Exchange 2019: Einrichtung einer Hybrid Umgebung (Teil 1)

Schon häufiger bin ich gefragt worden, ob ich einen Artikel zur Einrichtung einer Hybrid Umgebung mit Exchange 2019 und Microsoft 365 schreiben könnte. Der letzten Artikel zu diesem Thema sind schon etwas älter, funktionieren bis auf wenige Kleinigkeiten aber noch gut. Trotzdem ist es an der Zeit mal wieder eine aktuelle Version zu veröffentlichen. In dieser Artikelserie findet sich die Einrichtung einer Exchange 2019 Hybrid Umgebung mit Microsoft 365 und zusätzlich auch die komplette Migration zu Microsoft 365.

Der erste Teil dieser Artikelserie beschreibt erst einmal den Aufbau der Lab Umgebung. Die weiteren Artikel folgen dann, sobald diese fertig sind.

Die Hybrid Lab Umgebung

Für diese Artikelserie habe ich eine einfache Exchange 2019 Umgebung erstellt. Die Umgebung besteht nur aus einem Exchange 2019 Server und einem Domain Controller. Im Grunde ist das Verfahren aber gleich, auch wenn es mehrere Domain Controller und Exchange Server gibt. Natürlich kann ich in einem Lab keine hoch komplexen Umgebungen nachstellen, daher beschränke ich mich hier auf eine sehr kleine Umgebung:

Domain Controller und Exchange Server sind auf Windows Server 2019 installiert. Das Active Directory wurde mit dem Namen frankysweblab.de installiert, dies ist auch gleichzeitig die E-Mail Domain des Exchange Servers. In diesem kleinen Lab gibt es außerdem noch einen Client mit Outlook 2019.

Am Router werden die Ports 25 (smtp), 80 (http) und 443 (https) auf den Exchange Server per NAT weitergeleitet:

Leser der vorherigen Artikel könnten sich jetzt fragen, an welcher Stelle hier eine Web Application Firewall oder Reverse Proxy zum Einsatz kommt. Die einfache Antwort: Gar nicht. Da ich selbst meine private Umgebung vor einiger Zeit zu Microsoft 365 migriert habe, habe ich keine Verwendung mehr für eine WAF (in der Vergangenheit eine Sophos UTM).

Im öffentlichen DNS gibt es für die Lab Domain frankysweblab.de die folgenden die Einträge outlook.frankysweb.de und autodiscover.frankysweb.de, beide verweisen auf meine WAN IP. Outlook.frankysweb.de wird auch als MX für die Domain verwendet. Zusätzlich gibt es einen SPF Eintrag, welcher die öffentliche IP für den Mailversand autorisiert:

Exchange Konfiguration in der Hybrid Lab Umgebung

Die Exchange Konfiguration in diesem Hybrid Lab ist recht einfach. Der Exchange EX1 verwendet und empfängt Mails direkt aus dem Internet. Es gibt nur einen Sende Connector welche die Mails anhand des MX Records versendet:

Exchange empfängt die Mails ebenfalls anhand des MX Records für die Domain frankysweblab.de. Ein SPAM-Filter kommt in diesem Lab nicht zum Einsatz.

Alle virtuellen Verzeichnisse wurden auf den Namen outlook.frankysweb.de konfiguriert (interne sowie externe URL), hier das Beispiel für OWA:

Die Autodiscover URL wurde auf den Namen autodiscover.frankysweblab.de konfiguriert:

Das SSL Zertifikat für die Exchange Dienste wurde von Let’s Encrypt auf die Namen outlook.frankysweblab.de und autodiscover.frankysweblab.de ausgestellt. Es handelt sich somit um ein gültiges öffentliches Zertifikat welches an die Dienste SMTP, IIS, POP3 und IMAP gebunden ist:

Bisher gibt es nur zwei Testpostfächer. Vermutlich werde ich weitere Testpostfächer und Ressourcen anlegen, wenn ich die weiteren Artikel zu dieser Serie schreibe.

Active Directory / DNS Konfiguration im Lab

Die Active Directory Konfiguration ist ähnlich schlank wie die Exchange Konfiguration. Wie schon erwähnt, lautet der Name des Active Directory frankysweblab.de. Hier gibt es einen Domain Controller DC1 mit der IP 192.168.100.111. Innerhalb des Labs gibt es aktuell 2 Testbenutzer, vermutlich werde ich weitere Benutzer anlegen, während ich die folgenden Artikel schreibe.

Der nächste Artikel

Der nächste Artikel wird die Einrichtung des Microsoft 365 Tenants und Azure AD Connect behandeln. Falls es an dieser Stelle Fragen zur Konfiguration des Labs gibt, gerne einen Kommentar hinterlassen. Ich werde dann diesen Artikel aktualisieren und wenn nötig auch in den folgenden Artikel näher darauf eingehen.

Da ich in den Artikeln aber nicht auf komplexere Umgebungen und jede Situation eingehen kann, könnt Ihr gerne eure Fragen zu eurer spezifischen Umgebung im Forum stellen.