HCW Features&Topologien
Die Koexistenz und Migration von Exchange 2010-2019 und Exchange Online erfolgt eigentlich immer über einen Hybrid-Mode. Es gibt aber nicht genau einen Hybrid-Mode, sondern mittlerweile vier Varianten, die sich im Funktionsumfang und Aufwand unterscheiden.
Beachte dazu auch Exchange Hybrid Verbindungen
Wenn Sie den Hybrid Configuration Wizard ausführen, dann sehen Sie nach den ersten Dialogen eine erste Auswahl über die "Features" und abhängig von der Antwort eine zweite Auswahl über die Topologie.
HCW-Dialoge
Die erste Auswahl bestimmt, wie umfangreich die Hybrid-Bereitstellung erfolgen soll.
Hier unterscheidet Microsoft die Features:
- Minimum Hybrid
Primär für kleine Firmen mit kurzer Koexistenz-Zeit, die schnell alle Daten in die Cloud migrieren wollen und während der kurzen Zeit auf Free/Busy, Mailtipps etc. verzichten. - Full Hybrid
Diese Bereitstellung ist für längere Zeit einer Migration oder auf Dauer ausgelegt, bei der Postfächer On-Premises und in der Cloud liegen und auch noch eng zusammenarbeiten müssen. Dafür ist die Einrichtung aufwändiger
Im darauffolgenden Dialog wird nun die Topologie ausgewählt. Das Fenster unterscheidet sich von ihrer vorherigen Auswahl.
Auswahl | Fenster |
---|---|
Minimal Hybrid |
|
Full Hybrid |
Zwar erlauben beide Dialoge eine Auswahl zwischen "Classic" und "Modern" aber die Beschreibung darunter zeigt schon, dass es abhängig von den vorher gewählten Features weitere Unterschiede gibt.
- Classic
Dies war früher der einzige „Full Hybrid“-Mode, der eine sehr gute Koexistenz und Migrationsplattform bereitgestellt hat. Ihr Exchange Server muss aber über eine öffentliche feste IP-Adresse samt DNS-Name und Zertifikat erreichbar sein. - Modern Hybrid
Bei dieser jüngeren Variante betreibt Microsoft einen AppProxy in der Cloud, der in Verbindung mit einem lokal zu installierenden Agenten die EWS-Anfragen zum On-Premises Server tunnelt und damit keine EWS-Veröffentlichung für diesen Fall erforderlich ist..
Übersicht
Die Varianten unterscheiden sich also in dem Funktionsumfang und der erforderlichen Erreichbarkeit der OnPremise Services. Hier kommt es primär auf den "Client-Zugriff" und den SMTP-Transport an.
- Client Zugriff Bidirektional oder über
Agent
Sie können ihren Exchange On-Premises Server über öffentliche DNS-Namen, IP-Adressen und TLS-Zertifikate für Exchange Online erreichbar machen, so dass die Cloud z.B. per EWS auf ihre On-Premises-Daten zugreifen kann. Bei der "Modern"-Topologie kommt dazu ein AzureADProxy zum Einsatz, so dass ihr Exchange Server nur ausgehend kommuniziert. - SMTP-Transport
Auch hier haben Sie die Wahl, ob bei der "Classic"-Topologie die Cloud direkt mit ihrem SMTP-Server kommunizieren kann, oder ob sie die Mais zwischen Exchange Online und On-Premises ganz einfach über ihre bestehenden Mailserver laufen lassen. Sie sollten dann ihren Spamfilter entsprechend anpassen und die Verschlüsselung prüfen.
Mit den zwei Topologien und den zwei Features gibt es somit vier Kombinationen:
Feature | Topologie | Beschreibung | Erreichbarkeit CAS/EWS | SMTP/Hub | F/B | Migration |
---|---|---|---|---|---|---|
Minimum |
Classic |
Hier ist das Ziel die
Migration möglichst schnell
zu ermöglichen und für die
Zeit eine Koexistenz
bezüglich Mailrouting bereit
zu stellen. Auf Free/Busy
etc. wird explizit
verzichtet, so dass der
Zugriff per EWS auf die
Migration reduziert werden
kann |
Bidirektional |
Über Internet und MX-Record |
Nein |
MRS über EWS auf CAS |
Minimum |
Modern |
Der Unterschied zur Classic-Variante besteht im Verzicht auf eingehende Verbindungen für SMTP und EWS. EWS wird über den Agenten bereitgestellt und SMTP bekommt keinen direkten Weg. |
Nur ausgehend Kommunikation |
Über Internet und MX-Record |
Nein |
MRS über Exchange Hybrid Agent |
Full |
Classic |
Dies ist die klassische
Hybrid-Bereitstellung, bei
der neben AADConnect auch
eine komplett Hybrid
Konfiguration mit
SMTP-Routing und EWS
konfiguriert wird |
Bidirektional |
Bidirektional per SMTP erreichbar |
EWS auf CAS |
MRS über EWS auf CAS |
Full |
Modern |
Die OnPremise Umgebung
muss dabei EWS gar nicht
publizieren, da ein lokaler
Agent die Anfragen über
einen Azure-Proxy von
Exchange Online bekommt. |
Nur ausgehend Kommunikation |
Bidirektional per SMTP erreichbar |
EWS über Agent |
MRS über Exchange Hybrid Agent |
Speziell kleinere Firmen, die auch noch schnell migrieren wollen, möchten dazu nicht extra den Aufwand für "eingehende Verbindungen" betreiben. Natürlich ist ihre Exchange On-Premises-Server auch heute vermutlich schon von extern z.B. für ActiveSync erreichbar. Aber EWS und MAPI/HTTP haben viele Firmen immer noch per VPN umgangen. Daher ist er Weg über einen Agenten oder der Verzicht auf Free/Busy durchaus möglich.
Funktionsunterschiede
Die Information, ob sie nun ihren Exchange Server per SMTP und HTTPS zumindest von den Exchange Online Systeme aus dem Internet erreichbar machen müssen, interessiert sicher ihre IT-Security aber sagt noch wenig über den Funktionsumfang und die Einschränkungen der viere Varianten aus. Hierbei soll ihnen folgende Tabelle etwas helfen:
Funktion | Minimum Classic |
Minimum Modern |
Full Classic |
Full Modern |
---|---|---|---|---|
Mailrouting zwischen On-Premises und Exchange Online über einen sicheren "privaten" Kanal |
SMTP Connector |
MX-Record |
SMTP Connector |
MX-Record |
Mailrouting mit einem gemeinsamen Adressraum |
Ja |
Ja |
Ja |
Ja |
Identisches Adressbuch auf beiden Seiten |
ADSync |
ADSync |
ADSync |
ADSync |
Frei/Belegt-Zeiten zwischen beiden Umgebungen (erfordert EWS) |
Nein |
Nein |
EWS |
Agent. Single CAS URL |
Out of Office sendet "interne" Meldungen zur jeweils anderen Seite |
Nein? |
Nein? |
Ja |
Ja |
Anzeige von Mailtipps aus der anderen Organisation (erfordert EWS) |
Nein |
Nein |
Ja |
Ja |
Ausführen von Messagetracking über Grenzen hinweg (erfordert natives EWS) |
Nein |
Nein |
Ja |
Nein? |
MailboxSuche zwischen Organisationen (erfordert natives EWS) |
Nein |
Nein |
Ja |
Nein? |
OWA-Umleitung, d.h. dass der Anwender nach der Anmeldung zum "richtigen" Server weiter geleitet wird |
Nein? |
Nein? |
Ja |
Ja |
Ein Werkzeug für das Management beider Exchange Umgebungen inklusive Migration von Daten |
Ja |
Ja |
Ja |
Ja |
Migration von Postfächern in beide Richtungen |
Ja |
nur ein Endpoint |
Ja |
nur ein Endpoint |
Outlook muss nach der Migration nicht neu eingerichtet werden und die OST wird nicht erneut herunter geladen |
Ja |
Ja |
Ja |
Ja |
Beibehaltung der Exchange Header (SCL, Absendervalidierung etc. |
Nein? |
Nein? |
Ja |
Ja |
Mailversand und Empfang über On-Premises (Hybrid Centralized Mail Transport) |
Nein |
Nein |
Ja |
Ja |
Hybrid Modern Authentication |
Nein |
Nein |
Ja |
Nein |
Team Kalender Funktionen mit Zugriff auf die jeweils andere Umgebung |
Nein!! |
Nein!! |
Ja |
Nein!! |
Wenn Sie die Hintergründe kennen, dann wissen sie aber auch welche Einstellung für welche Funktion zuständig ist und dass Sie z:B. die OOF-Funktion über Einträge in "Remote Domains" auch mit Minimum Hybrid ganz schnell einrichten könnten. Minimum Hybrid hat aber das Ziel eben mit wenig Aufwand eine einfache temporäre Verbindung für eine Migration herzustellen. Für einen Dauerbetrieb würde ich immer die komplette Hybridbereitstellung wählen.
Das große Problem ist "Teams", welche aktuell (Stand Feb 2021) noch nicht über den Hybrid Agent mit ihrem On-Premises Postfach kommunizieren kann.
Modern Hybrid support is limited to Free/Busy and will not provide calendar integration from Teams to mailboxes On-Premises,...
Quelle: How Exchange and Microsoft Teams interact
https://docs.microsoft.com/de-de/microsoftteams/exchange-teams-interact
For Teams' Calendaring features that require access to On-Premises mailboxes,
it's recommended that you leverage the full Classic Exchange Hybrid Topology.
Quelle: Microsoft Hybrid Agent
https://docs.microsoft.com/de-de/exchange/hybrid-deployment/hybrid-agent#constraints
- A closer look at the “Minimal Hybrid
Configuration” option
https://vanhybrid.com/2016/07/18/a-closer-look-at-the-minimal-hybrid-configuration-option/ - HCW Improvement: The Minimal Hybrid
Configuration option
https://blogs.technet.microsoft.com/exchange/2016/06/24/hcw-improvement-the-minimal-hybrid-configuration-option/ - Microsoft Hybrid Agent
https://docs.microsoft.com/de-de/exchange/hybrid-deployment/hybrid-agent#constraints - How Exchange and Microsoft Teams interact
https://docs.microsoft.com/de-de/microsoftteams/exchange-teams-interact
Setup HybridAgent
Achtung:
Abhängig von der Auswahl verhält sich auch der HCW mit der
Installation von Folgekomponenten unterschiedlich.
HCW übernimmt nicht die Ausstellung von Zertifikaten, die Freischaltung von Firewalls und Reverse Proxy Server und auch keine externen DNS-Einträge.
Wenn Sie aber mit Modern Hybrid über den Agenten arbeiten, dann installiert HCW natürlich auf dem Exchange Server den Agenten und konfiguriert in der Cloud die Gegenstelle.
Setup: ADSync
Alle "Hybrid"-Bereitstellungen benötigen eine Synchronisation mittels ADSync. Normalerweise gibt es diese Instanz schon, wenn Sie einen Office 365 Tenants mit dem lokalen Active Directory verbunden haben.
Die Installation eines zweiten ADSync ist nur mit identischer Konfiguration und im ADSync Staging Mode erlaubt. Daher sollten Sie hier eher "on my own" auswählen, wenn Sie schon einen ADSync haben und bei der aktiven ADSync-Installation dann den Exchange Hybrid Mode aktivieren.
Hier gilt es aufzupassen.
Setup: Exchange
Beim "Classic Hybrid" hat HCW zwar einige Einstellungen in Exchange addiert aber beim Minimum Hybrid mit dem Agenten ändert das Setup nach Rückfrage auch die lokale Exchange Einstellungen, die lokale Benutzer betreffen könnte:
Das passiert nur, wenn z.B. kein "ExternalUrl" auf dem EWS-Verzeichnis hinterlegt ist. Diese URL wird von der Cloud über den Agenten aufgerufen aber über Autodiscover kann auch ein Client diese Informationen erhalten. Wählen Sie also wohl überlegt.
Weitere Links
- Exchange Hybrid Agent
- HCW - Hybrid Configuration Wizard
- HCW im Detail
- Exchange Online Connector Routing
- Add-O365Address
- Voraussetzungen für die Hybridbereitstellung
https://docs.microsoft.com/de-de/exchange/hybrid-deployment-prerequisites - September 2020 Hybrid Configuration Wizard Update
https://techcommunity.microsoft.com/t5/exchange-team-blog/september-2020-hybrid-configuration-wizard-update/ba-p/1687698