Hybridbereitstellungen mit mehreren Gesamtstrukturen

Exchange 2013 und höhere Hybridbereitstellungen werden für Organisationen mit mehreren lokalen Exchange-Gesamtstrukturen und einer einzelnen Microsoft 365- oder Office 365 organization unterstützt. Für Hybridbereitstellungsfeatures und -überlegungen werden Organisationen mit mehreren Gesamtstrukturen als Organisationen definiert, in denen Exchange-Server in mehreren Gesamtstrukturen bereitgestellt werden. Organisationen, die eine Ressourcengesamtstruktur für die Benutzerkonten verwenden, aber sämtliche Exchange-Server in einer einzelnen Gesamtstruktur verwalten, werden in Hybridbereitstellungsszenarien nicht als Organisationen mit mehreren Gesamtstrukturen klassifiziert. Diese Arten von Organisationen sollten sich selbst als Organisation mit Einzelgesamtstruktur betrachten, wenn sie eine Hybridbereitstellung planen und konfigurieren.

Die Migration öffentlicher Ordner aus einer lokalen Umgebung zu Microsoft 365 oder Office 365 wird nur aus einer einzelnen Active Directory-Gesamtstruktur unterstützt. Ebenso wird der Zugriff auf öffentliche Ordner in einem hybriden Zustand nur unterstützt, wenn sich die lokalen öffentlichen Ordner in einer einzelnen Active Directory-Gesamtstruktur befinden.

Weitere Informationen zu Hybridbereitstellungen finden Sie unter Exchange Server Hybridbereitstellungen.

Wichtig

Für Exchange 2013 und höher erfordern Hybridbereitstellungen das neueste kumulative Update (CU), das für die Version von Exchange verfügbar ist, die Sie in Ihrer lokalen organization installiert haben.

Wenn Sie nicht das neueste Update installieren können, wird die unmittelbar vorherige Version ebenfalls auch unterstützt. Frühere CUs und RUs werden nicht unterstützt. Weitere Informationen finden Sie unter Voraussetzungen für die Hybridbereitstellung.

Voraussetzungen für die Hybridbereitstellung mit mehreren Gesamtstrukturen

Die Voraussetzungen für hybride Bereitstellungen mit mehreren Gesamtstrukturen sind nahezu identisch mit den Voraussetzungen für die Hybridbereitstellung für eine organization mit einer einzelnen Gesamtstruktur, mit den folgenden Ausnahmen:

  • AutoErmittlung: Jede Exchange-Gesamtstruktur muss für mindestens einen SMTP-Namespace und den entsprechenden AutoErmittlungsnamespace autoritativ sein. Falls freigegebene Domänen in mehreren Exchange-Gesamtstrukturen vorhanden sind, müssen das E-Mail-Routing und die Endpunkte der AutoErmittlung konfiguriert werden und zwischen den Exchange-Gesamtstrukturen ordnungsgemäß funktionieren, bevor Sie die Hybridbereitstellung mit mehreren Gesamtstrukturen konfigurieren. Der Office 365-Dienst muss in der Lage sein, den AutoErmittlungsdienst in jeder einzelnen Exchange-Gesamtstruktur abzufragen.

  • Zertifikate: Alle Hybridbereitstellungen erfordern ein digitales Zertifikat, das von einer vertrauenswürdigen Drittanbieterzertifizierungsstelle ausgestellt wurde. Bei einer Hybridbereitstellung mit mehreren Gesamtstrukturen ist die Verwendung eines einzelnen digitalen Zertifikats für mehrere Active Directory-Gesamtstrukturen nicht möglich. Jede Gesamtstruktur muss ein spezielles von einer Zertifizierungsstelle ausgegebenes Zertifikat verwenden, sodass der sichere E-Mail-Transport bei der Hybridbereitstellung ordnungsgemäß funktioniert. Das für Hybridbereitstellungsfunktionen verwendete Zertifikat, das für jede Gesamtstruktur in einer Organisation mit mehreren Gesamtstrukturen erforderlich ist, muss sich in mindestens einer der folgenden Eigenschaften unterscheiden:

    • Allgemeiner Name: Der allgemeine Name (Common Name, CN) des digitalen Zertifikats ist Teil des Zertifikatantragstellers. Dies muss mit dem zu authentifizierten Host übereinstimmen und ist in der Regel der externe Hostname für den Clientzugriffsserver in der Active Directory-Gesamtstruktur. Beispiel: „mail.contoso.com". Es wird empfohlen, den CN als Unterscheidungseigenschaft zwischen Active Directory-Zertifikaten zu verwenden, die in Hybridbereitstellungen mit mehreren Gesamtstrukturen verwendet werden.

    • Aussteller: Die Drittanbieterzertifizierungsstelle, die die organization Informationen überprüft und das Zertifikat ausgestellt hat. Als Beispiele dienen "VeriSign" oder "Go Daddy". Als Beispiel für eine Hybridbereitstellung mit mehreren Gesamtstrukturen verfügt eine Gesamtstruktur über ein von VeriSign ausgestelltes Zertifikat und eine Gesamtstruktur über ein von Go Daddy ausgestelltes Zertifikat.

    Wichtig

    Das Zertifikat, das auf den Postfach- und Clientzugriffsservern (und Edge-Transport, sofern bereitgestellt) in jeder Active Directory-Gesamtstruktur installiert ist, die für den E-Mail-Transport in der Hybridbereitstellung verwendet wird, muss alle von derselben Zertifizierungsstelle ausgestellt werden und denselben gemeinsamen Namen haben.

    Wenn auf einem Edge-Transport-Server der allgemeine Name und der Ausstellername des Zertifikats nicht übereinstimmen, können Sie sie im Empfangsconnector mit den folgenden Befehlen manuell festlegen:

    $cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate"
    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
    Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
    
  • Exchange-Server: In jeder Active Directory-Gesamtstruktur, die für die Hybridbereitstellung konfiguriert ist, muss mindestens ein Exchange 2013-Server mit der Clientzugriffsserverrolle oder ein Exchange 2016-Server mit der Postfachrolle installiert werden.

    In Exchange 2013 ist der Clientzugriffsserver der sichere E-Mail-Transportendpunkt für eingehenden Datenverkehr für den EOP-Dienst (Exchange Online Protection), der im Microsoft 365- oder Office 365 organization-Dienst enthalten ist, und ermöglicht die Ausführung des Hybridkonfigurations-Assistenten in der Active Directory-Gesamtstruktur. Darüber hinaus muss in jeder Active Directory-Gesamtstruktur, die für die Hybridbereitstellung konfiguriert ist, mindestens ein Exchange-Server mit der Postfachserverrolle installiert werden. Der Exchange 2013-Postfachserver ist der ausgehende sichere E-Mail-Transportendpunkt für Nachrichten, die an den EOP-Dienst und die Exchange Online organization gesendet werden.

    In Exchange 2016 und höher verarbeitet die Postfachserverrolle den gesamten eingehenden und ausgehenden sicheren Transport zwischen Ihrer lokalen Organisation und Exchange Online.

  • Namespaceplanung: Jede Gesamtstruktur, in der Sie Exchange installieren, erfordert einen eigenen eindeutigen, extern auffindbaren Namespace. Sie geben den eindeutigen Namespace einer Gesamtstruktur im Hybridkonfigurations-Assistenten an, wenn Sie ihn in jeder Gesamtstruktur ausführen.

  • Active Directory-Synchronisierung: Alle Hybridbereitstellungen erfordern eine Active Directory-Synchronisierung mit Microsoft 365 oder Office 365. Wenn Ihr Unternehmen bereits die Active Directory-Synchronisierung zwischen Ihren lokalen organization mit mehreren Gesamtstrukturen und Microsoft 365 oder Office 365 mithilfe von Forefront Identity Manager eingerichtet hat, können Sie Microsoft Entra Connect verwenden.

  • Einmaliges Anmelden: Obwohl es keine Voraussetzung für Hybridbereitstellungen mit einzelnen Active Directory-Gesamtstrukturen ist, können Administratoren einen SSO-Server in jeder Active Directory-Gesamtstruktur oder einen einzelnen SSO-Server konfigurieren, wenn zwischen den lokalen Gesamtstrukturen eine bidirektionale Gesamtstruktur-Vertrauensstellung konfiguriert ist. Verwenden Sie entweder AD FS oder die Kennwortsynchronisierung, um eine optimale Benutzerauthentifizierungserfahrung zu ermöglichen.

    Weitere Informationen finden Sie unter Einmaliges Anmelden in Hybrid-Bereitstellungen.

Eine vollständige Auflistung der Voraussetzungen für eine Hybridbereitstellung finden Sie unter Voraussetzungen für die Hybridbereitstellung

Szenario für die Hybridbereitstellung mit mehreren Gesamtstrukturen

Sehen Sie sich das folgende Szenario an. Dies ist eine Beispieltopologie, die eine Übersicht über eine typische Exchange 2013-Bereitstellung bietet. Contoso, Ltd. ist ein organization mit mehreren Gesamtstrukturen und zwei Active Directory-Gesamtstrukturen. Gesamtstruktur A enthält die contoso.com Domäne und Gesamtstruktur B die sale.contoso.com Domäne. Jede enthält Domänencontroller in jeder Gesamtstruktur, einen Exchange 2013-Server mit installierter Clientzugriffsrolle und einen Exchange 2013-Server mit installierter Postfachserverrolle. Remotebenutzer von Contoso verwenden Outlook Web App, um über das Internet eine Verbindung mit Exchange 2013 herzustellen, um ihre Postfächer zu überprüfen und auf ihren Outlook-Kalender zuzugreifen.

Vor der Hybridbereitstellung mit mehreren Gesamtstrukturen.

Angenommen, Sie sind der Netzwerkadministrator für Contoso und möchten eine Hybridbereitstellung konfigurieren. Sie stellen einen erforderlichen Active Directory-Synchronisierungsserver in Gesamtstruktur A bereit und konfigurieren diesen und entscheiden sich auch dafür, einen Active Directory-Verbunddienste (AD FS)-Server (AD FS) als Option bereitzustellen, um die Anzahl der Eingabeaufforderungen für Kontoanmeldeinformationen für Contoso-Benutzer und Administratoren, die auf Microsoft 365 oder Office 365 -Dienste in Gesamtstruktur A. Nachdem Sie die Voraussetzungen für die Hybridbereitstellung erfüllt und den Hybridkonfigurations-Assistenten zum Auswählen von Optionen für die Hybridbereitstellung verwendet haben, verfügt Ihre neue Topologie über die folgende Konfiguration:

  • Benutzer verwenden die Anmeldeinformationen ihres vorhandenen Netzwerkkontos für die Anmeldung bei der lokalen und der Exchange Online-Organisation ("einmaliges Anmelden").

  • Benutzerpostfächer, die sich lokal und im Exchange Online organization befinden, verwenden mehrere E-Mail-Adressdomänen. Beispielsweise verwenden @contoso.com Postfächer in Der lokalen Gesamtstruktur A und einige Postfächer im Exchange Online organization in Benutzer-E-Mail-Adressen und Postfächern in Gesamtstruktur B und einige Postfächer im Exchange Online organization verwenden @sales.contoso.com.

  • Alle Nachrichten werden von der lokalen Organisation an das Internet zugestellt. Die lokale Organisation steuert den gesamten Nachrichtentransport und dient als Relay für die Exchange Online-Organisation ("zentraler E-Mail-Transport").

  • Benutzer der lokalen und der Exchange Online-Organisation können einander die Frei/Gebucht-Informationen in ihrem Kalender freigeben. Die für beide Organisationen konfigurierten Organisationsbeziehungen ermöglichen zudem die standortübergreifende Nachrichtenverfolgung, E-Mail-Infos und die Nachrichtensuche.

  • Lokale und Exchange Online-Benutzer verwenden dieselbe URL zum Herstellen einer Verbindung mit ihren Postfächern über das Internet.

Nach der Hybridbereitstellung mit mehreren Gesamtstrukturen.

Wenn Sie die vorhandene Organisationskonfiguration von Contoso mit der Konfiguration der hybriden Bereitstellung vergleichen, stellen Sie fest, dass bei der Konfiguration der hybriden Bereitstellung Server und Dienste hinzugefügt wurden, welche die zusätzliche Kommunikation und die Features unterstützen, die von der lokalen und der Exchange Online-Organisation gemeinsam genutzt werden. Im Folgenden erhalten Sie einen Überblick über die Änderungen, die für die Hybridbereitstellung an der anfänglichen lokalen Exchange-Organisation vorgenommen wurden.

Konfiguration Vor der Hybridbereitstellung Nach der Hybridbereitstellung
Speicherort des Postfachs Nur lokale Postfächer. Postfächer in der lokalen und in der Exchange Online-Organisation.
Nachrichtentransport Lokale Clientzugriffsserver verarbeiten das gesamte Routing eingehender und ausgehender Nachrichten. Lokaler Clientzugriffsserver verarbeitet das interne Nachrichtenrouting zwischen der lokalen und der Exchange Online-Organisation.
Outlook Web App Lokaler Clientzugriffsserver empfängt alle Outlook Web App-Anforderungen und zeigt Postfachinformationen an. Lokaler Clientzugriffsserver leitet Outlook Web App-Anforderungen entweder an den lokalen Exchange 2013-Postfachserver um oder stellt einen Link zur Anmeldung bei der Exchange Online-Organisation bereit.
Einheitliche GAL (globale Adressliste) für beide Organisationen Nicht zutreffend; nur einzelne Organisation. Lokaler Active Directory-Synchronisierungsserver repliziert Active Directory-Informationen für E-Mail-aktivierte Objekte in die Exchange Online-Organisation.
Einmaliges Anmelden wird für beide Organisationen verwendet Nicht zutreffend; nur einzelne Organisation. Der lokale AD FS-Server (Active Directory-Verbunddienste (AD FS)) unterstützt die Verwendung von Anmeldeinformationen für einmaliges Anmelden für Postfächer, die sich entweder lokal oder in Microsoft 365 oder Office 365 organization befinden.
Organisationsbeziehung und Verbundvertrauensstellung mit Microsoft Entra Authentifizierungssystem eingerichtet Eine Vertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem und organization Beziehungen zu anderen Exchange-Verbundorganisationen können konfiguriert werden. Eine Vertrauensstellung mit dem Microsoft Entra Authentifizierungssystem ist erforderlich. Organisationsbeziehungen werden zwischen der lokalen und der Exchange Online-Organisation hergestellt.
Freigabe von Frei/Gebucht-Informationen Freigabe von Frei/Gebucht-Informationen nur zwischen lokalen Benutzern. Freigabe von Frei/Gebucht-Informationen zwischen lokalen und Exchange Online-Benutzern.

Konfigurieren von Hybridbereitstellungen in Organisationen mit mehreren Gesamtstrukturen

Führen Sie zum Konfigurieren einer Hybridbereitstellung in einer Organisation mit mehreren Gesamtstrukturen die folgenden grundlegenden Schritte aus:

  1. Stellen Sie sicher, dass Sie die Voraussetzungen für die Hybridbereitstellung erfüllt haben. Siehe Voraussetzungen, die am Anfang dieses Themas und unter Voraussetzungen für die Hybridbereitstellung aufgelistet sind. Normalerweise muss nur für eine Gesamtstruktur ein Active Directory Synchronisationsserver installiert werden. Weitere Informationen finden Sie unter Topologien für Microsoft Entra Connect.

  2. Fordern Sie ein Zertifikat von einer externen Zertifizierungsstelle für jede Active Directory-Gesamtstruktur an, das die bereits in diesem Thema aufgeführten Anforderungen erfüllt.

  3. Installieren Sie das Zertifikat auf sämtlichen Exchange 2013-Clientzugriffs- und Postfachservern oder Exchange 2016-Postfachservern in jeder einzelnen Gesamtstruktur.

  4. Führen Sie die im Thema Erstellen einer Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration beschriebenen Schritte für die primäre Gesamtstruktur aus.

    Wichtig

    Vergewissern Sie sich, dass Sie im Assistenten für die Hybridkonfiguration das Zertifikat auswählen, das für die primäre Gesamtstruktur bestimmt ist. Wählen Sie anschließend die primäre SMTP-Domäne für die Gesamtstruktur aus.

  5. Führen Sie die im Thema Erstellen einer Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration beschriebenen Schritte für die sekundäre Gesamtstruktur aus.

    Wichtig

    Vergewissern Sie sich, dass Sie im Assistenten für die Hybridkonfiguration das Zertifikat auswählen, das für die sekundäre Gesamtstruktur bestimmt ist. Wählen Sie anschließend die primäre SMTP-Domäne für die Gesamtstruktur aus.