ADC Verbindungsvereinbarungen im Detail

Wenn Sie eine Verbindungsvereinbarung einrichten, dann müssen Sie mehrere Karteikarten mit richtigen Parametern einstellen. folgende Seite soll hier etwas Licht ins Dunkel bringen. primär sind hier die Verbindungsvereinbarungen (CA = Connection Agreement) für Benutzer, Verteiler und Kontakte. Die Verbindungsvereinbarungen für öffentlichen Ordner dagegen sehr einfach und die Config_CAs werden durch das Setup von Exchange 2000 mit dem SRS (Exchange 2000 SRS) sowieso automatisch erstellt.

Aber die user-CAs sind auch die CAs, die am ehesten Probleme bereiten. Zu jeder einzelnen Karteikarte finden Sie hierzu meine Ergänzungen zur BPOS Hilfe. Ein Klick auf das Bild öffnet eine vergrößerte Ansicht. Auf der Seite ADC Verbindungsvereinbarungen finden Sie eine genauere Erläuterung der einzelnen Verbinungsvereinbarungen.

Karteikarte Allgemein

Der wesentliche Parameter auf dieser Seite ist die Replikationsrichtung. Sie sollten immer versuchen, eine bidirektionale Replikation einzurichten, wenn Sie Exchange 5.5 und Exchange 2000 in einer Organisation betreiben. Dies ist auch die einzig von Microsoft unterstützte Konfiguration in diesem Fall.

Nur in Sonderfällen können Sie mit zusätzlichen einseitigen CAs unterstützen, z.B. wenn Sie möchten, dass in einer Richtung die neuen Objekte in einer speziellen OU angelegt werden aber die Rückrichtung nicht eindeutig ist. Dies trifft z.B.: zu, wenn sie mehrere Container mit einem CA abgleichen. Wobei sie selbst dann vielleicht mehrere eindeutige CAs anlegen sollen

Neben der Beschreibung definieren Sie hier auch, welcher ADC-Server die Arbeit übernimmt. Fällt der Server aus, müssen Sie einfach hier einen anderen Server auswählen. Die gesamte Konfiguration des CA liegt unabhängig vom einzelnen Server im AD

Karteikarte Verbindungen

Her definieren Sie, mit welchem Server und Konten sich der ADC verbindet. Sie sollten spätestens jetzt erkenne, dass der ADC-Dienst selbst mit einem Benutzerkonto gestartet wird, aber dies unabhängig von den Verbindungsvereinbarungen ist. für jede einzelne CA muss sowohl die Verbindung zum AD als auch zum Exchange 5.5. Server eingetragen werden.

Achten Sie unbedingt darauf, das das entsprechende Benutzerkonto die erforderlichen Berechtigung hat. Wenn der Exchange 5.5 Semirver auf einem Windows 2000 DC läuft, dann denken Sie daran, sowohl hier als auch in der Exchange 5.5 Konfiguration den Port für den LDAP-Dienst zu ändern.

Karteikarte Zeitplan

Hier können Sie einstellen, wann dieses CA ausgeführt wird. Normalerweise ist es sinnvoll, dass das CA "immer" aktiv ist. Damit ist sichergestellt, dass Änderungen sehr schnell repliziert wird. Es dauert immer noch eine etwas längere Zeit, bis die Änderungen dann auf andere Domaincontroller und auf andere Exchange 5.5 Server repliziert ist.

In einigen Umgebungen kann es sinnvoll sein, die Replikation auf die Nachstunden zu verlegen, um die Replikation über WAN-Verbindungen am Tage zu minimieren. Durch die Verzögerung werden allerdings auch wichtige Änderungen verzögert. Die Folgen wollen bedacht sein.

Karteikarte "Von Exchange"

Hier wird es das erste Mal interessant. Hier wird definiert, welche Empfängerkontainer in Exchange 5.5 durch diese Verbindungsvereinbarung überwacht werden. Sie können einfach den kompletten Exchange Standort auswählen oder auch einzelne Empfängerkontainer. Denken Sie aber immer daran, dass alle Exchange 5.5 Objekte über ein CA synchronisiert werden sollten.

Der ADC "matched" die Objekte anhand der SID mit bestehenden NT-Benutzern im AD. Diese müssen dazu nicht einmal im "Standardziel" liegen. Der ADC sucht über den kompletten Forest, so dass egal ist, wo das dem Postfach zugeordnete primäre Konto ist. Findet der ADC jedoch kein passendes Konto oder wurde die Suche über den Parameter "NTDSNOMATCH" beim Benutzer in den Exchange 5.5 Eigenschaften blockiert, dann legt der ADC einen neuen deaktivierten Benutzer im Standardziel an.

Ist ein passendes Konto in einer anderen Domäne, dann macht der ADC nichts,  sondern vertraut darauf, dass Sie als Administrator ein weiteres CA eingerichtet haben, welches das Exchange 5.5 Postfach in die andere Domäne repliziert.

Zuletzt können Sie steuern, welche Objekte das A betrachtet. In der Regel werden Benutzer, benutzerdefinierte Empfänger und Verteiler repliziert. Eine Ausnahme könnte sein, dass Sie die Verteiler in einem anderen Standardziel anlegen möchten.

Es kann hilfreich sein, eine eigene OU im Active Directory anzulegen und als Standardziel zu definieren. Dann finden Sie solche Objekte, die der ADC nicht zuordnen konnte. ein Verschieben dieser Objekte innerhalb der Domäne in eine andere OU ist problemlos möglich.

Karteikarte Von Windows

Analog dazu gibt es die Karteikarte "von Windows". Hier sind die OUs des Active Directory anzugeben, in dem der ADC nach Exchange Objekten sucht um Änderungen zu finden und in Exchange 5.5 nachzupflegen. Auch hier können Sie die komplette Domäne angeben, so dass das CA alle OUs durchsucht oder eine Auswahl treffen,

Das Standardziel definiert, wo neue Objekte angelegt werden. Allerdings ist hier auch die Checkbox "Exchange 5.5 DN" am unteren Rand zu berücksichtigen. Wird diese aktiviert, dann nutzt das CA den "Exchange LegacyDN" des Objects im Active Directory. Da diese allerdings meist auf "o=Orgname/ou=Sitename/cn=Recipient" gestellt ist, können Sie so alle neuen Objekte in diesem Empfängercontainer anlegen. Knifflig wird es nur, wenn Sie mehrere Standorte haben und der DN in die falsche SITE verweist. Der ADC wird dann die Objekte nicht anlegen. Ansonsten wird das CA die OU-Struktur des Active Directory in Exchange 5.5 nachbilden. ACHTUNG: Objekte unter Exchange 5.5 können nicht einfach verschoben werden, so dass diese Konfigurationseinstellung besonders am Anfang wichtig ist.

Die "gesicherten AD Objekte" sind etwas unglücklich übersetzt. Hierbei handelt es sich um Berechtigungen, die etwas "verbieten" (Deny ACL) und dadurch als besonders abgesichert bezeichnet werden können. Diese werden von Exchange 5.5 unterstützt aber vom Exchange Administrator nicht angezeigt. Meist werden solche Berechtigungen nicht genutzt und daher nicht genutzt. Standardmäßig werden diese nicht repliziert.

Karteikarte Löschen

Diese Karteikarte ist besonders wichtig, da in jedem Verzeichnisdienst auch immer wieder Objekte gelöscht werden. Und damit die Verzeichnisse nicht aus dem Ruder laufen, muss der ADC auch dies abgleichen. Aber das kann besonders mit Exchange 5.5 gefährlich sein. Wer z.B. im Active Directory einen Exchange 5.5 Benutzer mal schnell "Exchange disabled" sorgt dafür, dass ein entsprechendes CA den Benutzer aus Exchange 5.5 entfernt. In der Folge wird er dort auch aus Verteilern entfernt und dies wird sogar wieder zurück repliziert. Schade, wenn dadurch sowohl der Inhalt der Mailbox unwiederbringlich weg ist und sich auch Sicherheitsgruppen ändern. Exchange 2000 behält solche Mailboxen zumindest für 30 Tage in der Datenbank.

Die Einstellungen hier sind daher wichtig, ob der ADC solche "Delete"-Aktionen durchführt oder diese nur in eine Datei speichert, so dass Sie als Administrator dies noch einmal kontrollieren können und dann manuell die Aktionen durchführen.

Alle Löschbefehle aus dem AD Richtung Exchange landen in einer EX55.CSV-Datei. Alle Löschbefehle aus Exchange 5.5, die im Active Directory durchgeführt werden würden, landen in der Datei WIN2000.LDF. Beide liegen im Programmverzeichnis des MSADC im Verzeichnis der entsprechenden Verbindungsvereinbarung.

Wenn der ADC aber nicht löscht, dann müssen Sie regelmäßig diese Dateien kontrollieren, da sie ansonsten "out of Sync" sind. Das Ergebnis sind Nachrichten, die nicht zustellbar sind und unterschiedliche globale Adresslisten der Exchange 5.5 und Exchange 2000 Anwender.

Anfangs stelle ich hier gerne ein, dass die Datei angelegt wird und nach einigen Tagen Kontrolle und entsprechender unterweisung der Administratoren scharf zu stellen.

Karteikarte Erweitert

Auf dieser Karteikarte müssen Sie optional einige Felder feiner einstellen.

  • Pages: 20/20 (Default)
    Lassen Sie diese Werte unverändert. Sie geben vor, wie viele Anfragen zusammengefasst verarbeitet werden. Größere Werte führen zu weniger Abfragen aber höherem RAM-Bedarf
  • Primary für Exchange Organisation
    Jede Verbindungsvereinbarung kann bestehende Objekte ändern, aber nur die primäre CA legt auch neue Objekte an. Es sollten niemals zwei CAs die gleichen Objekte als "primär" replizieren, da ansonsten Objekte zweimal angelegt werden könnten. Diese Einstellung gilt für die Replikation von Windows nach Exchange
  • Primary für Windows Domain
    Dies ist die Einstellung für die Rückrichtung von Exchange zum Active Directory. Auch hier darf jedes Objekt nur durch eine CA als primär behandelt werden.

Wenn sie keine CA als primär definieren, dann werden nie neue Elemente angelegt und ihr Verzeichnis dürfte "out of Sync" laufen.

  • Interorg CA
    Bitte aktivieren Sie diesen Punkt nur, wenn Sie genau getestet haben, was der ADC in ihrem Umfeld macht. Diese Einstellung erlaubt, dass der ADC zwei Verzeichnisse per LDAP synchronisiert, die NICHT in einer Organisation und einem Forest zusammengefasst sind. So könnten Sie z.B.: ihre Postfächer als Kontakte in einem anderen Active Directory Forest replizieren. Dies ist hilf z.B. Firmengruppen oder Partnerfirmen mit enger Kopplung zu einem einfachen Abgleich. Vollwertige Produkte sind z.B. MIIS (Microsoft Identity Integration Server) bzw. die früheren Metadirectory Services.
  • Create Disabled Windows Account
    Entdeckt der ADC in der Exchange 5.5 Quelle ein Postfach, dann sucht er das passende Windows Konto mit der gleichen SID, die auch am Exchange Postfach als "primäres Konto" eingetragen ist. Wenn dies nicht passt, dann muss der ADC einen "Platzhalter" anlegen. Das ist in der Regel ein deaktiviertes Konto. Sie könnten aber auch aktivierte Konten oder Kontakte anlegen lassen. In diesem Zusammenhang sollten Sie das Programm ADClean können..
  • Initial Replication: From Exchange
    Der ADC repliziert meistens bidirektional, d.h. ändern im AD und in Exchange werden entdeckt und übertragen. Genau genommen sind dies aber zwei Replikationen in je eine Richtung. Und hiermit wird bestimmt, welche Richtung zuerst ausgeführt wird.

Karteikarte Details

Hier ist Platz für ihre individuelle Dokumentation !! Sonst hat dieses Feld keine Bedeutung.

2.9 Konfiguration ADSIEDIT

Einige Einstellungen des ADC sind nicht über die GUI zu erreichen, sondern sind direkt mimt ADSI-Edit im Active Directory zu ändern. Hierzu zählt:

  • Q269843: XADM: ADC Overwrites Display Name with Exchange Server 5.5 Display Name Damit der ADC nicht den CN der Active Directory Objekte anpasst. CA-Properties: msExchServer1Flags=2
  • 250455 How to Change Display Names of Active Directory users
    So können Sie auch in der MMC das Standardverhalten anpassen
  • 277717 How to Change the Display Names of Active Directory users with Active Directory Services Interface Script
    Musterscript, wie sie bereits umbenannte Benutzer wieder zurück benennen können. Siehe auch Code RDNChance
  • 5 Things They Never Told You About the ADC
    http://www.winnetmag.com/MicrosoftExchangeOutlook/Article/ArticleID/9131/9131.html

Weitere Links