• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Active Directory Migration – Exchange First

Mai 7, 2015 (Letztes Update) | Posted by Jens Künzler Exchange, KnowHow, Migration |

 

Active Directory Migration – Exchange First

Bei den meisten Active Directory Migrationen geht es darum Domänen zu konsolidieren oder neue Geschäftsbereiche einzugliedern.

Wichtigstes Ziel dieser Migrationsprojekte ist es, die Möglichkeiten der Zusammenarbeit oder Collaboration zu verbessern. Um dieses Ziel möglichst früh zu erreichen, sollte eine Exchange First – Migration geprüft werden.

 

Zwei Möglichkeiten für Active Directory und Exchange Migrationen

 Verfolgt man die in den meisfeatureen Fällen angewendete Migrationsstrategie, so erreicht man das Ziel der verbesserten Zusammenarbeit bzw. Collaboration erst recht spät. Dies ist darin begründet, dass zunächst die Computer migriert werden müssen. Ich möchte im Folgenden kurz beide Vorgehensweisen vergleichen und dann detaillierter auf Exchange First eingehen.

Welche Exchange Migrationen? Welche Technik, welches Tool?
Wir helfen Ihnen mit unserer Erfahrung: FirstAttribute

 

Computer zuerst migrieren: Die verbreitete Migrationsstrategie

  1. Migration der Benutzerkonten und Gruppen
  2. Migration der Computer > danach erfolgt die Benutzeranmeldung an der Ziel Domäne
  3. Migration der Postfächer
  4. Verbesserte Zusammenarbeit ermöglicht

Erst nachdem die Computermigration abgeschlossen ist, beginnt die E-Mail Migration und die Vorteile einer gemeinsamen Active Directory Domain / Exchange Organisation werden für den Anwender sichtbar. Da die Computermigration meistens eine längere Zeit dauert, stellt sich dieser Projekterfolg erst sehr spät ein.

Mit einem Trick lässt sich die E-Mail Migration vor der Computermigration durchführen, eine sog. „Exchange First“ Migration.

 

Reihenfolge der Migrationsschritte bei „Exchange First“

  1. Migration der Benutzerkonten und Gruppen
  2. Migration der Postfächer
  3. Verbesserte Zusammenarbeit ermöglicht
  4. Migration der Computer > danach erfolgt die Benutzeranmeldung an der Ziel Domäne

 

Exchange First

Die Exchange First Migration bedient sich einer technischen Möglichkeit von Exchange – dem Resource Forest. In einem Resource Forest existieren deaktivierte Benutzerkonten mit Postfächern. Die Postfächer werden in sog. „linked mailboxes“ umgewandelt. Bei der Umwandlung in eine „linked mailbox“ wird ein „linked master account“ eingetragen, welcher automatisch vollen Zugriff auf das Postfach erhält. Der „linked master account“ ist in diesem Fall das Benutzerkonto aus der Quell Domäne. Technisch erkennt man solche Benutzerkonten daran, dass eine SID im Attribut „msExchMasterAccountSid“ eingetragen ist. Das Postfach ändert seine Eigenschaft „RecipientTypeDetails“ von „UserMailbox“ auf „LinkedMailbox„.

Exchange-First

Die Benutzer melden sich nach der Postfach Migration nach wie vor an ihrem Computer in der Quell Domäne mit ihrem Benutzerkonto aus der Quell Domäne an und nutzen das migrierte Postfach in der Zielumgebung.

Der Quest Migration Manager for Exchange unterstützt diese Migrationsstrategie und kann automatisch deaktivierte Benutzerkonten und linked mailboxes anlegen. Wir untersützen Sie: Exchange Migration mit QMM

 

Mögliche Probleme

Mit einer „linked mailbox“ funktionieren alle wichtigen Funktionen des Postfachs, wie z.B. freigegebene Kalender. Problematisch wird dies, wenn in der Ziel Domäne bereits aktive Benutzerkonten existieren. Dies kann der Fall sein, wenn es eine konzernweite Anwendung gibt, welche ein Benutzerkonto in der Ziel Domäne erfordert. Diesen Benutzerkonten kann keine „linked mailbox“ zur Verfügung gestellt werden, da dafür das Benutzerkonto deaktiviert sein muss. Aktivierte Benutzerkonten erhalten eine normale „UserMailbox“, es wird kein „linked master account“ eingetragen, somit hat das Benutzerkonto  aus der Quell Domäne keinen Zugriff. Durch die Vergabe von „full mailbox access“ und „send-as“ für das Benutzerkonto aus der Quell Domäne scheint sich das Problem lösen zu lassen, leider aber nur auf den ersten Blick. So lange der Benutzer aus der Quell Domäne nur mit seinem persönlichen Postfach arbeitet, ist die Welt für ihn in Ordnung. Auch der Zugriff auf „shared mailboxes“ ist möglich, wenn die entsprechenden Berechtigungen für das Konto aus der Quell Domäne gesetzt sind. Der Zugriff auf freigegebene Ordner wie z.B. den Kalender ist hier nicht möglich. Warum? In der Berechtigung für den Kalender wird das Postfach aus der Zielumgebung eingetragen, da hier nur Einträge aus dem Adressbuch möglich sind. Eine Berechtigung eines Postfach aus einer anderen Exchange Organisation (Quelle) ist hier nicht möglich. Sobald das berechtigte Postfach aber eine „linked mailbox“ ist, erkennt Exchange über die eingetragene SID das Benutzer aus der Quell Domäne und erlaubt den Zugriff. Experimente mit einer „linked mailbox“ und einem nachträglich wieder aktivierten Benutzerkonto führen leider nicht zum Erfolg.

 

Lösung

Einziger mir bekannter Ausweg für bereits existierende aktivierte Benutzerkonten in der Ziel Domäne ist die Konfiguration des Outlook Profils mit der Option „Immer zur Eingabe von Anmeldeinformationen auffordern„. Mit dieser Einstellung fragt Outlook bei jedem Start nach Benutzername, Domäne und Passwort. Hier kann das Benutzerkonto der Ziel Domäne zur Anmeldung genutzt werden und Exchange erlaubt den Zugriff auf das Postfach bzw. den freigegebenen Kalender.

09-10-2014 16-39-32

 

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 09.10.2014
Tags: Active Directory MigrationExchange FirstExchange Migrationlinked mailboxes
0

You also might be interested in

QMM-Public-Folder-Exchange-Migration-2016

Quest QMM 8.13 – Public Folder Migration zu Exchange 2016

Mrz 31, 2017

Wie bereits in dem Artikel Migration Manager for AD/Exchange 8.13 [...]

Office-365

E-Mail Migration nach O365 – Exchange Throttling Policies

Jan 19, 2016

Bei einer E-Mail Migration ist es wichtig zu wissen, wie[...]

Domänenmigration: „Zugriff verweigert“ nach Änderung von Gruppentypen

Okt 1, 2015

Während einer AD Domänenmigration in einer Kundenumgebung hatte ich das[...]

1 Comment

Leave your reply.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next