Active Directory Connector FAQ

Auf mehreren Seiten finden Sie umfangreiche Informationen über den ADC (siehe ADC-Grundlagen, ADC-Probleme, ADC-Advanced, ADCDetails, ADClean, ADCTools). Aber oft wird eine Funktion erst klar, wenn die verschiedenen administrativen Tätigkeiten und deren Auswirkung verstanden werden.

Im folgenden wird davon ausgegangen, dass ein Exchange 5.5 Standort mit einer Active Directory Domäne mittels einer CA verbunden ist und weiterhin ein CA für öffentliche Ordner besteht

Betrachtet wird zuerst die Administration von Benutzern, Verteilern und Ordnern aus der Exchange 2000/2003 und Active Directory Sichtweise und dann die Veränderungen mit dem Exchange 5.5 Administrator.

Benutzeradministration unter Windows/Exchange 2000/2003

Aktion

Reaktion

Neuer Benutzer ohne Mailadresse oder Exchange wird angelegt

ADC ignoriert den Anwender

Neuer Benutzer wird mit Mailadresse anlegt (kein Exchange !)

ADC ignoriert den Anwender

Neuer Benutzer wird "Exchange Mailaktiviert"

ADC erkennt den Benutzer mit Mailadresse. Outlook auf Exchange 2000 sieht den Benutzer im Adressbuch. ADC repliziert den Anwender als Kontakt nach Exchange 5.5.

Neuer Benutzer wird Exchange Mailbox aktiviert (Postfach)

ADC repliziert den Eintrag. Benutzer taucht als „Postfach“ in Exchange 5.5 auf.

Mailadresse des Benutzers wird geändert

ADC repliziert die Änderungen

Benutzer in andere OU verschoben, die vom ADC mit überwacht wird

Keine Probleme. ADC findet auch die neuen Änderungen und aktualisiert den Exchange 5.5. Eintrag

Benutzer in andere OU verschoben, die vom ADC NICHT überwacht wird.

ACHTUNG: Der ADC „findet“ keine Änderungen mehr von Windows nach Exchange und aktualisiert den Benutzer nicht. Umgekehrt wird der Benutzer noch gefunden und aktualisiert, wenn das ADC Konto ausreichend Rechte hat.

Benutzer in andere Domäne verschoben, die vom ADC überwacht wird.

Der ADC erkennt den Benutzer und dessen Zuordnung anhand des ADC-Global-Name. Änderungen finden aber nur dann statt, denn eine entsprechende CA auch die Verbindung herstellt und berechtigt ist.

Benutzer in andere Domäne verschoben, die vom ADC NICHT überwacht wird.

Der ADC „findet“ keine Änderungen mehr von Windows nach Exchange und aktualisiert den Benutzer nicht. Umgekehrt wird der Benutzer noch gefunden und aktualisiert.

Benutzer wird Exchange Deaktiviert oder gelöscht

ADC erkennt dies und würde das Postfach in Exchange 5.5 löschen, wenn der ADC auf „DELETE“ gestellt ist.

Ist er auf KEEP gestellt, dann wird das Postfach NICHT gelöscht und in die EX55.CSV-Datei geschrieben. Der Exchange Administrator muss manuell diese Diskrepanz lösen !!. Exchange 2000 user sehen den Benutzer nicht mehr. Exchange 5.5. sehen das Postfach noch, obwohl es den Benutzer nicht gibt.

Ist es ein Exchange 2000 Postfach, bleibt die Mailbox ca. 30 Tage in der Datenbank erhalten (Reconnect möglich)

Benutzer mit Mailbox wird kopiert

Die Kopie hat eine Kopie des Homeservers erhalten. Demnach bekommt auch die Kopie nach kurzer Zeit durch den RUS eine Mailadresse und wird entsprechend angelegt.

Ohne Exchange 2000/2003 repliziert der ADC aber auch den Eintrag nach Exchange 5.5, so dass der Benutzer ein Postfach auf Exchange 5.5 bekommt und diese Daten dann auch wieder zurück repliziert werden.

Verteileradministration unter Windows

Aktion

Reaktion

Verteiler wird angelegt

ADC ignoriert den Verteiler

Verteiler wird mit Mailadresse versehen

ADC ignoriert den Verteiler

Verteiler wird „Exchange aktiviert“

Der ADC legt abhängig von der Administrativen Gruppen und den Einstellungen (LegacyExchangeDN) einen Verteiler in Exchange 5.5. an.
Der RUS vergibt Mailadressen. Manuelle Adressen sollten erst danach hinzugefügt werden. (-> AWDSMTPFIX.VBS)

Änderung der Mitgliedschaften

ADC repliziert die Mitglieder, sofern diese Exchange aktiviert sind.

Verteiler wird Exchange „disabled“ oder gelöscht

Ein auf "keep" eingestellter ADC vermerkt den Löschbefehl in der EX55.CSV. Der Administrator muss manuell in Exchange 5.5 die Änderungen nachpflegen.

Ansonsten löscht der ADC den Verteiler.

Verteiler wird zu einer Sicherheitsgruppe

Keine Veränderung. Exchange 2000/2003 selbst konvertiert Verteiler zu Sicherheitsgruppen, wenn diese in öffentlichen Ordner zur Berechtigung genutzt werden

öffentliche Order Administration unter Windows

öffentliche Ordner können nur mit dem Exchange System Manager angelegt werden und nicht mit der MMC für Benutzer und Computer.

Aktion

Reaktion

Ordner wird im ESM mailaktiviert

ADC repliziert den Eintrag in das Verzeichnis

öffentlicher Ordner sind immer mailaktiviert, solange ein Exchange 5.5 Server betrieben wird.

Benutzeradministration in Exchange 5.5

Viele administrative Tätigkeiten können auch im Exchange 5.5 Administrator durchgeführt werden.

Aktion

Reaktion

Neues Postfach wird angelegt

ADC sucht zum den primären Windows Account im AD um diesen zu matchen. Existiert dieser, werden die Attribute gematched.

Ist das primäre Konto ein NT4-Konto, wird ein deaktiviertes Konto eingerichtet und das NT4 Konto als „Associated external Account“ eingetragen. Das Konto kann nicht im gleichen Forest sein ! Dies kann auch passieren, wenn Sie mit dem Exchange 5.5 ein Postfach anlegen und der ADC den Eintrag replizieren will, aber das primäre NT-Konto auch so neu ist, dass der ADC es noch nicht auf seinem Domain Controller findet. Das ist dann ein Fall, um hinterher das deaktivierte Konto mit dem realen Benutzerkonto mit ADClean zusammen zu führen.

Mailadresse des Benutzers wird geändert, Benutzer wird unsichtbar gemacht, Mitgliedschaften werden verändert.

ADC repliziert die Änderungen zum Active Directory Account.

Postfach wird gelöscht

ADC erkennt dies und würde die Exchange Eigenschaften im AD entfernen wenn der ADC auf „DELETE“ gestellt ist. Deaktivierte Benutzer würden komplett gelöscht. Zusätzlich setzt  er das Feld LegacyExchangeDN auf "ADCDisabledMailByADC"

Ist der ADC auf KEEP gestellt, dann werden die Attribute im AD trotzdem gelöscht. Nur deaktivierte Konten werden nicht gelöscht und in die WIN2000.LDF Datei geschrieben. Der Active Directory Administrator muss die Informationen von Hand nachstellen. Exchange 2000 user sehen die Benutzer zwar nicht mehr, aber das Konto bleibt bestehen.

Benutzer in andere OU verschoben, die vom ADC mit überwacht wird

Ein Verschieben ist in Exchange 5.5 nicht möglich und entspricht einen Export, Löschen, Neuanlegen, Import. Der ADC führt genau diese Änderungen in der Reihenfolge auch durch.

Primäres Konto wird geändert

Sollte nicht gemacht werden. !!

Der ADC wird die beiden Verzeichniseinträge anhand des "msExchADCGlobalNames" weiterhin miteinander verknüpfen, aber für sie wird die Umgebung nicht einfacher. Der Benutzer kann auf Exchange 5.5 mit dem neuen Konto zugreifen aber muss nach der Migration das andere Anmeldekonto nutzen. Ich habe nicht weiter getestet, ob der ADC vielleicht die Berechtigungen und das neue Konto als "Postfachbesitzer" zusätzlich einträgt. Ich kann nur vor dieser Änderung warnen. User sollten statt dessen mit ADMT migriert werden und dann im AD mit ADCLEAN zusammengeführt werden.

Verteileradministration in Exchange 5.5

öffentliche Ordner können nur mit dem Exchange System Manager angelegt werden und nicht mit der MMC für Benutzer und Computer.

Aktion

Reaktion

Verteiler wird angelegt

ADC legt einen Verteiler/Sicherheitsgruppe im AD an (Default Destination Container). ADC versucht anhand des Exchange Alias einen bestehenden Verteiler zu matchen.

Änderung der Mitgliedschaften, Verborgen, Mailadressen

ADC repliziert die Mitglieder, sofern diese Exchange aktiviert sind.

Verteiler wird gelöscht

ADC LöSCHT die Gruppe.!!!, wenn Delete aktiv ist

Wir der ADC auf „KEEP“ gestellt, wird nichts gelöscht. Der Administrator muss von Hand die Exchange Properties von der Gruppen entfernen. Der ADC schreibt die Löschbefehle in eine LDF-Datei

öffentliche Order Administration in Exchange 5.5

öffentliche Ordner können bei Exchange 5.5 nur mit Outlook angelegt werden. Sie erhalten automatisch eine Mailadresse. Mit dem Exchange Administrator können nur Mailadressen gepflegt werden.

Aktion

Reaktion

ändern der Mailadresse

ADC repliziert den Eintrag in das AD

Soweit eine Kurze Abhandlung einiger ausgewählter Replikationsfälle.

Weitere Links