goat82 2 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Hallo Zusammen, ist es möglich ohne eine AD Vertrauenstellung bzw. VPN 2 Exchangeserver 2010 in verschiedenen Domainen und Standorten miteinander sprechen zu lassen? Ziel soll sein dass die Kontaktlisten von neuen Mitarbeiter auf beiden Standorten Deutschland/Schweiz automatisch repliziert wird. Die Standorte sollen ansich aber unabhängig bleiben. Falls dies nur mit einer AD Vertrauensstellung geht, kann man den Zugriff so einrichten dass nur die Kontakte und Verteiler repliziert werden und nicht der gesammte Global Catalog? Schlimm wäre es wenn ich z.B einen Kontakt in Outlook von Deutschland aus der Schweiz anwähle und auf die Eieruhr warten muss bis ich die Mail verschicken kann. LG Goat Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Hi, wie immer, es kommt da drauf an... Du kannst von Skripting bis zu echten Lösungen so ziemlich alles machen. Spontan fallen mir Quest (Dell?) und netsec (http://www.netsec.de/en/products/galsync/overview.html) ein. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Und dann gibt es noch Federation Trust mit MS dazwischen. ;) Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 27. September 2017 Autor Melden Teilen Geschrieben 27. September 2017 Und dann gibt es noch Federation Trust mit MS dazwischen. ;) Federation Trust, hast du mehr Infos dazu? Hab ich noch nie gehört Hi, wie immer, es kommt da drauf an... Du kannst von Skripting bis zu echten Lösungen so ziemlich alles machen. Spontan fallen mir Quest (Dell?) und netsec (http://www.netsec.de/en/products/galsync/overview.html) ein. Würde ja zu einer bidirektional trust neigen, habe aber etwas Bedenken dass es zu Problemen kommen kann. Zudem fehlen mir hier die praktischen Erfahrungswerte. Angenommen ich mounte einen öffentlichen Ordner von SiteA auf SiteB und Telekom meint sie muss wieder dazuwischenfunken..... Kann dann der Outlook Client von SiteA weiterhin problemlos arbeiten oder hängt sich Outlook dann auf? Syncronisierung von Adressbuch und Kontakten würden mir vollstens ausreichen. Würde Outlook auch hängen wenn ich das Adressbuch von Site B auf einem Outlookclient von Site A verwende? Eigendlich sollte soetwas ja im GC der jeweiligen Site gespeichert werden, sodass es egal ist welchen Kontakt ich wo aufrufe oder liege ich falsch? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 (bearbeitet) Zum Trust / Start hier: https://technet.microsoft.com/en-us/library/jj657473(v=exchg.150).aspx Nachtrag von Frank: https://www.msxfaq.de/konzepte/calfed/mfg.htm ;) bearbeitet 27. September 2017 von Nobbyaushb Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Moin, also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung. Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Und ein Federation Trust würde auch keine Kontaktsync oder -Darstellung ermöglichen afaik. Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 28. September 2017 Autor Melden Teilen Geschrieben 28. September 2017 Moin, also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung. Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt. Gruß, Nils Hi Nils, danke für deinen Beitrag. Kannst du mir bitte einen Umsetzungsratschlag geben? Ich dachte immer dass universelle Kontakte auf allen GC zwischen den Domaincontroller auch mit einem Trust automatisch repliziert werden. Ich selbst hab schon von Domaine A auf User in Domaine B zugegriffen. Wie bekomme ich es nun hin dass die Mailkontakte und Verteilerlisten in den Exchanges/Clients der 2 unterschiedlichen Domainen automatisch repliziert werden? LG und vielen Dank im Voraus. Goat Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 (bearbeitet) Moin, den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast. Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze: Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden. Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab. Gruß, Nils EDIT: Ich heiße natürlich Nils, nicht Niös. :D bearbeitet 28. September 2017 von NilsK Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 28. September 2017 Autor Melden Teilen Geschrieben 28. September 2017 (bearbeitet) Moin, den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast. Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze: Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden. Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab. Gruß, Niös Ok, da beide Standorte fusioniert wurden, stehen alle Optionen offen. Derzeit unterschiedliche Forest und Domainen. Gmeinsamen Forest wäre theoretisch möglich, sofern man dies umsetzen kann. Vor dieser Herausforderung stand ich bisher noch nicht und erlich gesagt muss ich mich da auch umfänglich einlesen..... Was wäre denn die schnellste / einfachste Umsetzung? Ein VPN Tunnel ist demnächst auch geplant. bearbeitet 28. September 2017 von goat82 Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 Moin, eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch. Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt. Gruß, Nils Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 28. September 2017 Autor Melden Teilen Geschrieben 28. September 2017 Moin, eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch. Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt. Gruß, Nils Also Galsync habe ich mir mal angesehen. Ist ziemlich teuer und auch sehr umfangreich. Da ein VPN Tunnel sowieso aufgebaut werden muss und die Dynamik überschaubar ist (200 User, Normale Fluktuation). Microsoft Identity Manager muss ich mir noch ansehen. Wie gesagt bin ich kein Experte, muss es aber schnellst möglich irgendwie umsetzen.... Derzeit werden die Kontakte einfach manuell nachgetragen. Würde die Skriptumsetzung so funktionieren: LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteA exportiert -> VPN Laufwerk LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteB exportiert -> VPN Laufwerk LDIFDE import skript auf beiden Seiten (nur neue Kontakte importieren) Nochmal zu dem Forests. Wenn eine Vertrauensstellung besteht könnte der Datenabgleich via Skript auch visuell im AD angesehen werden, sofern ein Lesezugriff auf die "fremde" Domaine besteht" Oder kann ich "fremde" Domainen mit Trust nur im AD einsehen wenn diese einen gemeinsamen Forest haben? Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 Moin, nein, so einfach ist es nicht. Mit so simplem Ex- und Imports bekommst du die Objekte nicht als mailaktivierte Objekte in die Exchange-Umgebungen eingebunden. Gruß, Nils Zitieren Link zu diesem Kommentar
goat82 2 Geschrieben 28. September 2017 Autor Melden Teilen Geschrieben 28. September 2017 Moin, nein, so einfach ist es nicht. Mit so simplem Ex- und Imports bekommst du die Objekte nicht als mailaktivierte Objekte in die Exchange-Umgebungen eingebunden. Gruß, Nils So ein kleiner Wunsch ergibt so eine Große Baustelle - Wahnsinn. Ich hätte mir das viel einfacher vorgestellt. Ohne Kosten im 4 stelligen Bereich.... Wäre ein Skript möglich woman zumindest über Adressänderungen informiert wird? User würden dann wie bisher manuell eingetragen.... Könnte ich die Useradressen/Verteiler in der fremden Domaine mit einem Trust im AD auch einsehen? Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 Moin, naja, organisatorisch mag der Wunsch klein sein, technisch hat er aber schon eine gewisse Größe. Das ist manchmal so. Treckerreifen an einem Golf mögen einem auch wie ein kleiner Wunsch vorkommen. Aber ganz ehrlich: Es gibt fertige Lösungen für das, was du vorhast. Wenn Skripte reichen, bin ich sicher, dass du auch kostenlose findest. Dann bleibt "nur noch" der Aufwand zum Testen. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.