de-DEen-GB
rss

Granikos Technology Blog

You can read the English version of this post at ENow ESE blog: What are your Exchange Hybrid options? 

 

Logo Exchange Server 2019Was bedeutet Exchange Server Hybrid?

Eine lokale Exchange Organisation eines Unternehmens kann mit Exchange Online, einer der Kernbestandteile von Microsoft 365, verbunden werden. Diese Verbindung erfolgt durch die sog. Hybrid-Konfiguration und ist eine besondere Vertrauensstellung zwischen zwei technisch getrennten Exchange Umgebungen.

Diese besondere Vertrauensstellung zwischen der lokalen Exchange Organisation und Exchange Online ist notwendig, damit E-Mail- und System-Nachrichten, die zwischen beiden Umgebungen unsgetauscht werden, als interne E-Mail-Nachrichten erkannt und verarbeitet werden. Nur so ist es möglich, die korrekte Funktion aller Exchange Komponenten, unabhängig vom Bereitstellungsort der Benutzerpostfächer, zu gewährleisten.

Welche Vorteile ein Exchange Hybrid-Betrieb für die Exchange Umgebung in Ihrem Unternehmen hat, erfahren Sie in diesem Microsoft Docs Artikel.

Das folgende Schaubild verdeutlicht die Hybrid-Konfiguration und die besondere Vertrauensstellung (gepunktete grüne Linie).

Diagramm Hybrid-Konfiguration als Vertrauensstellung zwischen On-Premises Exchange and Exchange Online

 

Eine Exchange Hybrid-Konfiguration richten Sie mit Hilfe des Hybrid Confguration Wizard (HCW) ein. Während der HCW-Einrichtung müssen Sie sich für eine der zur Verfügung stehenden Möglichkeiten für den Hybrid-Betrieb entscheiden.

 

Welche Optionen für den Hybrid-Betrieb gibt es?

Für den Hybrid-Betrieb einer lokalen Exchange Organisation mit Exchange Online gibt es mehrere Möglichkeiten. Wir unterscheiden zwei grundlegende Betriebsvarianten, den klassischen und den modernen Hybrid-Betrieb. Für diese beiden Varianten stehen je bis zu drei Betriebsmodi zur Verfügung.

Das folgende Schaubild verdeutlich die unterschiedlichen Betriebsmodi für die beiden Betriebsvarianten einer Hybrid-Konfiguration.

Grafik Übersicht der Optionen für einen Exchange Hybrid-Betrieb

 

Nun stellt sich automatisch die Frage, welchen Betriebsmodus soll ich für Hybrid-Konfiguration meiner Exchange Organisation verwenden?

Schauen wir uns zuerst an, welche technischen Voraussetzungen die beiden Betriebsvarianten haben.

 

Klassischer Hybrid-Betrieb

Der klassische Hybrid-Betrieb erfordert, dass interne Exchange Server aus dem Internet über das Protokoll HTTPS erreichbar sind. Über diese Verbindung erfolgt die Kommunikation von Exchange Online zur internen Exchange Organisation für Hybrid-Funktionen. Damit einher geht die Anforderung für eine aus dem Internet erreichbare IP-Adresse und die Verwendung eines offiziellen TLS-Zertifkates.

 

Moderner Hybrid-Betrieb

Der moderne Hybrid-Betrieb erfordert keinerlei eingehende HTTPS-Verbindung von Exchange Online zur internen Exchange Organisation. 

Die Verbindung zwischen der lokalen Exchange Organisation und Exchange Online erfolgt über den Exchange Hybrid Agent. Die Software für den Exchange Hybrid Agent ist als Dienst auf einem Server installiert und verbindet sich über eine ausgehende HTTPS-Verbindung mit Exchange Online. Die Konfiguration durch den HCW steuert hierbei das Verhalten von Exchange Online. Mit Blick auf den Hybrid-Betrieb von Exchange ist dies die bevorzugte und schnellste Betriebsvariante, da keinerlei zusätzliche Komponenten für eingehende HTTPS-Verbindungen benötigt werden. Wenn Ihr Unternehmen jedoch Microsoft Teams verwenden möchte und weiterhin Postfächer von Teams-Anwendern auf lokalen Exchange Servern betrieben werden sollen, können Sie diese Betriebsvariante nicht nutzen. Microsoft Teams unterstützt für dieses Betriebsszenario nur den klassischen Hybrid-Betrieb.

 

Klassicher und Moderner Hybrid-Betrieb

  • Beide Betriebsvarianten benötigen für den hybriden Nachrichtenfluss ein- und ausgehende SMTP-Verbindungen zwischen der lokalen Exchange Organisation und Exchange Online.
     
  • Beide Betriebsvarianten erfordern ausgehende HTTPS-Verbindungen zu Exchange Online von den internen Exchange Server Systemen.

 

Für welches Betriebs- und Migrationsszenario passen die fünf Betriebsmodi?

Grafik - Klassisch Grafik - Klassisch-Voll-Hybrid

Vollwertige, klassische Hybrid-Konfiguration mit direkter Veröffentlichung der Exchange Organisation ins Internet (SMTP/HTTPS)

  • Dauerhafter Hybrid-Betrieb
  • Postfächer On-Premises und in Exchange Online
Grafik - Klassisch-Minimal-Hybrid

Hybrid-Konfiguration, inkl. Azure AD Connect, zum einmaligen Verschieben aller Postfächer zu Exchange Online

  • Temporärer Hybrid-Betrieb über wenige Monate
  • Ziel: Migration aller Postfächer zu Exchange Online
Grafik - Klassisch-Minimal-Hybrid

Hybrid-Konfiguration, inkl. Azure AD Connect Express Setup, zum einmaligen Verschieben aller Postfächer zu Exchange Online

  • Temporärer Hybrid-Betrieb über wenige Tage oder Wochen
  • Ziel: Migration aller Postfächer zu Exchange Online
Grafik - Modern Hybrid Grafik - Modern-Voll-Hybrid

Vollwertige, klassische Hybrid-Konfiguration für neue Konfigurationen mit Hilfe des Exchange Hybrid-Agenten, jedoch mit Funktionseinschränken

  • Dauerhafter Hybrid-Betrieb
  • Postfächer On-Premises und in Exchange Online
Grafik - Modern-Minimal-Hybrid

Hybrid-Konfiguration, inkl. Azure AD Connect, zum einmaligen Verschieben aller Postfächer zu Exchange Online mit Hilfe des Exchange Hybrid-Agenten

  • Temporärer Hybrid-Betrieb über wenige Monate
  • MIgration aller Postfächer zu Exchange Online

 

Herausforderungen

Die Implementierung eines Hybrid-Betriebes stellt Ihr Unternehmen vor technische Herausforderungen. Daher muss die Einrichtung des hybriden Exchange Betriebes gut geplant werden.

Für den klassischen Hybrid-Betrieb benötigen Sie externe IP-Adressen für die beiden Protokolle HTTPS und SMTP, während für den modernen Hybrid-Betrieb nur eine IP-Adresse für das Protokoll SMTP benötigt wird. Ebenso benötigen Sie TLS-Zertifikate. Für den Nachrichtenfluss zwischen der lokalen Exchange Organisation und Exchange Online empfehle ich, ein separates TLS-Zertifikat zu verwenden, das nicht für das E-Mail-Internet-Gateway verwendet wird. 

Die Absicherung der internen Exchange Server vor direkten Zugriffen aus dem Internet hat höchste Priorität. Sichern Sie den E-Mail-Nachrichtenfluss der hybriden Verbindung zwischen der lokalen Exchange Organisation und Exchange Online mit Exchange Edge-Servern ab. Der HTTPS-Zugriff zu den internen Exchange Server von Exchange Online wird über Reverse-Proxies abgesichert.

Bei einem dauerhaften Hybrid-Betrieb ist die lokale Exchange Organisation für die Verwaltung der zu Exchange Online verschobenen Exchange-Objekte zuständig. Im Zusammenspiel mit dem lokalen Active Directory bleibt sie die Source of Authority (SOA). Aus diesem Grund benötigen Sie mindestens einen verbleibenden lokalen Exchange Server, der als sog. Koexistenz-Server betrieben wird. Hierzu sollten Sie einen System mit Exchange Server 2016 oder Exchange Server 2019 verwenden.

 

Fazit

Mit einer Auswahl von zwei Betriebsvarianten und insgesamt fünf Betriebsmodi fällt es nicht leicht, die passende Wahl zu treffen. Die wichtigste Frage, die Sie sich zuerst stellen müssen ist, wie soll die Bereitstellung von Exchange Funktionen in Zukunft für das Unternehmen aussehen und welche Anforderungen hat das Unternehmen im Hinblick auf die Absicherung von E-Mail-Nachrichten? Sind Anwender-Postfächer in der lokalen Exchange Organisation bereitgestellt und in Ihrem Unternehmen soll Microsoft Teams genutzt werden, so ist die klassische Voll-Hybrid-Variante die einzige Option.

Die größte Flexibilität erreichen Sie mit dem klassischen Hybrid-Betrieb, jedoch ist dies auch die Variante mit den meisten Anforderungen zur Einrichtung und den dauerhaften Betrieb.

Mit dem modernen Hybrid-Betrieb erreichen Sie schnell eine Hybrid-Konfiguration und können zügig Postfächer zu Exchange Online migrieren. Bei Nutzung von Microsoft Teams und Anwender-Postfächern in der lokalen Exchange Organisation ist dies jedoch keine Option. 

 

Links

 

Viel Spaß mit einem sicheren Exchange Online.

 

 

 

 

Weiterlesen »

Logo Microsoft TeamsSeit Anfang April wird die Funktion zur Nutzung benutzerdefinierter Hintergründe in Microsoft Teams ausgerollt. Damit wird die bestehende Funktion des "Background Blur", also des verschwommenen Hintergrundes, erweitert.

Wenn das System, auf dem Sie Microsoft Teams nutzen, diese Funktion technisch unterstützt, finden Sie im Menü Besprechungsoptionen einer laufen Besprechung die Möglichkeit zur Aktivierung von Hintergrundeffekten. Die Funktion für den verschwommenen Hintergrund ist nicht mehr als separate Option vorhanden, da sie Bestandteil der neuen Hintergrundeffekte ist.

Der folgende Screenshot zeigt das englische Auswahlmenü während einer aktiven Besprechung. In der deutschen Sprachvariante lautet der Menüpunkt Hintergrundeffekte anzeigen.

Screenshot Microsoft Teams Background Effects

 

Nach Auswahl des Menüpunktes werden am rechten Bildschirmrand die Auswahloptionen für die Hintergrundeffekte eingeblendet.

Screenshot Microsoft Teams Background Settings

 

Zur Auswahl stehen:

  • Kein bzw. auschalten eines benutzerdefinierten Hintergrundes
  • Verschwommener Hintergrund (Background Blur)
  • Ein ausgewählter Hintergrund

Nach der Auswahl können Sie sich eine Vorschau anzeigen lassen und den Hintergrund übernehmen.

Microsoft Teams liefert eine kleine Auswahl vordefinierter Hintergründe mit. Natürlich können Sie nun eigene Hintergrundgrafiken in das Dateiverzeichnis für eigene Hintergründe kopieren. Speichern Sie eigene Hintergründe in folgendem Verzeichnis ab:

  • %APPDATA%\Microsoft\Teams\Backgrounds\Uploads

Sollten Sie das Verzeichnis nicht finden, rufen Sie vorher einmal die Funktion Hintergrundeffekte anzeigen in einer Besprechung auf. Danach sollte das Verzeichnis vorhanden sein.

Achten Sie bei der Erstellung von Hintergründen auf die Größe der Dateien. Als Empfehlung gelten:

  • 1920 x 1080 Pixel
  • die Dateigröße sollte 1MB nicht überschreiten

Unternehmen können per Softwareverteilung eigene Hintergründe im Verzeichnis für Hintergründe bereitstellen und so für ein einheitliches Erscheinungsbild, gerade in Home-Office Situationen wichtig, sicherstellen.

Aktuell gibt es noch keine Möglichkeit, diese Funktion über Microsoft Teams Richtlinien sicherzustellen.

 

Viel Spaß mit Microsoft Teams.

Weiterlesen »

Folge 5

Folge 5 der 'Tech Talk'-Reihe ist bei YouTube verfügbar. 

Das Thema des Talks:

  • Exchange Server Edge-Rolle - Das Stiefkind von Exchange Server 

In diesem Tech Talk erfahren Sie, was die Edge-Rolle von Exchange Server ist und welche Funktionen und Vorteile sie für den Betrieb Ihrer reinen On-Premises oder hybriden Exchange Organisation bietet. Diese Funktionsrolle exisitiert seit Exchange Server 2007, erfährt aber nur sehr wenig Zuspruch. Aber gerade im hybriden Betrieb von Exchange Server kann Sie von Nutzen sein.

 

 

Links

 

Ressourcen

 

Viel Spaß.

 

 

 

Weiterlesen »

Am 16. April 2020 trifft sich die Microsoft Teams Meetup Gruppe Berlin zu ihrem siebten Treffen.

Bei unseren Meetup-Treffen sprechen wir über Microsoft Teams als universelle Plattform zur Zusammenarbeit als Teil einer Modern Workplace-Strategie. Hierzu gehören das Teilen und gemeinsame Arbeiten an Dokumenten, Audio- und Video-Kommunikation, Telefonie und die Erweiterbarkeit durch Applikation, Bots und weitere Schnittstellen.

 

Agenda

  • Erfahrungsaustausch zum Remote Arbeiten in Zeiten von COVID-19 (Mit welchen Tools, Tipps & Tricks, Pro & Contra)
  • Automatisierte und standardisierte Team-Erstellung mit Power-Automate und Microsoft Graph - Christian Olschewski (geplant)
  • Neuerungen und Weiterentwicklungen von Microsoft Teams
  • Planungen zum Teams Meetup

 

Termin

 

Sie haben ein interessantes Thema oder eine Produktlösung für Microsoft Teams, die Sie auf einem unserer Meetups vorstellen möchten? Melden Sie sich bei mir: thomas.stensitzki@granikos.eu. Ich freue mich über Ihre Nachricht.

 

Links

 

Viel Spaß mit Microsoft Teams!

 

Weiterlesen »

Keyboard LogoDie Auswirkung der COVID-19 Krise treffen auch die IT-Abteilungen der Unternehmen. Die Prioritäten von Aufgaben und Projekten haben sich in den letzten Wochen "spontan" geändert. Ehemals wichtige Projekte wurden auf "unbestimmte Zeit" verschoben.

Diese Situation ist der Exchange Produktgruppe bei Microsoft ebenfalls bewusst. Als Reaktion auf die aktuellen Herausforderungen für IT-Abteilungen ändert die Produktgruppe den Fahrplan für die geplante Deaktivierung der Basic Authentifizierung in Exchange Online.

 

Änderungen

  • Microsoft 365 Kunden, die weiterhin Basic Authentication für den Zugriff auf Exchange Online Ressourcen verwenden, haben Zeit bis zum zweiten Halbjahr 2021, um die Authentifizierungsmethode umzustellen. 
     
  • Für Microsoft 365 Kunden, die Basic Authentication nicht verwenden, wird diese Authentifizierungsvariante ab Oktober 2020 deaktiviert.
     
  • Der Rollout der Protokollerweiterungen für die Modern Authentication-Unterstützung der Protokolle POP, IMAP, SMTP AUTH und Remote PowerShell bleibt weiterhin bestehen.
     
  • Für neue Microsoft 365 Mandanten wird die Basic Authentication standardmäßig deaktiviert.

 

Sicherheit

Basic Authentication ist eine unsichere Authentifizierungsmethode und stellt grundsätzlich ein Risiko für die gesamte Exchange Online Plattform dar. Diese Authentifizierung stellt einen der größten Angriffsvektoren für Exchange Online dar. 

Im Rahmen seiner Präsentation Securing Exchange Online from Modern Threats stellte Brandon Koeller (BRK3248) auf der Ignite 2019 vor, welche Angriffsszenarien Microsoft in Exchange Online beobachtet, wie darauf in der Plattform reagiert. 

Die Deaktivierung von Basic Authentication für Exchange Online ist in diesem Zusammenhang ein große Aufgabe, die keinerlei Aufschub erlaubt. 

Folgende Zeilen aus meinen Blogartikel von Oktober 2019:

Die Exchange Produktgruppe ist sich der Herausforderungen für die Kunden bewusst. Der Titel des Original-Artikels Improving Security - Together ist mit Bedacht gewählt. Ein besserer Schutz von Exchange Online Postfächern und Ressourcen ist nur möglich, wenn die Erhöhung der Sicherheit gemeinsam, also von Ihnen als Office 365 Kunde und der Exchange Produktgruppe, umgesetzt wird.

Bereiten Sie sich und Ihre IT-Infrastruktur rechtzeitig auf die Abschaltung der Basic Authentication vor. Erstellen Sie einen realistischen Zeitplan für die notwendigen Konfigurationen und Anpassungen, um spätestens im Juli 2020 die Umstellung abgeschlossen zu haben. Es hat sich schon immer bewährt, einen zeitliche Puffer einzuplanen.

Die Erhöhung der Sicherheit geht immer mit Komfortverlust einher. Dieser Komfortverlust ist jedoch zu verschmerzen, wenn man den Sicherheitsgewinn gegenüberstellt.

 

Planung

Die aktuellen Herausforderungen der COVID-19 Krise haben uns in der IT zum großen Teil kalt erwischt. In kürzester Zeit mussten Möglichkeiten zur Remote-Arbeit für MItarbeiter eingerichtet und technische Implementierungen skaliert werden. Diese Arbeiten bestimmen zum großen Teil auch aktuell noch das tägliche Arbeitsleben in den IT-Abteilungen weltweit.

Nichtsdestotrotz sollten Sie dem Thema Deaktivierung von Basic Authentication für meinen Microsoft 365-Mandaten keinen Aufschub gönnen. Bewerten Sie die Wichtigkeit der aktuell pausierten IT-Projekte auch vorausschauend hinsichtlich der Sicherheitsrisiken für Ihre Exchange Online Ressourcen. Bewerten Sie in diesem Zusammenhang insbesondere das Verhalten der Anwender in Ihrem Unternehmen. 

Je nach Größe des Unternehmens ist das Thema komplex. Sie müssen sich einen Überblick über die Clients und die Applikationen verschaffen, die auf Exchange Online Ressourcen zugreifen und welche Authentifizierungsverfahren im Einzelnen verwendet werden. Hierzu finden Sie in meinem Blogartikel von Oktober 2019 weitere Informationen im Abschnitt Was muss ich tun?.

Sie werden sicher denken, dass bis zur zweiten Jahreshälfte 2021 noch ausreichend Zeit zur Umsetzung dieses Thema ist. Dieses Gefühl teile ich nicht. Wir können aktuell nicht absehen, wie lange die COVID-19 Krise vorhalten wird und wie sie sich in den nächsten Monaten auf unsere Arbeit in der IT auswirken wird. Daher ist eine rechtzeitige Planung und Durchführung des Projektes zur Abschaltung der Basic Authentication dringend geboten.

Denken Sie auch daran, dass Sie auch vor der zweiten Jahreshälfte 2021 eigenständig die Auithentifizierung per Basic Auth für Ihren Microsoft 365 Mandaten blockieren können.

 

Links

 

Viel Spaß mit Exchange Online. Stay safe.

 


Sie benötigen Hilfe bei der Entscheidung für oder gegen einen Wechel zu Microsoft 365? Unser Microsoft 365 Workshop hilft Ihnen, die für Ihr Unternehmen passenden Entscheidungen zu treffen.

Melden Sie sich bei uns: info@granikos.eu

Weiterlesen »