funnikerl 11 Geschrieben 9. März 2011 Melden Teilen Geschrieben 9. März 2011 Hallo, auf meinem Testsystem habe ich einen Exchangeserver 2010 unter Windows Server 2008 R2 in Betrieb. Ebenfalls auf dem Server befindet sich noch ein Blackberry Enterprise Express Server 5.0.2 Jetzt kam ich in den letzten Tagen auf die Idee, eine zweite Domain mit in die Exchange Organisation einzubinden. Das funktioniert auch alles wunderbar. Emails werden empfangen und gesendet. Was mich jetzt gestört hat war, dass der User der einen Domain den User der anderen Domain in seinem Adressbuch sehen konnte. Nachdem ein bisschen Google bemüht wurde, fand ich dann folgenden Link. Shared Hosting with Exchange 2007 (Part 1) So nun hab ich dieses Tutorial auch direkt umgesetzt. Nur mein Adressbuch will nicht so wie ich will. Solange ich mich per OWA anmelde, funktioniert alles so wie es soll. User A der Domain V sieht User B der Domain X nicht. Melde ich mich jetzt aber per Outlook 2010 über Exchange over Http an, dann sehen beide User wieder das komplette Adressbuch. Gleiches gilt für direktes anmelden an der Domaine. Hat hier jmd. so ein Prozedere in dieser Art schon einmal vollzogen und kennt dieses Problem oder bin ich da eher alleine auf weitem Felde. Optimal wären natürlich Erfahrungen mit Exchange 2010 und nicht wie in dem Tutorial Exchange 2007. Vielen Dank Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2011 Melden Teilen Geschrieben 10. März 2011 Moin, ups.... Da ist kräftig was schiefgegangen. Worüber Du redest, nennt sich "GAL Segmentation". 1. Exchange 2010 funktioniert in dem Punkt grundlegend anders als 2007. 2. das Prinzip von 2007 auf 2010 angewendet, wird früher oder später zu Fehlern bis zum möglichen Totalausfall führen 3. das Prinzip von 2007 auf 2010 angewendet, ist komplett unsupported, auch der unter 2. beschriebene Ausfall 4. GAL Segmentation kommt mit dem Service Pack 2 im laufe des Jahres: You Had Me At EHLO... : GAL Segmentation, Exchange Server 2010 and Address Book Policies Du musst nun also schnellstens alle Änderungen rückgängig machen - und danach abwarten, bis das SP2 erscheint. Zitieren Link zu diesem Kommentar
funnikerl 11 Geschrieben 10. März 2011 Autor Melden Teilen Geschrieben 10. März 2011 Mh das hört sich ja nicht so gut an. Allerdings verstehe ich nicht so ganz, wieso es nicht wie nach der Anleitung funktionieren sollte. Das was anscheinend nicht funktioniert, ist das dem User der einzelnen Domain der Zugriff auf die Globale Standard Adressliste nicht untersagt wird, obwohl er ja seine eigene "Domain Globale Standard Adressliste" hat. Anscheinend ist es ja so das jeder User Rechte bei der Globalen Standard Adressliste braucht, da als ich "Authentifizierten Benutzer" die Rechte an der selbigen entzogen habe, diese nicht mehr anmelden konnten. Ich bin hier auf keine von "Microsoft Supported Solution" aus, da ich das ganze nur für mich persöhnlich und aus Spass an der Sache betreibe. Irgendwie muss es ja auch ohne Service Pack 2 funktionieren und diese Anleitung macht für mich rein logisch Sinn auch wenn ich nicht weiß, wo der Hund begraben liegt. Btw: Bis jetzt funktioniert alles einwandfrei. Naja freue mich über alle Kritiken und Vorschläge. Viele Grüße Matthias Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2011 Melden Teilen Geschrieben 10. März 2011 Mh das hört sich ja nicht so gut an. Allerdings verstehe ich nicht so ganz, wieso es nicht wie nach der Anleitung funktionieren sollte. Weil das von 2003 und 2007 benutzte Berechtigungskonzept nicht mehr von 2010 verwendet wird. Das was anscheinend nicht funktioniert, ist das dem User der einzelnen Domain der Zugriff auf die Globale Standard Adressliste nicht untersagt wird, obwohl er ja seine eigene "Domain Globale Standard Adressliste" hat. Korrekt. Und das liegt einfach daran, dass der User gar nicht mehr für den Zugriff verwendet wird. Du kannst in den Berechtigungen eintragen, was Du willst, sobald ein Benutzer auf die GAL zugreift, wird gar nicht sein Konto verwendet, sonder eine der während des Setup angelegte universelle Sicherheitsgruppe benutzt - und die ist für alle Benutzer gleich. Das Konzept ist dem neuen Berechtigungskonzept in Ex2010 geschuldet, dem sog. RBAC. Ich bin hier auf keine von "Microsoft Supported Solution" aus, da ich das ganze nur für mich persöhnlich und aus Spass an der Sache betreibe. Irgendwie muss es ja auch ohne Service Pack 2 funktionieren und diese Anleitung macht für mich rein logisch Sinn auch wenn ich nicht weiß, wo der Hund begraben liegt. Wie gesagt: Der Hund liegt darin begraben, dass 2010 anders funktioniert, als 2003 oder 2007. Btw: Bis jetzt funktioniert alles einwandfrei. Das ist ok, aber falls es irgendwann Probleme gibt, erinnerst Du Dich hoffentlich an die "Spielereien". ;) Naja freue mich über alle Kritiken und Vorschläge. In diesem Fall gibt es leider noch nicht mal inoffizielle Vorschläge oder unsupportete Workarounds. Das alte System der GAL Segmentation funktioniert nicht mehr, das neue kommt erst mit SP2. Die einzige, heute schon mögliche Trennung, ist der sog. "Hosting Mode" seit dem SP1. Der ist aber eine komplette Trennung des Exchange in mehrere Umgebungen, hat keine EMC, keine öffentlichen Ordner, geht nur mit Outlook 2010, und noch einem weiteren Dutzend Einschränkungen. Das ist aber weit über dem, was Du suchst. Zitieren Link zu diesem Kommentar
funnikerl 11 Geschrieben 10. März 2011 Autor Melden Teilen Geschrieben 10. März 2011 Ok vielen Dank für die so schnellen Antworten. Dann warte ich mal auf Service Pack 2 .. :o Zitieren Link zu diesem Kommentar
funnikerl 11 Geschrieben 10. März 2011 Autor Melden Teilen Geschrieben 10. März 2011 Also um das Thema endgültig abzuschließen. Ich habe ein Lösung gefunden, die den Exchange nicht beschädigt und ohne SP2 und ohne großen Aufwand mehrere getrennte GALs erlaubt. Anleitung: Lege ein neues globales Adressbuch an mit dem gewünschten Namen : "Beispiel GAL" Dann lege eine neue Sicherheitsgruppe im AD an genannt "Beispiel" Dann verschiebe alle Beispieluser in die Sicherheitsgruppe "Beispiel" Im ADSI unter Services, Microsoft Exchange, Organisationsname, All Address List Container und Global Address List Container Die Default Global Adress List raussuchen und unter Sicherheit die Sicherheitsgruppe Beispiel hinzufügen. Der verweigerst du die Lese und "OpenAdressBook" Rechte. Dann unter der neuen BeispielGAL unter Sicherheit fügst du die Sicherheitsgruppe hinzu und erlaubst ihr die Lese und OpenAdressBook Rechte. Das gleiche Spiel noch einmal unter AllAdressList und OfflineAdressList Dann auf die AD Replication warten und alles sollte funktionieren. In diesem Sinne. Wer sucht der findet. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2011 Melden Teilen Geschrieben 10. März 2011 Ok, es steht Dir natürlich vollkommen frei, Deine Umgebung nach beliebigen unsupporttet zu bringen oder zu beschädigen. Aber wenn Du nächste Woche oder nächsten Monat mit merkwürdigen Problemen auftauchst, die niemand nachvollziehen kann, erinnerst Du Dich hoffentlich noch an Deine Änderungen. Für alle anderen, die zufällig über diesen Thread stoßen, aber nochmal die eindringliche Warnung: 1. Die beschriebene Lösung funktioniert nicht vollständig (z.B. bei Verteilerlisten) 2. Die beschriebene Lösung wurde von MSFT intern getestet, wobei schwerwiegende Fehler auftraten. 3. Daher sind die Lösung und die daraus resultierenden Probleme in keiner Art und Weise supportet. Bitte wartet das Service Pack 2 ab und vertraut darauf, dass MVPs Zugang zu Quellen haben, die den normalen Admins verwehrt sind. Aber leider sind diese Informationen meistens unter NDR und können daher nur indirekt und ohne öffentliche Referenz weitergeben werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.