Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Dies ist der vierte Teil der Serie „Exchange 2016 Hybrid Modus mit Office 365”. In diesem Teil wird der Exchange Hybrid Modus aktiviert und erste Tests durchgeführt.

Hier noch die Links zu den vorherigen Artikeln:

Konfigurieren des Exchange Hybrid Modus

Die ersten Schritte für das Einrichten des Exchange Hybrid Modus sind recht unspektakulär. Im lokalen Exchange Admin Center wird unter dem Punkt “Hybrid” auf Konfigurieren geklickt und es wird zur Anmeldung an Office 365 aufgefordert:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Die Anmeldung erfolgt mit dem Office 365 Administrator Konto:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Nach der Anmeldung an Office 365 landet man wieder im Exchange Admin Center. Hier wird nun erneut auf “Konfigurieren” geklickt:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Der Link führt nun zum “Microsoft Office 365-Hybridkonfigurations-Assistent”. Der Assistent muss runtergeladen und installiert werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Nachdem die Installation abgeschlossen ist, startet der Hybridkonfigurations-Assistent:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Im ersten Schritt wird der lokale Exchange Server angegeben, in meiner Testumgebung gibt es nur einen Exchange Server, daher fällt die Wahl hier relativ einfach:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Im nächsten Dialog werden die Anmeldeinformationen zur lokalen Exchange Installation und zu Office 365 abgefragt:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Die Konfigurationsdaten werden nun gesammelt und nach kurzer Zeit kann mit einem Klick auf “Weiter” fortgefahren werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Im nächsten Dialog wird „”Vollständige Hybridkonfiguration” ausgewählt:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Der Assistent aktiviert nun die Vertrauensstellung zwischen Office 365 und der lokalen Exchange Installation:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Auch für Office 365 muss die Domain validiert werden, hier ist wieder ein DNS TXT Eintrag erforderlich:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

In meinem Fall wird der Eintrag bei meinem Hoster Strato angelegt. Der TXT Eintrag muss öffentlich auflösbar sein:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Danach kann mit Hybrid Konfigurationsassistenten weiter gemacht werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Der Assistent kann den lokalen Server automatisch für das Mailrouting zwischen Office 365 und der lokalen Exchange Installation konfigurieren. In diesem Fall werden die Sende- und Empfangsconnectoren durch den Assistenten konfiguriert:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Für den Empfangsconnector muss der entsprechende Exchange Server angegeben werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Gleiches gilt auch für den Sendeconnector:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Das Mailrouting zwischen dem lokalen Exchange Server und Office 365 wird für die verschlüsselte Übertragung ein Zertifikat benötigt. Ich nutze hier das Wildcard Zertifikat, welches auch an den IIS Dienst gebunden ist. In meiner Umgebung muss ich später noch ein paar kleine Anpassungen vornehmen. Dazu später mehr:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Im letzten Dialog muss noch der öffentliche FQDN des lokalen Exchange Servers angegeben werden. In meiner Testumgebung ist dies outlook.frankysweb.org:

Hinweis: Hier geht es um das Mail Routing zwischen Office 365 und der lokalen Exchange Umgebung. Der Assistent erfragt hier im Prinzip den MX Eintrag für die Domain frankysweb.org. Der Hintergrund ist folgender: In einer Hybriden Konfiguration kann beispielsweise die E-Mail Adresse abc@frankysweb.org zu einem Office 365 Postfach gehören und die Mail Adresse xyz@frankysweb.org zu einem Postfach auf dem lokalen Exchange Server. Wenn nun abc@frankyweb.org eine Mail an xyz@frankysweb.org schreibt, muss Office 365 den lokalen Exchange Server bzw. den den zuständigen Mailserver kennen, an dem die Mail weitergeleitet werden soll. Gleiches gilt in die andere Richtung.

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Im letzten Schritt noch einmal auf “Aktualisieren” klicken:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Der Assistent konfiguriert nun Office 365 und die lokale Exchange Umgebung entsprechend der Einstellungen:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Nach kurzer Zeit erscheint dann das gewünschte Ergebnis:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Anpassung Office 365 / Exchange Mail Routing

Wie bereits kurz erwähnt muss ich für meine Testumgebung noch ein paar kleine Anpassung an der Konfiguration vornehmen. In meiner Testumgebung fungiert die Sophos UTM als SPAM Filter. Die UTM verwende ich allerdings auch für meine private Umgebung und habe für die UTM und den SPAM Filter nur ein Zertifikat für frankysweb.de, nicht aber für frankysweb.org. Hier gibt es allerdings in diesem Fall ein Problem mit dem Connector von Office 365. Der Office 365 Connector übermittelt in der Standard Einstellung die Mails nur, wenn das Zertifikat auch den entsprechenden Eintrag enthält. In meinem Fall wird also frankysweb.org auf dem Zertifikat vorausgesetzt.

Die Einstellung lässt sich allerdings anpassen, dazu kann das Exchange Online Admin Portal aufgerufen werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Unter dem Punkt “Nachrichtenfluss” findet sich der Reiter “Connectors”. Hier findet sich der Connector “Outbound to …”:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Dieser Connector routet Mails zwischen Office 365 und der lokalen Server, allerdings nur, wenn das Zertifikat auch gültig ist. In meinem Fall kommt es hier also zum Mismatch:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Ich habe daher die Einstellungen des Connectors angepasst, sodass alle Zertifikate akzeptiert werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Somit funktioniert auch das Mailrouting in meiner Testumgebung einwandfrei (auf der UTM habe ich dazu ein SMTP Profil erstellt, welches Mails an frankysweb.org an die Testumgebung weiterleitet).

Erste Tests

Damit das Zusammenspiel des lokalen Exchange Servers mit Office 365 getestet werden kann, wird natürlich auch ein Postfach benötigt, welches in Office 365 gehostet wird. Office 365 Postfächer lassen sich nun bequem über die lokale Exchange Admin Center anlegen:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Wie auch bei einem lokalen Benutzer müssen die entsprechenden Informationen angegeben werden. Das Benutzerkonto wird dabei im lokalen Active Directory angelegt und mittels Azure AD Ccnnect zu Azure AD synchronisert:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Auch Office 365 Postfächer können über das lokale Exchange Admin Center verwaltet werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Im Office 365 Portal muss nun dem neuen Benutzer noch eine Lizenz zugewiesen werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Nachdem eine Lizenz zugewiesen wurde, kann die Anmeldung mit dem neuen Benutzer am Office 365 Portal getestet werden:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Ich teste zunächst OWA:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Eine Testnachricht von einem externen Empfänger schlägt schon mal im Office 365 Postfach auf. DIe Mail wird dabei über die lokalen Exchange Server zu Office 365 geroutet:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Ein weiterer Test von Office 365 zu einem lokalen Postfach, die Abfrage des Adressbuchs funktioniert schon einmal:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Und hier noch einmal der Weg von einem lokalen Postfach zu Office 365:

Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)

Alle Mails konnten erfolgreich zugestellt werden, die ersten Tests waren also erfolgreich.

Im nächsten Artikel geht es dann etwas mehr ans Eingemachte: E-Mail Routing, Frei/Gebucht Informationen, Adressbücher, Migration.

26 Gedanken zu „Exchange 2016: Hybrid Modus mit Office 365 (Teil 4)“

  1. Hallo Frank,

    hast du eine Idee:
    ich hatte bereits einen Tenant, welcher mit der Domain XYZ.de nachträglich ausgestattet wurde.
    Somit waren dort bereits Postfächer im 365er vorhanden und wurden nur auf die domain XYZ.de „umgeschlüsselt“.

    Nun habe ich die Hybridkonfiguration abgeschlossen, kann aber jetzt keine Postfächer zu 365 schieben.

    Vielleicht hast Du mir einen Tipp, wie ich das lösen könnte?
    Muss ich alle 365er Postfächer komplett löschen, damit der Sync richtig funtkioniert?

    Grüße
    S

    Antworten
  2. Hallo Frank,

    bin ein wenig ratlos:

    ich habe die hybridbereitstellung soweit fertig.
    ein postfach wurde erfolgreich ins O365 migriert; anmelden am office 365 mit diesem user und Mailversand via „centralized mail flow“
    kommt an, antworte ich auf diese mail kommt es zum loop zwischen der firewall(wo der MX terminiert ist) und dem lokalen exchange.

    offensichtlich weiss der lokale exchange nicht dass er den connector „out to o365“ nutzen soll sondern schickt die Mail via SMTP-out an die Firewall die widerum feststellt: ist für einen lokalen ampfänger, also zurück zu exchange.

    der connector zu o365 hat den adressraum kunde.mail.onmicrosoft.com und der User hat auch eine name@kunde.mail.onmicrosoft.com smtpadresse.

    wo ist hier noch der Denkfehler?

    Danke für einen Anstoss…

    Gruss

    Juerjen

    Antworten
    • Genau dieses Problem habe ich auch.
      Auf dem Exchange onPrem habe ich einen Sendeconnector „SendToInternet“, wo die Firewall als Smarthost eingetragen ist.

      Folgendes funktioniert:
      „Postfach O365“ senden zu „Postfach O365“ = Ok
      „Postfach O365“ senden zu „Postfach onPrem“ = Ok
      „Postfach onPrem“ senden zu „Postfach O365“ = failed
      „Postfach Extern“ senden zu „Postfach O365“ = failed

      Wahrscheinlich gleiches Szenario wie Juerjen….

      Antworten
  3. Leider habe ich Probleme bei der Einbindung des Exchange Hybrid Assistenten. Der Assitent lief durch gab aber folgende Warnung aus: HCW8078 – Der Migrationsendpunkt konnte nicht erstellt werden …. Die Verbindung mit https://„Public DNS“/EWS/mrsproxy.svc authentification scheme „Negotiate“ schlägt fehl mit error 403 Forbidden. Ich habe Standard Authentifizierung auf der backend Website EWS zusätzlich aktiviert. Im Frontend war die schon aktiv. Über die Webkonsole konnte ich ein Testpostfach mit einem manuell Angelegten Migrationsendpunkt migrieren aber es gibt einige Fehlermeldung bei verschiedenen Zugriffen. Ein Test der Mailzustellung aus dem Testpostfach ergab das senden möglich war aber empfangen von Mails klappt nicht. Die Mails an das Testpostfach bleiben in der Warteschlange des OnPremise Servers liegen mit der Meldung das der Nexthop nicht erreicht werden kann. Auch der Hybrid Assistent lässt sich nicht erneut starten oder öffnen. Kann ich den Migrations Assitenten einfach deinstallieren und erneut installieren?

    Antworten
  4. Hallo
    Dieser Artikel ist echt toll und sehr sehr Hilfreich!
    Eine Frage hätte ich aber noch dazu.
    Wir betreiben unseren Exchange 2016 sozusagen offline. Es gibt keine Sende- oder Empfangs-Konnektoren ins Internet und damit auch keine MX-Einträge, Zertifikate oÄ..
    Kann man diesen trotzdem mit dem Exchange im Office 365 verbinden? Primär geht es mir dabei um die Bereitstellung des Besprechungs-Planner in MS Teams.

    Vielen Dank,
    Thomas Brunzel

    Antworten
  5. Vielend Dank für dieses und Deine andern hilfreichen Artikel.
    Lässt sich dises Tutorial auch auf Exchange 2013 Hybrid-Modus mit Office 365 anwenden.

    Danke
    Grüße Jürgen

    Antworten
  6. Guten Morgen,

    ich habe da Fragen zur Firewall:

    Mails laufen weiter über den Spamfilter auf der UTM?
    Benötigt O365 direkten Zugriff auf den IIS des OnPrem Exchanges oder kann man da auch über den ReverseProxy gehen?

    Danke
    Grüße Georg

    Antworten
  7. Vielen Dank für deine tollen Beiträge ?

    Wirst du diesen Beitrag „aktualisieren“ mit Exchange 2019 und vor allem mit einer Sophos XG ?
    Oder hast du da alternativ eine andere Beitragsempfehlung?

    Antworten
  8. Vielen Dank für ein weiteres ausführliches Tutorial.

    In der Zwischenzeit gibt es bei Browsern neue Sicherheitshürden. Aufgrund der Browser-Änderungen bei Access-Control-Allow-Origin und X-Frame-Options bleibt nach klick unter „Hybrid“ auf „Bei Office 365 anmelden“ der Hauptbereich in der Regel leer.

    Den Access-Controll-Allow-Origin Header kann man problemlos im IIS hinzufügen.
    Das ‚X-Frame-Options‘ Problem hingegeben besteht bei mir noch weiter:
    navigation.js:1 Failed to execute ‚postMessage‘ on ‚DOMWindow‘: The target origin provided (‚https://outlook.meine-domain.de‘) does not match the recipient window’s origin (‚https://outlook.office365.com‘).

    Antworten
  9. Erstmal viele Dank für die Mühe mit dem Hybrid.

    Was mich interessieren würde läuft das auch genau so ab wenn ich von Office365 auf Exchange 2019 Offboarding machen möchte.

    Reicht da die Minimale Hybrid Konfiguration. Werde das Script danach von Eddie benutzen der mir das freundlicherweise zur Verfügung stellt.

    Was genau sollte ich noch beachten.?

    Antworten
  10. Hallo,

    schöner Artikel.

    Wie sieht ein Setup aus, wenn man mehrere Exchange Server hinter einem Loadbalancer betreibt. Reicht dann der Zugriff auf die Loadbalancer oder muß dieser direkt auf die Exchange Server erfolgen?

    Antworten
  11. Hallo zusammen,

    in wurde O365 wurde bereits unsere Domäne eingefügt und TXT Einträge angepasst.
    Die MX Records stehen aber weiterhin auf dem Spamfilter nicht auf die von O365.

    Kann man damit die Hybridstellung aktivieren oder laufe Gefahr mir den E-Mailtraffic abzuschießen?

    Antworten
  12. Hi,
    danke für die Antwort.
    Wenn die Verteilerlisten per Azure Sync synchronisiert würden sind diese dann migriert oder muss man zusätzlich noch etwas tun?
    ich habe dazu leider nichts gefunden…

    Antworten
  13. Hallo Michael,

    Die Exchange Attribute sind nach der Deinstallation von Exchange immer noch vorhanden (Bsp. proxy adress), zum Teil können diese aber nur noch über ADSIEdit editiert werden. Beachte dass dies nicht von Microsoft empfohlen und supportet wird. Die Verteilerlisten würde ich natürlich vor der Deinstallation zu Office365 migrieren oder dort direkt importieren.

    Gruss Davide

    PS: Hier noch ein Link als Bestätigung: https://www.hertes.net/2017/02/office-365-letzten-exchange-server-entfernen/

    Antworten
  14. Hallo,
    Im Moment existieren ein lokaler Exchange und O365 im hybrid.
    alle Postfächer sind in O365.
    Wenn ich einen neuen Nutzer im ad anlege editiere ich nur die attribute Mail, nickname und proxy Adress und repliziere das ganze mit Azure sync.
    nun würde ich am liebsten den alten exchange deinstallieren, behalte ich danach im ad die exchange attribute oder sind die danach weg wenn es keinen exchange mehr gibt.

    Muss ich die verteilerlisten noch migrieren (was passiert damit bei der Deinstallation von exchange) und kann ich noch verteilerlisten im ad anlegen oder ist das Feld bei neue Gruppe verteilerlisten dann wieder ausgegraut?

    Ich würde nur ungern alles im Webbrowser anlegen und im ad,.

    Ich hoffe du kannst mir etwas Aufschluss geben.

    Mit freundlichen Grüßen
    Michael

    Antworten
  15. Hallo Frank

    ich hätte eine frage zu Teams. Wir wollen in unseren Unternehmen Teams einführen und man soll den Hypridmodus aktivieren. Genügt da der minimale Hypridmodus?
    Vielleicht hast du schon Erfahrung würde mich über ein Feedback freuen?

    Grüße
    Karli

    Antworten
    • Hallo Karl

      Ich stehe vor derselben Situation wie du vor etwas mehr als einem Jahr. Wir haben einen Exchange 2016 On-Premise Server und auch ein Office365 Konto. Wir möchten nun auch Microsoft Teams nutzen und ich habe gelesen, dass der Exchange On-Premise Server in den hybriden Modus versetzt werden muss. Genügte bei dir da der minimale Hypridmodus? Wie bist du vorgegangen? Genügt es, diesen Hybridmodus zu aktivieren und dem Wizard zu folgen damit dann Microsoft Teams genutzt werden kann?

      Ich würde mich sehr über eine Antwort freuen.

      Lieber Gruss
      Sascha

      Antworten
      • Hallo Sascha,
        wie hast du das dann gelöst?
        Braucht dann jeder lokale User der Teams nutzen möchte eine Office365 Lizenz?

        Freue mich über eine Antwort

        Rico

        Antworten
  16. Hallo Frank,

    Ich hätte noch ein paar Fragen zu Deiner tollen Hybrid-Modus-Reihe:

    – Was ist der Vorteil wenig ich eine vollständige gegenüber einer minimalen Hybridkonfiguration wähle?
    – Wenn ich den hybriden Server irgendwann entferne, da alle Postfächer bei Office365 sind, komme ich angeblich in eine unsupportete Situation (Stichwort ProxyAdresses via ADSIEdit). Wies siehst Du das?
    – Folgt irgendwann ein 5. Teil der Reihe (Stichwort E-Mail Routing, Frei/Gebucht Informationen, Adressbücher, Migration)?

    Danke und Gruss Dave

    Antworten
  17. Hallo Franky,

    Ich habe alle 4. Teile bezüglich Hybrid Modus mit Office 365 mit Interesse gelesen. Was mich noch interessieren würde ist ob Du Cutover anstelle Hybrid vergleichen könntest.

    Wir stehen bei ca. 60 Postfächer (Exchange 2010 mit SBS 2011) vor der Entscheidung ob Cutover (also alles über Office 365) oder besser Hybrid mit einem Exchange 2016 on Premise.

    Könntest Du hierbei noch ein Artikel dazu mit den Vor- und Nachteilen liefern?

    Gruss Dave

    Antworten
    • Hallo Davide,
      eigentlich waren noch weitere Artikel zum Thema Exchange on-Prem und Office 365 geplant. Leider sind zwischenzeitlich meine Testlizenzen abgelaufen. Ich hab mir daher vorgenommen, dass nächste Mal alles zeitlich etwas besser zu planen :-)
      Ich persönlich bin allerdings ein Freund der Hybrid Lösung, auch wenn alle Postfächer bei Office 365 liegen. So verbaut man sich den Rückweg nicht, falls dies einmal nötig sein sollte. Für 60 Postfächer wird dies allerdings kein gangbarer Weg sein. Meine Meinung dazu: Bei 60 Postfächern und einem SBS mit Exchange 2010, fährt man mit Office 365 besser. Jedoch muss man hier die Anforderungen des Unternehmens im Blick behalten, hier kann schnell ein Vorteil zu einem Nachteil werden, oder umgekehrt.
      Gruß,
      Frank

      Antworten

Schreibe einen Kommentar