none
Exchange in einer Resource Forest/Domain Umgebung RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen

    Mich interessiert, was für resp. was gegen eine Exchange Resource Forest/Domain Implementation spricht.
    Wann wird ein Exchange Resource Forest/Domain empfohlen, und weshalb sollte man allenfalls davon absehen?

    Für Hinweise, Erfahrungen usw. wäre ich dankbar.

    Grüsse
    Hans

    • Typ geändert Alex Pitulice Freitag, 27. Januar 2012 10:02 Warten auf Feedback
    Freitag, 20. Januar 2012 15:08

Alle Antworten

  • Hi Hans,

    Themen sind da wohl Sicherheit, gezielte Separierung oder Zukäufe:
    http://www.msxfaq.de/konzepte/ressourceforest.htm

    Was steckt denn hinter der Frage?


    Viele Grüße
    Christian

    Freitag, 20. Januar 2012 18:46
    Moderator
  • Hallo hhuber72,

    einige Kunden machen dass, weil Sie z.B. die Exchange Administration von der Active Directory Administration trennen moechten. Ich kenne Outsourcer, die so z.B. einfach nur Postfaecher fuer Ihre Kunden bereitstellen und der Account Forest wird tlw. von den Kunden selbst verwaltet. Andere Kunden haben z.B. mehrere Forests und wollen aber eine gemeinsame Exchange Organisation betreiben, um die damit verbundenen Vorzuege zu geniessen. Bspw. gegenseitiger Postfachzugriff, Free/Busy, Kostenteilung, etc. Die letzte Art Kunden die ich hier kenne, befinden sich in langfristig ausgerichteten Konsolidierungsprojekten, in denen bspw. zunaechst nur die Postfaecher und spaeter irgendwann die Active Directory Accounts (oder umgekehrt) migriert werden.

    Mit Exchange 2010 hat sich hier aber einiges getan, was die Notwendigkeit und den Aufand fuer den Betrieb eines Account/Ressource Forests - meines Erachtens - in einigen Szenarien nun nicht mehr rechtfertigt (Stichwort: Federation Trust und Organization Relationship).

    Aber wie Christian schon geschrieben hat. Welche Absichten hast Du denn? Vielleicht koennen wir ja hier fuer Deine Situation Vor- und Nachteile einer solchen Loesung diskutieren.

    VG, Timo

    Freitag, 20. Januar 2012 21:56
    Moderator
  • Hallo,

    in grossen Umgebungen ist die Trennunng zwischen der AD administration und der Exchange Administration sicherrlich unentbehrlich aber dieses kann z.B. mit Splitpermissions realisiert werrden und ausserdem muss ja nicht unbedingt Exchange mit Domain Administratorenrechten installiert werden. Von daher sind dies fuer mich eigentlich keine Gruende fuer eine Reesource Domaine.

    Ich pers. wuerde eher zu einer ein Domaineninfrastruktur tendieren wenn es keine anderen Gruende dagegen gibt.

     


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com
    Freitag, 20. Januar 2012 22:07
  • Hi Thomas,

    stimme Dir voll zu und wuerde wenn moeglich auch immer zu einfachereren Toplogien tendieren. Nur allein mit Exchange-Rechten gehts aber nicht, Schema-Updates, DomainPreps, etc. Beruehungspunkte gibt es da immer.

    VG, Timo

    Freitag, 20. Januar 2012 22:23
    Moderator
  • Hi,

    ich würde Timo zustimmen und im Zweifel für das KISS-Prinzip (Keep it simple stupid) plädieren. Exchange im Ressourcenforest hat aus meiner Sicht wenige Vorteile und erhöht die Komplexität. Um die Administration möglichst abzutrennen gibt es das Rollenmodel.

    Just my 2 Cents.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".
    Samstag, 21. Januar 2012 07:33
    Moderator
  • Hi Walter, Hi Timo,

    wie ich bereits sagte und aus meiner Sicht ist die Trennung zwischen der Active Directory Administration (pflege von Benutzern, od. allgemein pflege von Active Directory Objekten) und der Administration des Exchangesystems hervorragend zu trennen auch ohne Resourcedomaine. Und wie gesagt in einem Szenario bei dem es darauf ankommt mit unterschiedlichen Berechtigungen unterwegs zu sein, macht es keinen Sinn die Exchange installation als Domainenadministrator durchzufuehren. Sondern bitte zuerst das Schema aktualisieren (Schemamaster) anschliessend die Domaine aktualisieren (Domainenadministrator) und anschliessend mit einem lok. Administrator auf einem Mitgliedsserver Exchange installieren. Wenn man nun noch moechte dass die Attribute eines Benutzers (Active Directory spezifische und Exchange spezifische Attribute) von unterschiedlichen Administratoren gepflegt werrden sollen so ist bei der installation noch die Option Splitpermissions zu waehlen.

    Wenn Exchange 2010 installiert ist, kann Finetuning betrieben werrden und das RBAC Rechtemodell benutzt werrden um einzelne Administratoren weiter voneinander abzugrenzen. Dieses fuehrt aber relativ schnell zu komplexen infrastrukturen. ich perrs. wuerde hier ersteinmal mit dem Default Rechtemodell arbeiten und bei Bedarf weitere Rollen scahffen und diese mit Rechten ausstatten (z.B. wenn man Postfaecher als Exchange Administrator in PST Filess exportieren moechte)

    Aber vielleicht ist es genauso wichtig die normalen Benutzer einzuschraenken. Normalerrweise hat jeder Benutzer das Recht eigene Attribute wie z.B. die Telefonnummer, postalische Anschrift, etc. selbst zu pflegen. In grossen Infrastrukturen moechte man als Domainenadministrator aber die Hoheit ueber den Inhalt des ADs haben und eben dem normalen Benutzer das REcht entziehen an seinem Objekt aenderungen durchzufuehren. Dieser Aspekt ist es sichtlich werde mit dem DAtenschuetzer durchgesprochen zu werrden.

    Viele Gruesse

     Thomas


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com
    Samstag, 21. Januar 2012 13:12
  • Hi,

    jein erstmal, in allen Punkten kann ich nicht zustimmen. Zum Beispiel bei der Telefonnummer ist es doch im Interesse des Benutzers das diese stimmt. Da wird er wohl keinen Unsinn reinschreiben. Im Schlimmsten Fall werden die Daten von einem anderen Verzeichnis (Telefonanlage?) wieder überschrieben. Wenn der User nicht mehr erreichbar ist wird er sich sicher melden. Ob die Telefonnummer innerhalb eines Unternehmens schützenswert ist ist eine andere Frage, das kommt auf das Unternehmen an (ich kenne keines wo die Telefonnummer generell geheim ist.).

    Ressourcenforests haben natürlich den Vorteil das man zum Beispiel bei Updates eben nicht unbedingt den Schema - Admin braucht, allerdings muß man sich dann als Exchange - Admin auch um mehr Dinge kümmern. Einfacher wird es sicher nicht dadurch.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".
    Samstag, 21. Januar 2012 13:55
    Moderator
  • Hi,

    in bezug auf die Telefonnummer: Wenn dies jedem benutzerr selbst ueberlassen bleibt steht bei 50% derr Nutzerr viellicht eine sinnvolle Information drin bei den anderen 50% staht gar keine information in diesem Feld, Es sei denn man arbeitet mit Denstanweisungen und verfplichtet die Benutzer diese Angaben selbst zu pflegen. Ist aber aus meiner Sicht unschoen. die Daten sollten m.E. viel mehr aus einer vertraeunswuerdigen Quelle z.B. Telefonanlage extrahiert und ins AD geschrieben werden (natuerlich automatisch). In diesem Fall macht es aberr wenig sinn dass der Benutzer immer noch das Aenderungrecht behaelt.

    Is es nicht so, dass der Schemamasterr in der ersten Domaeine des Forests liegt. Integriert man dann eine zweite Domaine in diesem Forest, so muessen doch die Schemaaenderungen immer noch in derr ersten Domaine gemaht werden und diese werden dann ueberr Replikationsmechanismen vom AD auf die ueberigen Domainen ueberrtragen. d.h. auch in einer Resourcendomaineninfrastruktur gibt es diese eindeutige Rolle und derr Inhaber dieserr Rolle ist nicht zwangsweise der Exchange Administrator.

    Viele Gruesse

      Thomas


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com
    Samstag, 21. Januar 2012 14:02
  • Hi,

     

    Ressourcenforest = eigener Forest für den Exchange. Wie man dort die Rollen verteilt ist wieder eine andere Sache...

    Zu der Telefonnummer: man kann das ja durchaus vorbelegen und dem User die editiermöglichkeit lassen.

    Just my 2 Cents.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".
    Sonntag, 22. Januar 2012 23:18
    Moderator
  • Hallo zusammen

    Danke an alle für eure Beiträge.

    Ich persönlich bin ja auch dafür alles einfach zu halten. Bloss habe ich hier jemanden der gerne einen solchen Resource Forest aufbauen möchte. Da braucht es halt schon einige Argumente wenn ich davon abraten möchte.

    Grüsse
    Hans

    Dienstag, 24. Januar 2012 08:13
  • Hi,

    konnten wir Dir denn weiterhelfen? Es waere nett wenn du die Frage noch als beantwortet einstufen koenntest.

    Dies hilft ggf. anderen die die gleiche oder eine aehnliche Frage haben.

    Viele Gruesse

     

     Thomas

     


    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com
    Dienstag, 24. Januar 2012 18:50
  • Ich habe im letzten Jahr aufgrund von Firmen Fusionen zwei Exchange Ressource Forest's aufgebaut. Über wieviele User Mailboxes und ggf. Firmen sprechen wir denn hier? Ein deartiges Projekt ist nicht mehr ganz Trivial und Bedarf einiges an Planung/Consulting/ Hardware/ Infrastruktur und letztens einiges an Budget!!!

    Bevor irgenwie gehandelt wird, sollte ihr wie immer die "value proposition"sowie Nachteile gemeinsam durchgehen.

     

    Good hunting.


    Gruß Tayfun


    Dienstag, 24. Januar 2012 20:01
  • Hallo zusammen

    Ich persönlich bin ja auch dafür alles einfach zu halten. Bloss habe ich hier jemanden der gerne einen solchen Resource Forest aufbauen möchte. Da braucht es halt schon einige Argumente wenn ich davon abraten möchte.

    - benötigt im minimum 2 neue DCs bei Redundanz (Anzahl der Server steigt)

    - Ev. Überwachnung und Deployment (SCOM/SCCM) muss im neuen Forest neu aufgebaut werden

    - Benutzer werden doppelt geführt (Linked Mailbox mit disabeltem User im Exchange Forest)

    - Komplexität nimmt zu (Domain, Forest und Trust Modelle)

     

    Wie bereits angetönt sollte speziell darauf geachtet werden warum übergaupt getrennt werden sollte. Die Frage hast du ncoh nicht beantwortet.

    - Trennung der Administration (AD und Exchange)

    - Trennung von User Bereichen

    Beim Trennen von User Bereichen würde dann schon ein Hosting in Frage kommen, welches bei Exchange 2010 mit SP2 auf OnPremise Installationen

    ohne den /Hosting Switch betrieben werden kann (Multi Tenants).

    http://blogs.msexchange.org/walther/2011/12/21/exchange-2010-sp2-multi-tenant-scale-guidance-document-released/

     

    Zu der Telefonnummer: man kann das ja durchaus vorbelegen und dem User die editiermöglichkeit lassen.

    Werden die Daten vom HR System per Metadirectory gepflegt, können auch meiner Ansicht nach dem User die Editiermöglichkeiten

    entzogen werden.


    Viele Grüsse Georg Flühmann
    Mittwoch, 25. Januar 2012 09:34
  • Donnerstag, 26. Januar 2012 16:13