Segregation 2007 Checklist

Diese Liste orientiert sich an dem Artikel "White Paper: Configuring Virtual Organizations and Address List Segregation in Exchange 2007" (http://technet.microsoft.com/en-us/library/bb936719%28EXCHG.80%29.aspx) und fasst die Schritte entsprechend zusammen.

Lesen und verstehen Sie unbedingt die Seite Segregation 2007 HowTo

Diese Anleitung funktioniert NICHT mit Exchange 2010
Eine Anleitung für Exchange 2010 ist bei Microsoft noch in Arbeit
http://blogs.msdn.com/dgoldman/archive/2010/01/06/exchange-2010-address-list-segregation-as-of-now-is-100-unsupported.aspx
http://blogs.technet.com/b/exchange/archive/2010/01/07/453713.aspx
http://blogs.msdn.com/dgoldman/archive/2010/05/10/critical-update-exchange-2010-address-list-segregation-and-current-support-stances.aspx

Vorarbeiten

Diverse Einstellungen der späteren Benutzer hängen NICHT von der OU ab. Definieren Sie ein AD-Attribut für die spätere Zuordnung einer Person zu einer Firma:

Wert Feld

AD-Feld für die eindeutige Zuordnung eines Postfachs zu einer Firma

ConditionalCustomattribute1

Namenskonzept Firmen OU

OU=Firmenname

Namenskonzept Adressliste der Firmen (zur Erstellung der OAB)

AL Firmenname

Namenskonzept Offline Adressbuch der Firmen

OAB Firmenname

Namenskonzept globale Adressliste der Firmen

GAL Firmenname

Namenskonzept Firmen Gruppe

SG- Firmenname

Globale Einstellungen

Achtung:
Die globale Einrichtung "stört" einen produktiven Betrieb. Wenn Sie in einer bestehenden Umgebung die Address List Segregation einführen wollen, dann sollten Sie die pro Firma erforderlichen Schritte "vorab" durchführen !!

Tätigkeit Erledigt

AD: dsHeuristics = 001 auf CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration

 

AD: Basis-OU für die späteren Firmen-OUs anlegen, z.B.

ou=hosting,dc=domain,dc=tld

 

AD: universelle Sicherheitsgruppe für alle gehosteten Firmen anlegen

cn=SG-AlleFirmen,ou=hosting,dc=domain,dc=tld

 

AD: universelle Sicherheitsgruppe für alle Hosting-Provider anlegen

cn=SG-Proider,ou=hosting,dc=domain,dc=tld

 

Exchange: Berechtigungen auf "Alle Adresslisten" von "Default nicht vererbt" entfernen

get-adpermission "All Address Lists" `
| Where {($_.User -like 'NT Authority\Authenticated Users') -and ($_.IsInherited -eq $false)} `
| Remove-ADPermission

 

Exchange: Alle Default Adressbücher entfernen

Get-AddressList | Remove-AddressList

 

Exchange: Default GAL: Authenticated User einen DENY auf "GenericRead, Open Addressbook" setzen

Get-GlobalAddressList "Default Global Address List" `
| Add-ADPermission `
   -User "Authenticated Users" `
   -AccessRights GenericRead `
   -ExtendedRights Open-Address-Book `
   -Deny:$True

 

Exchange: Zugriff auf OAB blocken "Authenticated User" das Recht "ms-exch-Download-OAB" entfernen.

$container = "CN=Offline Address Lists,CN=Address Lists Container,CN=Orgname,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=tld"
 remove-adpermission $container -User "NT AUTHORITY\Authenticated Users" -ExtendedRights 'ms-Exch-Download-OAB'

 

Neue Firma einrichten

Diese Einstellungen sind einmal pro Firma erforderlich

Tätigkeit Erledigt

AD: OU für Firma anlegen, z.B. ou=firma, ou=hosting,dc=domain,dc=tld

 

AD: Sicherheitsgruppe für Firma anlegen, z.B. cn=SG-firma,ou=firma, ou=hosting,dc=domain,dc=tld

 

AD: Sicherheitsgruppe in SG-AlleFirmen-Gruppe addieren

AD: Sicherheitsgruppe optional als Verteiler aktivieren

AD: Firmen-OU absichern

  • Everyone:Read not inherited entfernen
  • AuthUser:Read not inherited entfernen
  • Firmengruppe: READ für "dieses und untergeordnete Objekte" addieren
  • SG-Hostingprovider addieren

Achtung: Dieser Abschnitt ist NICHT in den Microsoft PowerShell Skripten drin

When partitioning the GAL, you must remove the existing default rights to see all Users and objects within Active Directory. To accomplish this task, you must remove from each organizational unit the permissions assigned to the Authenticated Users group and the Everyone group, if it exists. The host company requires permissions to see all objects within Active Directory.
Add rights für the security group für each segregated group's Users, thus allowing the Users to see other Users in their own organizational unit. Go through each organizational unit and add a security group für that segregated group. für example, für the organizational unit representing Fabrikam.com, add the Fabrikam Users security group and assign Read rights.
Quelle: http://technet.microsoft.com/en-us/library/bb936719%28EXCHG.80%29.aspx#PrepEnvSegExch

Wenn bereits Benutzer

 

AD: UPN Suffix für die Domain addieren. (Mailadresse und UPN sollten übereinstimmen)/td>

 

AD: Optional: Default UPN auf der OU anpassen.

 

Exchange: Accepted Domain

 

Exchange: E-Mail Address Policy anlegen (basierend auf ConditionalCustomattribute1)

 

Exchange: Adressliste anlegen (basierend auf ConditionalCustomattribute1)

New-AddressList `
   -Name "AL-Firma" `
   -Container '\' -IncludedRecipients 'AllRecipients' `
   -Conditionalcustomattribute1 "Firma"

 

Exchange: Adressliste korrekt berechtigen - Authenticated Users  + SG-Firma

Get-AddressList "AL-Firma" | Remove-ADPermission -User "Authenticated Users" -AccessRights genericread -ExtendedRights "open address list" -deny:$false
Get-AddressList "AL-Firma" | Add-ADPermission -User "SG-Firma" -extendedrights "open address list" -deny:$false

 

Exchange: GAL anlegen (basierend auf ConditionalCustomattribute1)

New-GlobalAddressList -Name "GAL-Firma" -RecipientFilter {(alias -ne $null -and customattribute1 -eq "Firma")}

 

Exchange: OAB anlegen (basierend auf ConditionalCustomattribute1) 

New-OfflineAddressBook -Name "OAB-Firma" -Server SRV01 -AddressLists "\AL-Firma" -VirtualDirectories "SRV01\OAB (Default Web Site)" -publicfolderdistributionenabled $true

 

Exchange: OAB Berechtigungen: SGG-Firma addieren mit ms-Exch-Download-OAB

Get-OfflineAddressBook "OAB-Firma" | Add-ADPermission -User 'SG-Firma' -ExtendedRights 'ms-Exch-Download-OAB' -Deny:$false

 

Internet Gateway/Firewall: Eintragen der neuen Domains für den Empfang

 

Neuer Benutzer einrichten

Diese Einstellungen sind pro Benutzer erforderlich

Tätigkeit Erledigt

AD: Benutzer anlegen

 

AD: Benutzer in SG-Firma aufnehmen

 

AD: msExchUseOAB setzen

set-mailbox "mailbox name" -offlineaddressbook "OAB-Firma"

 

AD: msExchQueryBaseDN setzen

 

AD: Filterattribut "ConditionalCustomattribute1" setzen

 

Adresslisten generieren:

Update-addresslist "AL Firmenname"
Update-globaladdresslist "GAL Firmenname"
Update-offlineaddressbook "OAB Firmenname"
get-ClientAccessServer | Update-FileDistributionService -type oab

 

Test

Um sicher zu gehen, dass die Einstellungen auch korrekt erfolgt sind, sollten Sie sich einen Testbenutzer für jeden Kunden anlegen und folgende Tests durchführen:

Bereich Test Erwartung Status

OWA

Adressbuch

Nur eine Liste Nur eine „GAL“ sichtbar

 

GAL Inhalt

GAL enthält nur Firmenpostfächer der gleichen Firma

 

Suche nach

Nur Firmenpostfächer können gefunden werden

 

Terminanfrage

Nur Frei/Belegt-Zeiten der Firmenmitglieder können eingesehen werden

 

Adressbuch

Nur eine Adressliste sichtbar

 

Outlook

Adressbuch

Nur eine Liste Nur eine „GAL“ sichtbar

 

GAL Inhalt

GAL enthält nur Firmenpostfächer der gleichen Firma

 

Suche nach

Nur Firmenpostfächer können gefunden werden

 

Terminanfrage

Nur Frei/Belegt-Zeiten der Firmenmitglieder können eingesehen werden

 

Adressbuch

Nur eine Adressliste sichtbar

 

Entsprechend gibt es mehrere Fehler und deren Ursachen:

  • User sieht alle Adresslisten in OWA
    -> msExchQueryBaseDN nicht gesetzt
  • Outlookprofil kann nicht angelegt werden
    -> User sieht vermutlich mehrere GALs
    -> Gruppenmitgliedschaften prüfen
  • User nicht in Adressbuch sichtbar
    -> OAB Prozess noch nicht gelaufen -> in OWA prüfen
    -> msExchHIdefromAD aktiv (User verborgen)
    -> ShowInAB nicht aktuell -> Provisioning prüfen: eventuell Update-addresslist

Zusätzliche Dinge

Leider geht das Microsoft Dokument nicht auf alle Einstellungen ein, die in einer Exchange Umgebung noch erforderlich sind, z.B.

Autodiscover einrichten

Tätigkeit Erledigt

Optional: Zertifikat für autodiscover.maildomain.tld addieren

 

DNS-Eintrag für Autodiscover (A oder SRV) addieren

 

Webveröffentlichung (Firewall) prüfen

 

Autodiscover: Einträge im DNS veröffentlichen, Zertifikate addieren.

Neuer Verteiler einrichten

Es ist durchaus möglich, dass auch ein Kunde weitere Verteiler einsetzen möchte

Tätigkeit Erledigt

AD: Gruppe anlegen

 

AD: Mitglieder pflegen

 

AD: Filterattribut "ConditionalCustomattribute1" setzen

 

Adresslisten generieren:

Update-addresslist "AL Firmenname"
Update-globaladdresslist "GAL Firmenname"
Update-offlineaddressbook "OAB Firmenname"
Update-FileDistributionService casserver -type oab

 

öffentliche Ordner

Auch wenn es Microsoft so nicht vorsieht, so ist es durchaus möglich, auch öffentliche Ordner bereit zu stellen. Allerdings muss auch hier der Admin den ersten Basisordner anlegen und die Berechtigungen anpassen. Zudem sollten Sie das Wachstum der Ordner bezüglich Verschachtelungstiefe, Elementanzahl und Größe im Auge behalten und mittels Quotas steuernd eingreifen. Sie sollten vor allem vermeiden, dass der Kunde selbst Ordner per Outlook anlegen kann und damit ihre Postfachquotas umgeht. Eine passende Verwaltungsapplikation sollte hier als Ersatz dienen und Grenzen berücksichtigen.

Tätigkeit Erledigt

Basisordner für die Firma anlegen

 

Berechtigungen pflegen:
- "Standard" entfernen
- GRP-Firma mit "Read" addieren
- Verwalter als "Owner" addieren

 

Weitere Links