Exchange On-Premises und Teams Kalender – Exchange Hybrid
Office365 hat sein Sortiment in den letzten Jahren stark ausgebaut. Dazu zählt unter anderem auch der mittlerweile breit etablierte Microsoft Teams Client – welcher Skype 4 Business zur Gänze ablösen soll. Teams bietet neben den bekannten Anruf- und Chatfunktionen auch eine einfache Möglichkeit, Termine zu planen und Meetings zu erstellen. Dafür arbeitet es eng mit Anwendungen wie Sharepoint, OneDrive aber auch Exchange zusammen. Hält man als Organisation allerdings an der Exchange On-Premises Lösung fest und möchte die Datenhoheit nicht vollumfänglich Microsoft überlassen, kann man trotzdem organisationsweit auf Teams setzen. Und das, ohne Kompromisse einzugehen. Wie das funktioniert, möchte ich in diesem Artikel näher beleuchten.
Grundvoraussetzungen
Folgende Voraussetzungen müssen geschaffen werden, damit wir Teams vollständig in unsere On-Premises Exchange Umgebung integrieren können. Auf die einzelnen Punkte gehe ich im Kapitel „Exchange Hybrid Testaufbau“ ein.
- Die Active Directory Benutzer müssen mit dem Azure AD synchronisiert werden.
- Exchange 2016 CU3 oder höher (Exchange 2019 wird demnach ebenfalls unterstützt)
- Exchange Web Services (EWS) als auch der Autodiscover sind bereits über öffentlich zugängliche URLs erreichbar.
- Der Exchange wird im Hybrid Modus betrieben und ist mit dem Office365 Tenant verknüpft.
- Alle Benutzer, welche Teams verwenden sollen, benötigen eine entsprechende Office365, bzw. Microsoft365 Lizenz.
Dieser Artikel setzt voraus, dass es bereits einen funktionierenden Exchange gibt. Auf die Grundkonfiguration wird nicht eingegangen. Außerdem wird ein Office365 Tenant benötigt.
Exchange Hybrid Testaufbau
On-Premises Active Directory vorbereiten
Die meisten Active Directory Umgebungen bestehen aus Domain Suffixen wie „firmenname.local„. Solange man innerhalb der lokalen Umgebung bleibt, stellt das auch noch kein Problem dar. Jetzt stelle man sich allerdings vor, dass Office365 ebenfalls die lokalen Suffixe übernehmen müsste und spätestens hier, würde man auf ein riesen Problem stoßen: Jede Organisation kann ihre Domain nach belieben benennen. So kann es durchaus vorkommen, dass mehrere Organisationen den gleichen Domainnamen verwenden. Um unnötige Kollisionen zu vermeiden setzt Microsoft auf ein einfaches Prinzip: Public Domains. Jede öffentliche Domain (bspw.: schweigerstechblog.de) ist einmalig und der Besitzer der Domain hat auch den Anspruch, diese in Office365 zu verwenden.
Da Office365 ausschließlich mit den UserPrincipalNames (test01@schweigerstechblog.de) arbeitet und wir unsere AD-Benutzer zwangsläufig mit der Cloud synchronisieren müssen, müssen wir unsere lokale Domäne auf die neue Anforderung vorbereiten.
In diesem Szenario arbeiten wir mit der AD-Domäne „schweigers.local„. Damit wir unsere Benutzer nun erfolgreich mit der Azure Cloud synchronisieren können, müssen wir die Domäne allerdings wie beschrieben auf eine Public Domain umbauen. In meinem Fall lautet die Domain „schweigerstechblog.de„. Zu erst müssen wir unserer lokalen AD-Umgebung beibringen, dass diese zukünftig auf die „schweigerstechblog.de“ hören muss. Um das zu bewerkstelligen öffnen wir das MMC Modul „Active Directory Domains and Trusts“ und wechseln in das „Properties“ Menü. Hier fügen wir nun die besagte öffentliche Domain als alternativen UPN Suffix hinzu.
Anschließend müssen alle Benutzer, welche mit der Azure Cloud synchronisiert werden sollen, auf den neuen UPN Suffix umgestellt werden.
Erstellt man zukünftig neue AD-Benutzer muss ebenfalls darauf geachtet werden, immer den korrekten UPN Suffix zu setzen. Ansonsten werden die Nutzer nicht korrekt synchronisiert.
Office365 vorbereiten
Im vorherigen Kapitel bin ich bereits auf die eindeutige Zuteilung des Domain Suffixes eingegangen. Damit wir nun auch gegenüber Microsoft beweisen können, dass die Domain uns gehört, sind auch noch einige wenige Schritte notwendig.
Zur Authentifizierung unserer Domain gegenüber Microsoft wechseln wir ins Office365 Admin Center. Von dort aus in die Einstellungen und in das Domänen Menü. Hierüber können wir anschließend eine neue Domain hinzufügen. Um zu beweisen, dass man der rechtmäßige Eigentümer der Domain ist, reicht es aus, einen TXT Record mit den angegebenen Parametern innerhalb der öffentlichen DNS Zone zu setzen. Wurde der Prozess erfolgreich abgeschlossen, scheint die Domain als „Fehlerfrei“ auf.
Azure Active Directory Sync
Da es sich bei Teams um eine Cloud-Only Lösung handelt, müssen wir natürlich die lokalen Active Directory Nutzer in die Azure Cloud synchronisieren. Hierbei kommt uns der Azure AD Sync zur Hilfe. Dabei handelt es sich um eine Applikation, welche vorzugsweise auf den Domain Controllern installiert wird und in regelmäßigen Abständen den lokalen AD Datensatz in die Cloud transferiert. Außerdem besteht auch die Möglichkeit, bestimmte Attribute von der Cloud in das lokale AD zu synchronisieren.
Azure AD Connect kann direkt von der Microsoft Website heruntergeladen werden. Nach der Installation müssen noch einige Parameter konfiguriert werden.
An dieser Stelle muss ich zugeben, dass die folgenden Screenshots nicht direkt nach der Erstinstallation entstanden sind. Daher können sich die Kategorien leicht von euren abweichen. Die wichtigen Parameter sind aber alle ersichtlich.
Die hier ausgewählte Domäne wird für den Azure AD Sync vorbereitet.
Da wir eine komplette Integration des lokalen AD mit der Cloud vermeiden möchten, wählen wir nur jene OU, in der sich unsere Benutzer befinden.
Bei den Optionalen Features muss der Punkt „Exchange Hybrid Deployment“ ausgewählt werden. Außerdem wählen wir zur Synchronisation der Benutzer Passwörter die „Password Hash Synchronization“ aus. Dabei wird das gehashte Password erneut verschlüsselt und in die O365 Cloud übertragen. Es gibt nebenbei noch die Möglichkeit der „Pass-though Authentication“ auf die ich in einem späteren Artikel näher eingehen möchte.
Nach der Konfiguration werden bereits die ausgewählten OUs mit dem Azure AD synchronisiert. Wirft man jetzt einen Blick in das User Management im Office365 Panel, sollten bereits alle AD-User aufscheinen.
Exchange Hybrid
Bei meinem Testaufbau kommt ein Exchange 2019 CU8 (zum Zeitpunkt des Verfassens die neuste Version) zum Einsatz. Seitens Microsoft lautet die Mindestanforderung Exchange 2016 CU3 oder höher. Wer also noch mit einer älteren Version arbeitet, sollte sich spätestens jetzt Gedanken über ein Upgrade machen. Vorab wurden nur die Send- und Receiveconnector, die Endpunkte (EWS, MAPI, Autodiscover, ..) und die Postfächer konfiguriert. Es ist natürlich auch kein Problem, den Exchange in einem Cluster oder auf verschiedenen Standorten zu betreiben.
Im nächsten Schritt können wir bereits aus dem lokalen Exchange eine hybride Umgebung bauen. Dazu laden wir uns den Exchange Hybrid Configuration Wizard herunter und installieren ihn auf einem der Exchange Nodes. Nach der Installation folgt die Konfiguration.
Falls innerhalb der Infrastruktur mehrere Exchange Nodes zur Verfügung stehen, erkennt der Wizard automatisch den optimalen Server. Als User kann man hier natürlich trotzdem intervenieren und eine eigene Entscheidung treffen. Das ist aber in der Regel nicht notwendig.
Anschließend stellen wir die Zugangsdaten für die lokale Domäne, als auch für den Office365 Zugang bereits. Wichtig ist dabei nur, dass beide Benutzer administrative Berechtigungen besitzen.
Der Wizard prüft, ob alle Vorkehrungen soweit getroffen wurden und die Umgebung bereit für den hybriden Aufbau ist.
Einer der Voraussetzungen ist die Integration der OAuth Authentifizierung. Diese wird momentan nur beim „Full Hybrid“ Modus gesetzt. Sollte man – warum auch immer – die „Minimal Hybrid Configuration“ auswählen, muss OAuth manuell konfiguriert werden. Siehe dazu: Configure OAuth authentication between Exchange and Exchange Online organizations
Wählt alle Accepted Domains aus, welche aktiv in Verwendung sind. Setzt anschließend den Wert beim Autodiscover auf „True“ für jene Domain, die bei euch hauptsächlich in Verwendung ist. Eine detailliertere Erklärung, wie der Autodiscover in einem Multi-Domain Deployment funktioniert, gibt es übrigens hier: Exchange Hybrid und Teams mit multiplen SMTP-Domains. Wenn ihr also mehrere SMTP-Domains im Einsatz haben, solltet ihr euch auch diesen Artikel zu Gemüte führen.
Die „Modern Hybrid Topology“ unterstützt noch nicht den vollen Funktionsumfang (Stand Januar 2021). Daher wird auch seitens Microsoft die „Classic Hybrid Topology“ empfohlen. Damit wir aber trotzdem auf die technischen Unterschiede eingehen:
| Hybrid Topologie | Beschreibung und Funktion |
| Exchange Classic Hybrid | Der Exchange On-Premises und Exchange Online stellen über das Internet eine Verbindung miteinander her. Das bedeutet, dass unser On-Premises Exchange über das Internet erreichbar sein muss (HTTPS) und dieser auch ein vertrauenswürdiges Third Party Zertifikat bereitstellt.
Die Classic Hybrid Bereitstellung sollte im Normalfall verwendet werden. |
| Exchange Modern Hybrid | Am On-Premises Exchange Node wird ein zusätzlicher Agent installiert, welcher die Kommunikation mit der Azure Cloud übernimmt. Dabei muss der lokale Exchange nicht mehr über Port 443 ansprechbar sein, da die Verbindung immer vom Agent aus geht.
Da die Modern Hybrid Bereitstellung noch nicht alle Funktionen unterstützt und momentan auch nur auf einem Node installiert werden kann (kein Failover Node möglich), sollte man darauf verzichten. |
Ein funktionierender Mailflow zwischen Exchange Online <-> Exchange On-Premises wird in unserem Szenario nicht benötigt. Der Wizard sieht aber standardmäßig vor, diesen trotzdem bereitzustellen.
Nachdem der Wizard die Konfiguration abgeschlossen hat, ist unser Deployment bereits bereit für Teams.
Office365 Lizenzen
Da das langfristige Ziel Microsofts natürlich die Auslagerung aller Corporate Dienste in die Cloud ist (Exchange, Sharepoint, OneDrive, Teams & Co), bieten die meisten Lizenzen bereits all diese Cloud-Dienste in einem Gesamtpaket an. Wer in diesem Fall so wie wir den Exchange On-Premises verwenden möchte, dem kommt keine Vergünstigung zu Gute. Es gibt allerdings den ein oder anderen Trick, wie man sich vielleicht doch noch etwas bereichern kann. So bietet beispielsweise Office365 E3 die Möglichkeit, sowohl Exchange Online, als auch die Lizenz für eine Exchange User CAL zu verwenden. Wer hier also eine langfristige Investition plant oder das Lizenzmodell umstellen möchte, sollte sich vorab ausreichend informieren.
Damit wir nun allerdings Teams verwenden können, müssen die Lizenzen erstmal an die synchronisierten AD User vergeben werden. Dabei gibt es das ein oder andere Detail zu beachten, auf welches ich hier eingehen möchte.
Habt ihr die nötigen Lizenzen inklusive Teams gebucht, folgt nun die Zuweisung dieser. Das kann sowohl über die Powershell als auch dem Office365 Admin Center geschehen. Zur besseren Übersicht verwende ich in diesem Artikel zweiteres. Bei der Zuweisung muss nur darauf geachtet werden, alle Exchange Online Dienste zu deaktivieren. Vergisst man darauf, wird zusätzlich zum On-Premises Postfach ein Exchange Online Postfach erstellt. Daher unbedingt darauf achten!
Wurde die Lizenz zugewiesen, kann es bis zu einer Stunde dauern, bis der Nutzer dann tatsächlich auch auf Teams & Co zugreifen kann.
Teams und Exchange Kalender
Nachdem der Hybrid Wizard erfolgreich alle Punkte konfiguriert hat, sollte man als Benutzer bereits in der Lage sein, Teams zu öffnen. Da alle lokalen AD-User ebenfalls in die Azure Cloud synchronisiert werden, stimmen die Anmeldedaten mit dem des lokalen AD Users überein. Scheint der Kalender Tab im linken Menü auf und sieht auch alle bestehenden Kalendereinträge des Exchange Postfaches, war die Konfiguration erfolgreich.
Scheint der Kalender nicht auf, konnte Teams nicht auf das On-Premises Postfach zugreifen. Glücklicherweise gibt es allerdings eine Punkte, wie man das Problem debuggen kann. Dazu aber in einem späteren Artikel mehr.
Frage zu: Exchange On-Premise und Teams Kalender.Ich habe heute eine Exchange Hybrid Konfiguration durchgeführt. Wenn ich in Teams eine Besprechung plane, dann sehe ich die Kalendereinträge von dem OnPrem Kalender. Schaue ich nur in den Kalender, sehe ein keine Einträge aus meinem OnPrem Kalender. Woran kann das liegen? Mit welchen Tools kann ich das debuggen? Vielen Dank, Christian
Diese Frage zu beantworten, ohne, dass man wirklich den Aufbau kennt, ist denke ich nicht zu bewerkstelligen. Allerdings würde ich dir grundsätzlich den Microsoft Connectivity Analyzer empfehlen: https://testconnectivity.microsoft.com/tests/teams. Dort kannst du die Teams Konnektivität grundsätzlich testen. Aber da du gesagt hast, dass die Termine beim Eintragen einer neuen Besprechung angezeigt werden, dürfte eine Verbindung bestehen.
Was mir noch aufgefallen wäre: Wenn man eine Hybrid Konfiguration neu erstellt, sollte man mehrere Stunden warten, bis man wirklich mit den Tests beginnt.
Hallo Kevin, funktioniert das Ganze auch mit einer on-premise Office Version (Office 2016 oder Office 2019) oder muss da zwingend die M365 Office Version (Microsoft 365 apps for enterprise Version) installiert sein?
Hallo,
die Integration zwischen Teams Kalender <-> Exchange On-Premise Kalender funktioniert mit jeder Office-Version (vorausgesetzt sie inkludiert Microsoft Teams). Es wäre bspw. auch kein Problem, die Microsoft Teams Exploratory Lizenzen zu nutzen (die enthalten gar keine Office Apps außer Teams).
Thx Kevin, d.h. also jetzt, dass die Office 2016/2019 Versionen nicht funktionieren mit einer Teams Standalone Installation, da Teams bei diesen beiden Office Version nicht inkludiert ist?
Nein, wir müssen hier zwischen Office uns Teams unterscheiden, da: Nicht jedes Office Paket bringt Teams als Cloud Service mit. Die Exchange Kalender Integration kann vom Nutzer nur verwendet werden, wenn er auch eine Microsoft Teams Lizenz besitzt (ansonsten könnte der Nutzer Microsoft Teams gar nicht verwenden). Die grundlegende Integration deiner Exchange On-Premise Umgebung mit Microsoft Teams hängt in erster Linie nicht davon ab, welche Lizenzen du verwendest. Theoretisch könntest du die Integration konfigurieren, auch wenn du gar keine Office Lizenzen besitzt. Diese macht aber erst Sinn, wenn du auch wirklich Nutzer in deiner Umgebung hast, die sowohl ein On-Premise… Weiterlesen »
Die Kalender Sycronisation klappt bei uns,
aber wie kann ich einen Kanalkalender in Outlook einbinden?
Per Internetkalender URL geht das leider nicht.
Kurze Frage. Wir haben unser AD ins Microsoft Entra ID übertragen. Die Benutzer haben alle eine Teams Essential Lizenz und Office 2016 Standard.
Wir haben einen Exchange 2019 On Premise im Einsatz. Sehe ich es richtig, dass wir nun nur noch den Hybrid Configuration Wizard ausführen müssen?
Aus Lizenz Sicht müsste es doch soweit passen oder?