Granikos Technology Blog

Thomas' Tech Talk YouTube-Kanal

• Direkt zum YouTube-Kanal

Tech Talk Folgen

• Tech Talk 12 - Exchange Server Support Life-Cycle
  14. Mai 2021
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 11 - Exchange und das HealthChecker Skript
  15. März 2021
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 10 - Exchange und hybride Identitäten
  13. Dezember 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 9 - Exchange Server vNEXT
  24. September 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 8 - Mainstream-Supportende Exchange Server 2016
  23. August 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 7 - AD FS oder PTA
  4. August 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 6 - Deaktivierung von Basic Authentication in Exchange Online
  17. Mai 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 5 - Exchange Server - Edge Rolle
  5. April 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 4 - Lohnt sich ein Wechsel auf Exchange Server 2019
  15. März 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 3 - Exchange Hybrid
  7. März 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 2 - Migrationsmöglichkeiten von Exchange Server zu Exchange Online
  22. Februar 2020
  
  Blogartikel und weitere Ressourcen
   
• Tech Talk 1 - Supportende von Exchange Server 2010
  4. Februar 2020
  
  Blogartikel und weitere Ressourcen
   

Weitere Links

• Tech Talk YouTube-Kanal
• Tech Talk Themenumfrage

Geplante Themen

• Power Plattform - On-Premises Data Gateway
• Exchange Server und HealthChecker
• ...

Kurzlink zu dieser Seite: http://techtalk.granikos.eu

Abschaltung der Basic Authentication für Exchange Online

In ihrem Blogartikel Improving Security - Together hat die Exchange Produktgruppe angekündigt, die unsichere Authentifizierungsmethode Basic Authentication zum 13. Oktober 2020 nicht nur für die Exchange Web Services (EWS) abzuschalten, sondern zusätzlich auch für Exchange ActiveSync (EAS), POP, IMAP und Remote Exchange PowerShell.

Bei der Basic Authentication handelt es sich um eine in die Jahre gekommene Authentifizierungsmethode, die im Vergleich zu modernen Authentifizierungsmethoden Schwächen hat. Diese Schwächen führen dazu, dass diese Authentifizierungsmethode immer wieder von Angreifern verwendet wird, um unberechtigten Zugriff auf Ressourcen zu erlangen. Exchange Online und Azure AD sind, als globale Clouddienste, immens vielen Angriffen dieser Art ausgesetzt.

Mehr Sicherheit mit moderner Authentifizierung

Die moderne Authentifizierung (Modern Auth), basierend auf OAuth 2.0, bietet im Zusammenspiel mit Multi-Faktor-Authentifizierung (MFA) einen umfassenderen Schutz für den Zugriff auf Exchange Online und andere Cloud-Ressourcen. Diese Art der Authentifizierung ist nicht neu, setzt sich für bestimmte Zugriffsarten aber nur langsam durch. Die Unterstützung für Modern Auth wird bereits seit Office 2013 unterstützt und ist seit Version 2016 nativ in das Produkt integriert.

Für mobile Endgeräte stellt sich die Situation etwas anders dar. In vielen Fällen erfolgt der Zugriff auf Exchange Online Postfächer mit nativen E-Mail-Clients der mobilen Endgeräte statt. Diese verwenden in den meisten Fällen das ActiveSync-Protokoll (EAS). EAS wiederum bedient sich standardmäßig der Basic Authentifizierung und ist daher für die Zukunft nicht mehr das passende Protokoll für den Zugriff auf Exchange Online. Hier ist Outlook Mobile (Android/iOS) die bessere Alternative. Mit Outlook Mobile haben Sie die Möglichkeit, die Authentifizierung der Benutzerkonten zusätzlich mit MFA abzusichern.

Für die Protokolle SMTP, POP und IMAP gibt es eine besondere Herausforderungen. Diese Protokolle unterstützen heute die moderne Authentifizierung (noch) nicht. Für den Zugriff auf Mitarbeiter-Postfächer stellt dies noch keine Problem dar, da dieser Zugriff immer über das Protokoll MAPIoverHTTP erfolgen sollte. Das eigentliche Problem sind all die anderen Applikationen, die Sie gegenwärtig für einen POP/IMAP-Postfachzugriff und SMTP-Mailversand über ein Exchange Online Postfach konfiguriert haben. Hierzu gehören z.B. Ticketsysteme, ERP-Lösungen oder individuell programmierte Line-of-Business-Applikationen (LOB).

Ähnlich sieht es für die Authentifizierung von PowerShell-Skripten aus, die auf einem Ihrer internen Skript-Server ausgeführt werden und Aktionen gegen Exchange Online ausführen. Für die direkte Anmeldung an die Exchange Online PowerShell mit Modern Auth können Sie bereits heute das Exchange Online PowerShell Modul mit MFA oder die Azure Cloud Shell verwenden.

Was muss ich tun?

Die Deaktivierung der Basic Authentication für Exchange Online hat direkte Auswirkungen auf die von Ihnen betreute IT-Infrastruktur. Um eine Unterbrechung im Zugriff auf Exchange Online-Ressourcen zu vermeiden, müssen Sie wissen, mit welchen Protokollen Anwender und Applikationen auf Exchange Online-Endpunkte zugreifen. Die Exchange Produktgruppe plant ein Software-Tool zur Auswertung bereitzustellen, dass Sie bei der Analyse der Zugriffsarten unterstützt.

Für den Zugriff auf Exchange Postfächer von Windows Desktops ist die Maßnahme einfach. Wenn Sie noch ältere Windows Desktop Betriebssystem im Unternehmen einsetzen, wechseln Sie auf Windows 10 als Standard-Betriebssystem und migrieren Sie die Office-Installation zu Office 2019 bzw. Office 365 ProPlus.

Nutzen Sie Outlook Mobile für den Zugriff auf Exchange Online Postfächer. Outlook Mobile lässt sich über die gängigen Mobile Device Management (MDM) Lösungen zentral auf mobile Endgeräte verteilen und konfigurieren. Mit Hilfe von Mobile Application Management (MAM) und Conditional Access können Sie die Sicherheit beim mobilen Zugriff auf Exchange Online Postfächer noch weiter erhöhen.

Für automatisierte PowerShell-Skripte wird die Anpassung auf Modern Auth schwieriger. Sie können für die Ausführung der Skripte in der lokalen IT-Infrastruktur das Exchange Online PowerShell Modul mit MFA implementieren. Hierbei müssen Sie allerdings bedenken, dass Skripte mit einer längeren Ausführungszeit in technische Probleme laufen werden. Wenn Ihre Skripte von Timeouts und Skriptverzögerungen, sog. Micro Delays, betroffen sind, müssen Sie die Strategie zur Skriptausführung überdenken und den Skript-Code anpassen. Eventuell ist es vorteilhafter, eine professionelle Softwarelösung zur Ausführung von Skripten einzusetzen, die Modern Auth nativ unterstützt. PowerShell-Skripte, die nur Aktionen gegen Exchange Online oder anderen Office 365 Endpunkten ausführen, können auch in Azure Automation betrieben werden.

Wichtig ist auch noch einmal der Hinweis, dass sich die Deaktivierung der Basic Authentifizierung auf Exchange Online bezieht. Die On-Premises Variante von Exchange Server 2019 ist davon nicht betroffen.

Fazit

Die Exchange Produktgruppe ist sich der Herausforderungen für die Kunden bewusst. Der Titel des Original-Artikels Improving Security - Together ist mit Bedacht gewählt. Ein besserer Schutz von Exchange Online Postfächern und Ressourcen ist nur möglich, wenn die Erhöhung der Sicherheit gemeinsam, also von Ihnen als Office 365 Kunde und der Exchange Produktgruppe, umgesetzt wird.

Bereiten Sie sich und Ihre IT-Infrastruktur rechtzeitig auf die Abschaltung der Basic Authentication vor. Erstellen Sie einen realistischen Zeitplan für die notwendigen Konfigurationen und Anpassungen, um spätestens im Juli 2020 die Umstellung abgeschlossen zu haben. Es hat sich schon immer bewährt, einen zeitliche Puffer einzuplanen.

Die Erhöhung der Sicherheit geht immer mit Komfortverlust einher. Dieser Komfortverlust ist jedoch zu verschmerzen, wenn man den Sicherheitsgewinn gegenüberstellt.

Links

• Building Zero Trust networks with Microsoft 365 
• Enable modern authentication in Exchange Online 
• Upcoming changes to Exchange Web Services (EWS) API for Office 365
• Connect to Exchange Online PowerShell using multi-factor authentication
• Azure Cloud Shell Now Supports Exchange Online

Viel Spaß mit Exchange Online!

Exchange Server 2019 ist die aktuelle Version der E-Mail-Messaging Plattform für die Installation in der lokalten IT-Infrastruktur (aka On-Premises). Als lokale Infrastruktur gilt auch die Nutzung von Exchange Server 2019 auf virtualisiserten Serversystemen in Microsoft Azure. Bei Microsoft handelt sich, technisch gesehen, nur um ein ausgelagertes Rechenzentrum. Als wirkliche Alternative zu einem eigenen Betrieb von Exchange Server 2019 steht Ihnen Exchange Online, als Bestandteil des Software-as-a-Service Angebotes von Office 365, zur Verfügung.

Der Betrieb von Exchange Server 2019, die hybride Verbindung zwischen einer lokalen Exchange Organisation und Exchange Online oder die alleinige Nutzung von Exchange Online erfordern eine detaillierte Planung und Vorbereitung. 

Auf dieser Seite finden Sie die wichtigsten Referenz-Links zu Online Ressourcen von Microsoft und anderen Quellen, um das für Sie richtige Exchange Produkt zu installieren, einzurichten und zu betreiben.

Planung einer Exchange Organisation

Wie einleitend schon ausgeführt, kann Exchange grundsätzlich in vier unterschiedlichen Architekturmodellen betrieben werden, die ihre ganz individuellen Vor- und Nachteile bieten. Diese sind:

• Exchange Online (SaaS)
  Hierbei wird Exchange als integraler Bestandteile des SaaS-Angebotes von Office 365 verwendet. Sie nutzen  hierbei immer die aktuellste Version von Exchange Server.
   
• Exchange Hybrid
  Hierbei werden eine lokale Exchange Organisation und Exchange Online parallel betrieben und sind bidirektional miteinander verbunden. Beide Umgebungen können mit der jeweils anderen Umgebung kommunizieren und auf Inhalte.
   
• Exchange Server in Azure (IaaS)
  Hier agiert Azure als Erweiterung Ihrer internen IT-Infrastruktur. Sie betreiben in Azure virtuelle Serversysteme und betreiben dort Exchange Server Systeme. Diese Systeme können auch in einer Hybrid-Anbindung mit Exchange Online betrieben werden. 
   
• Exchange On-Premises
  Dies entspricht einer klassischen Exchange Organisation mit Exchange Server Systemen, die Sie auf Ihren eigenen Serversystemen, virtualisiert oder physikalisch, betreiben.

IT-Responsibility	Exchange Online	Exchange Hybrid	Azure IaaS	On-Premises
Data Governance und Rechtemanagement
Client Endpunkte
Benutzerkonten- und Zugriffsverwaltung
Identitäten und Active Directory Infrastruktur
Netzwerk
Applikationen
Betriebssystem
Physikalische Host-Systeme
Physikalisches Netzwerk
Physikalische Rechenzentren

 = kontrolliert durch Microsoft
 = kontrolliert durch Kunden

• Exchange Server-Unterstützbarkeitsmatrix
• Exchange Server build numbers and release dates
• Exchange-Processor Query Tool: PowerShell Edition
• Exchange Server 2016 Role Requirements Calculator
• Processor Query Tool v1.1
• Outlook license requirements for Exchange features
• Modern public folder deployment best practices

Installation

• Exchange Server 2019 Installationsvoraussetzungen
  Unterstützt sind immer jeweils das aktuelle CU und die beiden vorherigen CUs)
  • Übersicht der Voraussetzungen
  • Visual C++ Redistributable Packages for Visual Studio 2013
  • Microsoft .NET Framework 4.7.2 (Offline-Installer) (RTM, CU1, CU2, CU3)
  • Microsoft .NET Framework 4.8 (Offline-Installer) (CU2 +)
  • Microsoft Unified Communications Managed API 
    • Bestandteil des Exchange Server 2019 Installationsmediums

• Exchange Server 2016 Installationsvoraussetzungen
  Unterstützt sind immer jeweils das aktuelle CU und die beiden vorherigen CUs)
   
  • Übersicht der Voraussetzungen
  • Visual C++ Redistributable for Visual Studio 2012
  • Visual C++ Redistributable Packages for Visual Studio 2013
  • Microsoft .NET Framework 4.5.2 (Offline-Installer)
  • Microsoft .NET Framework 4.6.1 (Offline Installer) (CU2 - CU7)
    • Hotfix-Rollup 3146715 für.NET Framework 4.6 und 4.6.1 in Windows (Windows Server 2012R2)
  • How to temporarily block installation of the .NET Framework 4.7 
  • Microsoft .NET Framework 4.7.1 (Offline Installer) (CU8, CU9, CI10, CU11, CU12)
  • Microsoft .NET Framework 4.7.2 (Offline-Installer) (CU11, CU12, CU13, CU14)
  • Microsoft .NET Framework 4.8 (Offline-Installer) (CU13 +)
  • Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit
    • Exchange Server 2019 ISO beinhaltet einen angepassten UCMA-Installer
       

Betrieb

Der Betrieb und die vollständige Verwaltung von Exchange Server erfordern die Verwendung der Exchange Management Shell (EMS). Mit Hilfe des browserbasierten Exchange Admin Center (EAC) können Sie Gelegenheitsaufgaben durchführen. Dies gilt für Exchange Server 2019 ebenso wie für Exchange Online.

• Exchange PowerShell auf Microsoft Docs
• Exchange Online PowerShell Modul mit MFA (Click-to-Run Installation, erfordert für den ausführenden Rechner eine direkte Verbindung ins Internet)
• Sammlung an PowerShell-Skripten für Exchange Server und Exchange Online
• Exchange Server 2019 - Das Handbuch für Administratoren
   
• Exchange Berechtigungen
• Exchange Empfängerobjekte
• Clients und mobile Geräte
• Nachrichtenfluss und Transport-Pipeline
• E-Mail-Adressen und Adressbücher
• Hohe Verfügbarkeit und Ausfallsicherheit

Exchange Online

• Exchange Online Protection IP Addresses

Hybrid Betrieb

• Exchange Hybrid Deployments
• Hybrid Deployment Procedures

Administration

• Add-Ins
  • Specify the administrators and users who can install and manage add-ins for Outlook
  • Add-ins for Outlook in Exchange Online
  • Manage deployment of Office 365 add-ins in the Microsoft 365 admin center

Präsentationen

Migrationswege zu Exchange Server 2019

Exchange Server 2019 MetaCache Datenbank und BIgFunnel

Viel Spaß mit Exchange Server 2019 und Exchange Online.

Sie benötigen Hilfe bei der Planung und Installation Ihrer Exchange Server Installation? Sie haben Fragen über Ihre bestehende Exchange Server Infrastruktur und möchten Exchange Online implementieren? Kontaktieren Sie uns per E-Mail info@granikos.eu oder besuchen Sie unsere Webseite http://www.granikos.eu

Die Auswirkung der COVID-19 Krise treffen auch die IT-Abteilungen der Unternehmen. Die Prioritäten von Aufgaben und Projekten haben sich in den letzten Wochen "spontan" geändert. Ehemals wichtige Projekte wurden auf "unbestimmte Zeit" verschoben.

Diese Situation ist der Exchange Produktgruppe bei Microsoft ebenfalls bewusst. Als Reaktion auf die aktuellen Herausforderungen für IT-Abteilungen ändert die Produktgruppe den Fahrplan für die geplante Deaktivierung der Basic Authentifizierung in Exchange Online.

Änderungen

• Microsoft 365 Kunden, die weiterhin Basic Authentication für den Zugriff auf Exchange Online Ressourcen verwenden, haben Zeit bis zum zweiten Halbjahr 2021, um die Authentifizierungsmethode umzustellen. 
   
• Für Microsoft 365 Kunden, die Basic Authentication nicht verwenden, wird diese Authentifizierungsvariante ab Oktober 2020 deaktiviert.
   
• Der Rollout der Protokollerweiterungen für die Modern Authentication-Unterstützung der Protokolle POP, IMAP, SMTP AUTH und Remote PowerShell bleibt weiterhin bestehen.
   
• Für neue Microsoft 365 Mandanten wird die Basic Authentication standardmäßig deaktiviert.

Sicherheit

Basic Authentication ist eine unsichere Authentifizierungsmethode und stellt grundsätzlich ein Risiko für die gesamte Exchange Online Plattform dar. Diese Authentifizierung stellt einen der größten Angriffsvektoren für Exchange Online dar. 

Im Rahmen seiner Präsentation Securing Exchange Online from Modern Threats stellte Brandon Koeller (BRK3248) auf der Ignite 2019 vor, welche Angriffsszenarien Microsoft in Exchange Online beobachtet, wie darauf in der Plattform reagiert. 

Die Deaktivierung von Basic Authentication für Exchange Online ist in diesem Zusammenhang ein große Aufgabe, die keinerlei Aufschub erlaubt. 

Folgende Zeilen aus meinen Blogartikel von Oktober 2019:

Die Exchange Produktgruppe ist sich der Herausforderungen für die Kunden bewusst. Der Titel des Original-Artikels Improving Security - Together ist mit Bedacht gewählt. Ein besserer Schutz von Exchange Online Postfächern und Ressourcen ist nur möglich, wenn die Erhöhung der Sicherheit gemeinsam, also von Ihnen als Office 365 Kunde und der Exchange Produktgruppe, umgesetzt wird.

Bereiten Sie sich und Ihre IT-Infrastruktur rechtzeitig auf die Abschaltung der Basic Authentication vor. Erstellen Sie einen realistischen Zeitplan für die notwendigen Konfigurationen und Anpassungen, um spätestens im Juli 2020 die Umstellung abgeschlossen zu haben. Es hat sich schon immer bewährt, einen zeitliche Puffer einzuplanen.

Die Erhöhung der Sicherheit geht immer mit Komfortverlust einher. Dieser Komfortverlust ist jedoch zu verschmerzen, wenn man den Sicherheitsgewinn gegenüberstellt.

Planung

Die aktuellen Herausforderungen der COVID-19 Krise haben uns in der IT zum großen Teil kalt erwischt. In kürzester Zeit mussten Möglichkeiten zur Remote-Arbeit für MItarbeiter eingerichtet und technische Implementierungen skaliert werden. Diese Arbeiten bestimmen zum großen Teil auch aktuell noch das tägliche Arbeitsleben in den IT-Abteilungen weltweit.

Nichtsdestotrotz sollten Sie dem Thema Deaktivierung von Basic Authentication für meinen Microsoft 365-Mandaten keinen Aufschub gönnen. Bewerten Sie die Wichtigkeit der aktuell pausierten IT-Projekte auch vorausschauend hinsichtlich der Sicherheitsrisiken für Ihre Exchange Online Ressourcen. Bewerten Sie in diesem Zusammenhang insbesondere das Verhalten der Anwender in Ihrem Unternehmen. 

Je nach Größe des Unternehmens ist das Thema komplex. Sie müssen sich einen Überblick über die Clients und die Applikationen verschaffen, die auf Exchange Online Ressourcen zugreifen und welche Authentifizierungsverfahren im Einzelnen verwendet werden. Hierzu finden Sie in meinem Blogartikel von Oktober 2019 weitere Informationen im Abschnitt Was muss ich tun?.

Sie werden sicher denken, dass bis zur zweiten Jahreshälfte 2021 noch ausreichend Zeit zur Umsetzung dieses Thema ist. Dieses Gefühl teile ich nicht. Wir können aktuell nicht absehen, wie lange die COVID-19 Krise vorhalten wird und wie sie sich in den nächsten Monaten auf unsere Arbeit in der IT auswirken wird. Daher ist eine rechtzeitige Planung und Durchführung des Projektes zur Abschaltung der Basic Authentication dringend geboten.

Denken Sie auch daran, dass Sie auch vor der zweiten Jahreshälfte 2021 eigenständig die Auithentifizierung per Basic Auth für Ihren Microsoft 365 Mandaten blockieren können.

Links

• Moderne Authentifizierung für Exchange Online
• Basic Authentication and Exchange Online – April 2020 Update
• Improving Security - Together
• Block Legacy Authentication
• BRK3240 - Securing Exchange Online from Modern Threats

Viel Spaß mit Exchange Online. Stay safe.

Sie benötigen Hilfe bei der Entscheidung für oder gegen einen Wechel zu Microsoft 365? Unser Microsoft 365 Workshop hilft Ihnen, die für Ihr Unternehmen passenden Entscheidungen zu treffen.

Melden Sie sich bei uns: info@granikos.eu

Das Exchange Blog Cumulative Update für Oktober 2015 (CU1015) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats Oktober 2015 zusammen.

Exchange Server

• Exchange Server 2016: Forged in the cloud. Now available on-premises
  http://blogs.technet.com/b/exchange/archive/2015/10/01/exchange-server-2016-forged-in-the-cloud-now-available-on-premises.aspx
• The Exchange 2016 Preferred Architecture
  http://blogs.technet.com/b/exchange/archive/2015/10/12/the-exchange-2016-preferred-architecture.aspx
• Exchange Server Role Requirements Calculator Update
  http://blogs.technet.com/b/exchange/archive/2015/10/15/exchange-server-role-requirements-calculator-update.aspx
• Exchange v15 Unattended Installation Script (Updated)
  http://eightwone.com/2013/02/18/exchange-2013-unattended-installation-script/
• Automate Exchange installation and configuration with DSC Part 3:Automate creation and publishing to pull server
  https://ingogegenwarth.wordpress.com/2015/10/05/automate-exchange-installation-and-configuration-with-dsc-part-3automate-creation-and-publishing-to-pull-server/
• Set-AutodiscoverSCP.ps1 script is now on the TechNet Gallery
  http://www.expta.com/2015/10/set-autodiscoverscpps1-script-is-now-on.html
• Namespace Planning in Exchange 2016
  http://blogs.technet.com/b/exchange/archive/2015/10/06/namespace-planning-in-exchange-2016.aspx
• Load Balancing in Exchange 2016
  http://blogs.technet.com/b/exchange/archive/2015/10/08/load-balancing-in-exchange-2016.aspx
• Exchange 2010-2013 Migration and OAB
  http://eightwone.com/2015/10/12/exchange-2010-2013-migration-and-oab/
• Ask the Perf Guy: Sizing Exchange 2016 Deployments
  http://blogs.technet.com/b/exchange/archive/2015/10/15/ask-the-perf-guy-sizing-exchange-2016-deployments.aspx
• Enabling BitLocker on Exchange Servers
  http://blogs.technet.com/b/exchange/archive/2015/10/20/enabling-bitlocker-on-exchange-servers.aspx
• Exchange 2016 Coexistence with Kerberos Authentication
  http://blogs.technet.com/b/exchange/archive/2015/10/22/exchange-2016-coexistence-with-kerberos-authentication.aspx
• Enabling Kerberos Authentication in a Mixed Exchange 2013 / 2016 Environment
  http://www.expta.com/2015/10/enabling-kerberos-authentication-in.html
• Don't Delete the Default MRM Policy
  http://www.expta.com/2015/10/dont-delete-default-mrm-policy.html

Office 365 & Exchange Online

• [STICKY] Office 365-Trust Center
  http://bit.ly/Office365TrustCenter
• [STICKY] Office 365 URLs and IP address ranges
  http://bit.ly/Office365URLsIPaddresses (RSS Subscription, http://bit.ly/O365URLsIPsRSS)
• The new service model and update branches for Office 365 ProPlus
  http://blogs.technet.com/b/solutions_advisory_board/archive/2015/10/05/the-new-service-model-and-update-branches-for-office-365-proplus.aspx
• What Exchange admins need to know about SharePoint Online backup and restore
  http://windowsitpro.com/blog/what-exchange-admins-need-know-about-sharepoint-online-backup-and-restore
• Office 365 Tips: Addressing Data Retention Via the RetainDeletedItemsFor Mailbox Value
  http://blogs.technet.com/b/canitpro/archive/2015/10/22/office-365-tips-addressing-data-retention-by-setting-the-retaindeleteditemsfor-mailbox-value.aspx

Skype for Business, Lync Server & Communication

• Step-By-Step: Installation of Skype for Business Server 2015 Enterprise Persistent Chat
  http://blogs.technet.com/b/canitpro/archive/2015/10/01/step-by-step-installation-of-skype-for-business-server-2015-enterprise-persistent-chat.aspx
• Configuring Exchange 2016 and Skype for Business Server 2015 Outlook Web Access Integration
  https://johnacook.wordpress.com/2015/10/05/configuring-exchange-2016-and-skype-for-business-server-2015-outlook-web-access-integration/
• Unified Contact Store requires Lync user to be migrated to Office 365 before Exchange mailbox
  http://www.markwilson.co.uk/blog/2015/10/unified-contact-store-requires-lync-user-to-be-migrated-to-office-365-before-exchange-mailbox.htm
• Skype for Business and Exchange UM Integration
  http://blog.schertz.name/2015/10/skype-for-business-and-exchange-um-integration/

Windows Azure

• [STICKY] Microsoft Azure Trust Center
  http://azure.microsoft.com/en-us/support/trust-center
• Azure Authenticator now supports iOS Touch ID
  http://blogs.technet.com/b/ad/archive/2015/10/07/azure-authenticator-now-supports-ios-touch-id.aspx
• Microsoft Applications on Azure
  https://azure.microsoft.com/de-de/blog/microsoft-applications-on-azure/ Azure RBAC is GA! , http://blogs.technet.com/b/ad/archive/2015/10/12/azure-rbac-is-ga.aspx
• The Azure AD App Proxy just keeps getting better and better
  http://blogs.technet.com/b/ad/archive/2015/10/14/the-azure-ad-app-proxy-just-keeps-getting-better-and-better.aspx
• Azure AD Domain Services is now in Public Preview – Use Azure AD as a cloud domain controller
  http://blogs.technet.com/b/ad/archive/2015/10/14/azure-ad-domain-services-is-now-in-public-preview-use-azure-ad-as-a-cloud-based-domain-controller.aspx
• Azure AD PowerShell: Public Preview of support for Azure MFA + new Device Management Commands
  http://blogs.technet.com/b/ad/archive/2015/10/20/azure-ad-powershell-public-preview-of-support-for-azure-mfa-new-device-management-commands.aspx
• Step-By-Step: Deploying Multiple Services via Azure Resource Manager
  http://blogs.technet.com/b/canitpro/archive/2015/10/27/step-by-step-deploying-multiple-services-in-arm.aspx
• Azure AD Domain Services preview is now available in Europe
  http://blogs.technet.com/b/ad/archive/2015/10/28/azure-ad-domain-services-preview-is-not-available-in-europe.aspx
• Understanding Microsoft Azure Marketplace
  http://blogs.technet.com/b/canitpro/archive/2015/10/29/understanding-microsoft-azure-marketplace.aspx

Allgemeine Themen & Sicherheit

• [STICKY] Microsoft Security TechCenter
  http://technet.microsoft.com/de-DE/security/dd252948
• New Transparency Hub debuts with latest reports
  http://blogs.microsoft.com/on-the-issues/2015/10/14/new-transparency-hub-debuts-with-latest-reports/
• A message to our customers about EU – US Safe Harbor
  http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/
• Load balancing DNS servers using DHCP Server Policies
  http://blogs.technet.com/b/teamdhcp/archive/2015/10/01/load-balancing-dns-servers-using-dhcp-server-policies.aspx
• Active Directory Federation Services gains OpenID Certifications!
  http://blogs.technet.com/b/ad/archive/2015/10/08/active-directory-federation-server-gains-openid-certifications.aspx
• Extending our IT control and developer options with OneDrive for Business
  https://blog.onedrive.com/extending-it-and-developer-options-for-odb/
• Step-By-Step: Seizing the Operation Master Roles in Windows Server 2012 R2
  http://blogs.technet.com/b/canitpro/archive/2015/10/15/step-by-step-seizing-the-operation-master-role-in-windows-server-2012-r2.aspx
• Processing Fluency: The Missing Link in UX
  http://www.webperformancetoday.com/2015/10/14/processing-fluency/

Replay

• Januar 2014:Active Directory: Ambiguous Name Resolution
  http://social.technet.microsoft.com/wiki/contents/articles/22653.active-directory-ambiguous-name-resolution.aspx
• Oktober 2013: Analyzing Exchange Transaction Log Generation Statistics
  http://blogs.technet.com/b/exchange/archive/2013/10/07/analyzing-exchange-transaction-log-generation-statistics.aspx
• Mai 2013: Public Folders and Exchange Online
  http://blogs.technet.com/b/exchange/archive/2013/05/02/public-folders-and-exchange-online.aspx
• Januar 2011: Obviating Outlook Client Restarts after Mailbox Moves
  http://blogs.technet.com/b/exchange/archive/2011/01/24/obviating-outlook-client-restarts-after-mailbox-moves.aspx

Podcast Empfehlungen

• Exchange Exposed - http://bit.ly/ExchangeExposedPodcast
• The UC Architects - http://bit.ly/UCArchitectsPodcast
• RunAs Radio - http://bit.ly/RunAsRadioPodcast 
• Office 365 Developer Podcast (Direct RSS) - http://bit.ly/DeveloperPodcast

Tools / Software

• Cloud Security Audit, http://www.granikos.eu/de/Produkte/CloudSOC
• Mailscape 365 - Exchange Online Monitoring und Reporting, http://www.granikos.eu/de/mailscape365
• Mailscape - Exchange Monitoring und Reporting, http://www.granikos.eu/de/mailscape
• Uniscope - Lync Monitoring und Reporting, http://www.granikos.eu/de/uniscope
• Compass - Active Directory Monitoring und Reporting, http://www.granikos.eu/de/compass
• ForeSite - SharePoint Monitoring und Reporting, http://www.granikos.eu/de/foresite

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.

Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Möglichkeiten für Ihr Unternehmen in einem persönlichen Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder nehmen Sie direkt mit uns Kontakt auf: info@granikos.eu

Was bedeutet Exchange Server Hybrid?

Eine lokale Exchange Organisation eines Unternehmens kann mit Exchange Online, einer der Kernbestandteile von Microsoft 365, verbunden werden. Diese Verbindung erfolgt durch die sog. Hybrid-Konfiguration und ist eine besondere Vertrauensstellung zwischen zwei technisch getrennten Exchange Umgebungen.

Diese besondere Vertrauensstellung zwischen der lokalen Exchange Organisation und Exchange Online ist notwendig, damit E-Mail- und System-Nachrichten, die zwischen beiden Umgebungen unsgetauscht werden, als interne E-Mail-Nachrichten erkannt und verarbeitet werden. Nur so ist es möglich, die korrekte Funktion aller Exchange Komponenten, unabhängig vom Bereitstellungsort der Benutzerpostfächer, zu gewährleisten.

Welche Vorteile ein Exchange Hybrid-Betrieb für die Exchange Umgebung in Ihrem Unternehmen hat, erfahren Sie in diesem Microsoft Docs Artikel.

Das folgende Schaubild verdeutlicht die Hybrid-Konfiguration und die besondere Vertrauensstellung (gepunktete grüne Linie).

Eine Exchange Hybrid-Konfiguration richten Sie mit Hilfe des Hybrid Confguration Wizard (HCW) ein. Während der HCW-Einrichtung müssen Sie sich für eine der zur Verfügung stehenden Möglichkeiten für den Hybrid-Betrieb entscheiden.

Welche Optionen für den Hybrid-Betrieb gibt es?

Für den Hybrid-Betrieb einer lokalen Exchange Organisation mit Exchange Online gibt es mehrere Möglichkeiten. Wir unterscheiden zwei grundlegende Betriebsvarianten, den klassischen und den modernen Hybrid-Betrieb. Für diese beiden Varianten stehen je bis zu drei Betriebsmodi zur Verfügung.

Das folgende Schaubild verdeutlich die unterschiedlichen Betriebsmodi für die beiden Betriebsvarianten einer Hybrid-Konfiguration.

Nun stellt sich automatisch die Frage, welchen Betriebsmodus soll ich für Hybrid-Konfiguration meiner Exchange Organisation verwenden?

Schauen wir uns zuerst an, welche technischen Voraussetzungen die beiden Betriebsvarianten haben.

Klassischer Hybrid-Betrieb

Der klassische Hybrid-Betrieb erfordert, dass interne Exchange Server aus dem Internet über das Protokoll HTTPS erreichbar sind. Über diese Verbindung erfolgt die Kommunikation von Exchange Online zur internen Exchange Organisation für Hybrid-Funktionen. Damit einher geht die Anforderung für eine aus dem Internet erreichbare IP-Adresse und die Verwendung eines offiziellen TLS-Zertifkates.

Moderner Hybrid-Betrieb

Der moderne Hybrid-Betrieb erfordert keinerlei eingehende HTTPS-Verbindung von Exchange Online zur internen Exchange Organisation. 

Die Verbindung zwischen der lokalen Exchange Organisation und Exchange Online erfolgt über den Exchange Hybrid Agent. Die Software für den Exchange Hybrid Agent ist als Dienst auf einem Server installiert und verbindet sich über eine ausgehende HTTPS-Verbindung mit Exchange Online. Die Konfiguration durch den HCW steuert hierbei das Verhalten von Exchange Online. Mit Blick auf den Hybrid-Betrieb von Exchange ist dies die bevorzugte und schnellste Betriebsvariante, da keinerlei zusätzliche Komponenten für eingehende HTTPS-Verbindungen benötigt werden. Wenn Ihr Unternehmen jedoch Microsoft Teams verwenden möchte und weiterhin Postfächer von Teams-Anwendern auf lokalen Exchange Servern betrieben werden sollen, können Sie diese Betriebsvariante nicht nutzen. Microsoft Teams unterstützt für dieses Betriebsszenario nur den klassischen Hybrid-Betrieb.

Klassicher und Moderner Hybrid-Betrieb

• Beide Betriebsvarianten benötigen für den hybriden Nachrichtenfluss ein- und ausgehende SMTP-Verbindungen zwischen der lokalen Exchange Organisation und Exchange Online.
   
• Beide Betriebsvarianten erfordern ausgehende HTTPS-Verbindungen zu Exchange Online von den internen Exchange Server Systemen.

Für welches Betriebs- und Migrationsszenario passen die fünf Betriebsmodi?

		Vollwertige, klassische Hybrid-Konfiguration mit direkter Veröffentlichung der Exchange Organisation ins Internet (SMTP/HTTPS) Dauerhafter Hybrid-Betrieb Postfächer On-Premises und in Exchange Online
		Hybrid-Konfiguration, inkl. Azure AD Connect, zum einmaligen Verschieben aller Postfächer zu Exchange Online Temporärer Hybrid-Betrieb über wenige Monate Ziel: Migration aller Postfächer zu Exchange Online
		Hybrid-Konfiguration, inkl. Azure AD Connect Express Setup, zum einmaligen Verschieben aller Postfächer zu Exchange Online Temporärer Hybrid-Betrieb über wenige Tage oder Wochen Ziel: Migration aller Postfächer zu Exchange Online
		Vollwertige, klassische Hybrid-Konfiguration für neue Konfigurationen mit Hilfe des Exchange Hybrid-Agenten, jedoch mit Funktionseinschränken Dauerhafter Hybrid-Betrieb Postfächer On-Premises und in Exchange Online
		Hybrid-Konfiguration, inkl. Azure AD Connect, zum einmaligen Verschieben aller Postfächer zu Exchange Online mit Hilfe des Exchange Hybrid-Agenten Temporärer Hybrid-Betrieb über wenige Monate MIgration aller Postfächer zu Exchange Online

Herausforderungen

Die Implementierung eines Hybrid-Betriebes stellt Ihr Unternehmen vor technische Herausforderungen. Daher muss die Einrichtung des hybriden Exchange Betriebes gut geplant werden.

Für den klassischen Hybrid-Betrieb benötigen Sie externe IP-Adressen für die beiden Protokolle HTTPS und SMTP, während für den modernen Hybrid-Betrieb nur eine IP-Adresse für das Protokoll SMTP benötigt wird. Ebenso benötigen Sie TLS-Zertifikate. Für den Nachrichtenfluss zwischen der lokalen Exchange Organisation und Exchange Online empfehle ich, ein separates TLS-Zertifikat zu verwenden, das nicht für das E-Mail-Internet-Gateway verwendet wird. 

Die Absicherung der internen Exchange Server vor direkten Zugriffen aus dem Internet hat höchste Priorität. Sichern Sie den E-Mail-Nachrichtenfluss der hybriden Verbindung zwischen der lokalen Exchange Organisation und Exchange Online mit Exchange Edge-Servern ab. Der HTTPS-Zugriff zu den internen Exchange Server von Exchange Online wird über Reverse-Proxies abgesichert.

Bei einem dauerhaften Hybrid-Betrieb ist die lokale Exchange Organisation für die Verwaltung der zu Exchange Online verschobenen Exchange-Objekte zuständig. Im Zusammenspiel mit dem lokalen Active Directory bleibt sie die Source of Authority (SOA). Aus diesem Grund benötigen Sie mindestens einen verbleibenden lokalen Exchange Server, der als sog. Koexistenz-Server betrieben wird. Hierzu sollten Sie einen System mit Exchange Server 2016 oder Exchange Server 2019 verwenden.

Fazit

Mit einer Auswahl von zwei Betriebsvarianten und insgesamt fünf Betriebsmodi fällt es nicht leicht, die passende Wahl zu treffen. Die wichtigste Frage, die Sie sich zuerst stellen müssen ist, wie soll die Bereitstellung von Exchange Funktionen in Zukunft für das Unternehmen aussehen und welche Anforderungen hat das Unternehmen im Hinblick auf die Absicherung von E-Mail-Nachrichten? Sind Anwender-Postfächer in der lokalen Exchange Organisation bereitgestellt und in Ihrem Unternehmen soll Microsoft Teams genutzt werden, so ist die klassische Voll-Hybrid-Variante die einzige Option.

Die größte Flexibilität erreichen Sie mit dem klassischen Hybrid-Betrieb, jedoch ist dies auch die Variante mit den meisten Anforderungen zur Einrichtung und den dauerhaften Betrieb.

Mit dem modernen Hybrid-Betrieb erreichen Sie schnell eine Hybrid-Konfiguration und können zügig Postfächer zu Exchange Online migrieren. Bei Nutzung von Microsoft Teams und Anwender-Postfächern in der lokalen Exchange Organisation ist dies jedoch keine Option. 

Links

• Exchange Server Hybridbereitstellungen
• Voraussetzungen für die Hybridbereitstellung
• Einschränkungen für den Exchange Hybrid Agent
• Tech Talk 3: Exchange Hybrid (Video)

Viel Spaß mit einem sicheren Exchange Online.