Jump to content

Adresssyncronisation ohne Domain Trust möglich?


goat82
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ist es möglich ohne eine AD Vertrauenstellung bzw. VPN 2 Exchangeserver 2010 in verschiedenen Domainen und Standorten miteinander sprechen zu lassen?

 

Ziel soll sein dass die Kontaktlisten von neuen Mitarbeiter auf beiden Standorten Deutschland/Schweiz automatisch repliziert wird. Die Standorte sollen ansich aber unabhängig bleiben.

Falls dies nur mit einer AD Vertrauensstellung geht, kann man den Zugriff so einrichten dass nur die Kontakte und Verteiler repliziert werden und nicht der gesammte Global Catalog?

Schlimm wäre es wenn ich z.B einen Kontakt in Outlook von Deutschland aus der Schweiz anwähle und auf die Eieruhr warten muss bis ich die Mail verschicken kann.

 

 

LG Goat

Link zu diesem Kommentar

Und dann gibt es noch Federation Trust mit MS dazwischen.

 

;)

Federation Trust, hast du mehr Infos dazu? Hab ich noch nie gehört

Hi,

 

wie immer, es kommt da drauf an...

Du kannst von Skripting bis zu echten Lösungen so ziemlich alles machen.

 

Spontan fallen mir Quest (Dell?) und netsec (http://www.netsec.de/en/products/galsync/overview.html) ein.

 

Würde ja zu einer bidirektional trust neigen, habe aber etwas Bedenken dass es zu Problemen kommen kann. Zudem fehlen mir hier die praktischen Erfahrungswerte.

Angenommen ich mounte einen öffentlichen Ordner von SiteA auf SiteB und Telekom meint sie muss wieder dazuwischenfunken..... Kann dann der Outlook Client von SiteA weiterhin problemlos arbeiten oder hängt sich Outlook dann auf? Syncronisierung von Adressbuch und Kontakten würden mir vollstens ausreichen.

Würde Outlook auch hängen wenn ich das Adressbuch von Site B auf einem Outlookclient von Site A verwende?

Eigendlich sollte soetwas ja im GC der jeweiligen Site gespeichert werden, sodass es egal ist welchen Kontakt ich wo aufrufe oder liege ich falsch?

Link zu diesem Kommentar

Moin,

 

also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung.

 

Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung.

 

Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt.

 

Gruß, Nils

 

Hi Nils,

 

danke für deinen Beitrag.

Kannst du mir bitte einen Umsetzungsratschlag geben?

Ich dachte immer dass universelle Kontakte auf allen GC zwischen den Domaincontroller auch mit einem Trust automatisch repliziert werden.

Ich selbst hab schon von Domaine A auf User in Domaine B zugegriffen. Wie bekomme ich es nun hin dass die Mailkontakte und Verteilerlisten in den Exchanges/Clients der 2 unterschiedlichen Domainen automatisch repliziert werden?

 

LG und vielen Dank im Voraus.

Goat

Link zu diesem Kommentar

Moin,

 

den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast.

 

Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze:

  • Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden.
  • Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab.

Gruß, Nils

 

EDIT: Ich heiße natürlich Nils, nicht Niös. :D

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

 

den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast.

 

Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze:

  • Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden.
  • Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab.

Gruß, Niös

 

 

Ok, da beide Standorte fusioniert wurden, stehen alle Optionen offen. Derzeit unterschiedliche Forest und Domainen. Gmeinsamen Forest wäre theoretisch möglich, sofern man dies umsetzen kann.

Vor dieser Herausforderung stand ich bisher noch nicht und erlich gesagt muss ich mich da auch umfänglich einlesen.....

Was wäre denn die schnellste / einfachste Umsetzung?

Ein VPN Tunnel ist demnächst auch geplant.

bearbeitet von goat82
Link zu diesem Kommentar

Moin,

 

eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch.

 

Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch.

 

Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt.

 

Gruß, Nils

 

Also Galsync habe ich mir mal angesehen. Ist ziemlich teuer und auch sehr umfangreich.

Da ein VPN Tunnel sowieso aufgebaut werden muss und die Dynamik überschaubar ist (200 User, Normale Fluktuation).

Microsoft Identity Manager muss ich mir noch ansehen.

Wie gesagt bin ich kein Experte, muss es aber schnellst möglich irgendwie umsetzen....

Derzeit werden die Kontakte einfach manuell nachgetragen.

Würde die Skriptumsetzung so funktionieren:

LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteA  exportiert -> VPN Laufwerk

LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteB  exportiert -> VPN Laufwerk

LDIFDE import skript auf beiden Seiten (nur neue Kontakte importieren)

 

Nochmal zu dem Forests. Wenn eine Vertrauensstellung besteht könnte der Datenabgleich via Skript auch visuell im AD angesehen werden, sofern ein Lesezugriff auf die "fremde" Domaine besteht" Oder kann ich "fremde" Domainen mit Trust nur im AD einsehen wenn diese einen gemeinsamen Forest haben?

Link zu diesem Kommentar

Moin,

 

nein, so einfach ist es nicht. Mit so simplem Ex- und Imports bekommst du die Objekte nicht als mailaktivierte Objekte in die Exchange-Umgebungen eingebunden.

 

Gruß, Nils

 

So ein kleiner Wunsch ergibt so eine Große Baustelle - Wahnsinn.

Ich hätte mir das viel einfacher vorgestellt. Ohne Kosten im 4 stelligen Bereich....

Wäre ein Skript möglich woman zumindest über Adressänderungen informiert wird?

User würden dann wie bisher manuell eingetragen....

Könnte ich die Useradressen/Verteiler in der fremden Domaine mit einem Trust im AD auch einsehen?

Link zu diesem Kommentar

Moin,

 

naja, organisatorisch mag der Wunsch klein sein, technisch hat er aber schon eine gewisse Größe. Das ist manchmal so. Treckerreifen an einem Golf mögen einem auch wie ein kleiner Wunsch vorkommen.

 

Aber ganz ehrlich: Es gibt fertige Lösungen für das, was du vorhast. Wenn Skripte reichen, bin ich sicher, dass du auch kostenlose findest. Dann bleibt "nur noch" der Aufwand zum Testen.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...