» Home » Konzepte » Interorg

Verbinden von Organisationen

Exchange ist logisch in Organisationen und Standorte bzw. Administrative Gruppen gegliedert. Dabei ist die Organisation die Grenze zwischen Exchange Installationen. Während mit Exchange 5.5 mehrere Organisationen in einer Firma auch innerhalb der gleichen Domäne bestehen konnten, gilt für Exchange 2000/2003, dass ein Active Directory Forest auch zugleich die Organisation für Exchange 2000/2003 darstellt.

Innerhalb einer Organisation können:

• Gemeinsam Ordner genutzt werden
• Adressen abgeglichen werden
• Frei/Belegt Zeiten ausgetauscht werden

Alle anderen Systeme außerhalb der Organisation gelten für Exchange zuerst als "Internet" und damit als nicht vertrauenswürdig.

Achtung
Wenn Sie nicht nur die Verbindung von zwei Exchange Organisationen planen, sondern zukünftig eine Konsolidierung der Benutzer in einen Forrest per ADMT, dann sollten Sie keine Kontakte als Ziel anlegen, sondern MailBenutzer, die später mit den migrierten Konten zusammengeführt werden können. Es ist viel einfacher aus einem Mailuser einen Mailboxuser zu machen. Ein Kontakt muss immer gelöscht und als Benutzer neu angelegt werden.

Die Anforderung

Nun rücken immer mehr Firmen enger zusammen oder bilden Partnerschaften, die auch eine engere Zusammenarbeit von Exchange bedarf. Im Hinblick auf Exchange 2000 bedeutet dies:

• Verzeichnisabgleich
  Das erste Ziel ist meist die automatische Pflege von Adressen in beiden Systemen, d.h. wenn ein neuer Mitarbeiter in einer Firma angelegt wird, sollten die anderen Firmen in ihrem Adressbuch nach kurzer Zeit diese Person auch sehen und erreichen können
• Nachrichtenaustausch
  Es mach keinen Sinn, dass Nachrichten zwischen zwei Firmen über das unsichere Internet übertragen werden, wenn eine private Verbindung besteht. Daher sind beide Mailsysteme so zu konfigurieren, dass die Nachrichten den direkten Weg gehen
• Frei/Belegt-Zeiten
  Wenn Partner enger zusammen arbeiten, dann ist es oft ein Wunsch, nicht nur die Partner per Mail einzuladen sondern schon im vorhinein zu sehen, welche Termine überhaupt verfügbar sind.
• Öffentliche Ordner
  Zusammenarbeit heißt mehr als nur Nachrichten zu senden. Selektive öffentliche Ordner sollen auf beiden Systemen sichtbar sein.
  Zusätzlich könnten auch die Frei/Belegt Zeiten der Mitarbeiter bei der Firmen übergreifenden Terminplanung gewünscht werden.

Damit sind die Anforderungen gestellt. Und all dies ist sogar möglich. das folgende Bild zeigt, wie Firma 1 seine Daten für Firma 2 bereitstellen kann. Natürlich kann man die gleiche Konfiguration auch bidirektional aufbauen.

Schauen wir uns die einzelnen Komponenten im Details an.

Verzeichnisabgleich

Exchange 2000 pflegt alle Adressen im Active Directory als Email aktivierte Benutzer oder Kontakte. Outlook hingegen kennt neben den Exchange Server Adressen auch Kontaktordner. Für die Umsetzung muss nun entschieden werden, wie die Adressen der entfernten Firma in das eigene System eingespielt werden.

• Kontakte im AD
  Hierzu kann der ADC oder ein Skript die Adressen aus der entfernten Umgebung per LDAP
• Kontakte im Ordner
  Ebenso sind Programme denkbar, die die Mailempfänger aus einer Firma exportieren und diese in einem gemeinsamen Kontaktordner für Outlook verfügbar machen. Damit erspart sich der Administrator viele Kontakte im Active Directory, was besonders bei weit verzweigten größeren Installationen unerwünscht ist. (Replikation und Sichtbarkeit)
• Transport mit Import/Export
  Zuletzt muss auch der Transportweg eingerichtet werden. Nicht immer sind beide Systeme direkt per TCP/IP erreichbar, so dass LDAP als Protokoll eingesetzt werden kann. Dann gilt es Alternativen zu suchen
• Fremdsystem
  Interessant wird es, wenn die andere Firma kein Exchange einsetzt. Dann sind andere Wege gefragt, um die Adressen z.B. als LDIF-Datei zu erhalten um diese importieren zu können. Eventuell ist der Einsatz eines gesonderten Servers mit dem Mailsystem der Gegenseite sinnvoll, um den passenden Connector (Notes, GroupWise) lokal einsetzen zu können.

Bei allen Varianten muss natürlich sicher gestellt werden, dass Löschbefehle und Veränderungen ebenso übertragen werden. Das "Hinzufügen" von neuen Benutzern ist nur die halbe Arbeit. Siehe auch Verzeichnisabgleich

In einfachen Umgebungen mit direkter TCP/IP Verbindung kann daher der ADC genutzt werden. Dabei werden Postfächer aus einer Exchange Organisation zu Kontakten im anderen Forest.

Achtung: Der ADC kann nur zwei Exchange Organisationen abgleichen, wenn eine Seite Exchange 5.5 ist und die andere Seite ein AD. Ein Abgleich zweier Active Directory Forest ist nicht möglich.
Eine Beschreibung finden Sie auf ADC Interorg

Idealerweise trenne man zu exportierende und importierte Informationen in eigenen OU's ab, da so auch Rechte zum Schreiben kontrolliert werden können.

Aber auch hierbei gibt es das ein oder anderen zu beachten. Siehe Details unter Verzeichnisabgleich und Ex552AD.  Der auf dem Bild vorhandene ADC ist nicht für die Replikation zwischen zwei ADs nutzbar, sondern nur zwischen einer Exchange 5.5 Organisation mit einer Exchange 2000/2003 Organisation.

Nachrichtenaustausch

Die Übertragung der Nachrichten erfolgt zweckmäßigerweise über SMTP. Dieses weit bekannte und verbreitete Protokoll ist leicht zu diagnostizieren, aufgrund der Nutzung eines Ports Firewall freundlich und auch die Sicherheit per TLS/SSL oder VPN und NAT-Tauglichkeit sprechen für den Einsatz.

Beim Einsatz von Exchange 2000 ist entsprechend ein SMTP-Connector einzurichten, welcher als Smarthost den Mailserver der Gegenseite über die private Leitung erreichen kann und als Adressraum die SMTP-Domäne des Empfängers hat. Nun werden alle Nachrichten an diese Domänen über den speziellen Connector direkt zur Partnerfirma geleitet.

Die Verbindung kann per VPN oder auch mittels Authentifizierung und SSL gesichert werden. Wenn beide Systeme "Exchange" Sprechen, dann kann beim Connector als Nachrichtenformat "RTF" aktiviert werden. Nun werden sogar "Terminvereinbarungen" und formatierte Nachrichten transparent übermittelt. Die den Anwender ist kaum noch ersichtlich, dass die Nachrichten die eigene Organisation verlässt und bei einer andere Firmen ankommt.

• Implementing TLS between two Exchange Server organizations
  http://msexchangeteam.com/archive/2006/10/04/429090.aspx

Zusammenarbeiten mit gleichem Adressraum

Ein Sonderfall ist die Nutzung des Verzeichnisabgleich für die gemeinsame Nutzung einer SMTP-Domäne in mehreren Organisationen. Hier ist ein Abgleich erforderlich, der die Empfänger zu Kontakten der anderen Seite macht und dabei eine eindeutige Adressierung erlaubt:

In diesem Fall kommt der abweichenden TargetAddress eine Bedeutung zu, anhand der die Mails von einer Organisation in die andere Geleitet werden, obwohl die Mailadresse eigentlich auch in der gleichen Organisationen vorhanden sein könnte. Voraussetzung ist natürlich, dass Exchange nicht autoritativ für diese Domäne ist. (Siehe auch MSXFAQ.DE - Empfängerrichtlinien)

Gleicher Adressraum mit "Eimerkette"

Ein Sonderfall ist eine gemeinsame Nutzung des Adressraums als Verkettung von Mailsystemen: Dies wird oft bei Migrationen durchgeführt, so dass die Mails zugestellt werden aber kein aufwändiger Verzeichnisabgleich notwendig ist.

Die Verzeichnisreplikation ist NICHT erforderlich zum Routing der Nachrichten. Nachrichten aus dem Internet werden durch den MX-Record zum linken Server (z.B.: die Exchange Organisation) geleitet. Dort ist die Domäne "nicht autoritativ", so dass Exchange Empfänger, die er lokal nicht findet, anhand des zweiten SMTP-Connectors an den rechten Server weiter gibt. Umgekehrt muss der Server rechts alle Nachrichten an die Exchange Organisation senden, die diese Nachrichten nun lokal Zustellt oder als Relay in das Internet sendet.

Allerdings hat dieses Konzept den "Nachteil", dass es zu Mailschleifen zwischen den beiden Servern kommen kann, wenn nämlich eine Mail an einen nicht existenten Empfänger adressiert wird. Dann läuft die Mail mehrfach zwischen den Systemen hin und her, bis der "Hopcount" überschritten ist oder ein anderer Mechanismus die Schleife unterbricht.

Dies kann aber recht einfach gelöst werden, indem zumindest auf dem Exchange Server in der Mitte die Benutzer des rechten Servers als Kontakte gepflegt werden, so dass die Exchange 2003 Empfängerprüfung ungültige Empfänger gleich ablehnen kann.

Ordner Replikation

Um die Zusammenarbeit nun weiter zu optimieren ist es sinnvoll auch öffentlichen Ordner selektiv zu replizieren. Das Programm "EXCHSYNC" von Microsoft sorgt dafür, indem es auf einem System läuft und regelmäßig eine Verbindung mit je einem Server herstellt. Es liest dann die angegebenen öffentlichen Ordner und übermittelt die Änderungen.

Als Besonderheit kann EXCHSYNC auch die Frei/Belegt Zeiten auslesen und in die andere Organisation übertragen. Siehe auch EXCHSYNC - InterOrg Replication Tool und Frei/Belegt Zeiten.

Weitere Links

• Verzeichnisabgleich
• ADC Interorg
• Weiterleitungen
• Ex552AD
• MiniSync
• Metadirectory
• MIIS
  Abgleich verschiedener Forests per LDAP zwischen LDIFDE und MIIS
• Synchronizing Multiple Exchange 2003 Forests
  http://technet.microsoft.com/en-us/library/bb123590%28EXCHG.65%29.aspx
  Sehr umfangreiches und interessantes Dokuments
• Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en
  Benötigt Windows 2003 Enterprise und mindestens eine MSDE (zum Test). Für den produktiven Einsatz ist ein lizenzierter SQL-Server erforderlich.
• Enabling Cross-Forest Identity Management with Microsoft Identity Integration Server 2003. http://www.Microsoft.com/technet/itsolutions/msit/deploy/cfimwiis.mspx
• 839049 The supportability of Exchange 2000 organizations and of Exchange 2003 organizations across multiple forests
  Hier steht eigentlich nur, dass eine Exchange 5.5 Org beim Inplace Update mehrere NT4 Domains nicht in mehrere Windows 200x Forests aufgeteilt werden darf.
• www.Microsoft.com/miis
• Configuring the InterOrg Replication Tool
  http://www.MSExchange.org/pages/article.asp?id=670
• http://www.Microsoft.com/exchange/techinfo/interop/
• Using EdgeSync to Populate ADAM with Active Directory Data
  https://www.Microsoft.com/technet/prodtechnol/exchange/E2k7Help/26e90de4-adde-4571-9137-8dc5f72b0eed.mspx?mfr=true
• Create Custom Directories with ADAM
  http://www.Microsoft.com/technet/technetmag/issues/2006/07/CustomDir/default.aspx
• Verwenden der GAL-Synchronisierung von MIIS 2003 http://www.Microsoft.com/technet/prodtechnol/exchange/de/guides/Ex2k3DepGuide/9d790078-0dfb-4684-81b3-2d9d5bf5a0ba.mspx?mfr=true
• ADAMSYNC
  http://technet2.Microsoft.com/WindowsServer/en/library/c64799ab-88c0-4e5a-b296-bc26031141291033.mspx?mfr=true

Adamsync is a command-line utility that performs a one-way synchronization of data from Active Directory into ADAM. Adamsync uses an XML-based con-figuration file that drives the parameters of the ongoing synchronization

• Implementing TLS between two Exchange Server organizations
  http://msexchangeteam.com/archive/2006/10/04/429090.aspx
• http://www.eklektika.net
  Replikation von Mailadressen, Faxnummern und Verteilern zwischen Datenbanken und Exchange
• http://msdn.Microsoft.com/library/default.asp?url=/library/en-us/ado270/htm/mdrefadsprovspec.asp
  Microsoft OLE DB Provider for Microsoft Active Directory Service
• http://www.Microsoft.com/windowsserver2003/techinfo/overview/galsynchstep.mspx
• http://www.Microsoft.com/windowsserver2003/techinfo/overview/miisgalarch.mspx
• www.Microsoft.com/miis
• http://www.msexchange.org/tutorials/GAL-Sync-Identity-Integration-Feature-Pack-IIFP.html
• http://www.msexchange.org/tutorials/Overview-Active-Directory-Connector.html
• http://www.msexchange.org/tutorials/Site-Consolidation-Tools-Exchange2003.html
• Free/Busy & Global Address List Synchronization for Exchange
  http://www.quest.com/collaboration-services/
  Kommerzielles Tools für Dirsync und Free/Busy-Abgleich
• Penrose: Virtual LDAP-Server als Proxy gegen verschiedene Backends
  http://penrose.safehaus.org/penrose/news.html

Keywords:

Interorg Dirsync PFRepl MIIS MetaDirectory

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
  • Reporting
  • Sizing
  • 4GB Ram
  • 2TB Disk
  • Datenbank Management
  • Backupkonzepte
  • Ende2Ende Monitoring
  • Kontakte
  • Termine
  • TerminFAQ
  • Aufgaben
  • Konferenzräume und Ressourcen
  • Raumbuchung
  • RTFMAIL und WINMAIL
  • Stellvertreter
  • Vertraulich
  • Regeln
  • Weiterleitungen
  • SMTP-Relay
  • Out of Office
  • Hosting
  • Provisioning
  • Metadirectory
  • AG-Rechte
  • Auditing
  • Öffentliche Ordner
  • Web Storage System
  • Archivieren
  • Verzeichnisabgleich
  • Interorg
  • Virenschutz
  • Exchange 5.5 Beispielkonzept
  • Sicherheit
  • Private Mails
  • DNS
  • WINS
  • SAN oder NAS
  • IDE oder SCSI
  • iSCSI
  • SNMP Basics
  • SNMP Intern
  • IPV6
  • NetWare
  • Adminkonzept
  • AdminSDHolder
  • ExAdminkonzept
  • Testfeld
  • Virtualisierung
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages