Exchange 2010 Koexistenz – Free/Buy, Federated

Oft stehen Administratoren vor der Herausforderung, eine Koexistenz zweier Exchange Organisationen aufbauen zu müssen. Aber welche Möglichkeiten gibt es hierzu eigentlich? Auf der Suche nach einer vollumfänglichen Dokumentation zu diesem Thema wurden wir weder bei Microsoft, noch im restlichen Internet fündig. An dieser Stelle möchten wir genau diese Punkte im Detail aufzeigen und versuchen, möglichst viele offene Fragen zu beantworten.

In diesem Blog-Eintrag gehen wir auf die 3 verschiedenen Optionen im Detail ein, geben einen Überblick zum Verbindungsaufbau und liefern eine kurze Gegenüberstellung, welches die Features vergleicht.

All unsere Tests haben wir mit Exchange 2010 SP3 UR7 durchgeführt. All diese Features sollten aber auch weiterhin in Exchange 2013 funktionieren – mit dem kleinen Unterschied, dass der Outlook-Zugriff bei Exchange 2013 natürlich über HTTPS läuft.

Free/Busy mit Mail Contacts

Mithilfe von Free/Busy kann ein Benutzer bei der Terminplanung sehen, wann ein Teilnehmer bereits einen Termin eingetragen hat bzw. wann er verfügbar ist.
Mithilfe von Kalenderberechtigungen können auch mehr Details eingeblendet werden, sodass auch der Betreff und Ort der Termine einsehbar wird.

Was wird benötigt?

  1. Eine Kontakt-Synchronisation zwischen den Exchange Umgebungen, welches auch eine korrekte ‚targetAddress‘ setzt, der auch auf einen Availability Address Space zeigt
  2. Einen Availability Address Space
    .. Mit AD-Trust
    Mit AD-Trust hat man die Möglichkeit, dass sich der Client Access Server mit seinem Computerkonto über den Trust authentifiziert, d.h. ohne einen separaten Service Account. Das erreicht man, indem man dem Cmdlet Add-AvailabilityAddressSpace den Parameter ‚-useServiceAccount:$true’ mitgibt. Auf der Gegenseite muss der Computer-Account für Free/Busy-Anfragen berechtigt sein („ms-exch-epi-token-serialization“).
    ..     Ohne AD-Trust
    Ohne Trust müssen explizite Credentials für einen Service Account für den Free/Busy-Request mitgegeben werden, welche in der AvailabilityConfig auf der Gegenseite definiert werden muss.
  3. Eine EWS External Url, welche als Endpunkt für den Availability Service dient
  4. Autodiscover
    Der Client Access Server findet den Availability Service der anderen Organisation mittels Autodiscover, bestens bekannt aus Outlook. Ist ein AD Trust vorhanden, ist es empfehlenswert, den sogenannten Service Connection Point zu exportieren & zu nutzen. Alternativ, auch ohne Trust, versucht Exchange den Availability Service mittels Autodiscover zu finden (z.B. https://autodiscover./autodiscover/…). Unter Umständen muss hierfür auch das SSL-Zertifikat angepasst werden.

Microsoft Federated Sharing

Mit Federated Sharing bietet Microsoft einen neuen Ansatz der Koexistenz zweier Exchange Umgebungen. Dabei wird über das Microsoft Federation Gateway ein spezieller Trust aufgebaut, was den Benutzern neben Free/Busy auch die Möglichkeit bietet, Kalendereinträge und Kontakte einsehen zu können. Es handelt sich hierbei um einen read-only Zugriff, ein schreibender Zugriff ist nicht möglich. Ein Active Directory Trust sowie eine Kontakt- Synchronisation ist in dieser Variante nicht erforderlich.

Was wird benötigt?

  1. Einen Federation Trust über das Microsoft Federation Gateway (MFG, Cloud-Dienst von Microsoft, welcher als Trust-Broker zwischen Unternehmen fungiert). Dies erfordert auch weitere Anpassungen (z.B. DNS-Einträge, Zertifikate, …).
  2. Mittels einer Organization Relationship kann die Beziehung zweier Exchange Organisationen definiert werden, um z.B. Free/Busy zu erlauben.
  3. Mittels Sharing Policies kann erlaubt werden, dass Benutzer Kontakte und Kalender lesend freigeben.
  4. Autodiscover
    Ein möglicherweise vorhandener Autodiscover SCP wird in diesem Verfahren ignoriert. Für das Federated Sharing sind zwingend DNS-Einträge für Autodiscover erforderlich.
    Weitere Informationen:

http://technet.microsoft.com/en-us/library/ff601760(v=exchg.141).aspx

Sharing mit Cross-Forest Mail Contacts / Cross-Forest Delegation

Möchte man das Maximum aus der Koexistenz herausholen, benötigt man die Funktionalität der sogenannten ‚Cross-Forest Mail Contacts‘. Mithilfe dieser fühlt es sich fast so an, als wäre es eine gemeinsame Exchange Umgebung und nicht zwei getrennte. Das bedeutet, dass neben dem normalen Free/Busy auch alle Postfachinhalte freigegeben werden können, und zwar mit allen bekannten Berechtigungsstufen.
Es gibt aber auch ein paar Einschränkungen wie z.B. Senden Als bzw. Senden Im Auftrag – dies konnte von uns nicht erfolgreich getestet und genutzt werden.

Was wird benötigt?

  1. Grundlage bildet unser Part 1 „Free/Busy mit Mail Contacts“.
    Wichtig hierbei ist aber der AD-Trust und dass die Computer-Konten für Free/Busy Requests verwendet werden.
  2. Die Kontakt-Synchronisation muss um zusätzliche Attribute erweitert werden, damit der Kontakt zu einem ‚Cross-Forest Mail Contact‘ wird. Dies hat nebenbei zur Folge, dass der Kontakt nicht mehr über Exchange Cmdlets bearbeitet werden kann.
    Hier die entscheidenden Attribute im Detail:
msExchMasterAccountSid:objectSid des aktiven Benutzers
msExchOriginatingForest:Forest des aktiven Benutzers
msExchRecipientDisplayType:-1073741818
msExchRecipientTypeDetails:32768
proxyAddresses:X500: LegacyExchangeDN des Postfachs>, <SMTP-Adresse(n)
targetAddress:SMTP-Adresse des Postfachs



Findet ein Cross-Forest Zugriff statt, versucht Exchange den passenden Cross-Forest Mail Contact zu der Person, die den Zugriff initiiert hat, zu finden. Für dieses Mapping sind die Attribute objectSid/msExchMasterAccountSid und LegacyExchangeDN entscheidend.

  1. Kann der LegacyExchangeDN nicht aufgelöst werden, erscheint folgende Meldung im RPC-Log:
    „…unable to map userDN to Exchange Principal, AD User not found…”
  2. Wurde der Kontakt mittels LegacyExchangeDN gefunden, aber die MasterAccountSid passt nicht, erscheint folgende Meldung im RPC-Log:
    “MasterAccountSid of the MailContact doesn’t match User SID that a client has authenticated with.”

Weitere Informationen:

http://blogs.technet.com/b/neiljohn/archive/2011/10/12/exchange-server-2010-cross-forest-delegation.aspx
http://www.msexchange.org/articles-tutorials/exchange-server-2010/migration-deployment/deep-dive-into-rich-coexistence-between-exchange-forests-part1.html

Wie findet der Verbindungsaufbau statt?

Gegenüberstellung der Features

Funktionen
  Free/Busy
  mit Mail Contacts
  
  Microsoft
  Federation Gateway
  
  Cross-Forest
  Mail Contacts (sharing)
  

  Outlook
  
  OWA
  
  Outlook
  
  OWA
  
  Outlook
  
  OWA
  

  Free/Busy
  
  Ja*
  
  Ja
  
  Ja
  
  Ja
  
  Ja
  
  Ja
  

  Free/Busy + Betreff/Ort
  
  Ja*
  
  Nein
  
  Ja
  
  Nein
  
  Ja
  
  Nein
  

  Kalendereinträge einsehen
  
  Nein
  
  Nein
  
  Ja
  
  Ja
  
  Ja
  
  Nein
  

  Kalendereinträge ändern
  
  Nein
  
  Nein
  
  Nein
  
  Nein
  
  Ja
  
  Nein
  

  Kontakte einsehen
  
  Nein
  
  Nein
  
  Ja
  
  Nein
  
  Ja
  
  Nein
  

  Kontakte ändern
  
  Nein
  
  Nein
  
  Nein
  
  Nein
  
  Ja
  
  Nein
  

  Postfachinhalte freigeben **
  
  Nein
  
  Nein
  
  Nein
  
  Nein
  
  Ja
  
  Nein
  

*Default-Berechtigung
**alle Ordner, alle Berechtigungsstufen