This is the fourth part of the series "Exchange 2016 Hybrid Mode with Office 365". In this part, Exchange Hybrid Mode is activated and initial tests are carried out.
Here are the links to the previous articles:
Configuring the Exchange Hybrid Mode
The first steps for setting up Exchange Hybrid mode are quite unspectacular. In the local Exchange Admin Center, click on Configure under "Hybrid" and you will be prompted to log in to Office 365:
The login is done with the Office 365 Administrator account:
After logging in to Office 365, you will return to the Exchange Admin Center. Now click on "Configure" again:
The link now leads to the "Microsoft Office 365 Hybrid Configuration Wizard". The wizard must be downloaded and installed:
Once the installation is complete, the hybrid configuration wizard starts:
The first step is to specify the local Exchange server; in my test environment there is only one Exchange server, so the choice here is relatively simple:
In the next dialog, the login information for the local Exchange installation and Office 365 is requested:
The configuration data is now collected and after a short time you can continue by clicking on "Next":
"Complete hybrid configuration" is selected in the next dialog:
The wizard now activates the trust relationship between Office 365 and the local Exchange installation:
The domain must also be validated for Office 365, here again a DNS TXT entry is required:
In my case, the entry is created at my host Strato. The TXT entry must be publicly resolvable:
You can then continue with the hybrid configuration wizard:
The wizard can automatically configure the local server for mail routing between Office 365 and the local Exchange installation. In this case, the send and receive connectors are configured by the wizard:
The corresponding Exchange server must be specified for the receive connector:
The same applies to the send connector:
The mail routing between the local Exchange server and Office 365 requires a certificate for encrypted transmission. I use the wildcard certificate here, which is also bound to the IIS service. In my environment, I have to make a few small adjustments later. More on this later:
In the last dialog, the public FQDN of the local Exchange server must be entered. In my test environment, this is outlook.frankysweb.org:
Note: This is about mail routing between Office 365 and the local Exchange environment. The wizard basically asks for the MX record for the domain frankysweb.org. The background is as follows: In a hybrid configuration, for example, the email address abc@frankysweb.org can belong to an Office 365 mailbox and the email address xyz@frankysweb.org to a mailbox on the local Exchange server. If abc@frankyweb.org now writes a mail to xyz@frankysweb.org, Office 365 must know the local Exchange server or the responsible mail server to which the mail is to be forwarded. The same applies in the other direction.
In the last step, click on "Refresh" again:
The wizard now configures Office 365 and the local Exchange environment according to the settings:
After a short time, the desired result will appear:
Customization Office 365 / Exchange Mail Routing
As already briefly mentioned, I still need to make a few small adjustments to the configuration for my test environment. In my test environment, the Sophos UTM acts as a SPAM filter. However, I also use the UTM for my private environment and only have a certificate for frankysweb.de for the UTM and the SPAM filter, but not for frankysweb.org. In this case, however, there is a problem with the Office 365 connector. In the default setting, the Office 365 connector only transmits the mails if the certificate also contains the corresponding entry. In my case, frankysweb.org is therefore required on the certificate.
However, the setting can be adjusted by accessing the Exchange Online Admin Portal:
The "Connectors" tab can be found under "Message flow". Here you will find the "Outbound to ..." connector:
This connector routes mails between Office 365 and the local server, but only if the certificate is valid. In my case, there is a mismatch here:
I have therefore adjusted the settings of the connector so that all certificates are accepted:
This means that mail routing in my test environment also works perfectly (I created an SMTP profile on the UTM for this purpose, which forwards mails to frankysweb.org to the test environment).
First tests
In order to test the interaction of the local Exchange server with Office 365, a mailbox hosted in Office 365 is of course also required. Office 365 mailboxes can now be conveniently created via the local Exchange Admin Center:
As with a local user, the relevant information must be entered. The user account is created in the local Active Directory and synchronized to Azure AD using Azure AD Ccnnect:
Office 365 mailboxes can also be managed via the local Exchange Admin Center:
A license must now be assigned to the new user in the Office 365 portal:
After a license has been assigned, the login with the new user can be tested on the Office 365 portal:
I test OWA first:
A test message from an external recipient arrives in the Office 365 mailbox. The mail is routed to Office 365 via the local Exchange server:
Another test from Office 365 to a local mailbox, the address book query is already working:
And here again the path from a local mailbox to Office 365:
All mails were successfully delivered, so the first tests were successful.
In the next article, we'll get down to the nitty-gritty: e-mail routing, free/busy information, address books, migration.
Hallo Frank,
vielen Dank für die vielen hilfreichen Artikel! Deine Arbeit ist viel wert!
Ich bin gerade dabei, eine Hybridstellung zu konfigurieren…leider scheitert es beim Senden und Empfangen zwischen lokal und M365. Zwischen externen Konten z.B. GMX oder sonstigen Domains funktioniert es in beide Richtungen.
Wir verwenden POPcon um unsere E-Mails vom Strato Server abzurufen. Gibt es für diesen Fall evtl. auch schon einen Beitrag? Habe dazu jedoch nichts gefunden.
Hallo Frank,
hast du eine Idee:
ich hatte bereits einen Tenant, welcher mit der Domain XYZ.de nachträglich ausgestattet wurde.
Somit waren dort bereits Postfächer im 365er vorhanden und wurden nur auf die domain XYZ.de „umgeschlüsselt“.
Nun habe ich die Hybridkonfiguration abgeschlossen, kann aber jetzt keine Postfächer zu 365 schieben.
Vielleicht hast Du mir einen Tipp, wie ich das lösen könnte?
Muss ich alle 365er Postfächer komplett löschen, damit der Sync richtig funtkioniert?
Grüße
S
Hallo Frank,
bin ein wenig ratlos:
ich habe die hybridbereitstellung soweit fertig.
ein postfach wurde erfolgreich ins O365 migriert; anmelden am office 365 mit diesem user und Mailversand via „centralized mail flow“
kommt an, antworte ich auf diese mail kommt es zum loop zwischen der firewall(wo der MX terminiert ist) und dem lokalen exchange.
offensichtlich weiss der lokale exchange nicht dass er den connector „out to o365“ nutzen soll sondern schickt die Mail via SMTP-out an die Firewall die widerum feststellt: ist für einen lokalen ampfänger, also zurück zu exchange.
der connector zu o365 hat den adressraum kunde.mail.onmicrosoft.com und der User hat auch eine name@kunde.mail.onmicrosoft.com smtpadresse.
wo ist hier noch der Denkfehler?
Danke für einen Anstoss…
Gruss
Juerjen
Genau dieses Problem habe ich auch.
Auf dem Exchange onPrem habe ich einen Sendeconnector „SendToInternet“, wo die Firewall als Smarthost eingetragen ist.
Folgendes funktioniert:
„Postfach O365“ senden zu „Postfach O365“ = Ok
„Postfach O365“ senden zu „Postfach onPrem“ = Ok
„Postfach onPrem“ senden zu „Postfach O365“ = failed
„Postfach Extern“ senden zu „Postfach O365“ = failed
Wahrscheinlich gleiches Szenario wie Juerjen….
Leider habe ich Probleme bei der Einbindung des Exchange Hybrid Assistenten. Der Assitent lief durch gab aber folgende Warnung aus: HCW8078 – Der Migrationsendpunkt konnte nicht erstellt werden …. Die Verbindung mit https://„Public DNS“/EWS/mrsproxy.svc authentification scheme „Negotiate“ schlägt fehl mit error 403 Forbidden. Ich habe Standard Authentifizierung auf der backend Website EWS zusätzlich aktiviert. Im Frontend war die schon aktiv. Über die Webkonsole konnte ich ein Testpostfach mit einem manuell Angelegten Migrationsendpunkt migrieren aber es gibt einige Fehlermeldung bei verschiedenen Zugriffen. Ein Test der Mailzustellung aus dem Testpostfach ergab das senden möglich war aber empfangen von Mails klappt nicht. Die Mails an das Testpostfach bleiben in der Warteschlange des OnPremise Servers liegen mit der Meldung das der Nexthop nicht erreicht werden kann. Auch der Hybrid Assistent lässt sich nicht erneut starten oder öffnen. Kann ich den Migrations Assitenten einfach deinstallieren und erneut installieren?
Hallo
Dieser Artikel ist echt toll und sehr sehr Hilfreich!
Eine Frage hätte ich aber noch dazu.
Wir betreiben unseren Exchange 2016 sozusagen offline. Es gibt keine Sende- oder Empfangs-Konnektoren ins Internet und damit auch keine MX-Einträge, Zertifikate oÄ..
Kann man diesen trotzdem mit dem Exchange im Office 365 verbinden? Primär geht es mir dabei um die Bereitstellung des Besprechungs-Planner in MS Teams.
Vielen Dank,
Thomas Brunzel
Vielend Dank für dieses und Deine andern hilfreichen Artikel.
Lässt sich dises Tutorial auch auf Exchange 2013 Hybrid-Modus mit Office 365 anwenden.
Danke
Grüße Jürgen
Guten Morgen,
ich habe da Fragen zur Firewall:
Mails laufen weiter über den Spamfilter auf der UTM?
Benötigt O365 direkten Zugriff auf den IIS des OnPrem Exchanges oder kann man da auch über den ReverseProxy gehen?
Danke
Grüße Georg
Vielen Dank für deine tollen Beiträge ?
Wirst du diesen Beitrag „aktualisieren“ mit Exchange 2019 und vor allem mit einer Sophos XG ?
Oder hast du da alternativ eine andere Beitragsempfehlung?
Vielen Dank für ein weiteres ausführliches Tutorial.
In der Zwischenzeit gibt es bei Browsern neue Sicherheitshürden. Aufgrund der Browser-Änderungen bei Access-Control-Allow-Origin und X-Frame-Options bleibt nach klick unter „Hybrid“ auf „Bei Office 365 anmelden“ der Hauptbereich in der Regel leer.
Den Access-Controll-Allow-Origin Header kann man problemlos im IIS hinzufügen.
Das ‚X-Frame-Options‘ Problem hingegeben besteht bei mir noch weiter:
navigation.js:1 Failed to execute ‚postMessage‘ on ‚DOMWindow‘: The target origin provided (‚https://outlook.meine-domain.de‘) does not match the recipient window’s origin (‚https://outlook.office365.com‘).
Habe das gleiche Problem. Gab es hier eine Lösung ?
Okay, konnte das Problem doch lösen.
In meinem Fall musste man nur im IIS den HTTP-Antwortheader hinzufügen:
Name: Access-Control-Allow-Origin
Wert: *
Erstmal viele Dank für die Mühe mit dem Hybrid.
Was mich interessieren würde läuft das auch genau so ab wenn ich von Office365 auf Exchange 2019 Offboarding machen möchte.
Reicht da die Minimale Hybrid Konfiguration. Werde das Script danach von Eddie benutzen der mir das freundlicherweise zur Verfügung stellt.
Was genau sollte ich noch beachten.?
Moin Franky,
auch ich würde mich über eine Fortsetzung der Reihe freuen. :-)
Gruß
Christian
Super Beitrag, würde mich über eine Fortsetzung riesig freuen :)
Hallo,
schöner Artikel.
Wie sieht ein Setup aus, wenn man mehrere Exchange Server hinter einem Loadbalancer betreibt. Reicht dann der Zugriff auf die Loadbalancer oder muß dieser direkt auf die Exchange Server erfolgen?
Hallo zusammen,
in wurde O365 wurde bereits unsere Domäne eingefügt und TXT Einträge angepasst.
Die MX Records stehen aber weiterhin auf dem Spamfilter nicht auf die von O365.
Kann man damit die Hybridstellung aktivieren oder laufe Gefahr mir den E-Mailtraffic abzuschießen?
Hi,
danke für die Antwort.
Wenn die Verteilerlisten per Azure Sync synchronisiert würden sind diese dann migriert oder muss man zusätzlich noch etwas tun?
ich habe dazu leider nichts gefunden…
Hallo Michael,
Die Exchange Attribute sind nach der Deinstallation von Exchange immer noch vorhanden (Bsp. proxy adress), zum Teil können diese aber nur noch über ADSIEdit editiert werden. Beachte dass dies nicht von Microsoft empfohlen und supportet wird. Die Verteilerlisten würde ich natürlich vor der Deinstallation zu Office365 migrieren oder dort direkt importieren.
Gruss Davide
PS: Hier noch ein Link als Bestätigung: https://www.hertes.net/2017/02/office-365-letzten-exchange-server-entfernen/
Hallo,
Im Moment existieren ein lokaler Exchange und O365 im hybrid.
alle Postfächer sind in O365.
Wenn ich einen neuen Nutzer im ad anlege editiere ich nur die attribute Mail, nickname und proxy Adress und repliziere das ganze mit Azure sync.
nun würde ich am liebsten den alten exchange deinstallieren, behalte ich danach im ad die exchange attribute oder sind die danach weg wenn es keinen exchange mehr gibt.
Muss ich die verteilerlisten noch migrieren (was passiert damit bei der Deinstallation von exchange) und kann ich noch verteilerlisten im ad anlegen oder ist das Feld bei neue Gruppe verteilerlisten dann wieder ausgegraut?
Ich würde nur ungern alles im Webbrowser anlegen und im ad,.
Ich hoffe du kannst mir etwas Aufschluss geben.
Mit freundlichen Grüßen
Michael
Servus,
arbeitest du noch an dem Artikel 5?
Würde mich brennend interessieren wie du hier weiter machst.
MfG
MJ
Hallo Frank
ich hätte eine frage zu Teams. Wir wollen in unseren Unternehmen Teams einführen und man soll den Hypridmodus aktivieren. Genügt da der minimale Hypridmodus?
Vielleicht hast du schon Erfahrung würde mich über ein Feedback freuen?
Grüße
Karli
Hallo Karl
Ich stehe vor derselben Situation wie du vor etwas mehr als einem Jahr. Wir haben einen Exchange 2016 On-Premise Server und auch ein Office365 Konto. Wir möchten nun auch Microsoft Teams nutzen und ich habe gelesen, dass der Exchange On-Premise Server in den hybriden Modus versetzt werden muss. Genügte bei dir da der minimale Hypridmodus? Wie bist du vorgegangen? Genügt es, diesen Hybridmodus zu aktivieren und dem Wizard zu folgen damit dann Microsoft Teams genutzt werden kann?
Ich würde mich sehr über eine Antwort freuen.
Lieber Gruss
Sascha
Hallo Sascha,
wie hast du das dann gelöst?
Braucht dann jeder lokale User der Teams nutzen möchte eine Office365 Lizenz?
Freue mich über eine Antwort
Rico
Hallo Frank,
Ich hätte noch ein paar Fragen zu Deiner tollen Hybrid-Modus-Reihe:
– Was ist der Vorteil wenig ich eine vollständige gegenüber einer minimalen Hybridkonfiguration wähle?
– Wenn ich den hybriden Server irgendwann entferne, da alle Postfächer bei Office365 sind, komme ich angeblich in eine unsupportete Situation (Stichwort ProxyAdresses via ADSIEdit). Wies siehst Du das?
– Folgt irgendwann ein 5. Teil der Reihe (Stichwort E-Mail Routing, Frei/Gebucht Informationen, Adressbücher, Migration)?
Danke und Gruss Dave
Hallo Franky,
Ich habe alle 4. Teile bezüglich Hybrid Modus mit Office 365 mit Interesse gelesen. Was mich noch interessieren würde ist ob Du Cutover anstelle Hybrid vergleichen könntest.
Wir stehen bei ca. 60 Postfächer (Exchange 2010 mit SBS 2011) vor der Entscheidung ob Cutover (also alles über Office 365) oder besser Hybrid mit einem Exchange 2016 on Premise.
Könntest Du hierbei noch ein Artikel dazu mit den Vor- und Nachteilen liefern?
Gruss Dave
Hallo Davide,
eigentlich waren noch weitere Artikel zum Thema Exchange on-Prem und Office 365 geplant. Leider sind zwischenzeitlich meine Testlizenzen abgelaufen. Ich hab mir daher vorgenommen, dass nächste Mal alles zeitlich etwas besser zu planen :-)
Ich persönlich bin allerdings ein Freund der Hybrid Lösung, auch wenn alle Postfächer bei Office 365 liegen. So verbaut man sich den Rückweg nicht, falls dies einmal nötig sein sollte. Für 60 Postfächer wird dies allerdings kein gangbarer Weg sein. Meine Meinung dazu: Bei 60 Postfächern und einem SBS mit Exchange 2010, fährt man mit Office 365 besser. Jedoch muss man hier die Anforderungen des Unternehmens im Blick behalten, hier kann schnell ein Vorteil zu einem Nachteil werden, oder umgekehrt.
Gruß,
Frank