de-DEen-GB
rss

Granikos Technology Blog

On März 28, 2018
AD, UPN
760 Views

Die Anmeldung in Office 365 erfordert die Nutzung eines offiziellen Domänennamens, der meist Bestandteil der E-Mail Adresse ist. Um nun Benutzer aus dem lokalen Active Directory mit AAD Connect zu Office 365 (Azure AD) zu synchronisieren, muss der UPN-Suffix im lokalen Active Directory einer offiziellen Domäne entsprechen.

Beispiel

  • Korrektes UPN-Suffix: varunagroup.de
  • Falsches UPN-Suffix: varunagroup.local

Eine neue Domäne können Sie schnell und einfach als neues UPN-Suffix per PowerShell hinzufügen.

Set-ADForest -UPNSuffixes @{Add="varunagroup.de"}

Nach dem Hinzufügen des neuen UPN-Suffix zum Active Directory, können die UPN-Anmeldename der Benutzerkonten angepasst werden.

# Set a base OU for searching user accounts
$LdapSearchBase = 'OU=Users,OU=Offices,DC=varunagroup,DC=de'

foreach ($adUser in (Get-ADUser -SearchBase $LdapSearchBase -LdapFilter '(proxyAddresses=*)')) 
{
    # Select primary SMTP address from user object and remove protocol prefix
    $newUPN = (Get-ADUser $adUser -Properties proxyAddresses | Select -ExpandProperty proxyAddresses | Where-Object {$_ -clike "SMTP:*"}).SubString(5)
    
    # Update AD user with new UPN
    Set-ADUser $user -UserPrincipalName $newUPN
}

Anschließend können Sie die neue E-Mail Domäne in Office 365 einrichten und AAD Connect für die Synchronisation dieser Domäne konfigurieren.

Viel Spaß mit Office 365.

 

 

Weiterlesen »

Problem

Wenn Sie Öffentliche Ordner alter Bauart (Legacy Public Folder) von Exchange Server 2010 zu modernen Öffentlichen Ordnern (Modern Public Folder) in Exchange Online migrieren, kann es bei der Synchronisation der Öffentlichen Ordner zu folgendem Fehler kommen:

Error: More than X mail public folders in Active Directory were not linked to any public folder during migration. Mail flow will stop working for these public folders after the migration is finalized. Please check whether these are important

Dieses Problem tritt in folgendem Szenario auf:

  • Sie haben eine Hybrid Koexistenz-Konfiguration mit Exchange Online, in der Benutzerpostfächer bereits in Exchange Online gehostet werden und die Öffentlichen Ordner noch in der lokalen Exchange Organisation auf Exchange Server 2010 bereitgestellt werden
  • Sie haben vor der Migration der Legacy Public Folder zu Exchange Online E-Mail-aktivierte Öffentliche Ordner mit Hilfe des Scriptes Sync-MailPublicFolders.ps1 zu Exchange Online synchronisiert
  • Sie haben vor der Migration die E-Mail Aktivierung für alle oder einige Öffentlichen Ordner aufgehoben und diese Änderung mit Hilfe des Scriptes Sync-MailPublicFolders.ps1 zu Exchange Online synchronisiert
  • Das Migrationsbatch für die Migration der Legacy Public Folder zu Modern Public Folder ist gestartet

Ausgabe des Scripts Sync-MailPublicFolders.ps1 nach Deaktivierung aller E-Mail-aktivierten Öffentlichen Ordner:

Creating an Exchange Online remote session...
Exchange Online remote session created successfully.
Enumerating local mail enabled public folders...
Mail public folders enumeration completed: 0 local folder(s) found.
WARNUNG: You are about to remove ALL mail-enabled public folders from Exchange Online Active 
Directory. Only proceed if you do not have any users on Exchange Online already using mail-enabled public folders. 

Das Script meldet zwar, dass bei der Synchronisation die Informationen über die inzwischen E-Mail-deaktivierten Ordner aus Exchange Online entfernt werden, dies ist jedoch nicht der Fall.

 

Lösung

Prüfen Sie in der Exchange Online PowerShell, ob sich noch E-Mail-aktivierte Ordner in der Exchange Online Organisation befinden.

Get-MailPublicFolder -ResultSize Unlimited

Prüfen Sie, welche vermeintlich E-Mail-aktivierten Ordner inzwischen deaktiviert wurden und entfernen Sie diese Ordner aus der Exchange Online Organisation

# Löschung eines lokal nicht mehr E-Mail-aktivierten Ordners
Get-MailPublicFolder 'Mail Public Folder' | Remove-SyncMailPublicFolder 

# Löschung alle E-Mail-aktivierten Ordner Informationen aus Exchange Online
Get-MailPublicFolder -ResultSize Unlimited | Remove-SyncMailPublicFolder 

Nach der Löschung der Informationen aus Exchange Online wird die nächste inkrementelle Synchronisation des Migrationsbatches ohne Fehler durchlaufen.

Links

 

Viel Spaß bei der MIgration von Öffentlichen Ordner zu Exchange Online!

 

 

Weiterlesen »

Die Migration von E-Mail Postfächern von alternativen E-Mail Servern, wie z.B. Lotus Notes, zu Office 365 ist über das Protokoll IMAP möglich. Die Möglichkeit zur Datenmigration ist in das Office 365 Admin Center implementiert. Über den Menüpunkt Datenmigration können Office 365 Administratoren Postfach-Migrationen zu Office 365 starten. Hierbei werden im Hintergrund die notwendigen Konfigurationen in Exchange Online vorgenommen.

Die nachfolgenden Schritte beschreiben die Migration von Postfächern von einem E-Mail Server mit einer IMAP-Migration, beginnend mit dem Hinzufügen einer neuen Domäne zu Office 365. Für die Einrichtung der IMAP-Migration ist keine vollständige DNS-Konfiguration der Domäne erforderlich. Die Validierung der neuen Domäne ist ausreichend.

An welchem Schritt Sie nun die DNS-Einträge für die MX Ressource Records umstellen, ist Ihnen überlassen und hängt vom Migrationsszenario ab. Sollte die betroffene Domäne weiterhin aktiv für die E-Mail Zustellung verwendet werden, so empfehle ich ein Umstellung der MX-Einträge direkt nach Einrichtung aller Postfächer in Office 365.

Voraussetzungen

Für eine erfolgreiche Migration sind folgende Voraussetzungen notwendig

  • Adminkonto auf dem IMAP-Server, um den IMAP-Endpunkt für den Zugriff in Office 365 (Exchange Online) zu konfigurieren
    • E-Mail Adresse und Kennwort
  • Liste der zu migrierenden IMAP-Benutzerpostfächer für
    • Anlage neuer Office 365 Benutzer mit zugewiesener Office 365 Lizenz, die einen Exchange Plan enthält
    • IMAP E-Mail-Adresse und Benutzerkennwort zur Synchronisation der Postfachdaten
  • Erreichbarkeit des IMAP Endpunktes per TCP 993 aus dem Internet
  • Umstellung der MX DNS Ressource Records zur Umstellung der E-Mail Zustellung

Hinzufügen der Domäne zu Office 365

In den folgenden Schritten wird die Domäne azure-usergroup.de als neue Domäne zu einem Office 365 Tenant hinzugefügt.

Schritt 1

Rufen Sie im Office 365 Admin Center den Menüpunkt Setup > Domänen auf und klicken Sie auf Domäne hinzufügen, um den Wizard für eine neue Domäne zu starten.

Geben Sie den Domänennamen ein und klicken Sie auf Weiter.

Hinzufügen einer neuen Domäne in Office 365 - Schritt 1

 

Schritt 2

Es ist erforderlich, dass Sie die Eigentümerschaft für die Domäne, die Sie hinzufügen möchten, nachweisen. HIerzu stehen Ihnen drei Möglichkeiten zur Verfügung.

  1. Validierung mit Hilfe eines TXT Resource Record Eintrages in der Internet DNS Zone der hinzuzufügenden Domäne
  2. Validierung mit Hilfe eines MX Resource Record Eintrages in der Internet DNS Zone der hinzuzufügenden Domäne
  3. Validierung mit Hilfe eines per E-Mail zu gesandten Codes - Diese Methode steht nur zur Verfügung und wird nur dann angezeigt, wenn die entsprechenden Daten in der DNS Zone hinterlegt sind

Kopieren Sie den TXT-Wert, im aktuellen Beispiel MS=ms81514861 und tragen Sie diesen als Wert für den TXT Resource Record ein.

Je nach DNS Anbieter, kann es mehrere Minuten dauern, bis der Eintrag für Server von Microsoft abrufbar ist. Bei einigen DNS Anbietern kann dies bis zu 24 Stunden in Anspruich nehmen. Wenn Sie bei solch einem Anbieter Ihre DNS Zonen pflegen, sollten Sie über einen Wechsel nachdenken.

Klicken Sie auf Überprüfen, um den TXT Resource Record Eintrag prüfen zu lassen. Wenn der Eintrag erfolgreich geprüft wurde, gelangen Sie zum nächsten Schritt.

Hinzufügen einer neuen Domäne in Office 365 - Schritt 2

 

Schritt 3

Da Sie die DNS Einträge für Ihre Domäne selber veralten, wählen Sie den Punkt Ich verwalte meine eigenen DNS-Einträge aus und klicken Sie auf Weiter.

Hinzufügen einer neuen Domäne in Office 365 - Schritt 3

 

Schritt 4

Die Migration der IMAP-Postfachdaten erfordert keine Anpassung der DNS-Einträge für Ihre Domäne. Diese sind erst erforderlich, wenn Sie die Office 365 Dienste bereitstellen und die E-Mail Zustellung zu Exchange Online Protection umstellen möchten.

Wählen Sie die Checkbox am Ende der Seite, um die Aktualisierung der DNS-Einstellungen auszulassen und klicken Sie auf Überspringen

Hinzufügen einer neuen Domäne in Office 365 - Schritt 4

 

Schritt 5

Damit ist die Ersteinrichtung der neuen Domäne in Office 365 abgeschlossen.

Klicken Sie auf Fertig stellen.

Hinzufügen einer neuen Domäne in Office 365 - Schritt 5

 

IMAP Postfach-Migration 

Nachdem die neue Domäne erfolgreich zu Office 365 hinzugefügt wurde, kann mit der IMAP Migration begonnen werden.

Zur geführten IMAP-Datenmigration zu Office 365 gelangen Sie über den Menüpunkt Setup > Datenmigration.

Einrichtung Benutzerkonten

Vor der Einrichtung der IMAP-Datenmigration über das Office 365 Admin Center müssen Sie die Benutzer in Office 365 anlegen, einen Benutzernamen mit der zu migrierenden Domäne vergeben und eine Office 365 Lizenz zuweisen. Durch diese Zuweisung wird das erforderliche Ziel-Postfach für die Datenmigration erstellt. Der Benutzername in Office 365 kann vom Benutzernamen auf IMAP-Quellseite abweichen.

Im folgenden Beispiel sehen Sie die Erstellung eines Benutzers unter Verwendung der neu hinzugefügten Domäne. Diese Adresse ist sowohl der Office 365 Anmeldename, als auch die neue primäre E-Mail Adresse des Benutzers. 

Erstellung Office 365 Nutzer als Ziel für eine IMAP Postfachmigration

Optional können Sie neue Benutzer natürlich auch mit Hilfe eines CSV-Datei Imports erstellen.

 

Schritt 1 : Einrichtung Datenmigration

Im Bereich der Datenmigration bietet Microsoft eine Unterstützung für gängige E-Mail Plattformen an. Die allgemeine E-Mail Datenmigration mit IMAP verbirgt sich unter dem Auswahlpunkt Weitere E-Mail-Quellen.    

Office 365 Datenmigration

 

Geben Sie den IMAP-Servernamen, den IMAP-Port und die verwendete Sicherheitsmethode an. Eine IMAP-Verbindung ohne Verbindungsverschlüsselung wird nicht unterstützt.

Tragen Sie die E-Mail Adresse des IMAP-Administratorkontos und das dazugehörige Kennwort ein. Klicken Sie anschließend auf Speichern

Office 365 IMAP-Datenmigration Schritt 1

 

Schritt 2: Start der IMAP-Migration

Wählen Sie das Office 365 Ziel-Konto aus und geben Sie die passende E-Mail Adresse des Quell-Postfaches an. Nach Eingabe der dazugehörigen Kennwortes wird die IMAP-Verbindung zum Postfach überprüft. Wiederholen Sie diesen Schritt für jedes zu migrierende Postfach.

Nach der erfolgreichen Überprüfung des IMAP-Zugriffes können Sie die Migration der Postfachinhalte durch einen Klick auf Migration starten auslösen.

Office 365 IMAP-Datenmigration Schritt 2

 

Nach dem Start der Migration erfolgt eine Rückmeldung im Office 365 Admin-Center, dass die Migration in Bearbeitung ist. 

Office 365 IMAP-Datenmigration Schritt 2 - In Bearbeitung

 

Springen Sie zu Schritt 3, um das nachfolgende Exchange Online Intermezzo zu überspringen.

 

Intermezzo 1: IMAP-Migration und Exchange Online

Natürlich führt nicht das Office 365 Admin-Center die Migration der Postfächer durch, sondern Exchange Online. Das Office 365 Admin-Center übernimmt die Konfiguration des Migrationsendpunktes, die Erstellung und die Steuerung des Migrationsbatches. Aber wie sieht solch eine erstelle Konfiguration in Exchange Online aus?

Schauen wir uns die Migrationsendpunkte im Exchange Online Admin-Center (EAC) genauer an. Sie finden die Konfiguration der Migrationsendpunkte in der EAC unter:

Empfänger > Migration > ... > Migrationsendpunkte

In der Übersicht der Migrationsendpunkte wurde ein neuer Endpunkt vom Typ IMAP erstellt.

Exchange Online - Migrationsendpunkte

 

Die Übersicht der Migrationsbatche zeigt den durch das Office 365 Admin-Center konfigurierten Batch und man erkennt, dass in diesem Batch ein Postfach enthalten ist, jedoch noch nicht synchronisiert wurde.

Exchange Online - IMAP Migrationsbatch

 

Wählen Sie das IMAP_Batch in der Übersichtsliste aus, um im rechten Fenster die Zusammenfassung des Batches anzuzeigen. Man sieht z.B. die Richtung der Migration (Onboarding) und den aktuellen Gesamtstatus des Batches (Synchronisierung). Hier finden Sie auch Informationen zur zeitlichen Dauer der Migration.

Exchange Online - IMAP Migrationsbatch - Details

 

Klicken Sie unterhalb von Postfachstatus auf Details anzeigen, um sich die Liste der im Batch konfigurierten Postfächer und deren Details anzeigen zu lassen. 

Exchange Online - IMAP Migrationsbatch - Batch Details

Aber nun zurück zum Office 365 Admin-Center.

 

Schritt 3: Synchronisierte Postfächer

Nachdem im Hintergrund der Migrationsendpunkt in Exchange Online eingerichtet und das Migrationsbatch erstellt wurde, gilt es zu warten. Exchange Online verarbeitet Migrationsbatche in Abhängigkeit der aktuellen Serverlast. Das bedeutet, dass die Einrichtung und der Start einer Migration nicht gleichzusetzen ist mit dem Start der Ausführung. 

Sobald die Erstsynchronisierung abgeschlossen ist, wird das IMAP-Postfach alle 24 Stunden automatisch synchronisiert. Im Office 365 Admin-Center wird im Kopftext zwar angezeigt, dass die Migration erfolgreich abgeschlossen ist, dies ist aber nicht korrekt.   

Office 365 IMAP-Datenmigration Schritt 3 - Synchronisiert

Dies wird im nächsten Exchange Online Intermezzo deutlich. Springen Sie zu Schritt 4, wenn Sie die IMAP-Migration abgeschliessen möchten.

 

Intermezzo 2: Status des IMAP-Migrationbatch

In der Übersicht der Exchange Online Migrationsbatche wird deutlich angezeigt, dass das Batch synchronisierte, aber keine finalisierten (abgeschlossenen) Postfächer enthält.

Exchange Online - IMAP Migrationsbatch - Synchronisierte Postfächer

 

Schritt 4: IMAP-Migration beenden

Über das Office 365 Admin-Center können Sie die IMAP-Migration für jeden Benutzer getrennt beenden. Hierzu wählen Sie einen Benutzer aus, dessen Postfach im Status Synchronisiert ist und klicken auf Migration beenden. Nach der Bestätigung mit Ja wird das ausgewählte Postfach innerhalb des Migrationsbatches finalisiert.

Das bedeutet, dass für diesen Bentuzer eine letzte IMAP-Synchronisierung durchgeführt wird und dieser Benutzer nach Abschluss der Synchronisierung aus dem Migrationsbatch entfernt wird. Alle im Batch verbleibenden Postfächer werden weiterhin alle 24 Stunden synchronisiert.

Office 365 IMAP-Datenmigration Schritt 4 - Migration Beenden

 

Wenn kein Postfach mehr Migrationsbatch enthalten ist, haben Sie die Möglichkeit, neue Benutzer auszuwählen und eine Migration zu starten. 

Über die Schaltfläche Verbindung schließen wird die Information über eine laufenden IMAP-Migration aus dem Office 365 Admin-Center entfernt. Nach dem Schließen der Verbindung erreichen Sie über den Menüpunkt Datenmigration die Einstiegsseite der Datenmigration, wie in Schritt 1 beschrieben.

 

Nachdem alle IMAP-Postfächer zu Office 365 migriert wurden, können Sie mit dem Rückbau der Postfächer auf den Quellsystemen beginnen. 

 

Intermezzo 3: Exchange Online und der leere IMAP-Migrationbatch

Nach dem Beenden der IMAP-Migrationen und dem Schließen der Verbindung über das Office 365 Admin-Center verbleibt ein leerer IMAP-Migrationsbatch in Exchange Online. Diesen können Sie bedenkenlos über das Papierkorbsymbol löschen. 

 

Links

 

Sie haben Fragen zur IMAP Migration zu Office 365? Nutzen Sie bitte die Kommentarfunktion dieses Blogbeitrages.

Viel Spaß mit Office 365!

 

 

Weiterlesen »

Am 22. Februar 2018 fand im Microsoft Accelerator Berlin das Q1 2018 Treffen der Exchange User Group Berlin statt.

Mein Vortrag zum Thema Bessere Zusammenarbeit mit OneDrive for Business | Moderne Dateianhänge mit Exchange 2016 und Office 365 steht als PowerPoint Präsenation bei Slideshare bereit und kann dort direkt heruntergeladen werden.

 

 

Links

Follow

Weiterlesen »
On Februar 9, 2018
1677 Views
The blog post in English has been published at ENow's Solution Engine (ESE) blog.


Die Nutzung von Office 365 Diensten erfordert eine korrekte Namensauflösung für die verwendeten Dienste. Ohne eine funktionierende Namensauflösung können Anwender aus dem Unternehmensnetzwerk oder direkt aus dem Internet nicht auf Office 365-Dienste zugreifen. Das "Finden" der Office 365-Dienste erfolgt auf Basis des Anmeldenamens des Anwenders. Dieser Anmeldename (UPN) und die Haupt-E-Mail-Adresse sind im Idealfall identisch. Die Hintergründe für diese Anforderung hat Joe Palichario bereits 2015 in seinem Blog veröffentlicht. In meinem Beispiel folgen die Anmeldenamen dem Schema Vorname.Nachname@granikoslabs.de, der ADFS Authentifizierungsserver ist unter dem Namen adfs.granikoslabs.de veröffentlicht.

Unter einer Split-DNS Konfiguration versteht man den Betrieb der DNS-Zone, in einer internen und einer externen Konfiguration. Die interne DNS-Zone wird auf DNS-Servern bereitgestellt, die von Clientsystemen aus dem Unternehmensnetzwerk angefragt werden. Die externe DNS-Zone wird entweder auf eigenen DNS-Servern, die aus dem Internet erreichbar sind, oder auf DNS-Servern eines Internet DNS-Anbieters bereitgestellt. Diese Split-DNS Aufteilung ist wichtig, um Clientsystemen entweder die interne IP-Adresse oder die öffentliche IP-Adresse eines Dienstendpunktes bereitzustellen. In einer Hybrid-Konfiguration mit Office 365 ist solch eine Split-DNS Konfiguration dringend empfohlen. Wenn Sie Office 365 im reinen Cloudbetrieb nutzen, ist diese Konfiguration nicht notwendig.

Das folgende Schaubild verdeutlicht die DNS Konfiguration für die Split-DNS Implementierung inklusive ADFS-Server und ADFS-Proxy.

Übersicht Split-DNS und ADFS mit Office 365

Ein interner Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich am internen ADFS-System authentifizieren . Hierzu wird der Client zum ADFS-Server umgeleitet.

  1. Das interne Clientsystem fragt den internen DNS-Server nach der IP-Adresse für adfs.granikoslabs.de und erhält die interne IP-Adresse des ADFS-Servers
  2. Das interne Clientsystem verbindet sich zum internen ADFS-Server, wird authentifiziert und kann, falls berechtigt, auf die gewünschte Office 365 Ressource zugreifen

Ein externer Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich ebenfalls am internen ADFS-System authentifizieren. Jedoch ist dieses System nicht direkt aus dem Internet erreichbar, sondern über einen ADFS-Proxy veröffentlicht.

  1. Das externe Clientsystem fragt den DNS-Server des Internet DNS-Anbieters nach der IP-Adresse für adfs.granikoslabs.de und erhält die öffentliche IP-Adresse des ADFS-Proxy-Servers
  2. Der externe Client verbindet sich über den ADFS-Proxy-Server mit dem internen ADFS-Server, wird authentifiziert und kann, falls berechtigt, auf die gewünschte Office 365 Ressource zugreifen

Es ist wichtig, dass neben den individuellen Adressen für die benutzerdefinierte Domäne des Office 365-Tenant auch alle weiteren, von Microsoft bereitgestellten, öffentlichen Adressen für Office 365 auflösbar sein müssen. Die öffentlichen Office 365 Endpunkte werden über CNAME, SRV und TXT Einträge in der internen und externen DNS-Zone definiert. 

Die nachfolgende Liste gibt einen Überblick der DNS-Namen für den Office 365 Tenant mit der benutzerdefinierten Domäne granikoslabs.de.

Übersicht DNS-Einträge einer benutzerdefinierten Domäne in Office 365

Die vollständige Liste der erforderlichen DNS-Namen finden Sie in der Administrationsoberflache von Office 365. Für jede benutzerdefinierte Domäne sind separate Einträge in der jeweiligen DNS-Zone erforderlich, wenn diese Domäne zur Anmeldung an Office 365 und als E-Mail Domäne verwendet wird.

Grundsätzlich unterstützt Office 365 auch eine Konfiguration, bei der der Anmeldename nicht identisch mit der primäre SMTP-Adresse oder SIP-Adresse ist. Jedoch erhöht eine solche Konfiguration den Supportaufwand im Fehlerfall und führt zu einer verwirrenden Benutzererfahrung. Auf den unterschiedlichen Anmeldeseiten der Office 365 Dienste wird der Anwender mal aufgefordert, die E-Mail-Adresse oder den Anmeldenamen einzugeben. Gleichzeitig bietet eine solch individuelle Konfiguration keinerlei Vorteile hinsichtlich der IT-Sicherheit. Eine bessere Absicherung wird vielmehr durch den Einsatz einer Multi-Faktor-Authentifizierung und Zugriffsfilterung (Conditional Access) erreicht.

Viel Spaß mit Office 365!

 

 

Weiterlesen »