O365 Hybrid – Exchange Federation Trust

Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den Exchange Federation Trust, genauer betrachten. Der Exchange Federation Trust wird automatisch eingerichtet, wenn man den Exchange Hybrid Configuration Wizard (HCW) nutzt. Es ist jedoch sinnvoll, hinter die Kulissen zu schauen, um zu verstehen was hier genau eingerichtet wird. Wie erwähnt, ist der Federation Trust nur ein Teil der Konfiguration, die vom HCW eingerichtet wird.

Exchange Hybrid Configuration Wizard

Für alle, die sich fragen, wo man den Exchange Hybrid Configuration Wizard herbekommt – hier der Link: https://aka.ms/HybridWizard
Der Link startet direkt den HCW-Download.

Exchange Federation Trust

Der Exchange Federation Trust stellt eine Verbindung mit dem Microsoft Exchange Federation Gateway her. Das Federation Gateway ist eine Art Vermittler und wird von Microsoft zur Verfügung gestellt.
Vergleicht man den Exchange Federation Trust mit einem Active Directory Domain Trust, so stellt man folgendes fest:

• Ein AD Trust wird direkt zwischen den beiden Domains eingerichtet, wo hingegen
• der Exchange Federation Trust mit dem Microsoft Federation Gateway hergestellt wird.

Will man sich mit einer anderen Exchange Organisation verbinden, so muss zusätzlich noch ein Organization Sharing eingerichtet werden – doch dazu später mehr.

Somit verbinden sich verschiedene Exchange Organisationen von unterschiedlichen Unternehmen mit dem gleichen Microsoft Federation Gateway. Auch die Exchange Organisation, welche sich hinter O365 verbirgt, ist mit dem Federation Gateway verbunden und somit auch jeder O365 Tenant.

Organization Sharing

Auf Basis des Federation Trust können sich zwei Exchange Organisationen mittels Organization Sharing miteinander verbinden. Jede Organisation für sich vertraut nur dem Federation Trust. Über das Organization Sharing können Anwender die Free/Busy Informationen mit Anwendern in der anderen Organisation austauschen. Zusätzlich zu Free/Busy können auch die sog. MailTips aktiviert werden, um z. B. den Out Of Office Status eines Adressaten direkt in Outlook anzuzeigen.

Funktionen des Organization Sharing:

• Free / Busy Abfragen
• Mail Tips
• Out Of Office Status
• Profilbilder

Einrichtung – DNS

Zur Einrichtung des Federation Trusts muss die Exchange Organisation ins Internet veröffentlicht sein. Autodiscover, OWA, EWS usw. müssen korrekt und mit öffentlichen Zertifikaten für den externen Zugriff eingerichtet sein. Dies soll in diesem Artikel aber nicht das Kernthema sein. Zur Einrichtung des Federation Trust benötigt Microsoft eine Art Beweis dafür, dass die Exchange Organisation, welche ich anbinden möchte, auch meine “eigene” ist. Dieser Beweis erfolgt über einen ähnlichen Weg, wie auch DNS Zonen in AzureAD registriert werden. Sobald der Federation Trust grundsätzlich aktiviert wurde (ECP > Organisation > Sharing), kann per PowerShell der sogenannte DomainProof angezeigt werden. Die hier angezeigte Zeichenkette muss in der externen DNS Zone als TXT Eintrag hinterlegt werden. Folglich sieht Microsoft es als bestätigt an, dass man Berechtigungen hat, die Organisation zu trusten.

Überprüfung der Konfiguration

Nachdem der Federation Trust und das Organization Sharing eingerichtet wurde (in unserem Beispiel mit dem HCW und O365), kann die Konfiguration per PowerShell kontrolliert werden.

Prüfung Federation Trust

Hier kann man erkennen, dass sowohl die OnPremises Organisation als auch O365 dem gleichen Federation Gateway vertrauen:

MicrosoftOnline

OnPremises

O365

Prüfung Organization Sharing

Hier werden die DNS E-Mail Domains der Exchange Organisationen angezeigt, welche sich vertrauen.

OnPremises

Die OnPremises Organisation vertraut dem O365 Tenant mit dem Namen “jkuenzlergmx.mail.onmicrosoft.com”

O365

Der O365 Tenant vertraut der OnPremises Organisation “univice.net”.

Prüfung Sharing Policies

Wichtig ist, dass die Sharing Policies auf beiden Seiten gleich eingestellt sind. Dies lässt sich so recht einfach prüfen:

OnPremises

O365

Fazit

Ich hoffe, dass ich mit diesen Erläuterungen die Zusammenhänge von Exchange Hybrid, Federation Trust und Organization Sharing ein wenig verdeutlichen konnte. Sollten Sie Unterstützung bei Ihrem O365 Transition Project benötigen, so sprechen Sie uns gerne an. Die erfahrenen Consultants der FirstAttribute unterstützen Sie gerne.

---

---