Exchange Hybrid
Der Hybrid-Mode zwischen Office 365 und einer On-Prem-Umgebung bedeutet, dass die Identitäten auf beiden Seiten synchron gehalten werden müssen.
Video zu Exchange Hybrid
In 10 Minuten fasse ich die wichtigsten Dinge zum Hybrid Mode zusammen.
Das ersetzte natürlich nicht das Lesen des Artikels
Was ist Exchange Hybrid
https://www.youtube.com/watch?v=B9FN3R315mA
Aufgabenstellung
Sobald Sie Office 365 Dienste nutzen, die irgendetwas mit Mail, Termine oder Kontakte zu tun haben und sie On Premises mit Exchange arbeiten, müssen Sie sich Gedanken über die Kopplung machen. Die wichtigsten Aspekte sind hierbei:
- Einheitliche GAL und globale
Erreichbarkeit
Es muss sichergestellt werden, dass Dienste in der Cloud und lokale Dienste die gleiche Sicht auf die möglichen Empfänger haben. Es ist dabei irrelevant, wo die Empfänger physikalisch sind. Exchange Postfächer können „On Premises“ als auch in Exchange Online liegen. Es gibt aber weitere Empfänger wie Office Groups, öffentliche Ordner, SharePoint Libraries, Teams Channel u.a..
Für diese Funktion ist ein funktionierender Abgleich (->AADConnect) und korrektes Provisioning erforderlich - Optimiertes Mailrouting
Damit Nachrichten zwischen den Welten nicht durch Spamfilter erschwert und vor allem sicher und verschlüsselt übertragen werden, ist ein dedizierter Verbindungsweg zwischen dem Tenant bzw. Office 365/Azure-Diensten und der lokalen Umgebung zu konfigurieren - Frei/Belegt-Abfragen, MailTipps etc.
Verschiedene Zusatzfunktionen erfordern eine Auflösung und Erreichbarkeit der Exchange Web Services (/EWS), damit z.B. Anwender bei Terminanfragen die Verfügbarkeit ermitteln können oder frühzeitig erkennen, ob ein Adressat nicht erreichbar ist. - Zugriff auf Stellvertreter, Räume etc.
Das ist eine Aufgabe von Outlook und Autodiscover den richtigen Server zu finden und sich dann geeignet zu authentifizieren - Migrationsbereitschaft
Für den Umzug von Inhalten im Rahmen einer Migration in die Cloud oder auch wieder zurück müssen die geeigneten Wege konfiguriert werden, damit der Zugriff sicher, leistungsfähig und stabil erfolgt.
All diese Aspekte berühren die Konfiguration einer Koexistenz aber je nach Umgebung muss man nicht alle Funktionen in vollem Umfang bereit stellen.
Ausprägungen
Es gibt nun nicht nur genau einen Hybrid-Mode, sondern ich unterscheide mal vier verschiedene Umsetzungsgrade, die je nach Kundengröße und Anforderungen umgesetzt werden können
Ausprägung |
Beschreibung |
AADConnect |
Federation Gateway |
SMTP |
EWS |
Eignung |
---|---|---|---|---|---|---|
Keine Koexistenz |
Wenn es nur um eine
schnelle Migration geht,
könnte auf eine Koexistenz
verzichtet und zu einem
Stichtag alle Dienste aus
der Cloud bezogen werden |
|
|
|
|
|
MinHybrid |
Hier ist das Ziel
die Migration möglichst
schnell zu ermöglichen und
für die Zeit eine Koexistenz
bezüglich Mailrouting bereit
zu stellen. Auf Free/Busy
etc. wird explizit
verzichtet, so dass der
Zugriff per EWS reduziert
werden kann |
|
|
|
|
|
Klassisch Hybrid |
Dies ist die
klassische
Hybrid-Bereitstellung, bei
der neben AADConnect auch
eine komplett Hybrid
Konfiguration mit Federation
Gateway und EWS-Publishing
konfiguriert wird |
|
|
|
|
|
Modern Hybrid mit |
Dieser Weg ist
aktuell noch „Preview“. Die
OnPremise Umgebung muss
dabei EWS gar nicht
publizieren, da ein lokale
Agent die Anfragen über
einen Azure-Proxy von
Exchange Online bekommt. |
|
|
|
|
|
Der Hybrid Configuration Wizard unterstützt Sie bei den drei letzten Optionen, indem er die aktuelle Umgebung analysiert, soweit möglich korrigiert und letztlich die Einrichtung durchführt.
- Hybrid 2016 guidance
http://aka.ms/hybrid2016guidance
https://portal.office.com/onboarding/getstartedhybridmigrationexchange2016#/ - Hybrid 2013 guidance
http://aka.ms/hybrid2013guidance
https://portal.office.com/onboarding/GetStartedHybridMigrationExchange2010#/ - Hybrid 2010 guidance
http://aka.ms/hybrid2010guidance
https://portal.office.com/onboarding/GetStartedHybridMigrationExchange2013#/
Verzeichnisabgleich
Da für den Hybrid-Mode zwei Exchange Organisationen miteinander verbunden werden, ist ein Verzeichnisabgleich zwingend erforderlich. Der ADSync ist die Komponente, die Benutzer, Verteiler, Kontakte etc. von OnPremises in die Cloud repliziert. Es reicht aber nicht einfach nur ADSync zu installieren. Sie müssen zwingend auch den Hybrid-Mode dort aktivieren:
Der zur Einrichtung von Hybrid nutzte HCW - Hybrid Configuration Wizard prüft diese Voraussetzung leider nicht und es ist mir bei mehreren Kunden schon passiert, dass die Fachabteilung für Identity entgegen meiner Anforderungen und deren Aussagen diese Funktion nicht aktiviert hat. Mittlerweile habe ich ein PowerShell-Script (Compare-GAL), mit dem ich die Synchronisation der GALs prüfen kann.
- ADSync mit Exchange
- ADSync mit Exchange Online Only,
- Exchange Online Provisioning
- ADSync Funktion
- Compare-GAL
Funktionsunterschiede
Die Einrichtung der Hybrid-Konfiguration ist durchaus aufwändig, wie Sie in der folgenden Beschreibung noch sehen werden. Es gibt aber auch eine kleine Version, bei der nicht alle Funktionen benötigt werden. Die Auswahl sehen Sie sehr früh beim HCW:
Etas später sehen Sie dann zumindest beim ersten Durchlauf auch noch folgendes Fenster:
Ich habe ihnen hier den kleinen Unterschied deutlich gemacht: Die CAS-Rolle muss hier nicht mehr aus dem Internet erreichbar sein.
- Exchange Hybrid Agent
- Microsoft Hybrid Agent
https://docs.microsoft.com/en-us/exchange/hybrid-deployment/hybrid-agent
So ist der Hybrid Mode zwar für die Migration von Exchange 2013/2016 OnPrem in die Cloud der sauberste Weg, aber wenn diese Migration in Tagen und wenigen Wochen möglich ist, dann könnte man auf die ein oder andere Funktion verzichten.
Funktion | Minimum Hybrid |
Klassik Hybrid |
Modern Hybrid |
---|---|---|---|
Mailrouting zwischen OnPremises und Exchange Online über einen sicheren "privaten" Kanal |
|
|
|
Mailrouting mit einem gemeinsamen Adressraum |
|
|
|
Identisches Adressbuch auf beiden Seiten |
|
|
|
Frei/Belegt-Zeiten zwischen beiden Umgebungen |
|
|
|
Out of Office sendet "interne" Meldungen zur jeweils anderen Seite |
|
|
|
Anzeige von Mailtipps aus der anderen Organisation |
|
|
|
Ausführen von Messagetracking über Grenzen hinweg |
|
|
|
MailboxSuche zwischen Organisationen |
|
|
|
OWA-Umleitung, d.h. dass der Anwender nach der Anmeldung zum "richtigen" Server weiter geleitet wird |
|
|
|
Ein Werkzeug für das Management beider Exchange Umgebungen inklusive Migration von Daten |
|
|
|
Migration von Postfächern in beide Richtungen |
|
|
|
Outlook muss nach der Migration nicht neu eingerichtet werden und die OST wird nicht erneut herunter geladen |
|
|
|
Beibehaltung der Exchange Header (SCL, Absendervalidierung etc. |
|
|
|
Mailversand und Empfang über On-Premises (Hybrid Centralized Mail Transport) |
|
|
|
Hybrid Modern Auth |
|
|
|
Team Kalender Funktionen mit Zugriff auf die jeweils andere Umgebung |
|
|
|
Wenn Sie die Hintergründe kennen, dann wissen sie aber auch welche Einstellung für welche Funktion zuständig ist und dass Sie z:B. die OOF-Funktion über Einträge in "Remote Domains" auch mit MinHybrid ganz schnell einrichten könnten. MinHybrid hat aber das Ziel eben mit wenig Aufwand eine einfache temporäre Verbindung für eine Migration herzustellen. Für einen Dauerbetrieb würde ich immer die komplette Hybridbereitstellung wählen.
- A closer look at the “Minimal Hybrid
Configuration” option
https://vanhybrid.com/2016/07/18/a-closer-look-at-the-minimal-hybrid-configuration-option/ - HCW Improvement: The Minimal Hybrid
Configuration option
https://blogs.technet.microsoft.com/exchange/2016/06/24/hcw-improvement-the-minimal-hybrid-configuration-option/ - Microsoft Hybrid Agent
https://docs.microsoft.com/de-de/exchange/hybrid-deployment/hybrid-agent
Warum ADSync/DirSync zwingend ist
Dies ist Essential, damit z.B. Exchange und Skype für Business korrekt funktionieren müssen. Hier ein paar Beispiele, wenn es nicht geht
- Exchange GAL
AADConnect ist für die Pflege der Empfänger in der Cloud zuständig. Es gibt keinen Dienst in Exchange, der ihnen diese Arbeit abnimmt - Exchange Weiterleitung
AADConnect pflegt auch das Feld "TargetAddress" mit dem Empfänger auf einer Seite von der anderen Seite aus erreichbar werden. - Anzeige von Verteilern
Auch Gruppen sind erst einmal AD-Objekte mit Exchange Properties und damit ist es AADConnect, der diese Elemente in der Cloud verwaltet und die Mitglieder aktuell hält. - Erreichbarkeit von
Verteilermitgliedern
AADConnect repliziert in dem Zuge auch die Exchange Properties, insbesondere die Mailadressen, damit die Verteiler auch auf beiden Seiten erreichbar sind. - Free/Busy-Abfragen
Der Inhalt des Felds TargetAddressist maßgeblich, damit die Exchange Umgebung mit ihrem Postfach weiß, wo sie diese Daten beziehen kann. - Exchange UM-Information
Auch die Informationen zur Voice-Mail sind AD-Properties, die AADConnect überträgt - Exchange Online Archiv in
der Cloud
Damit Exchange Online weiß, welcher Benutzer sein Archiv in der Cloud hat, müssen auch diese Felder durch AADConnect übertragen werden.
Sie sehen also, dass an AADConnect und einen kompletten Verzeichnisabgleich aller für Exchange relevanten Objekte kein Weg vorbei führt. Prüfen Sie daher auf jeden Fall die Konfiguration des AADConnect, dass er auch Exchange Hybrid unterstützt.
Empfängerrichtlinien
Alle Empfänger in einer Hybrid-Umgebung bekomme eine "<tenantname>.mail.onmicrosoft.com"-Adresse. Da beim Einsatz von Hybrid die Exchange Properties in Office 365 durch die On-Prem-Installation gepflegt werden, müssen diese Adressen auch On-Premises gesetzt werden. Der Hybrid Konfiguration Assistent ändert dazu die Empfängerrichtlinien und aktualisiert alle Empfänger. Da sind einige Probleme nicht ganz auszuschließen.
- Objekte mit deaktivierter Richtlinie
- Objekte mit abweichenden Berechtigungen
- OAB Generation
Bei kleinen Firmen wird das sicher kein Problem sein, aber größere Firmen mit delegierten Rechten und vielen Domänen sollten hier vielleicht vorplanen.
- Hybrid Configuration Wizard
Fails To Update Default Address
Policy
https://oddytee.wordpress.com/2015/07/08/hybrid-configuration-wizard-fails-to-update-default-address-policy/
Hybrid Server
Für den Hybrid-Mode benötigen Sie natürlich lokal mindestens einen Exchange Server, der zudem von Office 365 über das Internet erreichbar ist. Abhängig von ihrer lokalen Umgebung möchten Sie vielleicht nicht die vorhandenen Server veröffentlichen sondern einen eigenen "Hybrid Connector Server" aufbauen. Egal wie sie es anstellen, brauchen Sie folgende Funktionen
- Mailrouting zwischen Office 365 und
OnPremise
d.h. aktuell muss ihr Exchange Server per SMTP (25/TCP) zumindest von Office 365-Servern erreichbar sein - EWS für FreeBusy -Informationen,
MRS-Migrationen, Mailtipps etc.
Dazu ist EWS von Office 365 erreichbar zu machen. Seit Juni 2018 können Sie dazu auch den Hybrid Agent nutzen, wenn Sie ihre interne Umgebung nicht direkt aus dem Internet per HTTPS erreichbar machen wollen. - Ihr Exchange muss surfen können
Sonst kann er selbst nicht die Office 365 Dienste für Federation-Anfragen erreichen
Diese umfangreiche Erreichbarkeit führt natürlich beim Thema Sicherheit zurecht immer zu Diskussionen. Hier gilt es dann die Nutzung und das Risiko seriös darzulegen und die Fragen zu beantworten. Dennoch sind natürlich eine statische IP-Adresse und Zertifikate erforderlich.
Weitere Links
- HCW - Hybrid Configuration Wizard
- HCW im Detail
- Hybrid Routing
- TargetAddress
- Hybrid Deployments with the
Hybrid Configuration Wizard
https://technet.microsoft.com/en-us/library/hh529920 - Hybrid 2016 guidance
http://aka.ms/hybrid2016guidance
https://portal.office.com/onboarding/getstartedhybridmigrationexchange2016#/ - Hybrid 2013 guidance
http://aka.ms/hybrid2013guidance
https://portal.office.com/onboarding/GetStartedHybridMigrationExchange2010#/ - Hybrid 2010 guidance
http://aka.ms/hybrid2010guidance
https://portal.office.com/onboarding/GetStartedHybridMigrationExchange2013#/ -
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
Using Alternate ID in hybrid environments with Exchange and/or Skype for Business is supported but not recommended. Using the same set of credentials (e.g. the UPN) for on-Premisess and online provides the best User experience in a hybrid environment. Microsoft recommends customers change their UPNs if possible to avoid the need for Alternate ID. Using alternate ID with Lync or Skype for business requires Lync Server 2013 or later. Customers who use Alternate ID should consider enabling Modern Authentication for Exchange in Office 365 for an improved User experience. In addition, customers using Skype for Business with mobile clients must ensure that the SIP address is identical to the User’s mail address (and alternate ID).