Exchange Hybrid

Der Hybrid-Mode zwischen Office 365 und einer On-Prem-Umgebung bedeutet, dass die Identitäten auf beiden Seiten synchron gehalten werden müssen.

Was ist Exchange Hybrid ?

Eine hybride Bereitstellung von Exchange On-Prem und Online bedeutet, dass folgende Faktoren und Dinge möglich sind:

  • Identisches Adressbuch
    Dafür die der Betrieb von AADSync erforderlich.
  • Sicherer Mailaustausch
    Dazu sind entsprechende Connectoren mit Zertifikaten erforderlich
  • Abfrage von Frei/Belegt-Zeiten
    Dazu müssen die Exchange Umgebungen sich gegenseitig vertrauen und per EWS erreichen können
  • bidirektionale Migration von Postfächern
    Dazu muss der Mailbox Replication Service die jeweils andere Umgebung per EWS erreichen können
  • Zugriff auf Stellvertreter, Räume etc.
    Das ist eine Aufgabe von Outlook und Autodiscover den richtigen Server zu finden und sich dann geeignet zu authentifizieren

Der Hybrid Configuration Wizard unterstützt bei der Konfiguration, indem er die aktuelle Umgebung analysiert, soweit möglich korrigiert und letztlich die Einrichtung durchführt.

Mittlerweile gibt es auch abweichende Einrichtungen, bei denen nicht alle Funktionen komplett eingerichtet werden. Wer z.B. in kurzer Zeit Postfächer von On-Prem in die Cloud migrieren will und am Ende lokal gar keine Postfächer betreiben wird, kann eine reduzierte Einrichtung vornehmen und z.B.: auf Free/Busy-Zeiten und ein "Trusted SMTP-Routing" verzichten. De Mails sind werden dann immer noch per TLS übertragen aber nicht mehr zwingend als "intern" angesehen. Man spart sich aber die komplette Veröffentlichung von Exchange oder den Betrieb von Edge-Servern.

Was ist dann "Minimum Hybrid" (MinHybrid/Simple)

Die Einrichtung der Hybrid-Konfiguration ist durchaus aufwändig, wie Sie in der folgenden Beschreibung noch sehen werden. Es gibt aber auch eine kleine Version, bei der nicht alle Funktionen benötigt werden. Die Auswahl sehen Sie sehr früh beim HCW:

So ist der Hybrid Mode zwar für die Migration von Exchange 2013/2016 OnPrem in die Cloud der sauberste Weg, aber wenn diese Migration in Tagen und wenigen Wochen möglich ist, dann könnte man auf die ein oder andere Funktion verzichten.

Funktion Min Hybrid Hybrid

Mailrouting zwischen OnPrem und Exchange Online über einen sicheren "privaten" Kanal

Ja Ja

Ja Ja

Mailrouting mit einem gemeinsamen Adressraum

Ja Ja

Ja Ja

Identisches Adressbuch auf beiden Seiten

Nein Nein

Ja Ja

Frei/Belegt-Zeiten zwischen beiden Umgebungen

Nein Nein

Ja Ja

Out of Office sendet "interne" Meldungen zur jeweils anderen Seite

Nein Nein

Ja Ja

Anzeige von Mailtipps aus der anderen Organisation

Nein Nein

Ja Ja

Ausführen von Messagetracking über Grenzen hinweg

Nein Nein

Ja Ja

MailboxSuche zwischen Organisationen

Nein Nein

Ja Ja

OWA-Umleitung, d.h. dass der Anwender nach der Anmeldung zum "richtigen" Server weiter geleitet wird

Nein Nein

Ja Ja

Ein Werkzeug für das Management beider Exchange Umgebungen inklusive Migration von Daten

Nein Nein

Ja Ja

Migration von Postfächern in beide Richtungen

Nein Nein

Ja Ja

Outlook muss nach der Migration nicht neu eingerichtet werden und die OST wird nicht erneut herunter geladen

Nein Nein

Ja Ja

Beibehaltung der Exchange Header (SCL, Absendervalidierung etc

Nein Nein

Ja Ja

Mailversand und Empfang über On-Premises (Hybrid Centralized Mail Transport)

Nein Nein

Ja Ja

Wenn Sie die Hintergründe kennen, dann wissen sie aber auch welche Einstellung für welche Funktion zuständig ist und dass Sie z:B. die OOF-Funktion über Einträge in "Remote Domains" auch mit MinHybrid ganz schnell einrichten könnten. MinHybrid hat aber das Ziel eben mit wenig Aufwand eine einfache temporäre Verbindung für eine Migration herzustellen. Für einen Dauerbetrieb würde ich immer die komplette Hybridbereitstellung wählen.

Warum DirSync zwingend ist

Dies ist Essential, damit z.B. Exchange und Skype für Business korrekt funktionieren müssen. Hier ein paar Beispiele, wenn es nicht geht

  • Exchange GAL
    AADConnect ist für die Pflege der Empfänger in der Cloud zuständig. Es gibt keinen Dienst in Exchange, der ihnen diese Arbeit abnimmt
  • Exchange Weiterleitung
    AADConnect pflegt auch das Feld "TargetAddress" mit dem Empfänger auf einer Seite von der anderen Seite aus erreichbar werden.
  • Anzeige von Verteilern
    Auch Gruppen sind erst einmal AD-Objekte mit Exchange Properties und damit ist es AADConnect, der diese Elemente in der Cloud verwaltet und die Mitglieder aktuell hält.
  • Erreichbarkeit von Verteilermitgliedern
    AADConnect repliziert in dem Zuge auch die Exchange Properties, insbesondere die Mailadressen, damit die Verteiler auch auf beiden Seiten erreichbar sind.
  • Free/Busy-Abfragen
    Der Inhalt des Felds TargetAddress ist maßgeblich, damit die Exchange Umgebung mit ihrem Postfach weiß, wo sie diese Daten beziehen kann.
  • Exchange UM-Information
    Auch die Informationen zur VoiceMail sind AD-Properties, die AADConnect überträgt
  • Exchange Online Archiv in der Cloud
    Damit Exchange Online weiß, welcher Benutzer sein Archiv in der Cloud hat, müssen auch diese Felder durch AADConnect übertragen werden.

Sie sehen also, dass an AADConnect und einen kompletten Verzeichnisabgleich aller für Exchange relevanten Objekte kein Weg vorbei führt. Prüfen Sie daher auf jeden Fall die Konfiguration des AADConnect, dass er auch Exchange Hybrid unterstützt.

Empfängerrichtlinien

Alle Empfänger in einer Hybrid-Umgebung bekomme eine "<tenantname>.mail.onmicrosoft.com"-Adresse. Da beim Einsatz von Hybrid die Exchange Properties in Office 365 durch die On-Prem-Installation gepflegt werden, müssen diese Adressen auch On-Premises gesetzt werden. Der Hybrid Konfiguration Assistent ändert dazu die Empfängerrichtlinien und aktualisiert alle Empfänger. Da sind einige Probleme nicht ganz auszuschließen.

  • Objekte mit deaktivierter Richtlinie
  • Objekte mit abweichenden Berechtigungen
  • OAB Generation

Bei kleinen Firmen wird das sicher kein Problem sein, aber größere Firmen mit delegierten Rechten und vielen Domänen sollten hier vielleicht vorplanen.

Hybrid Server

Für den Hybrid-Mode benötigen Sie natürlich lokal mindestens einen Exchange Server, der zudem von Office 365 über das Internet erreichbar ist. Abhängig von ihrer lokalen Umgebung möchten Sie vielleicht nicht die vorhandenen Server veröffentlichen sondern einen eigenen "Hybrid Connector Server" aufbauen. Egal wie sie es anstellen, brauchen Sie folgende Funktionen

  • Mailrouting zwischen Office 365 und OnPremise
    d.h. aktuell muss ihr Exchange Server per SMTP (25/TCP) zumindest von Office 365-Servern erreichbar sein
  • EWS für FreeBusy -Informationen, MRS-Migrationen, Mailtips etc.
    Dazu ist EWS von Office 365 erreichbar zu machen. Seit Juni 2018 können Sie dazu auch den Hybrid Agent nutzen, wenn Sie ihre interne Umgebung nicht direkt aus dem Internet per HTTPS erreichbar machen wollen.
  • Ihr Exchange muss surfen können
    Sonst kann er selbst nicht die Office 365 Dienste für Federation-Anfragen erreichen

Diese umfangreiche Erreichbarkeit führt natürlich beim Thema Sicherheit zurecht immer zu Diskussionen. Hier gilt es dann die Nutzung und das Risiko seriös darzulegen und die Fragen zu beantworten. Dennoch sind natürlich eine statische IP-Adresse und Zertifikate erforderlich.

Weitere Links