none
MS Exchange 2016 в дочерний домен.

    Вопрос

  • Доброго времени суток Уважаемые коллеги.

    В результате поглощения компании, переходим в дочерний домен единого леса. В корневом домене уже установлен MS Exchange 2016.  В исходном домене из которого мигрируем стоит Lotus с локальными базами. Вся почта ходит на почтовый домен компании spbcompany.ru.От Lotus будем уходить в сторону MS Exchnge 2016. Инструменты для конвертации NSF в PST или на прямую в ПЯ Exchnege есть.

    В целевом дочернем домене решили развернуть MS Exchange 2016 в группу DAG из двух серверов.

    Так же на время существования Lotus в исходном домене, почта должна приниматься все тем же почтовым доменом spbcompany.ru, но ее должны получать, как исходные пользователи с клиентами Lotus, так и уже все те, кто переехал на MS Exchnge 2016 c MS Outlook.

    В связи с тем, что холдинг, который управляет корневым доменом не особо идет на встречу в установке еще одного MS Exchnge 2016 в дочернем домене того же леса, я хотел бы уточнить следующее:

    1. MS Exchange организация ограничивается всем лесом AD.Я так понимаю ничто не мешает поставить еще один экземпляр MS Exchnge в дочернем домене леса,  ведь расширение схемы уже не потребуется, а только подготовка дочернего домена ?

    2.Есть беспокойство холдинга в части вопроса конфликта адресных книг и глобальных адресов между дочерним и корневым доменом- здесь мне немного непонятно, какие могут быть конфликты, просто в MS Outlook могут быть видны списки адресов как из одного домена , так и из другого ?

    3.подскажите пожалуйста, как можно сделать так, что бы почта шла на один почтовый домен, но с условием что пользователи сразу не смогут переехать на MS Outlook с Lotus а постепенно ? Необходимы некие правила маршрутизации, может есть где об этом почитать ? Сразу скажу- что тяжелые и иные продукты для полноценной миграции с Lotus на MS Exchsnge 2016 мы не рассматриваем.

    P.S. Холдингу необходимо какое либо обоснование того, что установка еще одного MS Exchange 2016 в дочернем домене, не окажет никакого влияния на их MS Exchnange 2016, который стоит в их корневом лесе. Мы понимаем, что это не грозит ничему, но какие краткие аргументы еще можно привести ?:-)

    Заранее благодарен.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    9 августа 2018 г. 10:06

Ответы

  • А если в целом, то я вам (в смысле - IT департаменту вашего предприятия) рекомендую для начала разобраться с моделью управления IT в холдинге, вместо того чтобы заниматься той партизанской деятельностью, которой вы тут пытаетесь заниматься.

    Потому что если модель управления принята иерархическая, то вас рано или поздно заставят перетаскивать вашу самодеятельность в инфраструктуру общего леса и в общую организацию Exchange. А если модель управления основана на независимых подразделениях IT предприятий, входящих в холдинг, то вам не нужен (и даже вреден) ваш домен учетных записей в качестве части общего леса - потому как границей администрирования является лес, а не домен.


    Слава России!


    • Изменено M.V.V. _ 10 августа 2018 г. 14:00
    • Помечено в качестве ответа rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 13:59
  • Я немного не понимаю почему мигрируете в один лес AD, но не используете единую почту, но ладно.

    Настроить ресурсный лес в Exchange можно без проблем, со всеми автодисковерами и т.п.

    Телефония и конференции -вы это линк имеете в виду? Он не совсем завязан на Exchange, там своя конфигурация. И тоже можно ресурсный лес.

    Да и тут надо собираться вместе с холдингом и обсуждать варианты развертываний, все равно вы единолично эту проблему не решите.


    scientia potentia est
    My blog

    • Помечено в качестве ответа rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 14:07
  • Коллега, именно об этом я и пытался сказать. Такую схему я уже реализовывал- она ка краз таки появилась по моему с версии MS Exchange 2013? вот здесь по моему про связанные почтовые ящики..

    Хорошо, если такой подход мы реализуем и в случае когда дочерний домен целевого леса у нас юридически исчезает- можем ли мы использовать ресурсный лес MS Exchnge так же и для обычных учеток ?- 

    Спасибо.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    Сможете: вам никто не мешает заводить в этом лесу обычныеучетки.  А если понадобится отказаться о домена учетных записей, достаточно просторазблокировать и опаролить учетки в ресурсном лесу. И поменять тип п/я с помощью Set-User (впрочем, менять можно даже не торопиться - работать будет и так).

    PS Схема с ресурсным доменом существовала бог знает с каких времен. Кажется - изначально, с тех пор как Exchange вообще стал использовать AD вместо собственной службы каталога. Во всяком случае, в Exch2K3 она уже была, хотя и не совсем в таком виде, как сейчас.

       

    Слава России!


    • Изменено M.V.V. _ 10 августа 2018 г. 14:08
    • Помечено в качестве ответа rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 14:07

Все ответы

  • 1. Помешает вам поставить его отсутствие разрешений в контейнере конфигурации на объекты организации Exchange. В норме для установки нового сервера Exchange нужно быть членов ролевой группы (отображаемой на универсальную группу безопасности AD) Organization Management. Существует однако вариант установки, когда администратор из группы Organization Management создает заранее объект сервера в разделе конфигурации. В этом варианте для установки сервера Exchange потребуется всего лишь членство в ролевой группе Delegated Setup. Подробности см. https://docs.microsoft.com/en-us/Exchange/plan-and-deploy/deploy-new-installations/delegate-installations Так что без позволения холдинга вы никакой Exchange не поставите.

    2. Адресная книга и пространство почтовых адресов (SMTP и прочих, если есть) в Exchange едина для всего леса. Наилучший способ заведомо избежать конфликта - использовать отдельный почтовый домен. Чтобы адрес в этом почтовом домене для членов из вашего домена AD назначался автоматически, следует настроить политики адресов (и, кстати, они тоже существуют на уровне леса).

    3. Что надо сделать в Lotus - не знаю, а со стороны Exchange нужно добавить почтовый домен, который использует Lotus в Обслуживаемые домены (Accepted domains) качестве домена внутренней ретрансляции (Internal relay). Если же вы ещё хотите, чтобы почта, отправленная на этот домен, шла напрямую на сервер Lotus, а не через Интернет, нужно создать соединитель отправки (Send Connector) с адресным пространством, содержащим этот почтовый домен и смарт-хостом - сервером Lotus. Ну, и нужно настроить сединитель приема (Receive Connector) на том сервере, который будет принимать почту от Lotus, чтобы он не требовал аутентификации. Лучше всего для этого создать отдельный соединитель (можно - на том же 25 порту, с ролью Frontend Transport), и ограничить список его удаленных(Remote) адресов адресом(ами) сервера Lotus. Чтобы не требовалась аутентификация, в соединитель (который по умолчанию - Default Frontend, или же специально созданный) надо добавить группу разрешений Анонимные (если посылать будете только в пределах организации) или Extrenally Secured (не помню, как по-русски) - если требуется пересылка и на внешние адреса тоже. Только не вздумайте включать Externally Secured для соединителя приема по умолчанию: можете нечаянно угодить в списки спамеров.

    PS Обоснования того, что установка ещё одного сервера Exchange в лесу не окажет влияния на организацию вы сделать не сможете - потому что это не так. Так что надо вам с холдингом решать вопрос полюбовно. Возможно - не на вашем уровне, а на уровне руководства IT: с аргументами об унификации ПО, уменьшении расходов на сопровождение и прочими, которые в таких случаях приводятся.

    PPS Кроме всего прочего, холдингу придется делегировать вам разрешения на управление своими серверами и получателями. Сделать это технически возможно, через создание специально для вас выделенных ролей с ограниченной вашими серверами и вашим доменом областью действия и включающих их ролевых групп в RBAC. Но будут ли администраторы холдинга рады этому?

    PPPS А вы вообще документацию по развертыванию Exchange читать пробовали? А то, судя по вашим вопросам, этого не видно. Боюсь, что это ровно так же не видно и специалистам холдинга - и это отрицательно влияет на вашу возможность добиться от них устраивающего вас решения.


    Слава России!

    • Помечено в качестве ответа rеstless 10 августа 2018 г. 6:14
    • Снята пометка об ответе rеstless 10 августа 2018 г. 11:33
    9 августа 2018 г. 10:57
  • Ок.

    1.По этому вопросу ясно- тут придется предоставить необходимые права.

    2.Почтовый домен холдинга и наш почтовый домен вообще разные по юридическим факторам, так что думаю не должно быть конфликта.

    3.Обоснование и решение, естественно не на моем уровне. От меня только план и схемы действий.

    4. Делегирование управления серверами и получателями на уровне холдинга придется делать, ведь получатели будут настраиваться именно на уровне леса ?

    5. Именно в данной конфигурации (дочерний домен и разделение полномочий) не приходилось делать инсталляции, конечно прочитаю условия и статьи.

    6. Конфигурацию с выделенным лесом ресурсов и только для MS Exchsnge так же не сделать, так что придется по максимум откручивать гайки и обосновывать каждый свой шаг делегирования.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    9 августа 2018 г. 14:54
  • Да, делегирование нужно будет настраивать со стороны холдинга: исходно разрешения менять права доступа есть только у них.

    Слава России!

    9 августа 2018 г. 15:06
  • Да, делегирование нужно будет настраивать со стороны холдинга: исходно разрешения менять права доступа есть только у них.

    Слава России!

    Во всяком случае есть виртуализация и сеть. Никто не мешает сделать тестовую среду похожую на лес с поддоменом и двумя почтовыми доменами. Проделать все в тестовой среде, а уже потом написать товарисчам что надо сделать по пунктам...

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    10 августа 2018 г. 6:14
  • Да, делегирование нужно будет настраивать со стороны холдинга: исходно разрешения менять права доступа есть только у них.

    Слава России!

    Коллега, понятно что там в холдинге могут попросту отклонить все это дело. Может  есть другие варианты с развертыванием при помощи выделенного леса ? Тут как бы можно было бы и сделать, но остается главный момент - мы не получаем должного SSO и автоконфигурации почтовых клиентов MAPI. 

    То есть по факту , можно было и отказаться от затеи дочернего домена. Но тогда какой профит получается, нет смысла тратиться на Exchange, оставить LOTUS...


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    10 августа 2018 г. 11:49
  • Календарное планирование между лотус и Exchange будет беда, если оно не используется то можно и лотус оставить.

    Чтобы ходила и туда и туда почта при не нахождении в адресной книге, по чанге коллега написал, в лотус нужно в серверном документе того сервера,который будет пересылать в Exchange, настроить галку делать пересылку если нет в адресной книге и желательно добавить еще один поддомен для уже перемещенных пользователей(в лотус их делать other mail) чтобы можно было по нему делать переадресацию с двумя собаками ввида

    username@domain@exchange

    лотус это развернет и перешлет.

    С адресной книгой проблемы будут. В AD я бы сразу создал пользователей, потом их сделал mail user, чтобы они появились в адресной книге Exchange, для них почта пересылалась бы на лотус. В лотус тоже надо контактов насоздавать(other mail). Ну или FIM или чем-то подобным пользоваться если есть.

    А сколько пользоателей в лотус?


    scientia potentia est
    My blog

    10 августа 2018 г. 12:06
  • Календарное планирование между лотус и Exchange будет беда, если оно не используется то можно и лотус оставить.

    Чтобы ходила и туда и туда почта при не нахождении в адресной книге, по чанге коллега написал, в лотус нужно в серверном документе того сервера,который будет пересылать в Exchange, настроить галку делать пересылку если нет в адресной книге и желательно добавить еще один поддомен для уже перемещенных пользователей(в лотус их делать other mail) чтобы можно было по нему делать переадресацию с двумя собаками ввида

    username@domain@exchange

    лотус это развернет и перешлет.

    С адресной книгой проблемы будут. В AD я бы сразу создал пользователей, потом их сделал mail user, чтобы они появились в адресной книге Exchange, для них почта пересылалась бы на лотус. В лотус тоже надо контактов насоздавать(other mail). Ну или FIM или чем-то подобным пользоваться если есть.

    А сколько пользоателей в лотус?


    scientia potentia est
    My blog

    1.Никакого планирования и календарей в содружестве лотуса- все экспортируется из nsf в pst .

    2.Поддомен я так понимаю с одним почтовым доменом не прокатит ? То есть еще раз для понимания- у холдинга почтовый домен свой, а у нас свой- юридически мы разные компании вооообще. Плюс к тому же именование домена и леса как такового вообще разное и близко нет к нашему названию организации. Политики адресов придется создавать обязательно свои.

    3.Какие проблемы могут быть проблемы с адресной книгой- как пример ?

    4. В лотусе около 300-т пользователей, и будет еще больше..

    Идея развернуть MS Exchange в выделенном лесе так же отпадает, потому что пропадает единая авторизация для почтовых клиентов.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 10 августа 2018 г. 13:23
    10 августа 2018 г. 13:07
  • 1. я не про процесс миграции говорю, я просто взаимодействие между холдингами

    2. поддомен прокатит, если вы с холдингом договоритесь. Адресные книги можно сделать разные через Address book policy. Можно и в отдельном лесу развернуть, если вы разные конторы, тоже не вижу проблем.

    3. Проблемы того как это все синхронизировать в актуальном состоянии во всех системах

    Я бы может еще посмотрел в сторону imapsync, она бесплатная если на UNIX ставить.

    К утилиткам конвертации у меня мало доверия, опыт только неудачный)


    scientia potentia est
    My blog

    10 августа 2018 г. 13:22
  • 1. я не про процесс миграции говорю, я просто взаимодействие между холдингами

    2. поддомен прокатит, если вы с холдингом договоритесь. Адресные книги можно сделать разные через Address book policy. Можно и в отдельном лесу развернуть, если вы разные конторы, тоже не вижу проблем.

    3. Проблемы того как это все синхронизировать в актуальном состоянии во всех системах

    Я бы может еще посмотрел в сторону imapsync, она бесплатная если на UNIX ставить.

    К утилиткам конвертации у меня мало доверия, опыт только неудачный)


    scientia potentia est
    My blog

    Михаил смотрите, какая предыстория.

    У нас есть свой иходный лес corp.company.ru (со своими офисами и филиалами все в одном домене) и есть еще одна организация у которой лес hq.local со своим почтовым доменом и дочерний домен spb.hq.local. Всем дана задача переехать в целевой домен spb из исходного в связи с так называемым объединением в группы компаний. Уже идет процесс миграции. 

    Есть  у на своя почтовая система в исходном лесе corp.company.ru в виде Lotus со своим почтовым доменом/, от которой хотят оказываться, по разным причинам, но отказываться. Почтовый домен так и останется свой. Все бы ничего, если было бы принято решение оставить два разных леса и между ними двусторонние трасты- это бы решило проблему (у нас своя почта и у холдинга своя, все ресурсы доступны через доверие и группы). Но задача мигрировать в дочерний с уничтожением исходного.

    В целевом лесе hq.local уже стоит MS Exchange 2016 и там около 3000 ПЯ. Естественно холдин не охотно идет на то что бы в дочернем домене его леса ставить еще один Exch. Но и наша организация хочет отказаться от этого "черного ящика" Lotus. При том телефония и конференции будут завязаны на MS Exchsnge. 

    Поэтому я и пытаюсь найти выход, что бы с одной стороны самим управлять почтовой организацией, а с другой оставить прозрачную авторизацию пользователям- если вся инфраструктура на MS. 

    Плюс еще немаловажный факт- есть малая вероятность того, что конторы могут разойтись и тогда ни почты не домена в целевом исполнении дочернего....... уже были примеры...

    Как одна из идей, что бы предупредить риски-> может оставить иcходный лес, либо поставить новый corp.ru, но только для леса ресурсов MS echsnge. Между новым лесом ресурсов и дочерним доменом холднига- где все наши учетки и серверы, настроить двусторонее внешнее доверие между доменами. Но тут главный вопрос- будет ли работать autodiscovery и все те функции позволяющие прозрачно интегрироваться с глобальными списками адресов- только своих, адреса холдинга нам не нужны в адресной книге изначально...

    Имеет ли такая конфигурация шансы на внедрение ?


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!







    • Изменено rеstless 10 августа 2018 г. 13:52
    10 августа 2018 г. 13:46
  • Коллега, понятно что там в холдинге могут попросту отклонить все это дело. Может  есть другие варианты с развертыванием при помощи выделенного леса ? Тут как бы можно было бы и сделать, но остается главный момент - мы не получаем должного SSO и автоконфигурации почтовых клиентов MAPI. 

    Ну почему же так обязательно не получаете?

    SSO возможен с использование топологии с лесом ресурсов из одного домена, где будет стоять Exchange, и доменом учетных записей - вашим доменом, с которым у ресурсного домена должны быть установлено внешнее отношение доверия. После этого в ресурсном домене создаются Linked Mailboxes для всех пользователей домена учетных записей, кому они нужны и вы получаете полный SSO.

    Этот вариант (правда, с использованием целого леса в качестве леса учетных записей) - вполне поддерживаемая и топология MS Exchange, способ её развертывания документирован.

    Автообнаружение вы можете получить, если настроите репликацию (т.е. копирование - хоть простейшим скриптом на Powershell) адресов e-mail из ресурсного домена в соответствующие учетные записи в домене учетных записей.  Если при этом правильно настроить автообнаружение через DNS, то автоконфигурация Outlook и прочих клиентов будет вполне работоспособной.


    Слава России!

    10 августа 2018 г. 13:54
  • А если в целом, то я вам (в смысле - IT департаменту вашего предприятия) рекомендую для начала разобраться с моделью управления IT в холдинге, вместо того чтобы заниматься той партизанской деятельностью, которой вы тут пытаетесь заниматься.

    Потому что если модель управления принята иерархическая, то вас рано или поздно заставят перетаскивать вашу самодеятельность в инфраструктуру общего леса и в общую организацию Exchange. А если модель управления основана на независимых подразделениях IT предприятий, входящих в холдинг, то вам не нужен (и даже вреден) ваш домен учетных записей в качестве части общего леса - потому как границей администрирования является лес, а не домен.


    Слава России!


    • Изменено M.V.V. _ 10 августа 2018 г. 14:00
    • Помечено в качестве ответа rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 13:59
  • Коллега, понятно что там в холдинге могут попросту отклонить все это дело. Может  есть другие варианты с развертыванием при помощи выделенного леса ? Тут как бы можно было бы и сделать, но остается главный момент - мы не получаем должного SSO и автоконфигурации почтовых клиентов MAPI. 

    Ну почему же так обязательно не получаете?

    SSO возможен с использование топологии с лесом ресурсов из одного домена, где будет стоять Exchange, и доменом учетных записей - вашим доменом, с которым у ресурсного домена должны быть установлено внешнее отношение доверия. После этого в ресурсном домене создаются Linked Mailboxes для всех пользователей домена учетных записей, кому они нужны и вы получаете полный SSO.

    Этот вариант (правда, с использованием целого леса в качестве леса учетных записей) - вполне поддерживаемая и топология MS Exchange, способ её развертывания документирован.

    Автообнаружение вы можете получить, если настроите репликацию (т.е. копирование - хоть простейшим скриптом на Powershell) адресов e-mail из ресурсного домена в соответствующие учетные записи в домене учетных записей.  Если при этом правильно настроить автообнаружение через DNS, то автоконфигурация Outlook и прочих клиентов будет вполне работоспособной.


    Слава России!

    Коллега, именно об этом я и пытался сказать. Такую схему я уже реализовывал- она ка краз таки появилась по моему с версии MS Exchange 2013? вот здесь по моему про связанные почтовые ящики..

    Хорошо, если такой подход мы реализуем и в случае когда дочерний домен целевого леса у нас юридически исчезает- можем ли мы использовать ресурсный лес MS Exchnge так же и для обычных учеток ?- 

    Спасибо.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    10 августа 2018 г. 14:00
  • Я немного не понимаю почему мигрируете в один лес AD, но не используете единую почту, но ладно.

    Настроить ресурсный лес в Exchange можно без проблем, со всеми автодисковерами и т.п.

    Телефония и конференции -вы это линк имеете в виду? Он не совсем завязан на Exchange, там своя конфигурация. И тоже можно ресурсный лес.

    Да и тут надо собираться вместе с холдингом и обсуждать варианты развертываний, все равно вы единолично эту проблему не решите.


    scientia potentia est
    My blog

    • Помечено в качестве ответа rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 14:07
  • Коллега, именно об этом я и пытался сказать. Такую схему я уже реализовывал- она ка краз таки появилась по моему с версии MS Exchange 2013? вот здесь по моему про связанные почтовые ящики..

    Хорошо, если такой подход мы реализуем и в случае когда дочерний домен целевого леса у нас юридически исчезает- можем ли мы использовать ресурсный лес MS Exchnge так же и для обычных учеток ?- 

    Спасибо.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    Сможете: вам никто не мешает заводить в этом лесу обычныеучетки.  А если понадобится отказаться о домена учетных записей, достаточно просторазблокировать и опаролить учетки в ресурсном лесу. И поменять тип п/я с помощью Set-User (впрочем, менять можно даже не торопиться - работать будет и так).

    PS Схема с ресурсным доменом существовала бог знает с каких времен. Кажется - изначально, с тех пор как Exchange вообще стал использовать AD вместо собственной службы каталога. Во всяком случае, в Exch2K3 она уже была, хотя и не совсем в таком виде, как сейчас.

       

    Слава России!


    • Изменено M.V.V. _ 10 августа 2018 г. 14:08
    • Помечено в качестве ответа rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 14:07
  • Я немного не понимаю почему мигрируете в один лес AD, но не используете единую почту, но ладно.


    Да и тут надо собираться вместе с холдингом и обсуждать варианты развертываний, все равно вы единолично эту проблему не решите.


    scientia potentia est
    My blog

    1.Единой почты не может быть , потому как две разные компании совершенно со своим брэндом и названием.

    2.Тут вопрос политический, есть повод, просто его не офиширую, но поверьте он есть. Единственно что могу сказать- все это затеяли только из-за одного сервиса (кстати тоже очень известного на платформе MS), а не из-за какой то там почты- только все это можно было сделать простым доверием между лесами. 

    А сейчас и слияние не слияние и конторы разные ...но процесс уже пошел. 

    По поводу почты- то тут холдингу все равно как она организована, потому что это совсем не их домен и не будет таковым.. Вопрос в другом- избавиться от лотуса.

    Как это сделать- выше вы уже предложили.

    Всем спасибо.



    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 10 августа 2018 г. 14:43
    10 августа 2018 г. 14:41