Exchange Hybrid Agent

Auf der Ignite 2018 hat Microsoft einen neuen Ansatz für die Koexistenz von Exchange On-Premises mit Exchange Online vorgestellt. Neben dem "Min Hybrid" und dem "Classic Hybrid" gibt es nun auch noch den Weg eines "Modern Hybrid", bei dem Sie ihren On-Premises Exchange Server nicht mehr vom Internet direkt erreichbar machen müssen, sondern über eine Azure AD Application Proxy ansprechen.

Classic Hybridmode

Wer Exchange On-Premises mit Exchange online verheiraten wollte musste bislang immer mehrere Anforderungen erfüllen:

  • Verzeichnisabgleich
    Sie mussten also alle in der dem lokalen Active Directory in die Cloud bekannt machen. Diese Rolle hat
  • Lokaler Exchange Server für Provisioning
    Mit aktivem DirSync müssen Sie die Exchange Properties im lokalen AD über die lokale Exchange PowerShell pflegen. Siehe auch DirSync mit Exchange
  • Mail Routing
    Über entsprechende Send und Empfang- Kollektoren auf dem lokalen Exchange und entsprechender Inbound/Outboud Connectoren im Tenant wurde ein sicherer Kanal zwischen den Servern etabliert. Dazu ist es aber erforderlich dass sie ein lokales Zertifikat und eine öffentliche IP Adresse mit dem Port 25 Jahre erreichbar machen mussten.
  • Web Services
    Damit Postfächer in die Cloud migriert werden können und vor allem "Free/Busy-Zeiten etc. über die Grenzen hinweg funktionieren, mussten Sie auch On-Premises die Exchange WebServices (EWS) für Office 365 erreichbar machen. Das ist weit mehr als "nur OWA" und für viele Firmen ein Problem ihre Exchange Server zu zu veröffentlichen.

Der neue Hybrid-Agent macht nun nichts anderes, als diese Veröffentlichung der WebServices zu erleichtern. Die beiden anderen Komponenten "DirSync" und "Mailrouting" bleiben davon unberührt. Die benötigen also weiterhin ihr bestehende Office 365 Identity Management auf Basis des AzureADConnect und ein SMTP-Routing über einen Hybrid Connector Server.

Hybrid über Azure App Proxy

Allerding ersetzt der Hybrid Agent die Veröffentlichung von Exchange EWS On-Premises durch den Richtungswechsel über einen Azure AD WebProxy. Diese Funktion gibt es schon länger, damit Sie als Firma interne Webseiten über Azure als Relay aus dem Internet erreichbar machen können. Sie können dabei die gesamten Schutzfunktionen von Azure nutzen, z.B. Preauthentication etc.

Viel interessanter ist dabei aber, dass die Verbindung von Exchange Online dann zu einem entsprechen gesicherten Endpunkt in Azure erfolgt. Für das Stück zwischen ihren lokalen internen Exchange Server und der Rückseite des Application Proxy in Azure ist aber ein Dienst auf ihrem Exchange Server zuständig, der die Verbindung von innen nach extern aufbaut.

Dieser kleine interne "Helfer" in ihrem LAN baut eine HTTPS-Verbindung auf und öffnet damit einen Tunnel von ihrem Netzwerk, genauer ihrem Exchange EWS-Services zu diesem Azure Service. Exchange Online kann nun also per EWS für Migrationen und Frei/Belegt-Zeiten direkt auf den Azure-Endpunkt zugreifen, der die Anfragen als "Antwort" an die ausstehende Anfrage des Agenten.

Für diese Funktion müssen Sie also EWS nicht mehr selbst veröffentlichen. Microsoft macht dies und Exchange Online greift auf eine URL mit einem Hostname in der folgenden Form zu:

https://{guid}.resource.{flow}.his.msappproxy.net

Es gibt sicher Firmen, die EWS bislang nicht veröffentlicht haben, weil nur "bekannte Clients" zugreifen durften und dazu eine Preauthentication oder VPN erforderlich war.

Einschränkungen

Nicht alle Lösungen funktionieren aktuell mit "Modern Hybrid". Eine Übersicht der verschiedenen "Hybrid Mode" mit den Einschränkungen finden sie auch auf Exchange Hybrid. Aus meiner Sicht die größten Einschränkungen sind:

Beachten Sie dazu auch Hybrid Betriebsarten

Einschätzung

Auf der einen Seite habe ich mich schon immer gefragt, warum Microsoft den Hybrid-Mode nicht schon vereinfacht hat. Aber ich hatte mir schon etwas mehr erhofft. Es gibt eine klare Empfehlung von Microsoft, dass kleine und mittlere Firmen besser Exchange Online nutzen anstatt weiter lokale Exchange Server samt Webveröffentlichung, Spamfilter, Backup etc. zu betreiben. Aber nur sehr kleine Firmen werden auf ihr lokales Active Directory verzichten und alles über Azure abwickeln. Diese Firmen wollen natürlich ein Single SignOn und eine homogene Benutzerverwaltung. Dazu gibt es dann AzureADConnect und z.B. die Anmeldung per Pass-Through Authentifizierung (PTA). Sobald aber AzureADConnect installiert ist, braucht es sowieso einen Exchange Server für das Provisioning und Mailrouting. Dann ist EWS auch kein Problem mehr, wenn es eh keine lokalen Postfächer gibt. Es kann allerdings eine sehr interessante Option für die Migration von On-Premises zu Exchange Online sein.

Ich hätte mir eher gewünscht, dass der Hybrid Agent zumindest noch das Mailrouting mit übernimmt, damit eingehend auch keine SMTP-Verbindung mehr erforderlich ist. Erst dann könnte der Kunde On-Premises auf jegliche Veröffentlichung von Diensten bezüglich Exchange verzichten.

Solange es aber noch ein lokales Postfach gibt und der Anwender z.B. per Outlook/Mac oder Skype for Business per EWS auf sein Postfach zugreifen will, muss ich eh EWS veröffentlichen. Insofern ist der Hybrid Agent nur der erste Schritt auf einem längeren Weg und könnte sogar als "Anfüttern" zur Nutzung von Azure Diensten dienen.

Interessant ist aber generell die Komponente, über die Microsoft natürlich auch zusätzliche Funktionen integrieren kann, die AADConnect nicht enthält. Es gibt z.B. im Hybrid Configuration Wizard seit Juni 2018 auch die Komponente Organization Configuration Transfer. Ich könnte mir vorstellen, dass diese Funktion auch hier drin aufgehen kann und Änderungen in der Cloud oder On-Premises automatisch übertragen werden. Laut einem Vortrag auf der Ignite überträgt der Agent anscheinend schon Stellvertreter-Rechte.

Die Funktion von Azure Application Proxies in Azure ist durchaus für das ein oder andere Umfeld eine interessante Option. Als Eingang zu einem OnPremise-Exchange Server hätte ich ihn aber nicht eingesetzt. Ich werde beobachten, wie sich das Konzept weiter entwickelt. Sie merken schon: Begeisterung liest sich anders.

Installation

Den "Modern Hybrid Weg" installieren Sie wie alle anderen Hybrid Konfigurationen über den HCW - Hybrid Configuration Wizard. Dort gibt es mittlerweile an einer Stelle aber eine neue Auswahlbox

Ich habe farblich die kleinen Unterschiede in der Beschriftung markiert. Der Client Access Service, seit Exchange 2016 auch "Frontend" genannt, muss natürlich mit Office 365 kommunizieren können aber braucht selbst nicht mehr aus dem Internet erreichbar zu sein, da der Agent eine ausgehende Verbindung zum Azure AS Application Proxy aufbaut.

Der HCW installiert dabei den erforderlichen Agenten auf dem dem CAS-Server, der im HCW schon ausgewählt wurde.

Alternativ können Sie den Connector auch manuell herunterladen und auf einem anderen geeigneten Server installieren

Download des Agenten
https://aka.ms/hybridagentinstaller (9MB)

PS1M-Modul zur Verwaltung von Hybrid Management Modul
https://aka.ms/hybridconnectivity

Umstellung auf Classic

Wenn Sie mit dem Hybrid Modern Agent ihre Koexistenz anfangs installiert haben und nun mit Teams z.B. feststellen, dass die nicht auf lokale Kalender zugreifen können, dann steht ein Wechsel nach "Classic Hybrid" an. Das ist relativ einfach, da sie einfach den HCW - Hybrid Configuration Wizard starten und den Mode wechseln.

In den Anfangszeiten hat der HCW aber leider vergessen, die lokalen Agenten zu deinstallieren. Das soll er mittlerweile können aber ein prüfender Blick auf die Dienste des Agenten-Servers nach der Konfigurationsänderung kann ja nicht schaden.

Weiterhin gibt es zwei Stellen, in denen in der Cloud, d.h. Exchange Online PowerShell, die Verweise auf den AzreAD-Proxy hinterlegt sind. Auch hier sollten Sie zur Sicherheit schauen, dass keine Rest übrig gebliebene sind. Ich kenne zwei Stellen

  • Migrationsendpunkt
    Hier könnte als "Remote Server" die Instant des App-Proxy hinterlegt sein. Sie können den Migrationsendpunkt einfach anpassen oder löschen und durch HCW richtig anlegen lassen
Get-MigrationEndpoint | Format-List Identity,RemoteServer

Identity : Hybrid Migration Endpoint - EWS (Default Web Site)
RemoteServer : <guid>.resource.mailboxmigration.his.msappproxy.net
  • OrganizationRelationship
    Der zweite Ort ist die Vertrauensstellung zu ihrer On-Premises-Umgebung, über die die Free/Busy-Zeiten abgerufen werden. Hier sollte entweder kein Eintrag im Feld "TargetSharingEpr" stehen oder die korrekte On-Premises URL, die sie mit der Konfiguration von Classic Hybrid veröffentlicht haben.
Get-OrganizationRelationship | Format-List Name,TargetSharingEpr

Name : O365 to On-Premises - c6d22e11-2340-4432-9122-19097bacf0c1
TargetSharingEpr : https://087f1c2e-8711-4176-ab4f-4b1c1777a350.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx

Vielleicht gibt es noch weitere Spuren für "Modern Hybrid" in Exchange Online aber die findet sich immer erst, wenn es Probleme gibt. Einen umfangreichen Funktionstests sollten Sie nach jeder Änderungen machen oder die Tests direkt in ihr System-Monitoring aufnehmen.

Weitere Links

BRK3143 - Hybrid Exchange: Making it easier and faster to move to the cloud
https://myignite.techcommunity.microsoft.com/sessions/65633 
https://www.youtube.com/watch?v=QhOh5RCcLu8