ADCTOOLS

Mit dem Release von Exchange 2003 wurde auch der Active Directory Connector ergänzt. Sofort sichtbar ist, dass es einen neuen Bereich "ADCTools" gibt, welche eine Analyse des Exchange 5.5 Verzeichnisses erlaubt und basierend darauf das AD kontrolliert wird.

Die ADCTools behaupten, dass:

  • Verbindungsvereinbarungen automatisch erstellt werden können
  • Fehlende Vereinbarungen erkannt werden
  • Ressourcenpostfächer erkannte und gefixt werden können
  • Fehlende Synchronisationen erkannte werden

Der erste Einsatz in meiner hinreichend komplexen TestUmgebung (3 Sites, 6 Server, Mixed Mode) als auch in der ProduktionsUmgebung haben überzeugt. Ob dies auch ein einer größeren Umgebung funktioniert, wird sich zeigen. Zumindest ist die Analysefunktion sehr wertvoll und in kleinen Umgebungen mit wenigen Sites sind die Ergebnisse brauchbar. Ich wage sogar zu behaupten, dass die Arbeit der ADCTools weniger Fehler beinhaltet als die manuelle Anlage verschiedener Verbindungsvereinbarungen. Hier ein Bild der ADCTools:

ADCTools Einsatz:

Die Anwendung erfolgt in mehreren Schritten:

  • Schritt 1
    Angabe eines Exchange 5.5 Servers (Schritt 1), auf welchem LDAP aktiv sein muss
  • Schritt 2
    Ausführen der Analyse
    Das kann in größeren Umgebungen durchaus einige Minuten dauern
  • Schritt 3
    Auflösen de Ressourcen Postfächer. Das sind Postfächer in Exchange 5.5 deren primäres NT-Konto ein Benutzer ist, der noch weitere Postfächer hat oder eine Gruppe ist. Dies ist nicht erlaubt. (Siehe NTDSNOMATCH Exchange Tools und ADC Grundlagen.
    ADCTools erstellen eine CSV-Datei zur Korrektur. Die Korrektur kann aber auch von Hand erfolgen
  • Schritt 4
    Hiermit wird die Korrektur überprüft. Ehe dies nicht erfolgt ist, kann nicht weiter gemacht werden, da ansonsten "Mismatched accounts" entstehen würden. ACHTUNG: Auch wenn ihre Änderungen durchgeführt wurden, dauert es einige Zeit, bis diese Informationen repliziert sind.
  • Schritt 5
    Erst dann können die Verbindungsvereinbarungen eingerichtet werden.
  • Schritt 6
    Kontrolle der Verbindungsvereinbarungen und deren Funktion

Selbst in einer bestehenden Umgebung kann man den Schritt 5 überspringen und nur die Analysefunktion nutzen.

Grenzen der ADCTOOLS

So schön die ADCTools arbeiten, es gibt Grenzen, die Sie können sollten:

  • Unrichtige ADC-Verbindungsvereinbarungen
    Vertrauen Sie nicht blind den ADCTools. Ich habe es des öfteren gesehen, dass die ADCTools CAs eingerichtet haben, die nicht erforderlich waren.
  • Unvollständige CAs
    Auf der anderen Seite "vergessen" die ADCTools das ein oder andere Mal auch eine Verbindungsvereinbarung. Das können Sie z.B.: mit einem Exchange 5.5 Standort nachvollziehen, in dem es KEINE Empfänger gibt. Die ADCTools erkennen dann auch nicht, dass diese Empfängercontainer auch repliziert werden müssten.
  • Public Folder CAs
    Die ADCTools nehmen nicht immer Rücksicht auf die öffentlichen Ordner. Diese Verbindungsvereinbarungen sind manchmal weiterhin von Hand einzurichten. Kontrollieren Sie daher die erstellten CAs
  • ADC-Verify
    Die Tool überprüfen auch das Ergebnis. Leider sind die Ausgaben nicht unbedingt 100% zuverlässig. Ich kontrolliere die Funktion des ADC daher durch einen Vergleich der GAL zwischen einem Exchange 5.5 Server und einem Exchange 2000/2003 Server mit dem SRS durch den Exchange 5.5. Administrator.
  • Größe und Dauer
    Die ADCTools speichern alle gesammelten Informationen in XML-Dateien. Speziell in größeren Umgebungen kann die Sammlung der Daten aber auch die Auswertung sehr lange dauern. Nutzen Sie speziell dann einen entsprechend leistungsstarken Server.

Die ADC-Tools machen einen wichtigen Arbeit und unterstützen bei der Migration von Exchange 5.5 nach Exchange 2000/2003. Sie sollten trotzdem genau wissen, was der ADC macht und wie Sie seine Funktion kontrollieren können. Allein die ADC-Tools und der beste Assistent helfen ihnen nicht bei konkreten Problemen während des Betriebs.

Vorsicht mit ADCTOOLS

Der größte Nachteil der ADCTOOLS ist, dass nach der Einstellung und Einrichtung der ADC auch sofort mit der Arbeit loslegt. Leider ist der Zeitplan nicht deaktiviert oder der Dienst beendet. Sie haben daher keine Zeit mehr, die automatisch angelegte Konfiguration noch zu ändern. Dies ist aus mehrerer Sicht unglücklich

  • Anpassen Zeitplan und Belastung
    Nicht alle Firmen wollten genau dann auch einen "FullSync" starten, was sowohl für das AD als auch für Exchange viel Replikationslast bedeutet.
  • Anpassungen LegacyExchangeDN
    Gerade bei der Replikation vom Active Directory nach Exchange ist es nicht immer gewollt, dass die gesamte OU-Struktur 1:1 auch in Exchange abgebildet wird. Das kleine Kreuz "Use LegacyExchangeDN" ist aber nicht gesetzt.
  • Anpassen mit ADSI
    Per Default benennt der ADC den "DN" eines Anwender im AD nach dem Exchange Displayname um. Dies kann mit ADSI-EDIT erst dann angepasst werden, wenn das CA angelegt ist.

Wenn Sie aber nun auf den Gedanken kommen, vorab einfach den Dienst "MSADC" zu beenden, dann können die ADCTOOLS keine Eintragungen vornehmen.

In kleineren Umgebungen ist sie alles kein Problem. Die Belastung durch die Erstreplikation ist gering und ob die OU-Struktur in Exchange auftaucht ist auch dann nicht kritisch, wenn die Migration bald abgeschlossen sein soll und dann Exchange 5.5 sowieso deinstalliert wird. Und auch die irrtümliche "Umbenennung" eines Kontos kann mit RDNChance natürlich wieder rückgängig gemacht werden. Allerdings könnte dieser Zusatzaufwand einfach vermieden werden, wenn die CAs nicht sofort "loslaufen" würden.

Hinweise von ADCTools

Je aktueller die Version der ADC-Tools ist, desto deutlicher werden die Hinweise auf möglich Fehler, z.B.:

 

Weitere Links