HCW Features & Topologien

Die Koexistenz und Migration von Exchange 2010-2019 und Exchange Online erfolgt eigentlich immer über einen Hybrid-Mode. Es gibt aber nicht genau einen Hybrid-Mode, sondern mittlerweile vier Varianten, die sich im Funktionsumfang und Aufwand unterscheiden.

Wenn Sie den Hybrid Configuration Wizard ausführen, dann sehen Sie nach den ersten Dialogen eine erste Auswahl über die "Features" und abhängig von der Antwort eine zweite Auswahl über die Topologie.

HCW-Dialoge

Die erste Auswahl bestimmt, wie umfangreich die Hybrid-Bereitstellung erfolgen soll.

Hier unterscheidet Microsoft die Features:

  • Minimum Hybrid
    Primär für kleine Firmen mit kurzer Koexistenz-Zeit, die schnell alle Daten in die Cloud migrieren wollen und während der kurzen Zeit auf Free/Busy, Mailtipps etc. verzichten.
  • Full Hybrid
    Diese Bereitstellung ist für längere Zeit einer Migration oder auf Dauer ausgelegt, bei der Postfächer OnPremises und in der Cloud liegen und auch noch eng zusammenarbeiten müssen. Dafür ist die Einrichtung aufwändiger

Im darauffolgenden Dialog wird nun die Topologie ausgewählt. Das Fenster unterscheidet sich von ihrer vorherigen Auswahl

Auswahl Fenster
Minimal Hybrid
Full Hybrid

Zwar erlauben beide Dialoge eine Auswahl zwischen "Classic" und "Modern" aber die Beschreibung darunter zeigt schon, dass es abhängig von den vorher gewählten Features weitere Unterschiede gibt.

  • Classic
    Dies war früher der einzige „Full Hybrid“-Mode, der eine sehr gute Koexistenz und Migrationsplattform bereitgestellt hat. Ihr Exchange Server muss aber über eine öffentliche feste IP-Adresse samt DNS-Name und Zertifikat erreichbar sein.
  • Modern Hybrid
    Bei dieser jüngeren Variante betreibt Microsoft einen AppProxy in der Cloud, der in Verbindung mit einem lokal zu installierenden Agenten die EWS-Anfragen zum OnPremises Server tunnelt und damit keine EWS-Veröffentlichung für diesen Fall erforderlich ist..

Übersicht

Die Varianten unterscheiden sich also in dem Funktionsumfang und der erforderlichen Erreichbarkeit der OnPremise Services. Hier kommt es primär auf den "Client-Zugriff" und den SMTP-Transport an.

  • Client Zugriff Bidirektional oder über Agent
    Sie können ihren Exchange OnPremises Server über öffentliche DNS-Namen, IP-Adressen und TLS-Zertifikate für Exchange Online erreichbar machen, so dass die Cloud z.B. per EWS auf ihre OnPremises-Daten zugreifen kann. Bei der "Modern"-Topologie kommt dazu ein AzureADProxy zum Einsatz, so dass ihr Exchange Server nur ausgehend kommuniziert.
  • SMTP-Transport
    Auch hier haben Sie die Wahl, ob bei der "Classic"-Topologie die Cloud direkt mit ihrem SMTP-Server kommunizieren kann, oder ob sie die Mais zwischen Exchange Online und OnPremises ganz einfach über ihre bestehenden Mailserver laufen lassen. Sie sollten dann ihren Spamfilter entsprechend anpassen und die Verschlüsselung prüfen.

Mit den zwei Topologien und den zwei Features gibt es somit vier Kombinationen:

Feature Topologie Beschreibung Erreichbarkeit CAS/EWS SMTP/Hub F/B Migration

Minimum

Classic

Hier ist das Ziel die Migration möglichst schnell zu ermöglichen und für die Zeit eine Koexistenz bezüglich Mailrouting bereit zu stellen. Auf Free/Busy etc. wird explizit verzichtet, so dass der Zugriff per EWS auf die Migration reduziert werden kann.

Bidirektional

Über Internet und MX-Record

Nein

MRS über EWS auf CAS

Minimum

Modern

Der Unterschied zur Classic-Variante besteht im Verzicht auf eingehende Verbindungen für SMTP und EWS. EWS wird über den Agenten bereitgestellt und SMTP bekommt keinen direkten Weg.

Nur ausgehend Kommunikation

Über Internet und MX-Record

Nein

MRS über Exchange Hybrid Agent

Full

Classic

Dies ist die klassische Hybrid-Bereitstellung, bei der neben AADConnect auch eine komplett Hybrid Konfiguration mit SMTP-Routing und EWS konfiguriert wird. Diese Variante war lange Zeit der Default und erlaubt die umfangreichste Koexistenz.

Bidirektional

Bidirektional per SMTP erreichbar

EWS auf CAS

MRS über EWS auf CAS

Full

Modern

Die OnPremise Umgebung muss dabei EWS gar nicht publizieren, da ein lokaler Agent die Anfragen über einen Azure-Proxy von Exchange Online bekommt. Aber es gibt eine direkte SMTP-Verbindung.

Nur ausgehend Kommunikation

Bidirektional per SMTP erreichbar

EWS über Agent

MRS über Exchange Hybrid Agent

Speziell kleinere Firmen, die auch noch schnell migrieren wollen, möchten dazu nicht extra den Aufwand für "eingehende Verbindungen" betreiben. Natürlich ist ihre Exchange OnPremises-Server auch heute vermutlich schon von extern z.B. für ActiveSync erreichbar. Aber EWS und MAPI/HTTP haben viele Firmen immer noch per VPN umgangen. Daher ist er Weg über einen Agenten oder der Verzicht auf Free/Busy durchaus möglich.

Funktionsunterschiede

Die Information, ob sie nun ihren Exchange Server per SMTP und HTTPS zumindest von den Exchange Online Systeme aus dem Internet erreichbar machen müssen, interessiert sicher ihre IT-Security aber sagt noch wenig über den Funktionsumfang und die Einschränkungen der viere Varianten aus. Hierbei soll ihnen folgende Tabelle etwas helfen:

Funktion Minimum
Classic
Minimum
Modern
Fuill
Classic
Full
Modern

Mailrouting zwischen OnPremises und Exchange Online über einen sicheren "privaten" Kanal

JaSMTP

JaMX-Record

JaSMTP

JaMX-Record

Mailrouting mit einem gemeinsamen Adressraum

JaJa

JaJa

JaJa

JaJa

Identisches Adressbuch auf beiden Seiten

JaADSync

JaADSync

JaADSync

JaADSync

Frei/Belegt-Zeiten zwischen beiden Umgebungen (erfordert EWS)

Nein Nein

Nein Nein

Ja EWS

Ja Agent. Single CAS URL

Out of Office sendet "interne" Meldungen zur jeweils anderen Seite

Nein Nein?

Nein Nein?

Ja Ja

Ja Ja

Anzeige von Mailtipps aus der anderen Organisation (erfordert EWS)

Nein Nein

Nein Nein

Ja Ja

Ja Ja

Ausführen von Messagetracking über Grenzen hinweg (erfordert natives EWS)

Nein Nein

Nein Nein

Ja Ja

Nein Nein?

MailboxSuche zwischen Organisationen (erfordert natives EWS)

Nein Nein

Nein Nein

Ja Ja

Nein Nein?

OWA-Umleitung, d.h. dass der Anwender nach der Anmeldung zum "richtigen" Server weiter geleitet wird

Nein Nein?

Nein Nein?

Ja Ja

Ja Ja

Ein Werkzeug für das Management beider Exchange Umgebungen inklusive Migration von Daten

Ja Ja

Ja Ja

Ja Ja

Ja Ja

Migration von Postfächern in beide Richtungen

Ja Ja

Ja nur ein Endpoint

Ja Ja

Ja nur ein Endpoint

Outlook muss nach der Migration nicht neu eingerichtet werden und die OST wird nicht erneut herunter geladen

Ja Ja

Ja Ja

Ja Ja

Ja Ja

Beibehaltung der Exchange Header (SCL, Absendervalidierung etc.

Nein Nein?

Nein Nein?

Ja Ja

Ja Ja

Mailversand und Empfang über On-Premises (Hybrid Centralized Mail Transport)

Nein Nein

Nein Nein

Ja Ja

Ja Ja

Hybrid Modern Authentication

Nein Nein

Nein Nein

Ja Ja

Nein Nein

Team Kalender Funktionen mit Zugriff auf die jeweils andere Umgebung

Nein Nein!!

Nein Nein!!

Ja Ja

Nein Nein!!

Wenn Sie die Hintergründe kennen, dann wissen sie aber auch welche Einstellung für welche Funktion zuständig ist und dass Sie z:B. die OOF-Funktion über Einträge in "Remote Domains" auch mit Minimum Hybrid ganz schnell einrichten könnten. Minimum Hybrid hat aber das Ziel eben mit wenig Aufwand eine einfache temporäre Verbindung für eine Migration herzustellen. Für einen Dauerbetrieb würde ich immer die komplette Hybridbereitstellung wählen.

Das große Problem ist "Teams", welche aktuell (Stand Feb 2021) noch nicht über den Hybrid Agent mit ihrem OnPremises Postfach kommunizieren kann.

Modern Hybrid support is limited to Free/Busy and will not provide calendar integration from Teams to mailboxes on-premises,...
Quelle: How Exchange and Microsoft Teams interact https://docs.microsoft.com/de-de/microsoftteams/exchange-teams-interact

For Teams' Calendaring features that require access to on-premises mailboxes, it's recommended that you leverage the full Classic Exchange Hybrid Topology.
Quelle: Microsoft Hybrid Agent https://docs.microsoft.com/de-de/exchange/hybrid-deployment/hybrid-agent#constraints

Setup HybridAgent

Achtung:
Abhängig von der Auswahl verhält sich auch der HCW mit der Installation von Folgekomponenten unterschiedlich.

HCW übernimmt nicht die Ausstellung von Zertifikaten, die Freischaltung von Firewalls und Reverse Proxy Server und auch keine externen DNS-Einträge.

Wenn Sie aber mit Modern Hybrid über den Agenten arbeiten, dann installiert HCW natürlich auf dem Exchange Server den Agenten und konfiguriert in der Cloud die Gegenstelle.

Setup: ADSync

Alle "Hybrid"-Bereitstellungen benötigen eine Synchronisation mittels ADSync. Normalerweise gibt es diese Instanz schon, wenn Sie einen Office 365 Tenants mit dem lokalen Active Directory verbunden haben.

Die Installation eines zweiten ADSync ist nur mit identischer Konfiguration und im ADSync Staging Mode erlaubt. Daher sollten Sie hier eher "on my own" auswählen, wenn Sie schon einen ADSync haben und bei der aktiven ADSync-Installation dann den Exchange Hybrid Mode aktivieren.

Hier gilt es aufzupassen

Setup: Exchange

Beim "Classic Hybrid" hat HCW zwar einige Einstellungen in Exchange addiert aber beim Minimum Hybrid mit dem Agenten ändert das Setup nach Rückfrage auch die lokale Exchange Einstellungen, die lokale Benutzer betreffen könnte:

Das passiert nur, wenn z.B. kein "ExternalUrl" auf dem EWS-Verzeichnis hinterlegt ist. Diese URL wird von der Cloud über den Agenten aufgerufen aber über Autodiscover kann auch ein Client diese Informationen erhalten. Wählen Sie also weise.

Weitere Links