Multi Forest Exchange – Der Ressource-Forest

Ein Multi Forest Exchange, also der Bedarf eine Exchange Umgebung für mehr als einen Active Directory Forest zu betreiben,ist nicht erst seit Office 365 vorhanden. Grundsätzlich gilt, dass eine Exchange Umgebung nicht über die Grenzen eines Active Directory Forests hinaus betrieben werden kann. Seit Exchange 2007 bietet Microsoft die Möglichkeit an, Exchange in einem eigenen Active Directory Forest zu betreiben und über Vertrauensstellungen und Linked Mailboxen eine zentrale Messaging Umgebung für mehr als einen Active Directory Forest bereitzustellen. Wir schauen uns diesen sogenannten Ressource-Forest genauer an, zeigen Gründe und Voraussetzungen für die Umsetzung eines Ressource-Forest auf.

Bei unseren Kunden begegnen uns in unseren Projekten unterschiedliche Ausgangssituationen, die für den Einsatz eines Ressource-Forest sprechen. Historisch bedingt finden wir innerhalb einer Firmenstruktur mehrere Forests mit jeweils eigenen Exchange Organisationen vor, die unter Umständen auch mit unterschiedlichen Versionen betrieben werden. In manchen Fällen bedingen auch sicherheitsrelevante Gründe den Einsatz einer vom Active Directory getrennten Mailstruktur. Daraus ergeben sich folgende Einsatzbereiche für einen Ressource-Forest:

Schema-Erweiterungen für Produkte sind nicht mehr in den Anmeldedomänen erforderlich.

Auch beim Zukauf oder Verkauf von Firmenteilen kann ein Ressourcen-Forest von Vorteil sein. So kann eine Teilfirma ihre Anmeldedomäne mitnehmen oder behalten und muss nur die Exchange Postfachdaten übertragen. Das ist deutlich einfacher als ein kompletter „Neuaufbau" einer eigenen Umgebung. Beim Zukauf können die Neumitglieder sehr schnell in die allgemeine Kommunikation eingebunden werden, ohne dass eine aufwändige Migration von Anmeldekonten mit Clients, Profilen, SID-History etc. erfolgen muss

Da es in den Ressourcendomains bis auf wenige Administrator-Konten nur deaktivierte Platzhalter gibt, ist deren Sicherheit deutlich höher. Zudem müssen bei geeigneter Planung die Domaincontroller z. B. nicht per LDAP für Clients erreichbar sein, so dass Sie einen "Bulk Export" über LDIFDE/CSVDE nicht befürchten müssen.

Zudem sind die Ressource-Forests deutlich besser geschützt, da sie eine eigene Adminis-tration haben. Vorbei die Zeiten, dass ein Admin unwissentlich an der "Default Domain Policy" eine Änderung vornimmt, die alle Exchange Server betrifft.

Innerhalb eines Forests kann nur eine Exchange Organisation existieren und eine Zusammenarbeit über Forest-Grenzen hinweg nur per Federation funktionieren. Durch die Konsolidierung von zentralen Diensten in einem Forest vereinfacht sich die Zusammenarbeit, der Schulungs- und der Testaufwand deutlich.

Der Ressource-Forest bietet die Möglichkeit die Messaging Plattform als Service zur Verfügung zu stellen.
Durch eine Inter-Forest Migration zu einem Exchange Ressource-Forest profitieren die Unternehmen von einer unterbrechungsfreien Überführung. Postfächer, die auf verteilten Umgebungen in unterschiedlichen Exchange Versionen liegen, können auf eine zentrale Mailumgebung überführt werden, die es ermöglicht, alle Mitarbeiter über ein zentrales Adressbuch zu erreichen, Vertreterregeln zu erstellen und Besprechungen zu planen. Hinzu kommt, dass durch die Vertrauensstellungen zwischen Account- und Ressource-Forest keine zusätzliche Anwendung notwendig wird.

Es müssen folgende Voraussetzungen erfüllt sein, um Microsoft Exchange in einem Ressource-Forest zu betreiben:

DNS (Domain Name System) muss für die gesamtstruktur-übergreifende Namensauflösung in der Organisation ordnungsgemäß konfiguriert sein.

Der SCP (Service Connection Point) wird nur im Ressource-Forest angelegt und muss daher manuell in den Account-Forest exportiert werden.

Im Account-Forest werden die aktiven Benutzerkonten gehalten. Im Ressource-Forest werden nur deaktivierte Benutzerkonten angelegt, die für die Anlage der Postfächer benötigt werden.

Zwischen den beiden Gesamtstrukturen muss mindestens ein einseitiger vom Ressource-Forest ausgehender, selektiver Forest-Trust existieren.

Microsoft empfiehlt zwischen den beiden Forests keine Porteinschränkungen zu verwenden.

Der grundsätzliche Aufbau und die Wege sind in folgender Grafik im Überblick dargestellt.

Grundsätzlich sind alle Benutzeraccounts im Ressource-Forest deaktiviert. Diese Accounts dienen lediglich als Basis für die Postfacherstellung. Über Linked Mailboxen werden die Postfächer mit den Benutzeraccounts in den Account-Forests zugeordnet. Die Anmeldung erfolgt über die Accounts in den Account-Forests.

Bei Vertrauensstellungen (Trusts) in Windows ist per Default eine SID-Filterung aktiv. Die Vertrauensstellung muss auf Domain-Wide Authentication eingestellt sein, da bei einer selektiven Vertrauensstellung jedem Benutzer der Tag „Allowed to Authenticate“ zugeordnet werden muss.
Grundsätzlich kann die Exchange Umgebung in einem Ressource-Forest identisch zu einem herkömmlichen Messaging System unter Microsoft aufgebaut werden. Zu beachten ist, dass in alle anhängigen Account-Forests der Service Connection Point (SCP) aus dem Ressource Forest exportiert werden muss und zwischen dem Ressource-Forest und den angeschlossenen Account-Forests zumindest eine einseitige Vertrauensstellung in Richtung des Account-Forest existieren muss.