Hybrid Topologien

Für den parallelen Betrieb von Exchange Online mit Exchange On-Premises hat Microsoft eine "Hybrid Konfiguration" vorgesehen, mit der die Anwender auf beiden Seiten möglichst ohne Einschränkungen miteinander arbeiten können. Die Einrichtung kann der Administrator sehr elegant über den HCW - Hybrid Configuration Wizard durchführen, welcher sowohl in der lokalen Exchange Konfiguration als auch in Exchange Online die erforderlichen Eintragungen durchführt. Details dazu finden Sie auf HCW im Detail. Allerdings unterstützt der HCW dabei immer nur eine Kopplung von einem Tenant mit 1-5 On-Premises Exchange Umgebung.

Update Aug 2024
In this release we allow admins to enable Hybrid deployment with up to 50 tenants (this number updated in August 2024) simultaneously. 
https://techcommunity.microsoft.com/blog/exchange/september-2020-hybrid-configuration-wizard-update/1687698

Vier Kombinationen

 Wer eine lokale Exchange Umgebung aber mit zwei oder mehr unterschiedliche Tenants in Koexistenz betreiben will oder muss, kann den HCW dazu nicht nutzen. Dies sieht dann wie folgt aus:

Topologie Bild HCW Beschreibung

1:1

Supported

Das ist der erste Hybrid-Ansatz, der schon viele Jahre möglich und bewährt ist. Die Ausführung des HCW in der On-Premises Umgebung konfiguriert beide Seiten.

1:N

Seit Sep 2020 (Bis zu 5 Tenant)

Mit einer Release Note im Sep 2022 hat Microsoft erstmals auch eine Konfiguration einer OnPremises Umgebung mit mehreren Tenant beschrieben:

In this release we allow admins to enable Hybrid deployment with up to 50 tenants (this number updated in August 2024) simultaneously. 
https://techcommunity.microsoft.com/blog/exchange/september-2020-hybrid-configuration-wizard-update/1687698

Das Limit von 50 Tenant bedeutet nur, dass Microsoft es bis dahin getestet hat und damit auch supportet. Ich bin sicher, dass auch mehr Tenants möglich sind. Die Komplexität steigt aber, insbesondere was die GAL, eigene DirSyncs und Gast-Benutzer-Konflikte zwischen den Tenants zunehmen.
Beachten Sie auch die "Known Issues", dass es nur ein Hybrid Configuration Dokument pro Forest gibt und immer die letzte Konfiguration genutzt wird, z.B. die Domain für die Targetadresse bei *-RemoteMailbox etc

Voraussetzung ist dabei aber entweder ein "Full" oder ein "Minimum" Hybrid Mode, aber kein Modern Hybrid. Zudem gibt es noch ein paar andere Voraussetzungen, z.B.

  • ADSync mit separierten Empfängern
    Sie müssen zu jedem Tenant eine ADSync-Instanz aufbauen aber ein lokaler User darf nur von einer ADSync-Instanz genutzt werden. On-Prem sehen sich daher alle aber die GAL in dem jeweiligen Tenant ist partiell.
  • Eigene SMTP-Domains pro Tenant
    Damals war es erforderlich, dass jeder Tenant eine eigene SMTP-Domain hat. Ende 2022 gibt es eine "SMTP-Sharing Preview", die das aufweichen könnte.
  • Eigenes SMTP-Zertifikat pro Tenant
    Der On-Prem Server muss für jeden Tenant einen eigenen Send-Connector mit eigenem TLS-Namen haben, damit Exchange Online die eingehenden Verbindungen eindeutig unterscheiden kann. Siehe auch X-OriginatorOrg, Office 365 Inbound Mailrouting u.a.

Sie sollten sich dennoch nicht blind auf den HCW verlassen und die Zusammenhänge kennen. Denn so werden auch die Free/Busy-Zeiten nicht mit eingerichtet. Es bleibt also noch einiges an Handarbeit übrig. Siehe Hybrid Manuell.

N:1

Bis fünf On-Prem Organisationen

Diese Möglichkeit ist erst 2021 dazu gekommen. Sie können nun in bis zu fünf Exchange On-Premises Umgebungen einen HCW ausführen und die Systeme kommen sich nicht in die Quere. Das entsprechende "Hybrid Configuration Dokument" landet im jeweiligen lokalen AD. Im Tenant gibt des dann entsorechend mehrere Inbound/Outbound Connectoren, Remote-Domains u.a.

Achten Sie auf ADSync. Nur ein ADSync darf einen Tenant bedienen, der dann aber seinerseits mit mehrere Forests kommunizieren kann.
Das Limit auf 5 dürfte wie bei 1:N nur ein Soft-Limit sein.

N:M

 

Nicht per HCW

Eine Hybrid-Bereitstellung von mehreren OnPremises Organisationen und mehreren Tenants kann mit HCW nicht eingerichtet werden. Pro OnPremises Organisation gibt es ja nur ein "Configuration Document" und auch ale anderen Einstellungen wie SMTP-Mailrouting, MOERA - Microsoft Online Email Routing Address, DirSync etc. sind hier deutlich anspruchsvoller.

Es bedeutet nicht, dass es nicht funktioniert aber Microsoft hat es nicht getestet und die Einrichtung ist viel Handarbeit.

Die Herausforderungen an ADSync, Identity Management etc. sind aber nicht zu unterschätzen.

Der HCW kann nur eine Topologie pro Exchange Organisation speichern und wenn Sie die zweite Hybrid-Bereitstellung per HCW einrichten wollen, überschreiben Sie quasi die erste Konfiguration. Zudem nimmt HCW keine Rücksicht auf OUs und Segmentierungen, addiert die "<tenantname>.mail.onmicrosoft.com"-Adresse in die Default Policy und einige andere Dinge, die den Einsatz des HCW hier scheitern lassen. Weitere Details dazu finden Sie auf HCW Features&Topologien. Offiziell kann eine Exchange On-Premises Organisation nur mit genau einem Tenant verbunden werden. Technisch ist dies aber nur durch den HCW und vielleicht das Microsoft Support Statement vorgegeben.

Für eine komplette Liste der Änderungen durch den HCW verweise ich auf die Seite HCW im Detail.

Hybrid Dokument

Wenn Sie den Exchange Hybrid Wizard ausgeführt haben, dann hat er alle eingegebenen Informationen genutzt, um ihre Systeme zu konfigurieren. Er hat aber zusätzlich auch die Informationen in einem "Hybrid Configuration Document" im lokalen Active Directory abgelegt. So werden bei einem weiteren Start des HCW die gleichen Werte erneut vorgeschlagen.

[PS] C:\Windows\system32>Get-HybridConfiguration

ClientAccessServers       : {}
EdgeTransportServers      : {}
ReceivingTransportServers : {EX16}
SendingTransportServers   : {EX16}
On-PremisesSmartHost       : hybrid.msxfaq.de
Domains                   : {msxfaq.com, msxfaq.de}
Features                  : {FreeBusy, MoveMailbox, Mailtips, MessageTracking, OwaRedirection, OnlineArchive,
                            SecureMail, Photos}
ExternalIPAddresses       : {}
TlsCertificateName        : <I>CN=GlobalSign RSA OV SSL CA 2018, O=GlobalSign nv-sa, C=BE<S>CN=*.msxfaq.de, 
                            O=FCEDV, L=Hoevelhof, S=Nordrhein-Westfalen, C=DE
ServiceInstance           : 0
AdminDisplayName          :
ExchangeVersion           : 0.20 (15.0.0.0)
Name                      : Hybrid Configuration
DistinguishedName         : CN=Hybrid Configuration,CN=Hybrid Configuration,CN=MSXFAQ,CN=Microsoft
                            Exchange,CN=Services,CN=Configuration,DC=msxfaq,DC=de
Identity                  : Hybrid Configuration
Guid                      : 99ef51e4-7dc3-46d0-aacf-25e0b87039da
ObjectCategory            : msxfaq.de/Configuration/Schema/ms-Exch-Coexistence-Relationship
ObjectClass               : {top, msExchCoexistenceRelationship}
WhenChanged               : 02.05.2022 18:10:29
WhenCreated               : 26.01.2015 12:27:15
WhenChangedUTC            : 02.05.2022 16:10:29
WhenCreatedUTC            : 26.01.2015 11:27:15
OrganizationId            :
Id                        : Hybrid Configuration
OriginatingServer         : DC01.msxfaq.de
IsValid                   : True
ObjectState               : Unchanged

Interessant ist hier der Parameter "Features". Diese Information wird übrigens auch im Exchange Online hinterlegt, so dass der Microsoft Support ihre Eingaben verifizieren kann.

Es kann aktuell pro On-Premises-Umgebung immer nur genau ein HCW-Dokument geben (Stand Sep 2022).

Allerdings ist genau das auch heute das einer der Gründe, warum Sie eine Exchange Organisation nur mit einem Tenant einrichten können. Es gibt genau ein solches Dokument und jeder zweite Aufruf des HCW wird die vorherige Konfiguration überschreiben. Allerdings macht ein zweiter Aufruf mit einem anderen Tenant die vorherige Konfiguration nicht rückgängig. Ich kann mir gut vorstellen, das Microsoft solche Sonderfälle nicht supporten kann oder will. Damit sind sie aber nicht per Se unmöglich.

Weitere Links