AD Connect, Vertrauensstellung, gegenseitige Ressourcen

[morcego]

Ich beiße mir am letzten Punkt grad noch die Zähne aus und bin schlichtweg nicht sicher ob es überhaupt so geht.

Wir haben zwei On Prem AD. Die Mitarbeiter sollen gemeinsam arbeiten, vor allem soll zB das Freigeben von Exch Online Kalendern zeitnah funktionieren. Aktuell ist es wohl so, dass Freigaben wie der Kalender über den Tenant hinweg Synchronisierungszeiten von bis zu 48h haben. So kann man natürlich keine gemeinsame Zeitplanung veranstalten.

Die Idee war also die Firmen zu verheiraten.

• VPN aufgesetzt, NAT und Routing angepasst, funktioniert.
• DNS Weiterleitung eingerichtet, funktioniert
• AD Vertrauensstellung bidirektional eingerichtet, funktioniert.

Das heißt auf On Prem Ebene ist alles chic.

Und jetzt kam der letzte Punkt AD Connect. Im Vorfeld recherchiert und https://www.smikar.com/second-domain-using-ad-connect/ gefunden - sah einfach aus.
Klappt aber nicht, es wird (zu recht) bemängelt, dass das ms-DS-ConsistencyGuid bereits belegt ist.
Nach noch mehr Suchen habe ich https://docs.microsoft.com/de-de/az...onnect-fed-single-adfs-multitenant-federation gefunden.
Im Prinzip ist es die Struktur nur ohne die Federation Komponente (Pfeile und AD FS dafür).

Jetzt die spannende Frage, hat das schonmal jemand so einrichten müssen? Klappt das Konzept überhaupt? Ich habe die Vermutung, eigentlich sollte es nur einen Tenant geben und die Welt wäre schön.

 

[tRITON]

Grundsatzfrage: Du schreibst von OnPrem, dann aber direkt von Exch Online...

Also hast Du neben den Onprem ADs noch ein AAD? Und dann auch einen Azure Cloud Connector?
Lokaler Exch., welcher aber nur die Objekte fürs AD bereitstellt und Postfächer sind in der Cloud => Hybrid Installation?

 

[morcego]

Die Jungs haben das seinerzeit ohne Exch Hybrid eingerichtet. Heißt die On Prem Domänen synchronisieren sich per Ad Connect ins Azure AD und dort wird dem Benutzer die Lizenz für Office / Exchange zugewiesen. Da der Hybrid fehlt müssen dann noch zusätzliche Einstellungen per Powershell EXO Modul gemacht werden.

 

[tRITON]

Sind alle Domainen im gemeinsamen Tenant oder sind die Domainen getrennt in unterschiedlichen Tenants (so lese ich das jedenfalls)

Deinen letzten Post lese ich so, dass ihr die User per "New-RemoteMailbox" anlegt? Also dann doch Hybrid? Oder eine Art von Hybrid?

 

[morcego]

Struktur wie im letzten Link und wie beschrieben, jede On Prem Domäne hat einen eigenen Tenant.

Deinen letzten Post lese ich so, dass ihr die User per "New-RemoteMailbox" anlegt? Also dann doch Hybrid? Oder eine Art von Hybrid?

Erm, nein?! Microsoft legt automatisch ein Postfach für einen Benutzer an wenn man eine Lizenz mit Exchange-Fähigkeit zuordnet und KEINE Information aus dem On Prem AD vorliegt, dass schon ein Postfach zugeordnet wurde.
Das ist sogar ein bekannter Fehler den man bewusst provozieren kann, dann hat man nämlich 2 Postfächer. Eins On Prem und eins in der Wolke. Aber darum gehts hier meines Erachtens überhaupt gar nicht.
Ich kann da auch "Sharepoint Online gemeinsam nutzen" hinschreiben.

 

[tRITON]

Nun ich mag mich täuschen, aber die "Frei/Gebucht" Informationen und der Kalender sind Bestandteil des Exchange und wenn die Postfächer in der Cloud liegen, dann muss das entweder per ACC (Azure Cloud Connector) gesynced werden oder aber die Postfächer sind außschlieslich in der Cloud und brauchen das gar nicht.

Ich hätte die User alle in einem Tenant angelegt und die Postfächer mittels O365 E3 lizensiert. Fertig. Da braucht es den ganzen OnPrem kram gar nicht, den ihr gebaut habt. Im ACC nur die relevanten Domainen pro Seite eintragen fertig.

Evtl. wäre hier mal ein (externer) Berater gut, dem man auch alles zeigen kann und der ein Konzept vorlegt, nach dem ihr eure Probleme lösen könnt?

 

[nemix]

Und bitte denk dran das du im Bereich Security jetzt ein Tor aufgemacht hast, durch den Trust ist es für einen Angreifer einfach direkt beide ADs zu übernehmen. Ich kenne einige Dax50 Unternehmen die mittlerweile eine "No AD Trust" Policy fahren und die Firmen direkt in das gemeinsamen AAD überführen für M365 und onprem entweder migrieren oder stand-alone weiterbetreiben und langsam abbauen.

 

[morcego]

Und bitte denk dran das du im Bereich Security jetzt ein Tor aufgemacht hast, durch den Trust ist es für einen Angreifer einfach direkt beide ADs zu übernehmen. Ich kenne einige Dax50 Unternehmen die mittlerweile eine "No AD Trust" Policy fahren und die Firmen direkt in das gemeinsamen AAD überführen für M365 und onprem entweder migrieren oder stand-alone weiterbetreiben und langsam abbauen.

Ja gut, im DAX sind wir nicht unterwegs und nur weil die das machen muss das nicht für jeden Anwendungsfall die richtige Option sein. Ich behalte das im Hinterkopf. Und auch hier wäre wieder das spannende "wie haben die das gemacht". Nur mit Hörensagen kann man keine Entscheidung begründen.

Nun ich mag mich täuschen, aber die "Frei/Gebucht" Informationen und der Kalender sind Bestandteil des Exchange und wenn die Postfächer in der Cloud liegen, dann muss das entweder per ACC (Azure Cloud Connector) gesynced werden oder aber die Postfächer sind außschlieslich in der Cloud und brauchen das gar nicht.

Ja also zum dritten Mal, ich schrieb ja das die Postfächer ausschließlich in der Wolke sind. Und auch beim Überfliegen vom dir genannten ACC finde ich eine lokale Domäne und ähnliche (oder fehlende) Features wie beim AD Connect.

Ich hätte die User alle in einem Tenant angelegt und die Postfächer mittels O365 E3 lizensiert. Fertig. Da braucht es den ganzen OnPrem kram gar nicht, den ihr gebaut habt. Im ACC nur die relevanten Domainen pro Seite eintragen fertig.

Kein Geschäftsführer wird dreifache Kosten ohne einen expliziten Grund akzeptieren. Der ganze On Prem Kram ist die blanke Domäne und jetzt halt die Standortvernetzung sowie die Vertrauensstellung. Welches konkrete Feature im E3 wäre denn bei meiner sehr konkreten Fragestellung die richtige Antwort?

Evtl. wäre hier mal ein (externer) Berater gut, dem man auch alles zeigen kann und der ein Konzept vorlegt, nach dem ihr eure Probleme lösen könnt?

Ja, ich hab auch mit unserem Systemhaus gequatscht nachdem ich recherchiert hatte. Und die hatten den Fall auch noch nicht so. Deshalb bin ich ja hier. Die Hoffnung war, dass hier irgendeiner der sonst zahlreich postenden Admins diesen Fall schonmal hatte und deshalb belastbar sagen kann wie es klappt und wie nicht. Scheint aber nicht der Fall zu sein, was irgendwie Schade ist.

Selbst wenn es zwingend wäre, dass wir alles aus 2 Tenants in einen migrieren hat das Auswirkungen auf Kosten und Betrieb. Da wird man nachvollziehen können, dass ich der GF nicht einfach ein "ich würde" vorschlagen kann. Da wäre was belastbareres schon chic.

 

[nemix]

Ja gut, im DAX sind wir nicht unterwegs und nur weil die das machen muss das nicht für jeden Anwendungsfall die richtige Option sein. Ich behalte das im Hinterkopf. Und auch hier wäre wieder das spannende "wie haben die das gemacht". Nur mit Hörensagen kann man keine Entscheidung begründen.

Dem Angreifer ist es auch egal ob Ihr ein 5 Mann Betrieb oder Daimler seit.
Ggf. passt er die Lösegeldforderung etwas an wenn bei euch nichts mehr geht. Weißt du genau was auf der anderen AD Seite im Betrieb ist und wie Patch Policy etc. aussehen? Was ist dort Internet Facing ist und gibt ggf. Durchgriff ins Lan/AD hat? Gibt es ein Tiering Konzept und/oder wurde Zero Trust schon angegangen? Mal eben einen Two-Way Trust bauen, der anscheinend bei deinem Problem nicht weiterhilft sehe ich nicht als zielführend.
Und wie das machen ist relativ einfach: Trust gibt es nicht. User/nötige Applikationen werden ins AD/AAD Tenant migriert.

Bzgl. Problemlösung: https://www.msxfaq.de/cloud/exchangeonline/hybrid_freebusy.htm oder https://www.msxfaq.de/konzepte/calfed/calfeldo365.htm helfen dir evtl. weiter als Einstiegspunkt. Deine Anforderung ist (abgesehen davon das Ihr kein Hybrid habt) erst mal nicht ungewöhnlich. Kalendersharing wird häufiger angefragt. Ggf. mal die Firma von Frank/msxfaq anfragen, die sind darauf spezialisiert.

 

[morcego]

Weißt du genau was auf der anderen AD Seite im Betrieb ist und wie Patch Policy etc. aussehen?

Jipp, da wir beide Teile betreuen.

Mal eben einen Two-Way Trust bauen, der anscheinend bei deinem Problem nicht weiterhilft sehe ich nicht als zielführend.

Na doch, ist er irgendwie schon. Die Standorte müssen halt vernetzt sein.

Kalendersharing wird häufiger angefragt.

Das Ding ist, mein Kollege hühnert damit seit ner ganzen Weile rum und testet alles aus was er findet.
Auch https://www.msxfaq.de/konzepte/calfed/calfeldo365.htm ist eingestellt.
Aber das Problem ist, entweder geschieht die Abfrage nur 1x oder ist nicht live. Es gibt dann Verzögerungen von 3h bis 3 Tagen und er meinte, dass man dieses Problem als bekannt im Netz findet. Heißt, auch wenn es korrekt konfiguriert ist funktioniert es nicht.

Alles in einen Tenant werfen ist wohl auch nicht ohne. Das hat wohl rechtliche Grenzen die MS vorschiebt. Das muss ich noch klären.