Active Directory Connector FAQ
Auf mehreren Seiten finden Sie umfangreiche Informationen über den ADC (siehe ADC-Grundlagen, ADC-Probleme, ADC-Advanced, ADCDetails, ADClean, ADCTools). Aber oft wird eine Funktion erst klar, wenn die verschiedenen administrativen Tätigkeiten und deren Auswirkung verstanden werden.
Im folgenden wird davon ausgegangen, dass ein Exchange 5.5 Standort mit einer Active Directory Domäne mittels einer CA verbunden ist und weiterhin ein CA für öffentliche Ordner besteht
Betrachtet wird zuerst die Administration von Benutzern, Verteilern und Ordnern aus der Exchange 2000/2003 und Active Directory Sichtweise und dann die Veränderungen mit dem Exchange 5.5 Administrator.
Benutzeradministration unter Windows/Exchange 2000/2003
Aktion |
Reaktion |
Neuer Benutzer ohne Mailadresse oder Exchange wird angelegt |
ADC ignoriert den Anwender |
Neuer Benutzer wird mit Mailadresse anlegt (kein Exchange !) |
ADC ignoriert den Anwender |
Neuer Benutzer wird "Exchange Mailaktiviert" |
ADC erkennt den Benutzer mit Mailadresse. Outlook auf Exchange 2000 sieht den Benutzer im Adressbuch. ADC repliziert den Anwender als Kontakt nach Exchange 5.5. |
Neuer Benutzer wird Exchange Mailbox aktiviert (Postfach) |
ADC repliziert den Eintrag. Benutzer taucht als „Postfach“ in Exchange 5.5 auf. |
Mailadresse des Benutzers wird geändert |
ADC repliziert die Änderungen |
Benutzer in andere OU verschoben, die vom ADC mit überwacht wird |
Keine Probleme. ADC findet auch die neuen Änderungen und aktualisiert den Exchange 5.5. Eintrag |
Benutzer in andere OU verschoben, die vom ADC NICHT überwacht wird. |
ACHTUNG: Der ADC „findet“ keine Änderungen mehr von Windows nach Exchange und aktualisiert den Benutzer nicht. Umgekehrt wird der Benutzer noch gefunden und aktualisiert, wenn das ADC Konto ausreichend Rechte hat. |
Benutzer in andere Domäne verschoben, die vom ADC überwacht wird. |
Der ADC erkennt den Benutzer und dessen Zuordnung anhand des ADC-Global-Name. Änderungen finden aber nur dann statt, denn eine entsprechende CA auch die Verbindung herstellt und berechtigt ist. |
Benutzer in andere Domäne verschoben, die vom ADC NICHT überwacht wird. |
Der ADC „findet“ keine Änderungen mehr von Windows nach Exchange und aktualisiert den Benutzer nicht. Umgekehrt wird der Benutzer noch gefunden und aktualisiert. |
Benutzer wird Exchange Deaktiviert oder gelöscht |
ADC erkennt dies und würde das Postfach in Exchange 5.5 löschen, wenn der ADC auf „DELETE“ gestellt ist. Ist er auf KEEP gestellt, dann wird das Postfach NICHT gelöscht und in die EX55.CSV-Datei geschrieben. Der Exchange Administrator muss manuell diese Diskrepanz lösen !!. Exchange 2000 User sehen den Benutzer nicht mehr. Exchange 5.5. sehen das Postfach noch, obwohl es den Benutzer nicht gibt. Ist es ein Exchange 2000 Postfach, bleibt die Mailbox ca. 30 Tage in der Datenbank erhalten (Reconnect möglich) |
Benutzer mit Mailbox wird kopiert |
Die Kopie hat eine Kopie des Homeservers erhalten. Demnach bekommt auch
die Kopie nach kurzer Zeit durch den RUS eine Mailadresse und wird
entsprechend angelegt. Ohne Exchange 2000/2003 repliziert der ADC aber auch den Eintrag nach Exchange 5.5, so dass der Benutzer ein Postfach auf Exchange 5.5 bekommt und diese Daten dann auch wieder zurück repliziert werden. |
Verteileradministration unter Windows
Aktion |
Reaktion |
Verteiler wird angelegt |
ADC ignoriert den Verteiler |
Verteiler wird mit Mailadresse versehen |
ADC ignoriert den Verteiler |
Verteiler wird „Exchange aktiviert“ |
Der ADC legt abhängig von der Administrativen Gruppen und den Einstellungen (LegacyExchangeDN) einen Verteiler in Exchange 5.5.
an. |
Änderung der Mitgliedschaften |
ADC repliziert die Mitglieder, sofern diese Exchange aktiviert sind. |
Verteiler wird Exchange „disabled����� oder gelöscht |
Ein auf "keep" eingestellter ADC vermerkt den Löschbefehl in der
EX55.CSV. Der Administrator muss manuell in Exchange 5.5 die Änderungen nachpflegen. Ansonsten löscht der ADC den Verteiler. |
Verteiler wird zu einer Sicherheitsgruppe |
Keine Veränderung. Exchange 2000/2003 selbst konvertiert Verteiler zu Sicherheitsgruppen, wenn diese in öffentlichen Ordner zur Berechtigung genutzt werden |
öffentliche Order Administration unter Windows
öffentliche Ordner können nur mit dem Exchange System Manager angelegt werden und nicht mit der MMC für Benutzer und Computer.
Aktion |
Reaktion |
Ordner wird im ESM mailaktiviert |
ADC repliziert den Eintrag in das Verzeichnis |
öffentlicher Ordner sind immer mailaktiviert, solange ein Exchange 5.5 Server betrieben wird.
Benutzeradministration in Exchange 5.5
Viele administrative Tätigkeiten können auch im Exchange 5.5 Administrator durchgeführt werden.
Aktion |
Reaktion |
Neues Postfach wird angelegt |
ADC sucht zum den primären Windows Account im AD um diesen zu matchen. Existiert dieser, werden die Attribute gematched. Ist das primäre Konto ein NT4-Konto, wird ein deaktiviertes Konto eingerichtet und das NT4 Konto als „Associated external Account“ eingetragen. Das Konto kann nicht im gleichen Forest sein ! Dies kann auch passieren, wenn Sie mit dem Exchange 5.5 ein Postfach anlegen und der ADC den Eintrag replizieren will, aber das primäre NT-Konto auch so neu ist, dass der ADC es noch nicht auf seinem Domain Controller findet. Das ist dann ein Fall, um hinterher das deaktivierte Konto mit dem realen Benutzerkonto mit ADClean zusammen zu führen. |
Mailadresse des Benutzers wird geändert, Benutzer wird unsichtbar gemacht, Mitgliedschaften werden verändert. |
ADC repliziert die Änderungen zum Active Directory Account. |
Postfach wird gelöscht |
ADC erkennt dies und würde die Exchange Eigenschaften im AD entfernen wenn der ADC auf „DELETE“ gestellt ist. Deaktivierte Benutzer würden komplett gelöscht. Zusätzlich setzt er das Feld LegacyExchangeDN auf "ADCDisabledMailByADC" Ist der ADC auf KEEP gestellt, dann werden die Attribute im AD trotzdem gelöscht. Nur deaktivierte Konten werden nicht gelöscht und in die WIN2000.LDF Datei geschrieben. Der Active Directory Administrator muss die Informationen von Hand nachstellen. Exchange 2000 User sehen die Benutzer zwar nicht mehr, aber das Konto bleibt bestehen. |
Benutzer in andere OU verschoben, die vom ADC mit überwacht wird |
Ein Verschieben ist in Exchange 5.5 nicht möglich und entspricht einen Export, Löschen, Neuanlegen, Import. Der ADC führt genau diese Änderungen in der Reihenfolge auch durch. |
Primäres Konto wird geändert |
Sollte nicht gemacht werden. !! Der ADC wird die beiden Verzeichniseinträge anhand des "msExchADCGlobalNames" weiterhin miteinander verknüpfen, aber für sie wird die Umgebung nicht einfacher. Der Benutzer kann auf Exchange 5.5 mit dem neuen Konto zugreifen aber muss nach der Migration das andere Anmeldekonto nutzen. Ich habe nicht weiter getestet, ob der ADC vielleicht die Berechtigungen und das neue Konto als "Postfachbesitzer" zusätzlich einträgt. Ich kann nur vor dieser Änderung warnen. User sollten statt dessen mit ADMT migriert werden und dann im AD mit ADCLEAN zusammengeführt werden. |
Verteileradministration in Exchange 5.5
öffentliche Ordner können nur mit dem Exchange System Manager angelegt werden und nicht mit der MMC für Benutzer und Computer.
Aktion |
Reaktion |
Verteiler wird angelegt |
ADC legt einen Verteiler/Sicherheitsgruppe im AD an (Default Destination Container). ADC versucht anhand des Exchange Alias einen bestehenden Verteiler zu matchen. |
Änderung der Mitgliedschaften, Verborgen, Mailadressen |
ADC repliziert die Mitglieder, sofern diese Exchange aktiviert sind. |
Verteiler wird gelöscht |
ADC LöSCHT die Gruppe.!!!, wenn Delete aktiv ist Wir der ADC auf „KEEP“ gestellt, wird nichts gelöscht. Der Administrator muss von Hand die Exchange Properties von der Gruppen entfernen. Der ADC schreibt die Löschbefehle in eine LDF-Datei |
öffentliche Order Administration in Exchange 5.5
öffentliche Ordner können bei Exchange 5.5 nur mit Outlook angelegt werden. Sie erhalten automatisch eine Mailadresse. Mit dem Exchange Administrator können nur Mailadressen gepflegt werden.
Aktion |
Reaktion |
ändern der Mailadresse |
ADC repliziert den Eintrag in das AD |
Soweit eine Kurze Abhandlung einiger ausgewählter Replikationsfälle.