HCW - Hybrid Configuration Wizard

Wer Exchange On-Prem und in der Cloud betreibt und eine enge Zusammenarbeit und problemlose Migration der beiden eigenständigen Welten wünscht, sollte neben einigen Vorarbeiten mit dem Hybrid Konfiguration Wizard die Konfiguration durcharbeiten.

HCW vorgestern, gestern und jetzt

Der Hybrid Configuration Wizard hat eine wechselhafte Geschichte hinter sich. Er wurde zu allererst als Bestandteil von Exchange 2010 installiert. Hier war er noch in die MMC eingebunden und wurde vom Administrator dort aufgerufen. Mit Exchange 2013 ist er dann in die webbasierte Verwaltungskonsole gewandert und wurde vom Administrator über einen Browser bedient. Da in Exchange 2013 die Verwaltung durch die MMC schon stark eingeschränkt wurde und in Exchange 2016 quasi gänzlich entfallen ist und nur noch per Powershell oder eben das Exchange Control Panel möglich wurde.

Es ist recht einfach zu erklären, warum Microsoft die Funktion des HCW wieder aus Exchange ausgegliedert hat. Beide Wege, als MMC oder ECP-Modul, hatten den Nachteil, dass ein Update nur im Rahmen eines Exchange Updates verteilt werden konnte.

Exchange wird nur alle 3 Monate durch ein CU/RU aktualisiert und das ist etwas zu "langsam" für ein Programm, welches idealerweise die Probleme beim Anwender draußen meldet und umgehend korrigiert werden kann. Die Aktualisierungszyklen waren für die sich schnell weiter entwickelnde Office 365 Umgebung nicht eng genug. Zudem hat Microsoft durch die Rückmeldungen von Fehlern gesehen, dass viele Fehler durch ein Update sehr schnell gelöst werden konnten und so die Kunden keine manuelle Lösungen angehen mussten.

Auf der Ignite 2017 findet sich im Vortrag "BRK3186 - Running Exchange hybrid over the long term" die Folie 5:

Sie beschreibt sehr gut, die schnell Korrekturen in das Programm einfließen. Es sind wirklich nur wenige Tage und so kann es sein, dass Sie bei einem Fehler im HCW einfach etwas warten können. Vielleicht wird der Fehler schon umgehend "gefixt". Es hindert Sie natürlich dennoch niemand daran, auch noch die Logfiles /%appdata%/Roaming/Microsoft.

Achtung:
Der HCW überprüft nicht, ob ihre ADSync-Installation auch für Exchange Hybrid konfiguriert ist. Prüfen Sie dies bitte, damit die GAL auf beiden Seiten auch komplett ist. Sie könne ja auch einfach mal in der Exchange PowerShell zu beiden Seiten hin ein "(get-recipient -resultsize unlimited) |group recipienttypedetails -noelements" absetzen und vergleichen

Vorarbeiten

Der HCW ist natürlich schnell mal heruntergeladen und gestartet. Aber bedenken Sie, dass hierbei einige Voraussetzungen erfüllt sein müssen, dass der HCW überhaupt erfolgreich laufen kann

Es ist auch ratsam zu verstehen, was der HCW im Hintergrund alles macht. Es kann durchaus "Effekte" bei ihrer OnPrem-Umgebung geben, die sie vorab kommunizieren sollten, z.B. werden alle AD-Objekte angefasst was zu einem OAB-Full-Download führt.

HCW herunterladen und starten

Sie können den HCW auf dem Exchange Server selbst oder einen Admin-PC starten, auf dem eine Verbindung zur Exchange On-Prem und Exchange Online möglich ist. Direkt nach der Eingabe der URL und einer Bestätigung von ihnen wird der Assistent herunter geladen.

HCW Standalone Installer
http://aka.ms/TAPHCW

Im Dezember 2016 waren es ca. 3,75 MB wobei Microsoft die Software sehr häufig aktualisiert.

Wenn Sie den HCW direkt auf einem Exchange Server ausführen wollen, dann könnte es sein, dass der Browser den Download verhindert:

Dann müssen Sie die URL "https://mshrcstorageprod.blob.core.windows.net" in die "Trusted Sites" aufnehmen.

Willkommen

Das Willkommensfenster verrät die aktuell genutzte Version:

Unter dem Link "What does this application do?" beschreibt Microsoft leider nicht, was der HCW hinsichtlich der Konfiguration tut sondern war die Applikation zu Microsoft zurück meldet. Es wird dazu der folgende Link geöffnet

Insofern werde ich versuchen beiden folgenden Schritten auch etwas die Hintergründe und etwaige Auswirkungen auf ihre Umgebung zu beschreiben:

Die Verbindung

Zuerst verbindet sich der HVW mit ihrer On-Premises Umgebung. Wenn sie den HWC direkt auf einem Exchange Server aufrufen, versucht er direkt eine Verbindung mit diesem Server aufzubauen. Ansonsten sucht er einen "optimalen" Server, also einem Server in der gleichen Site. Alternativ können Sie einen eigenen Server manuell vorgeben.

Die meisten Kunden werden "Office 365 Worldwide" auswählen. Die Tenants in China bedienen die Cloud von 12ViaNet. Aber auch die "deutsche Cloud" ist hier schon sichtbar und natürlich die "Dedicated"-Plattform.

Anmeldedaten erfassen

Im nächsten vorbereitenden Dialog müssen Sie sowohl Anmeldedaten für die On-Prem-Umgebung als auch für den Office 365 Tenant eingeben:

Nachdem Sie die Daten erfasst haben, werden diese zur Kontrolle noch mal angezeigt

Für die Cloud nutze ich bevorzugt "CloudOnly"-Konto, welches sich nicht per ADFS o.ä., an Office 365 anmelden muss. Die Anmeldedaten werden dann genutzt um die aktuelle Konfiguration auszulesen

Zum Ende dieses Schritts sollte zweimal "Succeded" stehen. Beachten Sie rechts oben den aktuellen Status. Er wird sich immer mal wieder aktualisieren.

Auswahl Hybrid Mode

Im nächsten Dialog bestimmen Sie, wie intensiv die Verbindung sein soll. Hier stehen der normale "Full Hybrid" und ein reduzierter "MinHybrid"-Mode zur Auswahl. MinHybrid ist die richtige Wahl, wenn Sie möglichst schnell alle Postfächer in die Cloud verlagern wollen und keine lange Koexistenz bestehen soll. MinHybrid läuft vereinfacht auf ein Mailrouting und EWS für die Migration per MRS hinaus.

Seit Juni 2018 gibt es nun auch die Möglichkeit, mit der Funktion Organization Configuration Transfer einige lokalen Richtlinien durch den HCW in die Cloud übertragen zu lassen.

Federation Trust

Sofern Sie eine "volle Hybridinstallation" nutzen und noch keinen Federation Trust eingerichtet haben, wird dies nun nachgeholt. Bei mir war das leider schon der Fall, so dass ich Einstellungen später einmal nachreichen muss.

Exchange Domains

Der Assistent fragt dann noch die Liste der SMTP-Domains ab, die für den Hybrid-Mode konfiguriert werden sollen. Normalerweise aktivieren Sie hier alle Domain.

Allerdings müssen Sie diese dann auch alle im Tenant schon addiert haben. Diese Domains werden dann auch für das MFG Microsoft Federation Gateway aktiviert. Sie müssen also eventuell weitere TXT-Einträge vornehmen.

Mailrouting konfigurieren

Der erste aktive Schritt ist die Entscheidung, wie Sie zwischen Office 365 und der Exchange On-Prem-Umgebung die Mails routen wollen. Hier gibt es eigentlich nur die Wahl zwischen einer direkten Verbindung, d.h. die Cloud kann direkt einen Exchange 2010/2013/2016 Hub/Transport-Server ansprechen oder der Zwischenschritt über Exchange Edge Server.

Wenn Sie den rot umrandeten "Advanced"-Text anklicken, dann können Sie auch noch "Centralized Mail Transport" anwählen. Technisch legt der HCW dann in der Cloud einen Connector mit dem Adressraum "*" an, der alle Mails, auch die zum Internet, zum On-Prem-Server leitet. Das ist z.B. erforderlich, wenn Sie On-Prem verschiedene Zusatzdienste haben, die Mails z.B. verschlüsseln oder signieren, Disclaimer anhängen, Archivieren o.ä. und diese Funktion beim Versand über Exchange Online Protection nicht möglich wäre.

Denken Sie an SPF-Einstellungen, wenn die Cloud User über Office 365 Mails versenden dürfen.

Entsprechend wird dann auf dem angegeben Exchange Server ein Receive-Connector und Send-Connector für Office 365 angelegt. Die Server für den Receive Connector können Sie im folgenden Dialog auswählen:

In dem Beispiel gibt es genau einen Server. Da es hier ein Exchange 2016 Server ist, taucht die "HubTransport-Rolle so nicht auf und "Mailbox" steht eigentlich für Backend und "Client Access" für Frontend.

Da ich diesen Server später ohne Edge aus der Cloud ansprechen will, muss er über eine öffentliche IP-Adresse unter Port 25 (SMTP) erreichbar sein. Eine Veröffentlichung über Reverse-NAT ist möglich. Ein anderes SMTP-Relay als ein Exchange Edge Server ist nicht erlaubt.

Nach diesem Fenster wird die Gegenrichtung auf der On-Prem-Umgebung konfiguriert. Sie müssen bestimmen, welche Server den Send-Connector in die Cloud bedienen:

Auch hier gibt es in meinem Beispiel nur einen Server zur Auswahl.

Denken Sie daran, dass diese Server direkt die Gegenstellen bei Microsoft per DNS auflösen und per SMTP (25/TCP) erreichen können müssen. Mit einer privaten Adressen muss die Firewall den Zugriff per NAT umsetzen. Als SMTP-Relay ist maximal ein Exchange Edge Server erlaubt.

Da jeglicher Transport per SMTP zwischen Exchange Online und Exchange On-Prem per TLS abgesichert wird, sind entsprechende Zertifikate erforderlich. Der Assistent listet die verfügbaren Zertifikate auf. Wählen Sie passendes öffentliches Zertifikat aus.

Beachten Sie dabei bei der Auswahl des Zertifikats die Anforderungen an CN/SAN.

Your On-Prems email server is configured to use a certificate to send email to Office 365, and the CN (Common-Name) or SAN (Subject Alternate Name) in the certificate contains a domain name you have registered with Office 365 and you have created a certificate based connector in Office 365 with that domain
Quelle: Important notice for Office 365 email customers who have configured connectors
https://blogs.technet.microsoft.com/exchange/2016/03/29/important-notice-for-office-365-email-customers-who-have-configured-connectors/

Zuletzt müssen Sie dem Assistenten natürlich noch sagen, unter welchem Namen der Transport-Service aus Office 365 erreichbar ist.

Es muss sich dabei um einen öffentlichen Namen handeln der auch im Zertifikat vorkommt und per Power 25/TCP direkt erreichbar ist.

Danach heißt es etwas Geduld zu haben, bis der HCW die erforderlichen Einstellungen durchgeführt hat.

Achtung:
In dem Zuge werden auch lokale Empfängerrichtlinien mit den Cloud Adressen "@tenantname.onmicrosoft.com" angepasst und über ein "Update-Recipient" auf alle lokalen Empfänger angewendet. Das dauert bei vielen Anwendern entsprechend lange und führt zu einer AD-Replikationsspitze samt einer vollen Generierung des OABs samt Download durch die Clients.

Wenn alles Ok ist, dann sehen Sie den Abschlussdialog.

Wenn wie hier am Ende ein Fehler erscheint, dann verweist der "Learn more"-Link sehr genau auf eine Hilfeseite, die weiterführende Informationen liefert. In meinem Fall war das:

Ansonsten lohnt sich auch mal ein Blick in die Protokolldateien, die je nach Version in einem der beiden Verzeichnisse landen.

%appdata%\Roaming\Microsoft\Exchange Hybrid Configuration 
%appdata%\Microsoft\Exchange Hybrid Configuration 

Meldung an Microsoft

In meinem Fall hat der HCW versucht eine Mail an exhcw@microsoft.com zu senden, was aber aufgrund eines Spamfilters nicht erlaubt wurde. Meine Testumgebung durfte halt nur als "User@meinedomain.tld" senden und nicht als admin@tenantname.onmicrosoft.com. So habe ich dann gesehen, dass von der Cloud drei Mails generiert worden wären. Neben einem Feedback, was ich eingegeben hatte, war eine Mail ein "Application Checkpoint" und die letzte dann die Schlussmeldung über die Installation, die beide bei mir als NDR gelandet sind:

Wichtig
Wenn Sie sich während des Office 365-Betaprogramms für Ihre Office 365-Mandantenorganisation angemeldet und die Active Directory-Synchronisierung aktiviert haben, müssen Sie den folgenden Shell-Befehl in Ihrer Office 365-Organisation ausführen, um eine Koexistenzdomäne (<tenantdomain>.mail.onmicrosoft.com) für Ihre Organisation zu erstellen. Set-MsolDirSyncEnabled -EnableDirSync $true

Speicherung im lokalen AD

Viele der Daten, die der HCW während der Arbeit erfasst haben, werden lokal in einem speziellen AD-Objekt gespeichert. So ist sichergestellt, dass bei einem erneuten Start die gleichen Werte als Default wieder vorgeschlagen werden. Zudem kann der HCW prüfen, ob er nun in einer neueren Version vorliegt und das Objekt vielleicht aktualisiert werden muss. Über die PowerShell können Sie diese Daten sehr einfach auslesen:

[PS] C:\>Get-HybridConfiguration

RunspaceId                : 1234567-1234-1234-1234-1234567890ab
ClientAccessServers       : {}
EdgeTransportServers      : {}
ReceivingTransportServers : {EX01}
SendingTransportServers   : {EX01}
On-PremsSmartHost         : hybrid.msxfaq.net
Domains                   : {msxfaq.net}
Features                  : {FreeBusy, MoveMailbox, Mailtips, MessageTracking, OwaRedirection, OnlineArchive, SecureMail, CentralizedTransport, Photos}
ExternalIPAddresses       : {}
TlsCertificateName        : <I>CN=AlphaSSL CA - SHA256 - G2, O=GlobalSign nv-sa, C=BE<S>CN=*.msxfaq.net, OU=Domain Control Validated
ServiceInstance           : 0
AdminDisplayName          :
ExchangeVersion           : 0.20 (15.0.0.0)
Name                      : Hybrid Configuration
DistinguishedName         : CN=Hybrid Configuration,CN=Hybrid Configuration,CN=MSXFAQ,CN=Microsoft
                            Exchange,CN=Services,CN=Configuration,DC=msxfaq,DC=de
Identity                  : Hybrid Configuration
Guid                      : 1234567-1234-1234-1234-1234567890ab
ObjectCategory            : msxfaq.net/Configuration/Schema/ms-Exch-Coexistence-Relationship
ObjectClass               : {top, msExchCoexistenceRelationship}
WhenChanged               : 27.01.2016 13:20:30
WhenCreated               : 26.01.2015 12:27:15
WhenChangedUTC            : 27.01.2016 12:20:30
WhenCreatedUTC            : 26.01.2015 11:27:15
OrganizationId            :
Id                        : Hybrid Configuration
OriginatingServer         : DC01.msxfaq.net
IsValid                   : True
ObjectState               : Unchanged

Wer also nicht sicher ist, wann der HCW das erste Mal gestartet wurde, kann hier die Information erhalten.

Es ist durchaus möglich, dieses Element zu löschen und komplett frisch anzufangen.

Weitere Links