Exchange for IT Pros Logo
Youtube Linkedin
Wie können wir helfen?
< Alle Themen
Drucken

Hybrid-Varianten

Veröffentlicht
Aktualisiert
VonThomas Stensitzki

Eine Exchange-Hybridbereitstellung verbindet eine lokale Exchange-Organisation mit Exchange Online und ermöglicht so einen flexiblen Übergang in die Cloud. Sie erlaubt es Unternehmen, Postfächer schrittweise zu migrieren und gleichzeitig eine einheitliche Benutzererfahrung sicherzustellen. 

Je nach Anforderung können dabei verschiedene Funktionsumfänge und Topologien gewählt werden. Während Minimal- oder Express-Hybridvarianten auf schnelle, unkomplizierte Migrationen abzielen, bietet Full Hybrid die vollständige und dauerhafte Integration beider Welten. Für besondere Anforderungen lässt sich eine Staged-Variante gezielt anpassen. 

Zusätzlich spielt die Wahl der Topologie eine Rolle: Die klassische Hybrid-Architektur ermöglicht maximale Kontrolle und Funktionsvielfalt, erfordert jedoch eine aufwändigere Infrastruktur. Die moderne Topologie setzt auf den Hybrid Agent, einen lokal installierten Windows-Dienst, und reduziert technische Hürden, bietet dafür aber weniger Optionen. 

Damit steht Organisationen ein breites Spektrum an Möglichkeiten zur Verfügung, von schlanken Übergangslösungen bis hin zu langfristigen Mischumgebungen. Entscheidend ist, die Variante zu wählen, die den technischen und organisatorischen Anforderungen am besten entspricht. So lässt sich der Weg in die Cloud flexibel und sicher gestalten.

Hybrid-Topologien

Copy the URL link to this section to share

Classic Hybrid Topology

  • Die ursprüngliche, traditionelle Hybridbereitstellung, bei der On-Premises-Server intensiv in die Cloud-Umgebung integriert werden.
  • Setzt auf klassische Hybrid Agent-Verbindungen, VPNs und direkten SMTP-/HTTPS-Datenverkehr zwischen On-Premises und Microsoft 365.
  • Gut geeignet für Unternehmen mit bestehender, komplexer Exchange-Infrastruktur und besonderen Anforderungen an Routing, Sicherheit und volle Feature-Parität.
  • Nachteil: Relativ hoher Verwaltungs- und Infrastrukturaufwand (z. B. Zertifikate, Firewall-Öffnungen, Load Balancer).
 

Modern Hybrid Topology

  • Nutzt den Hybrid Agent, der die Kommunikation zwischen Exchange On-Premises und Exchange Online vereinfacht.
  • Reduziert Komplexität, da keine direkten Firewall-Öffnungen und keine dedizierten Reverse Proxies/Load Balancer erforderlich sind.
  • Ideal für kleine und mittelgroße Organisationen oder Umgebungen mit restriktiven Netzwerksicherheitsrichtlinien.
  • Einschränkung: Nicht alle Features einer klassischen Full-Hybrid-Konfiguration stehen zur Verfügung (z. B. Nutzung von lokalen Postfach-Kalendern durch Microsoft Teams).

Hybrid-Funktionen

Copy the URL link to this section to share

Der Exchange Hybrid Configuration Wizard (HCW) richtet eine vertrauenswürdige Beziehung zwischen einer lokalen Exchange-Organisation und Exchange Online (Microsoft 365) ein. Dabei werden mehrere zentrale Bereiche konfiguriert, damit ein nahtloser Betrieb zwischen On-Premises und der Cloud möglich ist.

Der HCW konfiguriert:

  1. Organisationsbeziehungen und Federation
    • Einrichtung der bidirektionalen Organization Relationship-Konfigurationen zwischen der lokalen Exchange-Organisation und Exchange Online
    • Ermöglicht Funktionen wie z.B. Frei/Gebucht-Anzeigen (Free/Busy) über die Organisationsgrenzen hinweg
  2. Konnektoren für den Nachrichtenfluss
    • Erstellung von Inbound- iund Outbound-Konnektoren in Exchange Online
    • Erstellung eines Sendekonnektors für den Adressbereich der SMTP-Routingdomäne (TENANTNAME.mail.onmicrosoft.com)
    • Konfiguration eines Empfangskonnektors für die hybride SMTP-Kommunikation von Exchange Online
    • Aktivierung von Hybrid Mail Flow, wahlweise via Exchange Online Protection oder direkt über lokale Server (zentralisierter Nachrichtenfluss)
  3. Migrationsendpunkt für das Verschieben von Postfächern
    • Erstellung eines Migrations Endpunktes in Exchange Online
    • Aktivierung der MRSProxy-Funktion der virtuellen Verzeichnisse für Exchange Web Services
  4. OAuth-Authentifizierung
    • Einrichtung der OAuth-Authentifizierung für die Authentifizierung von Exchange Online zur lokalen Exchange-Organisation
  5. Dedizierte Entra-Hybrid-Applikation
    • Erstellung einer Entra-Unternehmensapplikation und Entra-App-Registrierung für die hybride Authentifizierung von Exchange Server zu Exchange Online
    • Der HCW aktiviert die Nutzung der Applikation durch die lokalen Exchange Server nicht; die Nutzung muss manuell aktiviert werden
  6. Übertragung lokaler Exchange-Konfigurationen (optional)

Hybrider Nachrichtenfluss

Copy the URL link to this section to share

In einer hybriden Exchange-Umgebung kann der Nachrichtenfluss zwischen der lokalen Exchange-Organisation und Exchange Online auf zwei Arten konfiguriert werden: zentralisiert oder dezentralisiert. Die gewählte Option bestimmt, über welchen Weg E-Mails nehmen, wenn sie zwischen lokalen Postfächern, Exchange Online-Postfächern und externen Empfängern übertragen werden. Sie beeinflusst zudem Sicherheitsfunktionen, Transport- und Journalregeln sowie Richtlinien zur Datenverlustprävention (DLP).

Beim zentralisierten Nachrichtenfluss wird der gesamte E-Mail-Verkehr, auch der aus Exchange Online, über die lokale Exchange-Organisation geleitet. Diese Variante ist insbesondere dann sinnvoll, wenn zentrale Sicherheits- oder Compliance-Vorgaben im lokalen System umgesetzt werden müssen. 

Der dezentrale Nachrichtenfluss ermöglicht hingegen, dass Exchange Online E-Mails direkt ins Internet sendet, während lokale Postfächer weiterhin den lokalen Transport nutzen. Diese Option reduziert die Abhängigkeit von der lokalen Infrastruktur und vereinfacht den Betrieb, erfordert jedoch eine sorgfältige Konfiguration der Richtlinien und Schutzmechanismen in Exchange Online.

Beide Varianten erfordern, dass die SMTP-Kommunikation eine sog. Exchange-zu-Exchange-Kommunikation ist. Die Nutzung von Drittanbieter-MTAs oder anderen aktiven Netzwerkkomponenten, die die SMTP-Verbindungen unterbrechen, stellt ein nicht unterstütztes EInsatzszenario dar.

 

Zentralisierter Nachrichtenfluss

Copy the URL link to this section to share
Diagramm des zentralisierten Nachrichtenflusses in einer hybriden Exchange-Umgebung. Es zeigt den E-Mail-Verkehr zwischen einer lokalen Exchange-Organisation und Exchange Online innerhalb von Microsoft 365. E-Mails von Exchange Online (A) und vom Internet (B) werden über den lokalen Edge-Transport-Server geleitet. Der MX-Eintrag verweist auf die lokale Exchange-Organisation, sodass alle externen Nachrichten zuerst on-premises ankommen. SMTP-Verbindungen bestehen zwischen Exchange Online und dem lokalen Edge-Transport-Server. Das Diagramm verdeutlicht, dass der gesamte Nachrichtenfluss – ein- und ausgehend – über die lokale Infrastruktur läuft, bevor E-Mails das Internet oder Exchange Online erreichen. Copyright Thomas Stensitzki
Schematische Darstellung des zentralisierten Nachrichtenfluss

Das Diagramm für den zentralisierten Nachrichtenfluss zeigt die beiden möglichen Optionen für die Verbindung zwischen Exchange Online und der lokalen Exchange-Organisation.

  • Variante A
    • Direkte bidirektionale SMTP-Kommunikation zwischen Exchange Online und den lokalen Exchange Servern
    • Das Perimeter-Netzwerk wird „übersprungen“
  • Variante B
    • Die birektionale SMTP-Kommunikation erfolgt über im Perimeter-Netzwerk platzierte Exchange Server mit Edge-Transport-Rolle

Dezentraler Nachrichtenfluss

Copy the URL link to this section to share
Diagramm des dezentralisierten Nachrichtenflusses in einer hybriden Exchange-Umgebung. Es zeigt den E-Mail-Verkehr zwischen Exchange Online (Microsoft 365) und einer lokalen Exchange-Organisation. Der MX-Eintrag verweist auf Exchange Online, wodurch externe E-Mails direkt in die Cloud zugestellt werden. SMTP-Verbindungen bestehen zwischen Exchange Online und dem lokalen Edge-Transport-Server für den internen Nachrichtenfluss (A und B). Exchange Online sendet und empfängt E-Mails direkt über das Internet, während lokale Exchange-Server ihren eigenen Transportweg nutzen. Das Diagramm verdeutlicht, dass der Cloud-Dienst und die lokale Umgebung unabhängig voneinander E-Mails ins Internet senden können. Copyright Thomas Stensitzki
Schematische Darstellung des dezentralen Nachrichtenfluss

Das Diagramm für den dezentralen Nachrichtenfluss zeigt die beiden möglichen Optionen für die Verbindung zwischen Exchange Online und der lokalen Exchange-Organisation.

  • Variante A
    • Direkte bidirektionale SMTP-Kommunikation zwischen Exchange Online und den lokalen Exchange Servern
    • Das Perimeter-Netzwerk wird „übersprungen“
  • Variante B
    • Die birektionale SMTP-Kommunikation erfolgt über im Perimeter-Netzwerk platzierte Exchange Server mit Edge-Transport-Rolle
Tags:
Inhalt