QMM Exchange DirSync – protocolSettings

QMM Exchange DirSync – protocolSettings kann nicht konfiguriert werden.

Heute möchte ich eine neue Erfahrung teilen, welche ich mit dem Quest Migration Manager for Exchange (QMM EX) gemacht habe. Nachdem die E-Mail Migration abgeschlossen war, sollten die Exchange Postfächer in der Quell Umgebung gelöscht werden. Der Lösch-Prozess sieht vor, dass die Postfächer zunächst aus dem Adressbuch versteckt werden (msExchHideFromAddressLists=true) und die E-Mail Protokolle deaktiviert werden (ActiveSync, OWA, Pop, Imap, Mapi). Diese Änderung führte leider zu einem unerwünschten Effekt in der Zielumgebung.

Technischer Zusammenhang

Die Einstellung der E-Mail Protokolle kann mit dem PowerShell cmdLet “get-CAS-Mailbox <username>” angezeigt werden:

Die Information wird im Active Directory in dem Attribut “protocolSettings” des Benutzerkontos gespeichert. Ist dieses Attribut leer, so sind alle Protokolle aktiviert. Einzelne Protokolle können deaktiviert werden, indem der Protokollname gefolgt von einem “§0§” eingetragen wird. Ein aktiviertes Protokoll erhält einen Eintrag mit “§1§“. Dieser, zugegeben etwas betagte, Microsoft Blog Beitrag liefert eine schöne Zusammenfassung. In unserem Beispiel sieht man mit ADSIEDIT, dass das POP3 Protokoll deaktiviert ist: protocolSettings=POP3§0§§§§§§§§§§§

Auswirkungen

Was geschieht nun, wenn die protocolSettings in der Quell-Domäne geändert werden und zwischen der Quell und der Ziel Domain eine Directory Synchronization mit dem Quest Migration Manager for Exchange etabliert wurde? Richtig – die Änderungen des Attributes protocolSettings werden in die Ziel Domäne übertragen. Dies führte in unserem Beispiel dazu, dass nun auch die frisch migrierten Postfächer in der Ziel Domäne nicht mehr genutzt werden konnten. Mit deaktivierten E-Mail Protokollen kann sich Outlook nicht mit dem Postfach verbinden.
 

QMM EX Directory Synchronization – Attributes to skip

Mit der Konfiguration der “Attributes to skip” in der QMM Directory Synchronization wird definiert, welches Attribut uni-direktional, bi-direktional oder gar nicht synchronisiert werden soll. Leider musste ich feststellen, dass das Attribut protocolSettings nicht konfiguriert werden kann (es ist ausgegraut):

Hierzu gibt es einen Quest/DELL Knowledgebase Artikel. Die Möglichkeit das Attribut protocolSettings zu “skippen” wurde mit der Version 8.6 des Migration Managers for Exchange deaktiviert.
 

Lösung 1 – Quest/DELL custom development

Die “offizielle” Lösung von Quest/DELL sieht vor, über den Account Manager das Custom Development zu aktivieren. Es wird ein sog. Custom AddIn entwickelt, welches das Attribut protocolSettings nicht synchronisiert.
 

Lösung 2 – Entzug der Leserechte (inoffiziell)

Der Weg über das Custom Development von Quest/DELL war in unserem Fall zu langwierig, da wir unter einem gewissen Zeitdruck standen. Somit musste ein Plan B entwickelt werden. Statt die Konfiguration des DirSync anzupassen, haben wir dem Service Account des DirSync die Leseberechtigungen auf dem Attribut protocolSettings in der Quell Domäne entzogen. Eine Änderung des Attributs bewirkt, dass der DirSync das Attribut ausliest. Die Active Directory Domain gibt per LDAP gibt den Wert “NULL” zurück. QMM DirSync interpretiert dies als “leer” und setzt das Attribut in der Ziel Domäne ebenfalls auf “leer”.  Ein leeres Attribut protocolSettings aktiviert alle verfügbaren E-Mail Protokolle, dies entsprach zufällig der gewünschten Konfiguration.

Der DirSync läuft mittlerweile seit 5 Wochen mit dieser Konfiguration, bisher konnte ich keine negativen Auswirkungen feststellen.
 

Konfiguration der Berechtigungen auf einer OU