Hybrid Express Migration in der Praxis

Hybrid Express Migration in der Praxis

Hybrid Express Migration in der Praxis: Der Hybrid Configuration Wizard (HCW) Express Migration wurde Ende 2016 angekündigt. Die Migrations-Variante setzt auf den bewährten Komponenten des allerseits bekannten Hybrid Configuration Wizard auf. Der HCW ist zur Genüge dokumentiert, auch der abgespeckten Variante haben sich diverse MVP’s schon angenommen, also nichts weltbewegendes könnte man annehmen. Der Teufel aber steckt wenig überraschend im Detail. So stand diese Migrations-Variante z.B. für eine Migration nach Office 365 Germany während dem Verfassen dieses Blog-Artikels noch nicht zur Verfügung und dieser Zustand wird sich vorläufig nicht ändern. Wie man mit Office 365 Germany trotzdem den HCW nicht vollends aus konfiguriert nutzten kann, erfahren Sie in einem separaten Blog-Beitrag Office 365 Germany – Notes from the field.

Diese Migrations-Variante eignet sich vor allem für kleinere Unternehmen (10 – 200 MA – technisch ist jedoch auch eine grössere Anzahl Mailboxen mit dieser Variante migrierbar)

  • welche keine Koexistenz-Funktionalität (v.a. Free/Busy-Abfragen) zwischen Exchange Online und Exchange On-Premises benötigen
  • welche auf keiner permanenten Verzeichnis-Synchronisation zwischen Azure AD und AD On-Premises aufsetzen
  • welche eine kurze Transition-Dauer nach Exchange Online planen (< 2 Wochen).

Die vergleichbaren, älteren Migrations-Varianten «Cutover» oder «Staged Migration» eignen sich für die meisten heute eingesetzten On-Premises Exchange-Versionen schon gar nicht mehr und die auf den ersten Blick einfache Variante Export-PST/Import-PST wird aus meiner Sicht häufig unterschätzt:

  • Die Datenkonsistenz kann beim Export/Import der Daten nur mittels Umschalten des MX-Records nach EOP sichergestellt werden
  • Die Verfügbarkeit aller Daten in den Exchange Online Mailboxen kann nicht zeitnah sichergestellt werden (die Daten-Vorsynchronisation mittels PST-Dateien empfehle ich nicht)
  • Weitere Mail-Objekte wie z.B. Verteiler-Gruppen müssen im Azure AD von Hand erstellt werden
  • Alle Outlook-Profile müssen neu erstellt werden und die meisten Mailbox-Eigenschaften (v.a. Mailbox-Berechtigungen) gehen beim Export/Import verloren
  • Der PST-Import in Office 365 ist alles andere als performant

Die HCW Express Migration merzt alle Nachteile, welche ich zur Variante Export-PST/Import-PST beschrieben habe, aus. Man kann also einen geregelten Migrations-Betrieb orchestrieren, worin die gewünschten Mailbox-Gruppen gemeinsam migriert werden können, ohne eine vollständige Hybrid-Implementation inklusive einer dedizierten Azure Active Directory Connect (AADC) Installation & Konfiguration machen zu müssen. Letzteres stimmt bei der genauen Betrachtung dieser Migrations-Variante nicht ganz, AADC hat auch in der Express Migration eine zentrale Bedeutung, was mich zu den Limitationen der Express Migration bringt:

  • Keine Free/Busy-Abfragen zwischen On-Premises & Cloud möglich
  • Mail-Verkehr zwischen On-Premises & Cloud ist nicht durch TLS gesichert/verschlüsselt
  • Bisherige On-Premsies Outlook Web Access URL’s bekommen keine Weiterleitung konfiguriert
  • Mailbox-Moves via Office 365 Admin-Portal (Setup/Data-Migration/Exchange)
    • Nur auf lizenzierten oder unpersönlichen Objekten möglich
    • Nur ein Migrations-Batch aufs Mal konfigurierbar
    • Mailbox-Vorsynchronisation nicht möglich (die Migrations-Batches werden via Office 365-Portal automatisch erstellt und sind so konfiguriert, dass die Mailbox-Moves gleich abgeschlossen werden)
  • Der Migrations-Endplunkt wird durch HCW Express Migration oft nicht automatisch erstellt. Das nachträgliche Erstellen via Office 365 Admin-Portal, Setup/Data-Migration/Exchange ist jedoch möglich: dazu muss mindestens ein öffentlicher DNS-Name bekannt sein, unter welchem die On-Premises Exchange Server ins Internet publiziert sind. Der externe Autodiscover-Eintrag muss nicht zwingend vorhanden sein (was bei Firmen, welche keinen nativen, externen Exchange-Zugriff zulassen, absolut der Fall sein kann)
  • Vorgängige Verzeichnis-Synchronisations-Aktivitäten auf dem Office 365-Tenant verhindern den Einsatz der HCW Express Migration. Das äussert sich dadurch, dass der Dialog «Provisioning users» sowie der AADC-Download & dessen Installation während des HCW-Prozesses nicht erscheinen (die Verzeichnis-Synchronisation kann im alten Azure Portal oder via dem PowerShell-Befehl «Set-MsolDirSyncEnabled -EnableDirSync $false» deaktiviert werden)
  • HCW Express Migration startet am Ende des Prozesses den Download & die Installation vom AADC
    • Es wird nicht «per se» die aktuellste Version vom AADC herunter geladen (prüfen Sie die AADC-Version-History, sofern die aktuellste Version von AADC benötigt wird)
    • Nach der Installation vom AADC wird einem vorgeschlagen, den Express Setup für das einmalige Synchronisieren der Accounts nach Office 365 vorzunehmen. Dieses Vorgehen ist nicht ratsam, da dadurch alle AD-Objekte (Benutzer, Gruppen und Kontakte) aus dem konfigurierten On-Premises AD in die Cloud synchronisiert werden
    • Starten Sie AADC-> Tasks-> Synchronization Options-> Sync-> Domain/OU-Filtering: Filtern Sie mindestens auf OU’s, welche die zu migrierenden Mailboxen und andere Mail-Objekte enthalten (Mail-Gruppen, Kontakte, etc. werden auch synchronisiert, analog einer herkömmlichen AADC-Implementation)
    • Des Weitern ist es empfehlenswert, den Job-Scheduler und den AutoUpdate vom AADC zu deaktivieren (via PowerShell: «Import-Module ADSync», dann «Set-ADSyncScheduler -SyncCycleEnabled $false» respektive «Set-ADSyncAutoUpgrade Disabled» ausführen)

Die Migration der Mailboxen erfolgt wie oben erwähnt mittels Office 365 Admin-Portal. Es ist nicht notwendig, ins Exchange Admin Center zu wechseln. Im Hintergrund werden aber die herkömmlichen Objekt-Prüfungen durchgeführt und «normale» Mailbox-Move-Requests generiert. Gerade bei Unternehmungen, deren On-Premises Exchange-Umgebung grössere Maildaten-Volumen hostet, ist es empfehlenswert auf die Variante «Minimal Hybrid» auszuweichen. Damit können die Mailboxen vorsynchronisiert werden und in einem «Mini-Big-Bang» dann alle Mailboxen in Exchange Online mehr oder weniger zeitgleich aktiviert werden. Insgesamt kann resümiert werden, dass die HCW Express Migration eine pragmatische, relativ einfach zu implementierende Variante ist, um sorgenfrei nach Exchange Online migrieren zu können. Haben Sie schon einen Office 365-Tenant und möchten ihre «HCW Express Migration-Readiness» prüfen? Microsoft hat dazu einen hilfreichen «Walkthrough» bereitgestellt.

Teams Guest Access – Episode 1

Microsoft Teams Guest Access

Steigende Bedeutung von Microsoft Teams

Seit dem 11. September 2017 steht der lange erwartete Gäste-Zugriff für Microsoft Teams zur Verfügung. Die üblichen «verdächtigen» Quellen haben schon interessante Erfahrungs-Berichte niedergeschrieben, aber so zeitnah schaffen es Leute wie ich, die sich ab und zu noch an der Front aufhalten, nicht sich solchen heissen Themen anzunehmen.

Nichts desto trotz, möchte ich die Gelegenheit nutzen den organisationsweiten Zugang auf Microsoft Teams etwas näher zu beleuchten. Wir bei TwinCap First AG sind der Meinung, dass Microsoft Teams grosses Potential hat, in naher Zukunft als DIE Kommunikations- und Kollaborationszentrale in Unternehmen vieler Branchen zu fungieren. Genährt wird unsere Annahme mit den kürzlich von Microsoft publizierten News an der Ignite 2017: viele Funktionen von Skype for Business werden in naher Zukunft in Microsoft Teams integriert werden, was v.a. für Unternehmen, die sich schon in der Microsoft Cloud bewegen, eine Vielzahl von Vorteilen mit sich bringen wird (Microsoft Teams steht ja bekanntlich für On-Premises nicht zur Verfügung). Aber zurück auf das eigentliche Thema dieses Blogs: aufgrund des aktuellen Entwicklungsstatus von Microsoft Teams war ich quasi gezwungen, die Blog-Überschrift mit dem Zusatz «Episode 1» zu versehen, denn beim momentan implementierten «Guest-Access» ist noch nicht das letzte Wort gesprochen.

Was können nun Unternehmen, welche im Besitze von Office 365-Lizenzen sind die Microsoft Teams enthalten, mit dieser Funktionalität machen bzw. unter welchen Voraussetzungen?

Wenn Sie Office 365 über den Browser nutzen, können Sie umgehend bestehende oder neue Teams mit «externen Benutzern» versehen. Dazu gehen sie wie folgt vor:

  1. In Microsoft Teams im Office 365 Admin-Portal, muss in den «Settings», «Service & add-ins» unter «Settings by user/license-type» das Feature «Business & Enterprise» aktiviert sein
  2. Der Gäste-Zugriff unter demselben Konfigurations-Punkt wie unter Pt. 1 beschrieben ebenfalls aktivieren (was standardmässig nicht der Fall ist)
  3. Verwenden Sie einen Teams Desktop-Client, welcher die Version 1.0.00.25151 oder höher aufweistblank
  4. Für den Teams Mobile-Clients müssen sie sich noch bis Ende 09/17 gedulden, bis der Gäste Zugriff auch auf diesem nutzbar ist

Teams und dessen Abhängigkeiten in Office 365

An dieser Stelle sei festgehalten, dass es starke Abhängigkeiten zwischen dem Azure Active Directory, den Office 365 Groups und diversen Office 365-Komponenten wie SharePoint Online, OneNote, OneDrive, Planner u.v.a. gibt. Dies gilt auch für die Betrachtung des «Teams Guest Access». Microsoft Teams können Sie als «Office 365 Top-Down-Implementation» betrachten.

Erstellt ein Benutzer ein Team, wird automatisch

  1. In Office 365 eine Gruppe erstellt
  2. Im Azure AD eine Gruppe vom Typ «Office 365» erstellt
  3. In Exchange Online eine Gruppe vom Typ «Distribution List» erstellt
  4. In SharePoint Online eine Team-Site erstellt
  5. In OneNote Online ein Notizbuch erstellt
  6. Ein Wiki-Bereich erstellt

Der Gäste-Zugriff funktioniert grundsätzlich für die meisten oben genannten Bereiche – sofern denn der Zugriff auch via Microsoft Teams initiiert wird. Anbei ein paar Szenarien, wie der Gäste-Zugriff in der Praxis aktuell daherkommt:

  1. Die Mitglieder-Verwaltung «repliziert» sich nicht in jedem Fall durch alle oben genannten Gruppen-Typen
    • Fügen Sie Gäste oder andere Mitglieder einer «Office-Gruppe» in Azure AD hinzu, wird diese Änderung aktuell nicht immer im dazugehörigen Team nachgetragen
    • Fügen Sie Gäste oder andere Mitglieder einer Office 365-Gruppe hinzu, wird diese Änderung aktuell nicht immer im dazugehörigen Team nachgetragen
    • Löschungen von Mitglieder einer Gruppe in Azure AD oder in derselben Gruppe in Office 365 werden nicht konsequent im dazugehörigen Team nachgezogen
    • Mitglieder-Änderungen in einer «Office-Gruppe» in Azure AD, lösen kein Einladungs-E-Mails für Office 365 Gruppen aus
    • Mitglieder-Änderungen in einer Office 365-Gruppe, lösen kein Einladungs-E-Mails für ein Team aus
  2. Gäste eines Teams haben zwar Zugriff auf die dazugehörige Office 365-Gruppe, kriegen aber in Outlook 2016 unter «Groups» diese Gruppe nicht automatisch angezeigt
  3. Mailkonversationen, welche in Office 365-Gruppen abgehalten werden, werden im dazugehörigen Team innerhalb von «Conversations» nicht wiedergegeben und umgekehrt
  4. Wurde einem Team ein «Planner» hinzugefügt, kann dieser aktuell von Gästen nicht genutzt werden, da der Planner für Gäste-Zugriff noch nicht bereit ist
  5. Jeder Gäste-Zugriff generiert im eigenen Office 365-Tenant einen Eintrag, welche Benutzer-Namen enthält, die wie folgt aussehen: hmuster_company.ch#EXT#@company.onmicrosoft.com
  6. Gäste-Zugriffe benötigen keine zusätzlichen Office 365-Lizenzen
  7. Die Teams «Presence-Statis» sind weder für Gäste noch Office 365-Mitgliedern mit den effektiven Skype for Busisnes-Client «Presence-Statis» synchron
  8. Microsoft stellt eine detaillierte Übersicht (scrollen Sie in den letzten Drittel der Site hinunter) über die verfügbaren und nicht verfügbare Funktionen für Gäste zur Verfügung

Die Terminologie «Gast» wird in Microsoft Teams aktuell (und künftig ) wie folgt gehandhabt:

  1. Empfänger welche ein Konto in einem Azure Active Directory verfügen, können als Gast hinzugefügt werden
  2. Empfänger mit einen Microsoft Account (MSA) werden künftig auch als Gäste hinzugefügt werden können (aktuell ist dies nicht implementiert)
  3. Empfänger welche weder ein Azure AD-Konto, noch über einen MSA verfügen, werden künftig weitergeleitet und können mit ihrer E-Mail-Adresse einen kostenfreiten MSA erstellen (aktuell ist dies nicht implementiert)

Des Weitern ist zu bemerken, dass man in Microsoft Teams momentan nicht daran gehindert wird, Mitglieder hinzuzufügen, welche grundsätzlich noch keinen Gastzugriff erlangen können. Das hinzugefügte Mitglied erhält sogar die Teams-Einladung, kann aber von dieser nocht keinen Gebrauch machen.

Nutzen von Teams aus verschiedenen Organisationen

Nutzt man heute Teams im Unternehmen und erlangt Gastzugriff in einem oder mehreren anderen Partner-Unternehmen, ist die Usability im Teams Client (Browser oder Desktop-Client) eher bescheiden. Die Gäste-Zugriffe werden heute nicht in den eigenen Unternehmens-Teams oder Channels dargestellt. Ist man einmal am Teams des eigenen Unternehmen angemeldet und will auf ein Gäste-Team zugreifen, meldet sich Teams de facto an ihrem Unternehmens Office 365-Teannt ab und meldet sich als Gast am Partner-Office 365-Tenant an. Das funktioniert weitgehend einwandfrei, aber für den Fall, dass man oft zwischen Gast- und Unternehmers-Zugriff wechseln muss, ist die Implementation noch nicht das Gelbe vom Ei.

Microsoft Teams

Der Blog von Steve Goodman beschreibt einen Workaround für die oben beschriebene Situation. Der Workaround ist praktikabel, sollte dieser jedoch bei einer grösseren Anzahl Benutzer umgesetzt werden, dann stelle ich mir das relativ umständlich und aufwendig vor. Hier die kurz zusammengefasst, wie der Workaround umgesetzt wird:

  1. Download des Tools Node.js (64bit-MSI-Version)
  2. Installation von Node.js (das Tool wird nur zum Erstellen der zusätzlichen «Teams-Instanzen» benötigt, es kann danach wieder deinstalliert werden)
  3. Via Browser am «eigenen» Teams anmelden und auf die gewünschte «Gäste-Team-Umgebung» verbinden. Dabei sich den jeweiligen Teams-URL merken, Beispiel: https://teams.microsoft.com/?tenantId=65464dfb-c3a8-4b7c-1f11-56ffbb454e45
  4. Einen Kommando Prompt als Benutzer öffnen und folgenden Befehl absetzen: npm install nativefier (damit ist Node.js bereit)
  5. Für die jeweilige Gäste-Team-Umgebung nun folgenden Befehl abgesetzen (URL, Parameter «name» & «icon» anpassen – wichtig vor «name» & «icon» jeweils einen Doppelbindestrich einfügen «–«): node_modules\.bin\nativefier.cmd https://teams.microsoft.com/?tenantId=65464dfb-c3a8-4b7c-1f11-56ffbb454e45 –name «Teams – Partnerfirma» –icon Teams.png
  6. Node.js erstellt im aktuellen Verzeichnis einen Ordner mit demselben Namen wie in Schritt 5 mit dem Parameter «Name» definiert wurde
  7. Im oben beschriebenen Pfad die gleichnamige EXE-Datei dorthin verknüpfen, wo man möchte & starten – das erstmalige Starten erfordert eine Anmeldung, welche danach gespeichert ist (die Schritte 3 – 7 sind pro «Gäste-Team-Umgebung» zu wiederholen)

Das war es für diese Episode «Teams» – to be continued…..

SharePoint Online Backup & Restore

SharePoint Online Backup & Alternativen

SharePoint Online Backup & Restore

Backup und Restore unter Office 365 ist aus unserer Sicht eines der Themen, welches noch nicht die notwendige Aufmerksamkeit geniesst. Selbstverständlich kennt der geübte SharePoint-Administrator die eingebauten Schutzmechanismen. Manchen Unternehmen genügt dieser Office 365-Selbstschutz. In einer On-Premises-Welt gehören zudem 3rd-Party Backup-Tools, welche es einem ermöglichen auch granular Daten über einen Zeitraum von mehr als 30 oder 90 Tage in der Vergangenheit hinaus wiederherzustellen, zur Standard-Ausrüstung.

Dieser Blog befasst sich mit den Fakten und Möglichkeiten rund um SharePoint Online. Da sich die Dienste von Office 365 in stetiger Weiterentwicklung befinden, mögen nicht alle in diesem Blog getätigten Aussagen immer und ewig Beständigkeit haben. Grundsätzlich ist festzuhalten, was für SharePoint Online in Sachen Built-In-Werkzeugen gilt, gilt auch für OneDrive for Business. Auch den Office 365 Groups, welche ebenfalls den Speicher von SharePoint Online nutzen, stehen für die SharePoint-Inhalte dieselben Wiederherstellungs-Mechanismen zur Verfügung. Office 365 Groups selbst bleiben nach Ihrer Löschung für 30 Tage in einen «soft-deleted» Status. In diesem Zeitraum können Office 365 Groups inkl. deren gesamter Inhalt auch mit dem built-in-tools wiederhergestellt werden. Während unter Exchange Online kein herkömmliches Backup «out of the box» durchgeführt werden kann,  passiert unter SharePoint Online in Sachen Backup zumindest im Hintergrund das eine oder andere.

Was Microsoft im Hintergrund macht

  • Microsoft macht alle 12 Stunden einen Backup aller Site Collections
  • Microsoft kann bis auf 14 Tage zurück Daten wiederherstellen
  • Microsoft kann jeweils «nur» die ganze Site Collection unter der ursprüngliche URL wiederherstellen (bestehende Daten werden also überschrieben)
  • Ein solcher Restore kann nur über einen Service Request, welcher über das Office 365-Portal eröffnet werden muss, realisiert werden
  • Bis ein solcher Restore von Microsoft durchgeführt wurde, können gut und gerne 2 – 4 Tag vergehen

Das Wiederherstellen von Site-Collections kann von Site Collection Administrator auch selbst durchgeführt werden – sofern sich eine Site Collection dann noch im Site Collection-Papierkorb befindet. Nach 30 Tagen werden Site Collections aus dem erwähnten Papierkorb endgültig gelöscht. Löschungen von SharePoint-Inhalt aus Sites, Listen, Libraries oder Folders werden zuerst in den «Papierkorb» (First Stage Recycle Bin) verschoben. Eigene Daten kann ein Benutzer bis auf 93 Tage zurück selber wiederherstellen oder auch vom Papierkorb löschen. Zu bemerken ist, dass die Daten im Papierkorb zu den Storage Quotas angerechnet werden.

Daten, welche vom Papierkorb gelöscht werden, landen im «endgültigen Papierkorb» (Second Stage Recycle Bin), worin die Daten nach maximal 93 Tagen nach ihrer effektive (ersten) Löschung entfernt werden. Ab diesem Zeitpunkt sind die Daten unwiderruflich gelöscht. Die Daten im «endgültigen Papierkorb» werden nicht der Storage Quota angerechnet. Wiederherstellungen aus dem endgültigen Papierkorb können vom Site Collection Administrator durchgeführt werden.

Second Stage Recycle Bind
Spätestens beim Löschen aus dem Second Stage Recycle Bin wird auf die
maximale Retention-Time von 93 Tagen aufmerksam gemacht

Eine weitere erwähnenswerte Wiederherstellungs-Methoden unter SharePoint Online ist das «Versioning», welches automatisch aktiv ist und es einem erlaubt per default bis auf 500 Versionen eines Dokumentes zurück zu greifen. Natürlich kann von SharePoint Online jederzeit via Windows Explorer ein Offline-Backup erstellt werden. Diese Methode ist jedoch schwerfällig, zudem verliert man die Meta-Daten auf Dateien, die durch ein Offline Backup gesichert wurden.

Aufgrund der bis hierhin beschriebenen Möglichkeiten kann mal leicht die wichtigsten Nachteile der Backup/Restore-Möglichkeiten identifizieren:

  • Die Generationen wiederherstellbarer Daten sind begrenzt (zwischen 14 und 93 Tagen)
  • Daten die man wiederherstellen muss, können nicht granular zurück gesichert werden, viel mehr werden bestehende Site Collections unter möglicherweise aktiv genutzten URL’s überschrieben

SkyKick Cloud Backup for Office 365

Unter SharePoint On-Premises schliessen an dieser Stelle 3rd Party Backup-Tools die Lücken. Jedoch sind dieselben Tools aktuell nicht oder noch nicht für SharePoint Online zu gebrauchen. Anstatt nun Link-Sammlung von potentiellen Anbietern aufzulisten, stellen wir einen Anbieter vor, mit welchem die Twincap First AG im Rahmen von Office 365-Backup/Restores zusammenarbeitet, respektive mit dessen Lösung schon diverse Kundenprojekte umgesetzt wurden. Die Werkzeuge der Cloud-Lösung von SkyKick bestechen durch eine äusserst einfache Bedienung und höchst interessanten Funktionalitäten (dies trifft für SharePoint Online, OneDrive for Business aber auch Exchange Online und zu):

  • Die Sicherungen können bis 6 x täglich erfolgen
  • Die Sicherungen können bis zu definierten Zeitspannen oder unlimitiert aufbewahrt werden
  • Der Backup der Daten erfolgt auf sicheren Azure Storage
  • Gelöschte oder neu erstellte Daten wie Site Collections oder Mailboxen werden automatisch erkennt und nicht mehr, bzw. eben neu gesichert

Skykick Dashboard
SkyKick Restore-Oberfläche für SharePoint Online

Fairerweise ist hierbei zu bemerken, dass auch Skykick noch nicht in der Lage ist  Office 365 Groups zu sichern oder wiederherzustellen, jedoch wird auch diese Funktion demnächst integriert werden.

Fazit

Wer SharePoint Online nutzt, dem stehen, ohne das hinzufügen von 3rd  Party-Tools, limitierte Backup/Restore-Möglichkeiten zur Verfügung. Wer diese Limitationen überwinden möchte, entsprechende Anforderungen im Bereich Aufbewahrungspflicht hat oder schlicht eine einfache Methode zur granularen Wiederherstellung von Daten aus SharePoint Online und OneDrive for Business will, sollte  sich mit Office 365 kompatiblen Zusatzlösungen wie z.B. derjenigen von SkyKick befassen.

Exchange Hybrid-Rückbau

Exchange Hybrid Decommissioning

Migration nach Exchange Online abgeschlossen

Die Anzahl Unternehmen, welche vor allem ihre On-Premises Exchange-Umgebung nach Office 365 migrieren oder migriert haben, steigt stetig an. Dieser Blog-Beitrag befasst sich mit dem Thema «Nach der Migration nach Exchange Online».

Ein schlagkräftiges Argument für die Migration der eigenen Mail-Umgebung in die Microsoft-Cloud besteht natürlich darin, dass die On-Premises Mail-Server und alle dazugehörigen Systeme aus dem Verkehr gezogen werden können. Somit kann auch effektiv etwas eingespart werden. Microsoft beschreibt in einem TechNet-Beitrag ausführlich, wie man sich in den verschiedenen Szenarien zu verhalten hat. Ich konzentriere mich in meinen nachfolgenden Ausführungen auf dasjenige Szenario, welches die meisten Unternehmen mit Exchange On-Premises schlussendlich antreffen werden. Von folgenden Voraussetzungen gehe ich aus:

  • Alle Mailboxen und Public Folder wurden nach Exchange Online migriert
  • Der SMTP-Inbound- & Outbound-Traffic erfolgt direkt via Exchange Online Protection
  • Die Autodiscover-DNS-Einträge zeigen direkt nach Exchange Online
  • Alle Dienste & Applikationen, welche bisher über die On-Premises Exchange Server SMTP-Relaying gemacht haben, tun dies nun via Exchange Online
  • Es gibt keine 3rd-Party-Applikationen mehr, welche in irgendeiner Form On-Premises auf einen Exchange-Server angewiesen wären (diese Applikationen kommunizieren nun über die unterstützten Protokolle direkt mit Exchange Online)
  • Das lokale Active Directory wird nach wie vor On-Premises verwendet und die benötigten Identitäten werden mit Azure Active Directory Connect (AADC) nach Office 365 respektive ins Azure Active Directory synchronisiert

Die eingefleischten, langjährigen Administratoren von gepflegten Exchange-Umgebungen werden nun sagen: «Sämtliche Exchange-Server zurückbauen, Organisations-Konfigurationen entfernen und die Empfänger-Verwaltung von nun an in Exchange Online durchführen!» Würde man dies tun – man wird dabei beim Umsetzen auch nicht daran gehindert oder gewarnt – läuft man Gefahr, plötzlich nicht mehr in der Lage zu sein, die relevanten Attribute wie z.B. die «PrimarySMTPAddress» oder die «EmailAddresses» bequem editieren zu können.

Der Grund dafür ist einfach: alle Empfänger-Objekte (Mailboxen, Verteilerlisten oder Kontakte) wurden von AADC nach Office 365 synchronisiert, wobei deren «Sync Type» im Office 365-Protal auf  «Synced with Active Directory» steht. Dieser Zustand verunmöglicht das Administrieren dieser Objekte in Exchange Online – der Grund dafür: Das On-Premises Active Directory ist «Master» der besagten, synchronisierten Objekte und demzufolge hat deren Administration im On-Premises Active Directory zu erfolgen.

«Wo liegt das Problem», sagen die Exchange- und AD-Administratoren, dazu gibt es doch ADSIEDIT oder ich bearbeite gleich alle Attribute via Script mittels dem Active Direcory PowerShell Modul oder dem gutem alten Quest AD PowerShell Modul. Damit lassen sich in der Realität auch alle gängigen Use Cases abdecken, aber das Ganze hat einen Haken: dieses Vorgehen ist von Microsoft nicht unterstützt. Die einzigen zwei Werkzeuge, welche zur Verwaltung der besagten Mail-Attribute unterstützt sind, sind zum einen die Exchange Management Shell (PowerShell) und zum anderen die Exchange Administration Console (Web). Vergessen Sie hierbei gleich die Exchange Management Konsole von Exchange 2010, den diese hat dafür anno dazumal funktioniert, tut ihren Dienst aber inzwischen nicht mehr.

Nachfolgend eine Zusammenstellung, was Sie On-Premises mindestens noch brauchen, um die Mail-Empfänger-Verwaltung korrekt durchführen zu können:

  • 1 Exchange Server, mind. Version 2013
  • Exchange Server jeweils mit dem aktuellsten CU ausrüsten
  • Dieser Exchange Server benötigt keine zu bezahlende Lizenz, Microsoft stellt dafür eine spezielle «Exchange Hybrid-Lizenz» zur Verfügung
  • Sämtliche Hybrid-Konfigurations-Elemente können entfernt werden (8-tung: lässt sich unter Exchange 2010 nicht elegant mit PowerShell-Befehlen umsetzen, die verbleibenden Elemente im AD-Configuration-Container stören aber den AD-Betrieb in keiner Weise)
  • Der besagte Exchange Server hostet weder Daten (Mailboxen oder Public Folders), noch routet er noch irgendwelche Nachrichten
  • Die initial erstellten Empfänger-Objekte für «Benutzer Mailboxen» sollten vom Typ «Mail-User» sein (nach der Synchronisation mit AADC werden sie zum Typ «Remote Mailbox» konvertiert)

Verteilerlisten, Kontakte, Shared Mailboxen, Room Mailboxen oder Equipment Mailboxen müssen sie nicht zwingend On-Premises erstellen und verwalten, da deren Identitäten nicht zum Authentifizieren benutzt werden. Sie können diese Objekte auch direkt in Exchange Online erstellen und verwalten. Zwecks einer einheitlichen Administration sollte man sich jedoch damit befassen, die Mutationen aller Objekte auf dem On-Premises AD durchzuführen und AADC synchronisiert dann die Objekte und deren Modifikationen ins Azure Active Directory.

Zu guter Letzt  habe ich zum Thema noch eine gute Nachricht. In absehbarer Zeit wird dieser «Exchange Hybrid Server» nicht mehr notwendig sein: Microsoft wird ein Feature mit dem Namen «Hybrid Recipient Management» lancieren, womit die Administration der (Mail)Objekte bequem On-Premises oder in der Cloud erfolgen kann. Dieses Feature wird im Q1 2018 im Preview erwartet.

 

Kontakt
close slider

Standort Schweiz

TwinCap First AG
Favreweg 1
CH-8304 Wallisellen
+41 44 666 50 50
info@twincapfirst.ch

Standort Deutschland

IT Boosting
Cloud Systemhaus
Bahnhofstraße 32
DE-72458 Albstadt
+49 7431 9493 440
info@it-boosting.de

Support: Hier klicken!