Репликация пользователей в AD

@PavelGA · Регистрация: 01.11.2013

Студворк — интернет-сервис помощи студентам

Добрый день всем! В моей организации переделывается структура домена. Существует лес и домен верхнего уровня, предположим xxx.ru, который тесно связан с Exchange 2016. Руководство решило компании объединить как холдинг и каждая из компаний должна иметь свой домен в виде yyy.ru, zzz.ru. В существующем домене созданы подразделения и пользователи из каждого отдельного домена. Теперь вопрос ))) подскажите, каким образом можно реплицировать эти подразделения с доменами, то есть нужно, чтобы домен yyy.ru брал подразделения и пользователей с домена xxx.ru, но которые относятся только к ним?
Структура домена и сервера на Windows Server 2012 R2

@KDE777 · 12.02.2016, 10:30

Сообщение от PavelGA

каким образом можно реплицировать эти подразделения с доменами, то есть нужно, чтобы домен yyy.ru брал подразделения и пользователей с домена xxx.ru, но которые относятся только к ним

В yyy.ru, zzz.ru - будут свои отдельные Exchannge организации?
Что нужно реплицировать - только AD УЗ (контактная информация)? А членство в группах? А пароли? А почтовые ящики?
В xxx.ru, yyy.ru, zzz.ru - должен быть общий GAL?

Попробуйте для начала внимательно прочитать вот это:
https://technet.microsoft.com/... g.80).aspx
https://habrahabr.ru/post/155751/

@PavelGA · 12.02.2016, 11:14 **[ТС]**

В yyy.ru, zzz.ru - будут свои отдельные Exchannge организации?

Exchange единый для всех, с него же идет создание пользователей для всех организаций (выбирается только положение в подразделениях относящихся к разным организациям) работа идет в owa подключение по логину и паролю (без введения домена).

Что нужно реплицировать - только AD УЗ (контактная информация)? А членство в группах? А пароли? А почтовые ящики?

Попробую объяснить. Например в домене xxx.ru созданы подразделения по доменам yyy.ru, zzz.ru, в этих подразделениях находятся подразделения в виде MSK, SM и тд, в которых содержатся пользователи с занесенными данными по организации, контактная почта и т.д. Хотелось бы понять, есть ли возможность на доменах типа yyy.ru, zzz.ru переносить себе структуру, которая находится в подразделении xxx.ru, yyy.ru, со всеми подразделениями, группами созданными в основном домене, пользователями (пароли в том числе) и т.д.

В xxx.ru, yyy.ru, zzz.ru - должен быть общий GAL?

Здесь я немного не понимаю вопроса, если пользователи подключаются к Exchange по OWA к основному домену, то глобальный список адресов у них и так один на всех. Может я конечно ошибаюсь, тогда да, общий GAL нужен.

@KDE777 · 12.02.2016, 11:38

PavelGA, т.е. у вас одна Exchange организация в xxx.ru + доверительные отношения с доменами yyy.ru, zzz.ru и вы хотите, что-бы для пользователей из определённых OU в домене xxx.ru создавались аналогичные УЗ в доменах yyy.ru или zzz.ru (но уже без ПЯ)?

А что должно происходить, если пользователь в домене yyy.ru поменяет свой пароль?

Из одного домена в другой можно переносить УЗ с помощью ADMT, думаю что можно настроить такой перенос и на постоянной основе...

Мне не совсем понятно, зачем каждому пользователю две УЗ в разных доменах... это ведь и две лицензии (Server CAL) на каждого оплачивать...

@PavelGA · 12.02.2016, 11:47 **[ТС]**

Exchange организация в xxx.ru + доверительные отношения с доменами yyy.ru, zzz.ru и вы хотите, что-бы для пользователей из определённых OU в домене xxx.ru создавались аналогичные УЗ в доменах yyy.ru или zzz.ru (но уже без ПЯ)?

Да именно так

А что должно происходить, если пользователь в домене yyy.ru поменяет свой пароль?

Смена пароля запрещена GPO, смена происходит централизованно админами на сервере Exchange

Из одного домена в другой можно переносить УЗ с помощью ADMT, думаю что можно настроить такой перенос и на постоянной основе...

Спасибо, сейчас посмотрим

Мне не совсем понятно, зачем каждому пользователю две УЗ в разных доменах... это ведь и две лицензии (Server CAL) на каждого оплачивать...

Хотелки владельцев организации, ничего не поделаешь

@KDE777 · 12.02.2016, 12:37

Сообщение от PavelGA

Хотелки владельцев организации

А им пробовали озвучить цену дополнительных лицензий, необходимых для реализации этого решения?

Вы не рассматривали просто создание yyy.xxx.ru и zzz.xxx.ru?

@PavelGA · 12.02.2016, 12:48 **[ТС]**

Вы не рассматривали просто создание yyy.xxx.ru и zzz.xxx.ru?

Рассматривали, но компании по всем данным должны быть отдельными, в том числе и в ИТ структуре((

@KDE777 · 12.02.2016, 13:04

Сообщение от PavelGA

по всем данным должны быть отдельными, в том числе и в ИТ структуре

А почтовый сервер получается общий. Уже неувязка - письма от сотрудников yyy.ru и zzz.ru будут уходить с smtp-сервера, IP которого принадлежит xxx.ru
+ для указанной репликации всё равно придётся настраивать доверительные отношения - уже не совсем отдельные структуры.

Администратор xxx.ru может делегировать права только на нужные OU или поддомены администраторам yyy.ru и zzz.ru

Ну да ладно - начальство всегда умнее

Просто чувствую, что с выбранной схемой у администраторов прибавится головной боли..

@PavelGA · 12.02.2016, 13:13 **[ТС]**

А почтовый сервер получается общий. Уже неувязка - письма от сотрудников yyy.ru и zzz.ru будут уходить с smtp-сервера, IP которого принадлежит xxx.ru
+ для указанной репликации всё равно придётся настраивать доверительные отношения - уже не совсем отдельные структуры.

На Exchange настроены несколько доменов, для каждой организации и на каждую организацию создано по два mx1 завернутые на разные ip, короче пришлось нам немного помудрить с этим.

Ну да ладно - начальство всегда умнее Просто чувствую, что с выбранной схемой у администраторов прибавится головной боли..

ЭТО ТОЧНО

@KDE777 · 12.02.2016, 13:28

Сообщение от PavelGA

а Exchange настроены несколько доменов, для каждой организации и на каждую организацию создано по два mx1 завернутые на разные ip

accepted domains - понятно, разные mx для xxx, yyy, zzz - тоже понятно. А как у вас организована отправка для пользователей yyy.ru и zzz.ru только через нужные транспортные сервера?

@PavelGA · 12.02.2016, 14:02 **[ТС]**

А как у вас организована отправка для пользователей yyy.ru и zzz.ru только через нужные транспортные сервера?

Подняты сервера SMTP на Centos, соединители отправки привязаны к домену и к серверу linux, ну а соответственно уже SMTP привязаны к внешним IP разных провайдеров

@KDE777 · 12.02.2016, 14:13

Сообщение от PavelGA

соединители отправки привязаны к домену

Так это имеется ввиду, на какие домены нужно отправлять через этот соединитель.

А мне интересно - как у вас для user@yyy.ru на Exchange выбирается нужный сервер для отправки?

Добавлено через 5 минут
Используете "Scoped Send Connector" и все пользователи из yyy и zzz находятся только на "своих" Exchange серверах?

@PavelGA · 12.02.2016, 16:41 **[ТС]**

Так это имеется ввиду, на какие домены нужно отправлять через этот соединитель.

А мне интересно - как у вас для user@yyy.ru на Exchange выбирается нужный сервер для отправки?

Добавлено через 5 минут
Используете "Scoped Send Connector" и все пользователи из yyy и zzz находятся только на "своих" Exchange сервер?

Это реализовано сервером Linux, он проверяет домен отправки почты и отправляет через нужный mx

@KDE777 · 12.02.2016, 17:12

Сообщение от PavelGA

Это реализовано сервером Linux, он проверяет домен отправки почты и отправляет через нужный mx

Тогда понятно, а то стало интересно - вдруг вы это средствами Exchange реализовали...

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
		1
	Server 2012 Репликация пользователей в AD 12.02.2016, 09:01. Показов 1198. Ответов 13 Метки нет (Все метки) Добрый день всем! В моей организации переделывается структура домена. Существует лес и домен верхнего уровня, предположим xxx.ru, который тесно связан с Exchange 2016. Руководство решило компании объединить как холдинг и каждая из компаний должна иметь свой домен в виде yyy.ru, zzz.ru. В существующем домене созданы подразделения и пользователи из каждого отдельного домена. Теперь вопрос ))) подскажите, каким образом можно реплицировать эти подразделения с доменами, то есть нужно, чтобы домен yyy.ru брал подразделения и пользователей с домена xxx.ru, но которые относятся только к ним? Структура домена и сервера на Windows Server 2012 R2 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 10:30	2
	Сообщение от PavelGA каким образом можно реплицировать эти подразделения с доменами, то есть нужно, чтобы домен yyy.ru брал подразделения и пользователей с домена xxx.ru, но которые относятся только к ним В yyy.ru, zzz.ru - будут свои отдельные Exchannge организации? Что нужно реплицировать - только AD УЗ (контактная информация)? А членство в группах? А пароли? А почтовые ящики? В xxx.ru, yyy.ru, zzz.ru - должен быть общий GAL? Попробуйте для начала внимательно прочитать вот это: https://technet.microsoft.com/... g.80).aspx https://habrahabr.ru/post/155751/ 0

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
	12.02.2016, 11:14 [ТС]	3
	В yyy.ru, zzz.ru - будут свои отдельные Exchannge организации? Exchange единый для всех, с него же идет создание пользователей для всех организаций (выбирается только положение в подразделениях относящихся к разным организациям) работа идет в owa подключение по логину и паролю (без введения домена). Что нужно реплицировать - только AD УЗ (контактная информация)? А членство в группах? А пароли? А почтовые ящики? Попробую объяснить. Например в домене xxx.ru созданы подразделения по доменам yyy.ru, zzz.ru, в этих подразделениях находятся подразделения в виде MSK, SM и тд, в которых содержатся пользователи с занесенными данными по организации, контактная почта и т.д. Хотелось бы понять, есть ли возможность на доменах типа yyy.ru, zzz.ru переносить себе структуру, которая находится в подразделении xxx.ru, yyy.ru, со всеми подразделениями, группами созданными в основном домене, пользователями (пароли в том числе) и т.д. В xxx.ru, yyy.ru, zzz.ru - должен быть общий GAL? Здесь я немного не понимаю вопроса, если пользователи подключаются к Exchange по OWA к основному домену, то глобальный список адресов у них и так один на всех. Может я конечно ошибаюсь, тогда да, общий GAL нужен. 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 11:38	4
	PavelGA, т.е. у вас одна Exchange организация в xxx.ru + доверительные отношения с доменами yyy.ru, zzz.ru и вы хотите, что-бы для пользователей из определённых OU в домене xxx.ru создавались аналогичные УЗ в доменах yyy.ru или zzz.ru (но уже без ПЯ)? А что должно происходить, если пользователь в домене yyy.ru поменяет свой пароль? Из одного домена в другой можно переносить УЗ с помощью ADMT, думаю что можно настроить такой перенос и на постоянной основе... Мне не совсем понятно, зачем каждому пользователю две УЗ в разных доменах... это ведь и две лицензии (Server CAL) на каждого оплачивать... 0

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
	12.02.2016, 11:47 [ТС]	5
	Exchange организация в xxx.ru + доверительные отношения с доменами yyy.ru, zzz.ru и вы хотите, что-бы для пользователей из определённых OU в домене xxx.ru создавались аналогичные УЗ в доменах yyy.ru или zzz.ru (но уже без ПЯ)? Да именно так А что должно происходить, если пользователь в домене yyy.ru поменяет свой пароль? Смена пароля запрещена GPO, смена происходит централизованно админами на сервере Exchange Из одного домена в другой можно переносить УЗ с помощью ADMT, думаю что можно настроить такой перенос и на постоянной основе... Спасибо, сейчас посмотрим Мне не совсем понятно, зачем каждому пользователю две УЗ в разных доменах... это ведь и две лицензии (Server CAL) на каждого оплачивать... Хотелки владельцев организации, ничего не поделаешь 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 12:37	6
	Сообщение от PavelGA Хотелки владельцев организации А им пробовали озвучить цену дополнительных лицензий, необходимых для реализации этого решения? Вы не рассматривали просто создание yyy.xxx.ru и zzz.xxx.ru? 0

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
	12.02.2016, 12:48 [ТС]	7
	Вы не рассматривали просто создание yyy.xxx.ru и zzz.xxx.ru? Рассматривали, но компании по всем данным должны быть отдельными, в том числе и в ИТ структуре(( 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 13:04	8
	Сообщение от PavelGA по всем данным должны быть отдельными, в том числе и в ИТ структуре А почтовый сервер получается общий. Уже неувязка - письма от сотрудников yyy.ru и zzz.ru будут уходить с smtp-сервера, IP которого принадлежит xxx.ru + для указанной репликации всё равно придётся настраивать доверительные отношения - уже не совсем отдельные структуры. Администратор xxx.ru может делегировать права только на нужные OU или поддомены администраторам yyy.ru и zzz.ru Ну да ладно - начальство всегда умнее Просто чувствую, что с выбранной схемой у администраторов прибавится головной боли.. 0

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
	12.02.2016, 13:13 [ТС]	9
	А почтовый сервер получается общий. Уже неувязка - письма от сотрудников yyy.ru и zzz.ru будут уходить с smtp-сервера, IP которого принадлежит xxx.ru + для указанной репликации всё равно придётся настраивать доверительные отношения - уже не совсем отдельные структуры. На Exchange настроены несколько доменов, для каждой организации и на каждую организацию создано по два mx1 завернутые на разные ip, короче пришлось нам немного помудрить с этим. Ну да ладно - начальство всегда умнее Просто чувствую, что с выбранной схемой у администраторов прибавится головной боли.. ЭТО ТОЧНО 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 13:28	10
	Сообщение от PavelGA а Exchange настроены несколько доменов, для каждой организации и на каждую организацию создано по два mx1 завернутые на разные ip accepted domains - понятно, разные mx для xxx, yyy, zzz - тоже понятно. А как у вас организована отправка для пользователей yyy.ru и zzz.ru только через нужные транспортные сервера? 0

	12.02.2016, 17:12

Опции темы

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
	12.02.2016, 14:02 [ТС]	11
	А как у вас организована отправка для пользователей yyy.ru и zzz.ru только через нужные транспортные сервера? Подняты сервера SMTP на Centos, соединители отправки привязаны к домену и к серверу linux, ну а соответственно уже SMTP привязаны к внешним IP разных провайдеров 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 14:13	12
	Сообщение от PavelGA соединители отправки привязаны к домену Так это имеется ввиду, на какие домены нужно отправлять через этот соединитель. А мне интересно - как у вас для user@yyy.ru на Exchange выбирается нужный сервер для отправки? Добавлено через 5 минут Используете "Scoped Send Connector" и все пользователи из yyy и zzz находятся только на "своих" Exchange серверах? 0

@PavelGA 0 / 0 / 0 Регистрация: 01.11.2013 Сообщений: 16
	12.02.2016, 16:41 [ТС]	13
	Так это имеется ввиду, на какие домены нужно отправлять через этот соединитель. А мне интересно - как у вас для user@yyy.ru на Exchange выбирается нужный сервер для отправки? Добавлено через 5 минут Используете "Scoped Send Connector" и все пользователи из yyy и zzz находятся только на "своих" Exchange сервер? Это реализовано сервером Linux, он проверяет домен отправки почты и отправляет через нужный mx 0

@KDE777 1884 / 1107 / 427 Регистрация: 22.01.2016 Сообщений: 3,050
	12.02.2016, 17:12	14
	Сообщение от PavelGA Это реализовано сервером Linux, он проверяет домен отправки почты и отправляет через нужный mx Тогда понятно, а то стало интересно - вдруг вы это средствами Exchange реализовали... 0