In the Previous article the Microsoft 365 Tenant and Azure Active Directory Connect were set up. This article now deals with the installation and configuration of the Hybrid Configuration Wizard (HCW). The HCW creates the Exchange Hybrid environment and enables mailboxes from the Exchange on-prem installation to be migrated to Microsoft 365. The HCW performs all the necessary configurations on the Microsoft 365 tenant as well as on the Exchange on-prem environment.
Installation Hybrid Configuration Wizard (HCW)
The "Configure" button can be found under the "Hybrid" tab in the Exchange Admin Center, where the HCW can be downloaded, installed and configured:
During the installation of the HCW, it is necessary to log in to Microsoft 365 from time to time:
After logging in to the Microsoft 365 tenant, the HCW can be installed:
The HCW now guides you step by step through the hybrid configuration, which is self-explanatory in most places:
As there is only one Exchange server in my environment, I can only select this server as the "optimal Exchange" server. In environments with several Exchange servers at several locations, you could, for example, select the server with the fastest Internet connection. It is important at this point that the Exchange server selected here has a valid certificate from a public certification authority and is also accessible from the Internet. Microsoft 365 uses this server for the migration of mailboxes and for email routing. This Exchange server should therefore be accessible from Microsoft 365 via port 443 and 25; proxies, web application firewalls and SPAM filters can be somewhat problematic at this point:
In the next step, the login information for the tenant and the on-prem installation must be entered:
The HCW then collects the necessary data for the configuration of the hybrid environment:
The features can be selected in the subsequent dialog. If many mailboxes need to be migrated, the "Full Hybrid Configuration" is recommended, so that the scheduling assistant for displaying free/busy times, for example, continues to work.
If there are only a few mailboxes and the plan is to migrate all mailboxes to Microsoft 365 in one go, "Minimal Hybrid" is usually sufficient. At this point, I select the "Full Hybrid Configuration" so that most of the features are available even for longer migrations:
The hybrid topology can now be selected; the HCW indicates here that the Exchange server requires an Internet connection and must also be accessible from the Internet under the configured URLs. The "Modern Hybrid Topology" allows free/busy times to be exchanged between Microsoft 365 and on-prem users:
In the next step, the login information for the local Exchange server must be entered again:
The next step is to install the HCW:
Configuration Hybrid Configuration Wizard (HCW)
Once the HCW has been installed, further details must be entered to configure the hybrid environment. As the Edge Transport Server is rarely used, the first point is probably the most frequently used:
The next two settings relate to the receive and send connector between the on-prem Exchange servers and Microsoft 365:
The HCW creates the corresponding receive and send connectors automatically:
A certificate must now be selected for email routing between on-prem and Microsoft 365. I use a valid certificate from Let's Encrypt here:
The last setting is the FQDN of the on-prem Exchange installation. This setting is about the routing of mails from Microsoft 365 to the on-prem installation, so the name of the SMTP domain is specified here, in my case frankysweblab.de:
The settings are now complete and the HCW can begin with the configuration:
The HCW now configures the on-prem servers as well as the Microsoft 365 Tenenat for the hybrid environment:
If the error message "HCW8077 - Tenant organization is dehydrated" appears after clicking on Update, simply wait 15 minutes and try again. The HCW normally sets the setting correctly, but it may take a while before it is active:
After approx. 15 minutes, the HCW ran through without any errors:
What happens next?
The next article will test whether the mails are routed correctly between Microsoft 365 and Exchange on-prem. The migration of mailboxes will also be tested. The necessary DNS adjustments are also part of the next article.
Hallo, habe mittels dieser Anleitung mich bzgl. der hybriden Bereitstellung durchgehangelt. Eigentlich ja kein Hexenwerk, aber ich bekomme jetzt an allen Clients, obwohl noch keine einzige Mailbox verschoben wurde, ein Anmeldefenster (Modern Auth von M365). Hat dazu zufällig jemand noch eine Idee?
Falls „Hybrid-Agent für die Verwendung durch Exchange überprüfen“ lange dauert und dann fehlschlägt, könnte die Ursache die aktive Extended Protection sein.
Im Log unter %UserProfile%\AppData\Roaming\Microsoft\Exchange Hybrid Configuration wird dann beim Error: Unauthorized und ‚Negotiate,NTLM‘ reklamiert.
Extended Protection mit dem Skript von MS überprüfen und ggf. ausschalten:
https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/
.\ExchangeExtendedProtectionManagement.ps1 -ShowExtendedProtection
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection
Danach den Schritt nochmals wiederholen.
Danke! Habe Ewigkeiten danach gesucht. Hätt ich mal die Kommentare vorher gelesen.
Wenn die EPM deaktiviert wird, dann wäre der Exchange Onprem doch wieder anfälliger. Richtig?
Goldwerter Tipp.
Danke!!!
Bei der aktuellen Version des Hybrid Configuration Wizards (Stand 13.06.2024) hat es beim Schritt Hybridtopologie (Hybrid toplogy), wo hier die Modern Hybrid toplogy gewählt wird einen zusätzlichen Haken unter den Radio Buttons:
„Auswählen der Exchange-Hybridkonfiguration“
Hiermit können gewisse Konfigurationsschritte ausgewählt werden, die übersprungen werden sollen. Dies ist bei einer erneuten Ausführung des Wizards von Vorteil, da nicht die komplette Konfiguration erneut gesetzt wird und allfällige bereits gemachte Änderungen bspw. an Connectoren zurückgesetzt werden.
Näheres hierzu in folgendem MS Artikel:
https://learn.microsoft.com/de-de/exchange/hybrid-configuration-wizard-choose-configuration-feature
Goldwerte Antwort. Danke!!!!
Wieder ausführlich beschrieben.
Nur wie es bei Microsoft Produkten üblich ist, treten Fehler auf, zu denen Microsoft keine vernünftigen Fehlermeldungen, sowie Dokumentation liefert.
Wer auch den Fehler about_Remote_Troubleshooting hat, den wird dieser Beitrag sicher weiterhelfen.
https://www.borncity.com/blog/2023/04/08/probleme-mit-neuen-365-tenant-accounts-migration-exchange-2013-zu-exchange-online/
Hallo Frank,
super Anleitung. Wir nutzen selbst seit ca. 2 Jahren Hybrid
Was meiner Meinung nach für die Vollständigkeit noch erwähnenswert wäre: der „zentrale Mailversand“ welcher unter advanced/erweitert auftaucht in deinem Screenshot unter „Konfiguration Hybrid Configuration Wizard (HCW)“. Damit geht der komplette externe Mailflow in jedem Fall über den Exchange on-prem und es können z. B. bestehende Security Apliances, Anti-Virus, Archivierungslösungen oder Secure Mailgateways on-prem genutzt werden.
Viele Grüße,
Andreas
Hallo Andreas,
habe den „zentralen Mailversand“ eingestellt. Was muss denn noch in der Sophos dafür eingestellt werde? Vielleicht hast Du ein Tip.
Viele Grüße
Oliver
Moin Frank,
bisher hattest Du immer die exakt gleiche Konfiguration wie wir (Exchange, Kemp, Sophos UTM), was für uns ja großartig war.
Nun hast Du ja wohl zumindest die Sophos für den Hybrid Modus entfernt, wenn ich das richtig verstanden habe.
Wir setzten die Sophos immer noch ein für die Spamfilterung und OWA WAF.
Kannst Du eventuell nochmal kurz beschreiben, wie Du hier vorgegangen bist?
Wir sind nämlich auch aufgefordert, bei uns den Hybrid Modus einzuschalten.
Viele Grüße
Florian
Hallo Florian,
hast Du es hinbekommen mit Spamfilterung und WAF bei der Sophos mit dem Hybrid Modus?
Viele Grüße
Oliver
Gibt es einen Trick, den HCW auch ohne die Anmeldung am O365 (durch die EAC) herunterzuladen und auszuführen? Das bekommt unser Ex. aus firewalltechnischen Gründen nicht hin. Die Mails werden über einen Edge Server laufen. Der kann aber (aus firewalltechnischen Gründen) die EAC nicht erreichen.
Bei einem Edge musst du den hcw trotzdem auf dem internen Exchange laufen lassen.
Das ist richtig und mir auch klar. Aber der interne Ex. kommt nicht ins Internet. Zumindest nicht ins Web mit Ports 80/443. Das bedeutet, dass ich die HCW-‚App‘ nicht herunterladen kann. Das bedeutet auch, dass ich mich im EAC im Tab ‚Office635‘ erst gar nicht an der Cloud anmelden kann. Die Frage ist, wie kann ich den HCW auf einer anderen Maschine herunterladen? Und wenn der Download durch ist und ich die Downloaddatei auf den Ex. kopiert habe, wie starte ich den HCW dann manuell? Ich habe keine Erfahrung mit so firewalltechnisch zugenagelten Rechnern, an denen man nicht direkt und unreguliert (also von innen nach außen unreguliert) ins Web gehen kann.
Du kannst den Download auch auf jedem Client durchführen. Ist auch die empfohlene Variante:
„ Now you are ready to run the wizard. On a domain joined machine install the HCW wizard just as you normally would. The credentials you provide for Exchange Online determine if you are adding a tenant or configuring an existing tenant.“
Wenn man ein Exchange Cluster hat, muss der HCW auf beiden Exchange Knoten ausgeführt werden ?
Du musst/brauchst den HCW auf nicht zwingend auf einem Exchange ausführen. Das kannst du auf jeder Kiste erledigen, die entsprechende Voraussetzungen und Rechte hat. Der HCW ist wie der Name schon sagt ein „Configuration Wizard“. Da wird einmalig (oder manuell später wieder) eine Konfiguration vorgenommen. Danach liegt das Ding dumm auf der Platte rum.
guter Artikel. Danke!
habe eine Anmerkung zu den Varianten Modern und Classic:
der Unterschied zwischen Modern und Classic ist eher, dass bei Modern die EWS des On Prem Exchange (also Port 443) nicht veröffentlicht werden müssen. Dafür fehlen dann ein paar wenige Funktionen.
>> hat man EWS sowieso schon veröffentlicht würde ich Classic empfehlen, falls nicht kann man auf das Veröffentlichen auch verzichten und Modern verwenden
Bei MSXFAQ wird das schön beschrieben inkl. einer Auflistung welche Funktionen mit welcher Variante möglich sind:
https://www.msxfaq.de/cloud/exchangeonline/hcw_feature_topologien.htm
“ Classic
Dies war früher der einzige „Full Hybrid“-Mode, der eine sehr gute Koexistenz und Migrationsplattform bereitgestellt hat. Ihr Exchange Server muss aber über eine öffentliche feste IP-Adresse samt DNS-Name und Zertifikat erreichbar sein.
Modern Hybrid
Bei dieser jüngeren Variante betreibt Microsoft einen AppProxy in der Cloud, der in Verbindung mit einem lokal zu installierenden Agenten die EWS-Anfragen zum OnPremises Server tunnelt und damit keine EWS-Veröffentlichung für diesen Fall erforderlich ist.“