Exchange 2000 mit Windows NT4 oder SAMBA

Achtung
Exchange 2007/2010 nutzen für die Bereitstellung eine LinkedMailbox, der die SID einer vertrauten Domain zugewiesen werden kann. Exchange 2010 erwartet dazu mindestens Windows 2003 DCs in der Anmeldedomäne des Benutztes

Dieser Abschnitt ist interessant für Personen, die die Funktion von Exchange 2000 einsetzen wollen, aber bisher ihre Windows NT4 Anmeldedomäne noch nicht nach Windows 2000 Active Directory migriert haben. Ebenso kann ja ein SAMBA-Server auf Linux auch schon als Domain Controller agieren. Auch in dieser Zusammenstellung ist es möglich, dass Sie einen Exchange Ressourcen Forest aufbauen und weiterhin zur Anmeldung die Samba Domäne verwenden.

Lesen Sie dazu auch die Seite Exchange 2000 Hosting und Exchange 2000/2003 Disabled Account

Ihre Umgebung könnte z.B. folgendermaßen aussehen:

  • Eine oder mehrere Windows NT4 Domänen
    Verbunden mit Vertrauensstellungen.
  • Exchange 2000 als neues Mailsystem oder Update von Exchange 5.5
  • Umstieg von NT4 auf Windows 2000 der produktiven Domäne noch nicht möglich

Wenn sie mehrere Standorte haben und mehrere Exchange 5.5 Server, dann können Sie die Informationen hier alt Einstieg verstehen, aber erkennen Sie auch die Grenzen dieser FAQ und planen Sie entsprechende Beratungsleistung mit ein. (->Kontakt)

Aufbau Active Directory

Exchange 2000 benötigt zwingend ein Active Directory, weil es dort die eigene Konfiguration als auch die Information über die Anwender speichert. Damit ist klar, dass ohne Active Directory auch kein Exchange 2000 funktionieren kann und wir daher zuerst ein Active Directory aufbauen müssen. Dies bedeutet, dass wir einen Windows 2000 Server zum Domaincontroller machen und alle Randbedingungen (DNS, WINS, etc.) gegeben sein müssen. In kleinen Netzwerken kann auch der Exchange 2000 Server zugleich Domaincontroller sein. Denken Sie aber daran, dass auch diese Funktion "gesichert" werden muss (->Backup)

Damit die Vergabe von Rechte an die NT4-Benutzerkonten funktioniert muss diese Domäne, in der Exchange später installiert wird, den NT4 Domänen vertrauen.

Einrichten ADC (nur mit Exchange 5.5)

Wenn Sie bereits Exchange 5.5 haben und die Migration nach Exchange 2000 planen, dann müssen Sie den ADC einsetzen und konfigurieren (->Exchange 2000 Active Directoy Connector (ADC). für die Migration müssen die Benutzer in beiden Verzeichnissen synchron sein und genau das macht der ADC für Sie.

Er erstellt deaktivierte Benutzer im Active Directory und gibt diesen die passenden Exchange Eigenschaften und er trägt sogar noch die SID des NT4-Kontos als "Berechtiger" und "externer Account" ein. Das sind die besten Voraussetzungen für die Migration und den weiteren Betrieb mit den NT4 Anmeldekonten

Installation Exchange 2000

Nun ist es an der Zeit Exchange 2000 zu installieren und zu konfigurieren. Entsprechende Connectoren zu anderen Mailsystem aufzubauen, die Datensicherung einzurichten und den Virenschutz zu konfigurieren. Ich verweise hierzu auf Installation, Update, Backup, Viren, Spam, Werbung und Müll)

Migration/Neuanlage der Benutzer

Ohne Exchange 5.5

Wenn sie kein Exchange 5.5 zur Migration haben, dann dürfen Sie nun im Active Directory einfach Konten anlegen und diese mit einem Exchange Mailbox Postfach versehen. Damit ihre Windows NT4 Benutzer darauf zugreifen können, muss der NT4-Account die notwendigen Rechte erhalten. Näheres dazu finden Sie auch auf Q278888 XADM: Associate an Exchange 2000 Mailbox with a Windows NT User

Sie legen damit sozusagen "Platzhalter"-Konten an, d.h. Benutzerobjekte im Active Directory, die die Exchange Konfiguration vorhalten, aber nicht für eine interaktive Anmeldung genutzt werden können.

Mit Exchange 5.5

Über die MMC können sie die Postfächer der Anwender einfach von einem Exchange Server auf den anderen Exchange Server verschieben. Dabei werden die deaktivierten Benutzer, die der ADC angelegt hat, beibehalten samt den Zugriffsrechten auf das Postfach. Achten Sie aber darauf, dass Sie vorab alle Exchange 5.5. Elemente (Auch Verteiler etc.) in das Active Directory repliziert haben. (Siehe Exchange 2000 - Update), da ansonsten einige Funktionen nicht gewährleistet sind.

Betrieb

Nun können ihre Anwender wie gehabt mit Outlook, OWA oder anderen Clients auf Exchange 2000 zugreifen und alle neuen Möglichkeiten nutzen. Sie als Administrator können die vielen Vorteile von Exchange 2000 nutzen.

Noch mal zur Erinnerung:

Exchange 2000 nutzt deaktivierte Konten, damit Anwender aus vertrauten Windows NT4 Domänen ein Postfach auf Exchange 2000 nutzen können

Damit das funktioniert, muss sich Exchange an einer Stelle des AD die NT4-SID des Benutzers speichern. Bei einem deaktivieren Benutzer geht der Store von einem externen Konto aus und liest das Feld "MSExchangeMasterAccountSID". Hier steht bei deaktivieren Benutzern die SID des Kontos, welches normalerweise genutzt wird (das NT4-Konto einer vertrauten Domäne). Damit sucht Exchange bei einem deaktivieren Benutzer immer nach diesem Feld. Ist es nicht belegt, dann finden Sie im Eventlog folgende Meldung:

Das zugeordnete externe Konto finden Sie auch in der MMC für Benutzer und Computer:

Mit dem Exchange 2003 Systemmanager finden Sie in den Exchange Aufgaben bei deaktivierten Konten ebenfalls einen Assistenten, der Sie bei der Einrichtung des zugeordneten externen Kontos unterstützt.

Assoziiertes Konto im gleichen Forest und mehrere Postfächer an ein Konto

Vom Prinzip her müssen Sie natürlich ein Konto außerhalb des Active Directory Forest als externes Konto zuweisen. Die Zuweisung eines Benutzerkontos innerhalb des Forest wird von der MMC mit folgender Fehlermeldung verhindert.

Es ist ebenso unmöglich, einem Benutzerkonto einer vertrauten Domäne mehrere Postfächer zuzuweisen.

Der Inhalt von MSExchangeMasterAccountSID darf im gesamten Forrest nur einmalig vergeben werden.
Einzige Ausnahme ist die SID für "SELF"

MOM2005 nutzt einen ähnlichen Weg, um auf jedem Server ein "Überwachungspostfach" für den Versand von Testnachrichten anzulegen: Das zugeordnete externe Konto ist dabei allerdings der "SELF"-Account und das Benutzerkonto, mit dem MOM die Überwachung durchführt, hat vollen Mailboxzugriff.

  • 296479 XADM: Requirements für Disabling the Recipient Update Service
  • 243330 Well known security identifiers in Windows Server operating systems
    Self = SID: S-1-5-10

Um Dubletten zu finden, habe ich ein kleines Tool geschrieben, welches solche doppelt vergebenen SIDs ausgibt -> CheckDuplicateExternalSID.

Später: Migration der NT4 Konten

Aber irgendwann kommt der Moment, wo die alten NT4 Konten nicht weiter genutzt werden sollen. Und nun geht es darum, wie diese Migration sauber durchzuführen ist. Leider kann ich dies nicht pauschal beantworten, da die Migration einer oder mehrere Windows NT4 Domänen in einen Active Directory Forrest keinen festen Beschreibungen folgt, sondern in je Firma individueller Prozess ist.

Fakt ist, dass durch den Parallelbetrieb mindestens zwei Domänen existieren: Die alte Windows NT 4 Domäne mit den bisherigen Benutzerkonten und das Active Directory für Exchange 2000. Wenn diese beiden nun zusammen zu fassen sind, dann gibt es einen sehr guten Migrationspfad:

Die Benutzerkonten der bisherigen Domäne werden mit dem Programm ADMT (->Tools und Hilfsprogramme) von der bisherigen Domäne in das Active Directory migriert. Dank der SID-History wird die bisherige SID mitgeführt, so dass bisherige Berechtigungen beibehalten bleiben. Mit ADMT 2.0 können sogar Kennworte übernommen werden. Aber es bleibt noch einiges zu tun, z.B. Profile übernehmen, Drucker und Server umstellen, Workstations migrieren etc., was diese FAQ nicht beantworten soll.

Aber es werden dabei neue Anwender im Active Directory angelegt, da die bestehenden Platzhalte für Exchange 2000 nicht benutzt werden. Aber aus dieser Misere gibt es eine Lösung in form von ADClean. Diese Programm übernimmt die Exchange Eigenschaften des deaktivieren Benutzers und überträgt diese an den per ADMT migrierten Anmeldebenutzer. Und schon ist Umgebung um ein vielfaches einfacher geworden.

Weitere Links