SameOrg Migration : ADC-Synchronisation

ADC Vorbereitung

Der ADC repliziert später alle Exchange 5.5 Empfänger auf entsprechende Objekte im Active Directory. Dazu benutzt er einen Mechanismus, um bestehende Objekte zuzuordnen (Siehe ADC Matching) oder Platzhalterkonten (Siehe Disabled Account) anzulegen. Es ist erforderlich, dass ALLE Objekte aus Exchange 5.5 auch im Active Directory Forest vorhanden sind.

Diese Beschreibung geht davon aus, dass noch NIE der Active Directory Connector installiert war und es daher keine "Altlasten" gibt. Ob dies der Fall ist, können Sie herausfinden, indem Sie im Exchange 5.5 Verzeichnis als auch im Active Directory nach dem Feld ADCGlobalNames suchen. Sollten diese Felder mit Inhalten gefüllt sein, dann dürfen Sie NICHT weitermachen, denn es könnte sonst sein, dass Exchange 5.5 Postfächer gelöscht werden und andere unstimmigkeiten auftreten. Bereinigen Sie daher dann zuerst ihre QuellUmgebung oder fordern Sie fachliche Hilfe an.

Ehe Sie nun aber sofort zur Installation gehen, sollten Sie folgende Checkliste abarbeiten:

Unterstützung durch Net at Work:
Diese Liste ist nicht vollständig, sondern listet nur die häufigsten Fehler und Hinweise auf. Sie kann weder eine gute Planung noch entsprechendes Wissen ersetzen. Wir helfen gerne aus.

• Ein Postfach = eine AD-User und NTDSNoMatch
  Denken Sie immer daran, dass ein Exchange 5.5 Postfach genau ein primäres Windows NT Konto hat und dieses auch eindeutig sein muss. Zwei Postfächer dürfen also weder das gleiche Windows NT Konto haben noch einer Gruppe zugeordnet sein. Lösen Sie diese Konflikte auf jeden Fall vor der Installation des ADC auf, da die Arbeit hinterher um einiges schwieriger ist. Die ADCTOOLS und NTDSNoMatch helfen ihnen dabei.
  Gerade wenn Benutzer mit ADMT bei der Migration der Domänen verlagert wurden, können diese über die SID-History immer noch auf ihr Exchange 5.5 Postfach zugreifen,. Sorgen Sie aber dafür. dass im Exchange 5.5 das "richtige" primäre Konto eingetragen ist. Auch hier hilft ihnen ADMT.
• Gruppen = Verteiler und Gruppennamenkonzept
  Aus jedem Exchange Verteiler wird ein Active Directory Verteiler. Sobald dieser dann zur Vergabe von Berechtigungen (z.B. öffentliche Ordner) genutzt wird, konvertiert der STORE.EXE den Verteiler in einer Sicherheitsgruppe. Spätestens dann wird der Verteiler auch für Berechtigungen auf Freigaben etc. sichtbar. Überlegen Sie daher vorher, ob sie solche "gemischt" genutzten Gruppen möchten oder eine klare Trennung erforderlich ist. Dann sollten Sie aber den Namen so ändern, dass die Verteiler nicht für andere Zwecke missbraucht werden.
  Siehe auch Windows Gruppen und Berechtigungen und
• ADC-Service Account für Exchange
  Der ADC muss für den Zugriff auf das Exchange Verzeichnis einen Benutzer mit entsprechenden Berechtigungen nutzen. In kleineren Umgebungen bietet es sich an, das Exchange Dienstkonto oder den Administrator zu nutzen. Oft ist sogar leider der Administrator zugleich Dienstkonto. Generell sollten Sie aber überlegen, dem ADC ein eigenes Dienstkonto mit expliziten Berechtigungen zu geben. Dies müssen Sie Eventuell pro Exchange Standort einrichten
• ADC-Service Account für Active Directory
  Auch für den Zugriff auf das Active Directory ist mindestens ein Dienstkonto pro Domäne erforderlich. Auch hier sollten sie nicht den Administrator nutzen. Die Gefahr ist zu hoch, dass durch eine erforderliche KennwortÄnderung der ADC nicht mehr funktioniert.
• BACKUP BACKUP BACKUP
  Der ADC liest und schreibt in beiden Verzeichnisdiensten, wenn Sie die Konfiguration für die Migration einstellen. Dabei kann auch einmal etwas falsch laufen. Exportieren Sie daher zumindest die vom ADC betroffenen Objekte vor dem ersten Lauf, um eventuell Änderungen erkennen zu können.
  Siehe auch Windows Hilfsprogramme - LDIFDE
• ADC Option: "Rename des DN"'
  Der ADC benennt normalerweise den Verzeichnisnamen des Zielobjekts im Active Directory um. Dies ist meist nicht gewünscht. Schalten Sie es dann vorher ab. Siehe auch ADC Verbindungsvereinbarungen im Detail und Q269843: XADM: ADC Overwrites Display Name with Exchange Server 5.5 Display Name
• Wer hat Angst vor "ADCGlobalNames"
  Nicht immer beginnen Sie auf einer grünen Wiese. Kann es sein, dass vielleicht jemand vor ihnen schon mal eine Exchange Migration "versucht" hat ?. Vielleicht gab es früher schon einen ADC und hat Objekte miteinander verbunden. Wenn Sie dann wieder einen ADC installieren, dann nutzt dieser die bestehenden Zuordnungen. Es kann dann aber auch passieren, dass Daten durch vermeintlich neuere Einträge des anderen Verzeichnisdienstes überschrieben werden. Mit fatalen Folgen. Daher sollten Sie sicherstellen, dass hier keine Gefahr droht. Siehe auch ADCGlobalNames

ADC Installation und Konfiguration

Nun kommt der große Moment, bei dem die ADC-Verbindungsvereinbarungen eingerichtet werden. Hierzu helfen ihnen neuerdings die ADCTOOLS, aber Sie sollten dennoch verstanden haben, was der ADC wie durchführt und welche CAs sie letztlich einrichten müssen. Siehe auch ADC CAs

Als Installationsquelle sollten Sie den aktuellsten ADC hernehmen, den Sie gerade erhalten können. Auch der ADC wird durch Service Packs etc. immer wieder aktualisiert. Dabei enthält das Service Pack immer eine volle Installation des ADC. Es ist also nicht erforderlich, erst die alte Version zu installieren und dann durch ein Servicepack zu aktualisieren.

Ehe Sie die CAs alle einrichten, sollten Sie vielleicht überlegen, das Diagnoseprotokoll des ADC etwas anzuheben, um Fehler bei der ersten Replikation gleich zu erkennen. Allerdings sollten Sie dann auch gleich über eine Eventlog Überwachung a la MOM2005 oder ähnliches nachdenken, da die Fehler nicht einfach in der Fülle der "Information"-Meldungen auszumachen sind.

• Löschen ist Löschen
  Denken Sie genau nach, wenn Sie ein Objekt löschen, denn ein Löschbefehl wird auch in das andere Verzeichnis repliziert. Früher konnten Sie einen NT-Benutzer löschen, aber das Postfach ist erhalten geblieben. Nun ist das Postfach auch gelöscht. Denken Sie darüber nach, zukünftig Konten erst zu deaktivieren und nach einiger Zeit zu löschen oder die Daten vorher an ein anderes Postfach zu übertragen.
  Wenn der ADC jedoch nicht löscht, dann müssen Sie manuell diese Aktionen nach einer Überprüfung durchführen, da ansonsten ihre beiden Verzeichnisse nicht synchron sind, was beim Mailrouting zu Problemen führen kann.
• Richtung vorgeben
  Denken sie darüber nach, einige Tage nur in eine Richtung zu replizieren, um Fehler oder unstimmigkeiten zu erkennen und immer wieder neu replizieren zu können. Sobald bidirektional repliziert wird, ist ein Fehler doppelt tragisch.
• TargetPfad durch EX55 DN Vorgeben
  im ADC können Sie konfigurieren, ob die OU-Struktur des AD unter Exchange 5.5 und umgekehrt analog abgebildet werden soll. Denken Sie daran, dass Sie Objekte im AD problemlos zwischen OUs verschieben können, aber dies in Exchange 5.5 nicht möglich ist.
• Public Folder CA
  Ehe eine öffentliche Ordner Vereinbarungen eingerichtet wird, sollte die Postfach/Kontakt-Verbindung funktionieren, da ansonsten die Ordnerberechtigungen nett Fehler im Eventlog produzieren, dass die Sicherheits-ID's nicht zugeordnet werden können. Frühere Versionen haben unter ungünstigen Bedingungen die Rechte in Exchange 2000 komplett gelöscht.
• Mehrere Sites
  Wenn sie eine weitere Exchange 5.5. Site haben und gerne auch diese Empfänger in Outlook mit Exchange 2000 nutzen möchten, dann sollten Sie bedenken, dass jedes Objekt im Adressbuch unter Exchange 2000 im Active Directory entweder ein Benutzer (mailenabled) oder ein Kontakt ist. Entsprechend werden die Benutzer in ihrer Domäne bei der Replikation angelegt. Denken Sie daran, wenn sie parallel ihr Active Directory installieren. Im Idealfall ist das Active Directory zuerst komplett verteilt, damit diese Konten gleich in der richtigen Domäne und OU angelegt werden können.
• ADC Verbindungen (CA)
  Beachten Sie, welche Server sie als Quelle und Ziel angeben und welche Container und OU's. Dies ist besonders wichtig, wenn Sie neue Objekte anlegen, damit diese im richtigen Zielcontainer angelegt werden. Auch muss sichergestellt werden, dass die Replikation funktioniert, nachdem Sie Benutzer im AD zwischen OUs verschoben haben. Auch Verteiler sind hierbei zu beachten. Unter umständen hat ein ADC viele Verbindungsvereinbarungen zu steuern. Nur in den seltensten Fällen reicht es, drei CAs (Config, Empfänger, öffentlicher Ordner) zu installieren.
  Siehe auch ADC CAs und ADC Verbindungsvereinbarungen im Detail
• Tipp aus dem Exchange 2000 Public Folder Dokument
  Always configure User & Public Folder CAs to replicate between W2K DC/GC and an SRS where possible (obviously this can’t be done für sites with are pure Exchange 5.5). When an Exchange 2000 server is added to an Exchange 5.5 site, move any existing User & Public Folder CAs to replicate with the SRS. The SRS uses LDAP Port 379. This is because SRS’ hold the writeable copies of pure Exchange 2000 Admin Groups.

ADC Nachbereitung

Wenn Sie alle CAs eingerichtet haben und diese korrekt durchgelaufen sind, dann beginnt die Nachkontrolle:

• Alle Objekte gematched ?
  Der erste Blick sollte der GAL gelten. Zählen Sie einfach im Exchange 5.5 System Manager die Anzahl der Empfänger in der GAL und vergleichen dies mit der Anzahl der Exhange Empfänger, die Sie mit der MMC für Benutzer und Computer auf dem ADC-Server finden können. Sie Anzahl sollte ziemlich gleich sein. Beachten Sie, dass es in Exchange 5.5 verborgene Empfänger gibt. Zählen Sie daher richtig.
• Vergleich Alt-Neu
  Wenn Sie vor dem Einrichten der CAs einen Export der Verzeichnisse durchgeführt haben, dann könnten Sie nun noch mal einen Export durchführen und die beiden Inhalte vergleichen. Natürlich ändert der ADC jede Menge Felder, so dass Sie sich auf eine Auswahl beschränken müssen. So ist z.B.: ein Vergleich der primären SMTP-Adressen oder der Mitglieder in Verteilern ein gutes Kriterium, um Fehler zu erkennen.
  Dies eignet sich besonders um falsch zugeordnete Postfächer zu erkennen, d.h. wenn z.B.: ihre Mailadresse plötzlich auch "support@firma.de" lautet, nur weil Sie auch dort als primäres Postfach eingetragen waren.
• Deaktivierte Konten und ADClean
  Das gleich gilt für deaktivierte Konten, die der ADC immer dann anlegt, wenn er keine Übereinstimmung finden kann.
  Suchen Sie gezielt nach diesen Konten und prüfen Sie, wie diese Probleme aufzulösen sind. Siehe auch ADClean
• Verteiler
  Jeder Exchange Verteiler wird zu einem Active Directory Verteiler und später eventuell zu einer Sicherheitsgruppe. Jetzt ist eine gute Möglichkeit ihr Namenskonzept für Gruppen umzusetzen, Gruppen zusammenzufassen oder zu vereinfachen. Allerdings gibt es von Microsoft kein Tool ähnlich zu ADClean, um die Exchange Eigenschaften zu übertragen. Es kann hier auch leider keinen Automatismus geben. Allerdings könnten Sie z.B.: per VBScript die Felder eines Verteilers natürlich auslesen, den Verteile entfernen und die Felder an eine vorhandene Sicherheitsgruppe anfügen. Achten Sie dabei aber auf ADCGlobalNames und die Funktion des ADC, auch Löschbefehle zu replizieren

Unterstützung durch Net at Work:
Bislang hatte noch kein Kunde die Anforderung, ein solches Skript für müssenÄnderungen zu entwickeln. Die meisten Firmen halten Verteiler und Sicherheitsgruppen getrennt. Wenn Sie Bedarf für das Verschmelzen von Verteilern mit vorhandenen Gruppen haben, dann sprechen Sie uns auf eine Lösung an.

Der ADC ist, wenn er richtig konfiguriert ist, ein problemloser Geselle, der sehr einfach die beiden Verzeichnisse synchron hält. Wenn er aber an der Arbeit gehindert wird (Namensauflösung, Rechte etc.) oder Sie durch administrative Tätigkeiten z.B. Benutzer löschen und nicht an den ADC denken, dann können Sie z.B. Postfächer dauerhaft verlieren, so dass nur ein Restore die Daten wieder holt.