von Redaktion IT-A…
Lesezeit
4 Minuten
Exchange in Hybridkonfiguration betreiben (2)
Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um
den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene
Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte
in die Cloud schaffen. Eine große Rolle spielt dabei die
Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb
ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid
Agent. In der zweiten Folge stellen wir den Hybrid Agent genauer vor und skizzieren dessen Voraussetzungen.
Modernes Tool: Der Hybrid Agent
Die mehrstufige Migration lässt lokales Exchange und Exchange Online zwar teilweise simultan in Betrieb gehen, von einem wirklichen Parallelbetrieb lässt sich aber nicht sprechen. Hier kommt nun die Hybridkonfiguration ins Spiel. Sie ermöglicht Ihnen die Verbindung zwischen Ihrer lokalen Exchange-Installation und Exchange Online. Dabei müssen Sie bei den minimalen Hybridkonfigurationen auf verschiedene Sync-Funktionen zwischen den Umgebungen verzichten, die bei einer vollständigen Hybridkonfiguration zur Verfügung stehen. Hier sei vor allem auf die Frei-/Gebucht-Informationen und die zentrale Suche verwiesen (siehe Tabelle). Die minimale Konfiguration und ebenfalls verfügbare Express-Konfiguration unterscheiden sich in der Art des Nutzerabgleiches. Bei der Express-Variante wird diese nur einmalig durchgeführt, während bei der Minimalvariante die AD-Synchronisation dauerhaft läuft.
Neben der minimalen Hybridkonfiguration und der Express-Konfiguration wartet seit 2019 auch der Hybrid Agent auf seinen Einsatz. Er stellt den moderneren und empfohlenen Weg zur Migration dar – Microsoft bezeichnet diese Anbindung als Modern Hybrid. Sie bietet in der Übergangsphase mehr Funktionen wie zum Beispiel das Teilen von Frei-/Gebucht-Informationen oder Mailtipps. Auf externe DNS-Einträge, Zertifikat-Aktualisierungen, eingehende Netzwerkverbindungen über Ihre Firewall sind Sie mit dem Hybrid Agent hingegen nicht angewiesen. Der Agent ist ebenfalls Teil des Hybrid Configuration Wizard (HCW), weshalb Sie alle Hybridkonfigurationen vom gleichen Punkt aus beginnen (Bild 2).
Sie starten die Hybridkonfiguration also immer über das EAC von Exchange Online und den Punkt "Datenmigration" unter dem Eintrag "Setup". Hier wählen Sie den Eintrag "Exchange" aus, um den Microsoft 365 Hybrid Configuration Wizard zu starten. Alternativ beginnen Sie die Einrichtung über das lokale Exchange Admin Center über den Menüpunkt "Hybrid". Beim HCW handelt es sich um eine Click-To-Run-Anwendung, die direkt über Microsoft heruntergeladen wird, sodass immer die aktuellste Version am Start ist. Nehmen Sie den Download und das Ausführen mit dem Internet Explorer vor, damit es keine Probleme mit dem Ausführen gibt. Wichtig ist, dass die Benutzer in Exchange Online noch nicht über ein Postfach verfügen. Eine Migration ist sonst nicht möglich und Sie müssen die Postfächer zunächst löschen.
Nach dem Start des Wizard geben Sie zuerst die Login-Daten zu den Exchange-Umgebungen ein, bevor Sie im nächsten Schritt die minimale Hybridkonfiguration auswählen. Hier bestimmen Sie im Folgenden, ob Sie die klassische oder die moderne Variante nutzen. Bei der klassischen Variante definieren Sie, je nach Größe der Umgebung, ob die Active-Directory-Synchronisation einmalig oder dauerhaft abläuft. Im Anschluss wird die Hybridumgebung eingerichtet, sodass beide Umgebungen zusammenarbeiten. Nach der Synchronisation der Nutzer vergeben Sie die Lizenzen in Microsoft 365.
Als Nächstes stoßen Sie unter dem Punkt "Datenmigration / Exchange" das Verschieben der Benutzerpostfächer an. Hier sehen Sie eine Liste der Benutzer, die zur Migration anstehen. Wählen Sie zum Testen zunächst zwei bis drei User aus. Eine ausführliche Übersicht zum Status der Migration finden Sie im EAC unter dem Punkt "Empfänger / Migration". Hier können Sie alternativ neue Verschiebeaktionen zwischen Ihrer lokalen Umgebung und Exchange Online initiieren. Zum Abschluss ändern Sie noch den MX Record, damit dieser wieder zu Exchange Online zeigt und E-Mails hier zentral empfangen werden.
Einschränkungen und Entwicklung
Der Hybrid Agent unterstützt keine Hybrid Modern Authentication. Dazu zählt zum Beispiel eine Multifaktor-Authentifizierung oder eine Authentifizierung mit Clientzertifikaten. Kommt diese bereits zur Anwendung, nutzen Sie weiterhin die klassische Exchange-Hybrid-Topologie. Darüber hinaus laufen Mailtipps, die Nachrichtenverfolgung und die Multi-Mailbox-Search nicht über den Hybrid Agent. Sollen diese Funktionen übergreifend zur Anwendung kommen, setzen Sie weiter auf das klassische Hybrid Modell.
Der Agent erfährt stetig Verbesserungen und solche gab es bereits zwei Monate nach dem ersten Launch. Unterstützte der Hybrid Agent in der ersten Veröffentlichung nur die Einzelinstallation, können Sie in der aktuellen Version auch mehrere Agenten in einer lokalen Organisation installieren. Dies war eine große Einschränkung der ersten Version vom Februar 2019, bei der es keine Möglichkeiten zur Redundanz gab. Frei/Gebucht-Informationen ließen sich dann im Offline-Fall nicht einsehen und Verschiebeaktionen nicht durchführen. Mit dem ersten Update im April 2019 hat Microsoft an dieser Stelle nachgebessert und es unterstützt nun auch mehrere Agenten. Darüber hinaus gibt es nun Statusinformationen zum Hybrid Agent und anstelle spezifischer Exchange-Server lassen sich jetzt auch Loadbalancer über den Agenten ansprechen.
Voraussetzungen für den Hybrid Agent
Den Hybrid Agent installieren Sie entweder auf einem eigenständigen Server, dem Agentenserver, oder auf einem Exchange-Server mit der CAS-Rolle. Dabei kommen Versionen ab Exchange 2010 zur Anwendung. Auf dem Server muss Windows Server 2012 R2 oder 2016 mit .NET Framework 4.6.2 oder höher installiert sein. Sofern Sie Agent und Exchange auf einem Server einrichten, achten Sie darauf, dass die Kompatibilität zwischen Exchange und .NET gewährleistet ist, damit Sie eine supportete Kombination nutzen. Hinweise zu .NET- und Exchange finden Sie in der Support-Matrix unter [3]. Darüber hinaus muss der Server nur Mitglied der Domain sein und Zugriff auf das Internet haben.
Als Ausgangsverbindungen reichen Port 443 und Port 80. Letzterer dient einzig den Zertifikatsperrlistenprüfungen. Der Agent kommuniziert mit einem Azure-Proxy-Dienst mit mandantenspezifischem Endpunkt, der zur Ihrer Online-Umgebung führt. Verfügbarkeitsinformationen als auch Postfachmigrationen laufen über diesen Azure-App-Proxy. Sofern der Agent nicht auf einem Exchange-Server mit CAS-Rolle installiert ist, müssen Sie zusätzlich die Ports 5985 und 5986 freischalten, damit die Kommunikation klappt. Weiterhin müssen sich alle CAS-Server mit Microsoft 365 über Port 443 verbinden können, um Frei/Gebucht-Informationen abzurufen.
Um die Verbindungseinstellungen vor der Installation zu prüfen, hat Microsoft ein Skript veröffentlicht [4]. Binden Sie es zunächst über
ln/Christian Schulenburg
Die mehrstufige Migration lässt lokales Exchange und Exchange Online zwar teilweise simultan in Betrieb gehen, von einem wirklichen Parallelbetrieb lässt sich aber nicht sprechen. Hier kommt nun die Hybridkonfiguration ins Spiel. Sie ermöglicht Ihnen die Verbindung zwischen Ihrer lokalen Exchange-Installation und Exchange Online. Dabei müssen Sie bei den minimalen Hybridkonfigurationen auf verschiedene Sync-Funktionen zwischen den Umgebungen verzichten, die bei einer vollständigen Hybridkonfiguration zur Verfügung stehen. Hier sei vor allem auf die Frei-/Gebucht-Informationen und die zentrale Suche verwiesen (siehe Tabelle). Die minimale Konfiguration und ebenfalls verfügbare Express-Konfiguration unterscheiden sich in der Art des Nutzerabgleiches. Bei der Express-Variante wird diese nur einmalig durchgeführt, während bei der Minimalvariante die AD-Synchronisation dauerhaft läuft.
Neben der minimalen Hybridkonfiguration und der Express-Konfiguration wartet seit 2019 auch der Hybrid Agent auf seinen Einsatz. Er stellt den moderneren und empfohlenen Weg zur Migration dar – Microsoft bezeichnet diese Anbindung als Modern Hybrid. Sie bietet in der Übergangsphase mehr Funktionen wie zum Beispiel das Teilen von Frei-/Gebucht-Informationen oder Mailtipps. Auf externe DNS-Einträge, Zertifikat-Aktualisierungen, eingehende Netzwerkverbindungen über Ihre Firewall sind Sie mit dem Hybrid Agent hingegen nicht angewiesen. Der Agent ist ebenfalls Teil des Hybrid Configuration Wizard (HCW), weshalb Sie alle Hybridkonfigurationen vom gleichen Punkt aus beginnen (Bild 2).
Sie starten die Hybridkonfiguration also immer über das EAC von Exchange Online und den Punkt "Datenmigration" unter dem Eintrag "Setup". Hier wählen Sie den Eintrag "Exchange" aus, um den Microsoft 365 Hybrid Configuration Wizard zu starten. Alternativ beginnen Sie die Einrichtung über das lokale Exchange Admin Center über den Menüpunkt "Hybrid". Beim HCW handelt es sich um eine Click-To-Run-Anwendung, die direkt über Microsoft heruntergeladen wird, sodass immer die aktuellste Version am Start ist. Nehmen Sie den Download und das Ausführen mit dem Internet Explorer vor, damit es keine Probleme mit dem Ausführen gibt. Wichtig ist, dass die Benutzer in Exchange Online noch nicht über ein Postfach verfügen. Eine Migration ist sonst nicht möglich und Sie müssen die Postfächer zunächst löschen.
Bild 2: Über den Hybrid Configuration Wizard leiten Sie sowohl die klassischen als auch die modernen Hybridkonfigurationen ein
Nach dem Start des Wizard geben Sie zuerst die Login-Daten zu den Exchange-Umgebungen ein, bevor Sie im nächsten Schritt die minimale Hybridkonfiguration auswählen. Hier bestimmen Sie im Folgenden, ob Sie die klassische oder die moderne Variante nutzen. Bei der klassischen Variante definieren Sie, je nach Größe der Umgebung, ob die Active-Directory-Synchronisation einmalig oder dauerhaft abläuft. Im Anschluss wird die Hybridumgebung eingerichtet, sodass beide Umgebungen zusammenarbeiten. Nach der Synchronisation der Nutzer vergeben Sie die Lizenzen in Microsoft 365.
Als Nächstes stoßen Sie unter dem Punkt "Datenmigration / Exchange" das Verschieben der Benutzerpostfächer an. Hier sehen Sie eine Liste der Benutzer, die zur Migration anstehen. Wählen Sie zum Testen zunächst zwei bis drei User aus. Eine ausführliche Übersicht zum Status der Migration finden Sie im EAC unter dem Punkt "Empfänger / Migration". Hier können Sie alternativ neue Verschiebeaktionen zwischen Ihrer lokalen Umgebung und Exchange Online initiieren. Zum Abschluss ändern Sie noch den MX Record, damit dieser wieder zu Exchange Online zeigt und E-Mails hier zentral empfangen werden.
Einschränkungen und Entwicklung
Der Hybrid Agent unterstützt keine Hybrid Modern Authentication. Dazu zählt zum Beispiel eine Multifaktor-Authentifizierung oder eine Authentifizierung mit Clientzertifikaten. Kommt diese bereits zur Anwendung, nutzen Sie weiterhin die klassische Exchange-Hybrid-Topologie. Darüber hinaus laufen Mailtipps, die Nachrichtenverfolgung und die Multi-Mailbox-Search nicht über den Hybrid Agent. Sollen diese Funktionen übergreifend zur Anwendung kommen, setzen Sie weiter auf das klassische Hybrid Modell.
Der Agent erfährt stetig Verbesserungen und solche gab es bereits zwei Monate nach dem ersten Launch. Unterstützte der Hybrid Agent in der ersten Veröffentlichung nur die Einzelinstallation, können Sie in der aktuellen Version auch mehrere Agenten in einer lokalen Organisation installieren. Dies war eine große Einschränkung der ersten Version vom Februar 2019, bei der es keine Möglichkeiten zur Redundanz gab. Frei/Gebucht-Informationen ließen sich dann im Offline-Fall nicht einsehen und Verschiebeaktionen nicht durchführen. Mit dem ersten Update im April 2019 hat Microsoft an dieser Stelle nachgebessert und es unterstützt nun auch mehrere Agenten. Darüber hinaus gibt es nun Statusinformationen zum Hybrid Agent und anstelle spezifischer Exchange-Server lassen sich jetzt auch Loadbalancer über den Agenten ansprechen.
Voraussetzungen für den Hybrid Agent
Den Hybrid Agent installieren Sie entweder auf einem eigenständigen Server, dem Agentenserver, oder auf einem Exchange-Server mit der CAS-Rolle. Dabei kommen Versionen ab Exchange 2010 zur Anwendung. Auf dem Server muss Windows Server 2012 R2 oder 2016 mit .NET Framework 4.6.2 oder höher installiert sein. Sofern Sie Agent und Exchange auf einem Server einrichten, achten Sie darauf, dass die Kompatibilität zwischen Exchange und .NET gewährleistet ist, damit Sie eine supportete Kombination nutzen. Hinweise zu .NET- und Exchange finden Sie in der Support-Matrix unter [3]. Darüber hinaus muss der Server nur Mitglied der Domain sein und Zugriff auf das Internet haben.
Als Ausgangsverbindungen reichen Port 443 und Port 80. Letzterer dient einzig den Zertifikatsperrlistenprüfungen. Der Agent kommuniziert mit einem Azure-Proxy-Dienst mit mandantenspezifischem Endpunkt, der zur Ihrer Online-Umgebung führt. Verfügbarkeitsinformationen als auch Postfachmigrationen laufen über diesen Azure-App-Proxy. Sofern der Agent nicht auf einem Exchange-Server mit CAS-Rolle installiert ist, müssen Sie zusätzlich die Ports 5985 und 5986 freischalten, damit die Kommunikation klappt. Weiterhin müssen sich alle CAS-Server mit Microsoft 365 über Port 443 verbinden können, um Frei/Gebucht-Informationen abzurufen.
Um die Verbindungseinstellungen vor der Installation zu prüfen, hat Microsoft ein Skript veröffentlicht [4]. Binden Sie es zunächst über
Import-Module .\HybridManagement.psm1ein. Der eigentliche Test erfolgt über
Test-HybridConnectivity -testO365EndpointsDamit alles reibungslos abläuft, sollten Sie sicherstellen, dass in beiden Exchange-Organisationen mindestens eine identische E-Mail-Domain als akzeptierte Domäne eingerichtet ist.
Im ersten Teil
des Workshops schauen wir uns an, warum Hybridkonfigurationen vor allem bei Migrationsszenarien interessant sind. In der zweiten Folge stellen wir den Hybrid Agent genauer vor und skizzieren dessen Voraussetzungen. Im dritten Teil
des Workshops widmen wir uns ganz der Praxis und beschäftigen uns mit
der Installation des Agenten und wie Sie die Hybridverbindung gründlich
prüfen.
ln/Christian Schulenburg
