Exchange Server und Office 365 parallel: AAD Connect installieren, Hybridmodus konfigurieren

    Exchange Hybrid ConfigurationWenn Firmen Cloud-Services be­ziehen möchten, dann gehört E-Mail zu den ersten Kandi­daten. Ein kom­pletter Wechsel in die Cloud ist jedoch oft nicht er­wünscht. Office 365 sieht daher einen Hybrid­betrieb mit einem lokalen Exchange vor. Dieser er­fordert die Instal­lation und Konfi­guration zu­sätzlicher Kompo­nenten.

    Für die parallele Nutzung und den zuverlässigen Parallel­betrieb von lokalem und Online-Exchange müssen einige Bedingungen erfüllt sein:

    • Exchange Server ab 2010 (aktuellstes CU)
    • Exchange 2003 bis 2007 nur in Verbindung mit Exchange 2010
    • Benötigte Zertifikate müssen ausgestellt und hinterlegt sein
    • Einträge wie Autodiscover müssen gesetzt werden

    Danach sind für die Konfi­guration einer hybriden Umgebung noch weitere Maß­nahmen notwendig:

    • Installation von Azure AD Connect und die Synchro­nisierung des Active Directory mit Azure AD
    • Verifizierung der E-Mail-Domänen
    • Installation des Hybrid Agent

    Verbindung testen

    Zum Einstieg empfiehlt es sich, mit dem Microsoft Remote Connectivity Analyzer ein paar Tests durch­zuführen. Das Tool dürfte jedem Exchange-Admin als Werkzeug für die Fehlersuche bekannt sein.

    Exchange Online testen mit dem Remote Connectivity Analyzer

    Sync zwischen Active Directory und Azure AD Connect

    In unserem Beispiel verwenden wir einen lokalen Exchange Server 2019. Für die Synchro­nisierung von Active Directory und Azure AD müssen wir dort Azure AD Connect einrichten. Seine Installation ist weitgehend selbst­erklärend.

    Azure AD Connect installieren

    Das Produkt gehört zur Familie des Microsoft Identity Manager, ist allerdings kostenlos. Im weiteren Verlauf werden die Benutzer­daten sowohl von Office 365 als auch vom lokalen Exchange abgefragt.

    Bei der Installation von Azure AD Connect muss man sich am lokalen AD und an Azure AD anmelden.

    Wichtig ist dabei, dass der User, welcher die Migration durchführt, die Berechtigung Organization Management haben muss.

    Bevor man die Installation von Azure AD Connect startet, muss man die Option Exchange Hybridstellung aktivieren.

    Im letzten Fenster sollte der Haken bei Exchange Hybrid­bereitstellung gesetzt werden.

    Erfolgreicher Abschluss der Installation von Azure AD Connect

    Die Einrichtung wird nun gestartet und ist normaler­weise nach kurzer Zeit erfolgreich abgeschlossen. Im Dashboard des Office 365 Admin Portal sollte danach eine neue Kachel auftauchen.

    Unmittelbar nach der Installation von Azure AD Connect erfolgt die erste Synchronisierung.

    Dies bedeutet, dass die erste Synchro­nisation bereits erfolgt ist. Unter Benutzer => Aktive Benutzer sehen wir, welche Objekte synchronisiert wurden.

    Liste der Konten, die vom lokalen AD nach Office 365 synchronisiert wurden.

    Hybridmodus im lokalen Exchange konfigurieren

    Weiter geht es nun auf dem lokalen Exchange Server in der ECP unter dem Menüpunkt Hybrid. Hier muss nun unter Konfigurieren der Hybrid­modus eingerichtet werden. Für diese Aufgabe muss man sich erst bei Office 365 anmelden.

    Die Konfiguration des Hybridmodus beginnt mit der Anmeldung bei Office 365

    Es öffnet sich nun die ECP von Office 365 Exchange. Auch hier muss man auf den Button Konfigurieren klicken. Wenn alles richtig vorbereitet wurde, dann sollte jetzt das Setup für den Microsoft Office 365 Hybrid Configuration Wizard erscheinen.

    Installation des Hybrid Configuration Wizard

    Hinweis für das Testen in Lab-Umgebungen: Bei Exchange 2019 ist es anscheinend nicht möglich, den Hybrid­modus zu konfigurieren, wenn der Server nicht lizenziert wurde.

    Nach dem Abschluss der Installation sollte der Wiazrd starten. Das nächste Fenster fragt dann die Anmelde­informationen ab.

    Abfragen der Anmeldeinformationen im Office 365 Hybrid Configuration Wizard

    Danach erfasst das Tool die Konfi­gurations­infor­mationen.

    Erfassen der Konfiguration durch den Hybrid Configuration Wizard

    Im nächsten Schritt wählen wir Vollständige Hybrid­konfiguration aus. Die Erklärung zu den beiden Punkten Minimal und Vollständig sollte keine Fragen offen lassen bei der Auswahl der passenden Option.

    Auswahl der Hybrid­konfiguration im Hybrid Configuration Wizard

    Im Anschluss muss nun die Verbund­vertrauens­stellung aktiviert werden, um Benutzern das Teilen von bestimmten Kalender­informationen zu ermöglichen.

    Verbund­vertrauens­stellung aktivieren im Hybrid Configuration Wizard

    Danach wird der Besitz der Domäne verifiziert. Zu diesem Zweck muss man einen weiteren TXT Eintrag in der Domain-Verwaltung setzen.

    Besitz der Mail-Domäne über DNS-Eintrag verifizieren

    Im Anschluss daran entscheidet man sich für eine Hybrid-Topologie, zur Auswahl stehen Klassisch und Modern. Wir nehmen Letztere, weil sie unter anderem auch die Migration von Post­fächern unter­stützt. Diese Variante erfordert die Installation eines Agents.

    Auswahl der Hybridtopologie

    Danach muss man vollständig durch die Lizenz­vereinbarung scrollen, bis "I agree" sichtbar ist, ansonsten wird der Button Weiter nicht freigegeben. Anschließnd erwartet der Wizard die Eingabe eines lokalen Kontos, um den Exchange Server als Migrations­endpunkt einzurichten.

    Der Hybrid Configuration Wizard benötigt ein lokales Konto für die Migration von Postfächern.

    Da ich hier nur eine Lab-Umgebung konfiguriere, gebe ich dafür den Administrator an. Danach sollte das Setup des Hybrid Agent starten und alle erforderlichen Schritte durchlaufen.

    Installation des Hybrid Agent

    Zwischendurch musste ich mich noch einmal an Office 365 anmelden.

    Anmeldung an Office 365 bei der Installation des Hybrid Agent

    Leider lief das Setup dann mittendrin auf einen Fehler. Nach einem Neustart des Exchange Servers und dem erneuten Ausführen des Wizards lief die Installation dann aber problemlos durch.

    Erfogreicher Abschluss der Installation des Hybrid Agent

    Im nächsten Schritt geht es darum, den Mail-Verkehr zu regeln. Da wir keinen Edge-Server in unserer Organisation betreiben, wählen wir hier den ersten Punkt.

    E-Mail-Transport für die Hybridkonfiguration festlegen

    In den nächsten beiden Schritten werden der Sende- und der Empfangs-Connector konfiguriert. Da wir in unserer Organisation nur einen Exchange Server betreiben, welcher alle Rollen installiert hat, fällt die Auswahl hier leicht.

    Connector für den Empfang von Mails konfigurieren im Hybrid Configuration Wizard

    für die Verbindung zwischen Exchange und Office 365 benötigen wir ein Transport-Zertifikat. Dieses wird im nächsten Dialog abgefragt. Liegt kein gültiges oder ein selbstsigniertes Zertifikat vor, dann läuft der Wizard auf einen Fehler.

    Zusätzlich muss der Organisations-FQDN angegeben werden. Dies ist der Name, unter dem der lokale Exchange Server im Internet erreichbar ist.

    Wir schließen den Wizard nun mit Aktualisieren ab. Es sollte hier möglichst zu keinen Fehlern kommen.

    Hybrid Configuration Wizard abschließen

    Damit ist die Basis für den Betrieb von Exchange im Hybridmodus gelegt.

    4 Kommentare

    Bild von Martin Lang
    Martin Lang sagt:
    15. Mai 2019 - 8:44

    Für was soll diese Hybride Modus gut sein? nur um Microsoft einen Gefallen zu tun stellt man seine Daten und alle Logins auch auf deren Server online?

    Bild von Wolfgang Sommergut
    15. Mai 2019 - 12:05

    Guten Tag Herr Lang, dieser Beitrag nennt einige Beispiele, wann eine hybride Konfiguration von Nutzen sein kann.

    Bild von Stefano De Niro
    Stefano De Niro sagt:
    15. Mai 2019 - 12:29

    Muss man den TXT Record für die Domänenverifizierung auch machen, wenn man schon eine Custom Domain in O365 erfolgreich eingerichtet hat? Kann man als Transport-Zertifikat dasselbe SAN-Zertifikat nehmen, dass man schon für OWA/ECP eingerichet hat?

    Bild von Christian
    Christian sagt:
    16. Mai 2019 - 19:50

    Wir haben bei uns eine Hybridlösung mit Exchange 2016 im Einsatz.
    Allerdings erscheint bei onpremise-Usern im Outlook unregelmäßig ein Passwort-Prompt beim Zugriff auf einen Kalender eines O365-Users. Laut unserem Partner, der die Infrastruktur betreut, sei dies ein normales Verhalten. Kann dies jemand bestätigen?
    Da die Abfrage ca. alle 30 Sekunden erscheint, ist die Hybridkonfiguration den produktiven Einsatz ungeeignet, da Outlook nicht synct bis die Zugangsdaten eingegeben wurden.
    Oder kennt jemand einen Workaround für das Problem?