locked
1 Exchange 2013 pro 2 sítě

    Dotaz

  • Zdravim,

    mel bych dotaz.

    Mam stavajici sit ve ktere je Win SRV 2008 STD s nainstalovanym AD. Do teto site budu pridavat Win 2012 SRV STD s nainstalovanou Exchange 2013. Nasledne se do teto site bude pripojovat druha sit ktera ma vlastni server s vlastni domenou pres VPN tunel. Exchange bude tedy hostovat 2 domeny. Nicmene mi neni uplne jasne jak budou uzivatele z pripojene domeny pristupovat k tomuto Exchange z hlediska prav a AD.

    Mohl by mi prosim nekdo toto popsat a trochu poradit? Tato cast je pro me novinkou.

    Dekuji.

    H.

    Edit - Ted ctu tedy ze se vytvori trust mezi domenami a pak by meli byt uzivatele schopni pristupovat pres tento tunel z jedne do druhe domeny a tim padem pristupovat i Exchange server. Je to tak?


    Šerý


    • Upravený Jendislav 20. prosince 2013 10:25 Edit informaci
    20. prosince 2013 9:49

Odpovědi

  • Problem je treba resit v nekolika rovinach.

    1. Active directory.

    Jestli dobre chapu, budete mit 2 nezavisle AD spojene nejakou IP siti (VPNka). Ano, pak staci trust na to, aby uzivatele jedne domeny mohli vyuzivat zdroje druhe domeny. Napriklad schranky na Exchange.

    2. Exchange.

    Mail domena je stejna? Pokud ne, zacina prace navic. Musite donutit Exchang, aby zacal akceptovat vice SMTP domen http://technet.microsoft.com/en-us/library/bb124423(v=exchg.150).aspx - pridate dalsi autoritativnni domenu

    Musite si udelat 2 recipient policy, ktere budou uzivatelum tlacit spravnou SMTP domenu jako primarni.

    Nasmerovat DNS MX zaznam obou firem na jediny Exchange.

    20. prosince 2013 11:50

Všechny reakce

  • Problem je treba resit v nekolika rovinach.

    1. Active directory.

    Jestli dobre chapu, budete mit 2 nezavisle AD spojene nejakou IP siti (VPNka). Ano, pak staci trust na to, aby uzivatele jedne domeny mohli vyuzivat zdroje druhe domeny. Napriklad schranky na Exchange.

    2. Exchange.

    Mail domena je stejna? Pokud ne, zacina prace navic. Musite donutit Exchang, aby zacal akceptovat vice SMTP domen http://technet.microsoft.com/en-us/library/bb124423(v=exchg.150).aspx - pridate dalsi autoritativnni domenu

    Musite si udelat 2 recipient policy, ktere budou uzivatelum tlacit spravnou SMTP domenu jako primarni.

    Nasmerovat DNS MX zaznam obou firem na jediny Exchange.

    20. prosince 2013 11:50
  • Dobry den,

     samozrejme jsem se zapomnel vyjadrit. Ano Exchange bude hostovat dve domeny pro obe firmy. Nicmene toho uz tak nejak udelane na jednom serveru mam takze tam jiste zkusenosti mam. 

    Takze pro AD je to trust a pro Exchange je to nastaveni domen a politiky, na to se tedy podivam. Diky moc.

    Pripadne se ozvu jeste s pripadnym dotazem, ale autodiscover by tam doufam nemel byt problem, nebo snad ano?


    Šerý

    20. prosince 2013 14:24
  • Outlooky se budou snazit najit service point pro Exchange ve sve AD. Cast z nich (ta AD bez Exchange) takovy zaznam nenajde  a bude se snazit najit DNS zaznam pro autodiscovery.smtpdomena

    Ted je na vas, aby takovy zaznam existoval, aby vedl na CAS Exchange a a aby WEB SSL certifikat na nem mel spravne nalezitosti = byl duveryhodny a na spravne jmeno = pravdepodobne nejaky SAN certifikat (vice DNS jmen).

    Popis autodiscovery viz http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover.html


    EDIT: ale je to velmi podobne jako vice domen na jedine Exchange strukture.
    20. prosince 2013 15:07
  • Ano o tom SANu jsem take cetl. Na to se musim jeste podrobneji podivat.

    Nicmene me napadlo v te druhe domene bez Exchange udelat AD zaznam pro domenu s Exchange a prislusnou vnitrni adresou toho exchange, pak by se outlook dotazal DNS na DC a ten by ho pres tunel mel nasmerovat na Exchange po vnitrni siti, je to tak?


    Šerý

    20. prosince 2013 15:10
  • Asi nerozumim pojmu "AD zaznam". Muzete do DNS, ktere patri AD domena1.local pridat dalsi zonu s domena2.local a dat si tam zaznam na exchange.

    Ale takto to nepujde.  V domene domena1.local, MUSI vsechny dotazy na domena2.local smerovat na spravne DNS servery v domene2 a naopak. Tj VSECHNY zaznamy = forwarder pro tuto domenu. Jinak muzete narazit napriklad pri pozuvani sdileni disku, nebo vyuzivani jinych zdroju z "cizi" trustovane domeny.

    A znovu: Outlook hleda v AD nikoliv DNS zaznamy, ale domenove activedirectory zaznamy pro Exchange. , ktere v domene nenalezne (exchange tam nainstalovan neni) a proto pouzije to jedine co mu zbyva = zacit hledat podle SMTP domeny = bude se snazit resolvovat autodiscover.firma.cz. A tam MUSI najit to spravne = WEB exchange a protoze to bude delat pres SSL, musi tam byt spravny certifikat.


    20. prosince 2013 15:43
  • Zdravim Miroslave,

    mohu prosim jeste dotaz u jake firmy si zaridit ten SAN certifikat, nebo nejake doporuceni? Predpokladam ze bez tohoto SAN certifikatu to nepujde, protoze by klientum skakaly chyby certifikatu.

    Diky.

    Edit: Koukal jsem ze je poskytuje i postsignum a snad i I.CA, ktere maji ceske zastoupeni.

    Honza


    Šerý


    • Upravený Jendislav 6. ledna 2014 9:40 Doplneni.
    6. ledna 2014 9:18
  • A jeste takovy dotaz, zda by se ten SAN certifikat nedal vynechat a pouzit self signed certifikat a pote na stanice odinstalovat certifikat serveru do duveryhodnych CA. Uzivatele to budou vyuzivat jen pro OWA, Outlook atd, zadny Lync. V self signed take mohu pridat alternativni jmena a domeny.

    Koukal jsem ze ceritifkaty od svetoznamych spolecnosti stoji docela dost penez, od I.CA a Postsignum snad 2500.- na 3 roky, coz uz je lepsi cena.

    Diky za rady.


    Šerý

    7. ledna 2014 10:31
  • Dobry den,

    jeste byl me jeden dotaz. 

    Konecne jsem si vytvoril external two way trust ktery funguje. Nyni chci pridat novy mailbox pod Exhcnage 2013 pro uzivatele z druhe domeny ktera je na druhe strane trustu coz pres pridat mailbox existujicimu uzivateli nejde. Jaky je prosim spravny postup? Vytvorit novy mailbox pro noveho uzivatele a tomu pak priradit opravneni pres cmd?

    Jo a ten trust je External Two-way takze non transitive

    Uz jsem si to nasel - je to linked mailbox a zde si vyberu uzivatele a vse potrebne si nastavim jak tak na to koukam.

    Diky za radu.


    Šerý



    • Upravený Jendislav 7. října 2014 11:25 oprava
    7. října 2014 11:08