Exchange for IT Pros Logo
Youtube Rss
Zum Hauptinhalt springen
Wie kann die Community helfen?
< Alle Themen
Drucken

Hybrid-Varianten

Veröffentlicht
Aktualisiert
VonThomas Stensitzki

Eine Exchange-Hybridbereitstellung verbindet eine lokale Exchange-Organisation mit Exchange Online und ermöglicht so einen flexiblen Übergang in die Cloud. Sie erlaubt es Unternehmen, Postfächer schrittweise zu migrieren und gleichzeitig eine einheitliche Benutzererfahrung sicherzustellen. 

Je nach Anforderung können dabei verschiedene Funktionsumfänge und Topologien gewählt werden. Während Minimal- oder Express-Hybridvarianten auf schnelle, unkomplizierte Migrationen abzielen, bietet Full Hybrid die vollständige und dauerhafte Integration beider Welten. Für besondere Anforderungen lässt sich eine Staged-Variante gezielt anpassen. 

Zusätzlich spielt die Wahl der Topologie eine Rolle: Die klassische Hybrid-Architektur ermöglicht maximale Kontrolle und Funktionsvielfalt, erfordert jedoch eine aufwändigere Infrastruktur. Die moderne Topologie setzt auf den Hybrid Agent, einen lokal installierten Windows-Dienst, und reduziert technische Hürden, bietet dafür aber weniger Optionen. 

Damit steht Organisationen ein breites Spektrum an Möglichkeiten zur Verfügung, von schlanken Übergangslösungen bis hin zu langfristigen Mischumgebungen. Entscheidend ist, die Variante zu wählen, die den technischen und organisatorischen Anforderungen am besten entspricht. So lässt sich der Weg in die Cloud flexibel und sicher gestalten.

Hybrid-Topologien

Copy the URL link to this section to share

Classic Hybrid Topology

  • Die ursprüngliche, traditionelle Hybridbereitstellung, bei der On-Premises-Server intensiv in die Cloud-Umgebung integriert werden.
  • Setzt auf klassische Hybrid Agent-Verbindungen, VPNs und direkten SMTP-/HTTPS-Datenverkehr zwischen On-Premises und Microsoft 365.
  • Gut geeignet für Unternehmen mit bestehender, komplexer Exchange-Infrastruktur und besonderen Anforderungen an Routing, Sicherheit und volle Feature-Parität.
  • Nachteil: Relativ hoher Verwaltungs- und Infrastrukturaufwand (z. B. Zertifikate, Firewall-Öffnungen, Load Balancer).
 

Modern Hybrid Topology

  • Nutzt den Hybrid Agent, der die Kommunikation zwischen Exchange On-Premises und Exchange Online vereinfacht.
  • Reduziert Komplexität, da keine direkten Firewall-Öffnungen und keine dedizierten Reverse Proxies/Load Balancer erforderlich sind.
  • Ideal für kleine und mittelgroße Organisationen oder Umgebungen mit restriktiven Netzwerksicherheitsrichtlinien.
  • Einschränkung: Nicht alle Features einer klassischen Full-Hybrid-Konfiguration stehen zur Verfügung (z. B. Nutzung von lokalen Postfach-Kalendern durch Microsoft Teams).

Hybrid-Funktionen

Copy the URL link to this section to share

Der Exchange Hybrid Configuration Wizard (HCW) richtet eine vertrauenswürdige Beziehung zwischen einer lokalen Exchange-Organisation und Exchange Online (Microsoft 365) ein. Dabei werden mehrere zentrale Bereiche konfiguriert, damit ein nahtloser Betrieb zwischen On-Premises und der Cloud möglich ist.

Der HCW konfiguriert:

  1. Organisationsbeziehungen und Federation
    • Einrichtung der bidirektionalen Organization Relationship-Konfigurationen zwischen der lokalen Exchange-Organisation und Exchange Online
    • Ermöglicht Funktionen wie z.B. Frei/Gebucht-Anzeigen (Free/Busy) über die Organisationsgrenzen hinweg
  2. Konnektoren für den Nachrichtenfluss
    • Erstellung von Inbound- iund Outbound-Konnektoren in Exchange Online
    • Erstellung eines Sendekonnektors für den Adressbereich der SMTP-Routingdomäne (TENANTNAME.mail.onmicrosoft.com)
    • Konfiguration eines Empfangskonnektors für die hybride SMTP-Kommunikation von Exchange Online
    • Aktivierung von Hybrid Mail Flow, wahlweise via Exchange Online Protection oder direkt über lokale Server (zentralisierter Nachrichtenfluss)
  3. Migrationsendpunkt für das Verschieben von Postfächern
    • Erstellung eines Migrations Endpunktes in Exchange Online
    • Aktivierung der MRSProxy-Funktion der virtuellen Verzeichnisse für Exchange Web Services
  4. OAuth-Authentifizierung
    • Einrichtung der OAuth-Authentifizierung für die Authentifizierung von Exchange Online zur lokalen Exchange-Organisation
  5. Dedizierte Entra-Hybrid-Applikation
    • Erstellung einer Entra-Unternehmensapplikation und Entra-App-Registrierung für die hybride Authentifizierung von Exchange Server zu Exchange Online
    • Der HCW aktiviert die Nutzung der Applikation durch die lokalen Exchange Server nicht; die Nutzung muss manuell aktiviert werden
  6. Übertragung lokaler Exchange-Konfigurationen (optional)

Hybrider Nachrichtenfluss

Copy the URL link to this section to share

In einer hybriden Exchange-Umgebung kann der Nachrichtenfluss zwischen der lokalen Exchange-Organisation und Exchange Online auf zwei Arten konfiguriert werden: zentralisiert oder dezentralisiert

Die gewählte Option bestimmt, über welchen Weg E-Mails geroutet werden, wenn sie zwischen lokalen Postfächern, Exchange Online-Postfächern und externen Empfängern übertragen werden. Sie beeinflusst zudem Sicherheitsfunktionen, Transport- und Journalregeln sowie Richtlinien zur Datenverlustprävention (DLP).

Der dezentrale Nachrichtenfluss ermöglicht, dass Exchange Online E-Mails direkt ins Internet sendet, während lokale Postfächer weiterhin den lokalen Transport nutzen. Diese Option reduziert die Abhängigkeit von der lokalen Infrastruktur und vereinfacht den Betrieb, erfordert jedoch eine sorgfältige Konfiguration der Richtlinien und Schutzmechanismen in Exchange Online. Dies ist die bevorzugte Konfigurationsvariante des Hybrid Configuration Wizards. Dies ist auch der Grund, warum die Option „Zentralisierter Nachrichtenfluss“ in der HCW-Konfiguration standardmäßig deaktiviert ist.

Beim zentralisierten Nachrichtenfluss, wie Microsoft ihn definiert, wird der gesamte ausgehende E-Mail-Verkehr von Exchange Online, über die lokale Exchange-Organisation geleitet und von dort an externe Empfängeradressen zugestellt. Der MX-Eintrag zeigt hierbei auf Exchange Online, respektive Exchange Online Protection (EOP).

Beim angepassten zentralisierten Nachrichtenfluss zeigt der MX-Eintrag nicht auf Exchange Online, sondern auf die On-Premises-Infrastruktur. Diese Variante ist insbesondere dann sinnvoll, wenn zentrale Sicherheits- oder Compliancevorgaben im lokalen System umgesetzt werden müssen. 

Beide Varianten, dezentraler und zentralisierter Nachrichtenfluss, erfordern, dass die SMTP-Kommunikation eine sog. Exchange-zu-Exchange-Kommunikation ist. Die Nutzung von Drittanbieter-MTAs oder anderen aktiven Netzwerkkomponenten, die die SMTP-Verbindungen unterbrechen, stellt ein nicht unterstütztes EInsatzszenario dar.

Dezentraler Nachrichtenfluss

Copy the URL link to this section to share
Diagramm des dezentralisierten Nachrichtenflusses in einer hybriden Exchange-Umgebung. Es zeigt den E-Mail-Verkehr zwischen Exchange Online (Microsoft 365) und einer lokalen Exchange-Organisation. Der MX-Eintrag verweist auf Exchange Online, wodurch externe E-Mails direkt in die Cloud zugestellt werden. SMTP-Verbindungen bestehen zwischen Exchange Online und dem lokalen Edge-Transport-Server für den internen Nachrichtenfluss (A und B). Exchange Online sendet und empfängt E-Mails direkt über das Internet, während lokale Exchange-Server ihren eigenen Transportweg nutzen. Das Diagramm verdeutlicht, dass der Cloud-Dienst und die lokale Umgebung unabhängig voneinander E-Mails ins Internet senden können. Copyright Thomas Stensitzki
Schematische Darstellung des dezentralen Nachrichtenfluss

Das Diagramm für den dezentralen Nachrichtenfluss zeigt die beiden Optionen für die Verbindung zwischen Exchange Online und der lokalen Exchange-Organisation.

  • Variante A
    • Direkte bidirektionale SMTP-Kommunikation zwischen Exchange Online und den lokalen Exchange Servern
    • Das Perimeter-Netzwerk wird „übersprungen“
  • Variante B
    • Die birektionale SMTP-Kommunikation erfolgt über im Perimeter-Netzwerk platzierte Exchange Server mit Edge-Transport-Rolle

Zentralisierter Nachrichtenfluss

Copy the URL link to this section to share

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Diagramm zur E‑Mail‑Flussarchitektur in einer Exchange‑Hybridumgebung. Oben ist Microsoft 365 mit Exchange Online dargestellt; darüber führt eine eingehende MX‑Verbindung von einem externen Drittanbieter‑Mailserver. Zwischen Exchange Online und dem lokalen Perimeternetzwerk zeigt das Diagramm zwei rote Pfeile für SMTP‑Verbindungen zum Edge‑Transport‑Server. Darunter befindet sich die On‑Premises‑Exchange‑Organisation mit mehreren Servern im Unternehmensnetzwerk, aus der ein weiterer Pfeil den ausgehenden Mailfluss zum externen Drittanbieter darstellt.
Schematische Darstellung des zentralissierten Nachrichtenfluss

Das Diagramm für den zentralisierten Nachrichtenfluss, nach Microsoft-Standard, zeigt das eingehende und ausgehende Routing von E-Mail-Nachrichten, sowie die beiden Optionen für die Verbindung zwischen Exchange Online und der lokalen Exchange-Organisation.

  • Eingehendes Routing A
    • Der MX-Eintrag zeigt direkt auf Exchange Online, um die Vorteile von EOP und Defender nutzen zu können
  • Hybrid-Variante B
    • Direkte bidirektionale SMTP-Kommunikation zwischen Exchange Online und den lokalen Exchange Servern
    • Das Perimeter-Netzwerk wird „übersprungen“
  • Hybrid-Variante C
    • Die birektionale SMTP-Kommunikation erfolgt über im Perimeter-Netzwerk platzierte Exchange Server mit Edge-Transport-Rolle
  • Ausgehendes Routing D
    • E-Mail-Nachrichten an externe Empfängeradressen werden von der ON-Premises Infrastruktur zugestellt

Angepasster zentralisierter Nachrichtenfluss (nicht MS-Standard)

Copy the URL link to this section to share

Beim angepassten zentralisierten Nachrichtenfluss einer Exchange-Hybrid-Konfiguration erfolgt die externe SMTP-Kommunikation für eingehende und ausgehende Nachrichten über die lokale Exchange Organisation. 

Diagramm des zentralisierten Nachrichtenflusses in einer hybriden Exchange-Umgebung. Es zeigt den E-Mail-Verkehr zwischen einer lokalen Exchange-Organisation und Exchange Online innerhalb von Microsoft 365. E-Mails von Exchange Online (A) und vom Internet (B) werden über den lokalen Edge-Transport-Server geleitet. Der MX-Eintrag verweist auf die lokale Exchange-Organisation, sodass alle externen Nachrichten zuerst on-premises ankommen. SMTP-Verbindungen bestehen zwischen Exchange Online und dem lokalen Edge-Transport-Server. Das Diagramm verdeutlicht, dass der gesamte Nachrichtenfluss – ein- und ausgehend – über die lokale Infrastruktur läuft, bevor E-Mails das Internet oder Exchange Online erreichen. Copyright Thomas Stensitzki
Schematische Darstellung des angepassten zentralisierten Nachrichtenfluss

Das Diagramm für den angepassten zentralisierten Nachrichtenfluss zeigt auch hier die beiden Optionen für die Verbindung zwischen Exchange Online und der lokalen Exchange-Organisation.

  • Variante A
    • Direkte bidirektionale SMTP-Kommunikation zwischen Exchange Online und den lokalen Exchange Servern
    • Das Perimeter-Netzwerk wird „übersprungen“
  • Variante B
    • Die birektionale SMTP-Kommunikation erfolgt über im Perimeter-Netzwerk platzierte Exchange Server mit Edge-Transport-Rolle
Schlagwörter:
Inhalt