Granikos Technology Blog

Eine wichtige Komponente von Microsoft Teams ist die Kalender-Applikation. Die Aufgabe dieser Applikation ist die Anzeige des persönlichen Kalenders aus dem persönlichen Postfach und die Erstellung von neuen Teams-Besprechungen oder Live-Ereignissen. Die Kalender-App können Sie über die App-Leiste aufrufen.

Damit der persönliche Kalender in Microsoft Teams angezeigt werden kann, müssen die Teams Backend Services auf das Anwender-Postfach zugreifen. Dieser Zugriff ist für Postfächer, die in Exchange Online gehostet sind, kein Problem, da hier die erforderlichen Zugriffswege und -berechtigungen Basisbestandteil von Microsoft 365 sind.

Um den Zugriff auf Postfächer, die in einer lokalen Exchange Organisation bereitgestellt werden, zu gewährleisten, müssen bestimmte Voraussetzungen erfüllt werden. Diese technischen Voraussetzungen bringen eine zusätzliche Komplexität in den täglichen Betrieb, die ihre ganz eigenen Herausforderungen für das Troubleshooting hat. Als IT-Administrator müssen Sie die einzelnen Komponenten und das Zusammenspiel zwischen den Komponenten kennen, um Fehlern effizient zu begegnen.

In diesem ersten Artikel einer dreiteiligen Artikelserie, liegt der Fokus auf den technischen Komponenten und den Anforderungen für das reibungslose Zusammenspiel, um lokale Exchange Postfächer für Microsoft Teams verfügbar zu machen. Die beiden folgenden Artikel zeigen Ihnen die Möglichkeiten und Werkzeuge für ein Troubleshooting.

Microsoft Teams Backend Services

Im Gegensatz zu anderen Software-Clients, die auf ein Exchange Postfach zugreifen, erfolgt der Kalenderzugriff bei Microsoft Teams nicht durch den jeweiligen Teams Client selbst, sondern clientunabhängig durch die sog. Teams Backend Services. Der Clientzugriff auf andere Microsoft 365 Dienste, wie z.B. SharePoint Online oder OneNote erfolgt durch die Clients direkt.

Das folgende Diagramm verdeutlicht, wie der Zugriff der einzelnen Teams Client-Varianten auf die Teams Services.

Quelle: Microsoft

Für den Zugriff auf den persönlichen Kalender eines Exchange Postfaches sind die rot markierten Komponenten wichtig. Die im Diagramm als simpler Strich gezeichnete Verbindung zwischen den Teams Backend Services und Exchange hat es in sich.

Übersicht Kalenderzugriff

Bei Start des Teams Clients fragt der Client den Kalender für den Anwender bei den Teams Backend Services ab. Basis für diese Anfrage ist die primäre E-Mail-Adresse des angemeldeten Benutzerkontos, in unserem Beispiel die Adresse John.Doe@varunagroup.de.

Im ersten Schritt führen die Teams Backend Services eine AutoDiscover V2 Abfrage bei Exchange Online durch (1). Die Abfrage gegen die Adresse outlook.office365.com erfolgt immer, da die Teams Backend Services davon ausgehen, dass Exchange Online die notwendigen Informationen für den Kalenderzugriff auf das Postfach von John Doe zur Verfügung stellen kann.

Da sich das Postfach in diesem Beispiel in einer lokalen Exchange Organisation befindet, antwortet Exchange Online mit einem HTTP 302 Redirect Response, der die Ziel-Url für die On-Premises AutoDiscover-Abfrage enthält. Durch diesen Response werden die Teams Backend Services nun aufgefordert, die lokale Exchange Organisation eigenständig per AutoDiscover V2 auf Basis zu kontaktieren.

Die Teams Backend Services versuchen in Schritt (2), den AutoDiscover-Endpunkt über den DNS-Namen der HTTP 302 Antwort zu erreichen und eine HTTPS-Verbindung aufzubauen. Der Zugriff auf den AutoDiscover Endpunkt erfolgt über eine anonyme AutoDiscover V2 Verbindung. Als Antwort erhalten die Teams Backend Services die externen URL-Informationen der lokalen Exchange Organisation. Dies sind die Informationen, die als ExternalUrl-Attribute für die virtuellen Exchange Server EWS-Verzeichnisse konfiguriert sind.

Erst in Schritt (3) erfolgt der authentifizierte Zugriff auf das Exchange Postfach. Die vorherigen Zugriffe wurden aus Performancegründen anonym durchgeführt. Als Authentifizierungsmethode wird nun OAuth verwendet. Wenn die Teams Backend Services den Endpunkt der Exchange Web Services erreichen und sich per OAuth authentifizieren können, werden die Kalenderinformationen gelesen und für den anfragenden Teams-Client aufbereitet und bereitgestellt.

Dies ist der Moment, in dem der Teams-Client das Icon der Kalender-App darstellt, damit der Anwender auf den Kalender zugreifen kann.

Damit dieses Zusammenspiel der Komponenten fehlerfrei funktionieren kann, müssen folgenden Voraussetzungen erfüllt sein:

• Konfiguration von Azure AD Connect mit aktivierter Option Exchange Hybrid
• Synchronisation aller Postfachnutzer der lokalen Exchange Organisation zu Azure AD
• Erreichbarkeit der lokalen Exchange Organisation aus dem Internet
• Einsatz von Exchange Server 2019 oder 2016 mit aktuellem kumulativem Update
• Konfiguration des Exchange Namensraums in der externen DNS-Zone
• Konfiguration der AutoDiscover-Endpunkte für die primären E-Mail-Domänen in der externen DNS-Zone
• Konfiguration der klassischen Exchange Hybridkonfiguration mit Hilfe des Hybrid Configuration Wizard

Mit einer hybriden Exchange-Konfiguration, die diese Voraussetzungen erfüllt, funktioniert die Nutzung lokaler Postfächer mit Microsoft Teams.

Exchange Server ist eine sehr tolerante Server Applikation, die in ganz unterschiedlichen Konfigurationen betrieben werden kann. Individuelle Abweichungen einer Standardimplementierung von Exchange Server und einer hybriden Verbindung mit Microsoft 365 führen zu Fehlern bei der Nutzung von Microsoft Teams mit lokalen Benutzerpostfächern.

In den nächsten beiden Artikeln der Serie schauen wir uns den direkten Kalenderzugriff und den Stellvertreterzugriff genauer an, ebenso die möglichen Fehlerquellen und die Fehleranalyse.

Links

• Anforderungen zum Erstellen und Anzeigen von Besprechungen für lokal gehostete Postfächer

• Teil 1 - Wie interagieren Microsoft Teams und Exchange Server?
• Teil 2 - Troubleshooting der Kalender-App
• Teil 3 - Troubleshooting von Kalenderstellvertretungen und kalenderbasiertem Präsenzstatus

Viel Spaß mit Microsoft Teams und Exchange Server.

Das Blog Cumulative Update für März 2021 (CU0321) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Microsoft Teams und Azure des Monats März 2021 zusammen.

Allgemein

• [STICKY] Modern Collaboration Architecture (MOCA)
• [STICKY] Microsoft Products Reaching End of Support for 2020
• 7 Trends You Need to Know: The First-Annual Work Trends Index
• My thoughts about Microsoft Ignite March 2021
• Better Active Directory Reporting with PowerShell
• Hybrid work is here. Are you ready?
• Troubleshooting Switch Misconfiguration
• Import code from GitHub

Exchange Server

• [STICKY] Outlook License Requirements for Exchange Features
• Tech Talk - 11 - Exchange Server und das HealthChecker-Skript
• Auditing Inbox rules (and looking for hidden rules) with EWS in OnPrem Exchange
• Rebuild your Exchange Server (after HAFNIUM infection)
• Automatic on-premises Exchange Server mitigation now in Microsoft Defender Antivirus
• Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities
• Released: March 2021 Quarterly Exchange Updates
• Protecting on-premises Exchange Servers against recent attacks
• Landesdatenschutzbehörden und die Meldepflicht zur aktuellen Exchange Server Schwachstelle
• Kritische Schwachstellen in Exchange-Servern
• Microsoft Exchange Server Vulnerabilities Mitigations - updated March 6, 2021

Microsoft 365 | OneDrive | Exchange Online | and more

• [STICKY] Microsoft Compliance Configuration Analyzer (MCCA)
• [STICKY] Office 365 Network Performance Tool
• [STICKY] Office 365 Support and Recovery Assistant (aka SaRA)
• [STICKY] Office 365 URLs and IP address ranges
• [STICKY] Office 365-Trust Center
• Building a Knowledge Network with Viva Topics
• 550 5.1.8 Access denied, bad outbound sender AS(42003)
• Block BCC Messages to Distribution Groups in Exchange Online
• How To Activate Microsoft Viva in a Microsoft 365 Tenant
• Best practices for migrating to SharePoint and OneDrive
• Workplace Analytics - April 2021: Feature updates
• You cannot migrate mailbox off of Office365 while the mailbox has a connected account enabled
• Microsoft Adds Power BI Premium and Power Automate (with RPA) to Self-Service License Purchases
• There is no panacea, there is no silver bullet
• How to create an Application Access Policy for Exchange Web Services (Video)
• Übernahme einer Microsoft 365 Schattendomäne
• How To Activate Microsoft Viva in a Microsoft 365 Tenant
• External Email Notification in Exchange Online
• Introducing our Champion Management Platform!

Microsoft Teams

• [STICKY] Teams User Group Berlin
• [STICKY] Security and Compliance in Microsoft Teams
• [STICKY] Keyboard shortcuts for Microsoft Teams
• [STICKY] Instructor-led training for Microsoft Teams
• What’s New in Microsoft Teams | February and March 2021
• Which department is most active on Microsoft Teams?
• Teams Real Simple with Pictures: Using Data Loss Prevention (DLP) to stop data leakage from Dataverse for Teams Apps such as Bulletins or Employee Ideas
• Microsoft Teams Panels sind verfügbar
• Teams Network Planner Automated!
• Microsoft Teams Calling Options for Telephony Replacement
• Add Viva Connections for Microsoft Teams desktop
• Become a WFH Powerhouse Using These 10 Unique Microsoft Teams Features
• Teams Reporting: Mastering Microsoft Teams with PowerShell
• Preview of our SIP Gateway solution
• Teams Real Simple with Pictures: Hands on with Employee Ideas
• Troubleshoot Microsoft Teams and Exchange Server interaction issues
• My Favourite Virtual Background Sources
• Microsoft Teams gets end-to-end encryption (E2EE)
• How to Add a Microsoft Teams Chat Link to Your Email Signature

Microsoft Azure

• [STICKY] Azure Latency Test
• [STICKY] Virtual Machines Licensing FAQ
• [STICKY] Azure Architecture Center
• [STICKY] Microsoft Azure Trust Center
• Azure AD Consent For Zoom App Not Applying
• "We don't use Azure AD"

Cloud | Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• Neuigkeiten zum neuen transatlantischem Abkommen und Privacy Shield Nachfolger
• Antivirus Event Analysis Cheat Sheet v1.8
• AD FS Authentication Methods supported during Autopilot
• Office 365 Monitoring: Microsoft 365 Services Outage March 15, 2021

Microsoft Training

• [STICKY] MCT Central
• New study shows the value of Microsoft Learning Partners
• Sharpen your technical skills with instructor-led training
• Announcing General Availability for Organizational Reporting
• Is your certification expiring soon? Renew it for free today

Microsoft Docs | Tech Community | Knowledge Base

• [STICKY] Getting started with the Cloud Adoption Framework
• [STICKY] Surface Hub update history
• Unexpected PublicFolderMailBoxes dynamic distribution groups in Exchange Server 2016

Skype for Business Server | Communications

• [STICKY] Download: Skype for Business Network Assessment Tool
• SfB 2019 Server Update - March 2021

Replay

• Februar 2021: Open Source Tool for Managing Large Groups Available for Download

Podcast Empfehlungen

• [STICKY] Collab Talk: #MsftBuzzChat Podcast series
• Episode #85 – Interview with Oak Innovation Microsoft Teams compliance recording
• Episode #84 – Exchange Online Basic Auth Retirement, Graph, & Going Virtual - Greg Taylor
• Episode #83 – Optimizing your connectivity to Microsoft Teams and Microsoft 365

Tools

• Teams Phone Screen Capture Tool
• Network Assessment Tool Plus
• ADFS Rapid Restore Tool
• Active Directory Migration Tool version 3.2
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• ISESteroids - PowerTheShell
• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

Die Dienste von Microsoft 365 machen es Anwender leicht, sich mit Ihrer beruflichen E-Mail-Adresse anzumelden. Anwender werden regelrecht dazu verführt, eine für sie interessante Lösung auszuprobieren.

Lösungen wie Microsoft Teams, Power BI und andere benötigen für ihre Funktion Azure AD und damit einen Microsoft 365 Mandanten. Wenn sich nun ein Anwender mit einer beruflichen E-Mail-Adresse bei einer ausgewählten Lösung anmeldet, ob die E-Mail-Domäne bereits eine, existierenden Mandaten zugeordnet ist. Ist dies der Fall, erfolgt die Authentifizierung und weitere Nutzung auf Basis der Einstellungen des entsprechenden Mandanten.

Was aber passiert, wenn die E-Mail-Domäne keinem Mandanten zugeordnet ist?

In diesem Fall erstellt Microsoft 365 einen sog. Schattenmandanten, dem die E-Mail-Domäne des Anwender als Schattendomäne zugeordnet wird. Hierzu erhält der Anwender kein Feedback, da die Nutzung der ausgewählten Lösung im Vordergrund steht.

Das Problem einer Schattendomäne trifft Sie, als Administrator eines Microsoft 365 Mandanten erst dann, wenn Sie diese Domäne einem regulär aktiviertem Mandanten hinzufügen möchten. Oder wenn Sie dies als Berater für einen Ihrer Kunden durchführen möchten. In diesem Fall führt Sie der Einrichtungsassistent des Microsoft 365 Admin Centers zu einem  Übernahmeprozess der Domäne per E-Mail. 

In diesem Prozess kann aus ganz unterschiedlichen Gründen zu Problemen kommen. Einfacher ist es, die Schattendomäne mit Hilfe von PowerShell zu übernehmen. Hierzu benötigen Sie das MSOnline-PowerShell Modul und Zugriff auf die DNS-Verwaltung der betroffenen Domäne. 

Führend Sie folgenden Schritte durch.

# Falls nicht installiert
Install-Module -Name MSOnline

# Falls installiert
Update-Module MSOnline -Force


# Anmeldung am Microsoft 365 Mandanten als globaler Administrator
Connect-MSOnline

# Hinzufügen der Schattendomäne (Beispiel varunagroup.de)
New-MSOLDomain -Name varunagroup.de

# Prüfung des Domain Status der nicht verifizierten Domäne
Get-MSOLDomain

# Abfrage des Wertes zur Überprüfung per TXT-Eintrag
Get-MSOLDomainVerificationDns -DomainName varunagroup.de -Mode DnsTxtRecord

Als Ausgabe erhalten Sie die Informationen für einen TXT-Eintrag in der Form MS=xxxxxxx. Dieser Wert muss in der DNS-Verwaltung als namenloser TXT-Eintrag für die Schattendomäne eingetragen werden. Geben Sie den DNS-Servern ein paar Minuten Zeit, um die Änderung zu übernehmen.

Führen Sie nun in der gleichen PowerShell-Session die Überprüfung des TXT-Eintrages durch. Wichtig ist hierbei der zusätzliche Parameter ForceTakeOver.

# Überprüfung des DNS-Eintrages und Übernahme der Domäne
Confirm-MSOLDomain -DomainName varunagroup.de -ForceTakeover Force

# Prüfung des Domain-Status
Get-MSOLDomain

Die Prüfung kann einen Moment Zeit in Anspruch nehmen. Der Status der neuen Domäne muss von Unverified zu Verfied wechseln.

Damit haben Sie eine Schattendomäne übernommen und zu einem bestehenden Mandanten hinzugefügt.

Viel Spaß mit Microsoft 365!

Zur HAFNIUM Sicherheitslücke in Exchange Server stehen Informationen auf zahlreichen Seiten zur Verfügung.

Dieser Post dient der Sammlung von Links zu diesem Thema.

• Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities
  Ausführlicher Artikel zur Untersuchung von Exchange Server Systemen, die durch die HAFNIUM-Sicherheitslücke angegriffen wurden.
   
• Released: March 2021 Exchange Server Security Updates - Microsoft Tech Community 
  Hauptartikel des Exchange Produktgruppe mit regelmäßigen Updates.
   
• March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server - Microsoft Tech Community 
  Beschreibung der Installations- und MIgrationswege für aktuelle und ältere, nicht mehr unterstützte Exchange Versionen, um einen sicheren Betriebszustand zu erreichen.
   
• Multiple Security Updates Released for Exchange Server – Microsoft Security Response Center 
  Allgemeiner Artikel des Microsoft Security Response Centers (MSRC) mit einer Beschreibung der HAFNIUM-SIcherheitslücken und den relevanten CVE-Referenzen. Auch dieser Artikel wird regelmäßig aktualisiert.
   
• HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security 
  Sehr ausführlicher Artikel zur HAFNIUM-Sicherheitslücke mit Erklärungen, wie Sie feststellen können, ob eine Lücke auf Ihren Systemen ausgenutzt wurde.
   
• Microsoft Exchange Server Vulnerabilities Mitigations
  Artikel zu möglichen Gegenmaßnahmen durch Konfigurationsanpassungen von Exchange Server Systemen
   
• One-Click Microsoft Exchange On-Premises Mitigation Tool - March 2021
  Artikel zum One-Click Tool für Exchange Server 2019, 2016 und 2013. 
   
• Links zu den als TLP:WHITE veröffentlichten IOCs (Indicator of Compromise)
  • JSON
  • CSV
     
• Protecting on-premises Exchange Servers against recent attacks 
  Blogartikel zur Gefahr von weltweiten Angriffen, mit einem Schwerpuntk auf die aktuelle Sicherheitslücke in Exchange Server
   
• New nation-state cyberattacks
  Offizieller Blogartikel von Tom Burt
   
• Protecting Against Ransomware 
  Security Tips der CISA gegen Ransomware-Angriffe

Wenn Sie einen Link vermissen, senden Sie mir gerne eine E-Mail an Exchange2019@Exchange-Doktor.de

Update 2021-03-17: Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities hinzugefügt

Folge 11

Heute wurde die elfte Folge von Thomas' Tech Talk veröffentlicht.

Das Thema des Talks ist:

• Exchange Server und das HealthChecker-Skript

Das PowerShell-Skript HealthChecker.ps1 hilft Ihnen bei der korrekten Konfiguration des Serversystems, auf dem Sie eine Exchange Server Installation betreiben. Nutzen Sie dieses Skript nach der Installation und Basiseinrichtung des Servers. 

Die Aufgabe des Skriptes ist es nicht, Exchange Server richtig zu konfigurieren, sondern Empfehlungen für die Konfiguration der Betriebssystemkomponenten wie Netzwerk-Adapter, Page File, C++ Bibliotheken, CPU oder den Arbeitsspeicher zu geben. Wenn Sie die vom Skript empfohlenen Einstellungen umsetzen, erhöhen Sie die Betriebssicherheit und Stabilität des Exchange Server Systems.

In diesem Tech Talk zeige ich Ihnen, wie hilfreich und einfach dieses Skript ist.

Links

• Thomas' Tech Talk YouTube-Kanal
• Präsentation (SlideShare)
• Präsentation (PDF)
• Tech Talk Übersicht

Ressourcen

• HealthChecker-Skript auf GitHub

Viel Spaß.