• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

O365 Hybrid – Exchange Federation Trust

Okt 27, 2020 (Letztes Update) | Posted by Jens Künzler Exchange, Konfiguration |

 

O365 Hybrid – Exchange Federation Trust

Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den Exchange Federation Trust, genauer betrachten. Der Exchange Federation Trust wird automatisch eingerichtet, wenn man den Exchange Hybrid Configuration Wizard (HCW) nutzt. Es ist jedoch sinnvoll, hinter die Kulissen zu schauen, um zu verstehen was hier genau eingerichtet wird. Wie erwähnt, ist der Federation Trust nur ein Teil der Konfiguration, die vom HCW eingerichtet wird.

Inhaltsverzeichnis

  • 1 Exchange Hybrid Configuration Wizard
  • 2 Exchange Federation Trust
  • 3 Organization Sharing
  • 4 Einrichtung – DNS
  • 5 Überprüfung der Konfiguration
  • 6 Fazit

Exchange Hybrid Configuration Wizard

Für alle, die sich fragen, wo man den Exchange Hybrid Configuration Wizard herbekommt – hier der Link: https://aka.ms/HybridWizard
Der Link startet direkt den HCW-Download.

Exchange Federation Trust

Der Exchange Federation Trust stellt eine Verbindung mit dem Microsoft Exchange Federation Gateway her. Das Federation Gateway ist eine Art Vermittler und wird von Microsoft zur Verfügung gestellt.
Vergleicht man den Exchange Federation Trust mit einem Active Directory Domain Trust, so stellt man folgendes fest:

  • Ein AD Trust wird direkt zwischen den beiden Domains eingerichtet, wo hingegen
  • der Exchange Federation Trust mit dem Microsoft Federation Gateway hergestellt wird.

Will man sich mit einer anderen Exchange Organisation verbinden, so muss zusätzlich noch ein Organization Sharing eingerichtet werden – doch dazu später mehr.

Exchange Federation Trust, Gateway onpremise

Microsoft Exchange Federation Gateway

Somit verbinden sich verschiedene Exchange Organisationen von unterschiedlichen Unternehmen mit dem gleichen Microsoft Federation Gateway. Auch die Exchange Organisation, welche sich hinter O365 verbirgt, ist mit dem Federation Gateway verbunden und somit auch jeder O365 Tenant.

Experten für O365 Transition Projects

Organization Sharing

Auf Basis des Federation Trust können sich zwei Exchange Organisationen mittels Organization Sharing miteinander verbinden. Jede Organisation für sich vertraut nur dem Federation Trust. Über das Organization Sharing können Anwender die Free/Busy Informationen mit Anwendern in der anderen Organisation austauschen. Zusätzlich zu Free/Busy können auch die sog. MailTips aktiviert werden, um z. B. den Out Of Office Status eines Adressaten direkt in Outlook anzuzeigen.

Funktionen des Organization Sharing:

  • Free / Busy Abfragen
  • Mail Tips
  • Out Of Office Status
  • Profilbilder

Organization Sharing - onpremise, o365 hybrid, federation trust

Einrichtung – DNS

Zur Einrichtung des Federation Trusts muss die Exchange Organisation ins Internet veröffentlicht sein. Autodiscover, OWA, EWS usw. müssen korrekt und mit öffentlichen Zertifikaten für den externen Zugriff eingerichtet sein. Dies soll in diesem Artikel aber nicht das Kernthema sein. Zur Einrichtung des Federation Trust benötigt Microsoft eine Art Beweis dafür, dass die Exchange Organisation, welche ich anbinden möchte, auch meine “eigene” ist. Dieser Beweis erfolgt über einen ähnlichen Weg, wie auch DNS Zonen in AzureAD registriert werden. Sobald der Federation Trust grundsätzlich aktiviert wurde (ECP > Organisation > Sharing), kann per PowerShell der sogenannte DomainProof angezeigt werden. Die hier angezeigte Zeichenkette muss in der externen DNS Zone als TXT Eintrag hinterlegt werden. Folglich sieht Microsoft es als bestätigt an, dass man Berechtigungen hat, die Organisation zu trusten.

PowerShell
1
Get-FederatedDomainProof -DomainName <DNS-Suffix>

Einrichtung DNS - Exchange Federation Trust - O365

Überprüfung der Konfiguration

Nachdem der Federation Trust und das Organization Sharing eingerichtet wurde (in unserem Beispiel mit dem HCW und O365), kann die Konfiguration per PowerShell kontrolliert werden.

Prüfung Federation Trust

PowerShell
1
Get-FederationTrust | select TokenIssuerUri | ft -AutoSize

Hier kann man erkennen, dass sowohl die OnPremises Organisation als auch O365 dem gleichen Federation Gateway vertrauen:

MicrosoftOnline

OnPremises

Prüfung Federation Trust - on premise

O365

Prüfung Federation Trust - office 365

Prüfung Organization Sharing

PowerShell
1
Get-OrganizationRelationship | select Domainnames

Hier werden die DNS E-Mail Domains der Exchange Organisationen angezeigt, welche sich vertrauen.

OnPremises

Die OnPremises Organisation vertraut dem O365 Tenant mit dem Namen “jkuenzlergmx.mail.onmicrosoft.com”

Prüfung Organization Sharing - onpremises

O365

Der O365 Tenant vertraut der OnPremises Organisation “univice.net”.

Prüfung Organization Sharing - Office365

Prüfung Sharing Policies

PowerShell
1
Get-SharingPolicy | select domains

Wichtig ist, dass die Sharing Policies auf beiden Seiten gleich eingestellt sind. Dies lässt sich so recht einfach prüfen:

OnPremises

Prüfung Sharing Policies - Onpremises

O365

Prüfung Sharing Policies - Office365

Fazit

Ich hoffe, dass ich mit diesen Erläuterungen die Zusammenhänge von Exchange Hybrid, Federation Trust und Organization Sharing ein wenig verdeutlichen konnte. Sollten Sie Unterstützung bei Ihrem O365 Transition Project benötigen, so sprechen Sie uns gerne an. Die erfahrenen Consultants der FirstAttribute unterstützen Sie gerne.

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
Exchange Migration | AD Consulting

Kontaktieren Sie uns einfach unverbindlich,
wenn Sie ein O365 Transition Projekt planen.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 22.06.2017
Tags: Exchange HybridFederationFederation Trustm365Microsoft Exchange Federation GatewayO365Office 365Organization Sharing
0

You also might be interested in

ADFS-3.0-Neuerungen

Neuerungen in ADFS 3.0 (Active Directory Federation Services)

Jan 12, 2015

ADFS 3.0 ist Bestandteil von Windows Server 2012 R2. Die[...]

Connect-MsolService

Connect-MsolService – Unable to authenticate your credentials – Office 365 – SharePoint

Apr 12, 2013

Um Konfigurationen in einem Microsoft Online Tenant in der Microsoft Cloud z.B.[...]

Mailversand über O365 automatisieren

Mailversand über O365 automatisieren

Nov 26, 2019

Vielerorts wird von Microsoft Exchange auf Office 365 umgestellt. Damit[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Teams Benennungsrichtlinien definieren
  • Bitlocker-Recovery Password mit PowerShell auslesen
  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Alex bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Kupfer Küchenmischbatterie bei PowerShell – Gruppen-Manager Berechtigung setzen
  • Kevin bei Verschachtelung von Gruppen im AD
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next