Zum Inhalt wechseln


Foto

Adresssyncronisation ohne Domain Trust möglich?

Exchange

  • Bitte melde dich an um zu Antworten
18 Antworten in diesem Thema

#1 goat82

goat82

    Newbie

  • 39 Beiträge

 

Geschrieben 27. September 2017 - 16:08

Hallo Zusammen,

 

ist es möglich ohne eine AD Vertrauenstellung bzw. VPN 2 Exchangeserver 2010 in verschiedenen Domainen und Standorten miteinander sprechen zu lassen?

 

Ziel soll sein dass die Kontaktlisten von neuen Mitarbeiter auf beiden Standorten Deutschland/Schweiz automatisch repliziert wird. Die Standorte sollen ansich aber unabhängig bleiben.

Falls dies nur mit einer AD Vertrauensstellung geht, kann man den Zugriff so einrichten dass nur die Kontakte und Verteiler repliziert werden und nicht der gesammte Global Catalog?

Schlimm wäre es wenn ich z.B einen Kontakt in Outlook von Deutschland aus der Schweiz anwähle und auf die Eieruhr warten muss bis ich die Mail verschicken kann.

 

 

LG Goat



#2 MrCocktail

MrCocktail

    Board Veteran

  • 1.226 Beiträge

 

Geschrieben 27. September 2017 - 16:21

Hi,

 

wie immer, es kommt da drauf an...

Du kannst von Skripting bis zu echten Lösungen so ziemlich alles machen.

 

Spontan fallen mir Quest (Dell?) und netsec (http://www.netsec.de...c/overview.html) ein.



#3 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.719 Beiträge

 

Geschrieben 27. September 2017 - 16:33

Und dann gibt es noch Federation Trust mit MS dazwischen.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#4 goat82

goat82

    Newbie

  • 39 Beiträge

 

Geschrieben 27. September 2017 - 16:47

Und dann gibt es noch Federation Trust mit MS dazwischen.

 

;)

Federation Trust, hast du mehr Infos dazu? Hab ich noch nie gehört


Hi,

 

wie immer, es kommt da drauf an...

Du kannst von Skripting bis zu echten Lösungen so ziemlich alles machen.

 

Spontan fallen mir Quest (Dell?) und netsec (http://www.netsec.de...c/overview.html) ein.

 

Würde ja zu einer bidirektional trust neigen, habe aber etwas Bedenken dass es zu Problemen kommen kann. Zudem fehlen mir hier die praktischen Erfahrungswerte.

Angenommen ich mounte einen öffentlichen Ordner von SiteA auf SiteB und Telekom meint sie muss wieder dazuwischenfunken..... Kann dann der Outlook Client von SiteA weiterhin problemlos arbeiten oder hängt sich Outlook dann auf? Syncronisierung von Adressbuch und Kontakten würden mir vollstens ausreichen.

Würde Outlook auch hängen wenn ich das Adressbuch von Site B auf einem Outlookclient von Site A verwende?

Eigendlich sollte soetwas ja im GC der jeweiligen Site gespeichert werden, sodass es egal ist welchen Kontakt ich wo aufrufe oder liege ich falsch?



#5 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.719 Beiträge

 

Geschrieben 27. September 2017 - 16:52

Zum Trust / Start hier:

 

https://technet.micr...exchg.150).aspx

 

Nachtrag von Frank:

https://www.msxfaq.d.../calfed/mfg.htm

 

 

;)


Bearbeitet von Nobbyaushb, 27. September 2017 - 16:53.

Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#6 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 27. September 2017 - 18:36

Moin,

 

also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung.

 

Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 27. September 2017 - 19:46

Und ein Federation Trust würde auch keine Kontaktsync oder -Darstellung ermöglichen afaik.

Make something i***-proof and they will build a better i***.


#8 goat82

goat82

    Newbie

  • 39 Beiträge

 

Geschrieben 28. September 2017 - 09:43

Moin,

 

also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung.

 

Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt.

 

Gruß, Nils

 

Hi Nils,

 

danke für deinen Beitrag.

Kannst du mir bitte einen Umsetzungsratschlag geben?

Ich dachte immer dass universelle Kontakte auf allen GC zwischen den Domaincontroller auch mit einem Trust automatisch repliziert werden.

Ich selbst hab schon von Domaine A auf User in Domaine B zugegriffen. Wie bekomme ich es nun hin dass die Mailkontakte und Verteilerlisten in den Exchanges/Clients der 2 unterschiedlichen Domainen automatisch repliziert werden?

 

LG und vielen Dank im Voraus.

Goat



#9 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 28. September 2017 - 09:48

Moin,

 

den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast.

 

Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze:

  • Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden.
  • Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab.

Gruß, Nils

 

EDIT: Ich heiße natürlich Nils, nicht Niös. :D


Bearbeitet von NilsK, 28. September 2017 - 11:36.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#10 goat82

goat82

    Newbie

  • 39 Beiträge

 

Geschrieben 28. September 2017 - 10:33

Moin,

 

den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast.

 

Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze:

  • Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden.
  • Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab.

Gruß, Niös

 

 

Ok, da beide Standorte fusioniert wurden, stehen alle Optionen offen. Derzeit unterschiedliche Forest und Domainen. Gmeinsamen Forest wäre theoretisch möglich, sofern man dies umsetzen kann.

Vor dieser Herausforderung stand ich bisher noch nicht und erlich gesagt muss ich mich da auch umfänglich einlesen.....

Was wäre denn die schnellste / einfachste Umsetzung?

Ein VPN Tunnel ist demnächst auch geplant.


Bearbeitet von goat82, 28. September 2017 - 10:35.


#11 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 28. September 2017 - 10:50

Moin,

 

eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch.

 

Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#12 goat82

goat82

    Newbie

  • 39 Beiträge

 

Geschrieben 28. September 2017 - 11:19

Moin,

 

eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch.

 

Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt.

 

Gruß, Nils

 

Also Galsync habe ich mir mal angesehen. Ist ziemlich teuer und auch sehr umfangreich.

Da ein VPN Tunnel sowieso aufgebaut werden muss und die Dynamik überschaubar ist (200 User, Normale Fluktuation).

Microsoft Identity Manager muss ich mir noch ansehen.

Wie gesagt bin ich kein Experte, muss es aber schnellst möglich irgendwie umsetzen....

Derzeit werden die Kontakte einfach manuell nachgetragen.

Würde die Skriptumsetzung so funktionieren:

LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteA  exportiert -> VPN Laufwerk

LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteB  exportiert -> VPN Laufwerk

LDIFDE import skript auf beiden Seiten (nur neue Kontakte importieren)

 

Nochmal zu dem Forests. Wenn eine Vertrauensstellung besteht könnte der Datenabgleich via Skript auch visuell im AD angesehen werden, sofern ein Lesezugriff auf die "fremde" Domaine besteht" Oder kann ich "fremde" Domainen mit Trust nur im AD einsehen wenn diese einen gemeinsamen Forest haben?



#13 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 28. September 2017 - 11:25

Moin,

 

nein, so einfach ist es nicht. Mit so simplem Ex- und Imports bekommst du die Objekte nicht als mailaktivierte Objekte in die Exchange-Umgebungen eingebunden.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#14 goat82

goat82

    Newbie

  • 39 Beiträge

 

Geschrieben 28. September 2017 - 12:21

Moin,

 

nein, so einfach ist es nicht. Mit so simplem Ex- und Imports bekommst du die Objekte nicht als mailaktivierte Objekte in die Exchange-Umgebungen eingebunden.

 

Gruß, Nils

 

So ein kleiner Wunsch ergibt so eine Große Baustelle - Wahnsinn.

Ich hätte mir das viel einfacher vorgestellt. Ohne Kosten im 4 stelligen Bereich....

Wäre ein Skript möglich woman zumindest über Adressänderungen informiert wird?

User würden dann wie bisher manuell eingetragen....

Könnte ich die Useradressen/Verteiler in der fremden Domaine mit einem Trust im AD auch einsehen?



#15 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 28. September 2017 - 12:25

Moin,

 

naja, organisatorisch mag der Wunsch klein sein, technisch hat er aber schon eine gewisse Größe. Das ist manchmal so. Treckerreifen an einem Golf mögen einem auch wie ein kleiner Wunsch vorkommen.

 

Aber ganz ehrlich: Es gibt fertige Lösungen für das, was du vorhast. Wenn Skripte reichen, bin ich sicher, dass du auch kostenlose findest. Dann bleibt "nur noch" der Aufwand zum Testen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!