Zum Inhalt wechseln


Foto

Mehrere Firmen = Resource Forest + Accountforests'

Exchange Hyper-V Active Directory

  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 cbka

cbka

    Newbie

  • 2 Beiträge

 

Geschrieben 11. Oktober 2017 - 21:47

Hallo Zusammen und guten Abend,

 

wir planen die umstellung einer "historisch gewachsenen IT-Landschaft" in etwas mehr strukturiertes...

 

Folgende Situation:

 

MaxMustermann hat mehrere Firmen.

 

contosoA

contosoB

contosoC

contosoD

 

A-D sollen sich nun einen gemeinsamen Exchange 2016 teilen.

 

Als Infrastruktur steht ein 2 node Hyper-v 2016 Cluster mit zentralem Storage via 10G-iSCSI zur verfügung + 1 Server 2012R2 Hyper-V außerhalb vom Clusterverbund für die virtuellen secondary DCs.

 

A-D sollen aber "komplett voneinander getrennt" sein. D.h. Keine Einträge von contosoA in der GAL von contosoB

 

Um den Aufwand aber möglichst gering zu halten, sollen die Anmeldekonton von contosoA-D dem Exchange bekannt sein und zur Authentifizierung benutzt werden können.

 

Da dies der erste Kunde mit so einer Landschaft ist, habe ich so meine Zweifel an meinem Domain-Design und komme nun nach mehreren Tagen HOwTos und Technet auf euch zurück...

 

Hat jemand einen Tipp für mich, wie das am sinnvollsten und einfachsten (geringer verwaltungsoverhead) zu lösen ist ?

 

Cheers,

 

Chris



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 11. Oktober 2017 - 21:51

Nabend,

vorsichtig formuliert widersprechen sich die dort oben stehenden Anforderungen:

A-D sollen sich nun einen gemeinsamen Exchange 2016 teilen.

A-D sollen aber "komplett voneinander getrennt" sein. D.h. Keine Einträge von contosoA in der GAL von contosoB


Wie groß ist der Kunde?

Die "wahrscheinlich sinnvollste" Lösung dürfte eine Single Domain Umgebung sein und die Trennung der User in entsprechende OUs (nach Firmen). Die Trennung im Exchange läßt sich "rudimentär" mittels Adressbuchpolicies abbilden, aber auch das würde ich pauschal erstmal hinterfragen. Für mich klar ein Fall von Beratung des Kunden und Anforderungsdefinitionen, welche sich danach auch basierend auf technischen Notwendigkeiten abbilden lassen. Im Zweifel auch mit allen folgenden Konsequenzen wie das nicht Erfüllen von _geringem_ administrativen Overhead oder "einfacher Implementierung". ;)

Bye
Norbert

Bearbeitet von NorbertFe, 11. Oktober 2017 - 21:54.

Make something i***-proof and they will build a better i***.


#3 NilsK

NilsK

    Expert Member

  • 12.401 Beiträge

 

Geschrieben 12. Oktober 2017 - 06:45

Moin,

 

wie Norbert schon sagt - so ohne Weiteres ist das technisch nicht möglich. Um das "Weitere" passend einschätzen zu können, sollte man einen ausführlichen Design-Workshop machen.

 

Die Pole der Designvarianten sind (auch hier stimme ich Norbert zu):

  • Single-Domain für alle Firmen, Aufteilung per OU, AD-Berechtigungen, Exchange-Berechtigungen und Adressbuch-Richtlinien
    das ist der administrativ einfachste Aufbau, der aber auf "komplette Trennung" verzichtet und in der Einrichtung einiges an Aufwand und Sorgfalt erfordert
  • Je ein Forest (jeweils als Single-Domain) und je eine Exchange-Umgebung pro Firma
    das ist die einzige "vollständige Trennung", aber die Anmeldekonten sind dann eben auch getrennt

Ohne genau zu erörtern, welche Anforderungen hinter den Wünschen stehen, kann man das nicht entwerfen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 cbka

cbka

    Newbie

  • 2 Beiträge

 

Geschrieben 12. Oktober 2017 - 08:02

Hallo und guten Morgen,

 

zuerst - vielen dank für die Antworten.

 

Ich versuche mal etwas Licht ins Dunkle meiner Formulierung zu bekommen...

 

vorsichtig formuliert widersprechen sich die dort oben stehenden Anforderungen:

Wie groß ist der Kunde?
 

 

Der Kunde hat in keiner contoso mehr als 50 MA (bis jetzt)

 

Jede Contoso hat mind. einen RDS-Server. Eigentlich arbeiten alle Mitarbeiter ausschließlich auf den Terminalservern.

 

 

Die "wahrscheinlich sinnvollste" Lösung dürfte eine Single Domain Umgebung sein und die Trennung der User in entsprechende OUs (nach Firmen).

 

wie würdest du das dann mit der anmeldedomain handhaben? wenn ich das in OUs auftrenne, dann habe ich doch lediglich unterschiedliche Nutzernamen, oder ?

 

Hier kommt die lustige Sache:

 

Mitarbeiter1 arbeitet in contosoA - ist aber gleichzeitig auch in contosoB tätig.

 

Demnach müsste es ja dann Mitarbeiter1.contosA@domain.local und Mitarbeiter1.contosoB@domain.local geben.

 

 

Je ein Forest (jeweils als Single-Domain) und je eine Exchange-Umgebung pro Firma
das ist die einzige "vollständige Trennung", aber die Anmeldekonten sind dann eben auch getrennt

 

Das war irgendwie mein Plan... je ein Forest pro Contoso und dann einen Resourceforest oben drüber. Trusts zwischen den Contosos und dem Resourceforest. Quasi wie ein tree, nur eben als einzelne Forests.

Dann hätte man ja auch die Porblematik mit den Anmeldekonton am Exchange im Griff, oder ? stichwort LinkedMailbox?

 

Besten Dank für eure Gedanken und Kritik,

 

Cheers,

Chris



#5 Dukel

Dukel

    Board Veteran

  • 9.298 Beiträge

 

Geschrieben 12. Oktober 2017 - 08:07

https://de.wikipedia..._Principal_Name

Du erstellst für jeden Contoso einen Realm und der Beispiel Benutzer hat einen Account Mitarbeiter1@ContosoA.de und Mitarbeiter1@ContosoB.de.

 

 

Das war irgendwie mein Plan... je ein Forest pro Contoso und dann einen Resourceforest oben drüber. Trusts zwischen den Contosos und dem Resourceforest. Quasi wie ein tree, nur eben als einzelne Forests.

 

Bei vier Contosos und einer Ressourcendomäne sind das fünf Domänen, sprich 10 DC's für 200 Mitarbeiter? Das würde ich vermeiden wollen.


Bearbeitet von Dukel, 12. Oktober 2017 - 08:09.

Stop making stupid people famous.


#6 lefg

lefg

    Expert Member

  • 20.495 Beiträge

 

Geschrieben 12. Oktober 2017 - 08:35

Moin

 

 

A-D sollen sich nun einen gemeinsamen Exchange 2016 teilen.

 

Ist das denn zwingend, einen eigenen Exchange inhouse zu betreiben (wollen)?

 

Ich denke, für jede Firma wird wohl eine eigene Maildomäne benötigt.

 

https://products.off...exchange-online

 

Und, google nach Hosted Exchange

 

 

Der Rest könnte wohl in einer AD-Domäne(2xDC) mit neutralem Namen für alle gebildet werden.


Bearbeitet von lefg, 12. Oktober 2017 - 10:48.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#7 NilsK

NilsK

    Expert Member

  • 12.401 Beiträge

 

Geschrieben 12. Oktober 2017 - 09:17

Moin,

 

ihr braucht Beratung. In Form eines Workshops. Designfragen dieser Art sind nichts für ein Forum.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 12. Oktober 2017 - 09:37

Quasi: Für mich klar ein Fall von Beratung des Kunden und Anforderungsdefinitionen ;)

Make something i***-proof and they will build a better i***.


#9 Squire

Squire

    Board Veteran

  • 3.373 Beiträge

 

Geschrieben 13. Oktober 2017 - 11:52

Der TO ist nicht der Kunde sondern der Dienstleister!


"Every once in a while, declare peace. It confuses the hell out of your enemies"


#10 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 13. Oktober 2017 - 13:36

Und der Dienstleister kann nicht darauf hingewiesen werden, dass der Kunde fachkundige Beratung benötigt? Alternativ kann der Dienstleister sich natürlich auch zum Kunden machen und Dienstleistung beauftragen. ;)

Make something i***-proof and they will build a better i***.


#11 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.262 Beiträge

 

Geschrieben 14. Oktober 2017 - 08:58

Könnt ihr bitte Diskussionen die nicht der Problemlösung des TO dienen bleiben lassen!


Never argue with an idíot, they drag you down to their level and beat you with experience!