Layer-8 0 Geschrieben 24. November 2016 Melden Teilen Geschrieben 24. November 2016 (bearbeitet) Hallo werte Gemeinde! Ich bin langjähriger Leser dieses Forums und komme nun auch einmal dazu ein Problem vorzutragen: Ich habe zwei Domänen (a-online.de / a.local & b-software.de / intern leider identisch, musste ich so übernehmen), die über einen VPN Tunnel verbunden sind. Beide nutzen Exchange 2013. - Transitive Vertrauensstellung in beide Richtungen vorhanden und funktionell (ich arbeite mit meinem Admin aus a-online.de vollberechtigt auf b-software.de). - Split-DNS für beide Domänen mail.******.de zeigen mit eigener Zone und _tcp _autodiscover 443 auf die lokale IP des Mailservers. - Kontakte von b-software.de auf dem Exchange von a-online.de angelegt und umgekehrt genauso. - nslookup von autodiscover.a-online.de & b-autodiscover.software.de zeigt über den DNS Server 8.8.8.8 auf die jeweilige externe IP, ebenso mail.....de - nslookup von mail.a-online.de & mail.b-software.de zeigt über den lokalen DNS auf die jeweilige interne IP des Exchange (in Domäne b wird auch die interne IP von a aufgelöst und umgekehrt) - nslookup von autodiscover.a-online.de & autodiscover.b-software.de zeigt über den lokalen DNS die externe IP als alias von mail.....de. Ist das korrekt so bei _autodiscover SRV Eintrag? Sollte bei einer Vertrauensstellung DNS auch hier auf die lokale IP verweisen? Wie muss ich hier vorgehen, damit ich die Kalender gegenseitig einsehen kann? Die Befehle Add-AvailabilityAddressSpace -ForestName b-software.de -AccessMethod PerUserFB -UseServiceAccount $true Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights “ms-exch-epi-token-serialization” -User “b-software\Exchange Servers” Export-AutodiscoverConfig -TargetForestDomainController “dcserver.bsoftware.de” -TargetForestCredential (Get-Credential) -MultipleExchangeDeployments $true habe ich schon wechselseitig durchgeführt, keine Fehlermeldungen. Leider kann ich die Kalender nicht sehen, Nach Hinzufügen der Kontaktkalender von b-software.de in Outlook unter a-online.de kommt nur die MEldung "konnte nicht aktualisiert werden". Wechselseitig das gleiche. Selbstsignierte Zertifikate habe ich auch wechselseitig über die MMC importiert. Habe ich hier daneben gegriffen? Ich habe das "mail.domäne.de" der betreffenden Server ex- & importiert. EDIT: OWA & der MS RCA laufen bis auf gemecker für ein selbst signiertes Zertifikat auch sauber durch. Ein Test einer a-online.de Emailadresse im b-software.de Outlook Autokonfigurations-Test funktioniert auch, wechselseitig genauso. Um Denkanstöße bin ich sehr dankbar. Betrifft auch keinen Kunden, das ist für unsere hausinterne Verschmelzung. ;) Gibt es ein Log, das man hierzu sichten kann? Grüße, Layer-8 bearbeitet 24. November 2016 von Layer-8 Zitieren Link zu diesem Kommentar
Layer-8 0 Geschrieben 30. November 2016 Autor Melden Teilen Geschrieben 30. November 2016 Guten Morgen, für mich zur Info: ist diese Problemstellung zu komplex, zu verzwickt oder kann mir wirklich niemand etwas dazu sagen? Selbst ein Hinweis in welche Exchange logs ich gucken kann wäre sehr hilfreich. Danke. Grüße, Layer-8 Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 30. November 2016 Melden Teilen Geschrieben 30. November 2016 Hi, vielleicht einfach untergegangen ... Das was ich sehe und es evtl. verhindert ist dein SelfSigned... Meines Wissens nach muss da ein offizielles drin stehen, welches trusted ist. Gruß J Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 30. November 2016 Melden Teilen Geschrieben 30. November 2016 Was ich noch nicht ganz verstanden hab: Du schreibst "...nach hinzufügen der Kontaktkalender..." Den Kalender wirst Du über diese Konstellation m.W. nie sehen. Es werden ja "nur" die Frei/Gebucht-Infos synchronisiert. D.h. wenn Du jemanden einlädst, siehst Du halt "Frei, gebucht, abwesend", mehr nicht. Oder seh' ich das falsch?!? Zitieren Link zu diesem Kommentar
Layer-8 0 Geschrieben 30. November 2016 Autor Melden Teilen Geschrieben 30. November 2016 (bearbeitet) Danke für die Rückmeldungen. Hi, vielleicht einfach untergegangen ... Das was ich sehe und es evtl. verhindert ist dein SelfSigned... Meines Wissens nach muss da ein offizielles drin stehen, welches trusted ist. Gruß J Geht es wirklich nur mit gekauftem Certif? der MS Autodiscovertest zeigt mir alles grün. Erst in den unterpunkten erscheint das rote X wegen des nicht öffentlich verifizierbaren selfsigned. Was ich noch nicht ganz verstanden hab: Du schreibst "...nach hinzufügen der Kontaktkalender..." Den Kalender wirst Du über diese Konstellation m.W. nie sehen. Es werden ja "nur" die Frei/Gebucht-Infos synchronisiert. D.h. wenn Du jemanden einlädst, siehst Du halt "Frei, gebucht, abwesend", mehr nicht. Oder seh' ich das falsch?!? Sehe ich etwa über die Methode nur die frei/gebucht-Bereiche, wenn ich einen neuen Termin mit der betreffenden Person plane? Das wäre suboptimal, ich muss es schaffen, dass die Kalender völlig frei einsehbar sind. Führt hier kein Weg an Federation Services vorbei? Ich hätte gedacht, dass mit einem Trust und VPN Tunnel die möglichkeit über LAN bestünde. Laufen denn Federation Services ohne gekauftes Zertifikat? Hierbei sollte doch dann alles einsehbar sein, oder auch wieder nur bei der Terminplanung? Oder muss ich anders vorgehen, wenn ich Kalender einer trusted domain bei mir voll einsehen will? Meine GF liegt mir hiermit jeden Tag in den Ohren, seit dem wir die andere Firma gekauft haben. :D Gruß, Layer-8 bearbeitet 30. November 2016 von Layer-8 Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 (bearbeitet) Um andere Kalender einsehen zu können, müsstest Du wohl entspr. Berechtigungen für die Nutzer der einen Domäne auf das Postfach der anderen Domäne einrichten. Dazu braucht's m.W. jedoch Powershell, da die Verwaltungskonsole die Domänenauswahl nicht bietet. Bsp.: Add-MailboxPermission -Identitiy < Postfachname> -User < Domain-Konto> -AccessRights FullAccess bearbeitet 1. Dezember 2016 von Cybquest Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 1. Dezember 2016 Melden Teilen Geschrieben 1. Dezember 2016 Ergänzend - ohne Federation Trust von MS brauchst du extern signierte Zertifikate. Das ist mein Kenntnisstand. ;) Zitieren Link zu diesem Kommentar
Layer-8 0 Geschrieben 1. Dezember 2016 Autor Melden Teilen Geschrieben 1. Dezember 2016 (bearbeitet) Um andere Kalender einsehen zu können, müsstest Du wohl entspr. Berechtigungen für die Nutzer der einen Domäne auf das Postfach der anderen Domäne einrichten. Dazu braucht's m.W. jedoch Powershell, da die Verwaltungskonsole die Domänenauswahl nicht bietet. Bsp.: Add-MailboxPermission -Identitiy < Postfachname> -User < Domain-Konto> -AccessRights FullAccess Ich habe mit deinem Befehl für mein Benutzerkonto aus a-online einem Testkonto in Domäne b-software volle Rechte erteilt. Der Befehl hat ein wenig gebraucht, was an und für sich gut ist, wenn man über einen Trust auf eine andere Domäne zugreift. mit Get-MailboxPermission -Identity "MeinUser" sehe ich auch die Berechtigung für b-online\Testbenutzer. Leider weiterhin keine Veränderung. Wenn ich im b-online-Testbenutzer über Outlook mich in einen Termin einladen will bekomme ich nur eine grau schraffierte Zeitleiste mit dem MouseOver "Der Server des externen Empfängers konnte nicht ermittelt werden." Ergänzend - ohne Federation Trust von MS brauchst du extern signierte Zertifikate. Das ist mein Kenntnisstand. ;) Die Federation Services habe ich testweise schon halb durchkonfiguriert: auf beiden Seiten den TXT-Eintrag gesetzt und eine MS-Kennung erhalten und aktiviert. Wenn ich allerdings die Gegenseite freigeben möchte schlägt auch hier die Aktivierung fehl. (Verbundinformationen konnten nicht von der externen Organisation empfangen werden.) Muss ich die MS-Kennung als Gegenseite wählen, die normale Domäne b-online.de oder die Subdomain mail.b-online.de? Ich habe die letzten Tage so viel gelesen, latente Reizüberflutung. Es wurmt mich, dass alle Tests grün zeigen aber ich nicht weiter komme. Ist halt Lehrgeld: mein erster Domain Trust. bearbeitet 1. Dezember 2016 von Layer-8 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.