O365 Hybrid – Exchange Federation Trust
Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den Exchange Federation Trust, genauer betrachten. Der Exchange Federation Trust wird automatisch eingerichtet, wenn man den Exchange Hybrid Configuration Wizard (HCW) nutzt. Es ist jedoch sinnvoll, hinter die Kulissen zu schauen, um zu verstehen was hier genau eingerichtet wird. Wie erwähnt, ist der Federation Trust nur ein Teil der Konfiguration, die vom HCW eingerichtet wird.
Index
Exchange Hybrid Configuration Wizard
Für alle, die sich fragen, wo man den Exchange Hybrid Configuration Wizard herbekommt – hier der Link: https://aka.ms/HybridWizard
Der Link startet direkt den HCW-Download.
Exchange Federation Trust
Der Exchange Federation Trust stellt eine Verbindung mit dem Microsoft Exchange Federation Gateway her. Das Federation Gateway ist eine Art Vermittler und wird von Microsoft zur Verfügung gestellt.
Vergleicht man den Exchange Federation Trust mit einem Active Directory Domain Trust, so stellt man folgendes fest:
- Ein AD Trust wird direkt zwischen den beiden Domains eingerichtet, wo hingegen
- der Exchange Federation Trust mit dem Microsoft Federation Gateway hergestellt wird.
Will man sich mit einer anderen Exchange Organisation verbinden, so muss zusätzlich noch ein Organization Sharing eingerichtet werden – doch dazu später mehr.
Microsoft Exchange Federation Gateway
Somit verbinden sich verschiedene Exchange Organisationen von unterschiedlichen Unternehmen mit dem gleichen Microsoft Federation Gateway. Auch die Exchange Organisation, welche sich hinter O365 verbirgt, ist mit dem Federation Gateway verbunden und somit auch jeder O365 Tenant.
Organization Sharing
Auf Basis des Federation Trust können sich zwei Exchange Organisationen mittels Organization Sharing miteinander verbinden. Jede Organisation für sich vertraut nur dem Federation Trust. Über das Organization Sharing können Anwender die Free/Busy Informationen mit Anwendern in der anderen Organisation austauschen. Zusätzlich zu Free/Busy können auch die sog. MailTips aktiviert werden, um z. B. den Out Of Office Status eines Adressaten direkt in Outlook anzuzeigen.
Funktionen des Organization Sharing:
- Free / Busy Abfragen
- Mail Tips
- Out Of Office Status
- Profilbilder
Einrichtung – DNS
Zur Einrichtung des Federation Trusts muss die Exchange Organisation ins Internet veröffentlicht sein. Autodiscover, OWA, EWS usw. müssen korrekt und mit öffentlichen Zertifikaten für den externen Zugriff eingerichtet sein. Dies soll in diesem Artikel aber nicht das Kernthema sein. Zur Einrichtung des Federation Trust benötigt Microsoft eine Art Beweis dafür, dass die Exchange Organisation, welche ich anbinden möchte, auch meine „eigene“ ist. Dieser Beweis erfolgt über einen ähnlichen Weg, wie auch DNS Zonen in AzureAD registriert werden. Sobald der Federation Trust grundsätzlich aktiviert wurde (ECP > Organisation > Sharing), kann per PowerShell der sogenannte DomainProof angezeigt werden. Die hier angezeigte Zeichenkette muss in der externen DNS Zone als TXT Eintrag hinterlegt werden. Folglich sieht Microsoft es als bestätigt an, dass man Berechtigungen hat, die Organisation zu trusten.
|
1 |
Get-FederatedDomainProof -DomainName <DNS-Suffix> |
Überprüfung der Konfiguration
Nachdem der Federation Trust und das Organization Sharing eingerichtet wurde (in unserem Beispiel mit dem HCW und O365), kann die Konfiguration per PowerShell kontrolliert werden.
Prüfung Federation Trust
|
1 |
Get-FederationTrust | select TokenIssuerUri | ft -AutoSize |
Hier kann man erkennen, dass sowohl die OnPremises Organisation als auch O365 dem gleichen Federation Gateway vertrauen:
MicrosoftOnline
OnPremises
O365
Prüfung Organization Sharing
|
1 |
Get-OrganizationRelationship | select Domainnames |
Hier werden die DNS E-Mail Domains der Exchange Organisationen angezeigt, welche sich vertrauen.
OnPremises
Die OnPremises Organisation vertraut dem O365 Tenant mit dem Namen „jkuenzlergmx.mail.onmicrosoft.com“
O365
Der O365 Tenant vertraut der OnPremises Organisation „univice.net“.
Prüfung Sharing Policies
|
1 |
Get-SharingPolicy | select domains |
Wichtig ist, dass die Sharing Policies auf beiden Seiten gleich eingestellt sind. Dies lässt sich so recht einfach prüfen:
OnPremises
O365
Fazit
Ich hoffe, dass ich mit diesen Erläuterungen die Zusammenhänge von Exchange Hybrid, Federation Trust und Organization Sharing ein wenig verdeutlichen konnte. Sollten Sie Unterstützung bei Ihrem O365 Transition Project benötigen, so sprechen Sie uns gerne an. Die erfahrenen Consultants der FirstAttribute unterstützen Sie gerne.
Dieser Artikel entstand bei Projekten der FirstAttribute AG
Exchange Migration | AD Consulting
Kontaktieren Sie uns einfach unverbindlich,
wenn Sie ein O365 Transition Projekt planen.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>