none
mehrere Domänen, mehrere Exchange, eine Maildomain RRS feed

  • Frage

  • Hallo allerseits,

    nachdem ich nun dank eurer Ratschläge die kleinen angeschlossenen Domains via verknüpften Postfächern an unserem zentralen Exchange 2010 habe komme ich zur nächsten Aufgabe, wo ich gern ein paar Anschubtipps hätte:

    Ich habe 4 größere Domänen miteinander zu verbinden. alle Windows 2008R2 oder höher Domänen, alle derzeit mit eigenem Exchange 2010. Derzeit hat jeder Standort seine eigene Maildomain, also z. B @firma1.de, @firma2.de usw. Die sollen alle über @gruppe.de zukünftig ihre Mails bekommen. Ich würde eine vollständige Migration der Domänen gern vermeiden.

    Für mein Verständnis brauche ich jetzt einen Exchange Server, den in der Zentrale, auf dem alle Mails auflaufen (mx-record dorthin) und der diese dann an die jeweiligen Exchange Server verteilt. Der Zentralserver hat alle Domains in der Liste der akzeptierten Domänen. Der in Aussenstelle 1 dann @gruppe.de und @firma1.de, In Aussenstelle 2 dann eben @gruppe.de und @firma2.de usw. Die alten Mails müssen ja auch noch ankommen. Senden sollen sie alle mit der @gruppe.de

    Bekomme ich das ohne vollständige Migration aller Domänen hin? Ich habe schonmal ähnliche Umgebungen voll migriert (AD, IP-Bereiche und vollst. Objekt-renaiming) und scheue diese Aufgabe in der hiesigen Umgebung. Da es sich um kritische Umgebungen mit tief integrierten Drittsystemen handelt wäre eine Totalmigration mit erheblichem Aufwand und Kosten verbunden. Am liebsten wäre mir also, auch hier ausschließlich mit Vertrauensstellungen arbeiten zu können.

    Wir hätte dann aber schon gern gemeinsame Adressbücher, geteilte Kalender, Ressourcen usw. aber da gebe ich mich erstmal bescheiden und schaue, was ich kriegen kann ;)

    Auf Eure Tipps und auch Nachfragen bin ich gespannt :)

    Viele Gruesse
    Uwe

    Dienstag, 9. September 2014 13:05

Antworten

  • Ich gehe mal von einer Multi-Forrest Umgebung aus.

    Wenn du die Exchange Server konsolidieren kannst, würde ich einen Zentralen Exchange in der Zentralen Domäne der als Resource Forrest für die anderen Domänen gilt. Das wäre im Kontext Exchange am einfachsten und du kannst nach und nach die Domänen um ziehen. Die Administration in Exchange könnte man dann in Teilen mit RBAC und Adminscopes einschränken. 

    Alternative 1: müsste man versuchen ein Konstrukt zu bauen das die Gruppen Domain als nicht Autoritative Domäne eingerichtet ist, und die Mail an den nächsten Exchange weiterreicht. Dieser Prüft, liegt Mail der Gruppen Domäne bei mir? Wenn nein, weiter zum nächsten. Der letzte leitet wieder zum Gruppen Echange. Problem: Das gibt einen Mailloop wenn keiner die Adresse hat. Also schlecht. 

    Alternative 2: Ein zentrales Linux Mailsystem, das eine Liste hat, welche Gruppenmail in welcher Domäne liegt. Wenn kein Eintrag in der Liste, wird die Mail mit NDR abgelehnt. Jeder Exchange Server hält die Gruppen Domäne als nicht Autorisativ und verweist auf das Linux Mailsystem. Das ist etwas aufwendiger, haben wir aber für Migrationen mit verschieden Mailsystemen schon so realisiert. Ob das von Microsoft wegen dem Linuxsystem als SMTP-Router supportet ist, lass ich mal im Raum stehen ;)




    This posting is provides qithout any warranties or guarantees.
    Fabian Niesen
    Visit my personal Blog or Follow me at: Twitter - Goole+
    • Als Antwort markiert Leuckert, Uwe Sonntag, 18. Januar 2015 10:17
    Donnerstag, 15. Januar 2015 11:02

Alle Antworten

  • Hi Leuckert, Uwe,

    bei zwei Domains hättest du einfach eine Eimerkette machen können:
    http://www.msxfaq.de/migration/interorg.htm

    ...und das geht auch mit mehreren über die Kosten, aber das ist nicht toll. Etwas davor zu stellen und alle zu bedienen ist wohl das einfachste und über ein manuelles Pflegen der Listen wirst du wohl nicht herumkommen, denn woher soll die zentrale Stelle wissen, wo user1@guppe.de liegt, wenn die Organisation sich nicht kennen? Du benötigst ein gutes Mailgateway und da solltest du die Hersteller mal abklopfen.

    Was hälst du davon die Organisationen zusammen zu fahren? Höhere Verfügbarkeit, einfachere und zentrale Administration???
     Da fällt mir ein, dass ein weiterleiten mit Adresstranslation auch klappen würde, aber die Regeln möchte ich nicht verwalten. Wenn an user1@gruppe.de dann an user1@firma4.de weiterleiten. Überall Gruppe1 als relaydomain und Absendeadresse und der zentrale Knoten verwaltet.

    Möglichkeiten gibt es genug und jetzt musst du dich damit beschäftigen, was du hast und am besten passt...


    Viele Grüße
    Christian

    Dienstag, 9. September 2014 14:07
    Moderator
  • Uiuiui, da bin ich aber lange von dem Thema ebgekommen. Es ist aber immer noch Top-aktuell.

    Am besten ist eine Migration aller Domänen in eine Gesamtstruktur. Hier ist aber eine zentrale Administration ausdrücklich nicht gewünscht, die Mittel und Möglichkeiten überschaubar und der Aufwand für die notwendige Zielstruktur unverhältnismäßig hoch. Es ist eine Krankenhauskandschaft, sowas habe ich schonmal Domain- / IP- / Name - migriert und weiss, was dann im Bereich KIS&Co alles klemmt.

    Fakt: ich würde immer noch gern auf die Gesamtmigration verzichten.

    Was habe ich also für Möglichkeiten?

    Etwas davorschalten. Okay, geht dann GAL, free&busy etc. über alle Exchanges?

    Eine Ressourcendomäne bzw. Struktur vielleicht? Wie sind da die Tipps / Meinungen?

    Dienstag, 13. Januar 2015 13:01
  • Ich gehe mal von einer Multi-Forrest Umgebung aus.

    Wenn du die Exchange Server konsolidieren kannst, würde ich einen Zentralen Exchange in der Zentralen Domäne der als Resource Forrest für die anderen Domänen gilt. Das wäre im Kontext Exchange am einfachsten und du kannst nach und nach die Domänen um ziehen. Die Administration in Exchange könnte man dann in Teilen mit RBAC und Adminscopes einschränken. 

    Alternative 1: müsste man versuchen ein Konstrukt zu bauen das die Gruppen Domain als nicht Autoritative Domäne eingerichtet ist, und die Mail an den nächsten Exchange weiterreicht. Dieser Prüft, liegt Mail der Gruppen Domäne bei mir? Wenn nein, weiter zum nächsten. Der letzte leitet wieder zum Gruppen Echange. Problem: Das gibt einen Mailloop wenn keiner die Adresse hat. Also schlecht. 

    Alternative 2: Ein zentrales Linux Mailsystem, das eine Liste hat, welche Gruppenmail in welcher Domäne liegt. Wenn kein Eintrag in der Liste, wird die Mail mit NDR abgelehnt. Jeder Exchange Server hält die Gruppen Domäne als nicht Autorisativ und verweist auf das Linux Mailsystem. Das ist etwas aufwendiger, haben wir aber für Migrationen mit verschieden Mailsystemen schon so realisiert. Ob das von Microsoft wegen dem Linuxsystem als SMTP-Router supportet ist, lass ich mal im Raum stehen ;)




    This posting is provides qithout any warranties or guarantees.
    Fabian Niesen
    Visit my personal Blog or Follow me at: Twitter - Goole+
    • Als Antwort markiert Leuckert, Uwe Sonntag, 18. Januar 2015 10:17
    Donnerstag, 15. Januar 2015 11:02
  • Danke sehr.

    Die derzeitigen AD's haben keinerlei Verbindung. Aus anderen Gründen (z. B. Firewallberechtigungen, fileshare-Zugriffe usw.) will ich demnächst zumindest mal Vertrauensstelungen schalten. Ferner hat eine mittlere Umgebung keinen eigenen Exchange, da will ich mit verknüpften Konten für Exchange ran - wofür wieder die Vertrauensstellung gebraucht wird.

    Ja, ich kann die Exchange Server konsolidieren. Letztlich kann ich konsolidieren und migrieren was immer ich will - und der Umgebung, dem Budget und der politischen Lage bei uns zutraue und zumuten möchte. Das ist nunmal eben nicht alles. Auch wird es hier immer etwas Bewegung geben, es werden (langsam und vereinzelt) Umgebungen dazu kommen und vielleicht auch mal eine wieder verschwinden.

    Ich denke, ein Exchange Ressource Forrest scheint das Mittel der Wahl zu sein. Nun heisst es, mich nach einem Partner umzusehen. Wenn ich die Systemhäuser anfrage die die Einrichtungen betreuen sagen sie mir natürlich alle, dass sie genau der richtige Partner für die Gesamtumgebung sind. Ich muss mich also fragen wem ich das wirklich zutraue - oder auf langjährig aus den Foren und großen Supportseiten bekannte Namen setzen. Ich starte dann mal die nächsten Tage die eine oder andere Anfrage - und nehme in dem Zusammenhang auch gern hier Hinweise und Nachrichten an.

    (ja, das war jetzt die Aufforderung zum spammen ;) )


    Sonntag, 18. Januar 2015 10:17