COMPAREX wird SoftwareONE. Ab dem 1. April wird die COMPAREX AG ihren Markenauftritt in SoftwareONE ändern. Die Markenkonsolidierung ist Teil eines laufenden Integrationsprozesses im Zuge des Erwerbs der COMPAREX AG durch SoftwareONE.

Multi Forest Exchange 
Der Ressource-Forest

Multi Forest Exchange – Der Ressource-Forest

Ein Multi Forest Exchange, also der Bedarf eine Exchange Umgebung für mehr als einen Active Directory Forest zu betreiben,ist nicht erst seit Office 365 vorhanden. Grundsätzlich gilt, dass eine Exchange Umgebung nicht über die Grenzen eines Active Directory Forests hinaus betrieben werden kann. Seit Exchange 2007 bietet Microsoft die Möglichkeit an, Exchange in einem eigenen Active Directory Forest zu betreiben und über Vertrauensstellungen und Linked Mailboxen eine zentrale Messaging Umgebung für mehr als einen Active Directory Forest bereitzustellen. Wir schauen uns diesen sogenannten Ressource-Forest genauer an, zeigen Gründe und Voraussetzungen für die Umsetzung eines Ressource-Forest auf.

Gründe für einen Ressource-Forest

Bei unseren Kunden begegnen uns in unseren Projekten unterschiedliche Ausgangssituationen, die für den Einsatz eines Ressource-Forest sprechen. Historisch bedingt finden wir innerhalb einer Firmenstruktur mehrere Forests mit jeweils eigenen Exchange Organisationen vor, die unter Umständen auch mit unterschiedlichen Versionen betrieben werden. In manchen Fällen bedingen auch sicherheitsrelevante Gründe den Einsatz einer vom Active Directory getrennten Mailstruktur. Daraus ergeben sich folgende Einsatzbereiche für einen Ressource-Forest:

Schema

Schema-Erweiterungen für Produkte sind nicht mehr in den Anmeldedomänen erforderlich.

Migration

Auch beim Zukauf oder Verkauf von Firmenteilen kann ein Ressourcen-Forest von Vorteil sein. So kann eine Teilfirma ihre Anmeldedomäne mitnehmen oder behalten und muss nur die Exchange Postfachdaten übertragen. Das ist deutlich einfacher als ein kompletter „Neuaufbau" einer eigenen Umgebung. Beim Zukauf können die Neumitglieder sehr schnell in die allgemeine Kommunikation eingebunden werden, ohne dass eine aufwändige Migration von Anmeldekonten mit Clients, Profilen, SID-History etc. erfolgen muss

Sicherheit

Da es in den Ressourcendomains bis auf wenige Administrator-Konten nur deaktivierte Platzhalter gibt, ist deren Sicherheit deutlich höher. Zudem müssen bei geeigneter Planung die Domaincontroller z. B. nicht per LDAP für Clients erreichbar sein, so dass Sie einen "Bulk Export" über LDIFDE/CSVDE nicht befürchten müssen.

Administrations-Trennung

Zudem sind die Ressource-Forests deutlich besser geschützt, da sie eine eigene Adminis-tration haben. Vorbei die Zeiten, dass ein Admin unwissentlich an der "Default Domain Policy" eine Änderung vornimmt, die alle Exchange Server betrifft.

Zentralisierung und Standardisierung

Innerhalb eines Forests kann nur eine Exchange Organisation existieren und eine Zusammenarbeit über Forest-Grenzen hinweg nur per Federation funktionieren. Durch die Konsolidierung von zentralen Diensten in einem Forest vereinfacht sich die Zusammenarbeit, der Schulungs- und der Testaufwand deutlich.

Mail als Service

Der Ressource-Forest bietet die Möglichkeit die Messaging Plattform als Service zur Verfügung zu stellen.
Durch eine Inter-Forest Migration zu einem Exchange Ressource-Forest profitieren die Unternehmen von einer unterbrechungsfreien Überführung. Postfächer, die auf verteilten Umgebungen in unterschiedlichen Exchange Versionen liegen, können auf eine zentrale Mailumgebung überführt werden, die es ermöglicht, alle Mitarbeiter über ein zentrales Adressbuch zu erreichen, Vertreterregeln zu erstellen und Besprechungen zu planen. Hinzu kommt, dass durch die Vertrauensstellungen zwischen Account- und Ressource-Forest keine zusätzliche Anwendung notwendig wird.

Voraussetzungen für einen Ressource-Forest

Es müssen folgende Voraussetzungen erfüllt sein, um Microsoft Exchange in einem Ressource-Forest zu betreiben:

DNS

DNS (Domain Name System) muss für die gesamtstruktur-übergreifende Namensauflösung in der Organisation ordnungsgemäß konfiguriert sein.

Autodiscover

Der SCP (Service Connection Point) wird nur im Ressource-Forest angelegt und muss daher manuell in den Account-Forest exportiert werden.

Benutzerkonten

Im Account-Forest werden die aktiven Benutzerkonten gehalten. Im Ressource-Forest werden nur deaktivierte Benutzerkonten angelegt, die für die Anlage der Postfächer benötigt werden.

Vertrauensstellungen (Trusts)

Zwischen den beiden Gesamtstrukturen muss mindestens ein einseitiger vom Ressource-Forest ausgehender, selektiver Forest-Trust existieren.

Ports

Microsoft empfiehlt zwischen den beiden Forests keine Porteinschränkungen zu verwenden.

Aufbau eines Ressource-Forest

Der grundsätzliche Aufbau und die Wege sind in folgender Grafik im Überblick dargestellt.

190711_blog-ressource-forest_abb1
Abb. 1: Aufbau eines Ressource-Forest, Quelle: Microsoft

Identitäten, Anmeldung und Authentifizierung

Grundsätzlich sind alle Benutzeraccounts im Ressource-Forest deaktiviert. Diese Accounts dienen lediglich als Basis für die Postfacherstellung. Über Linked Mailboxen werden die Postfächer mit den Benutzeraccounts in den Account-Forests zugeordnet. Die Anmeldung erfolgt über die Accounts in den Account-Forests.

Windows Vertrauensstellungen

Bei Vertrauensstellungen (Trusts) in Windows ist per Default eine SID-Filterung aktiv. Die Vertrauensstellung muss auf Domain-Wide Authentication eingestellt sein, da bei einer selektiven Vertrauensstellung jedem Benutzer der Tag „Allowed to Authenticate“ zugeordnet werden muss.
Grundsätzlich kann die Exchange Umgebung in einem Ressource-Forest identisch zu einem herkömmlichen Messaging System unter Microsoft aufgebaut werden. Zu beachten ist, dass in alle anhängigen Account-Forests der Service Connection Point (SCP) aus dem Ressource Forest exportiert werden muss und zwischen dem Ressource-Forest und den angeschlossenen Account-Forests zumindest eine einseitige Vertrauensstellung in Richtung des Account-Forest existieren muss.

Sie wünschen sich weitere Informationen?

Lesen Sie in einem weiteren Blogbeitrag mehr zum Thema Active Directory und erfahren Sie dort, auf welche Aspekte Sie bei einem AD Health Check achten sollten.

Zum Blogbeitrag
  • Donnerstag 11 Juli 2019

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Alexander Zimmerer Senior IT Consultant

  • 21 Oktober 2019
  • SoftwareONE Redaktionsteam
  • Managed Cloud, Publisher Advisory
  • Cloud, Microsoft

Microsoft launcht zwei eigene Rechenzentren in der Schweiz: Startschuss in die Swiss-Cloud

Microsoft ebnet mit eigenen Rechenzentren Schweizer Unternehmen den Weg in die Cloud. Wir beleuchten Chancen und Hintergründe.

  • 15 Oktober 2019
  • SoftwareONE Redaktionsteam
  • Managed Cloud
  • Cloud, Cloud Computing, Cloud Solution

Keine Angst vor der Cloud – Whitepaper für den Einstieg

Um die Microsoft Azure Cloud zu migrieren, gibt es viele Wege. Aber keine Angst, mit unserer Gebrauchsanweisung meistern Sie den Einstieg problemlos.

  • 01 Oktober 2019
  • Bernhard Schmidt
  • Managed Cloud
  • Cloud Solution, Cloud Computing, Cloud

Migration in Richtung Cloud: Welche Risiken gibt es und wie gehen wir damit um?

Die Migration in die Cloud ist mit vielen Herausforderungen verbunden. Wir beleuchten mögliche Risiken und zeigen Gegenmaßnahmen auf.