS Namen und evtl. auch noch die HELO-Meldung deines Exchange-Servers sichtbar.lg,
Slainte
Zertifikat wäre kein Problem da kann man sich einfach ein Öffenliches Multidomain Zertifikat kaufen und damit alle 4 Domains abdecken 2x Extern 2x intern.
Eine Domain Vertrauensstellung muss ich sagen hab ich leider noch nie gemacht. Ich habe auch kunden mit mehreren Firmen und hab das aber anders gelöst.
DNS der 2 Firma hab ich richtig eingestellt und somit funktioniert der OWA zugang so wie er sein soll für Firma 2.
Multidomain Zertifikat habe ich gekauf und am Exchnage eingespielt.
Dann hab ich am Exchange eine neue Externe Domain hinzugefügt um die Mails von firma 2 zu empfangen. (mx eintrag geädert logisch)
Dann hab ich eine Empfängerrichtlinie gemacht die festlegt das bei Usern im AD die im Punkt Firma den Firmennamen von Firma 2 stehen haben automatisch die Mailadresse von Firma 2 zur verfügung gestellt wird.
Das wars. Kein Domaincontroller usw.
Dann muss dein Chef neue Hardware oder(und) Lizenzen kaufen um die zweite Firma gesondert aufbauen zu können.
LG
Eine Domain Vertrauensstellung muss ich sagen hab ich leider noch nie gemacht. Ich habe auch kunden mit mehreren Firmen und hab das aber anders gelöst.
DNS der 2 Firma hab ich richtig eingestellt und somit funktioniert der OWA zugang so wie er sein soll für Firma 2.
Multidomain Zertifikat habe ich gekauf und am Exchnage eingespielt.
Dann hab ich am Exchange eine neue Externe Domain hinzugefügt um die Mails von firma 2 zu empfangen. (mx eintrag geädert logisch)
Dann hab ich eine Empfängerrichtlinie gemacht die festlegt das bei Usern im AD die im Punkt Firma den Firmennamen von Firma 2 stehen haben automatisch die Mailadresse von Firma 2 zur verfügung gestellt wird.
Das wars. Kein Domaincontroller usw.
Dann muss dein Chef neue Hardware oder(und) Lizenzen kaufen um die zweite Firma gesondert aufbauen zu können.
LG
Technisch möglich, ja, aber:
Du musst eine dritte Domäne haben, in welcher der Exchangeserver steht und diese dritte Domäne muss zu beiden Domänen einen bidirektionalen transistiven Domänentrust haben. Desweiteren musst du für jeden Benutzer, der auf dem Exchange ein Postfach haben soll, einen weiteren Benutzer in dieser dritten Domäne pflegen und mit den jeweiligen Benutzern der anderen Domänen verknüpfen.
Und jetzt kommt das KO-Kriterum: Das Unternehmen, was ihr mit auf eurem Exchange aufnehmen wollt, muss mindestens eine zu 51-prozentige Tochtergesellschaft der Gesellschaft sein, die den Exchange zur Verfügung stellt. Wenn dieses nicht gegeben ist, dann wird eine External Connector Lizenz pro Exchangeserver nötig und die kostet schlappe 60000€.
Du musst eine dritte Domäne haben, in welcher der Exchangeserver steht und diese dritte Domäne muss zu beiden Domänen einen bidirektionalen transistiven Domänentrust haben. Desweiteren musst du für jeden Benutzer, der auf dem Exchange ein Postfach haben soll, einen weiteren Benutzer in dieser dritten Domäne pflegen und mit den jeweiligen Benutzern der anderen Domänen verknüpfen.
Und jetzt kommt das KO-Kriterum: Das Unternehmen, was ihr mit auf eurem Exchange aufnehmen wollt, muss mindestens eine zu 51-prozentige Tochtergesellschaft der Gesellschaft sein, die den Exchange zur Verfügung stellt. Wenn dieses nicht gegeben ist, dann wird eine External Connector Lizenz pro Exchangeserver nötig und die kostet schlappe 60000€.
@Ausserwoeger
bleibt noch das Problem mit dem Konnex zwischen den beiden Firmen (wobei zweitere ein Verein ist). Bei Deiner Konstellation gibts ja keine Möglichkeit, sich mit einem Benutzernamen aus Firma 2 anzumelden.
@tykayevent
kling kompliziert... Verstehe konkret nicht, wozu eine dritte Domäne?
bleibt noch das Problem mit dem Konnex zwischen den beiden Firmen (wobei zweitere ein Verein ist). Bei Deiner Konstellation gibts ja keine Möglichkeit, sich mit einem Benutzernamen aus Firma 2 anzumelden.
@tykayevent
kling kompliziert... Verstehe konkret nicht, wozu eine dritte Domäne?
Ja das stimmt aber man kann den Server so einstellen das man keine Endung also Firma angeben muss und sich nur mit vorname.nachname anmeldet zb.
allerdings muss klar sein das beide Firmen den selben Server verwenden und man auch auf Freigabeebene Entsprechende rechte zu vergeben hat.
Es darf ja keiner von einer Firma auf die andere Zugreifen.
PS: Domainvertrauensstellungen finde ich kompliziert wenn man nicht jeden tag damit zu tun hat. Man muss dann auch beim AD design aufpassen den nur Universal Gruppen sind Domainübergreifend verfügbar und können am Domaincontroller der zweiten Firma ausgewählt werden.
LG
allerdings muss klar sein das beide Firmen den selben Server verwenden und man auch auf Freigabeebene Entsprechende rechte zu vergeben hat.
Es darf ja keiner von einer Firma auf die andere Zugreifen.
PS: Domainvertrauensstellungen finde ich kompliziert wenn man nicht jeden tag damit zu tun hat. Man muss dann auch beim AD design aufpassen den nur Universal Gruppen sind Domainübergreifend verfügbar und können am Domaincontroller der zweiten Firma ausgewählt werden.
LG
Du die dritte Domäne verhinderst du die Verbindung zwischen den beiden Domänen, da sonst bei einem Domänentrust beide Domänen miteinander eine Verbindung eingehen würden und somit deine Anforderungen der Trennung nicht mehr gegeben wären. Es besteht nur eine Verbindung zwischen AD1 und AD3 und AD2 und AD3, eine Verbindung, weder direkt noch indirekt zwischen AD1 und AD2 gibt es nicht, wenn du nicht explizit einen weiteren Domänentrust dazwischen erzeugst.
Ich bin momentan dabei, diese ganze Struktur wieder abzubauen, da momentan unser Exchange bei einem Outsourcingpartner steht und in den nächsten Wochen inhouse laufen soll.
Ich bin momentan dabei, diese ganze Struktur wieder abzubauen, da momentan unser Exchange bei einem Outsourcingpartner steht und in den nächsten Wochen inhouse laufen soll.
OK, so betrachtet einleuchtend, daß man ein drittes AD braucht.
Konnte dem Antragsteller klarmachen, daß das ohne massive Eingriffe in die bestehende Struktur nicht machbar ist und ggf. mit enormen Kosten verbunden ist. Wir machen es daher nicht.
Vielen Dank für die wertvollen Inputs!
Konnte dem Antragsteller klarmachen, daß das ohne massive Eingriffe in die bestehende Struktur nicht machbar ist und ggf. mit enormen Kosten verbunden ist. Wir machen es daher nicht.
Vielen Dank für die wertvollen Inputs!
