Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

1x Exchange, 2x AD - machbar?

Frage Microsoft Exchange Server

Mitglied: kristov

kristov (Level 2) - Jetzt verbinden

15.11.2012 um 10:48 Uhr, 2568 Aufrufe, 7 Kommentare

Hallo,

wir haben in unserem Haus 2 DC (2008 Server) mit er Domäne domain1.com und einen Exchange2007. OWA (webmail.domain1.com), Outlook (username@domain1.com) funktionieren tadellos.

Nun wird eine Konstellation gewünscht, wo ich nicht sicher bin, ob das mit den vorhandenen Mitteln machbar ist:

  • Der Exchange soll noch eine domain2.org bedienen - soweit kein Problem
  • Einige User (quasi Firmenfremde, sind nicht im Haus und haben keine Geräte im AD) sollen sich ausschließlich mit dem Benutzernamen aus domain2.org an OWA und Exchange (via Outlook) oder mobilem Gerät anmelden können - hier werd ich wohl einen zweiten DC für ein eigenes AD domain2.org benötigen.
  • OWA soll für diese Benutzer über webmail.domain2.org erreichbar sein. Hier muß ich halt die entsprechenden DNS-Einträge machen und auf den bestehenden Exchangeserver verweisen. Ich denke, es muß auch ein neues Zertifikat für Exchange erstellt werden, das Einträge für beide Domains beinhaltet. Ist das möglich? Wir verwenden für domain1.com ein selbst erstelltes Zertifikat. Optimal wäre natürlich, wenn ich für webmail.domain1.com und webmail.domain2.org separate Zertifikate verwenden könnte.
  • Im Outlook muß die Anmeldung über username@domain2.org verwendet werden. Die Authentifizierung muß dann wohl der neue DC handlen.
  • Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.

Wie könnte ich das am besten realisieren?

kristov
Mitglied: SlainteMhath
15.11.2012 um 11:15 Uhr
Moin,

Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.
Spätestens im den Kopfdaten ist beim Empfänger allerdings der (externe) DNS Namen und evtl. auch noch die HELO-Meldung deines Exchange-Servers sichtbar.

lg,
Slainte
Bitte warten ..
Mitglied: Ausserwoeger
15.11.2012, aktualisiert um 11:46 Uhr
Zertifikat wäre kein Problem da kann man sich einfach ein Öffenliches Multidomain Zertifikat kaufen und damit alle 4 Domains abdecken 2x Extern 2x intern.

Eine Domain Vertrauensstellung muss ich sagen hab ich leider noch nie gemacht. Ich habe auch kunden mit mehreren Firmen und hab das aber anders gelöst.

DNS der 2 Firma hab ich richtig eingestellt und somit funktioniert der OWA zugang so wie er sein soll für Firma 2.
Multidomain Zertifikat habe ich gekauf und am Exchnage eingespielt.
Dann hab ich am Exchange eine neue Externe Domain hinzugefügt um die Mails von firma 2 zu empfangen. (mx eintrag geädert logisch)
Dann hab ich eine Empfängerrichtlinie gemacht die festlegt das bei Usern im AD die im Punkt Firma den Firmennamen von Firma 2 stehen haben automatisch die Mailadresse von Firma 2 zur verfügung gestellt wird.

Das wars. Kein Domaincontroller usw.

Zitat von kristov:
  • Es darf keinen sichtbaren Konnex zwischen den beiden Domains geben.

Dann muss dein Chef neue Hardware oder(und) Lizenzen kaufen um die zweite Firma gesondert aufbauen zu können.

LG
Bitte warten ..
Mitglied: tikayevent
15.11.2012 um 12:53 Uhr
Technisch möglich, ja, aber:

Du musst eine dritte Domäne haben, in welcher der Exchangeserver steht und diese dritte Domäne muss zu beiden Domänen einen bidirektionalen transistiven Domänentrust haben. Desweiteren musst du für jeden Benutzer, der auf dem Exchange ein Postfach haben soll, einen weiteren Benutzer in dieser dritten Domäne pflegen und mit den jeweiligen Benutzern der anderen Domänen verknüpfen.
Und jetzt kommt das KO-Kriterum: Das Unternehmen, was ihr mit auf eurem Exchange aufnehmen wollt, muss mindestens eine zu 51-prozentige Tochtergesellschaft der Gesellschaft sein, die den Exchange zur Verfügung stellt. Wenn dieses nicht gegeben ist, dann wird eine External Connector Lizenz pro Exchangeserver nötig und die kostet schlappe 60000€.
Bitte warten ..
Mitglied: kristov
15.11.2012 um 14:53 Uhr
@Ausserwoeger
bleibt noch das Problem mit dem Konnex zwischen den beiden Firmen (wobei zweitere ein Verein ist). Bei Deiner Konstellation gibts ja keine Möglichkeit, sich mit einem Benutzernamen aus Firma 2 anzumelden.

@tykayevent
kling kompliziert... Verstehe konkret nicht, wozu eine dritte Domäne?
Bitte warten ..
Mitglied: Ausserwoeger
15.11.2012 um 15:39 Uhr
Ja das stimmt aber man kann den Server so einstellen das man keine Endung also Firma angeben muss und sich nur mit vorname.nachname anmeldet zb.

allerdings muss klar sein das beide Firmen den selben Server verwenden und man auch auf Freigabeebene Entsprechende rechte zu vergeben hat.

Es darf ja keiner von einer Firma auf die andere Zugreifen.

PS: Domainvertrauensstellungen finde ich kompliziert wenn man nicht jeden tag damit zu tun hat. Man muss dann auch beim AD design aufpassen den nur Universal Gruppen sind Domainübergreifend verfügbar und können am Domaincontroller der zweiten Firma ausgewählt werden.

LG
Bitte warten ..
Mitglied: tikayevent
15.11.2012, aktualisiert um 20:33 Uhr
Du die dritte Domäne verhinderst du die Verbindung zwischen den beiden Domänen, da sonst bei einem Domänentrust beide Domänen miteinander eine Verbindung eingehen würden und somit deine Anforderungen der Trennung nicht mehr gegeben wären. Es besteht nur eine Verbindung zwischen AD1 und AD3 und AD2 und AD3, eine Verbindung, weder direkt noch indirekt zwischen AD1 und AD2 gibt es nicht, wenn du nicht explizit einen weiteren Domänentrust dazwischen erzeugst.

Ich bin momentan dabei, diese ganze Struktur wieder abzubauen, da momentan unser Exchange bei einem Outsourcingpartner steht und in den nächsten Wochen inhouse laufen soll.
Bitte warten ..
Mitglied: kristov
16.11.2012 um 09:23 Uhr
OK, so betrachtet einleuchtend, daß man ein drittes AD braucht.

Konnte dem Antragsteller klarmachen, daß das ohne massive Eingriffe in die bestehende Struktur nicht machbar ist und ggf. mit enormen Kosten verbunden ist. Wir machen es daher nicht.

Vielen Dank für die wertvollen Inputs!
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Exchange Server
Exchange 2016 aus AD sauber entfernen (11)

Frage von JanGarbers zum Thema Exchange Server ...

Server-Hardware
gelöst DellT20 als Hyper-V host für Exchange 2013 und einer AD? (9)

Frage von bootloader zum Thema Server-Hardware ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...