Exchange Hybrid Agent

Auf der Ignite 2018 hat Microsoft einen neuen Ansatz für die Koexistenz von Exchange OnPremises mit Exchange Online vorgestellt. Der "Hybrid Agent" soll die Verbindung einfacher und sicherer gestalten.

Hybridmode bisher

Wer Exchange OnPremises mit Exchange online verheiraten wollte musste bislang immer mehrere Anforderungen erfüllen:

  • Verzeichnisabgleich
    Sie mussten also alle in der dem lokalen Active Directory in die Cloud bekannt machen. Diese Rolle hat
  • Lokaler Exchange Server für Provisioning
    Mit aktivem DirSync müssen Sie die Exchange Properties im lokalen AD über die lokale Exchange PowerShell pflegen. Siehe auch DirSync mit Exchange
  • Mail Routing
    Über entsprechende Send und Empfang- Kollektoren auf dem lokalen Exchange und entsprechender Inbound/Outboud Connectoren im Tenant wurde ein sicherer Kanal zwischen den Servern etabliert. Dazu ist es aber erforderlich dass sie ein lokales Zertifikat und eine öffentliche IP Adresse mit dem Port 25 Jahre erreichbar machen mussten.
  • Web Services
    Damit Postfächer in die Cloud migriert werden können und vor allem "Free/Busy-Zeiten etc. über die Grenzen hinweg funktionieren, mussten Sie auch OnPremises die Exchange WebServices (EWS) für Office 365 erreichbar machen. Das ist weit mehr als "nur OWA" und für viele Firmen ein Problem ihre Exchange Server zu zu veröffentlichen.

Der neue Hybrid-Agent macht nun nichts anderes, als diese Veröffentlichung der WebServices zu erleichtern. Die beiden anderen Komponenten "DirSync" und "Mailrouting" bleiben davon unberührt. Die benötigen also weiterhin ihr bestehende Office 365 Identity Management auf Basis des AzureADConnect und ein SMTP-Routing über einen Hybrid Connector Server.

Hybrid über Azure App Proxy

Allerding ersetzt der Hybrid Agent die Veröffentlichung von Exchange EWS OnPremises durch den Richtungswechsel über einen Azure AD WebProxy. Diese Funktion gibt es schon länger, damit Sie als Firma interne Webseiten über Azure als Relay aus dem Internet erreichbar machen können. Sie können dabei die gesamten Schutzfunktionen von Azure nutzen, z.B. Preauthentication etc.

Viel interessanter ist dabei aber, dass die Verbindung von Exchange Online dann zu einem entsprechen gesicherten Endpunkt in Azure erfolgt. Für das Stück zwischen ihren lokalen internen Exchange Server und der Rückseite des Application Proxy in Azure ist aber ein Dienst auf ihrem Exchange Server zuständig, der die Verbindung von innen nach extern aufbaut.

Dieser kleine interne "Helfer" in ihrem LAN baut eine HTTPS-Verbindung auf und öffnet damit einen Tunnel von ihrem Netzwerk, genauer ihrem Exchange EWS-Services zu diesem Azure Service. Exchange Online kann nun also per EWS für Migrationen und Frei/Belegt-Zeiten direkt auf den Azure-Endpunkt zugreifen, der die Anfragen als "Antwort" an die ausstehende Anfrage des Agenten.

Für diese Funktion müssen Sie also EWS nicht mehr selbst veröffentlichen. Microsoft macht dies und Exchange Online greift auf eine URL mit einem Hostname in der folgenden Form zu

https://{guid}.resource.{flow}.his.msappproxy.net

Es gibt sicher Firmen, die EWS bislang nicht veröffentlicht haben, weil nur "bekannte Clients" zugreifen durften und dazu eine Preauthentication oder VPN erforderlich war.

Einschätzung

Auf der einen Seite habe ich mich schon immer gefragt, warum Microsoft den Hybrid-Mode nicht schon vereinfacht hat. Aber ich hatte mir schon etwas mehr erhofft. Es gibt eine klare Empfehlung von Microsoft, dass kleine und mittlere Firmen besser Exchange Online nutzen anstatt weiter lokale Exchange Server samt Webveröffentlichung, Spamfilter, Backup etc. zu betreiben. Aber nur sehr kleine Firmen werden auf ihr lokales Active Directory verzichten und alles über Azure abwickeln. Diese Firmen wollen natürlich ein Single SignOn und eine homogene Benutzerverwaltung. Dazu gibt es dann AzureADConnect und z.B. die Anmeldung per Pass-Through Authentifizierung (PTA). Sobald aber AzureADConnect installiert ist, braucht es sowieso einen Exchange Server für das Provisioning und Mailrouting. Dann ist EWS auch kein Problem mehr, wenn es eh keine lokalen Postfächer gibt. Es kann allerdings eine sehr interessante Option für die Migration von OnPremises zu Exchange Online sein.

Ich hätte mir eher gewünscht, dass der Hybrid Agent zumindest noch das Mailrouting mit übernimmt, damit eingehend auch keine SMTP-Verbindung mehr erforderlich ist. Erst dann könnte der Kunde OnPremises auf jegliche Veröffentlichung von Diensten bezüglich Exchange verzichten.

Solange es aber noch ein lokales Postfach gibt und der Anwender z.B. per Outlook/Mac oder Skype for Business per EWS auf sein Postfach zugreifen will, muss ich eh EWS veröffentlichen. Insofern ist der Hybrid Agent nur der erste Schritt auf einem längeren Weg und könnte sogar als "Anfüttern" zur Nutzung von Azure Diensten dienen.

Interessant ist aber generell die Komponente, über die Microsoft natürlich auch zusätzliche Funktionen integrieren kann, die AADConnect nicht enthält. Es gibt z.B. im Hybrid Configuration Wizard seit Juni 2018 auch die Komponente Organization Configuration Transfer. Ich könnte mir vorstellen, dass diese Funktion auch hier drin aufgehen kann und Änderungen in der Cloud oder OnPremises automatisch übertragen werden. Laut einem Vortrag auf der Ignite überträgt der Agent anscheinend schon Stellvertreter-Rechte.

Die Funktion von Azure Application Proxies in Azure ist durchaus für das ein oder andere Umfeld eine interessante Option. Als Eingang zu einem OnPremise-Exchange Server hätte ich ihn aber nicht eingesetzt. Ich werde beobachten, wie sich das Konzept weiter entwickelt. Sie merken schon: Begeisterung liest sich anders.

Weitere Links

BRK3143 - Hybrid Exchange: Making it easier and faster to move to the cloud
https://myignite.techcommunity.microsoft.com/sessions/65633 
https://www.youtube.com/watch?v=QhOh5RCcLu8