Jump to content

Kalender frei/gebucht anzeigen, Domain Trust vorhanden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo werte Gemeinde!

 

Ich bin langjähriger Leser dieses Forums und komme nun auch einmal dazu ein Problem vorzutragen:

 

Ich habe zwei Domänen (a-online.de / a.local & b-software.de / intern leider identisch, musste ich so übernehmen), die über einen VPN Tunnel verbunden sind. Beide nutzen Exchange 2013.

-  Transitive Vertrauensstellung in beide Richtungen vorhanden und funktionell (ich arbeite mit meinem Admin aus a-online.de vollberechtigt auf b-software.de).

-  Split-DNS für beide Domänen mail.******.de zeigen mit eigener Zone und _tcp _autodiscover 443 auf die lokale IP des Mailservers.

-  Kontakte von b-software.de auf dem Exchange von a-online.de angelegt und umgekehrt genauso.

-  nslookup von autodiscover.a-online.de & b-autodiscover.software.de zeigt über den DNS Server 8.8.8.8 auf die jeweilige externe IP, ebenso mail.....de

-  nslookup von mail.a-online.de & mail.b-software.de zeigt über den lokalen DNS auf die jeweilige interne IP des Exchange (in Domäne b wird auch die interne IP von a aufgelöst und umgekehrt)

-  nslookup von autodiscover.a-online.de & autodiscover.b-software.de zeigt über den lokalen DNS die externe IP als alias von mail.....de. Ist das korrekt so bei _autodiscover SRV Eintrag? Sollte bei einer Vertrauensstellung DNS auch hier auf die lokale IP verweisen?

 

Wie muss ich hier vorgehen, damit ich die Kalender gegenseitig einsehen kann?

Die Befehle

 

Add-AvailabilityAddressSpace -ForestName b-software.de -AccessMethod PerUserFB -UseServiceAccount $true

Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights “ms-exch-epi-token-serialization” -User “b-software\Exchange Servers”

Export-AutodiscoverConfig -TargetForestDomainController “dcserver.bsoftware.de” -TargetForestCredential (Get-Credential) -MultipleExchangeDeployments $true

 

habe ich schon wechselseitig durchgeführt, keine Fehlermeldungen. Leider kann ich die Kalender nicht sehen, Nach Hinzufügen der Kontaktkalender von b-software.de in Outlook unter a-online.de kommt nur die MEldung "konnte nicht aktualisiert werden". Wechselseitig das gleiche.

 

Selbstsignierte Zertifikate habe ich auch wechselseitig über die MMC importiert. Habe ich hier daneben gegriffen? Ich habe das "mail.domäne.de" der betreffenden Server ex- & importiert.

 

EDIT:

OWA & der MS RCA laufen bis auf gemecker für ein selbst signiertes Zertifikat auch sauber durch.

Ein Test einer a-online.de Emailadresse im b-software.de Outlook Autokonfigurations-Test funktioniert auch, wechselseitig genauso.

 

Um Denkanstöße bin ich sehr dankbar. Betrifft auch keinen Kunden, das ist für unsere hausinterne Verschmelzung. ;)

Gibt es ein Log, das man hierzu sichten kann?

 

Grüße, Layer-8

Edited by Layer-8
Link to comment

Danke für die Rückmeldungen.

 

 

Hi,

 

vielleicht einfach untergegangen ...

Das was ich sehe und es evtl. verhindert ist dein SelfSigned...

 

Meines Wissens nach muss da ein offizielles drin stehen, welches trusted ist.

 

Gruß

J

 

Geht es wirklich nur mit gekauftem Certif? der MS Autodiscovertest zeigt mir alles grün. Erst in den unterpunkten erscheint das rote X wegen des nicht öffentlich verifizierbaren selfsigned.

 

 

Was ich noch nicht ganz verstanden hab: Du schreibst "...nach hinzufügen der Kontaktkalender..."

Den Kalender wirst Du über diese Konstellation m.W. nie sehen. Es werden ja "nur" die Frei/Gebucht-Infos synchronisiert. D.h. wenn Du jemanden einlädst, siehst Du halt "Frei, gebucht, abwesend", mehr nicht.

 

Oder seh' ich das falsch?!?

 

Sehe ich etwa über die Methode nur die frei/gebucht-Bereiche, wenn ich einen neuen Termin mit der betreffenden Person plane? Das wäre suboptimal, ich muss es schaffen, dass die Kalender völlig frei einsehbar sind. Führt hier kein Weg an Federation Services vorbei? Ich hätte gedacht, dass mit einem Trust und VPN Tunnel die möglichkeit über LAN bestünde.

 

Laufen denn Federation Services ohne gekauftes Zertifikat? Hierbei sollte doch dann alles einsehbar sein, oder auch wieder nur bei der Terminplanung?

Oder muss ich anders vorgehen, wenn ich Kalender einer trusted domain bei mir voll einsehen will? Meine GF liegt mir hiermit jeden Tag in den Ohren, seit dem wir die andere Firma gekauft haben. :D

 

Gruß,

Layer-8

Edited by Layer-8
Link to comment

Um andere Kalender einsehen zu können, müsstest Du wohl entspr. Berechtigungen für die Nutzer der einen Domäne auf das Postfach der anderen Domäne einrichten.

Dazu braucht's m.W. jedoch Powershell, da die Verwaltungskonsole die Domänenauswahl nicht bietet.

 

Bsp.:

Add-MailboxPermission -Identitiy < Postfachname> -User < Domain-Konto> -AccessRights FullAccess
Edited by Cybquest
Link to comment

 

Um andere Kalender einsehen zu können, müsstest Du wohl entspr. Berechtigungen für die Nutzer der einen Domäne auf das Postfach der anderen Domäne einrichten.

Dazu braucht's m.W. jedoch Powershell, da die Verwaltungskonsole die Domänenauswahl nicht bietet.

 

Bsp.:

Add-MailboxPermission -Identitiy < Postfachname> -User < Domain-Konto> -AccessRights FullAccess

Ich habe mit deinem Befehl für mein Benutzerkonto aus a-online einem Testkonto in Domäne b-software volle Rechte erteilt. Der Befehl hat ein wenig gebraucht, was an und für sich gut ist, wenn man über einen Trust auf eine andere Domäne zugreift. mit Get-MailboxPermission -Identity "MeinUser" sehe ich auch die Berechtigung für b-online\Testbenutzer.

Leider weiterhin keine Veränderung.

 

Wenn ich im b-online-Testbenutzer über Outlook mich in einen Termin einladen will bekomme ich nur eine grau schraffierte Zeitleiste mit dem MouseOver "Der Server des externen Empfängers konnte nicht ermittelt werden."

 

 

 

Ergänzend - ohne Federation Trust von MS brauchst du extern signierte Zertifikate.

 

Das ist mein Kenntnisstand.

 

;)

Die Federation Services habe ich testweise schon halb durchkonfiguriert: auf beiden Seiten den TXT-Eintrag gesetzt und eine MS-Kennung erhalten und aktiviert. Wenn ich allerdings die Gegenseite freigeben möchte schlägt auch hier die Aktivierung fehl. (Verbundinformationen konnten nicht von der externen Organisation empfangen werden.) Muss ich die MS-Kennung als Gegenseite wählen, die normale Domäne b-online.de oder die Subdomain mail.b-online.de?

 

 

 

Ich habe die letzten Tage so viel gelesen, latente Reizüberflutung. Es wurmt mich, dass alle Tests grün zeigen aber ich nicht weiter komme. Ist halt Lehrgeld: mein erster Domain Trust.

Edited by Layer-8
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...