Exchange Modern Hybrid Agent
Auf der Ignite 2018 hat Microsoft einen neuen Ansatz für die Koexistenz von Exchange On-Premises mit Exchange Online vorgestellt. Neben dem "Min Hybrid" und dem "Classic Hybrid" gibt es nun auch noch den Weg eines "Modern Hybrid", bei dem Sie ihren On-Premises Exchange Server nicht mehr vom Internet direkt erreichbar machen müssen, sondern über eine Azure AD Application Proxy ansprechen.
-
Hybrid Betriebsarten
Zwei Features und zwei Topologien - Abgrenzung der vier Hybrid-Varianten -
Exchange Hybrid Verbindungen
Welche Ports und Kommunikation nutzt Hybrid -
Azure AD Application Proxy
Diese Komponente nutzt Microsoft
Classic Hybridmode
Wer Exchange On-Premises mit Exchange online verheiraten wollte musste bislang immer mehrere Anforderungen erfüllen:
- Verzeichnisabgleich
Sie mussten also alle in der dem lokalen Active Directory in die Cloud bekannt machen. Diese Rolle hat - Lokaler Exchange Server für Provisioning
Mit aktivem DirSync müssen Sie die Exchange Properties im lokalen AD über die lokale Exchange PowerShell pflegen. Siehe auch DirSync mit Exchange - Mail Routing
Über entsprechende Send und Empfang- Kollektoren auf dem lokalen Exchange und entsprechender Inbound/Outboud Connectoren im Tenant wurde ein sicherer Kanal zwischen den Servern etabliert. Dazu ist es aber erforderlich dass sie ein lokales Zertifikat und eine öffentliche IP Adresse mit dem Port 25 Jahre erreichbar machen mussten. - Web Services
Damit Postfächer in die Cloud migriert werden können und vor allem "Free/Busy-Zeiten etc. über die Grenzen hinweg funktionieren, mussten Sie auch On-Premises die Exchange WebServices (EWS) für Office 365 erreichbar machen. Das ist weit mehr als "nur OWA" und für viele Firmen ein Problem ihre Exchange Server zu zu veröffentlichen.
Der neue Hybrid-Agent macht nun nichts anderes, als diese Veröffentlichung der WebServices zu erleichtern. Die beiden anderen Komponenten "DirSync" und "Mailrouting" bleiben davon unberührt. Die benötigen also weiterhin ihr bestehende Office 365 Identity Management auf Basis des AzureADConnect und ein SMTP-Routing über einen Hybrid Connector Server.
Hybrid über Azure App Proxy
Allerding ersetzt der Hybrid Agent die Veröffentlichung von Exchange EWS On-Premises durch den Richtungswechsel über einen Azure AD WebProxy. Diese Funktion gibt es schon länger, damit Sie als Firma interne Webseiten über Azure als Relay aus dem Internet erreichbar machen können. Sie können dabei die gesamten Schutzfunktionen von Azure nutzen, z.B. Preauthentication etc.
Viel interessanter ist dabei aber, dass die Verbindung von Exchange Online dann zu einem entsprechen gesicherten Endpunkt in Azure erfolgt. Für das Stück zwischen ihren lokalen internen Exchange Server und der Rückseite des Application Proxy in Azure ist aber ein Dienst auf ihrem Exchange Server zuständig, der die Verbindung von innen nach extern aufbaut.
Dieser kleine interne "Helfer" in ihrem LAN baut eine HTTPS-Verbindung auf und öffnet damit einen Tunnel von ihrem Netzwerk, genauer ihrem Exchange EWS-Services zu diesem Azure Service. Exchange Online kann nun also per EWS für Migrationen und Frei/Belegt-Zeiten direkt auf den Azure-Endpunkt zugreifen, der die Anfragen als "Antwort" an die ausstehende Anfrage des Agenten.
Für diese Funktion müssen Sie also EWS nicht mehr selbst veröffentlichen. Microsoft macht dies und Exchange Online greift auf eine URL mit einem Hostname in der folgenden Form zu:
https://{guid}.resource.{flow}.his.msappproxy.net
Es gibt sicher Firmen, die EWS bislang nicht veröffentlicht haben, weil nur "bekannte Clients" zugreifen durften und dazu eine Preauthentication oder VPN erforderlich war.
- Azure AD Application Proxy
- Publish applications using Azure AD
Application Proxy
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-publish-azure-portal - Get started with Application Proxy and
install the connector
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-enable - Understand Azure AD Application Proxy
connectors
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-connectors
Anforderungen
Auch im Nov 2024 waren Windows 2012R2 und sogar Exchange 2013 noch unterstützt. Darauf verlassen würde ich mich aber nicht.
Interessant finde ich, dass auch "Application Proxy" in Entra ID gefordert wird, was aber so nicht stimmt. Ich konnte problemlos auch Modern Hybrid mit einem Tenant einsetzen, der keine EntraID P1-Lizenz hat. Aber auch das kann sich mal ändern.
- Microsoft Hybrid Agent - Agent location and requirements
https://learn.microsoft.com/en-us/exchange/hybrid-deployment/hybrid-agent#agent-location-and-requirements
Einschränkungen
Nicht alle Lösungen funktionieren aktuell mit "Modern Hybrid". Eine Übersicht der verschiedenen "Hybrid Mode" mit den Einschränkungen finden sie auch auf Exchange Hybrid. Aus meiner Sicht die größten Einschränkungen sind:
- Nur ein Migration Endpunkt
Das ist kein Problem, wenn Sie On-Premises nur einen Exchange Server haben und damit auch nur einen Standort anbinden müssen. Wenn Sie aber mehrere Standorte mit eigener Erreichbarkeit aus dem Internet parallel migrieren wollen, dann ist Classic Hybrid die bessere Wahl. Auch beim Betrieb mehrerer Exchange On-Premises Organisationen mit einem Tenant ist dies eine gravierende Einschränkung. - Keine Extended Protection
Die seit ca. 2021 mögliche und mit Exchange 2019 CU14 per Default aktivierte NTLM-Absicherung funktioniert nicht mit dem Modern Hybrid Agent.
Extended Protection can't be fully configured on Exchange Servers that are published using Hybrid Agent
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection?view=exchserver-2019#extended-protection-cant-be-fully-configured-on-exchange-servers-that-are-published-using-hybrid-agent - Hybrid Modern Authentication
Sie können nur mit dem vollwertigen "Classic Hybrid" auch die Funktion Hybrid Modern Authentication (HMA) nutzen
Hybrid Modern Auth is not supported with the Hybrid Agent.
https://docs.microsoft.com/en-us/Exchange/clients/outlook-for-ios-and-android/use-hybrid-modern-auth?view=exchserver-2019
- Messagetracking und MultiMailboxSearch gehen nicht
- Nicht ausreichend für Teams mit
OnPremises Postfächern
Wenn Sie Microsoft Teams in der Cloud nutzen und ihr Postfach weiter "On-Premises" liegt, dann müssen Sie aktuell (Apr 2021) noch "Classic Hybrid" mit EWS-Veröffentlichung einrichten.
Beachten Sie dazu auch Hybrid Betriebsarten
- Microsoft Hybrid Agent: Constraints
https://docs.microsoft.com/en-us/exchange/hybrid-deployment/hybrid-agent#constraints
Einschätzung
Auf der einen Seite habe ich mich schon immer gefragt, warum Microsoft den Hybrid-Mode nicht schon vereinfacht hat. Aber ich hatte mir schon etwas mehr erhofft. Es gibt eine klare Empfehlung von Microsoft, dass kleine und mittlere Firmen besser Exchange Online nutzen anstatt weiter lokale Exchange Server samt Webveröffentlichung, Spamfilter, Backup etc. zu betreiben. Aber nur sehr kleine Firmen werden auf ihr lokales Active Directory verzichten und alles über Azure abwickeln. Diese Firmen wollen natürlich ein Single SignOn und eine homogene Benutzerverwaltung. Dazu gibt es dann AzureADConnect und z.B. die Anmeldung per Pass-Through Authentifizierung (PTA). Sobald aber AzureADConnect installiert ist, braucht es sowieso einen Exchange Server für das Provisioning und Mailrouting. Dann ist EWS auch kein Problem mehr, wenn es eh keine lokalen Postfächer gibt. Es kann allerdings eine sehr interessante Option für die Migration von On-Premises zu Exchange Online sein.
Ich hätte mir eher gewünscht, dass der Hybrid Agent zumindest noch das Mailrouting mit übernimmt, damit eingehend auch keine SMTP-Verbindung mehr erforderlich ist. Erst dann könnte der Kunde On-Premises auf jegliche Veröffentlichung von Diensten bezüglich Exchange verzichten. Solange es aber noch ein lokales Postfach gibt und der Anwender z.B. per Outlook/Mac oder Skype for Business per EWS auf sein Postfach zugreifen will, muss ich eh EWS veröffentlichen. Insofern ist der Hybrid Agent nur der erste Schritt auf einem längeren Weg und könnte sogar als "Anfüttern" zur Nutzung von Azure Diensten dienen.
Interessant ist aber generell die Komponente, über die Microsoft natürlich auch zusätzliche Funktionen integrieren kann, die AADConnect nicht enthält. Es gibt z.B. im Hybrid Configuration Wizard seit Juni 2018 auch die Komponente Organization Configuration Transfer. Ich könnte mir vorstellen, dass diese Funktion auch hier drin aufgehen kann und Änderungen in der Cloud oder On-Premises automatisch übertragen werden. Laut einem Vortrag auf der Ignite überträgt der Agent anscheinend schon Stellvertreter-Rechte. Die Funktion von Azure AD Application Proxy ist durchaus für das ein oder andere Umfeld eine interessante Option. Als Eingang zu einem OnPremise-Exchange Server hätte ich ihn aber nicht eingesetzt. Ich werde beobachten, wie sich das Konzept weiter entwickelt. Sie merken schon: Begeisterung liest sich anders.
Umstellung auf Classic
Wenn Sie mit dem Hybrid Modern Agent ihre Koexistenz anfangs installiert haben und nun mit Teams z.B. feststellen, dass die nicht auf lokale Kalender zugreifen können, dann steht ein Wechsel nach "Classic Hybrid" an. Das ist relativ einfach, da sie einfach den HCW - Hybrid Configuration Wizard starten und den Mode wechseln. In den Anfangszeiten hat der HCW aber leider vergessen, die lokalen Agenten zu deinstallieren. Das soll er mittlerweile können aber ein prüfender Blick auf die Dienste des Agenten-Servers nach der Konfigurationsänderung kann ja nicht schaden.
Weiterhin gibt es zwei Stellen, in denen in der Cloud, d.h. Exchange Online PowerShell, die Verweise auf den AzureAD-Proxy hinterlegt sind. Auch hier sollten Sie zur Sicherheit schauen, dass keine Rest übrig gebliebene sind. Ich kenne zwei Stellen
- Migrationsendpunkt
Hier könnte als "Remote Server" die Instant des App-Proxy hinterlegt sein. Sie können den Migrationsendpunkt einfach anpassen oder löschen und durch HCW richtig anlegen lassen
Get-MigrationEndpoint | Format-List Identity,RemoteServer Identity : Hybrid Migration Endpoint - EWS (Default Web Site) RemoteServer : <guid>.resource.mailboxmigration.his.msappproxy.net
- OrganizationRelationship
Der zweite Ort ist die Vertrauensstellung zu ihrer On-Premises-Umgebung, über die die Free/Busy-Zeiten abgerufen werden. Hier sollte entweder kein Eintrag im Feld "TargetSharingEpr" stehen oder die korrekte On-Premises URL, die sie mit der Konfiguration von Classic Hybrid veröffentlicht haben.
Get-OrganizationRelationship | Format-List Name,TargetSharingEpr Name : O365 to On-Premises - c6d22e11-2340-4432-9122-19097bacf0c1 TargetSharingEpr : https://087f1c2e-8711-4176-ab4f-4b1c1777a350.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
Vielleicht gibt es noch weitere Spuren für "Modern Hybrid" in Exchange Online aber die findet sich immer erst, wenn es Probleme gibt. Einen umfangreichen Funktionstests sollten Sie nach jeder Änderungen machen oder die Tests direkt in ihr System-Monitoring aufnehmen.
Weitere Links
BRK3143 - Hybrid Exchange: Making it
easier and faster to move to the cloud
https://myignite.techcommunity.microsoft.com/sessions/65633
https://www.youtube.com/watch?v=QhOh5RCcLu8
- Hybrid Betriebsarten
- Exchange Hybrid
- HCW Logging
- Ignite 2018
- Hybrid Connector Server
- DirSync mit Exchange
- AzureADConnect
- Pass-Through Authentifizierung (PTA)
- Azure AD Application Proxy
- Microsoft Hybrid Agent
https://docs.microsoft.com/en-us/exchange/hybrid-deployment/hybrid-agent - The Microsoft Hybrid Agent Public
Preview (5 Feb 2019)
https://blogs.technet.microsoft.com/exchange/2019/02/05/the-microsoft-hybrid-agent-public-preview/ - Announced: improvements to Hybrid
Publishing and Organization Configuration
Transfer
https://blogs.technet.microsoft.com/exchange/2018/09/26/announced-improvements-to-hybrid-publishing-and-organization-configuration-transfer/ - BRK3143 - Hybrid Exchange: Making it
easier and faster to move to the cloud
https://myignite.techcommunity.microsoft.com/sessions/65633 - Publish applications using Azure AD
Application Proxy
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-publish-azure-portal - Get started with Application Proxy and
install the connector
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-enable - Understand Azure AD Application Proxy
connectors
https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/application-proxy-connectors