• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

O365 Hybrid – Exchange Federation Trust

Okt 27, 2020 (Letztes Update) | Posted by Jens Künzler Exchange, Konfiguration |

 

O365 Hybrid – Exchange Federation Trust

Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den Exchange Federation Trust, genauer betrachten. Der Exchange Federation Trust wird automatisch eingerichtet, wenn man den Exchange Hybrid Configuration Wizard (HCW) nutzt. Es ist jedoch sinnvoll, hinter die Kulissen zu schauen, um zu verstehen was hier genau eingerichtet wird. Wie erwähnt, ist der Federation Trust nur ein Teil der Konfiguration, die vom HCW eingerichtet wird.

Inhaltsverzeichnis

  • 1 Exchange Hybrid Configuration Wizard
  • 2 Exchange Federation Trust
  • 3 Organization Sharing
    • 3.1 Funktionen des Organization Sharing:
  • 4 Einrichtung – DNS
  • 5 Überprüfung der Konfiguration
    • 5.1 Prüfung Federation Trust
    • 5.2 Prüfung Organization Sharing
    • 5.3 Prüfung Sharing Policies
  • 6 Fazit

Exchange Hybrid Configuration Wizard

Für alle, die sich fragen, wo man den Exchange Hybrid Configuration Wizard herbekommt – hier der Link: https://aka.ms/HybridWizard
Der Link startet direkt den HCW-Download.

Exchange Federation Trust

Der Exchange Federation Trust stellt eine Verbindung mit dem Microsoft Exchange Federation Gateway her. Das Federation Gateway ist eine Art Vermittler und wird von Microsoft zur Verfügung gestellt.
Vergleicht man den Exchange Federation Trust mit einem Active Directory Domain Trust, so stellt man folgendes fest:

  • Ein AD Trust wird direkt zwischen den beiden Domains eingerichtet, wo hingegen
  • der Exchange Federation Trust mit dem Microsoft Federation Gateway hergestellt wird.

Will man sich mit einer anderen Exchange Organisation verbinden, so muss zusätzlich noch ein Organization Sharing eingerichtet werden – doch dazu später mehr.

Exchange Federation Trust, Gateway onpremise

Microsoft Exchange Federation Gateway

Somit verbinden sich verschiedene Exchange Organisationen von unterschiedlichen Unternehmen mit dem gleichen Microsoft Federation Gateway. Auch die Exchange Organisation, welche sich hinter O365 verbirgt, ist mit dem Federation Gateway verbunden und somit auch jeder O365 Tenant.

Experten für O365 Transition Projects

Organization Sharing

Auf Basis des Federation Trust können sich zwei Exchange Organisationen mittels Organization Sharing miteinander verbinden. Jede Organisation für sich vertraut nur dem Federation Trust. Über das Organization Sharing können Anwender die Free/Busy Informationen mit Anwendern in der anderen Organisation austauschen. Zusätzlich zu Free/Busy können auch die sog. MailTips aktiviert werden, um z. B. den Out Of Office Status eines Adressaten direkt in Outlook anzuzeigen.

Funktionen des Organization Sharing:

  • Free / Busy Abfragen
  • Mail Tips
  • Out Of Office Status
  • Profilbilder

Organization Sharing - onpremise, o365 hybrid, federation trust

Einrichtung – DNS

Zur Einrichtung des Federation Trusts muss die Exchange Organisation ins Internet veröffentlicht sein. Autodiscover, OWA, EWS usw. müssen korrekt und mit öffentlichen Zertifikaten für den externen Zugriff eingerichtet sein. Dies soll in diesem Artikel aber nicht das Kernthema sein. Zur Einrichtung des Federation Trust benötigt Microsoft eine Art Beweis dafür, dass die Exchange Organisation, welche ich anbinden möchte, auch meine „eigene“ ist. Dieser Beweis erfolgt über einen ähnlichen Weg, wie auch DNS Zonen in AzureAD registriert werden. Sobald der Federation Trust grundsätzlich aktiviert wurde (ECP > Organisation > Sharing), kann per PowerShell der sogenannte DomainProof angezeigt werden. Die hier angezeigte Zeichenkette muss in der externen DNS Zone als TXT Eintrag hinterlegt werden. Folglich sieht Microsoft es als bestätigt an, dass man Berechtigungen hat, die Organisation zu trusten.

PowerShell
1
Get-FederatedDomainProof -DomainName <DNS-Suffix>

Einrichtung DNS - Exchange Federation Trust - O365

Überprüfung der Konfiguration

Nachdem der Federation Trust und das Organization Sharing eingerichtet wurde (in unserem Beispiel mit dem HCW und O365), kann die Konfiguration per PowerShell kontrolliert werden.

Prüfung Federation Trust

PowerShell
1
Get-FederationTrust | select TokenIssuerUri | ft -AutoSize

Hier kann man erkennen, dass sowohl die OnPremises Organisation als auch O365 dem gleichen Federation Gateway vertrauen:

MicrosoftOnline

OnPremises

Prüfung Federation Trust - on premise

O365

Prüfung Federation Trust - office 365

Prüfung Organization Sharing

PowerShell
1
Get-OrganizationRelationship | select Domainnames

Hier werden die DNS E-Mail Domains der Exchange Organisationen angezeigt, welche sich vertrauen.

OnPremises

Die OnPremises Organisation vertraut dem O365 Tenant mit dem Namen „jkuenzlergmx.mail.onmicrosoft.com“

Prüfung Organization Sharing - onpremises

O365

Der O365 Tenant vertraut der OnPremises Organisation „univice.net“.

Prüfung Organization Sharing - Office365

Prüfung Sharing Policies

PowerShell
1
Get-SharingPolicy | select domains

Wichtig ist, dass die Sharing Policies auf beiden Seiten gleich eingestellt sind. Dies lässt sich so recht einfach prüfen:

OnPremises

Prüfung Sharing Policies - Onpremises

O365

Prüfung Sharing Policies - Office365

Fazit

Ich hoffe, dass ich mit diesen Erläuterungen die Zusammenhänge von Exchange Hybrid, Federation Trust und Organization Sharing ein wenig verdeutlichen konnte. Sollten Sie Unterstützung bei Ihrem O365 Transition Project benötigen, so sprechen Sie uns gerne an. Die erfahrenen Consultants der FirstAttribute unterstützen Sie gerne.


FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
Exchange Migration | AD Consulting

Kontaktieren Sie uns einfach unverbindlich,
wenn Sie ein O365 Transition Projekt planen.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 22.06.2017
Tags: Exchange HybridFederationFederation Trustm365Microsoft Exchange Federation GatewayO365Office 365Organization Sharing
0

You also might be interested in

Office-365

E-Mail Migration nach O365 – Exchange Throttling Policies

Jan 19, 2016

Bei einer E-Mail Migration ist es wichtig zu wissen, wie[...]

Active Directory und Office 365 Koexistenz

Nov 18, 2014

Office 365 kommt mit einem eigenen Portal und erfordert damit[...]

Mailversand über O365 automatisieren

Mailversand über O365 automatisieren

Nov 26, 2019

Vielerorts wird von Microsoft Exchange auf Office 365 umgestellt. Damit[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next