UPN-Suffix: Die Verwaltungsgrenze für diese Anforderung wurde überschritten

[nori00 0]

Hallo

 

Wir stehen vor einem Exchange Problem, für das wir bisher keine brauchbare Lösung finden konnten:

Unserer Exchange-Umgebung verwaltet mehrere Kunden, wobei jeder Kunde seine eigene Domain nutzt. Für jeden Kunde gibt es eine eigene OU im AD, sowie ein UPN-Suffix.
Im Moment können keine neuen Domains mehr hinzugefügt werden, da wir das UPN-Suffix Limit erreicht haben:

 

Die Verwaltungsgrenze f\Uffffffffse Anforderung wurde \Uffffffffhritten 
In Zeile:1 Zeichen:1 + Set-ADForest -Identity XX -UPNSuffixes @{add="XX"} + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (XX:ADForest) [Set-ADForest], ADException + FullyQualifiedErrorId


[PS] C:\Windows\system32>(Get-ADForest).UPNSuffixes.Count
1273

 

Wir haben gelesen, dass ein Forest-Split eine Lösung sein könnte – jedoch können wir aufgrund von internen Einschränkungen derzeit keinen 2. Domaincontroller nutzen.

Kennt jemand eine andere Lösung?

 

Danke für die Hilfe :)

[NorbertFe 2.061]

vor 44 Minuten schrieb nori00:

keinen 2. Domaincontroller nutzen.

Wie? Ihr habt 1273 Kunden mit ihren DNS Domains in eurem Exchange und nur einen DC? Ich bezweifle, dass die Anzahl der DomainController Einfluß auf die maximale Anzahl von UPNSuffixes im Forest hat. Wenn ihr nen neuen Forest aufmachen wollt/müsst, dann wird natürlich die Exchangeverwaltung entsprechend komplexer.

 

Kurz Google angeworfen und das bestätigt eure 1273 UPN Suffixes:

https://stackoverflow.com/questions/33734254/max-number-of-upn-suffixes-2012-r2-forest

 

Evtl. hilft euch dann AD mit DCs für 2025 und deren größerer Database Pages (32kB statt 8kB).

 

Bye

Norbert

bearbeitet 28. November von NorbertFe

[cj_berlin 1.329]

Moin,

 

ketzerische Frage: braucht ihr die UPN-Suffixe der Kunden wirklich in der Forest-Konfiguration? So lange keine Cross-Forest-Authentifizierung im Spiel ist, kannst Du den userPrincipalName frei setzen, und innerhalb des eigenen Forests wird die Authentifizierung damit auch funktionieren.

[NorbertFe 2.061]

Ich vermute, den Kunden wird mitgeteilt, dass sie sich mit ihrer "E-Mailadresse" anmelden müssen/können. Und leider ist das dann afaik notwendig. Lasse mich aber gern eines besseren belehren. 

[cj_berlin 1.329]

Innerhalb eines Forests ist UPN ein frei beschreibbares Feld (nur nicht mit ADUC/ADAC). Nur wenn Suffix Routing ein Thema wird, muss es in die Konfig.

 

Natürlich packen wir es immer in die Konfig, wenn möglich, aber Kerberos innerhalb des Forests funktioniert auch ohne.

[NorbertFe 2.061]

Achso, du meinst, man schreibt den UserUPN einfach per anderem Tool (außer ADUC/ADAC) und trotzdem kann sich der User dann mit dem UPN korrekt anmelden. Danke, hab ich entweder jetzt gelernt oder wieder aus den letzten Ecken meines Hirns hervorgekratzt. Fällt mir nämlich ein, dass ich das vor Jahren mal festgestellt hatte, als ich den UPN direkt per Skript reingeschrieben hatte. ;)

[NilsK 2.957]

Moin,

 

jaja, eine von diesen vielen im Detail lustigen Implementierungen im AD, deren Details man fast nie kennen muss, außer wenn ... oder wenn man halt drüber stolpert.

 

Was mir dabei einfällt: Wie ist es mit UPN-Suffixes, die man auf OUs definiert? Taugen die fürs Suffix Routing?

 

Gruß, Nils

 

[nori00 0]

Danke für eure Nachrichten :)

 

Ich habe unsere Exchange Umgebung von jemandem übernommen und kenne noch nicht alle Funktionen/Möglichkeiten. Arbeite auch meistens nur mit Linux.

Das mit dem 2. DC ist eine lange Geschichte, es geht zur Zeit wegen interen Einschränkungen nicht.

 

Genau, unsere Kunden melden sich mit der Email-Adresse am OWA/Client an.
Wäre das trotzdem mit Suffix Routing möglich?

 

Ich habe mal gehört, dass das Limti der UPN Suffixes in der Registy anpassen kann - finde dazu aber nichts. Wisst ihr etwas darüber?

[NilsK 2.957]

Moin,

 

der Punkt ist, dass ihr wahrscheinlich gar kein Suffix Routing braucht. In dem Fall braucht ihr also die UPN Suffixes auch nicht in die AD-Konfig aufzunehmen. Ihr definiert einfach den gewünschten UPN beim Anlegen des Users mit einem Tool, das nicht "AD-Benutzer und -Computer" ist.

 

Abgesehen davon, scheint mir das Konstrukt insgesamt durchaus noch mal ein Review zu vertragen. Und das mit dem zweiten DC, den ihr nicht habt, ist aus meiner Sicht ein No-go.

 

Gruß, Nils

 

[mwiederkehr 382]

Beim Setzen von Suffixes, die nicht global erfasst sind, muss man aufpassen: Bearbeitet man den Benutzer im ECP (um beispielsweise die Postfachgrösse zu erhöhen), setzt es beim Speichern das Suffix auf den ersten Suffix (die interne Domäne). Der Kunde wird kurz danach anrufen und melden, dass er sich nicht mehr anmelden kann. Aber bei über 1000 Kunden wird man nebst einem zweiten DC auch über eine Verwaltungssoftware (wie SolidCP) nachdenken.

[NorbertFe 2.061]

vor 7 Minuten schrieb mwiederkehr:

Aber bei über 1000 Kunden wird man nebst einem zweiten DC auch über eine Verwaltungssoftware (wie SolidCP) nachdenken.

Ach iwo ;)