nori00 0 Posted November 28 Report Share Posted November 28 Hallo Wir stehen vor einem Exchange Problem, für das wir bisher keine brauchbare Lösung finden konnten: Unserer Exchange-Umgebung verwaltet mehrere Kunden, wobei jeder Kunde seine eigene Domain nutzt. Für jeden Kunde gibt es eine eigene OU im AD, sowie ein UPN-Suffix. Im Moment können keine neuen Domains mehr hinzugefügt werden, da wir das UPN-Suffix Limit erreicht haben: Die Verwaltungsgrenze f\Uffffffffse Anforderung wurde \Uffffffffhritten In Zeile:1 Zeichen:1 + Set-ADForest -Identity XX -UPNSuffixes @{add="XX"} + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (XX:ADForest) [Set-ADForest], ADException + FullyQualifiedErrorId [PS] C:\Windows\system32>(Get-ADForest).UPNSuffixes.Count 1273 Wir haben gelesen, dass ein Forest-Split eine Lösung sein könnte – jedoch können wir aufgrund von internen Einschränkungen derzeit keinen 2. Domaincontroller nutzen. Kennt jemand eine andere Lösung? Danke für die Hilfe :) Quote Link to comment
NorbertFe 2,056 Posted November 28 Report Share Posted November 28 (edited) vor 44 Minuten schrieb nori00: keinen 2. Domaincontroller nutzen. Wie? Ihr habt 1273 Kunden mit ihren DNS Domains in eurem Exchange und nur einen DC? Ich bezweifle, dass die Anzahl der DomainController Einfluß auf die maximale Anzahl von UPNSuffixes im Forest hat. Wenn ihr nen neuen Forest aufmachen wollt/müsst, dann wird natürlich die Exchangeverwaltung entsprechend komplexer. Kurz Google angeworfen und das bestätigt eure 1273 UPN Suffixes: https://stackoverflow.com/questions/33734254/max-number-of-upn-suffixes-2012-r2-forest Evtl. hilft euch dann AD mit DCs für 2025 und deren größerer Database Pages (32kB statt 8kB). Bye Norbert Edited November 28 by NorbertFe Quote Link to comment
cj_berlin 1,327 Posted November 28 Report Share Posted November 28 Moin, ketzerische Frage: braucht ihr die UPN-Suffixe der Kunden wirklich in der Forest-Konfiguration? So lange keine Cross-Forest-Authentifizierung im Spiel ist, kannst Du den userPrincipalName frei setzen, und innerhalb des eigenen Forests wird die Authentifizierung damit auch funktionieren. Quote Link to comment
NorbertFe 2,056 Posted November 28 Report Share Posted November 28 Ich vermute, den Kunden wird mitgeteilt, dass sie sich mit ihrer "E-Mailadresse" anmelden müssen/können. Und leider ist das dann afaik notwendig. Lasse mich aber gern eines besseren belehren. Quote Link to comment
cj_berlin 1,327 Posted November 28 Report Share Posted November 28 Innerhalb eines Forests ist UPN ein frei beschreibbares Feld (nur nicht mit ADUC/ADAC). Nur wenn Suffix Routing ein Thema wird, muss es in die Konfig. Natürlich packen wir es immer in die Konfig, wenn möglich, aber Kerberos innerhalb des Forests funktioniert auch ohne. Quote Link to comment
NorbertFe 2,056 Posted November 28 Report Share Posted November 28 Achso, du meinst, man schreibt den UserUPN einfach per anderem Tool (außer ADUC/ADAC) und trotzdem kann sich der User dann mit dem UPN korrekt anmelden. Danke, hab ich entweder jetzt gelernt oder wieder aus den letzten Ecken meines Hirns hervorgekratzt. Fällt mir nämlich ein, dass ich das vor Jahren mal festgestellt hatte, als ich den UPN direkt per Skript reingeschrieben hatte. ;) Quote Link to comment
NilsK 2,944 Posted November 28 Report Share Posted November 28 Moin, jaja, eine von diesen vielen im Detail lustigen Implementierungen im AD, deren Details man fast nie kennen muss, außer wenn ... oder wenn man halt drüber stolpert. Was mir dabei einfällt: Wie ist es mit UPN-Suffixes, die man auf OUs definiert? Taugen die fürs Suffix Routing? Gruß, Nils Quote Link to comment
nori00 0 Posted November 29 Author Report Share Posted November 29 Danke für eure Nachrichten :) Ich habe unsere Exchange Umgebung von jemandem übernommen und kenne noch nicht alle Funktionen/Möglichkeiten. Arbeite auch meistens nur mit Linux. Das mit dem 2. DC ist eine lange Geschichte, es geht zur Zeit wegen interen Einschränkungen nicht. Genau, unsere Kunden melden sich mit der Email-Adresse am OWA/Client an. Wäre das trotzdem mit Suffix Routing möglich? Ich habe mal gehört, dass das Limti der UPN Suffixes in der Registy anpassen kann - finde dazu aber nichts. Wisst ihr etwas darüber? Quote Link to comment
NilsK 2,944 Posted November 29 Report Share Posted November 29 Moin, der Punkt ist, dass ihr wahrscheinlich gar kein Suffix Routing braucht. In dem Fall braucht ihr also die UPN Suffixes auch nicht in die AD-Konfig aufzunehmen. Ihr definiert einfach den gewünschten UPN beim Anlegen des Users mit einem Tool, das nicht "AD-Benutzer und -Computer" ist. Abgesehen davon, scheint mir das Konstrukt insgesamt durchaus noch mal ein Review zu vertragen. Und das mit dem zweiten DC, den ihr nicht habt, ist aus meiner Sicht ein No-go. Gruß, Nils Quote Link to comment
mwiederkehr 381 Posted November 29 Report Share Posted November 29 Beim Setzen von Suffixes, die nicht global erfasst sind, muss man aufpassen: Bearbeitet man den Benutzer im ECP (um beispielsweise die Postfachgrösse zu erhöhen), setzt es beim Speichern das Suffix auf den ersten Suffix (die interne Domäne). Der Kunde wird kurz danach anrufen und melden, dass er sich nicht mehr anmelden kann. Aber bei über 1000 Kunden wird man nebst einem zweiten DC auch über eine Verwaltungssoftware (wie SolidCP) nachdenken. Quote Link to comment
NorbertFe 2,056 Posted November 29 Report Share Posted November 29 vor 7 Minuten schrieb mwiederkehr: Aber bei über 1000 Kunden wird man nebst einem zweiten DC auch über eine Verwaltungssoftware (wie SolidCP) nachdenken. Ach iwo ;) Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.