Exchange für den Hybrid-Einsatz konfigurieren

Ein hybrider Einsatz von lokal installierten und Cloud-basierten Exchange-Servern bringt Vorteile – wenn sie die häufigsten Probleme kennen.

Falls Sie Exchange in Version 2010 oder höher nutzen, gibt es nicht gerade viele Möglichkeiten, wenn Sie Mailboxen auf Office 365 migrieren. Das ist nicht zwingend eine schlechte Nachricht: Während der Exchange-Migration können die Systeme gemeinsam existieren, sie haben einen Rückweg aus der Cloud (falls sie ihn brauchen) und können umfangreiche Tests durchführen.

Richtig umgesetzt hat eine hybride Exchange-Installation die kleinsten Auswirkungen auf den laufenden Betrieb, also deutlich geringer als etwas eine schrittweise Migration oder ein abrupter Wechsel der Systeme. Zudem können Sie bereits erworbene Fähigkeiten meist weiternutzen.

Allerdings passt ein hybrider Ansatz nicht für alle Konfigurationen; kleinere Organisationen können von der Einfachheit eines schnellen Wechsels oder einem Schritt-für-Schritt-Umstieg profitieren. Wer dabei seine Server nicht vor Ort stehen hat, sollte sich Lösungen wie MigrationWiz und Quest ansehen, diese können helfen.

Herausforderungen beim hybriden Betrieb von Exchange 2007 und 2003

Wenn Sie noch Exchange 2003 oder 2007 nutzen, ähnelt die Implementierung einer Migration zu Exchange 2010. Einige Leute behandeln den „hybriden“ Server wie eine Komponente, die am Rande der Infrastruktur sitzt und nur mit Office 365 kommuniziert. In Wahrheit handelt es sich aber um einen Standard-Exchange-Server.

Und hier beginnen die Herausforderungen: Sie müssen alle Front-End-Dienste für den Client-Zugriff, etwa AutoDiscover, OWA, EWS oder ActiveSync für den hybriden Betrieb anpassen und migrieren. Das Microsoft-Exchange-Team hat in diesem Blogeintrag genau dargelegt, was zu tun ist. Nutzer von Exchange 2003 haben nur eine Option: Sie müssen Exchange 2010 SP3 verwenden. Wer Exchange 2007 im Einsatz hat, der kann zwischen Exchange 2010 SP3 und Exchange 2013 CU1 wählen.

Es ist verlockend, einfach die neueste Version zu nutzen. Tatsächlich kann aber auch Exchange 2010 SP3 hilfreich sein, vor allem bei Nutzern von Exchange 2007, die auf Forms-based Authentication setzen. Hier zeigt sich die Stärke der Koexistenz: Wenn sich ein Nutzer an einem Exchange 2010 SP3 anmeldet (und dieser quasi als Eingang zur Outlook Web App arbeitet), wird der Nutzer automatisch zum Namespace des Exchange 2007 umgeleitet, ohne dass er sich erneut anmelden muss. In der Kombination Exchange 2010 und 2013 CU1 muss sich der Anwender bei einer Umleitung erneut anmelden.

Herausforderungen für Besitzer von Exchange 2010

Es gibt eine Reihe von Verwirrungen bei hybriden Migrationen mit Exchange 2010. Die häufigste Frage hier ist: Brauche ich einen separaten hybriden Server mit Exchange 2010? Die Antwort ist: Nein.

Alle Exchange Server 2010 SP3, egal ob Client Access oder Hub Transport, besitzen die notwendigen Funktionen, um als hybride Server zu arbeiten. Wenn sie nicht den lokalen Server auf Exchange 2013 aufrüsten wollen, dann benötigen Sie nicht zwingend einen Server mit Exchange 2013 CU1 für die hybride Migration.

Es könnten einige Fragen auftauchen, ob Exchange 2010 SP3 stabil genug ist, um die aktuellen Anforderungen von Organisationen zu unterstützen. Der Server gilt als stabil, allerdings wurden einige Probleme mit PDF und WAV Dateien festgestellt. Glücklicherweise treten diese Fehler nur bei sehr wenigen Nutzern unter speziellen Umständen auf und ein Patch ist verfügbar. Zudem müssen nicht alle Server aktualisiert werden. Wenn Exchange über mehrere Systeme verteilt ist, müssen nur die, die direkt mit dem Internet verbunden sind, auf SP3 aktualisiert werden.

Hybride Herausforderungen für Wave 14 hybride Nutzer und andere

Für Unternehmen, die bereits hybride Funktionen von Exchange Online nutzen, ist folgende Information wichtig: Sie werden, ob sie wollen oder nicht, auf die aktuellste Version von Exchange Online aktualisiert. Sie haben die Möglichkeit, dieses Upgrade einmal zu verzögern, langfristig können sie es aber nicht verhindern.

In Exchange müssen Sie mindestens auf Exchange 2013 SP3 aufrüsten. Das können Sie machen, bevor ihre Instanz auf Wave 15 aktualisiert wird. Nach dem Upgrade müssen Sie den Hybrid Configuration Wizard (HCW) erneut ausführen, achten Sie also auf eine gute Dokumentation von Änderungen und Anpassungen.

Checkliste: Häufig auftretende Probleme

Egal ob Exchange 2003 oder Exchange 2013, es gibt ein paar Probleme, die immer wieder beim Einsatz hybrider Umgebungen auftreten. Hier sind einige der Häufigsten:

Externe Verbindung: Externe Verbindungen, die auf vertrauenswürdige Zertifikate von Drittanbietern setzen, müssen einwandfrei mit der internen Serverstruktur zusammenarbeiten. Wenn sie selbstsignierte Zertifikate nutzen und die externe URLs für Dienste wie Exchange Web Services nicht richtig konfiguriert wurden, bekommen Sie Probleme. Stellen Sie sicher, dass AutoDiscover und Exchange Web Services korrekt funktionieren.

Ältere Zertifikate zur Federated Delegation: Wenn sie bereits länger Exchange 2010 nutzen und Federated Sharing vor Exchange 2010 SP1 eingerichtet haben, dann müssen Sie unter Umständen die Federation-Konfiguration entfernen. Es gibt einen einfachen Weg, um festzustellen, ob dies der Fall ist. Vor SP1 wurde das Zertifikat eines Drittanbieters genutzt (statt eines selbst-signierten). Diese ältere Version nutzt einen anderen Microsoft Federation Gateway, wenn das Zertifikat ausgelaufen ist, müssen Sie unter Umständen Microsoft kontaktieren.

Eine große Anzahl akzeptierter Domains: Organisationen, die eine große Anzahl akzeptierter Domains aufgenommen haben, könnten ebenfalls in Probleme geraten. Der HCW wird ein namensbasiertes AutoDiscover jeder gelisteten Domäne ausführen, etwaige SRV-Einträge werden ignoriert. Exchange 2013 hat eine Funktion, mit der Sie einzelne Domains für den HCW auswählen können. Sie können die Hybridkonfiguration aktualisieren, indem sie ein Prefix in der autod:  für ihre Domain wie folgt anpassen:

Set-HybridConfiguration -Domain "domain.com, autod:primary.com"

Pre-Authentication: Organisationen, die TMG und ähnliche Software wie F5 oder KEMP Load Balancer verwenden, müssen unter Umständen herausfinden, ob sie Pre-Authentication nutzen. Diese Technik stellt sicher, dass sich ein Nutzer an Firewall oder Load Balancer mit Nutzername und Passwort anmeldet, bevor er sich mit Exchange verbinden kann.

Exchange Online verfügt über ein Federation Gateway für Verfügbarkeit und das Teilen von Kalendereinträgen. Diese Funktionen benötigen keine Pre-Authentication, sie nutzen die Web Services Security für die Anmeldung. Sie können Pre-Authentication in den /AutoDiscover- und /EWS-Unterverzeichnissen abschalten oder eine entsprechende Regel festlegen.

SSL Offload: Es ist möglich, dass sie den HCW erfolgreich starten, allerdings werden sie keine Mailboxen importieren können, welche die Funktion aktiviert haben. Exchange 2013 unterstützt SSL Offload, es sollte also kein Problem sein.

Zahlreiche größere Unternehmen mit Exchange 2010 nutzen SSL Offload. Die Größe der Infrastruktur könnte das notwendig machen. Die Funktion einfach abzuschalten ist also keine Option. Als Workaround können sie eine zweite virtuelle IP (VIP) mit einer anderen https-Adresse erstellen und diese dann für den Remote-Move-Assistenten nutzen.

SMTP Mailverkehr: Bevor Sie starten, sollten sie wissen, wie der Mailverkehr in Ihrer Organisation läuft. Der HCW wird neue Verbindungen für Senden und Empfangen und die Kommunikation mit Exchange Online erstellen. Diese sind essentiell für die Illusion, dass Nutzer nur mit einer einzigen Exchange-Organisation kommunizieren.

Es ist normalerweise recht einfach sicherzustellen, dass der HCW Exchange Send Connector für ausgehende Mails direkt mit Exchange Online kommuniziert, allerdings könnte der Empfänger unter Umständen Probleme bereiten. Organisationen, die den Mailverkehr bereits extern filtern, können möglicherweise die externe IP-Adresse, die sich von Office 365 mit dem System verbindet, nicht direkt an Exchange durchreichen. Stattdessen könnte etwa die Firewall oder der Load Balancer seine eigene IP-Adresse weitergeben. Im letzteren Fall hilft es, dem Load Balancer eine neue VIP zuzuweisen und diese für den eingehenden Mailverkehr zu nutzen. Möglicherweise müssen Sie einen neuen Empfänger konfigurieren, der an einem anderen Port auf andere eingehende IP-Verbindungen lauscht.

Die Liste dieser möglichen Probleme deckt natürlich nicht alle möglichen Szenarien ab, aber sie informiert über die häufigsten und immer wieder auftretende Schwierigkeiten beim hybriden Einsatz eines lokalen und Cloud-basierten Exchange-Systems.

Über den Autor: Steve Goodman ist Exchange-MVP und technischer Architekt bei der britischen Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und beschäftigt sich intensiv mit Microsoft Exchange ab Version 5.5.

Erfahren Sie mehr über Collaboration-Software

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close