Hallo in die Runde,
ich habe mal eine Frage und bin gespannt ob es da eine gute Lösung gibt.
Es ist ja soweit bekannt, dass in einer Umgebung mit AADC ein Exchange on Premise stehen muss, da dieser die AD Objekte verwaltet und es entsprechend in O365 synct.
Wie verhält es sich aber bei einer komplett neuen Umgebung in der die Benutzer noch nie Exchange Attribute hatten. Ich hätte es am liebsten, dass das AD gesynct wird aber die Exchange Attribute halt nur in der Cloud existieren und auch dort verwaltet werden. Grundsätzlich sehe ich da eigentlich kein Problem aber befürchte, dass ich trotzdem immer das Problem habe, dass der User außerhalb vom Writescope ist und es nicht funktioniert. Und nachträglich einen AD User mit einem Postfach matchen ist halt nicht möglich.
Jmd. eine schlaue Idee oder ähnlichen Fall schon gehabt? Ich weiß, dass Frank Carius mal eine "mini-mini-mini" Installation gepostet hat für kleine OnPrem Umgebungen aber ich würde gerne dei ExO Verwaltung komplett in der Cloud belassen.
LG
Liebe Grüße,
Voll - Dach
Guten Morgen,
leider muss auch in solchen Szenarien onPrem ein Exchange installiert und für das Management vorgehalten werden wenn man Microsoft Konform sein möchte, sprich ein Supportetes-Szenario erstellen möchte. Man kann natürlich manuell die Schema Erweiterungen in das lokale Active Directory einpflegen und dann via AD Attribute das ganze "managen". Die Benutzeranlage erfolgt aber dann hinterher ausschließlich per Powershell. Da immer das lokale AD "führend" ist. Funktionen tut es, aber ob Fehler oder Probleme im laufe der Zeit auftauchen bleibt immer eine Frage :).
Ich sehe es derweil wirklich so, das der lokale Exchange doch "eben" implementiert wird, solange es das reine Management ist, ist der HCW auch schnell durchgeklickt und eingerichtet. Das ganze Routing (classic oder modern) entfällt ja. Lizenz ist auch kostenlos (:
Wie ist dein Satz "Und nachträglich einen AD User mit einem Postfach matchen ist halt nicht möglich" gemeint?
Beste Grüße
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Wenn du die EXO-Verwaltung komplett in der Cloud lassen willst, solltest du einen Hybrid-Server onprem integrieren.
Ich habe hier lange Zeit ein Szenario gehabt, in dem die Identitäten per AADC gesynced wurden und kein onprem Exchange-Server, also auch keine Schema-Erweiterung, vorhanden war. Der administrative Aufwand ist erheblich höher, da du die Änderungen am lokalen AD-Objekt machen musst und das Ganze ohne Schema-Erweiterung manchmal an seine Grenzen stößt. Im Anschluss nach der Änderung wieder ein Sync und schauen, dass alles passt. Flexibel ist anders.
Ich bin froh, dass wir nun Hybrid fahren.
Hi,
sehe ich genauso. Auch wenn nur Office 365 genutzt wird, ist ein lokaler Exchange Server für die Verwaltung erforderlich. Der lokale Exchange Server muss ja keine Postfächer speichern. Meistens wird eh ein SMTP Relay benötigt, beispielsweise für Scanner oder andere Geräte die Mails verschicken sollen. Dies kann dann der lokale Exchange Server übernehmen. Hier hat man dann gleich 2 Fliegen erschlagen: Relay und Verwaltung. Wie Stef_D auch schon geschrieben hat, eine Exchange 2016 Lizenz ist dann auch kostenlos, allerdings nur Exchange 2016 (nicht Exchange 2019).
Gruß,
Frank
Hey,
danke für eure zahlreichen Antworten. Leider aber genau das was ich mir gedacht habe :-(
Das Problem dahinter ist eigentlich recht simpel:
Ich möchte eine Firma gründen und am Anfang sind wir halt zu zweit. Mit dem ActionPack kriege ich auch ein wenig was an Azure Guthaben und möchte hier einen DC aufsetzen und diesen mit O365 syncen. Jetzt muss ich halt eine zweite VM auch noch erstellen, nur damit ich etwas verwalten kann, was ich normalerweise auch über die O365-Admin App verwalten könnte. Das ist halt irgendwie umständlich. Diese zweite VM muss halt laut Microsoft auch die Systemanforderungen erfüllen ... Da wird es direkt wieder "teuer". Einen SMTP Relay oder ein anderes sinnvolles Szenario für den Server habe ich in dem Fall nicht.
Die Alternative wäre halt komplett Cloud Only zu gehen und den klassischen DC weg zu lassen, aber das möchte ich aus diversen Gründen nicht.
@stef_d: Gemeint war, dass man O365 und AD nicht synct und es irgendwann nachträglich bei erhofftem Wachstum der Firma erst einrichten würde. Dann hast du aber das Problem mit dem Matchen der O365 Postfächer und den "neu" gesyncten AD-Usern. Auch das ist keine gute Lösung.
Liebe Grüße,
Voll - Dach
Der lokale Server muss nicht zwingend die Systemanforderungen nach Microsoftvorgaben erfüllen. Der kommt auch durchaus mit weniger Ressourcen klar.
Hier läuft er mit 4 vCPUs und 16GB Arbeitsspeicher und 1500 Benutzer in der Verwaltung sehr gut. Sobald da allerdings aktive Postfächer drauf laufen, solltest du dir Gedanken über mehr Performance machen.
Das der Server mit weniger zurecht kommt, weiß ich. Aber leider macht Microsoft hier keine Abstriche. Im Fall der Fälle muss halt schnell die Performance hochgedreht werden :-)
Dann vll. eine andere Frage, die eigentlich nicht so hier ins Forum passt:
Weiß jmd. ob ich die Server Lizenzen vom Action Pack als Hybrid-Benefit in Azure nutzen kann bzw. darf? Das würde die Kosten zumindest etwas senken.
Liebe Grüße,
Voll - Dach
Hallo Voll-Dach,
dürfte ich dich nach "diversen Gründen" erfragen warum nicht Cloud-Only? Gerade junge Unternehmen oder auch Start-Ups eignen sich mehr als gut für solche Zwecke. Ich konnte nun schon mehrfach Unternehmen dahin bewegen diesen Schritt zu tun. Sei es aus der Industrie oder Versicherungen-Branche :)
@stef_d: Gemeint war, dass man O365 und AD nicht synct und es irgendwann nachträglich bei erhofftem Wachstum der Firma erst einrichten würde. Dann hast du aber das Problem mit dem Matchen der O365 Postfächer und den "neu" gesyncten AD-Usern. Auch das ist keine gute Lösung.
Das geht schon :) De AD-Sync Rule Editor ist recht mächtig :) Aber sollte mit Obacht bedient werden.
Weiß jmd. ob ich die Server Lizenzen vom Action Pack als Hybrid-Benefit in Azure nutzen kann bzw. darf? Das würde die Kosten zumindest etwas senken.
Magst du dies ein wenig mehr erläutern?
Grüße
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Naja, die diversen Gründe sind meistens Legacy-Themen aber die gibt es nun mal noch und wird es noch eine Weile geben. Als Beispiel sind hier einfach Tools zu nennen, die per LDAP/LDAPS eine AD Abfrage machen. Ja, hier könnte man dann die Azure Directory Services nutzen aber es ist dennoch nicht das Wahre. Auch Authentifizierungen über Kerberos sind noch normal ... OAUTH ist bei weitem noch nicht überall angekommen.
Auch AD integrierte Dienste wie z.B. ADBA oder PKI's sind dann erstmal nicht so easy umzusetzen. Eine eigene Domäne ist deshalb doch noch wichtig :-) Und von OnPrem--> Cloud ist es kein Problem ... Aber Cloud --> OnPrem ist deutlich unangenehmer.
Wegen der Verknüpfung der Postfächer ist das Ganze deutlich unangenehmer als nur ein paar Regeln im Rules Editor. Da musst du von jedem Postfach die immutableID nehmen, verknüpfen und Daumen drücken. Will da keine Baustelle aufmachen, die vermeidbar ist.
Und zu den Lizenzen:
Im ActionPack kriegst du als Partner einige Lizenzen. Unter anderem auch Server 2019 Standard und 80€ auf deine Azure Subscription.
Nun ist die Frage ob ich diese Server 2019 Lizenzen zum Hybrid Benefit umwandeln kann, damit ich billiger VM's laufen lassen kann.
Liebe Grüße,
Voll - Dach
bei einer Firmenneugründung, wie du gesagt hast, hast du diese ganzen Legacy Thematiken aber nicht :) Und Wenn wir von einer grünen Wiese ausgehen wie du schriebst, würde ich mich heute nie für ein Produkt entscheiden was nicht AzureAD kompatible ist(in welcher Form auch immer).
Als Beispiel sind hier einfach Tools zu nennen, die per LDAP/LDAPS eine AD Abfrage machen.
Die LDAP/S Abfrage ist in wenigen Schritte einfach Abbildbar in der Azure.
ModernAuth ist seit mehreren Jahren am Markt etabliert. Und Sobald du in die MS Cloud gehst, und dies nicht hast, fängst du an zu stolpern. Als Beispiel, selbst ein Outlook 2013 kann via regEdit ModernAuth.
Auch AD integrierte Dienste wie z.B. ADBA oder PKI's
Intune kann KMS Keys verteilen, direkt beim Join. Wenn nicht eh über M365 die Lizenz kommt. PKI bekommt in der Azure eine ganz neue Dimension, und ist kein vergleich zu onPrem.
Im ActionPack kriegst du als Partner einige Lizenzen. Unter anderem auch Server 2019 Standard und 80€ auf deine Azure Subscription.
Nun ist die Frage ob ich diese Server 2019 Lizenzen zum Hybrid Benefit umwandeln kann, damit ich billiger VM's laufen lassen kann.
Genau, Aber sind es nicht in der Basis 85€ ? :P
Zitat Von der Azure-Seite:
"Der Azure-Hybridvorteil ist für Kunden verfügbar, die berechtigte SQL Server- und/oder Windows Server-Lizenzen mit aktiver Software Assurance oder gleichwertige qualifizierende Abonnementlizenzen besitzen.
- Windows Server Datacenter Edition mit der Software Assurance
- Windows Server Standard Edition mit Software Assurance
- SQL Server Enterprise Core mit der Software Assurance
- SQL Server Standard Edition Core mit Software Assurance
Kunden, die für den Azure-Hybridvorteil berechtigt sind, können diesen Vorteil in Azure Dedicated Host nutzen."
Somit kannst du den Benefit nicht dadurch einstreichen, da das ActionPack keine SA besitzt.
Meine Antwort bezieht sich wie erwähnt auf eine Grüne Wiese, und ich hoffe du verstehst das nicht falsch (:
Grüße,
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Hey Steffen,
ich versteh es nicht falsch und bin ja auch froh darüber diskutieren zu können ;-)
1) LDAPS: Wie erwähnt, ist das nur über die Domain Services abbildbar und nicht über das Azure AD, da dieses halt kein LDAP Verzeichnis mehr ist. Mit den Domain Services habe ich noch nie gearbeitet, deshalb weiß ich leider auch nicht, wie es sich verhält mit dem Sync zwischen den beiden. Ist das automatisiert? Falls ja, kann ich dann Exchange Online komplett im O365 verwalten obwohl ich ein LDAP-fähiges AD dahinter habe?
2) ModernAuth: ModernAuth ist der Begriff für die Authentifizierung zwischen Client und Azure/O365, mir geht es aber um eine Integration von Business Anwendung. Üblicherweise integrieren diese sich ja über EnterpriseApps. Wiederrum können dies meistens auch nur Cloud Lösungen und selten eine OnPremise Lösung. Ich nehme mir hier also Möglichkeiten. Klar kann man es "konsequent" fahren wie du es erwähnst aber du beschneidest dich halt auch damit.
3) PKI und ADBA sind ja nur Beispiele. Auch gebe ich dir Recht, dass Microsoft viel versucht alles in der Cloud "neu" abzubilden aber alles geht nun mal auch noch nicht. Oder wenn, dann bist du ggf. am Ende bei Lizenzekosten von 1000€ p.P. :-)
4) Azure Hybrid: Merci :-) Schade, schade *G* Das hätte die 8X€ noch attraktiver gemacht
Liebe Grüße,
Voll - Dach
Nabend,
das freut mich (:
Ich habe noch nicht so ganz verstanden was du über LDAPS syncen möchtest?
Mit den Domain Services habe ich noch nie gearbeitet, deshalb weiß ich leider auch nicht, wie es sich verhält mit dem Sync zwischen den beiden. Ist das automatisiert? Falls ja, kann ich dann Exchange Online komplett im O365 verwalten obwohl ich ein LDAP-fähiges AD dahinter habe?
Darauf passt meine Antwort aus dem ersten Post:
leider muss auch in solchen Szenarien onPrem ein Exchange installiert und für das Management vorgehalten werden wenn man Microsoft Konform sein möchte, sprich ein Supportetes-Szenario erstellen möchte. Man kann natürlich manuell die Schema Erweiterungen in das lokale Active Directory einpflegen und dann via AD Attribute das ganze "managen". Die Benutzeranlage erfolgt aber dann hinterher ausschließlich per Powershell. Da immer das lokale AD "führend" ist. Funktionen tut es, aber ob Fehler oder Probleme im laufe der Zeit auftauchen bleibt immer eine Frage
Das heißt solange du einen lokalen DC hast, die beiden Welten koppeln möchtest, musst du Exchange Hybrid konfigurieren und bestehen lassen. Natürlich in der Minimal-Form. Nutzt du von vornherein nur das AzureAD brauchst du keinen lokalen Exchange, das wäre korrekt. Du könntest natürlich dann Azure Site-to-Site VPN nutzen und deine lokeln App oder sonstigen Server anbinden.
Wiederrum können dies meistens auch nur Cloud Lösungen und selten eine OnPremise Lösung. Ich nehme mir hier also Möglichkeiten. Klar kann man es "konsequent" fahren wie du es erwähnst aber du beschneidest dich halt auch damit.
Wenn ich frisch starte kann ich mir die OnPrem Lösungen nehmen die die EnterpriseApps unterstützen. Es werden gefühlt täglich mehr (: .
Hm wo liegt aktuell eine M365 E3 ? bei 37€ pro User pro Monat? Und da ist schon mittlerweile das kleine EMS Paket inbegriffen, das hat Microsoft ja nachgezogen.
Das heißt ich bekomme sämtliche Cloud Dienste, win10Ent, Sicherheit und Mobilität. (natürlich alles grob zusammengefasst ).
Gruß,
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation