none
1 Exchange 2013 pro 2 sítě

    Dotaz

  • Zdravim,

    mel bych dotaz.

    Mam stavajici sit ve ktere je Win SRV 2008 STD s nainstalovanym AD. Do teto site budu pridavat Win 2012 SRV STD s nainstalovanou Exchange 2013. Nasledne se do teto site bude pripojovat druha sit ktera ma vlastni server s vlastni domenou pres VPN tunel. Exchange bude tedy hostovat 2 domeny. Nicmene mi neni uplne jasne jak budou uzivatele z pripojene domeny pristupovat k tomuto Exchange z hlediska prav a AD.

    Mohl by mi prosim nekdo toto popsat a trochu poradit? Tato cast je pro me novinkou.

    Dekuji.

    H.

    Edit - Ted ctu tedy ze se vytvori trust mezi domenami a pak by meli byt uzivatele schopni pristupovat pres tento tunel z jedne do druhe domeny a tim padem pristupovat i Exchange server. Je to tak?


    Šerý


    • Upravený Jan Šerý 20. prosince 2013 10:25 Edit informaci
    20. prosince 2013 9:49

Odpovědi

  • Problem je treba resit v nekolika rovinach.

    1. Active directory.

    Jestli dobre chapu, budete mit 2 nezavisle AD spojene nejakou IP siti (VPNka). Ano, pak staci trust na to, aby uzivatele jedne domeny mohli vyuzivat zdroje druhe domeny. Napriklad schranky na Exchange.

    2. Exchange.

    Mail domena je stejna? Pokud ne, zacina prace navic. Musite donutit Exchang, aby zacal akceptovat vice SMTP domen http://technet.microsoft.com/en-us/library/bb124423(v=exchg.150).aspx - pridate dalsi autoritativnni domenu

    Musite si udelat 2 recipient policy, ktere budou uzivatelum tlacit spravnou SMTP domenu jako primarni.

    Nasmerovat DNS MX zaznam obou firem na jediny Exchange.

    20. prosince 2013 11:50

Všechny reakce

  • Problem je treba resit v nekolika rovinach.

    1. Active directory.

    Jestli dobre chapu, budete mit 2 nezavisle AD spojene nejakou IP siti (VPNka). Ano, pak staci trust na to, aby uzivatele jedne domeny mohli vyuzivat zdroje druhe domeny. Napriklad schranky na Exchange.

    2. Exchange.

    Mail domena je stejna? Pokud ne, zacina prace navic. Musite donutit Exchang, aby zacal akceptovat vice SMTP domen http://technet.microsoft.com/en-us/library/bb124423(v=exchg.150).aspx - pridate dalsi autoritativnni domenu

    Musite si udelat 2 recipient policy, ktere budou uzivatelum tlacit spravnou SMTP domenu jako primarni.

    Nasmerovat DNS MX zaznam obou firem na jediny Exchange.

    20. prosince 2013 11:50
  • Dobry den,

     samozrejme jsem se zapomnel vyjadrit. Ano Exchange bude hostovat dve domeny pro obe firmy. Nicmene toho uz tak nejak udelane na jednom serveru mam takze tam jiste zkusenosti mam. 

    Takze pro AD je to trust a pro Exchange je to nastaveni domen a politiky, na to se tedy podivam. Diky moc.

    Pripadne se ozvu jeste s pripadnym dotazem, ale autodiscover by tam doufam nemel byt problem, nebo snad ano?


    Šerý

    20. prosince 2013 14:24
  • Outlooky se budou snazit najit service point pro Exchange ve sve AD. Cast z nich (ta AD bez Exchange) takovy zaznam nenajde  a bude se snazit najit DNS zaznam pro autodiscovery.smtpdomena

    Ted je na vas, aby takovy zaznam existoval, aby vedl na CAS Exchange a a aby WEB SSL certifikat na nem mel spravne nalezitosti = byl duveryhodny a na spravne jmeno = pravdepodobne nejaky SAN certifikat (vice DNS jmen).

    Popis autodiscovery viz http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover.html


    EDIT: ale je to velmi podobne jako vice domen na jedine Exchange strukture.
    20. prosince 2013 15:07
  • Ano o tom SANu jsem take cetl. Na to se musim jeste podrobneji podivat.

    Nicmene me napadlo v te druhe domene bez Exchange udelat AD zaznam pro domenu s Exchange a prislusnou vnitrni adresou toho exchange, pak by se outlook dotazal DNS na DC a ten by ho pres tunel mel nasmerovat na Exchange po vnitrni siti, je to tak?


    Šerý

    20. prosince 2013 15:10
  • Asi nerozumim pojmu "AD zaznam". Muzete do DNS, ktere patri AD domena1.local pridat dalsi zonu s domena2.local a dat si tam zaznam na exchange.

    Ale takto to nepujde.  V domene domena1.local, MUSI vsechny dotazy na domena2.local smerovat na spravne DNS servery v domene2 a naopak. Tj VSECHNY zaznamy = forwarder pro tuto domenu. Jinak muzete narazit napriklad pri pozuvani sdileni disku, nebo vyuzivani jinych zdroju z "cizi" trustovane domeny.

    A znovu: Outlook hleda v AD nikoliv DNS zaznamy, ale domenove activedirectory zaznamy pro Exchange. , ktere v domene nenalezne (exchange tam nainstalovan neni) a proto pouzije to jedine co mu zbyva = zacit hledat podle SMTP domeny = bude se snazit resolvovat autodiscover.firma.cz. A tam MUSI najit to spravne = WEB exchange a protoze to bude delat pres SSL, musi tam byt spravny certifikat.


    20. prosince 2013 15:43
  • Zdravim Miroslave,

    mohu prosim jeste dotaz u jake firmy si zaridit ten SAN certifikat, nebo nejake doporuceni? Predpokladam ze bez tohoto SAN certifikatu to nepujde, protoze by klientum skakaly chyby certifikatu.

    Diky.

    Edit: Koukal jsem ze je poskytuje i postsignum a snad i I.CA, ktere maji ceske zastoupeni.

    Honza


    Šerý


    • Upravený Jan Šerý 6. ledna 2014 9:40 Doplneni.
    6. ledna 2014 9:18
  • A jeste takovy dotaz, zda by se ten SAN certifikat nedal vynechat a pouzit self signed certifikat a pote na stanice odinstalovat certifikat serveru do duveryhodnych CA. Uzivatele to budou vyuzivat jen pro OWA, Outlook atd, zadny Lync. V self signed take mohu pridat alternativni jmena a domeny.

    Koukal jsem ze ceritifkaty od svetoznamych spolecnosti stoji docela dost penez, od I.CA a Postsignum snad 2500.- na 3 roky, coz uz je lepsi cena.

    Diky za rady.


    Šerý

    7. ledna 2014 10:31