Im Vorherigen Artikel wurde der Microsoft 365 Tenant und Azure Active Directory Connect eingerichtet. In diesem Artikel geht es nun um die Installation und Konfiguration des Hybrid Configuration Wizard (HCW). Der HCV erstellt die Exchange Hybrid Umgebung und ermöglicht es Postfächer der Exchange on-Prem Installation zu Microsoft 365 zu migrieren. Der HCW übernimmt dazu alle nötigen Konfigurationen am Microsoft 365 Tenant, sowie auch an der Exchange On-Prem Umgebung vor.
Installation Hybrid Configuration Wizard (HCW)
Im Exchange Admin Center findet sich unter dem Reiter „Hybrid“ die Schaltfläche „Konfigurieren“, hier kann der HCW runtergeladen, installiert und konfiguriert werden:
Während der Installation des HCW muss sich öfter mal bei Microsoft 365 angemeldet werden:
Nach der Anmeldung am Microsoft 365 Tenant kann der HCW installiert werden:
Der HCW leitet nun Schritt für Schritt durch die Hybrid Konfiguration, an den meisten Stellen ist die Konfiguration selbsterklärend:
Da es in meiner Umgebung nur einen Exchange Server gibt, kann ich auch nur diesen Server als „optimalen Exchange“ Server auswählen. In Umgebungen mit mehreren Exchange Server an mehreren Standorten könnte man hier beispielsweise den Server mit der schnellsten Internetanbindung wählen. Wichtig ist an dieser Stelle, dass der Exchange Server, welcher hier ausgewählt wird, über ein gültiges Zertifikat einer öffentlichen Zertifizierungstelle verfügt und außerdem aus dem Internet erreichbar ist. Microsoft 365 benutzt diesen Server für die Migration der Postfächer und für das E-Mail Routing. Dieser Exchange Server sollte also per Port 443 und 25 von Microsoft 365 erreicht werden können, Proxys, Web Application Firewalls und SPAM Filter können an dieser Stelle etwas problematisch sein:
Im nächsten Schritt müssen die Anmeldeinformationen für den Tenant und die On-Prem Installation angegeben werden:
Der HCW sammelt im Anschluss die nötigen Daten für die Konfiguration der Hybrid Umgebung:
Im darauffolgenden Dialog können die Features ausgewählt werden. Wenn viele Postfächer migriert werden müssen, bietet sich die „Full Hybrid Configuration“ an, somit funktioniert beispielsweise der Terminplanungsassistent zur Anzeige der Frei/Gebucht Zeiten weiterhin.
Wenn es nur wenige Postfächer gibt und geplant ist, alle Postfächer in einem Rutsch zu Microsoft 365 zu migrieren, reicht in der Regel auch „Minimal Hybrid“ aus. Ich wähle an dieser Stelle die „Full Hybrid Configuration“ aus, somit stehen auch bei längeren Migrationen die meisten Features zur Verfügung:
Jetzt kann die Hybrid Topologie ausgewählt werden, der HCW weißt hier darauf hin, dass der Exchange Server eine Internetverbindung benötigt und auch unter den konfigurierten URLs aus dem Internet erreichbar sein muss. Die „Modern Hybrid Topology“ ermöglicht es hier, dass Frei/gebucht Zeiten zwischen Microsoft 365 und on-Prem Benutzern ausgetauscht werden können:
Im nächsten Schritt müssen dann noch einmal die Anmeldeinformationen für den lokalen Exchange Server angegeben werden:
Im nächsten Schritt wird der HCW installiert:
Konfiguration Hybrid Configuration Wizard (HCW)
Nach der Installation des HCW müssen noch weitere Angaben für die Konfiguration der Hybrid Umgebung durchgeführt werden. Da der Edge Transport Server nur selten nur Anwendung kommt, kommt der erste Punkt wohl am häufigsten zum Einsatz:
Die nächsten beiden Einstellungen beziehen sich auf den Empfangs- und Sendeconnector zwischen den on-Prem Exchange Servern und Microsoft 365:
Der HCW erstellt die entsprechenden Empfangs- und Sendeconnectoren automatisch:
Für das E-Mail Routing zwischen On-Prem und Microsoft 365 muss nun ein Zertifikat ausgewählt werden. Ich verwende hier ein gültiges Zertifikat von Let’s Encrypt:
Die letzte Einstellung ist der FQDN der on-Prem Exchange Installation. In dieser Einstellung geht es es um das Routing der Mails von Microsoft 365 zur On-Prem Installation, daher wird hier der Name der SMTP Domain angegeben, in meinem Fall also frankysweblab.de:
Die Einstellungen sind nun komplett und der HCW kann mit der Konfiguration beginnen:
Der HCW konfiguriert jetzt die On-Prem Server sowie auch den Microsoft 365 Tenenat für die Hybrid Umgebung:
Falls nach dem Klick auf Update die Fehlermeldung „HCW8077 – Tenant organization is dehydrated“ auftritt, dann einfach mal 15 Minuten warten und noch einmal probieren. Der HCW setzt die Einstellung normalerweise korrekt, aber es dauert schon mal ein bisschen bis es aktiv ist:
Nach ca. 15 Minuten lief der HCW dann fehlerfrei durch:
Wie geht es weiter?
Im nächsten Artikel wird getestet, ob der Mails zwischen Microsoft 365 und Exchange on-Prem korrekt geroutet werden. Auch die Migration der Postfächer wird getestet. Auch die nötigen DNS Anpassungen sind Bestandteil des nächstes Artikels.
Falls „Hybrid-Agent für die Verwendung durch Exchange überprüfen“ lange dauert und dann fehlschlägt, könnte die Ursache die aktive Extended Protection sein.
Im Log unter %UserProfile%\AppData\Roaming\Microsoft\Exchange Hybrid Configuration wird dann beim Error: Unauthorized und ‚Negotiate,NTLM‘ reklamiert.
Extended Protection mit dem Skript von MS überprüfen und ggf. ausschalten:
https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/
.\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection
Danach den Schritt nochmals wiederholen.
Danke! Habe Ewigkeiten danach gesucht. Hätt ich mal die Kommentare vorher gelesen.
Wenn die EPM deaktiviert wird, dann wäre der Exchange Onprem doch wieder anfälliger. Richtig?
Goldwerter Tipp.
Danke!!!
Bei der aktuellen Version des Hybrid Configuration Wizards (Stand 13.06.2024) hat es beim Schritt Hybridtopologie (Hybrid toplogy), wo hier die Modern Hybrid toplogy gewählt wird einen zusätzlichen Haken unter den Radio Buttons:
„Auswählen der Exchange-Hybridkonfiguration“
Hiermit können gewisse Konfigurationsschritte ausgewählt werden, die übersprungen werden sollen. Dies ist bei einer erneuten Ausführung des Wizards von Vorteil, da nicht die komplette Konfiguration erneut gesetzt wird und allfällige bereits gemachte Änderungen bspw. an Connectoren zurückgesetzt werden.
Näheres hierzu in folgendem MS Artikel:
https://learn.microsoft.com/de-de/exchange/hybrid-configuration-wizard-choose-configuration-feature
Goldwerte Antwort. Danke!!!!
Wieder ausführlich beschrieben.
Nur wie es bei Microsoft Produkten üblich ist, treten Fehler auf, zu denen Microsoft keine vernünftigen Fehlermeldungen, sowie Dokumentation liefert.
Wer auch den Fehler about_Remote_Troubleshooting hat, den wird dieser Beitrag sicher weiterhelfen.
https://www.borncity.com/blog/2023/04/08/probleme-mit-neuen-365-tenant-accounts-migration-exchange-2013-zu-exchange-online/
Hallo Frank,
super Anleitung. Wir nutzen selbst seit ca. 2 Jahren Hybrid
Was meiner Meinung nach für die Vollständigkeit noch erwähnenswert wäre: der „zentrale Mailversand“ welcher unter advanced/erweitert auftaucht in deinem Screenshot unter „Konfiguration Hybrid Configuration Wizard (HCW)“. Damit geht der komplette externe Mailflow in jedem Fall über den Exchange on-prem und es können z. B. bestehende Security Apliances, Anti-Virus, Archivierungslösungen oder Secure Mailgateways on-prem genutzt werden.
Viele Grüße,
Andreas
Hallo Andreas,
habe den „zentralen Mailversand“ eingestellt. Was muss denn noch in der Sophos dafür eingestellt werde? Vielleicht hast Du ein Tip.
Viele Grüße
Oliver
Moin Frank,
bisher hattest Du immer die exakt gleiche Konfiguration wie wir (Exchange, Kemp, Sophos UTM), was für uns ja großartig war.
Nun hast Du ja wohl zumindest die Sophos für den Hybrid Modus entfernt, wenn ich das richtig verstanden habe.
Wir setzten die Sophos immer noch ein für die Spamfilterung und OWA WAF.
Kannst Du eventuell nochmal kurz beschreiben, wie Du hier vorgegangen bist?
Wir sind nämlich auch aufgefordert, bei uns den Hybrid Modus einzuschalten.
Viele Grüße
Florian
Hallo Florian,
hast Du es hinbekommen mit Spamfilterung und WAF bei der Sophos mit dem Hybrid Modus?
Viele Grüße
Oliver
Gibt es einen Trick, den HCW auch ohne die Anmeldung am O365 (durch die EAC) herunterzuladen und auszuführen? Das bekommt unser Ex. aus firewalltechnischen Gründen nicht hin. Die Mails werden über einen Edge Server laufen. Der kann aber (aus firewalltechnischen Gründen) die EAC nicht erreichen.
Bei einem Edge musst du den hcw trotzdem auf dem internen Exchange laufen lassen.
Das ist richtig und mir auch klar. Aber der interne Ex. kommt nicht ins Internet. Zumindest nicht ins Web mit Ports 80/443. Das bedeutet, dass ich die HCW-‚App‘ nicht herunterladen kann. Das bedeutet auch, dass ich mich im EAC im Tab ‚Office635‘ erst gar nicht an der Cloud anmelden kann. Die Frage ist, wie kann ich den HCW auf einer anderen Maschine herunterladen? Und wenn der Download durch ist und ich die Downloaddatei auf den Ex. kopiert habe, wie starte ich den HCW dann manuell? Ich habe keine Erfahrung mit so firewalltechnisch zugenagelten Rechnern, an denen man nicht direkt und unreguliert (also von innen nach außen unreguliert) ins Web gehen kann.
Du kannst den Download auch auf jedem Client durchführen. Ist auch die empfohlene Variante:
„ Now you are ready to run the wizard. On a domain joined machine install the HCW wizard just as you normally would. The credentials you provide for Exchange Online determine if you are adding a tenant or configuring an existing tenant.“
Wenn man ein Exchange Cluster hat, muss der HCW auf beiden Exchange Knoten ausgeführt werden ?
Du musst/brauchst den HCW auf nicht zwingend auf einem Exchange ausführen. Das kannst du auf jeder Kiste erledigen, die entsprechende Voraussetzungen und Rechte hat. Der HCW ist wie der Name schon sagt ein „Configuration Wizard“. Da wird einmalig (oder manuell später wieder) eine Konfiguration vorgenommen. Danach liegt das Ding dumm auf der Platte rum.
guter Artikel. Danke!
habe eine Anmerkung zu den Varianten Modern und Classic:
der Unterschied zwischen Modern und Classic ist eher, dass bei Modern die EWS des On Prem Exchange (also Port 443) nicht veröffentlicht werden müssen. Dafür fehlen dann ein paar wenige Funktionen.
>> hat man EWS sowieso schon veröffentlicht würde ich Classic empfehlen, falls nicht kann man auf das Veröffentlichen auch verzichten und Modern verwenden
Bei MSXFAQ wird das schön beschrieben inkl. einer Auflistung welche Funktionen mit welcher Variante möglich sind:
https://www.msxfaq.de/cloud/exchangeonline/hcw_feature_topologien.htm
“ Classic
Dies war früher der einzige „Full Hybrid“-Mode, der eine sehr gute Koexistenz und Migrationsplattform bereitgestellt hat. Ihr Exchange Server muss aber über eine öffentliche feste IP-Adresse samt DNS-Name und Zertifikat erreichbar sein.
Modern Hybrid
Bei dieser jüngeren Variante betreibt Microsoft einen AppProxy in der Cloud, der in Verbindung mit einem lokal zu installierenden Agenten die EWS-Anfragen zum OnPremises Server tunnelt und damit keine EWS-Veröffentlichung für diesen Fall erforderlich ist.“