Dies ist der vierte Teil der Serie „Exchange 2016 Hybrid Modus mit Office 365”. In diesem Teil wird der Exchange Hybrid Modus aktiviert und erste Tests durchgeführt.
Hier noch die Links zu den vorherigen Artikeln:
Konfigurieren des Exchange Hybrid Modus
Die ersten Schritte für das Einrichten des Exchange Hybrid Modus sind recht unspektakulär. Im lokalen Exchange Admin Center wird unter dem Punkt “Hybrid” auf Konfigurieren geklickt und es wird zur Anmeldung an Office 365 aufgefordert:
Die Anmeldung erfolgt mit dem Office 365 Administrator Konto:
Nach der Anmeldung an Office 365 landet man wieder im Exchange Admin Center. Hier wird nun erneut auf “Konfigurieren” geklickt:
Der Link führt nun zum “Microsoft Office 365-Hybridkonfigurations-Assistent”. Der Assistent muss runtergeladen und installiert werden:
Nachdem die Installation abgeschlossen ist, startet der Hybridkonfigurations-Assistent:
Im ersten Schritt wird der lokale Exchange Server angegeben, in meiner Testumgebung gibt es nur einen Exchange Server, daher fällt die Wahl hier relativ einfach:
Im nächsten Dialog werden die Anmeldeinformationen zur lokalen Exchange Installation und zu Office 365 abgefragt:
Die Konfigurationsdaten werden nun gesammelt und nach kurzer Zeit kann mit einem Klick auf “Weiter” fortgefahren werden:
Im nächsten Dialog wird „”Vollständige Hybridkonfiguration” ausgewählt:
Der Assistent aktiviert nun die Vertrauensstellung zwischen Office 365 und der lokalen Exchange Installation:
Auch für Office 365 muss die Domain validiert werden, hier ist wieder ein DNS TXT Eintrag erforderlich:
In meinem Fall wird der Eintrag bei meinem Hoster Strato angelegt. Der TXT Eintrag muss öffentlich auflösbar sein:
Danach kann mit Hybrid Konfigurationsassistenten weiter gemacht werden:
Der Assistent kann den lokalen Server automatisch für das Mailrouting zwischen Office 365 und der lokalen Exchange Installation konfigurieren. In diesem Fall werden die Sende- und Empfangsconnectoren durch den Assistenten konfiguriert:
Für den Empfangsconnector muss der entsprechende Exchange Server angegeben werden:
Gleiches gilt auch für den Sendeconnector:
Das Mailrouting zwischen dem lokalen Exchange Server und Office 365 wird für die verschlüsselte Übertragung ein Zertifikat benötigt. Ich nutze hier das Wildcard Zertifikat, welches auch an den IIS Dienst gebunden ist. In meiner Umgebung muss ich später noch ein paar kleine Anpassungen vornehmen. Dazu später mehr:
Im letzten Dialog muss noch der öffentliche FQDN des lokalen Exchange Servers angegeben werden. In meiner Testumgebung ist dies outlook.frankysweb.org:
Hinweis: Hier geht es um das Mail Routing zwischen Office 365 und der lokalen Exchange Umgebung. Der Assistent erfragt hier im Prinzip den MX Eintrag für die Domain frankysweb.org. Der Hintergrund ist folgender: In einer Hybriden Konfiguration kann beispielsweise die E-Mail Adresse abc@frankysweb.org zu einem Office 365 Postfach gehören und die Mail Adresse xyz@frankysweb.org zu einem Postfach auf dem lokalen Exchange Server. Wenn nun abc@frankyweb.org eine Mail an xyz@frankysweb.org schreibt, muss Office 365 den lokalen Exchange Server bzw. den den zuständigen Mailserver kennen, an dem die Mail weitergeleitet werden soll. Gleiches gilt in die andere Richtung.
Im letzten Schritt noch einmal auf “Aktualisieren” klicken:
Der Assistent konfiguriert nun Office 365 und die lokale Exchange Umgebung entsprechend der Einstellungen:
Nach kurzer Zeit erscheint dann das gewünschte Ergebnis:
Anpassung Office 365 / Exchange Mail Routing
Wie bereits kurz erwähnt muss ich für meine Testumgebung noch ein paar kleine Anpassung an der Konfiguration vornehmen. In meiner Testumgebung fungiert die Sophos UTM als SPAM Filter. Die UTM verwende ich allerdings auch für meine private Umgebung und habe für die UTM und den SPAM Filter nur ein Zertifikat für frankysweb.de, nicht aber für frankysweb.org. Hier gibt es allerdings in diesem Fall ein Problem mit dem Connector von Office 365. Der Office 365 Connector übermittelt in der Standard Einstellung die Mails nur, wenn das Zertifikat auch den entsprechenden Eintrag enthält. In meinem Fall wird also frankysweb.org auf dem Zertifikat vorausgesetzt.
Die Einstellung lässt sich allerdings anpassen, dazu kann das Exchange Online Admin Portal aufgerufen werden:
Unter dem Punkt “Nachrichtenfluss” findet sich der Reiter “Connectors”. Hier findet sich der Connector “Outbound to …”:
Dieser Connector routet Mails zwischen Office 365 und der lokalen Server, allerdings nur, wenn das Zertifikat auch gültig ist. In meinem Fall kommt es hier also zum Mismatch:
Ich habe daher die Einstellungen des Connectors angepasst, sodass alle Zertifikate akzeptiert werden:
Somit funktioniert auch das Mailrouting in meiner Testumgebung einwandfrei (auf der UTM habe ich dazu ein SMTP Profil erstellt, welches Mails an frankysweb.org an die Testumgebung weiterleitet).
Erste Tests
Damit das Zusammenspiel des lokalen Exchange Servers mit Office 365 getestet werden kann, wird natürlich auch ein Postfach benötigt, welches in Office 365 gehostet wird. Office 365 Postfächer lassen sich nun bequem über die lokale Exchange Admin Center anlegen:
Wie auch bei einem lokalen Benutzer müssen die entsprechenden Informationen angegeben werden. Das Benutzerkonto wird dabei im lokalen Active Directory angelegt und mittels Azure AD Ccnnect zu Azure AD synchronisert:
Auch Office 365 Postfächer können über das lokale Exchange Admin Center verwaltet werden:
Im Office 365 Portal muss nun dem neuen Benutzer noch eine Lizenz zugewiesen werden:
Nachdem eine Lizenz zugewiesen wurde, kann die Anmeldung mit dem neuen Benutzer am Office 365 Portal getestet werden:
Ich teste zunächst OWA:
Eine Testnachricht von einem externen Empfänger schlägt schon mal im Office 365 Postfach auf. DIe Mail wird dabei über die lokalen Exchange Server zu Office 365 geroutet:
Ein weiterer Test von Office 365 zu einem lokalen Postfach, die Abfrage des Adressbuchs funktioniert schon einmal:
Und hier noch einmal der Weg von einem lokalen Postfach zu Office 365:
Alle Mails konnten erfolgreich zugestellt werden, die ersten Tests waren also erfolgreich.
Im nächsten Artikel geht es dann etwas mehr ans Eingemachte: E-Mail Routing, Frei/Gebucht Informationen, Adressbücher, Migration.
Hallo Frank,
vielen Dank für die vielen hilfreichen Artikel! Deine Arbeit ist viel wert!
Ich bin gerade dabei, eine Hybridstellung zu konfigurieren…leider scheitert es beim Senden und Empfangen zwischen lokal und M365. Zwischen externen Konten z.B. GMX oder sonstigen Domains funktioniert es in beide Richtungen.
Wir verwenden POPcon um unsere E-Mails vom Strato Server abzurufen. Gibt es für diesen Fall evtl. auch schon einen Beitrag? Habe dazu jedoch nichts gefunden.
Hallo Frank,
hast du eine Idee:
ich hatte bereits einen Tenant, welcher mit der Domain XYZ.de nachträglich ausgestattet wurde.
Somit waren dort bereits Postfächer im 365er vorhanden und wurden nur auf die domain XYZ.de „umgeschlüsselt“.
Nun habe ich die Hybridkonfiguration abgeschlossen, kann aber jetzt keine Postfächer zu 365 schieben.
Vielleicht hast Du mir einen Tipp, wie ich das lösen könnte?
Muss ich alle 365er Postfächer komplett löschen, damit der Sync richtig funtkioniert?
Grüße
S
Hallo Frank,
bin ein wenig ratlos:
ich habe die hybridbereitstellung soweit fertig.
ein postfach wurde erfolgreich ins O365 migriert; anmelden am office 365 mit diesem user und Mailversand via „centralized mail flow“
kommt an, antworte ich auf diese mail kommt es zum loop zwischen der firewall(wo der MX terminiert ist) und dem lokalen exchange.
offensichtlich weiss der lokale exchange nicht dass er den connector „out to o365“ nutzen soll sondern schickt die Mail via SMTP-out an die Firewall die widerum feststellt: ist für einen lokalen ampfänger, also zurück zu exchange.
der connector zu o365 hat den adressraum kunde.mail.onmicrosoft.com und der User hat auch eine name@kunde.mail.onmicrosoft.com smtpadresse.
wo ist hier noch der Denkfehler?
Danke für einen Anstoss…
Gruss
Juerjen
Genau dieses Problem habe ich auch.
Auf dem Exchange onPrem habe ich einen Sendeconnector „SendToInternet“, wo die Firewall als Smarthost eingetragen ist.
Folgendes funktioniert:
„Postfach O365“ senden zu „Postfach O365“ = Ok
„Postfach O365“ senden zu „Postfach onPrem“ = Ok
„Postfach onPrem“ senden zu „Postfach O365“ = failed
„Postfach Extern“ senden zu „Postfach O365“ = failed
Wahrscheinlich gleiches Szenario wie Juerjen….
Leider habe ich Probleme bei der Einbindung des Exchange Hybrid Assistenten. Der Assitent lief durch gab aber folgende Warnung aus: HCW8078 – Der Migrationsendpunkt konnte nicht erstellt werden …. Die Verbindung mit https://„Public DNS“/EWS/mrsproxy.svc authentification scheme „Negotiate“ schlägt fehl mit error 403 Forbidden. Ich habe Standard Authentifizierung auf der backend Website EWS zusätzlich aktiviert. Im Frontend war die schon aktiv. Über die Webkonsole konnte ich ein Testpostfach mit einem manuell Angelegten Migrationsendpunkt migrieren aber es gibt einige Fehlermeldung bei verschiedenen Zugriffen. Ein Test der Mailzustellung aus dem Testpostfach ergab das senden möglich war aber empfangen von Mails klappt nicht. Die Mails an das Testpostfach bleiben in der Warteschlange des OnPremise Servers liegen mit der Meldung das der Nexthop nicht erreicht werden kann. Auch der Hybrid Assistent lässt sich nicht erneut starten oder öffnen. Kann ich den Migrations Assitenten einfach deinstallieren und erneut installieren?
Hallo
Dieser Artikel ist echt toll und sehr sehr Hilfreich!
Eine Frage hätte ich aber noch dazu.
Wir betreiben unseren Exchange 2016 sozusagen offline. Es gibt keine Sende- oder Empfangs-Konnektoren ins Internet und damit auch keine MX-Einträge, Zertifikate oÄ..
Kann man diesen trotzdem mit dem Exchange im Office 365 verbinden? Primär geht es mir dabei um die Bereitstellung des Besprechungs-Planner in MS Teams.
Vielen Dank,
Thomas Brunzel
Vielend Dank für dieses und Deine andern hilfreichen Artikel.
Lässt sich dises Tutorial auch auf Exchange 2013 Hybrid-Modus mit Office 365 anwenden.
Danke
Grüße Jürgen
Guten Morgen,
ich habe da Fragen zur Firewall:
Mails laufen weiter über den Spamfilter auf der UTM?
Benötigt O365 direkten Zugriff auf den IIS des OnPrem Exchanges oder kann man da auch über den ReverseProxy gehen?
Danke
Grüße Georg
Vielen Dank für deine tollen Beiträge ?
Wirst du diesen Beitrag „aktualisieren“ mit Exchange 2019 und vor allem mit einer Sophos XG ?
Oder hast du da alternativ eine andere Beitragsempfehlung?
Vielen Dank für ein weiteres ausführliches Tutorial.
In der Zwischenzeit gibt es bei Browsern neue Sicherheitshürden. Aufgrund der Browser-Änderungen bei Access-Control-Allow-Origin und X-Frame-Options bleibt nach klick unter „Hybrid“ auf „Bei Office 365 anmelden“ der Hauptbereich in der Regel leer.
Den Access-Controll-Allow-Origin Header kann man problemlos im IIS hinzufügen.
Das ‚X-Frame-Options‘ Problem hingegeben besteht bei mir noch weiter:
navigation.js:1 Failed to execute ‚postMessage‘ on ‚DOMWindow‘: The target origin provided (‚https://outlook.meine-domain.de‘) does not match the recipient window’s origin (‚https://outlook.office365.com‘).
Habe das gleiche Problem. Gab es hier eine Lösung ?
Okay, konnte das Problem doch lösen.
In meinem Fall musste man nur im IIS den HTTP-Antwortheader hinzufügen:
Name: Access-Control-Allow-Origin
Wert: *
Erstmal viele Dank für die Mühe mit dem Hybrid.
Was mich interessieren würde läuft das auch genau so ab wenn ich von Office365 auf Exchange 2019 Offboarding machen möchte.
Reicht da die Minimale Hybrid Konfiguration. Werde das Script danach von Eddie benutzen der mir das freundlicherweise zur Verfügung stellt.
Was genau sollte ich noch beachten.?
Moin Franky,
auch ich würde mich über eine Fortsetzung der Reihe freuen. :-)
Gruß
Christian
Super Beitrag, würde mich über eine Fortsetzung riesig freuen :)
Hallo,
schöner Artikel.
Wie sieht ein Setup aus, wenn man mehrere Exchange Server hinter einem Loadbalancer betreibt. Reicht dann der Zugriff auf die Loadbalancer oder muß dieser direkt auf die Exchange Server erfolgen?
Hallo zusammen,
in wurde O365 wurde bereits unsere Domäne eingefügt und TXT Einträge angepasst.
Die MX Records stehen aber weiterhin auf dem Spamfilter nicht auf die von O365.
Kann man damit die Hybridstellung aktivieren oder laufe Gefahr mir den E-Mailtraffic abzuschießen?
Hi,
danke für die Antwort.
Wenn die Verteilerlisten per Azure Sync synchronisiert würden sind diese dann migriert oder muss man zusätzlich noch etwas tun?
ich habe dazu leider nichts gefunden…
Hallo Michael,
Die Exchange Attribute sind nach der Deinstallation von Exchange immer noch vorhanden (Bsp. proxy adress), zum Teil können diese aber nur noch über ADSIEdit editiert werden. Beachte dass dies nicht von Microsoft empfohlen und supportet wird. Die Verteilerlisten würde ich natürlich vor der Deinstallation zu Office365 migrieren oder dort direkt importieren.
Gruss Davide
PS: Hier noch ein Link als Bestätigung: https://www.hertes.net/2017/02/office-365-letzten-exchange-server-entfernen/
Hallo,
Im Moment existieren ein lokaler Exchange und O365 im hybrid.
alle Postfächer sind in O365.
Wenn ich einen neuen Nutzer im ad anlege editiere ich nur die attribute Mail, nickname und proxy Adress und repliziere das ganze mit Azure sync.
nun würde ich am liebsten den alten exchange deinstallieren, behalte ich danach im ad die exchange attribute oder sind die danach weg wenn es keinen exchange mehr gibt.
Muss ich die verteilerlisten noch migrieren (was passiert damit bei der Deinstallation von exchange) und kann ich noch verteilerlisten im ad anlegen oder ist das Feld bei neue Gruppe verteilerlisten dann wieder ausgegraut?
Ich würde nur ungern alles im Webbrowser anlegen und im ad,.
Ich hoffe du kannst mir etwas Aufschluss geben.
Mit freundlichen Grüßen
Michael
Servus,
arbeitest du noch an dem Artikel 5?
Würde mich brennend interessieren wie du hier weiter machst.
MfG
MJ
Hallo Frank
ich hätte eine frage zu Teams. Wir wollen in unseren Unternehmen Teams einführen und man soll den Hypridmodus aktivieren. Genügt da der minimale Hypridmodus?
Vielleicht hast du schon Erfahrung würde mich über ein Feedback freuen?
Grüße
Karli
Hallo Karl
Ich stehe vor derselben Situation wie du vor etwas mehr als einem Jahr. Wir haben einen Exchange 2016 On-Premise Server und auch ein Office365 Konto. Wir möchten nun auch Microsoft Teams nutzen und ich habe gelesen, dass der Exchange On-Premise Server in den hybriden Modus versetzt werden muss. Genügte bei dir da der minimale Hypridmodus? Wie bist du vorgegangen? Genügt es, diesen Hybridmodus zu aktivieren und dem Wizard zu folgen damit dann Microsoft Teams genutzt werden kann?
Ich würde mich sehr über eine Antwort freuen.
Lieber Gruss
Sascha
Hallo Sascha,
wie hast du das dann gelöst?
Braucht dann jeder lokale User der Teams nutzen möchte eine Office365 Lizenz?
Freue mich über eine Antwort
Rico
Hallo Frank,
Ich hätte noch ein paar Fragen zu Deiner tollen Hybrid-Modus-Reihe:
– Was ist der Vorteil wenig ich eine vollständige gegenüber einer minimalen Hybridkonfiguration wähle?
– Wenn ich den hybriden Server irgendwann entferne, da alle Postfächer bei Office365 sind, komme ich angeblich in eine unsupportete Situation (Stichwort ProxyAdresses via ADSIEdit). Wies siehst Du das?
– Folgt irgendwann ein 5. Teil der Reihe (Stichwort E-Mail Routing, Frei/Gebucht Informationen, Adressbücher, Migration)?
Danke und Gruss Dave
Hallo Franky,
Ich habe alle 4. Teile bezüglich Hybrid Modus mit Office 365 mit Interesse gelesen. Was mich noch interessieren würde ist ob Du Cutover anstelle Hybrid vergleichen könntest.
Wir stehen bei ca. 60 Postfächer (Exchange 2010 mit SBS 2011) vor der Entscheidung ob Cutover (also alles über Office 365) oder besser Hybrid mit einem Exchange 2016 on Premise.
Könntest Du hierbei noch ein Artikel dazu mit den Vor- und Nachteilen liefern?
Gruss Dave
Hallo Davide,
eigentlich waren noch weitere Artikel zum Thema Exchange on-Prem und Office 365 geplant. Leider sind zwischenzeitlich meine Testlizenzen abgelaufen. Ich hab mir daher vorgenommen, dass nächste Mal alles zeitlich etwas besser zu planen :-)
Ich persönlich bin allerdings ein Freund der Hybrid Lösung, auch wenn alle Postfächer bei Office 365 liegen. So verbaut man sich den Rückweg nicht, falls dies einmal nötig sein sollte. Für 60 Postfächer wird dies allerdings kein gangbarer Weg sein. Meine Meinung dazu: Bei 60 Postfächern und einem SBS mit Exchange 2010, fährt man mit Office 365 besser. Jedoch muss man hier die Anforderungen des Unternehmens im Blick behalten, hier kann schnell ein Vorteil zu einem Nachteil werden, oder umgekehrt.
Gruß,
Frank