Die Cloud nach Ihren Bedingungen (TEIL 2): Hybridverwaltung
Veröffentlichung des Originalartikels: 21.09.2012
Kurzer Überblick über die Hybridverwaltung
Mit der Veröffentlichung von Exchange Server 2010 wurde ein revolutionärer neuer cloudbasierter Dienst eingeführt, den wir heutzutage alle unter der Bezeichnung Exchange Online für Office 365 kennen. In den Anfängen der Cloud wurde viel Zeit und Energie für die schnelle Migration von Benutzer- und Organisationsdaten aufgewendet, wobei das Augenmerk der Bereitstellung und Unterstützung der Koexistenz zwischen einer lokalen Exchange-Unternehmensbereitstellung mit einem webbasierten Mandanten galt. Von größeren Organisationen gab es jedoch viel Feedback, dass neben der Datenmigrationseffizienz ein großer Bedarf an der umfangreichen Unterstützung einer längeren Koexistenzphase von lokaler Bereitstellung und Cloudbereitstellung besteht. Größere Organisationen haben damit die sichere Verwaltung ohne Kompromisse für Postfächer auf lokaler Basis und Cloudbasis eingefordert.
Exchange Server 2010 war die erste lokale/standortübergreifende Exchange Online-Koexistenzlösung, indem die vorhandene Funktionalität der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) erweitert wurde. Bei der Exchange-Verwaltungskonsole handelt es sich um einen Windows MMC-basierten Client, der ursprünglich für die Verwaltung großer Bereitstellungen von Unternehmensservern gedacht war und aus dem später die Exchange Server-Konsole wurde, die wir heutzutage einfach als „Hybrid“ bezeichnen. Die Exchange-Verwaltungskonsole ermöglichte die effiziente Migration zur Cloud (Office 365), die standortübergreifende Verwaltung von Empfängern einschließlich Massenbearbeitung sowie die Verwaltung der meisten Richtlinien und Objekte auf Organisationsebene.
Die Exchange-Verwaltungskonsole wird in der Regel auf einzelnen x64-Servern verwendet, die Exchange Server-Rollen hosten, oder separat auf Arbeitsstationen über die Installation nur der Verwaltungstools. Hierbei handelt es sich um ein Verwaltungstool nur für Windows, d. h., es ist auf lokale Dienste wie WinRM für die Kommunikation mit Remoteserver mithilfe des PowerShell-Protokolls angewiesen.
Abbildung 1: Hybridverwaltung mit Exchange Server 2010
Für die Hybridverwaltung bietet die Exchange-Verwaltungskonsole Administratoren die Möglichkeit, dem Konsolenbereich eine zweite „Struktur“ hinzuzufügen, um alle Empfänger anzuzeigen, Postfachmigrationen durchzuführen und Organisationsobjekte für den Exchange Online-Mandanten zu verwalten. Für eine reine Exchange Online-Bereitstellung ist die Exchange-Verwaltungskonsole nicht für die Verwaltung erforderlich. Stattdessen wird die vereinfachte Exchange-Systemsteuerung (Exchange Control Panel, ECP) verwendet, die ebenfalls in Exchange Server 2010 eingeführt wurde.
Was bedeute also hybrid?
Bei „hybrid“ sollte man sich nicht ein spezielles Angebot eines Exchange-Servers vorstellen, sondern eher einen Zustand der Koexistenz, bei dem ein lokaler Server in Kooperation mit einem internetbasierten Dienst interagiert. Das Hybridkonzept gilt nicht nur für die Exchange-Produktlinie, sondern auch für die größere Microsoft Office-Serverproduktpalette wie z. B. SharePoint und Lync.
Im Fall von Exchange bedeutet hybrid in der Regel, dass eine Reihe von Postfächern und Richtlinien lokal und in Office 365 verteilt sind und als eine einzige „virtuelle“ Organisation agieren. In früheren Blogbeiträgen zur Hybridkonfiguration und -bereitstellung haben Sie erfahren, dass aus Sicht der beiden Standorte dieser Zustand der Koexistenz als interne Bereitstellung betrachtet wird. Beispielsweise werden während des standortübergreifenden E-Mail-Flusses von Office 365-Mandanten zu lokalen Empfängern Zertifikate automatisch hinzugefügt. Deshalb wird der übermittelten E-Mail vertraut, dass sie intern aus der Organisation selbst stammt, obwohl sie in Wirklichkeit mithilfe spezieller hybrider E-Mail-Verbindungen über das Internet empfangen wird.
Es gibt viele Möglichkeiten, um Empfänger lokal und für den Office 365-Dienst entsprechend den Anforderungen Ihrer Organisation zu organisieren. Beispielsweise plant eine Organisation, 100 % der lokalen Empfänger innerhalb von zwei Jahren in den Mandanten zu verschieben. Eine andere Organisation beschließt, alle Raumpostfächer sofort in den Office 365-Mandanten zu verschieben. Und eine dritte Organisation möchte mithilfe des Onlinemandanten die Online-Archivierungspostfächer sicher hosten. Tatsache ist, dass hybride Bereitstellungen bezüglich den Anforderungen Ihres Unternehmens flexibel sind.
Einführung in die Hybridverwaltung für das neue Exchange
Dieser Blogbeitrag wird an der Stelle fortgesetzt, an der „Die Cloud nach Ihren Bedingungen (TEIL I)“ endete, indem das Augenmerk in erster Linie auf den „stabilen Zustand“ der Hybridverwaltung insbesondere für die gängigsten Szenarien gerichtet wird.
Für diesen Blogbeitrag gehen wir davon aus, dass die folgenden Voraussetzungen bereits erfüllt sind:
- Mindestens eine Exchange Server 2013-Clientzugriffsserverrolle (CAS15) und eine -Postfachfachserverrolle (MBX15) wurden installiert. Jeweils ein Typ separat oder beide Typen auf einem einzelnen Server, beispielsweise in einer Interoperabilitätsumgebung für eine frühere Version von Exchange Server.
- Der Office 365-Mandant muss mindestens Version 15.0.000.0 aufweisen, um eine Hybridbereitstellung mit Exchange Server 2013 zu konfigurieren. Auf der Office 365-Website finden Sie die neuesten Informationen zur Lizenzierung und zu den Preisen.
- Sie haben die Koexistenz über das Office 365-Verwaltungsportal aktiviert und alle anderen erforderlichen Schrittewie beschrieben ausgeführt, einschließlich des Nachweises der Koexistenzdomäneneigentümerschaft.
- Sie haben Zugriff auf die Anmeldeinformationen für das Microsoft-Konto des „Mandantenadministrators“, die für den Zugriff auf den Office 365-Mandanten erforderlich sind.
- Alle lokalen Abhängigkeiten sind vorhanden (z. B. ist die Active Directory-Synchronisierung installiert).
- Der Hybridkonfigurations-Assistent wurde erfolgreich ausgeführt. Dies kann das Upgraden der vorherigen Hybridkonfigurationseinstellungen beinhalten, falls Sie bereits die Hybridverwaltung mit Exchange 2010 und Office 365 verwendet haben.
- Sie verwenden nicht das integrierte Empfängerkonto „Administrator“. Lesen Sie nach, weshalb es für die Hybridverwaltung nicht unterstützt wird.
Abbildung 2: Hybridkonfigurations-Assistent für das neue Exchange gemäß eines früheren Blogbeitrags von Ben Appleby
Die neue Hybridkonsole der Exchange-Verwaltungskonsole
Im Folgenden finden Sie zunächst einen Leitfaden mit Anmerkungen zur neuen Hybridverwaltungskonsole in der Exchange-Verwaltungskonsole (Exchange Admin Center, EAC) für das neue Exchange:
A) Knoten für ENTERPRISE und OFFICE 365 – hiermit können Sie zwischen der lokalen Bereitstellung und dem Office 365-Onlinemandanten umschalten
B) Eine konsolidierte zentrale Liste mit allen Benachrichtigungen unabhängig von deren Herkunft oder des von Ihnen verwendeten Knotens, wie z. B. zum Nachverfolgen von Postfachmigrationen von einer lokalen Bereitstellung zu Office 365
C) Eine einzelne Listenansicht mit allen Empfängern aus beiden Standorten
D) „Detailbereich“ für remote (Office 365) gehostete Postfächer
E) Einstiegspunkt für die Postfachmigration per Navigationsregisterkarte
Neue Funktionen bei der Hybridverwaltung für Exchange
Die Philosophie der Hybridverwaltung für das neue Exchange ist ganz einfach. Ihnen, dem Administrator, soll eine einzige vertraute Konsole bereitgestellt werden, mit der Sie von praktisch überall aus Ihre standortübergreifende Organisation verwalten können.
Im Folgenden finden Sie eine kurze Aufstellung der neuen Funktionen:
1) Wir nutzen die neue browserbasierte Konsole mit umfangreichem Funktionsspektrum für Exchange-Administratoren, was niedrigere Wartungskosten bedeutet, um Hybridinstallationen von „Verwaltungstools“ auf dem aktuellen Stand zu halten. Wenn Sie nur Ihre Exchange Server 2013-Postfachserver aktualisieren, sind alle Ihre EAC-Administratoren auf dem aktuellen Stand.
2) In Abhängigkeit von der Sicherheitskonfiguration des virtuellen IIS-Verzeichnisses der ECP (der Protokollname für EAC) auf den Postfachservern können Sie den internen und externen Administratorzugriff oder ausschließlich den internen Administratorzugriff für Computer, die einer Domäne beigetreten sind, zulassen.
3) Über eine einzige Browserregisterkarte können Sie alle Empfänger und Organisationsobjekte steuern (z. B. Adresslisten und Richtlinien).
4) Eine einziger konsolidierter Satz von Exchange-Benachrichtigungen für alle Standorte.
5) Unterstützung des einmaligen Anmeldens (Single Sign-On, SSO) per ADFS 2.0 – demnächst wird es Beiträge zur Bereitstellung und Verwaltung des einmaligen Anmeldens geben. Weitere Informationen zur Vorbereitung des einmaligen Anmeldens finden Sie auf der Office 365-Website.
Abbildung 4: ADFS-Modul für einmaliges Anmelden für den Hybridmodus
6) Standortübergreifende Verwaltung von Anderer Benutzer… (Another user… ) – für ein Helpdeskszenario wie das Einrichten der Abwesenheitsnotiz im Namen eines anderen Benutzers, der auf Urlaub ist, verwenden Sie einfach die Option Anderer Benutzer... (Another user… ) neben dem Anzeigenamen in der oberen rechten Ecke der Konsole, um eine vollständige Liste der Empfänger für alle Standorte anzuzeigen.
Abbildung 5: Verwalten der Empfängeransicht Anderer Benutzer... (Another user… )
Starten der Verwendung des Hybridverwaltungsmodus für Exchange Server 2013
Falls Sie den Hybridkonfigurations-Assistenten oder das Update-HybridConfiguration-Cmdlet schon direkt in PowerShell ausgeführt haben, verwenden Sie bereits den Hybridmodus der EAC. Wenn Sie auf der Registerkarte Hybrid in der EAC auf Aktivieren (Enable) klicken, werden Sie zur Eingabe Ihrer Anmeldeinformationen für das Microsoft-Konto aufgefordert. Nachdem der Mandant gefunden wurde, wird wieder die EAC angezeigt, dieses Mal jedoch im Hybridmodus.
Später müssen Sie keine speziellen Schritte ausführen, um nach der erfolgreichen Ausführung des Hybridkonfigurations-Assistenten den Hybridmodus zu aktivieren. Denn der Assistent ermöglicht nicht nur Schlüsselszenarien wie den standortübergreifenden E-Mail-Fluss und die standortübergreifende Datenfreigabe (Frei/Gebucht), sondern erstellt lokal Artefakte, die, wenn sie vorhanden sind, automatisch den Hybridmodus für die EAC aktivieren. Im Einzelnen erstellt das Update-HybridConfiguration-Cmdlet (über den Hybridkonfigurations-Assistenten) ein spezielles Remotedomänenobjekt, das automatisch den EAC-Hybridmodus startet, wenn von EAC eine TargetDeliveryDomain-Eigenschaft (TDD) erkannt wird.
Einer der wichtigsten Unterschiede bei Verwendung des Hybridmodus besteht darin, dass Sie beim Klicken auf die Registerkarte Office 365 aufgefordert werden, sich bei Ihrem Onlinemandanten mit Ihren Anmeldinformationen für das Microsoft-Konto oder für ADFS anzumelden. Beachten Sie, dass EAC aus Leistungsgründen zwischenspeichert, ob der Hybridmodus verwendet wird. Dadurch wird die erneute Prüfung bei jeder Anmeldung vermieden (der Cachestatus wird alle 30 Minuten automatisch aktualisiert). Falls Sie eine Remotedomäne mit einer TDD manuell erstellt haben und sofort den Hybridmodus verwenden müssen, sollten Sie IIS auf den Exchange Server 2013-Postfachservern neu starten.
Abbildung 6: Einstiegspunkt für den Hybridkonfigurations-Assistenten
Hybridverwaltung in einer lokalen Interoperabilitätsbereitstellung
Bei der Hybridverwaltung in einer lokalen Interoperabilitätsumgebung, in der Exchange 2010- und/oder Exchange 2007-Server vorhanden sind, gibt es nur wenige Punkte zu beachten.
Achten Sie in einer Interoperabilitätsbereitstellung darauf, dass zusätzliche Funktionalität für den URI vorhanden ist, mit dem Sie bei der Anmeldung auf Ihre Bereitstellung zugreifen, falls Ihr Administratorpostfach noch nicht auf das neue Exchange umgestellt ist. Diese URI-Schlüssel werden in den meisten Fällen standardmäßig nicht hinzugefügt. Achten Sie jedoch auf weitere Informationen zu zukünftigen Versionen, die möglicherweise vordefinierte Links aufweisen. Es wird dringend empfohlen, URIs mit erforderlichen Schlüssel/Wert-Paaren als Textmarke zu speichern, um den Zugriff darauf zu vereinfachen.
Interoperabilitätsfeature | Hinweise |
---|---|
Falls Ihr Administratorpostfach noch nicht auf das neue Exchange umgestellt wurde, müssen Sie das Schlüssel/Wert-Paar ExchClientVer=15 verwenden, um sicherzustellen, dass Sie an einen Exchange Server 2013-Postfachserver weitergeleitet werden, und nicht an den Server, auf dem sich Ihr Postfachspeicher befindet.
Dies gilt für E-Mail-Benutzer-Konten, die auch keine Speicher aufweisen.
Beispiel: https://contoso.com /ecp?ExchClientVer=15 |
Dies gilt nur für die lokale Verwaltung. Exchange Server 2013-Clientzugriffsserver werden standardmäßig an einen Postfachserver weitergeleitet, und zwar basierend auf der Version des mit den Anmeldeinformationen verbundenen Postfachs. Dies gilt auch für E-Mail-Benutzer, da sie, obwohl sie keinen Postfachspeicher aufweisen, einen Verweis auf das SYSTEM-Postfach enthalten, in dem sie ursprünglich erstellt wurden, außer es wurde zuvor migriert. Wenn sie Exchange Server 2013 lokal installieren, gibt es in der letzten Phase des Installationsprogramms einen Link, mit dem ExchClientVer=15 automatisch hinzugefügt wird, damit Sie problemlos zur EAC navigieren können. |
Verwenden von cross=1 als Hinweis für die Verwendung des ADFS-Authentifizierungsmodus für einmaliges Anmelden (SSO)
Beispiel: https://contoso.com /ecp?ExchClientVer=15&cross=1 |
Die gemeinsamen OWA- und ECP-Protokollauthentifizierungsmodule benötigen einen Hinweis zur Verwendung des ADFS-Modus. Beachten Sie, dass die ADFS-Authentifizierungsmethode vom virtuellen Outlook Web App-Verzeichnis derzeit nicht unterstützt wird. |
Denken Sie daran, dass das integrierte „Administrator“-Konto in Exchange Server nicht für die Hybridverwaltung verwendet werden sollte:
Beim Versuch, das „Administrator“-Konto für einmaliges Anmelden (SSO) über ADFS zu verwenden, können Sie die Office 365-Komponente einer Hybridbereitstellung nicht verwalten |
Diese bewährte Methode gilt sowohl für Interoperabilitäts- als auch Nicht-Interoperabilitätsumgebungen.
Das integrierte „Administrator“-Konto für Exchange wird zwischen einer lokalen Bereitstellung und dem Office 365-Mandanten nicht über die Microsoft Online-Verzeichnissynchronisierung (DirSync) synchronisiert.
Beim Versuch, das „Administrator“-Konto für die Verwaltung der Hybridkomponente des Mandanten zu verwalten, wird eine ADFS-Fehlermeldung angezeigt, da kein entsprechendes E-Mail-Benutzer-Konto in Office 365 vorhanden ist.
Der „Administrator“-Benutzer wird nicht gemäß den Verzeichnissynchronisierungsregeln synchronisiert, da isCriticalSystemObject = TRUE in den Objekteigenschaften vorhanden ist. |
Verwalten der Empfänger im Hybridmodus
Eine vollständige Aufstellung aller Empfänger ist über den Knoten ENTERPRISE der Registerkarte Postfächer (Mailboxes) verfügbar. Es gibt wenige Punkte, die Sie beim Erstellen und Verwalten neuer Empfänger im Hybridmodus beachten sollten.
Halten Sie sich beim Bereitstellen oder Ändern von Empfängern im Hybridmodus an die simple Regel, stets die lokale Komponente ENTERPRISE zu verwenden. Dies liegt am weitgehend unidirektionalen Synchronisierungsmodus der MSO-Verzeichnissynchronisierungsdienste und sorgt dafür, dass die lokale Bereitstellung und der Mandant dieselben Kopien aller Active Directory-Empfängerdetails aufweisen.
Abbildung 7: Als E-Mail-Benutzer definierte lokale Postfächer in einem Office 365-Mandanten
Empfängertyp | Hinweise |
---|---|
Lokale Benutzerpostfächer | Verwenden Sie zum Erstellen wie gewohnt den Knoten ENTERPRISE. Sie werden mit dem Mandanten synchronisiert, und die Synchronisierung kann über die Registerkarte Kontakte (Contacts) in Office 365 überprüft werden (siehe obige Abbildung), wo sie als E-Mail-Benutzer (Mail Users) im Mandanten erstellt werden. Wenn die Benutzer online als E-Mail-Benutzer (Mail Users) angezeigt werden, kann eine komplette globale Adressliste kompiliert werden. |
Benutzer mit lokalem primärem Postfach und Archivpostfach im Office 365-Mandanten | Archivpostfächer für lokale primäre Postfächer können entweder im Mandanten erstellt werden (siehe folgende Abbildung) oder aus der lokalen Bereitstellung migriert werden. |
Benutzer mit primärem Office 365-Postfach | Wird als Office 365-Postfach in der Komponente ENTERPRISE angezeigt. Remoteobjekte, die den RecipientTypeDetails entsprechen, die vom Get-Mailbox-Cmdlet bei der Anzeige in PowerShell ausgegeben wurden, sind mit E-Mail-Benutzern vergleichbar und weisen einen zusätzlichen speziellen Parameter auf (RemoteRoutingAddress), mit dem die Microsoft Online-Verzeichnissynchronisierung angewiesen wird, diesen E-Mail-Benutzer mit dem Office 365-Mandanten zu synchronisieren. |
E-Mail-Kontakte und Verteilergruppen | Diese Objekttypen werden automatisch mit der Office 365-Komponente synchronisiert und befinden sich in beiden Komponenten im selben Speicherort. Derzeit werden lokale Gruppen mit mehr als 15.000 Mitgliedern vom Verzeichnissynchronisierungsdienst herausgefiltert (nicht synchronisiert). |
Bereitstellen neuer Postfächer in Office 365
Für die Bereitstellung eines neuen Office 365-Postfachs im Hybridmodus wählen Sie zunächst auf der lokalen Registerkarte Postfach (Mailbox) über das neue Symbol den Postfachtyp Office 365 aus der Dropdownliste aus. Das Erstellen eines neuen Postfachs im Mandanten kann sich auf Ihre verfügbaren Clientlizenzen auswirken. Die verfügbaren Lizenzen und Preise können Sie im Office 365-Portal mithilfe Ihrer Anmeldeinformationen für das Microsoft-Konto anzeigen.
Abbildung 8: Erstellen eines Office 365-Postfachs
Sie werden feststellen, dass die Komponente Office 365 keine Option zum Erstellen eines Postfachs in der EAC im Hybridmodus darstellt. Dadurch wird sichergestellt, dass alle neuen Postfächer über die lokale Komponente bereitgestellt werden, um vollständige Empfängerkopien zu erhalten. Sie können ein neues Office 365-Postfach direkt im Office 365-Portal bereitstellen. Diese Möglichkeit sollte aber nicht in Hybridbereitstellungen verwendet werden, da dieses Postfach nicht von Office 365 zur lokalen Bereitstellung rücksynchronisiert wird, wodurch E-Mail-Fluss-Probleme entstehen können.
Das Ändern der Empfänger im Hybridmodus der Office 365-Komponente wird ebenfalls nicht empfohlen oder ist nicht zulässig. Dies würde nämlich dazu führen, dass der Empfänger für eine Komponente der standortübergreifenden Bereitstellung veraltet ist. Dieser Vorgang wird durch Laufzeitgültigkeitsprüfungsregeln der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) blockiert, um Abweichungen bei den Kopien zu verhindern (siehe die folgende Fehlermeldung).
Abbildung 9: Die Bearbeitung des Empfängers ist auf Dienstseite blockiert, um Abweichungen zu vermeiden
Demnächst gibt es noch mehr Informationen!
Ich hoffe, Sie freuen sich so sehr wie wir über den neuen Hybridmodus für die Exchange-Verwaltungskonsole. In zukünftigen Artikeln werden demnächst Themen wie die Migration, das einmalige Anmelden per ADFS und das Debuggen für Hybridbereitstellungen behandelt.
Warren Johnson
Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter The Cloud On Your Terms (PART II): Managing Hybrid.