2 Exchange domeinen compleet los van elkaar - Serversoftware en clouddiensten

dinsdag 14 augustus 2007 09:43

Acties:

Topicstarter

Ik ben al weken bezig om 2 Exchange domeinen compleet los van elkaar te laten draaien.

Het gaat om een e-mail domein voor personeel en een apart domein voor leerlingen.

De volgende mogelijkheden heb ik geprobeerd;

- Een 2de Exchange server in hetzelfde domein
- Een 2de Exchange server in een child domein
- Een 2de Exchange server in een tweede domein
- Op de 2de Exchange server een nieuw forest gemaakt.

In het geval van de laatste optie, had ik eindelijk een aparte Exchange organization.
Maar het probleem is dat er dan 2500 leerling-accounts in forest 1 staan, die accounts worden gebruikt voor het schooladministratie systeem (online cijfers/rooster opvragen)

Maar dezelfde users moeten aanwezig zijn in forest 2, want je kan niet een user van forest 1 een mailbox geven op een Exchange server in forest 2.

Ik zal dus een user syncronization moeten opzetten die de users en password changes synchroniseerd van forest 1 naar forest 2.

Wie kan me in de juiste richting helpen naar de beste manier om deze synchronisatie op te zetten?
Of een beter idee n.a.v. bovenstaand verhaal.

dinsdag 14 augustus 2007 10:08

Acties:

Rfce

Veni, Vidi, Vici

waarom wil je een apart domain voor leerlingen en personeel in the first place?? Voor het overzicht?

euh...ja

dinsdag 14 augustus 2007 10:14

Acties:

Ye Greate'96

Topicstarter

Ik vind het persoonlijk een onveilige situatie om de boel niet te scheiden, uiteindelijk zullen leerlingen altijd proberen gaten te ontdekken in het systeem

En aangezien het toch in het begin een test situatie is, wil ik dat het personeel geen hinder ondervindt van instellingen e.d. en wil ik rustig de boel kunnen herstarten bijv.

dinsdag 14 augustus 2007 10:33

Acties:

sanfranjake

Computers can do that?

Waarom zou je het zo moeilijk willem maken voor je zelf. Qua rechten is dit uitstekend allemaal binnen een enkel domein af te timmeren. Dat is nou juist het grote voordeel van Active Directory.
De scenarios die je hierboven noemt heb ik dikwijls nachtmerries over de nacht nadat ik het geforceerd bij een klant moest uitrollen, en het voldoet na een paar weken vaak toch niet aan de verwachting (hint: wacht op de eerste sync die fout gaat

)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 14 augustus 2007 10:55

Acties:

Ye Greate'96

Topicstarter

Mjah, ik wilde het graag zo gescheiden mogelijk houden, maar ja een user sync zie ik toch ook niet graag tegenmoet.

Ik onderneem deze week nog een laatste keer de poging om de server in hetzelfde domein te hangen en uitgebreid te kijken hoe ik de boel toch kan scheiden d.m.v. rechten!

dinsdag 14 augustus 2007 11:37

Acties:

sanfranjake

Computers can do that?

Gewoon een boek over les 1 active directory (70-290) lezen, dan snap je het wel. Is namelijk heel simpel

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 14 augustus 2007 22:37

Acties:

Verwijderd

Je moet dan met dingen als MIIS of andere 3rd party tools gaan werken om beide forests te synchen. Zie verder sanfranjake want je maakt het jezelf nodeloos moeilijk

dinsdag 14 augustus 2007 22:50

Acties:

McMiGHtY

- burp -

Eigenlijk heel simpel.

Je installeert de 2de exchange op een aparte server. Moved de leerlingen mailboxxen er naar toe. Haalt hem fysiek uit het domain en seized vervolgens alle rollen er weer naar toe.

Als je dit een beetje vlot kan doen en de mailboxxen zijn niet al te groot...ben je met een dagje klaar en heb je een eigen AD voor je leerlingen.

Vervolgens je fysieke netwerk uit elkaar trekken middels wat vlans..tadaa, je hebt een gescheiden netwerk voor leerlingen en personeel.

NEW - Het Grote - 2026 Tweakers Social Ride- Topic!

dinsdag 14 augustus 2007 22:56

Acties:

sanfranjake

Computers can do that?

McMiGHtY schreef op dinsdag 14 augustus 2007 @ 22:50:
Eigenlijk heel simpel.

Je installeert de 2de exchange op een aparte server. Moved de leerlingen mailboxxen er naar toe. Haalt hem fysiek uit het domain en seized vervolgens alle rollen er weer naar toe.

Als je dit een beetje vlot kan doen en de mailboxxen zijn niet al te groot...ben je met een dagje klaar en heb je een eigen AD voor je leerlingen.

Vervolgens je fysieke netwerk uit elkaar trekken middels wat vlans..tadaa, je hebt een gescheiden netwerk voor leerlingen en personeel.

Maar wat nou als dan ineens die netwerken om wat voor reden dan ook weer wel met elkaar moeten kunnen praten (er is vast een of andere database of wat voor relatie dan ook).....

Nofi, maar imo is de oplossing die je nu noemt nog slechter dan het idee van ts, wat opzich best kan maar nodeloos complex wordt terwijl het veel simpeler kan.

Je zou ook nog dubbele domeincontrollers moeten hebben, opruimen uit AD, en Exchange tweemaal alle unieke rollen configureren. Bound to go wrong fast.

[ Voor 7% gewijzigd door sanfranjake op 14-08-2007 23:00 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 15 augustus 2007 08:39

Acties:

Ye Greate'96

Topicstarter

Ik heb nu de tweede Exchange server in hetzelfde domein gehangen (in test omgeving)

De leerlingen gaan alleen gebruik maken van Outlook Web Access.

Opzich gaat het allemaal goed, maar het enige dat ik nu niet voor elkaar krijg is het volgende:

De leerlingen staan in OU=LL en hebben een account op MAIL2
Personeel staat in OU=COL en hebben een account op MAIL1

Wanneer ik nu een leerling inlog in OWA en ik zoek in het algemene adresboek (GAL) dan krijg ik daar steeds rustig ook het personeel als result.

Ik heb alle rechten bekeken en aangepast, maar hij blijft steeds deze results geven.
Is de GAL uit te schakelen voor specifieke accounts?

woensdag 15 augustus 2007 17:51

Acties:

Verwijderd

ummm ik snap je probleem niet echt.

Je kan een trust aanleggen tussen de 2 domainen (1 way) zodat je de accounts uit domain 1 rechten kan geven op resources/apps in domain 2. Hierdoor kunnen ze zowieso minder in domain 2, maar als je bang bent dat ze bugs/exploits gaan gebruiken lost dat ook weinig op.

2 forests zonder trusts levert ook weinig op als je bang bent voor bugs/exploit overigens, tenzij je ook 2 fysiek andere netwerken gaat gebruiken.

woensdag 15 augustus 2007 17:55

Acties:

Verwijderd

sanfranjake schreef op dinsdag 14 augustus 2007 @ 22:56:
[...]

Maar wat nou als dan ineens die netwerken om wat voor reden dan ook weer wel met elkaar moeten kunnen praten (er is vast een of andere database of wat voor relatie dan ook).....

Nofi, maar imo is de oplossing die je nu noemt nog slechter dan het idee van ts, wat opzich best kan maar nodeloos complex wordt terwijl het veel simpeler kan.

Je zou ook nog dubbele domeincontrollers moeten hebben, opruimen uit AD, en Exchange tweemaal alle unieke rollen configureren. Bound to go wrong fast.

/signed. Nu kan je geen koppelingen meer maken aangezien beide domains dezelfde naam en guids hebben. (wel grappig dat hier ook nog vanuit gegaan wordt dat AD op dezelfde server staat als exchange).

woensdag 15 augustus 2007 17:56

Acties:

sanfranjake

Computers can do that?

Verwijderd schreef op woensdag 15 augustus 2007 @ 17:55:
[...]

/signed. Nu kan je geen koppelingen meer maken aangezien beide domains dezelfde naam en guids hebben. (wel grappig dat hier ook nog vanuit gegaan wordt dat AD op dezelfde server staat als exchange).

Toch ben ik al eens zo'n soort "oplossing" tegengekomen. Dus er zijn engineers die deze in de praktijk uitvoeren

Topicstarter heeft voor Exchange wel iets aan http://www.msexchange.org..._Exchange_2003_Part1.html denk ik

[ Voor 12% gewijzigd door sanfranjake op 15-08-2007 18:01 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 15 augustus 2007 20:50

Acties:

Ye Greate'96

Topicstarter

sanfranjake schreef op woensdag 15 augustus 2007 @ 17:56:
[...]

Toch ben ik al eens zo'n soort "oplossing" tegengekomen. Dus er zijn engineers die deze in de praktijk uitvoeren

Topicstarter heeft voor Exchange wel iets aan http://www.msexchange.org..._Exchange_2003_Part1.html denk ik

Die link is wel nuttig, maar biedt me dan helaas niet de oplossing voor het probleem dat leerlingen niet door de GAL mogen zoeken. (personeel staat daar met voor en achternaam en nog wat informatie, wat ze niks aan gaat)

Vreemd dat het zoeken naar het uitschakelen van de GAL tot nu toe niks oplevert

woensdag 15 augustus 2007 20:55

Acties:

Verwijderd

Ye Greate'96 schreef op woensdag 15 augustus 2007 @ 08:39:
Ik heb nu de tweede Exchange server in hetzelfde domein gehangen (in test omgeving)

De leerlingen gaan alleen gebruik maken van Outlook Web Access.

Opzich gaat het allemaal goed, maar het enige dat ik nu niet voor elkaar krijg is het volgende:

De leerlingen staan in OU=LL en hebben een account op MAIL2
Personeel staat in OU=COL en hebben een account op MAIL1

Wanneer ik nu een leerling inlog in OWA en ik zoek in het algemene adresboek (GAL) dan krijg ik daar steeds rustig ook het personeel als result.

Ik heb alle rechten bekeken en aangepast, maar hij blijft steeds deze results geven.
Is de GAL uit te schakelen voor specifieke accounts?

Dat is niet zo heel moeilijk hoor

Beetje zoeken op hide GAL en je komt een heel eind

. Zie ook SFJ's link

woensdag 15 augustus 2007 21:15

Acties:

sanfranjake

Computers can do that?

Ye Greate'96 schreef op woensdag 15 augustus 2007 @ 20:50:
[...]

Die link is wel nuttig, maar biedt me dan helaas niet de oplossing voor het probleem dat leerlingen niet door de GAL mogen zoeken. (personeel staat daar met voor en achternaam en nog wat informatie, wat ze niks aan gaat)

Vreemd dat het zoeken naar het uitschakelen van de GAL tot nu toe niks oplevert

Volgens mij moet je ff die zonnebril afzetten, want als je dat document wat ik net postte volgde krijg je precies dit voor elkaar.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 16 augustus 2007 10:06

Acties:

Ye Greate'96

Topicstarter

Nou ik heb alles tot op de letter gevolgd, maar een leerling krijgt nog vrolijk alle users te zien uit de AD bij een zoekopdracht vanuit Web Access.

Het enige dat genoemd wordt wat mogelijk een oplossing biedt is dat je voor iedere user de msExchQueryBaseDN property aanpast, maar dat lijkt me wat veel werk voor 2500 users.
Handig genoeg bestaat deze property niet voor een groep, enkel voor users.

De enige verklaring die ik kan bedenken is dat het zoeken in de GAL vanuit OWA, niet daadwerkelijk de "All Global Address lists" gebruikt, maar een query loslaat die Exchange users zoekt in de hele AD.

Ik heb ook vanuit ADSIEDIT ervoor gezorgd dat de groep "Alle Leerlingen" geen toegang heeft op de OU van de collega's. Maar ook dit maakt niets uit.

Waarvan moet ik de rechten weghalen om een search vanuit OWA tegen te gaan zonder de propertie van 2500 users aan te passen?

edit:
Het tootlje ADModify kan wel voor de 2500 users in een keer de msExchQueryBaseDN aanpassen, maar dat is helaas nog geen oplossing voor nieuwe users.

Het geeft wel het gewenste resultaat. Leerlingen kunnen alleen nog maar andere leerlingen vinden vanuit OWA. Maar ik denk dat er verder geen andere mogelijkheid is, dus ik hou het wel hierbij

[ Voor 15% gewijzigd door Ye Greate'96 op 16-08-2007 10:20 ]

donderdag 16 augustus 2007 11:21

Acties:

sanfranjake

Computers can do that?

Ye Greate'96 schreef op donderdag 16 augustus 2007 @ 10:06:
Het enige dat genoemd wordt wat mogelijk een oplossing biedt is dat je voor iedere user de msExchQueryBaseDN property aanpast, maar dat lijkt me wat veel werk voor 2500 users.
Handig genoeg bestaat deze property niet voor een groep, enkel voor users.

Ze hebben die stap ook niet voor jan met de korte achternaam vermeld

Gewoon fijn scripten. Het is immers een AD property

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 16 augustus 2007 15:25

Acties:

Ye Greate'96

Topicstarter

sanfranjake schreef op donderdag 16 augustus 2007 @ 11:21:
[...]

Ze hebben die stap ook niet voor jan met de korte achternaam vermeld Gewoon fijn scripten. Het is immers een AD property

Jippie !

Bedankt voor de link in elk geval. Ga toch snel eens testen met 2007, eens zien of ze het daar wat easier hebben gemaakt !

Pagina: 1

Reageer