Active Directory Migration – Exchange First

Bei den meisten Active Directory Migrationen geht es darum Domänen zu konsolidieren oder neue Geschäftsbereiche einzugliedern.

Wichtigstes Ziel dieser Migrationsprojekte ist es, die Möglichkeiten der Zusammenarbeit oder Collaboration zu verbessern. Um dieses Ziel möglichst früh zu erreichen, sollte eine Exchange First – Migration geprüft werden.

Zwei Möglichkeiten für Active Directory und Exchange Migrationen

 Verfolgt man die in den meisfeatureen Fällen angewendete Migrationsstrategie, so erreicht man das Ziel der verbesserten Zusammenarbeit bzw. Collaboration erst recht spät. Dies ist darin begründet, dass zunächst die Computer migriert werden müssen. Ich möchte im Folgenden kurz beide Vorgehensweisen vergleichen und dann detaillierter auf Exchange First eingehen.

Welche Exchange Migrationen? Welche Technik, welches Tool?
Wir helfen Ihnen mit unserer Erfahrung: FirstAttribute

Computer zuerst migrieren: Die verbreitete Migrationsstrategie

1. Migration der Benutzerkonten und Gruppen
2. Migration der Computer > danach erfolgt die Benutzeranmeldung an der Ziel Domäne
3. Migration der Postfächer
4. Verbesserte Zusammenarbeit ermöglicht

Erst nachdem die Computermigration abgeschlossen ist, beginnt die E-Mail Migration und die Vorteile einer gemeinsamen Active Directory Domain / Exchange Organisation werden für den Anwender sichtbar. Da die Computermigration meistens eine längere Zeit dauert, stellt sich dieser Projekterfolg erst sehr spät ein.

Mit einem Trick lässt sich die E-Mail Migration vor der Computermigration durchführen, eine sog. “Exchange First” Migration.

Reihenfolge der Migrationsschritte bei “Exchange First”

1. Migration der Benutzerkonten und Gruppen
2. Migration der Postfächer
3. Verbesserte Zusammenarbeit ermöglicht
4. Migration der Computer > danach erfolgt die Benutzeranmeldung an der Ziel Domäne

Exchange First

Die Exchange First Migration bedient sich einer technischen Möglichkeit von Exchange – dem Resource Forest. In einem Resource Forest existieren deaktivierte Benutzerkonten mit Postfächern. Die Postfächer werden in sog. “linked mailboxes” umgewandelt. Bei der Umwandlung in eine “linked mailbox” wird ein “linked master account” eingetragen, welcher automatisch vollen Zugriff auf das Postfach erhält. Der “linked master account” ist in diesem Fall das Benutzerkonto aus der Quell Domäne. Technisch erkennt man solche Benutzerkonten daran, dass eine SID im Attribut “msExchMasterAccountSid” eingetragen ist. Das Postfach ändert seine Eigenschaft “RecipientTypeDetails” von “UserMailbox” auf “LinkedMailbox“.

Die Benutzer melden sich nach der Postfach Migration nach wie vor an ihrem Computer in der Quell Domäne mit ihrem Benutzerkonto aus der Quell Domäne an und nutzen das migrierte Postfach in der Zielumgebung.

Der Quest Migration Manager for Exchange unterstützt diese Migrationsstrategie und kann automatisch deaktivierte Benutzerkonten und linked mailboxes anlegen. Wir untersützen Sie: Exchange Migration mit QMM

Mögliche Probleme

Mit einer “linked mailbox” funktionieren alle wichtigen Funktionen des Postfachs, wie z.B. freigegebene Kalender. Problematisch wird dies, wenn in der Ziel Domäne bereits aktive Benutzerkonten existieren. Dies kann der Fall sein, wenn es eine konzernweite Anwendung gibt, welche ein Benutzerkonto in der Ziel Domäne erfordert. Diesen Benutzerkonten kann keine “linked mailbox” zur Verfügung gestellt werden, da dafür das Benutzerkonto deaktiviert sein muss. Aktivierte Benutzerkonten erhalten eine normale “UserMailbox”, es wird kein “linked master account” eingetragen, somit hat das Benutzerkonto  aus der Quell Domäne keinen Zugriff. Durch die Vergabe von “full mailbox access” und “send-as” für das Benutzerkonto aus der Quell Domäne scheint sich das Problem lösen zu lassen, leider aber nur auf den ersten Blick. So lange der Benutzer aus der Quell Domäne nur mit seinem persönlichen Postfach arbeitet, ist die Welt für ihn in Ordnung. Auch der Zugriff auf “shared mailboxes” ist möglich, wenn die entsprechenden Berechtigungen für das Konto aus der Quell Domäne gesetzt sind. Der Zugriff auf freigegebene Ordner wie z.B. den Kalender ist hier nicht möglich. Warum? In der Berechtigung für den Kalender wird das Postfach aus der Zielumgebung eingetragen, da hier nur Einträge aus dem Adressbuch möglich sind. Eine Berechtigung eines Postfach aus einer anderen Exchange Organisation (Quelle) ist hier nicht möglich. Sobald das berechtigte Postfach aber eine “linked mailbox” ist, erkennt Exchange über die eingetragene SID das Benutzer aus der Quell Domäne und erlaubt den Zugriff. Experimente mit einer “linked mailbox” und einem nachträglich wieder aktivierten Benutzerkonto führen leider nicht zum Erfolg.

Lösung

Einziger mir bekannter Ausweg für bereits existierende aktivierte Benutzerkonten in der Ziel Domäne ist die Konfiguration des Outlook Profils mit der Option “Immer zur Eingabe von Anmeldeinformationen auffordern“. Mit dieser Einstellung fragt Outlook bei jedem Start nach Benutzername, Domäne und Passwort. Hier kann das Benutzerkonto der Ziel Domäne zur Anmeldung genutzt werden und Exchange erlaubt den Zugriff auf das Postfach bzw. den freigegebenen Kalender.