Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei DCs und ein Exchange-Server - Benutzer aus zweiter Domäne können nicht ausgewählt werden

Frage Microsoft Exchange Server

Mitglied: maikmueller

maikmueller (Level 1) - Jetzt verbinden

07.01.2014 um 15:03 Uhr, 1839 Aufrufe, 27 Kommentare

Hallo liebe Forenmitglieder,

erstmal für alle noch ein gutes neues Jahr. Nun komm ich gleich zum Punkt:

Ich habe zwei DCs welche über eine Vertrauensstellung miteinander kommunizieren. Die Domänen sind Firma1.local und Firma2.local.

Während Firma1.local von Anfang an existiert haben kam Firma2.local nun über die Vertrauensstellung hinzu. Nun wollte ich die Postfächer für die Benutzer der Domäne Firma2.local in Exchange einrichten und musste feststellen, dass diese dort nicht ausgewählt werden können. Ein Kollege von mir meinte es wäre erforderlich, im Exchange ebenfalls eine Vertrauensstellung zu bauen. Leider habe ich bei meinen Recherchen nichts brauchbares gefunden. Gibt es hier jemanden der mir weitere Informationen dazu liefern kann? Es wird Exchange 2013 verwendet. Als DCs kommen in der Domäne Firma1.local (gleiche Domäne wie der Exchange Server) Windows Server 2012 zum Einsatz. Der DC von Domäne Firma2.local läuft unter Windows Server 2003 R2.

Für jeden Hinweis bin ich dankbar.

Viele Grüße

Maik
27 Antworten
Mitglied: certifiedit.net
07.01.2014 um 15:10 Uhr
Hallo,
du benötigst einen zweiten Exchange in Domäne zwei um darüber dann eine Vertrauensstellung zu realisieren - oder du ziehst Dom2 in Dom1.

So wie du das willst wird das wohl nicht gehen.

Beste Grüße,

Christian
Bitte warten ..
Mitglied: tikayevent
07.01.2014 um 15:13 Uhr
Es gibt auch die Möglichkeit, mit Schattenbenutzern zu arbeiten.
Bitte warten ..
Mitglied: SpeakerST
07.01.2014 um 15:13 Uhr
Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das musst du dann auch noch anpassen.

Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur einmal vorhanden sein muss
Bitte warten ..
Mitglied: certifiedit.net
07.01.2014 um 15:18 Uhr
Zitat von SpeakerST:

Ich schließe mich da an, ich würde dir aber raten die dom2 in die dom1 zu ziehen da die Vertrauensstllungen so ihre
Probleme mit sich bringen können. Solltest du es doch mit Vertrauenstellungen machrn dann denk an dein Rechte Konzept das
musst du dann auch noch anpassen.

Ach und noch was wenn du es geschickt machst dann kannst du einen 2 Exchange installieren aber dei selbe DB nehmen da diese nur
einmal vorhanden sein muss

Sorgt aber nur für eine größeres Ausfallpotential (100% DB down 200% Mail Down) ;)

Wie oben genannt: Zieh die Domain um, dann hast du auch weniger Stress, was Wartung angeht (siehst du auch hierbei), weniger Lizenzkosten (zweiter Ex) und eine bessere Basis für Upgrades.
Bitte warten ..
Mitglied: maikmueller
07.01.2014 um 15:22 Uhr
Hallo!

Vielen Dank für Eure Antworten.

Ich muss noch etwas genauer nachfragen. Was meint Ihr mit "Benutzer von Domäne2 in Domäne1 ziehen"? Würde das bedeuten, dass Domäne2 aufgelöst würde?

Das wäre nämlich keine Option für uns. Anderweitig habe ich das so verstanden, dass ich einen weiteren Exchange Server aufsetzen muss und diesen in Domäne zwei einbinden muss um die Benutzer zu sehen?

Was hat es mit den Schattenbenutzern auf sich?

Über weitere Infos wäre ich dankbar.

Viele Grüße
Bitte warten ..
Mitglied: certifiedit.net
07.01.2014 um 15:27 Uhr
Warum ist eine Zusammenführung keine Option? (denn genau das war gemeint).

Nein, ein zweiter Exchange würde bedeuten, dass dieser dort die Benutzer von Dom2 verwaltet, getrennt von eurem.
Bitte warten ..
Mitglied: maikmueller
07.01.2014 um 15:32 Uhr
Hallo!

Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?

Danke und viele Grüße
Bitte warten ..
Mitglied: tikayevent
07.01.2014 um 15:42 Uhr
Kurze Lizenzfrage vorweg: Sind beide Firmen zu mindestens 51% verwandt? Wenn nicht, benötigst du für den Exchangeserver eine Exchange Hosting-Lizenz, die pro Server im mittleren fünfstelligen Bereich liegt.
Bitte warten ..
Mitglied: chfr77
07.01.2014 um 15:47 Uhr
Zitat von maikmueller:

Hallo!

Die Zusammenführung ist keine Option weil es sich im Prinzip um zwei getrennte Firmen handelt deren DCs auch an
unterschiedlichen Standorten stehen. So wie ich das verstanden habe kommt also nur ein weiterer Exchange Server in Frage?

Danke und viele Grüße

Ja. Ein Exchangeserver kann nur zu einer Domäne gehören.

Hier könnte man pure Logondomänen benutzen, die entsprechende Vertrauensstellungen haben und in denen dann quasi alle Benutzerkonten sind aber keine Computerkonten. Das kommt dann dem Umzug der Nutzerkonten nahe. Wäre hier aber wohl keine Option.
Bitte warten ..
Mitglied: certifiedit.net
07.01.2014 um 15:50 Uhr
Exakt, dann kommt nur eine doppelte Exchangeführung in Betracht. Ansonsten darfst du das gar nicht.

Obiges Szenario klang nach wir haben hier unsere Firma und dort nun eine zweite "einverleibt" und wollen alle schön den selben Space nutzen. Das geht nicht.
Bitte warten ..
Mitglied: tikayevent
07.01.2014 um 15:54 Uhr
Es geht schon, ich war längere Zeit Nutzer eines solchen Konstrukts, dazu wurde in der Domäne mit dem XNG ein Schattenbenutzer angelegt, der mit meinem Domänenbenutzer verknüpft war. Damit konnte ich mich mit meiner normalen Benutzerkennung anmelden, hab aber einen XNG in einer anderen Domäne genutzt. Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.
Bitte warten ..
Mitglied: chfr77
07.01.2014 um 15:59 Uhr
Zitat von tikayevent:
Aufgrund der Lizenzfrage, die ich gestellt habe, musste das ganze dann aber vor einem Jahr beendet werden.

Also ist es noch nicht verjährt. Superschlaues Geständnis hier.
Bitte warten ..
Mitglied: maikmueller
07.01.2014 um 16:10 Uhr
Also lizenzrechtlich geht das wohl in Ordnung da Firma2 eine 100% Tochter von Firma1 mit ein und dem selben Inhaber ist. Was hat es mit den Schattenbenutzern auf sich bzw. wie oder wo werden diese angelegt?

Wäre dankbar wenn mir dazu noch einer Informationen geben könnte.

Vielen Dank und viele Grüße
Bitte warten ..
Mitglied: chfr77
07.01.2014, aktualisiert um 16:25 Uhr
Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell eingestellt um sich mit dem Exchange zu verbinden.

Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.
Bitte warten ..
Mitglied: maikmueller
07.01.2014 um 16:27 Uhr
Vielen Dank für deine Antwort.

Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?

Viele Grüße
Bitte warten ..
Mitglied: chfr77
07.01.2014 um 16:36 Uhr
Ja.

Ein Exchange kann nur in einer Domäne sein. Benutzerkonten aus dieser Domäne können dann darauf Emailkonten bekommen.
Bitte warten ..
Mitglied: certifiedit.net
07.01.2014, aktualisiert um 16:55 Uhr
Zitat von maikmueller:

Vielen Dank für deine Antwort.

Das mit dem Benutzer anlegen habe ich schon verstanden. Aber letzlich muss ich doch alle betroffenen Benutzer neu anlegen und kann
nicht auf die Vertrauensstellung zurückgreifen, oder hab ich hier etwas überlesen bzw. falsch verstanden?

Viele Grüße

Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Bitte warten ..
Mitglied: tikayevent
07.01.2014 um 17:20 Uhr
Zitat von chfr77:

Das ist einfach, Du legst einen Benutzer in der Domäne an in der der Exchange ist und dann wird der im Outlook manuell
eingestellt um sich mit dem Exchange zu verbinden.

Wenn die andere Firma Tochterfirma ist, darf die einfach so Lizenzen aus Eurem Volumenlizenzprogramm einsetzen, aber nur unter
bestimmten Umständen eine Software gemeinsam mit Euch nutzen. Das sind zwei paar Schuhe. Außerdem müssen die CAL
für Server und Exchange dann aus dem gleichen Lizenzprogramm von der gleichen Firma kommen.

Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.

Zitat von certifiedit.net:
Exakt, aber wenn es eine 100% Tochter ist: Warum nicht direkt eine Domäne? Dies kann man ja dann "Verrechnen" - wenn gewünscht.
Ich kann es mir schon vorstellen. Im Regelfall hat es keinen Grund, dass es keine Unterabteilung der vorhandenen Firma sondern eine eigene Firma ist. Irgendwann könnte es ja veräußert werden und solange eine vollständige Trennung vorhanden ist, ist dies problemlos möglich. Bei uns war diese Trennung leider nicht so sauber, so dass wir jetzt schon seit über 10 Jahren an der Trennung von der alten Muttergesellschaft arbeiten.
Bitte warten ..
Mitglied: certifiedit.net
07.01.2014 um 17:47 Uhr
Aber in diesem Fall ist eine o.g Verzwickung doch auch nicht besser?

Also @TO: Warum gibt es eine Tochter? Die IT muss hier eben Abbilden, was Rechtstechnisch vorgedacht wurde. Ohne dies Info kann es keine gute Antwort geben.

Tendenz meinerseits zwar zu zweitem Exchange.
Ist dies aber so geplant, dass die Tochter nur aus Steuerrechtlichem (Frau ovgl?) ausgegliedert wurde kann auch eine komplette Domain mit einem Exchange her. Vorteile s.o.

Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.
Bitte warten ..
Mitglied: tikayevent
07.01.2014 um 20:22 Uhr
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.

Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte ich damit sofort auf meine E-Mails zugreifen.
Bitte warten ..
Mitglied: certifiedit.net
07.01.2014 um 20:32 Uhr
Zitat von tikayevent:

> Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die
Nachteile von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.

Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.

Das kann ich mir dann aber nur in einer Vertrauensstellung vorstellen (mit deinen o.g. Lizenzlimitierungen?) hier stehen wir vor dem Problem der Realisierung. Außerdem müssen wir hier doch annehmen (richtig?), dass es bei einer Firmenverschiebung (hier Klärung der Verhältnisse notwendig) zu den gleichen Problemen wie bei einer Domäne kommt (pi * Daumen). Da der EX mit dem anderen Netz verknüpft ist.
Bitte warten ..
Mitglied: wiesi200
07.01.2014 um 20:40 Uhr
Hallo,

Bei uns gibt es eine ähnliche Konstellation.
Ich hab es nicht geschafft. Einzig als Subdomain könnte es vielleicht funktionieren. Aber nicht mal da währ ich mir sicher.

Auf Grund der wenigen Benutzer hab ich die von der Tochterfirma doppelt angelegt. Und selbst das ist nicht so schön, weshalb ich auf 2 Exchange wechseln werde.
Bitte warten ..
Mitglied: maikmueller
08.01.2014 um 08:48 Uhr
Danke für die vielen Antworten. Kann mir denn einer genauere Informationen nennen wie ein Schattenbenutzer angelegt wird? Dann würde ich das zumindest mal testen und anschließend entscheiden ob die Lösung für uns funktioniert.

Viele Grüße, ich hoffe Ihr habt besseres Wetter als hier im Norden...
Bitte warten ..
Mitglied: 111784
08.01.2014 um 14:47 Uhr
Diese Benutzer kannst Du über ecp beim Exchange 2013 anlegen.

Dazu gehst Du in die Postfach-Verwaltung und kannst über das + ein Verknüpftes Postfach hinzufügen.

Somit kannst Du über die Vertrauensstellung auf die Benutzer-Konten der anderen Domäne zugreifen.

In diesem Zug wird ein Benutzer mit den Daten die Du angibst auf deinem Server angelegt (aber deaktiviert).

So kann der Benutzer mit firma2\Benutzer und seinem Kennwort auf sein Exchange-Postfach zugreifen.
Mit firma1\Benutzer (Schattenbenutzer) geht dies allerdings nicht, da der Benutzer deaktiviert ist.
Bitte warten ..
Mitglied: chfr77
09.01.2014, aktualisiert um 08:31 Uhr
Zitat von tikayevent:

Nein, die Benutzer werden miteinander verknüpft, man meldet sich mit dem Benutzer aus seiner Heimatdomäne an und nicht
mit dem Schattenbenutzer. Wie genau das funktioniert kann ich aber nicht sagen, weil ich Benutzer und nicht Administrator war.

Nein, da wird nichts "verknüpft", einfach den Benutzer aus der anderen Domäne für den Zugang zum Exchange einsetzen. Wie das funktioniert kann ich Dir sagen. [...]

Es gibt auch eine Gesamtstruktur-Vertrauensstellung:

http://technet.microsoft.com/de-DE/library/ms.exch.eac.TrustedForestOrD ...

Hier gibt es aber keine zentralisierte, separate, dedizierte Exchange-Gesamtstruktur.
Bitte warten ..
Mitglied: chfr77
09.01.2014 um 08:17 Uhr
Zitat von certifiedit.net:
Ein Schattennutzer, wie es tikaya genannt hat (und wie ich mir eine Realisierung vorstellen könnte) gibt dir die Nachteile
von beidem + Overheard wenn Benutzer ein Passwort verliert oder oder oder.

Haargenau, es ist immer besser einheitliche, gemeinsame Lösungen oder klar isolierte Lösungen mit definierten Schnittstellen zu implementieren.
Bitte warten ..
Mitglied: chfr77
09.01.2014, aktualisiert um 08:22 Uhr
Zitat von tikayevent:
Da vertust du dich, der Schattenbenutzer bezieht seine Informationen vom Originalbenutzer, es gibt keine doppelte Pflege, nur eine
doppelte Anlage samt Verknüpfung der beiden. Wenn ich damals mein Passwort in unserer Domäne geändert habe, konnte
ich damit sofort auf meine E-Mails zugreifen.

Das geht in der oben genannten Konstellation nur mit zusätzlichen Skripten/Tools.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
gelöst Exchange Server 2007 - Postfach mit neuem Benutzer verknüpfen (2)

Frage von chb1982 zum Thema Exchange Server ...

Windows Server
gelöst Neuer PDC - Exchange Server anpassungen? (6)

Frage von adrian138 zum Thema Windows Server ...

Cloud-Dienste
gelöst Eigener Exchange Server möglich ? In der Cloud ? (4)

Frage von power-user zum Thema Cloud-Dienste ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...