Segregation 2007 Checklist
Diese Liste orientiert sich an dem Artikel "White Paper: Configuring Virtual Organizations and Address List Segregation in Exchange 2007" (http://technet.microsoft.com/en-us/library/bb936719%28EXCHG.80%29.aspx) und fasst die Schritte entsprechend zusammen.
Lesen und verstehen Sie unbedingt die Seite Segregation 2007 HowTo
Diese Anleitung funktioniert NICHT mit Exchange 2010
Eine Anleitung für Exchange 2010 ist bei Microsoft noch in Arbeit
http://blogs.msdn.com/dgoldman/archive/2010/01/06/exchange-2010-address-list-segregation-as-of-now-is-100-unsupported.aspx
http://blogs.technet.com/b/exchange/archive/2010/01/07/453713.aspx
http://blogs.msdn.com/dgoldman/archive/2010/05/10/critical-update-exchange-2010-address-list-segregation-and-current-support-stances.aspx
Vorarbeiten
Diverse Einstellungen der späteren Benutzer hängen NICHT von der OU ab. Definieren Sie ein AD-Attribut für die spätere Zuordnung einer Person zu einer Firma:
Wert | Feld |
---|---|
AD-Feld für die eindeutige Zuordnung eines Postfachs zu einer Firma |
ConditionalCustomattribute1 |
Namenskonzept Firmen OU |
OU=Firmenname |
Namenskonzept Adressliste der Firmen (zur Erstellung der OAB) |
AL Firmenname |
Namenskonzept Offline Adressbuch der Firmen |
OAB Firmenname |
Namenskonzept globale Adressliste der Firmen |
GAL Firmenname |
Namenskonzept Firmen Gruppe |
SG- Firmenname |
Globale Einstellungen
Achtung:
Die globale Einrichtung "stört" einen produktiven Betrieb. Wenn Sie in
einer bestehenden Umgebung die Address List Segregation einführen
wollen, dann sollten Sie die pro Firma erforderlichen Schritte "vorab"
durchführen !!
Tätigkeit | Erledigt |
---|---|
AD: dsHeuristics = 001 auf CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration
|
|
AD: Basis-OU für die späteren Firmen-OUs anlegen, z.B. ou=hosting,dc=domain,dc=tld |
|
AD: universelle Sicherheitsgruppe für alle gehosteten Firmen anlegen cn=SG-AlleFirmen,ou=hosting,dc=domain,dc=tld |
|
AD: universelle Sicherheitsgruppe für alle Hosting-Provider anlegen cn=SG-Proider,ou=hosting,dc=domain,dc=tld |
|
Exchange: Berechtigungen auf "Alle Adresslisten" von "Default nicht vererbt" entfernen get-adpermission "All Address Lists" ` | Where {($_.User -like 'NT Authority\Authenticated Users') -and ($_.IsInherited -eq $false)} ` | Remove-ADPermission |
|
Exchange: Alle Default Adressbücher entfernen Get-AddressList | Remove-AddressList |
|
Exchange: Default GAL: Authenticated User einen DENY auf "GenericRead, Open Addressbook" setzen Get-GlobalAddressList "Default Global Address List" ` | Add-ADPermission ` -User "Authenticated Users" ` -AccessRights GenericRead ` -ExtendedRights Open-Address-Book ` -Deny:$True |
|
Exchange: Zugriff auf OAB blocken "Authenticated User" das Recht "ms-exch-Download-OAB" entfernen. $container = "CN=Offline Address Lists,CN=Address Lists Container,CN=Orgname,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=tld" remove-adpermission $container -User "NT AUTHORITY\Authenticated Users" -ExtendedRights 'ms-Exch-Download-OAB' |
|
Neue Firma einrichten
Diese Einstellungen sind einmal pro Firma erforderlich
Tätigkeit | Erledigt |
---|---|
AD: OU für Firma anlegen, z.B. ou=firma, ou=hosting,dc=domain,dc=tld |
|
AD: Sicherheitsgruppe für Firma anlegen, z.B. cn=SG-firma,ou=firma, ou=hosting,dc=domain,dc=tld |
|
AD: Sicherheitsgruppe in SG-AlleFirmen-Gruppe addieren | |
AD: Sicherheitsgruppe optional als Verteiler aktivieren | |
AD: Firmen-OU absichern
Achtung: Dieser Abschnitt ist NICHT in den Microsoft PowerShell Skripten drin When partitioning
the GAL, you must remove the existing
default rights to see all Users and
objects within Active Directory. To
accomplish this task, you must remove
from each organizational unit the
permissions assigned to the
Authenticated Users group and the
Everyone group, if it exists. The host
company requires permissions to see all
objects within Active Directory. Wenn bereits Benutzer |
|
AD: UPN Suffix für die Domain addieren. (Mailadresse und UPN sollten übereinstimmen)/td> |
|
AD: Optional: Default UPN auf der OU anpassen. |
|
Exchange: Accepted Domain |
|
Exchange: E-Mail Address Policy anlegen (basierend auf ConditionalCustomattribute1) |
|
Exchange: Adressliste anlegen (basierend auf ConditionalCustomattribute1) New-AddressList ` -Name "AL-Firma" ` -Container '\' -IncludedRecipients 'AllRecipients' ` -Conditionalcustomattribute1 "Firma" |
|
Exchange: Adressliste korrekt berechtigen - Authenticated Users + SG-Firma Get-AddressList "AL-Firma" | Remove-ADPermission -User "Authenticated Users" -AccessRights genericread -ExtendedRights "open address list" -deny:$false Get-AddressList "AL-Firma" | Add-ADPermission -User "SG-Firma" -extendedrights "open address list" -deny:$false |
|
Exchange: GAL anlegen (basierend auf ConditionalCustomattribute1) New-GlobalAddressList -Name "GAL-Firma" -RecipientFilter {(alias -ne $null -and customattribute1 -eq "Firma")} |
|
Exchange: OAB anlegen (basierend auf ConditionalCustomattribute1) New-OfflineAddressBook -Name "OAB-Firma" -Server SRV01 -AddressLists "\AL-Firma" -VirtualDirectories "SRV01\OAB (Default Web Site)" -publicfolderdistributionenabled $true |
|
Exchange: OAB Berechtigungen: SGG-Firma addieren mit ms-Exch-Download-OAB Get-OfflineAddressBook "OAB-Firma" | Add-ADPermission -User 'SG-Firma' -ExtendedRights 'ms-Exch-Download-OAB' -Deny:$false |
|
Internet Gateway/Firewall: Eintragen der neuen Domains für den Empfang |
|
Neuer Benutzer einrichten
Diese Einstellungen sind pro Benutzer erforderlich
Tätigkeit | Erledigt |
---|---|
AD: Benutzer anlegen |
|
AD: Benutzer in SG-Firma aufnehmen |
|
AD: msExchUseOAB setzen set-mailbox "mailbox name" -offlineaddressbook "OAB-Firma" |
|
AD: msExchQueryBaseDN setzen |
|
AD: Filterattribut "ConditionalCustomattribute1" setzen |
|
Adresslisten generieren: Update-addresslist "AL Firmenname" Update-globaladdresslist "GAL Firmenname" Update-offlineaddressbook "OAB Firmenname" get-ClientAccessServer | Update-FileDistributionService -type oab |
|
Test
Um sicher zu gehen, dass die Einstellungen auch korrekt erfolgt sind, sollten Sie sich einen Testbenutzer für jeden Kunden anlegen und folgende Tests durchführen:
Bereich | Test | Erwartung | Status |
---|---|---|---|
OWA |
Adressbuch |
Nur eine Liste Nur eine „GAL“ sichtbar |
|
GAL Inhalt |
GAL enthält nur Firmenpostfächer der gleichen Firma |
|
|
Suche nach |
Nur Firmenpostfächer können gefunden werden |
|
|
Terminanfrage |
Nur Frei/Belegt-Zeiten der Firmenmitglieder können eingesehen werden |
|
|
Adressbuch |
Nur eine Adressliste sichtbar |
|
|
Outlook |
Adressbuch |
Nur eine Liste Nur eine „GAL“ sichtbar |
|
GAL Inhalt |
GAL enthält nur Firmenpostfächer der gleichen Firma |
|
|
Suche nach |
Nur Firmenpostfächer können gefunden werden |
|
|
Terminanfrage |
Nur Frei/Belegt-Zeiten der Firmenmitglieder können eingesehen werden |
|
|
Adressbuch |
Nur eine Adressliste sichtbar |
|
Entsprechend gibt es mehrere Fehler und deren Ursachen:
- User sieht alle Adresslisten in OWA
-> msExchQueryBaseDN nicht gesetzt - Outlookprofil kann nicht angelegt werden
-> User sieht vermutlich mehrere GALs
-> Gruppenmitgliedschaften prüfen - User nicht in Adressbuch sichtbar
-> OAB Prozess noch nicht gelaufen -> in OWA prüfen
-> msExchHIdefromAD aktiv (User verborgen)
-> ShowInAB nicht aktuell -> Provisioning prüfen: eventuell Update-addresslist
Zusätzliche Dinge
Leider geht das Microsoft Dokument nicht auf alle Einstellungen ein, die in einer Exchange Umgebung noch erforderlich sind, z.B.
Autodiscover einrichten
Tätigkeit | Erledigt |
---|---|
Optional: Zertifikat für autodiscover.maildomain.tld addieren |
|
DNS-Eintrag für Autodiscover (A oder SRV) addieren |
|
Webveröffentlichung (Firewall) prüfen |
|
Autodiscover: Einträge im DNS veröffentlichen, Zertifikate addieren.
Neuer Verteiler einrichten
Es ist durchaus möglich, dass auch ein Kunde weitere Verteiler einsetzen möchte
Tätigkeit | Erledigt |
---|---|
AD: Gruppe anlegen |
|
AD: Mitglieder pflegen |
|
AD: Filterattribut "ConditionalCustomattribute1" setzen |
|
Adresslisten generieren: Update-addresslist "AL Firmenname" Update-globaladdresslist "GAL Firmenname" Update-offlineaddressbook "OAB Firmenname" Update-FileDistributionService casserver -type oab |
|
öffentliche Ordner
Auch wenn es Microsoft so nicht vorsieht, so ist es durchaus möglich, auch öffentliche Ordner bereit zu stellen. Allerdings muss auch hier der Admin den ersten Basisordner anlegen und die Berechtigungen anpassen. Zudem sollten Sie das Wachstum der Ordner bezüglich Verschachtelungstiefe, Elementanzahl und Größe im Auge behalten und mittels Quotas steuernd eingreifen. Sie sollten vor allem vermeiden, dass der Kunde selbst Ordner per Outlook anlegen kann und damit ihre Postfachquotas umgeht. Eine passende Verwaltungsapplikation sollte hier als Ersatz dienen und Grenzen berücksichtigen.
Tätigkeit | Erledigt |
---|---|
Basisordner für die Firma anlegen |
|
Berechtigungen pflegen: |
|
Weitere Links
- HostingHowTo
- Segregation 2007
- Segregation 2010
-
Checklisten
Eine Übersicht aller Checklisten der MSXFAQ - White Paper: Configuring Virtual Organizations and
Address List Segregation in Exchange 2007
http://technet.microsoft.com/en-us/exchange/bb936719.aspx - Exchange 2007 Address List Segregation Tool
http://www.telnetport25.com/exchange-2007-downloads/223-exchange-2007-address-list-segregation.html - MSDN:DS-Heuristics Attribute
http://msdn.microsoft.com/en-us/library/ms675656(VS.85).aspx