» Home » Migration/Koexistenz » ADC Grundlagen » ADC Interorg

ADC Interorg

Eine eher selten genutzte Funktion des Active Directory Connector ist die Möglichkeit verschiedene Organisationen zu verbinden

Diese Funktion eignet sich nicht für die Verbindung von zwei Exchange 2000/2003 Organisationen !

Achtung:
Nutzen Sie auf jeden Fall den aktuellsten ADC, welchen Sie im Servicepack finden (z.B. Exchange 2003 SP2 oder neuer). Ältere ADCs haben noch ein paar Bugs.

Installation

Zuerst müssen Sie den ADC wie gewohnt installieren. Am besten ist die Installation im Zielforest, da hier ja auch Exchange 2000/2003 installiert wird und damit die Schemaerweiterungen schon verfolgt sind oder sowieso erfolgen müssen. Das Setup starten Sie wie gewohnt mit SETUP.EXE von der CD. Es bietet sich an, gleichen den ADC aus dem aktuellen Servicepack zu nutzen. Dies ist zumindest beim Exchange 2003 SP2 eine Vollinstallation.

Der Installationsumfang sollte komplett sein:

Vielleicht haben Sie ja den ADC noch aus einer Exchange 5.5 nach Exchange 2000/2003 Migration auf einem System installiert. Dann können Sie natürlich auch diese Instanz nutzen.

Der Zielpfad ist normalerweise C:\Programme\MSADC und Sie sollten dem Dienst natürlich ein eigenes Dienstkonto geben. Dies ist zwar nicht zwingend das Konto, mit dem später auf die LDAP-Server zugegriffen wird, aber Sie sollten nicht den Administrator nehmen. Wenn Sie dessen Kennwort später mal ändern müssen, dann laufen auch der ADC und  viele andere Dienste mit dem gleichen Usernamen nicht mehr. Ein Postfach braucht dieser Benutzer nicht.

Das Dienstkonto für den ADC muss Mitglied der lokalen Administratorengruppe sein. Insofern sollten Sie den ADC vielleicht nicht auf einem Domain Controller installieren, weil das ADC-Konto damit dann auch Domänen Administrator wird.

Konfiguration Exchange 5.5 zum Active Directory/Exchange 2000/2003

Die eigentliche Konfiguration erfolgt dann wieder mit der MMC für den ADC. Zuerst werden wie gewohnt die beiden Server konfiguriert

ACHTUNG: Verwenden Sie hier IMMER nur Servernamen und keine IP-Adressen. Anscheinend sucht der ADC im LDAP-Pfad "o=ORG/ou=NT4DOM/cn=Configuration/cn=Servers/" nach dem hier angegebenen Servernamen in der Form cn=NT4PDC.
Wenn es den nicht gibt, dann kommt eine nicht weiterführende Fehlermeldung 80072030

Wichtig ist die Einstellung, dass es eine "Organisationsübergreifende Verbindungvereinbarung" ist.

Sollten Sie dies "vergessen", dann erkennen Sie dies spätestens beim Speichern and folgender Fehlermeldung:

Sobald dieses Option aktiviert ist, können Sie die  Verbindung natürlich nicht mehr bidirektional nutzen.

 

Sie müssen daher solch eine Verbindung immer unidirektional einrichten. Wenn Sie daher zwei Organisationen bidirektional verbinden wollen, dann benötigen Sie immer mindestens zwei Verbindungsvereinbarungen.

Sie müssen übrigens nicht darauf achten, dass Sie keine Schleifen bauen. Der ADC "weiss" schon, woher ein Objekt kommt und repliziert es nicht in einen anderen Container oder OU der Quelle zurück.

Und dann müssen Sie natürlich noch die Empfängercontainer spezifizieren, die Sie auf der einen Seite exportieren und auf der anderen Seite importieren wollen. (Hier am Beispiel Exchange 5.5 nach Exchange 2000/2003)

Beim Abspeichern komm natürlich auch hier der komplett ein Hinweis, der natürlich fehl am Platz ist:

Dieser Hinweis ist nur gültig, wenn der ADC bei einer Migration von Exchange 5.5 nach Exchange 2000/2003 innerhalb der gleichen Organisation eingesetzt wird.

Alle Empfänger aus den Quellcontainern unter Exchange 5.5 werden zu Kontakten im Active Directory

 

Der ADC übernimmt nicht nur die SMTP-Adresse als Zieladresse für den Kontakt, sondern auch die Proxy Adressen.

Im Detail übernimmt der ADC folgende Felder:

Exchange 5.5	Exchange 200x/Active Directory
primäre SMTP-Adresse (Proxy)	Wird zur Mailadresse des Kontakts
Proxy Addresses	Proxy Addresses Hier wird zusätzlich der LegacyExchangeDN der Quelle als X500-Adresse hinzugefügt. Der ADC importiert die Einträge derart, dass der RUS nichts mehr zu tun hat. Allerdings bedeutet dies nicht, dass spätere Änderungen
Vorname	Vorname
Nachname	Nachname
Anzeigename	Anzeigename
Büro	Büro
Telefon	Rufnummer
Adresse	Straße
Ort	Ort
Region	Bundesland/Kanton
PLZ	PLZ
Telefon Privat 2	Rufnummer
Funkruf	Pager
Mobil	Mobil
Fax	Fax
Anmerkung	Anmerkung
Titel	Position
Abteilung	Abteilung
Firma	Firma
Vorgesetzter	Vorgesetzter
Mitglied von	Mitgliedschaften in Verteilern werden NICHT übernommen. Dies ist nicht möglich, da die Verteiler selbst nur Kontakte sind.
Benutzerdefinierte Attribute 1-10	Benutzerdefinierte Attribute 1-10.  11-16 gibt es in Exchange 5.5 nicht.
Grenzwert für empfangene Nachrichten	Grenzwert für empfangene Nachrichten
Staat	Wird nicht übernommen
Sekretariat	Wird nicht übernommen
Empfangsbeschränkungen	Wird nicht übernommen
Mitarbeiter	Wird nicht übernommen

Eventuell werden noch andere Felder übernommen bzw. im Ziel gelöscht. Angaben ohne Gewähr.

Wenn Sie dann direkt per LDAP den Kontakt genauer anschauen, dann sehen Sie dass auch "ProtocolSettings" und andere Felder repliziert werden, die für einen Kontakt überhaupt keine Bedeutung haben. ADSIEDIT zeigt auch, das auch hier mit ADCGlobalNames eine Verbindung abgespeichert wird.

Das ist auch der Grund dafür, dass der ADC solch einen Kontakt über ein anderes CA nicht wieder in die Quelle zurück repliziert.

Konfiguration Exchange 2000/2003 nach Exchange 5.5

Auch umgekehrt kann der ADC aus jedem Mailempfänger im Active Directory einen Kontakt unter Exchange 5.5 anlegen. Hier die entsprechenden Einstellungen:

Auch auf dem Rückweg werden die Felder übernommen. Dabei werden aus den Benutzern im Active Directory entsprechend "Benutzerdefinierte Empfänger" in Exchange 5.5. Die OU-Struktur aus dem AD wird in Exchange 5.5 als Empfängercontainer angelegt und auch Verteiler werden natürlich zu Kontakten.

Feinheiten hinter den Kulissen

Manchmal ist das gute alte Diagnoseprotokoll eine wertvolle Hilfe auf der Suche nach Hintergründen. Der ADC protokolliert dann fast jede Aktion im Eventlog mit. So finden sich dann folgende einträgen

Ereignistyp:	Informationen
Ereignisquelle:	MSADC
Ereigniskategorie:	LDAP-Operationen 
Ereigniskennung:	8011
Datum:		23.04.2006
Zeit:		21:28:06
Benutzer:		Nicht zutreffend
Computer:	SRV01
Beschreibung:
Verzeichnis NT4PDC an Basis 'o=ORG' wird mit dem Filter '(proxy-addresses=X500:ADCDeleteWhenUnlinked)'
durchsucht; die Attribute MemberOf; ObjectClass; home-mdb; Instance-Type; member werden angefordert.
(Verbindungsvereinbarung 'InterOrg E200x -> EX55' #4608) 
Weitere Informationen finden Sie unter http://www.Microsoft.com/contentredirect.asp.

Für mich bedeutet das, dass sich der ADC in den Proxy Adressen mit einem "geschützten" Begriff "X500:ADCDeleteWhenUnlinked" merkt, ob er diese Objekte löschen soll, wenn diese nicht mehr verknüpft sind.

Weiterhin sieht man in den Eventlogs, dass der ADC sowohl über die USN nach geänderten Objekten als auch in "Deleted Objects" nach gelöschten Objekten sucht. Das bedeutet aber auch, dass der ADC mindestens einmal innerhalb des Tombstone Zeit laufen muss, damit der Abgleich nicht außer Tritt gerät.

Einschränkungen und Probleme

Ws nichts kostet kann auch nichts sein. Auch wenn das für den ADC nicht stimmt, sie benötigen ja eine Windows oder Exchange Lizenz, so gibt es doch einige Einschränkungen im Betrieb.

• Begrenzte Anpassung an eigene Umsetzungen
  Der ADC kann über Mapping-Dateien natürlich schon etwas gesteuert werden, welche Felder in welche andere Felder übernommen werden. Aber diese Anpassungen sind dennoch begrenzt und nicht mit der Leistung eines Metadirectories zu vergleichen.
• Geringe Ausfalllogik
  Sie müssen schon mehrere ADC-Verbindungsvereinbarungen einrichten. Leider unterstützt der ADC nicht mehrere DC oder Exchange Server als Quelle und Ziel um auch hier einen "Failover" durchzuführen. Bedenken Sie bei der Einrichtung mehrerer CA's, dass immer nur eine davon "Primär" sein darf und muss. Diese ist die einzige CA, die neue Objekte im Ziel anlegt.
• Kein GAL-Export
  Wenn ihr Active Directory mehrere Domänen hat, dann müssen Sie jede Domäne explizit als Quelle konfigurieren. Ein Export der GAL aus Exchange 2000/2003 in Kontakte der Exchange 5.5 Seite ist nicht möglich.
• SMTP Adressumschreibungen
  Leider sind auf diesem Weg keine umfangreichen SMTP-Adressumschreibungen möglich. Wenn Sie also mehrere Exchange Organisationen mit gemeinsamen Adressraum haben oder andere Konstrukte zur Verbindung planen, dann kann es sein, dass der ADC ihnen nicht weiter hilft.
• Kein Offline Betrieb
  Der ADC muss eine Online Verbindung zu beiden Diensten aufbauen können. Sie können keine Replikation per MAIL oder über Dateien durchführen. Damit ist der ADC nicht geeignet, um z.B. die Adressen von Partnern oder Zulieferern in die eigene Organisation zu übernehmen.
• Keine AD <-> AD-Replikation, d.h. Existenz auf Zeit
  Spätestens wenn auch die letzte Exchange 5.5 Umgebung auf Exchange 2000/2003 migriert ist, müssen Sie sich für die Verbindung von Organisationen andere Hilfsmitteln zum Abgleich suchen und der ADC wird dann noch noch in der Erinnerung einiger Administratoren weiterleben.
  Bereiten Sie sich daher auf diesen Fall vor, dass die Exchange 5.5 Seite umgestellt wird

Ansonsten kann ich den ADC als saubere kostenfreie und effektive Lösung sehr gut empfehlen

Weitere Links

• Mig Vergleich
• Verbinden von Organisationen
• Verzeichnisabgleich
• Weiterleitungen
• Ex552AD
• MiniSync
• MailMig für Exchange
• Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en
  Benötigt Windows 2003 Enterprise und mindestens eine MSDE (zum Test). Für den produktiven Einsatz ist ein lizenzierter SQL-Server erforderlich.
• 281583 How accounts and mailboxes are created and mapped when you use the Migration Wizard to migrate from Exchange Server 5.5 to Exchange 2000 Server or to Exchange Server 2003

Keywords:

ADC Interorg Kontakte Dirsync

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
  • Updategrundlagen
  • Migrationskosten
  • Migrationsbegleitung
  • Mig Vergleich
  • Mig 55-200x
  • Migration Org2Org
  • LinkedMailbox
  • ADC Grundlagen
    • ADC CAs
    • ADC Details
    • ADC Advanced
    • ADC Probleme
    • ADC Diagnose
    • ADC Matching
    • ADC Tools
    • ADC FAQ
    • ADCGlobalNames
    • ConfigCA
    • ADC Interorg
  • Mig 55 zu 2000/2003
  • Mig 2000->3 Inplace
  • Mig 2000->3 Swing
  • Mig200x-2007
  • Mig200x-2010 Checliste
  • Mig 5.5 -> 2007
  • Mig2007-2010
  • Migration 2010
  • Eval und RC1
  • Konsolidierung
  • Inplace-Update
  • Schattenpostfach
  • VM Übungen
  • Samba/EX55
  • MailMig
  • TransporterSuite
  • Detailartikel
  • Notes
  • IMAP4
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages