Voraussetzungen für die Hybridbereitstellung

Zusammenfassung: Anforderungen an Ihre Exchange-Umgebung vor dem Einrichten einer Hybridbereitstellung.

Vor dem Erstellen und Konfigurieren einer Hybridbereitstellung mithilfe des Assistenten für die Hybridkonfiguration muss die vorhandene lokale Exchange-Organisation bestimmte Anforderungen erfüllen. Wenn diese Anforderungen nicht erfüllt sind, können Sie die Schritte des Assistenten für die Hybridkonfiguration nicht abschließen, und Sie können keine Hybridbereitstellung zwischen Ihrer lokalen Exchange-Organisation und Exchange Online konfigurieren.

Voraussetzungen für die Hybridbereitstellung

Für die Konfiguration einer Hybridbereitstellung müssen die folgenden Voraussetzungen erfüllt sein:

  • Lokale Exchange-Organisation: Die Version von Exchange, die Sie in Ihrer lokalen Organisation installiert haben, bestimmt die Hybridbereitstellungsversion, die Sie installieren können. Sie sollten in der Regel die neueste Hybridbereitstellungsversion konfigurieren, die in Ihrer Organisation unterstützt wird, wie in der folgenden Tabelle beschrieben:
Lokale Umgebung Exchange 2019-basierte Hybridbereitstellung Exchange 2016-basierte Hybridbereitstellung Exchange 2013-basierte Hybridbereitstellung Exchange 2010-basierte Hybridbereitstellung
Exchange 2019 Unterstützt Nicht unterstützt Nicht unterstützt Nicht unterstützt
Exchange 2016 Unterstützt Unterstützt Nicht unterstützt Nicht unterstützt
Exchange 2013 Unterstützt Unterstützt Unterstützt Nicht unterstützt
Exchange 2010 Nicht unterstützt Unterstützt Unterstützt Unterstützt
  • Exchange-Serverreleases: Hybridbereitstellungen erfordern das neueste kumulative Update (CU) oder Updaterollup (RU), das für Ihre Version von Exchange verfügbar ist. Wenn Sie nicht das neueste Update installieren können, wird die unmittelbar vorherige Version ebenfalls auch unterstützt.

    Exchange-CUs werden vierteljährlich veröffentlicht. Wenn Sie Ihre Exchange-Server auf dem neuesten Stand halten, erhalten Sie zusätzliche Flexibilität, wenn Sie in regelmäßigen Abständen zusätzliche Zeit zum Durchführen von Upgrades benötigen.

  • Exchange-Serverrollen: Die Serverrollen, die Sie in Ihrer lokalen Organisation installieren müssen, hängen von der Version von Exchange ab, die Sie installiert haben.

    • Exchange 2016 und höher: Mindestens ein Postfachserver.

    • Exchange 2013: Mindestens eine Instanz von Postfach- und Clientzugriffsserverrollen installiert (separat oder auf einem Server; wir empfehlen dringend auf einem Server).

    • Exchange 2010: Mindestens eine Instanz der Serverrollen "Postfach", "Hub-Transport" und "Clientzugriff" installiert (separat oder auf einem Server; wir empfehlen dringend auf einem Server).

      Hybridbereitstellungen unterstützen auch die Exchange-Server, auf denen die Edge-Transport-Serverrolle ausgeführt wird. Edge-Transport-Server müssen auch auf das neueste CU oder RU aktualisiert werden. Es wird dringend empfohlen, Edge-Transport-Server in einem Umkreisnetzwerk bereitzustellen. Sie können keine Postfach- oder Clientzugriffsserver in einem Umkreisnetzwerk bereitstellen.

    Hinweis

    Wenn Sie bereits einen Migrationsprozess mit Exchange 2010-Hybridendpunkten gestartet haben und nicht planen, lokale Postfächer zu behalten, setzen Sie die Migration unverändert fort. Wenn Sie planen, einige Postfächer lokal zu halten, empfehlen wir dringend, Exchange 2016-Hybridendpunkte einzuführen (da Exchange 2010 das Ende des Supportlebenszyklus erreicht hat). Setzen Sie die Migration von Exchange 2010-Postfächern zu Office 365 fort, und verschieben Sie dann die Postfächer, die lokal bleiben, auf Exchange 2016-Server. Nachdem Sie alle Exchange 2010-Server entfernt haben, können Sie Exchange 2019-Server als Ihre neuen Hybridendpunkte einführen und auch Ihre verbleibenden lokalen Postfächer auf Exchange 2019-Server verschieben.

  • Microsoft 365 oder Office 365: Hybridbereitstellungen werden in allen Microsoft 365- und Office 365-Plänen unterstützt, die die Microsoft Entra-Synchronisierung unterstützen. Alle Pläne für Microsoft 365 Business Standard, Business Basic, Enterprise, Government, Academic und Midsize unterstützen Hybridbereitstellungen. Microsoft 365 Apps for Business- und Home-Pläne unterstützen keine Hybridbereitstellungen.

    Weitere Informationen finden Sie unter Microsoft 365.

  • Benutzerdefinierte Domänen: Registrieren Sie alle benutzerdefinierten Domänen, die Sie in Ihrer Hybridbereitstellung mit Microsoft 365 oder Office 365 verwenden möchten. Dazu können Sie das Microsoft 365-Portal verwenden oder optional Active Directory-Verbunddienste (AD FS) in Ihrer lokalen Organisation konfigurieren.

    Weitere Informationen finden Sie unter Hinzufügen Ihrer Domäne zu Microsoft 365 oder Office 365.

  • Active Directory-Synchronisierung: Stellen Sie das Microsoft Entra Connect- oder Cloudsynchronisierungstool bereit, um die Active Directory-Synchronisierung mit Ihrer lokalen Organisation zu aktivieren.

    Weitere Informationen finden Sie unter Microsoft Entra Connect-Benutzeranmeldungsoptionen und Was ist Microsoft Entra Cloud Sync?.

  • AutoErmittlungs-DNS-Einträge: Konfigurieren Sie den AutoErmittlungseintrag für Ihre vorhandenen SMTP-Domänen in Ihrem öffentlichen DNS so, dass er auf Ihre lokalen Exchange-Server (exchange 2010/2013-Clientzugriffsserver oder Exchange 2016/2019-Postfachserver) verweist.

  • Zertifikate: Weisen Sie Exchange-Dienste einem gültigen digitalen Zertifikat zu, das Sie von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle erworben haben. Obwohl Sie selbstsignierte Zertifikate für die lokale Verbundvertrauensstellung mit dem Microsoft-Verbundgateway verwenden sollten, können Sie in einer Hybridbereitstellung keine selbstsignierten Zertifikate für Exchange-Dienste verwenden.

    Die IIS-Instanz (Internet Information Services) auf den Exchange-Servern, die in der Hybridbereitstellung konfiguriert sind, erfordern ein gültiges digitales Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle erworben wurde.

    Die externe EWS-URL und der AutoErmittlungsendpunkt, die Sie in Ihrem öffentlichen DNS angegeben haben, müssen im Feld Alternativer Antragstellername (Subject Alternative Name, SAN) des Zertifikats aufgeführt sein. Die Zertifikate, die Sie auf den Exchange-Servern für den Nachrichtenfluss in der Hybridbereitstellung installieren, müssen alle von derselben Zertifizierungsstelle ausgestellt werden und denselben Betreff aufweisen.

    Weitere Informationen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.

  • EdgeSync: Wenn Sie Edge-Transport-Server in Ihrer lokalen Organisation bereitgestellt haben und die Edge-Transport-Server für den hybriden sicheren E-Mail-Transport konfigurieren möchten, müssen Sie EdgeSync konfigurieren, bevor Sie den Hybridkonfigurations-Assistenten verwenden. Außerdem müssen Sie EdgeSync jedes Mal ausführen, wenn Sie ein neues CU auf einen Edge-Transport-Server anwenden.

    Wichtig

    Obwohl EdgeSync eine Anforderung in Bereitstellungen mit Edge-Transport-Servern ist, sind zusätzliche Konfigurationseinstellungen erforderlich, wenn Sie Edge-Transport-Server für den hybriden sicheren E-Mail-Transport konfigurieren.

    Weitere Informationen finden Sie unter Edge-Transport-Server in Hybridbereitstellungen.

  • Microsoft .NET Framework: Informationen zum Überprüfen der Versionen, die mit Ihrer spezifischen Version von Exchange verwendet werden können, finden Sie unter Exchange Server-Unterstützungsmatrix – Microsoft .NET Framework.

  • Unified Messaging-fähige (UM)-Postfächer: Wenn Sie über UM-fähige Postfächer verfügen und diese nach Microsoft 365 oder Office 365 verschieben möchten, müssen Sie die folgenden Anforderungen erfüllen, bevor Sie sie verschieben:

Protokolle, Ports und Endpunkte für Hybridbereitstellungen

Sie müssen die folgenden Protokolle, Ports und Verbindungsendpunkte in der Firewall konfigurieren, die Ihre lokale Organisation schützt, wie in der folgenden Tabelle beschrieben.

Wichtig

Die zugehörigen Microsoft 365- und Office 365-Endpunkte sind umfangreich, ändern sich ständig und werden hier nicht aufgeführt. Lesen Sie stattdessen die Abschnitte Exchange Online und Microsoft 365 Common und Office Online in Microsoft 365 und Office 365 URLs und IP-Adressbereiche , um die Endpunkte für jeden hier aufgeführten Port zu identifizieren.

Hinweis

Die Ports, die für den Nachrichtenfluss und die Clientkonnektivität in Ihrer lokalen Exchange-Organisation erforderlich sind, die nicht mit der Hybridkonfiguration verknüpft sind, werden unter Netzwerkports für Clients und Nachrichtenfluss in Exchange beschrieben.

Quelle Protokoll/Port Ziel Kommentare
Exchange Online-Endpunkte TCP/25 (SMTP/TLS) Exchange 2019/2016 Mailbox/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

Lokale Exchange-Server, die zum Hosten von Empfangsconnectors für den sicheren E-Mail-Transport mit Exchange Online im Hybridkonfigurations-Assistenten konfiguriert sind
Exchange 2019/2016 Mailbox/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

TCP/25 (SMTP/TLS) Exchange Online-Endpunkte Lokale Exchange-Server, die zum Hosten von Sendeconnectors für den sicheren E-Mail-Transport mit Exchange Online im Hybridkonfigurations-Assistenten konfiguriert sind
Exchange Online-Endpunkte TCP/443 (HTTPS) Exchange 2019/2016-Postfach

Exchange 2013/2010 CAS

Lokale Exchange-Server, die zum Veröffentlichen von Exchange-Webdiensten und AutoErmittlung im Internet verwendet werden
Exchange 2019/2016-Postfach

Exchange 2013/2010 CAS

TCP/443 (HTTPS) Exchange Online-Endpunkte Lokale Exchange-Server, die zum Veröffentlichen von Exchange-Webdiensten und AutoErmittlung im Internet verwendet werden
Exchange 2019/2016 Mailbox/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

80 ctldl.windowsupdate.com/* Für Hybridfunktionen benötigt Exchange Server ausgehende Verbindungen mit verschiedenen hier erwähnten Endpunkten der Zertifikatsperrliste (Certificate Revocation List, CRL). Es wird dringend empfohlen, windows die Zertifikatvertrauensliste (Certificate Trust List, CTL) auf Ihrem Computer verwalten zu lassen. Andernfalls muss dies in regelmäßigen Abständen manuell verwaltet werden. Damit Windows die CTL verwalten kann, muss die URL von dem Computer aus erreichbar sein, auf dem Exchange Server installiert ist.

Die folgende Tabelle enthält ausführlichere Informationen zu den beteiligten lokalen Endpunkten:

Beschreibung Port und Protokoll Lokaler Endpunkt Authentifizierungsanbieter Autorisierungsmethode Unterstützung für Pre-Auth?
SMTP-Nachrichtenfluss zwischen Microsoft 365 oder Office 365 und lokalem Exchange TCP-25 (SMTP/TLS) Exchange 2019/2016 Mailbox/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

Nicht zutreffend Zertifikatbasiert Nein
AutoErmittlung TCP 443 (HTTPS) Exchange 2019/2016-Postfachserver: /autodiscover/autodiscover.svc/wssecurity

Exchange 2013/2010 CAS: /autodiscover/autodiscover.svc

Microsoft Entra-Authentifizierungssystem WS-Security-Authentifizierung Nein
Frei/Gebucht, E-Mail-Infos und Nachrichtennachverfolgung (EWS) TCP 443 (HTTPS) Exchange 2019/2016-Postfach
oder
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

Microsoft Entra-Authentifizierungssystem WS-Security-Authentifizierung Nein
Suche mit mehreren Postfächern (EWS) TCP 443 (HTTPS) Exchange 2019/2016-Postfach
oder
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

Authentifizierungsserver WS-Security-Authentifizierung Nein
Postfachmigrationen (EWS) TCP 443 (HTTPS) Exchange 2019/2016-Postfach
oder
Exchange 2013/2010 CAS:

/ews/mrsproxy.svc

NTLM Standard Nein
OAuth (AutoErmittlung und EWS) TCP 443 (HTTPS) Exchange 2019/2016-Postfach
oder
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

Authentifizierungsserver WS-Security-Authentifizierung Nein
AD FS (Windows Server) TCP 443 (HTTPS) Windows 2012 R2/2016 Server: /adfs/* Microsoft Entra-Authentifizierungssystem Variiert je nach Konfiguration Zwei Faktoren
Microsoft Entra Connect TCP 443 (HTTPS) Windows 2012 R2/2016 Server (AD FS): /adfs/* Microsoft Entra-Authentifizierungssystem Variiert je nach Konfiguration Zwei Faktoren

Weitere Informationen zu diesen Informationen finden Sie unter Deep Dive: How Hybrid Authentication Really Works, Demystifying and troubleshooting hybrid mail flow: when is a message internal?, Transportrouting in Exchange hybrid deployments, Configure mail flow using connectors, and Manage mail flow with mailboxes in multiple locations (Exchange Online and on-premises).

Die folgenden Tools und Dienste sind nützlich, wenn Sie Hybridbereitstellungen mit dem Hybridkonfigurations-Assistenten konfigurieren:

  • E-Mail-Migrationsratgeber: Enthält eine schrittweise Anleitung zum Konfigurieren einer Hybridbereitstellung zwischen Ihrer lokalen Organisation und Microsoft 365 oder Office 365 oder einer vollständigen Migration zu Microsoft 365 oder Office 365.

    Weitere Informationen finden Sie unter Verwenden des E-Mail-Migrationsratgebers.

  • Remotekonnektivitätsanalysetool: Das Tool Microsoft Remote Connectivity Analyzer überprüft die externe Konnektivität Ihrer lokalen Exchange-Organisation und stellt sicher, dass Sie bereit sind, Ihre Hybridbereitstellung zu konfigurieren. Es wird dringend empfohlen, Ihre lokale Organisation mit der Remoteverbindungsuntersuchung zu überprüfen, bevor Sie Ihre Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration konfigurieren.

    Weitere Informationen finden Sie unter Microsoft-Remoteverbindungsuntersuchung

  • Einmaliges Anmelden: Mit einmaligem Anmelden können Benutzer mit einem einzigen Benutzernamen und Kennwort auf die lokalen und Exchange Online-Organisationen zugreifen. Sie bietet Benutzern ein vertrautes Anmeldeerlebnis und ermöglicht Administratoren das problemlose Steuern von Kontorichtlinien für Postfächer in der Exchange Online-Organisation über die lokalen Active Directory-Verwaltungstools.

    Beim Bereitstellen des einmaligen Anmeldens haben Sie zwei Optionen: Synchronisierung von Kennwörtern und Active Directory-Verbunddienste (AD FS). Beide Optionen werden von Microsoft Entra Connect bereitgestellt. Die Kennwortsynchronisierung ermöglicht nahezu jeder Organisation (unabhängig von der jeweiligen Größe), die einmalige Anmeldung einfach zu implementieren. Aus diesem Grund und da die Benutzererfahrung in einer Hybridbereitstellung bei aktiviertem einmaligem Anmelden deutlich besser ist, wird dringend empfohlen, es zu implementieren. Bei äußerst großen Organisationen (die beispielsweise mehrere Active Directory-Gesamtstrukturen aufweisen, die mit der Hybridbereitstellung verbunden werden müssen) sind die Active Directory-Verbunddienste (AD FS) erforderlich.

    Weitere Informationen finden Sie unter: Einmaliges Anmelden in Hybrid-Bereitstellungen