Fachartikel

Vorbereitungen für den Office-365-Betrieb

Bevor Office 365 in Betrieb gehen kann, sind einige vorbereitende Tätigkeiten zu erledigen. Denn damit die Anwender den Cloud-Dienst nahtlos nutzen können, muss dieser möglichst gut in die bisherige Infrastruktur eingegliedert werden. Dazu gehören sowohl die Domänen als auch die saubere Übernahme der Active-Directory-Daten.
Um Office 365 in Betrieb zu nehmen, müssen Sie in Ihrer bisherigen Infrastruktur den Weg ebnen.
Das Office-365-Abo enthält eine Reihe von Software-as-a-Service (SaaS)-Angeboten für Kunden. Die prominentesten sind Exchange als E-Mail-System, SharePoint für Kollaboration und Informationsspeicherung und Skype for Business für Echtzeitkommunikation und Telefonie. Abhängig von den genutzten Komponenten fällt die Konfiguration des Clouddienstes einfacher oder etwas umfangreicher aus. Wer Office-Anwendungen wie Planner, Sway oder den Store for Business für Windows 10 verwenden will, muss in den meisten Fällen zumindest die Synchronisation von Benutzerkonten und Lizenzverwaltung betreiben.

Domänen registrieren
Einer der wichtigsten Schritte für Exchange Online und Skype for Business, aber auch wenn Benutzer Single Sign-on (SSO) mit ihrem Active-Directory-(AD)-Passwort durchführen können sollen, ist die Registrierung der Firmendomäne mit Office 365 und Azure AD. Exchange muss schließlich wissen, in welchem Namen und für welche Domänen E-Mails empfangen und verschickt können werden sollen. Die Empfangs- und Sendedomänen müssen also im Voraus bekannt sein.

Greifen Mitarbeiter mit ihrem Browser oder einem Client wie Outlook auf Online-Ressourcen zu, möchte Azure AD zusammen mit Office 365 zuerst eine erfolgreiche Authentifizierung durchführen. Sofern der Mitarbeiter keinen Cloud-Account nutzt, sondern seinen Benutzeraccount und das Passwort aus der Windows-AD-Domäne, muss Azure AD einen Hinweis auf die Heimatdomäne und das Heimat-AD des Nutzers erhalten – Microsoft nennt das "Home Realm Discovery". Für Office 365 und Azure AD ist dieser Hinweis der Domänenname, unter dem das Unternehmen zu erreichen ist. Im Bestfall deckt sich die Domäne auch mit dem UPN-Anmeldenamen des Benutzers im Windows-AD.

Damit Azure AD den Login an die richtige Stelle weiterleiten kann und Exchange Online weiß, für welche Domänen Senden und Empfangen möglich sein soll, registrieren Administratoren alle relevanten DNS-Domänen im Azure AD. Der Prozess ist dabei einfach: Sie geben die DNS-Domäne im Azure AD an und starten den Verifikationsprozess. Azure AD verlangt dann das Eintragen eines DNS-Textes auf Root-Ebene für jede Domäne. Dieser Eintrag ist zufällig. Existiert er, kann Azure AD sicher sein, dass die Domäne tatsächlich Ihnen gehört – denn nur Sie als DNS-Admin der Domäne können einen solchen Eintrag anlegen.

Ein TXT-Eintrag hat keinen Einfluss auf die anderen DNS-Einträge dieser Domäne und kann nach der Verifikation wieder entfernt werden. Bestehende Produktionsumgebungen für Exchange oder Skype werden nicht in Mitleidenschaft gezogen, da der TXT-Record keine Auswirkung auf die Funktion der Dienste hat. Hier geht es lediglich um die Bestätigung des Besitzes und den Zugriff auf die DNS-Konfiguration. Die Verifikation müssen Sie einzeln für jede neue Domäne durchführen, über die Benutzer authentifiziert oder später E-Mails versendet oder empfangen werden sollen. Subdomains werden einfach hinzugefügt, wenn die Hauptdomäne schon verifiziert wurde.
DNS-Records erstellen
Die Verifikation der öffentlichen, routbaren Domäne ist erforderlich, um Office 365 sinnvoll zu nutzen. Spätestens, wenn der E-Mail-Versand eine Rolle spielt, ist die Domäne entscheidend. Des Weiteren sollte die Domäne im Idealfall mit der AD-Domäne übereinstimmen, aus der die allermeisten Benutzer später synchronisiert werden – dann ist das Setup einfach. Lautet der First-Level-Domain-Teil anders, etwa bei contoso.net als AD-Domäne und contoso.com für Online Services, entstehen daraus Nachteile für einzelne Szenarien, was die User Experience anbelangt. Dazu später mehr.

Zunächst registrieren Sie also die Domäne. Im Office-365-Portal als "Globaler Administrator" angemeldet, starten Sie den Assistenten, indem Sie unter "Setup" auf den Punkt "Domains" klicken. "Add domain" startet den Assistenten. Zunächst geben Sie den Domänennamen an. Das System prüft, ob die Domäne bereits in einem anderen Azure AD verwendet wird. Ist das nicht der Fall, folgt der zweite Schritt: die Verifikation.

Die Verifikation der Domäne erfolgt wie schon erwähnt über das Erstellen eines DNS-Records, der vom Internet aus einzusehen ist. Damit kann Microsoft überprüfen, dass Sie als Administrator von Office 365 tatsächlich der Besitzer der Domäne sind – oder zumindest in der Firma arbeiten. Denn nur der Besitzer sollte in der Lage sein, den öffentlichen Namensraum der Domäne zu ändern. Möglich sind ein TXT- oder ein MX-Record. Dieser ist an oberster Stelle des Namensraums mit "@" und mit dem vom Portal angezeigten Wert anzulegen. Der komplette Wert inklusive des "MS" vor dem Gleichzeichen ist entscheidend. Die TTL ist dabei nicht ausschlaggebend. Mit Hilfe der PowerShell lässt sich die Domäne ebenfalls hinzufügen und die DNS-Records anfragen:
New-MsolDomain -Authentication Managed -Name contoso.net
Get-MsolDomainVerificationDns -DomainName contoso.net -Mode DnsTxtRecord

Label: contoso.net
Text: MS=ms99384745
TTL: 3600
Haben Sie den Eintrag erfolgreich im DNS erstellt, kann die Verifikation durch Office 365 via PowerShell oder per Klick auf "Verify" im Portal gestartet werden:
Confirm-MsolDomain –DomainName contoso.net
Die weiteren Schritte nach der Verifikation setzen Office 365 korrekt auf und beschrieben die notwendigen Änderungen in DNS für Exchange Online und Skype for Business. Den Assistenten können Sie an dieser Stelle beenden.
5.08.2019/ln/Florian Frommherz

Nachrichten

Cyberkriminelle attackieren Finanzabteilungen [14.08.2019]

ESET Forscher haben eine Reihe von Cyberangriffen entdeckt, die es seit 2016 auf Finanzabteilungen in Unternehmen abgesehen hat. Die Kriminellen setzen dabei auf E-Mails mit Links, die zu schadhaften Dateien führen. Der Inhalt, die Verlinkungen und auch der Dateien in diesen Nachrichten behandeln das Thema Steuern und sollen die Empfänger zu einem unbedachten Klick verleiten. [mehr]

Schwer erkennbarer polymorpher Schadcode [13.08.2019]

Der APT-Akteur "Cloud Atlas", auch bekannt als "Inception", hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind. Das verhindert eine Erkennung durch klassische Indicators of Compromise. [mehr]

Tipps & Tools

Jetzt noch buchen: Training "Drucker in Windows-Netzen" [19.08.2019]

Drucker beschäftigen den Support mehr als jedes andere Gerät. Denn nach wie vor lauern beim Betrieb von Druckservern unter Windows zahlreiche Fallstricke auf den Administrator und eine fehlerhafte Konfiguration lässt das Telefon im Support klingeln. Unser Training liefert Best Practices für den Druck unter Windows und zeigt die Behandlung typischer Fehler. Für den Termin Ende September in Düsseldorf sind noch Teilnahmeplätze offen. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Anzeigen