ADC Interorg

Eine eher selten genutzte Funktion des Active Directory Connector ist die Möglichkeit verschiedene Organisationen zu verbinden

Diese Funktion eignet sich nicht für die Verbindung von zwei Exchange 2000/2003 Organisationen !

Achtung:
Nutzen Sie auf jeden Fall den aktuellsten ADC, welchen Sie im Servicepack finden (z.B. Exchange 2003 SP2 oder neuer). ältere ADCs haben noch ein paar Bugs.

Installation

Zuerst müssen Sie den ADC wie gewohnt installieren. Am besten ist die Installation im Zielforest, da hier ja auch Exchange 2000/2003 installiert wird und damit die Schemaerweiterungen schon verfolgt sind oder sowieso erfolgen müssen. Das Setup starten Sie wie gewohnt mit SETUP.EXE von der CD. Es bietet sich an, gleichen den ADC aus dem aktuellen Servicepack zu nutzen. Dies ist zumindest beim Exchange 2003 SP2 eine Vollinstallation.

Der Installationsumfang sollte komplett sein:

Vielleicht haben Sie ja den ADC noch aus einer Exchange 5.5 nach Exchange 2000/2003 Migration auf einem System installiert. Dann können Sie natürlich auch diese Instanz nutzen.

Der Zielpfad ist normalerweise C:\Programme\MSADC und Sie sollten dem Dienst natürlich ein eigenes Dienstkonto geben. Dies ist zwar nicht zwingend das Konto, mit dem später auf die LDAP-Server zugegriffen wird, aber Sie sollten nicht den Administrator nehmen. Wenn Sie dessen Kennwort später mal ändern müssen, dann laufen auch der ADC und  viele andere Dienste mit dem gleichen Usernamen nicht mehr. Ein Postfach braucht dieser Benutzer nicht.

Das Dienstkonto für den ADC muss Mitglied der lokalen Administratorengruppe sein. Insofern sollten Sie den ADC vielleicht nicht auf einem Domain Controller installieren, weil das ADC-Konto damit dann auch Domänen Administrator wird.

Konfiguration Exchange 5.5 zum Active Directory/Exchange 2000/2003

Die eigentliche Konfiguration erfolgt dann wieder mit der MMC für den ADC. Zuerst werden wie gewohnt die beiden Server konfiguriert

ACHTUNG: Verwenden Sie hier IMMER nur Servernamen und keine IP-Adressen. Anscheinend sucht der ADC im LDAP-Pfad "o=ORG/ou=NT4DOM/cn=Configuration/cn=Servers/" nach dem hier angegebenen Servernamen in der Form cn=NT4PDC.
Wenn es den nicht gibt, dann kommt eine nicht weiterführende Fehlermeldung 80072030

Wichtig ist die Einstellung, dass es eine "Organisationsübergreifende Verbindungvereinbarung" ist.

Sollten Sie dies "vergessen", dann erkennen Sie dies spätestens beim Speichern and folgender Fehlermeldung:

Sobald dieses Option aktiviert ist, können Sie die  Verbindung natürlich nicht mehr bidirektional nutzen.

 

Sie müssen daher solch eine Verbindung immer unidirektional einrichten. Wenn Sie daher zwei Organisationen bidirektional verbinden wollen, dann benötigen Sie immer mindestens zwei Verbindungsvereinbarungen.

Sie müssen übrigens nicht darauf achten, dass Sie keine Schleifen bauen. Der ADC "weiss" schon, woher ein Objekt kommt und repliziert es nicht in einen anderen Container oder OU der Quelle zurück.

Und dann müssen Sie natürlich noch die Empfängercontainer spezifizieren, die Sie auf der einen Seite exportieren und auf der anderen Seite importieren wollen. (Hier am Beispiel Exchange 5.5 nach Exchange 2000/2003)

Beim Abspeichern komm natürlich auch hier der komplett ein Hinweis, der natürlich fehl am Platz ist:

Dieser Hinweis ist nur gültig, wenn der ADC bei einer Migration von Exchange 5.5 nach Exchange 2000/2003 innerhalb der gleichen Organisation eingesetzt wird.

Alle Empfänger aus den Quellcontainern unter Exchange 5.5 werden zu Kontakten im Active Directory

 

Der ADC übernimmt nicht nur die SMTP-Adresse als Zieladresse für den Kontakt, sondern auch die Proxy Adressen.

Im Detail übernimmt der ADC folgende Felder:

Exchange 5.5 Exchange 200x/Active Directory

primäre SMTP-Adresse (Proxy)

Wird zur Mailadresse des Kontakts

Proxy Addresses

 Proxy Addresses

Hier wird zusätzlich der LegacyExchangeDN der Quelle als X500-Adresse hinzugefügt.

Der ADC importiert die Einträge derart, dass der RUS nichts mehr zu tun hat. Allerdings bedeutet dies nicht, dass spätere Änderungen

Vorname

Vorname

Nachname

Nachname

Anzeigename

Anzeigename

Büro

Büro

Telefon

Rufnummer

Adresse

Straße

Ort

Ort

Region

Bundesland/Kanton

PLZ

PLZ

Telefon Privat 2

Rufnummer

Funkruf

Pager

Mobil

Mobil

Fax

Fax

Anmerkung

Anmerkung

Titel

Position

Abteilung

Abteilung

Firma

Firma

Vorgesetzter

Vorgesetzter

Mitglied von

Mitgliedschaften in Verteilern werden NICHT übernommen.
Dies ist nicht möglich, da die Verteiler selbst nur Kontakte sind.

Benutzerdefinierte Attribute 1-10

Benutzerdefinierte Attribute 1-10.  11-16 gibt es in Exchange 5.5 nicht.

Grenzwert für empfangene Nachrichten

Grenzwert für empfangene Nachrichten

Staat

Wird nicht übernommen

Sekretariat

Wird nicht übernommen

Empfangsbeschränkungen

Wird nicht übernommen

Mitarbeiter

Wird nicht übernommen

Eventuell werden noch andere Felder übernommen bzw. im Ziel gelöscht. Angaben ohne Gewähr.

Wenn Sie dann direkt per LDAP den Kontakt genauer anschauen, dann sehen Sie dass auch "ProtocolSettings" und andere Felder repliziert werden, die für einen Kontakt überhaupt keine Bedeutung haben. ADSIEDIT zeigt auch, das auch hier mit ADCGlobalNames eine Verbindung abgespeichert wird.

Das ist auch der Grund dafür, dass der ADC solch einen Kontakt über ein anderes CA nicht wieder in die Quelle zurück repliziert.

Konfiguration Exchange 2000/2003 nach Exchange 5.5

Auch umgekehrt kann der ADC aus jedem Mailempfänger im Active Directory einen Kontakt unter Exchange 5.5 anlegen. Hier die entsprechenden Einstellungen:

Auch auf dem Rückweg werden die Felder übernommen. Dabei werden aus den Benutzern im Active Directory entsprechend "Benutzerdefinierte Empfänger" in Exchange 5.5. Die OU-Struktur aus dem AD wird in Exchange 5.5 als Empfängercontainer angelegt und auch Verteiler werden natürlich zu Kontakten.

Feinheiten hinter den Kulissen

Manchmal ist das gute alte Diagnoseprotokoll eine wertvolle Hilfe auf der Suche nach Hintergründen. Der ADC protokolliert dann fast jede Aktion im Eventlog mit. So finden sich dann folgende einträgen

Ereignistyp:	Informationen
Ereignisquelle:	MSADC
Ereigniskategorie:	LDAP-Operationen 
Ereigniskennung:	8011
Datum:		23.04.2006
Zeit:		21:28:06
Benutzer:		Nicht zutreffend
Computer:	SRV01
Beschreibung:
Verzeichnis NT4PDC an Basis 'o=ORG' wird mit dem Filter '(proxy-addresses=X500:ADCDeleteWhenUnlinked)'
durchsucht; die Attribute MemberOf; ObjectClass; home-mdb; Instance-Type; member werden angefordert.
(Verbindungsvereinbarung 'InterOrg E200x -> EX55' #4608) 
Weitere Informationen finden Sie unter http://www.Microsoft.com/contentredirect.asp.

Für mich bedeutet das, dass sich der ADC in den Proxy Adressen mit einem "geschützten" Begriff "X500:ADCDeleteWhenUnlinked" merkt, ob er diese Objekte löschen soll, wenn diese nicht mehr verknüpft sind.

Weiterhin sieht man in den Eventlogs, dass der ADC sowohl über die USN nach geänderten Objekten als auch in "Deleted Objects" nach gelöschten Objekten sucht. Das bedeutet aber auch, dass der ADC mindestens einmal innerhalb des Tombstone Zeit laufen muss, damit der Abgleich nicht außer Tritt gerät.

Einschränkungen und Probleme

Ws nichts kostet kann auch nichts sein. Auch wenn das für den ADC nicht stimmt, sie benötigen ja eine Windows oder Exchange Lizenz, so gibt es doch einige Einschränkungen im Betrieb.

  • Begrenzte Anpassung an eigene Umsetzungen
    Der ADC kann über Mapping-Dateien natürlich schon etwas gesteuert werden, welche Felder in welche andere Felder übernommen werden. Aber diese Anpassungen sind dennoch begrenzt und nicht mit der Leistung eines Metadirectories zu vergleichen.
  • Geringe Ausfalllogik
    Sie müssen schon mehrere ADC-Verbindungsvereinbarungen einrichten. Leider unterstützt der ADC nicht mehrere DC oder Exchange Server als Quelle und Ziel um auch hier einen "Failover" durchzuführen. Bedenken Sie bei der Einrichtung mehrerer CA's, dass immer nur eine davon "Primär" sein darf und muss. Diese ist die einzige CA, die neue Objekte im Ziel anlegt.
  • Kein GAL-Export
    Wenn ihr Active Directory mehrere Domänen hat, dann müssen Sie jede Domäne explizit als Quelle konfigurieren. Ein Export der GAL aus Exchange 2000/2003 in Kontakte der Exchange 5.5 Seite ist nicht möglich.
  • SMTP Adressumschreibungen
    Leider sind auf diesem Weg keine umfangreichen SMTP-Adressumschreibungen möglich. Wenn Sie also mehrere Exchange Organisationen mit gemeinsamen Adressraum haben oder andere Konstrukte zur Verbindung planen, dann kann es sein, dass der ADC ihnen nicht weiter hilft.
  • Kein Offline Betrieb
    Der ADC muss eine Online Verbindung zu beiden Diensten aufbauen können. Sie können keine Replikation per MAIL oder über Dateien durchführen. Damit ist der ADC nicht geeignet, um z.B. die Adressen von Partnern oder Zulieferern in die eigene Organisation zu übernehmen.
  • Keine AD <-> AD-Replikation, d.h. Existenz auf Zeit
    Spätestens wenn auch die letzte Exchange 5.5 Umgebung auf Exchange 2000/2003 migriert ist, müssen Sie sich für die Verbindung von Organisationen andere Hilfsmitteln zum Abgleich suchen und der ADC wird dann noch noch in der Erinnerung einiger Administratoren weiterleben.
    Bereiten Sie sich daher auf diesen Fall vor, dass die Exchange 5.5 Seite umgestellt wird

Ansonsten kann ich den ADC als saubere kostenfreie und effektive Lösung sehr gut empfehlen

Weitere Links