Active Directory Connector Grundlagen

Der Active Directory Connector (ADC) ist ein Stück Software, welche den Abgleich zwischen zwei Verzeichnisdiensten per LDAP erlaubt. Meist wird der ADC dazu eingesetzt, ausgewählte Informationen zwischen dem Exchange 5.5 Verzeichnis und dem Windows 2000 Active Directory zu synchronisieren. Dass das alles nicht so einfach ist, kann ihnen der Ausflug Active Directory Connector Probleme und der Blick in die Tiefen aufzeigen.

Wann brauche ich den ADC

Es gibt mehrere Szenarien, wofür sie den ADC benutzen können. Die häufigsten sind folgende:

• Exchange 5.5 Administration mit Active Directory verbinden
  Sie können im AD Benutzer pflegen und die Änderungen werden auch in Exchange 5.5 aktualisiert und umgekehrt. Verteiler in Exchange können zugleich Sicherheitsgruppen unter Windows sein etc.
• Migration und Koexistenz mit Exchange 2000
  Der ADC ist immer dann zu installieren, wenn man von Exchange 5.5. auf Exchange 2000 gehen will oder Exchange 5.5 parallel mit dem AD betreiben will und eine gemeinsame Administration braucht.
• Replikation mit anderen Verzeichnisdiensten
  Der ADC kann per LDAP auch anderer Verzeichnisse synchronisieren. Dies ist aber ein seltener genutzter Einsatzfall.

Sie brauchen den ADC nicht, wenn sie eine reine Exchange 2000 Umgebung neu aufbauen.

Welchen ADC nehmen ?

Es gibt zwei Ausgaben des Active Directory Connector. Es ist wichtig, den "richtigen" zu installieren:

• ADC der Windows 2000 Server CD
  Wenn Sie den ADC nur nutzten wollen, um ihre bestehende Exchange 5.5. Umgebung mit dem AD von Windows 2000 zu koppeln, dann reicht dieser AD aus. In der Regel haben sie auch gar keine andere Version
• ADC der Exchange 2000 Server CD
  Dieser ADC enthält die Funktion der einfachen ADC, aber ergänzt um Funktionen, um Benutzer von Exchange 5.5 nach Exchange 2000 zu umzustellen.
• ADC aus dem Service Pack
  Im Exchange 2000 SP1 ist ebenfalls ein ADC enthalten.

Wenn Sie auf Exchange 2000 umstellen möchten, dann sollten Sie die aktuellste Version des ADC nutzen. Diesen finden Sie im Service Pack Installation. Aber auch wenn Sie "nur" Windows 2000 mit Exchange 5.5 nutzen, sollten Sie die Fehler älterer Versionen durch den Einsatz der aktuellsten Version vermeiden

Installation

Sie installieren den ADC einfach auf einem Windows 2000 in ihrem Netzwerk. Es ist dabei eigentlich völlig egal, ob dieser Server in Domain Controller ist oder nicht, wenn die gesamte Kommunikation erfolgt per LDAP. Allerdings wird das Setup das Schema ihres AD um einige Exchange Felder erweitern und daher müssen Sie bei der Installation das Recht haben, das Schema zu ändern (Schema Administrator). Nutzen Sie am besten den ADC aus dem Exchange 2000 SP1, auch wenn Sie noch gar nicht Exchange 2000 einsetzen wollen, weil es die aktuellste Version mit weniger Fehlern ist.

Nach der Installation haben Sie einen Dienst und die notwendigen MMC-Konsole, aber noch nichts konfiguriert. Sie müssen dann die gewünschten Verbindungsvereinbarungen einrichten.

Sie können den ADC auch auf mehreren Servern installieren und sogar redundante Verbindungsvereinbarungen installieren, so dass der Ausfall eines Servers nicht so tragisch ist. Aber diese Konfiguration ist nicht in wenigen Worten hier beschrieben. Ebenso wenig, wenn Sie mehrere OUs und Empfängercontainer betreiben.

Wann sollte ich nun den ADC installieren ?. Am Beispiel einer normalen Migration sehen Sie sehr schnell, wann der ADC ins Spiel kommt. Lesen Sie hierzu auch die Informationen auch der Exchange 2000 - Update Seite.

• NT4 Domäne
  Die ist in der Regel schon da, bzw. wer keine Domäne hat, kann auch kein Exchange 5.5. installieren. Dieser Schritt liegt meist schon einige Jahre zurück.
• Exchange 5.5
  kann erst installiert werden, wenn die NT4 Domäne oder eine Windows 2000 Domäne (siehe Exchange 5.5 auf Windows 2000 Installation und Betrieb) vorhanden ist. Meist ist aber auch Exchange 5.5 schon einige Monate im Betrieb.
• Windows 2000 AD
  Ehe Sie nun Exchange 2000 starten können, ist ein Active Directory notwendig. Dies kann über ein Update des bestehenden NT4 PDCs oder über eine zweite neue Domäne mit Trusts erreicht werden.
• ADC
  Wenn Sie Exchange 5.5. betreiben, ist eine Kopplung des Exchange 5.5 Verzeichnis mit dem Active Directory Sinnvoll. Außer der Installation des ADC sind zumindest die Verbindungsvereinbarungen (CA = Connection Agreements) für Benutzer und Verteiler mit W2K Zieldomäne im Native Mode zu konfigurieren und die Funktion zu prüfen.
• Exchange 2000
  installiert ADC Config CA. Achtung bei E2K Cluster, da ADC nicht Clusteraware ist, also einen normalen E2K Server zuerst installieren stellen.

Später können Sie dann Exchange 5.5 nach und nach deinstallieren und am Ende den ADC wieder entfernen. bei einer reinen Windows 2000  und Exchange 2000 Umgebung benötigen Sie keinen ADC.

ADC und NTDSNOMATCH

In Exchange 5.5 war es üblich, für Ressourcen Mailboxen (Support, Vertrieb, Beamer, Besprechungsräume etc.) eigene Postfächer anzulegen und einen Benutzer als "primären" Account zu nehmen. Das macht bei der Replikation mit dem ADC Probleme, da nun je nach Reihenfolge vielleicht das "falsche" Postfach dem Windows 200 Benutzer zugewiesen wird. Dann müssen sie von hand die Zuordnung korrigieren. Siehe "Q256862 XADM: How to Correct Mismatched Accounts After Active Directory Connector Replication".

Besser ist es hier, von vorneherein die Probleme zu vermeiden. Dazu kennt der ADC das Hilfsmittel "NTDSNOMATCH". Diesen Text tragen Sie im Exchange 5.5 Administrator in das Custom Attribute 10 des Ressourcen Postfachs ein. Dadurch wird der ADC angewiesen, für dieses Postfach IMMER einen neuen deaktivieren Benutzer anzulegen und nicht nach bestehenden Benutzern zu suchen. So wird nebenbei sichergestellt, dass das eigentliche Postfach des Anwenders auch dem Windows 2000 Benutzer zugewiesen wird.

Siehe auch Q274173 XADM: Documentation für the NTDSNoMatch utility und Exchange Tools und Hilfsprogramme.

Hinweise zum Betrieb

Der ADC ist nicht einfach installiert und "vergessen" sondern ein permanenter Prozess, der zuverlässig und dauerhaft laufen muss, um während der Migration von Exchange 5.5 nach Exchange 2000 problemlos die Verzeichnisdienste zu replizieren.

Als Grundregeln können gelten:

• Überlegen Sie sich vorher was wie repliziert werden soll.
  Zu viele Elemente und erhöhen die Replikationslast
  Zu wenig bewirken eine teilweise unzustellbarkeit von Nachrichten, weil nicht alle Empfänger für beiden Welten bekannt sind
• Vermeiden Sie umfangreiche umstrukturierungen im Migrationsprozess
  Es kann sonst passieren, dass bestimmte CA's fehlen und Änderungen an diesen Benutzer nicht mehr vom ADC "erkannt" werden und damit ihr Verzeichnis aus dem Ruder löäuft.
• Kontrollieren Sie die Funktion des ADC
  Anhand Eventlog und Errordateien ist eine gute Kontrolle möglich. Eventuell lohnen sich zusätzliche Skripte zur Funktionskontrolle. Siehe auch Exchange 2000 Active Directoy Connector Profi.
• Löschen Sie niemals Benutzer oder Exchange Eigenschaften
  ohne alle Auswirkungen zu können. Sie können nicht einfach mal einen Benutzer löschen und "erneut" replizieren.
• ändern Sie nie die ADC Einstellungen
  ohne die Auswirkungen zu können. Der ADC ist kein Spielzeug und es gibt keinen Assistenten oder allzu ausgefeilte Logik um menschliche Fehler zu "korrigieren". Der ADC tut genau, was man ihm sagt.

Viele kleine Firmen mit einem Exchange 5.5 Standort und einer Active Directory Domäne haben diese Probleme meist nicht. Aber sobald mehrere Exchange 5.5. Standorte und Empfängerkontainer und Domänen und Organisationseinheiten zusammen kommen, ist KnowHow überlebenswichtig.

Diagnose

Die Funktion des ADC kann mit dem Diagnoseprotokoll und im Eventlog überwacht werden. Siehe auch

• Diagnoseprotokoll ADC
• Überwachungspraxis - Eventlog
• Produkte: NTSyslog

Microsofts Hinweise

Microsoft hat natürlich auch intern die Umstellung durchgeführt und dabei jede Menge Erfahrungen gesammelt. In Kürze fand ich folgende Zusammenfassung:

Lessions learned:
Synchronize the entire Exchange 5.5 site instead of synchronizing individual recipient containers. Choosing the entire Exchange 5.5 site as the source and target of the CA on the Exchange Server, and also choosing the Active Directory domain as the source and target on the Active Directory side of a two-way CA effectively synchronizes the Exchange 5.5 recipient container hierarchy with the ou hierarchy in Windows 2000. The ou hierarchy or the location of individual recipients created in Active Directory by the ADC can be changed at a later time.

• http://www.Microsoft.com/technet/prodtechnol/exchange/deploy/rollout/wininteg.asp?frame=true
• http://www.Microsoft.com/technet/treeview/default.asp?URL=/TechNet/prodtechnol/windows2000serv/reskit/deploy/part5/chapt-20.asp
• Chapter 3 - Deploying the Active Directory Connector http://www.Microsoft.com/technet/prodtechnol/exchange/2000/deploy/upgrademigrate/series/deploymentguide/d_03_tt1.mspx
• Understanding and Deploying Exchange 2000 Active Directory Connector
  http://www.Microsoft.com/technet/prodtechnol/exchange/2000/library/udadc.mspx

Links:

• BPOS Dokumentation und Handbuch (Kapitel 16 upgrade und Koexistenz)
• ADC Deployment Guide
  http://www.Microsoft.com/technet/prodtechnol/exchange/deploy/depopt/ex2kadc.asp
• Q226324 XADM: Active Directory Connector Replication Cycle
• Q249817 XADM: ADC Service Account Requirements
• Q250455 XADM: How to Change Display Names of Active Directory Users
• Q253286 XADM: ADC Installation Requirements
• Q253800 XADM: ADC May Create Duplicate Objects in Active Directory
• Q253834 XADM: Syntax of Active Directory Connector Schema Map Files
• Q253840 XADM: When the ADC Commits Changes to Active Directory
• Q253841 XADM: Troubleshooting ADC Replication Issues
• Q256862 XADM: How to Correct Mismatched Accounts After Active Directory Connector Replication
• Q259396 XADM: How to Set Diagnostic Logging für the Active Directory Connector
• Q260745 XADM: using the LDP utility to Modify Active Directory Object Attributes
• Q261227 XADM: Exchange 2000 Servers Not Replicated to Exchange Directory
• Q262200 XADM: unable to See Membership of Global Distribution List
• Q262212 How to Set up the ADC Connection Agreement
• Q264889 XADM: Public Folder Connection Agreements
• Q266147 XADM: How to Re-create a Configuration Connection Agreement
• Q267564 XADM: How to Install Only the ADC MMC
• Q269843 XADM: ADC Overwrites Display Name with Exchange Server 5.5 Display Name
• Q274173 XADM: Documentation für the NTDSNoMatch utility
• Q276429 XADM: Active Directory Connector Deletes All Groups in Member of
• Q276440 XADM:Using CSVDE.EXE to Backup and Restore Connection Agreements
• Q278403 XADM: Name of the Distribution List Is Truncated in the Pre-Windows 2000 Box
• Q278888 XADM: How to Associate an Exchange 2000 Mailbox with a Windows NT 4.0 Account
• Q279748 XADM: Error c10361df Occurs When Installing Active Directory Connector
• Q280354 XADM: NTDSNomatch Does Not Work with SID History
• 281223 understanding Connection Agreements in Exchange
• Q282217 XADM: ADC Creates Mail-Disabled Object
• Q288084 XADM: How to Change the Description Set on Disabled Users by the ADC
• Q288776 XADM: How to Recover When the Server Running ADC Is unavailable
• Q291170 XADM: Exchange Server 5.5 Users Cannot See Exchange 2000 Mailboxes in the Global Address List
• Q296260 XGEN: How to Configure a Two-Way User Connection Agreement
• 297016 XADM: You Must use a Native-Mode Windows 2000 Domain für Exchange 2000
• Q297987 XADM: RUS Creates Duplicate Secondary SMTP Addresses
• Q300144 XADM: Exchange 2000 Recipients That You Add to an Exchange Server 5.5 DL Are Not Visible in the DL in Active Directory
• Q303180 XADM: Active Directory Connector Connection Agreement Requirements für Mixed Administrator Groups
• Q309222 XADM: ADClean Sets "msExchMasterAccountSID" on Enabled Users
• Q309243 XADM: NTDSnoMatch Causes ADC Event 8281 w/Duplicate SID
• Q316047 XADM: How to Enable Disabled Accounts That the ADC Creates
• Q316280 XADM: A Description of the "ADC Global Names" Attribute
• Q317721 XADM: Exchange Server 5.5 Mailbox Owner Rights Are Removed When You Change the ADC Connection Agreement from a One-Way Connection Agreement to a Two-Way Connection Agreement
• Q317861 XADM: Exchange Server 5.5 Users Cannot Log On to Their Mailboxes After Active Directory Connector Replication
• Q319474 XADM: How to Remove the ADC Global Names Attribute from Exchange 5.5 Server Recipients
• Q820554 XCON: An Incorrect E-Mail Address Is Stamped on a Recipient That You Create in a Mixed Mode Exchange Organization
• 823601 Active Directory Connector requirements and implications throughout an organization
• 827619 A Connection Agreement does not replicate data from Exchange 2000 Server to Exchange Server 5.5
• 830832 "User name could not be found" error message when you upgrade an Exchange 2000 Server ADC to an Exchange Server 2003 ADC
• 316047 ADC mit NT4 XADM: Addressing Problems That Are Created When You Enable ADC-Generated Accounts
• 825916 Exchange 2000 Active Directory Connector Does Not Successfully Replicate Changes to Group Membership in Windows Server 2003 Active Directory in Forest Functional Levels 1 or 2
• 822589 How the Exchange 2003 Active Directory Connector Setup Process Updates the Schema
• www.Microsoft.com/exchange wirklich gute Informationen
• www.exchange-faq.de/activedi.htm Info wie man User beim Create benennt