none
Пользовати внутреннего леса не доступны для внешнего леса. RRS feed

  • Вопрос

  • Вкратце опишу проблему.

    Есть лес internal.ru - здесь пользователи.

    Есть лес external.ru - здесь поднят и развернут Lync Server 2010 (официальная финальная)

    Нстроено одностороннее доверие: пользователи домена Internal.ru доверяют ресурсам домена external.ru. Доверие проверено. Работает действительно правильно.

    Внимание, уважаемые знатоки, вопрос. Как добавить в Control Panel Lync Server домена External.ru пользователей домена internal.ru.

    не работают:

    internal.ru\user    user@internal.ru     <LDAP запрос поьзователя user в домене internal.ru >

     

    Куда копать?

     

    15 декабря 2010 г. 12:52

Ответы

  • Да. Prepare-MoveRequest.ps1. В инете по нему инфы достаточно. Например, http://technet.microsoft.com/en-us/library/ee861103.aspx

    Но скрипт простой, можно разобраться и без мануалов. Можно просто его запустить на выполнение и он будет задавать последовательные вопросы, на которые нужно правильно ответить.

    В схеме с "ресурсным" лесом, когда операцию нужно выполнить только один раз, смысла использовать ILM и FIM нет.

    Для правильного использования скрипта, важно разобраться в связях между аккаунтами из "локальных" лесов с аккаунтами в "ресурсном" лесе.

    ILM и FIM необходимы, когда лесов более двух и записи постоянно изменяются.

    16 декабря 2010 г. 11:14
  • Lync не требует для своей работы Exchange сервер!

    Вам нужно поднять и настроить ILM 2007 или FIM 2010 для синхронизации учеток пользователей между лесами.

    Другое дело, что Lync и Exchange хорошо интегрируются и полную функциональность вы получите только при их соместном использовании.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    15 декабря 2010 г. 15:05
    Модератор
  • По OLM и FIM инфы мало, а контакты по любому надо первично синхронизировать.
    Даже если поставишь Exchange 2010 - контакты не зацепятся. Нужно воспользоваться скриптом, который во внешнем лесе создает отключенные аккаунты, которые залинкованы на внутренние. Это нужно делать один раз либо для Exchange, либо для Lync. Потом для этих аккаутнов создаются записи в серверах.
    15 декабря 2010 г. 16:10
  • http://blogs.technet.com/b/drrez/archive/2010/07/26/resource-forest-topology-with-office-communications-server-2007-r2-and-exchange-2010.aspx

    Один мат от восторга! Заработало! Ручами значение с Exchange перенес и заработало!

    17 декабря 2010 г. 14:31
  • Для этого и нужны ILM 2007 или FIM 2010, чтобы не копировать руками :-)
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    17 декабря 2010 г. 14:36
    Модератор

Все ответы

  •  Нашел справку.

    "In a resource forest topology, one forest is dedicated to running server applications, such as Microsoft Exchange Server and Lync Server. The resource forest hosts the server applications and a synchronized representation of the active user object, but it does not contain logon-enabled user accounts. The resource forest acts as a shared services environment for the other forests where user objects reside. The user forests have a forest-level trust relationship with the resource forest. When you deploy Lync Server in this type of topology, you create one disabled user object in the resource forest for every user account in the user forests. If Microsoft Exchange is already deployed in the resource forest, the disabled user accounts might already exist. A directory synchronization product, such as MIIS, Microsoft Forefront Identity Manager (FIM) 2010, or Microsoft Identity Lifecycle Manager (ILM) 2007 Feature Pack 1 (FP1), manages the life cycle of user accounts. When a new user account is created in one of the user forests or a user account is deleted from a forest, the directory synchronization product synchronizes the corresponding user representation in the resource forest.

    This topology can be used to provide a shared infrastructure for services in organizations that manage multiple forests or to separate the administration of Active Directory objects from other administration. Companies that need to isolate Active Directory administration for security reasons often choose this topology.

    This topology provides the benefit of limiting the need to extend the Active Directory schema to a single forest (that is, the resource forest).

    ...."

    Но что с этим делать? Как в AD создать такие контакты?

    15 декабря 2010 г. 13:24
  • "Multiple forest (that is, resource forest). Lync Server is deployed in a single forest, and then users are distributed across multiple forests. The users’ Exchange UM attributes must be replicated over to the Lync Server forest."

    Еще одна цитата из хелпа. Нет никаких догадок? Exchange пока ставить не хочу, но чую что придется.

     

     

    15 декабря 2010 г. 13:57
  • нашел. Без Exchange не получится. http://technet.microsoft.com/en-us/library/ee323447(office.13).aspx

     

    15 декабря 2010 г. 14:17
  • Lync не требует для своей работы Exchange сервер!

    Вам нужно поднять и настроить ILM 2007 или FIM 2010 для синхронизации учеток пользователей между лесами.

    Другое дело, что Lync и Exchange хорошо интегрируются и полную функциональность вы получите только при их соместном использовании.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    15 декабря 2010 г. 15:05
    Модератор
  • Exchange 2010 - этот продукт я планировал ставить после Lync Server 2010.

     ILM 2007 или FIM 2010  - пока не планирую ставить. Так что Уже запущен процесс установки. после развертывания - обязательно сообщу что вышло.

    15 декабря 2010 г. 15:13
  • Если у вас два леса, то без них не обойтись. Либо мигрировать в один лес. Либо поднимать все в обоих лесах.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    15 декабря 2010 г. 16:01
    Модератор
  • По OLM и FIM инфы мало, а контакты по любому надо первично синхронизировать.
    Даже если поставишь Exchange 2010 - контакты не зацепятся. Нужно воспользоваться скриптом, который во внешнем лесе создает отключенные аккаунты, которые залинкованы на внутренние. Это нужно делать один раз либо для Exchange, либо для Lync. Потом для этих аккаутнов создаются записи в серверах.
    15 декабря 2010 г. 16:10
  • а есть документация по этому скрипту? или хотя бы пример?
    • Предложено в качестве ответа den-kzn 16 декабря 2010 г. 11:04
    • Отменено предложение в качестве ответа Дамир Марсович 17 декабря 2010 г. 13:15
    15 декабря 2010 г. 17:47
  • Да. Prepare-MoveRequest.ps1. В инете по нему инфы достаточно. Например, http://technet.microsoft.com/en-us/library/ee861103.aspx

    Но скрипт простой, можно разобраться и без мануалов. Можно просто его запустить на выполнение и он будет задавать последовательные вопросы, на которые нужно правильно ответить.

    В схеме с "ресурсным" лесом, когда операцию нужно выполнить только один раз, смысла использовать ILM и FIM нет.

    Для правильного использования скрипта, важно разобраться в связях между аккаунтами из "локальных" лесов с аккаунтами в "ресурсном" лесе.

    ILM и FIM необходимы, когда лесов более двух и записи постоянно изменяются.

    16 декабря 2010 г. 11:14
  • Скрипт тестил с Exchange 2010. Потом ставил LYNC. Для LYNC, без Exchange 2010 его не тестил.

    Можно предварительно поставить Exchange 2010 в обоих лесах. Выполнить скрипт - залинковать пользователей.

    Потом создавать пользователей в LYNC 2010 и в Exchange 2010.

    Другой вариант изучить предложенный скрипт и написать свой для LYNC. Потом поделиться с ним.

    16 декабря 2010 г. 11:25
  • Спасибо, Денис, ставлю Exchange. Скрипт посмотрел - не сложный, но займусь позже. сроки пджимают.

    16 декабря 2010 г. 11:27
  • Итак продолжу история с Лесом ресурсов.

    Выполнив скрипт без параметров, скрипт запрашивает:

    -логин леса пользоватлей,

    - контроллер домена леса пользователей

    - аутентификацию леса пользователей

    Скрипт работает без Exchnage 2010. Супер подумал я, обрадовался. Оказалось что рано обрадовался.

    Добавляю линк отключенного сотрудника в Lync Server 2010. Захожу на комп внутреннего лесА, запускаю Lync 2010. Он у меня спрашивает аутентификацию, после воода корректных данных - ошибка: logon credintal. Два дня бился.

    Что же я сделал дальше? Ради интереса включил в домене ресурсов отключенного пользователя и задал ему пароль такой же как в лесе пользователей. И что бы вы думали? Lync 2010 подключился.

    Есть ли какие-нибудь догадки? не поверю что Lync не предусмотрел подобное развертывание.

     

    17 декабря 2010 г. 11:29
  • http://blogs.technet.com/b/drrez/archive/2010/07/26/resource-forest-topology-with-office-communications-server-2007-r2-and-exchange-2010.aspx

    Один мат от восторга! Заработало! Ручами значение с Exchange перенес и заработало!

    17 декабря 2010 г. 14:31
  • Для этого и нужны ILM 2007 или FIM 2010, чтобы не копировать руками :-)
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    17 декабря 2010 г. 14:36
    Модератор