Exchange Online ADSync Provisioning

So werden Exchange Online Postfächer mit AADConnect korrekt provisioniert. Wer Exchange Online in Verbindung mit AADConnect nutzt, muss sich auf ein paar Besonderheiten im Provisioning einstellen. Auf dieser Seite beschreibe ich den richtigen Weg ein Postfach direkt in Exchange Online korrekt anzulegen:

Beachten Sie dazu auch die Seiten ADSync mit Ex Online Only, ADSync mit Exchange, Doppelpostfach mit Exchange Online und LES - Last Exchange Server und Cloudsync und Exchange

Was ist besonders?

Wer schon mal einen Office 365 Tenant mit aktiviertem AADConnect bedient hat, wird um die Veränderungen wissen. Im Exchange Online Admin Panel gibt es keine "New" Mailbox"-Funktion

Nur bei dem Bereich "Shared" können Sie direkt im ECP ein Objekt neu anlegen. Dabei handelt es sich dann natürlich nicht um einen Anmeldebenutzer

Allerdings sollten Sie dies im Hybrid-Mode mit einer Exchange On-Premises Installation natürlich unterlassen, da AADConnect keine Rückreplikation vornimmt. Ihre Anwender in der Cloud sehen dann z.B. den Raum oder die Shared Mailbox während das On-Premises System nichts davon weiß. Wenn dann eingehende Mails noch über On-Premises laufen oder ein Client per Autodiscover den Raum von der On-Premises Installation ermitteln will, dann funktioniert dies nicht.

Das dritte Problem fällt auf, wenn Sie einen Benutzer im lokalen Active Directory anlegen und mit AADConnect in die Cloud synchronisieren. Solange der Benutzer im lokalen Active Directory hinsichtlich Exchange quasi unbekannt ist, hat er auch in Exchange Online keine Properties. Wenn Sie dem Benutzer aber in der Cloud dann eine Lizenz für Exchange zuweisen, bekommt er ein Postfach in der Cloud ohne dass davon On-Premises etwas sichtbar wird. Auch hier haben wir dann wieder das Problem, dass es in der Cloud einen gültigen Mailempfänger gibt, der On-Premises nicht zu sehen ist und die gleichen Problem hat, wie die eben schon erwähnte Shared Mailbox.

So geht es richtig!

Für das Provisioning von Benutzer im Exchange Online in Verbindung mit AADConnect gibt es nur einen richtigen Weg.

Die Schritte im Einzelnen:

  1. Das Benutzerobjekte wird im lokalen AD angelegt
    Womit sie das machen, bleibt eigentlich ihnen überlassen. Sie können auch direkt mit "New-RemoteMailbox" das AD-Konto anlegen und für Exchange konfigurieren. Es ist auch egal, ob daraus später eine UserMailbox in der Cloud oder ein Raum oder Ressource in der Cloud wird. Solange Sie aber Exchange Hybrid fahren und der On-Premises Exchange Server z.B. Mailrouting durchführt muss er die Objekte kennen. Ein Anlegen von Benutzern direkt in der Cloud scheidet also aus
  2. AADConnect legen Benutzer in der Cloud an.
    Nun ist es an AADConnect, das Benutzerobjekt auch im AzureAD und damit in Office 365 anzulegen. Das AD-Objekt bekommt in der Cloud eine eindeutige ID. Bis jetzt hat das Benutzerobjekt noch gar keine Exchange Eigenschaften. Wenn Sie dem Benutzer jetzt schon eine Lizenz zuweisen, dann bekommt er ein Postfach
  3. Abgleich ms-ds-ConsistencyGUID
    Beim zweiten Synchronisationslauf wird AADConnect diese Information auch wieder in das lokale On Premise Active Directory zurück schreiben.
  4. Exchange Objekte anlegen
    Wenn Sie es nicht schon bei Schritt 1 direkt mit gemacht haben, dann ist es nun an der Zeit dieses Benutzerobjekt On-Premises mit dem lokalen Exchange Server über ECP oder die PowerShell als Remote-Mailbox zu konfigurieren.
  5. AADConnect repliziert die Daten
    Die durch die lokalen Exchange Commandlets geänderten Felder werden in die Cloud repliziert. Nun weiß auch Exchange Online, dass es hier eine neue Mailbox in Exchange Online gibt. Exchange Online legt die Mailbox auch an, selbst wenn keine Lizenz vorhanden ist und passt auch die ProxyAddresses an.
  6. AADConnect Rückreplikation
    Die Änderungen in den ProxyAddresses durch Exchange Online sind eine der wenigen Felder, die AADConnect auch wieder nach On-Premises zurück repliziert. Siehe auch ADSync Bidirektional
  7. Lizenz in der Cloud zuweisen
    Die ersten 30 Tage erlaubt Microsoft dem Benutzer sogar den Zugriff auf die Mailbox als "Trial". Sie sollten dennoch nicht zu lange warten und eine passende Lizenz dem Benutzer zuweisen. Das gilt natürlich nur für "Usermailboxen". Wenn Sie eine Room/Ressource/Shared-Mailbox angelegt haben, brauchen Sie keine Lizenz
  8. Exchange Konfiguration
    Nicht alle Einstellungen einer Exchange Mailbox werden durch das lokale Exchange System verwaltet. Einstellungen wie POP3/IMAP4, die Exchange Quarantäne und andere Parameter müssen mit der Exchange Online PowerShell gegen die Cloud direkt konfiguriert werden. Im wesentlichen sind das die Einstellungen von "Set-CASMailbox". Diese Funktion kann der lokale Exchange Server nicht über die lokale PowerShell abbilden und durch AADConnect in die Cloud replizieren lassen.

Es kann natürlich noch einige Zeit dauern, bis die Information über die neuen Postfächer auf allen Exchange Servern gelandet ist. Zum einen ist die Replikationsverzögerung im AzureAD und AADConnect eine Bremse und auch die Generierung und der Download des Offline-Adressbuchs auf die Clients kann durchaus einige Stunden brauchen.

Wenn ihnen das alles zu komplex ist, dann sprechen Sie uns doch mal zu entsprechenden Provisioning-Lösungen an.

Was ist mit Verteilern?

Neben "Postfächern" gibt es ja auch noch Gruppen. Hier ist das Provisioning deutlich einfacher, da Verteiler ja keinen Datenspeicher haben und auch keine Lizenz brauchen. Insofern muss man die Gruppen auch einfach anlegen und für Exchange aktivieren. Aber auch hier bleibt es wie bei Postfächern bei der Reihenfolge:

  1. Gruppen im lokalen AD anlegen
    Sie können hier auch gleich die Mitglieder pflegen, damit AADConnect die vielleicht auch gleich mit zu Office 365 repliziert.
  2. Gruppe zu Mail-Verteiler machen
    Dieses Upgrade der Gruppe erfolgt auch wieder mit der Exchange PowerShell oder ECP auf dem lokalen Exchange Provisioning Server. Die Exchange PowerShell schreibt dadurch z.B. die Fehler "mail", "ProxyAddesses" und andere.
  3. AADConnect
    Diese Änderungen werden durch AADConnect auch wieder zu Office 365 repliziert. Nun weiß auch Exchange Online, dass es diese Verteiler gibt und mit dem nächsten Adressbuch-Update und OAB-Download haben auch die Clients diese Informationen präsent

Manager eine Gruppe können in Exchange Online aber die Mitglieder nicht pflegen, da AADConnect das Feld "member" nicht bidirektional synchronisiert. Eine Änderung in der Cloud kommt nicht On-Premises an und damit wären die Mitglieder der Gruppen unterschiedlich. Mitglieder werden also nur On-Premises gepflegt. 

Weitere Links