O365 Hybrid – Exchange Federation Trust

(Letztes Update) | Posted by | Exchange, Konfiguration |

 

O365 Hybrid – Exchange Federation Trust

Heute möchte ich einen Teil der O365 Hybrid Konfiguration, den Exchange Federation Trust, genauer betrachten. Der Exchange Federation Trust wird automatisch eingerichtet, wenn man den Exchange Hybrid Configuration Wizard (HCW) nutzt. Es ist jedoch sinnvoll, hinter die Kulissen zu schauen, um zu verstehen was hier genau eingerichtet wird. Wie erwähnt, ist der Federation Trust nur ein Teil der Konfiguration, die vom HCW eingerichtet wird.

Exchange Hybrid Configuration Wizard

Für alle, die sich fragen, wo man den Exchange Hybrid Configuration Wizard herbekommt – hier der Link: http://aka.ms/HybridWizard
Der Link startet direkt den HCW-Download.

Exchange Federation Trust

Der Exchange Federation Trust stellt eine Verbindung mit dem Microsoft Exchange Federation Gateway her. Das Federation Gateway ist eine Art Vermittler und wird von Microsoft zur Verfügung gestellt.
Vergleicht man den Exchange Federation Trust mit einem Active Directory Domain Trust, so stellt man folgendes fest:

  • Ein AD Trust wird direkt zwischen den beiden Domains eingerichtet, wo hingegen
  • der Exchange Federation Trust mit dem Microsoft Federation Gateway hergestellt wird.

Will man sich mit einer anderen Exchange Organisation verbinden, so muss zusätzlich noch ein Organization Sharing eingerichtet werden – doch dazu später mehr.

Exchange Federation Trust, Gateway onpremise

Microsoft Exchange Federation Gateway

 

Somit verbinden sich verschiedene Exchange Organisationen von unterschiedlichen Unternehmen mit dem gleichen Microsoft Federation Gateway. Auch die Exchange Organisation, welche sich hinter O365 verbirgt, ist mit dem Federation Gateway verbunden und somit auch jeder O365 Tenant.

Experten für O365 Transition Projects

Organization Sharing

Auf Basis des Federation Trust können sich zwei Exchange Organisationen mittels Organization Sharing miteinander verbinden. Jede Organisation für sich vertraut nur dem Federation Trust. Über das Organization Sharing können Anwender die Free/Busy Informationen mit Anwendern in der anderen Organisation austauschen. Zusätzlich zu Free/Busy können auch die sog. MailTips aktiviert werden, um z. B. den Out Of Office Status eines Adressaten direkt in Outlook anzuzeigen.

Funktionen des Organization Sharing:

  • Free / Busy Abfragen
  • Mail Tips
  • Out Of Office Status
  • Profilbilder

 

Organization Sharing - onpremise, o365 hybrid, federation trust

Einrichtung – DNS

Zur Einrichtung des Federation Trusts muss die Exchange Organisation ins Internet veröffentlicht sein. Autodiscover, OWA, EWS usw. müssen korrekt und mit öffentlichen Zertifikaten für den externen Zugriff eingerichtet sein. Dies soll in diesem Artikel aber nicht das Kernthema sein. Zur Einrichtung des Federation Trust benötigt Microsoft eine Art Beweis dafür, dass die Exchange Organisation, welche ich anbinden möchte, auch meine “eigene” ist. Dieser Beweis erfolgt über einen ähnlichen Weg, wie auch DNS Zonen in AzureAD registriert werden. Sobald der Federation Trust grundsätzlich aktiviert wurde (ECP > Organisation > Sharing), kann per PowerShell der sogenannte DomainProof angezeigt werden. Die hier angezeigte Zeichenkette muss in der externen DNS Zone als TXT Eintrag hinterlegt werden. Folglich sieht Microsoft es als bestätigt an, dass man Berechtigungen hat, die Organisation zu trusten.

 

Einrichtung DNS - Exchange Federation Trust - O365

Überprüfung der Konfiguration

Nachdem der Federation Trust und das Organization Sharing eingerichtet wurde (in unserem Beispiel mit dem HCW und O365), kann die Konfiguration per PowerShell kontrolliert werden.

Prüfung Federation Trust

Hier kann man erkennen, dass sowohl die OnPremises Organisation als auch O365 dem gleichen Federation Gateway vertrauen:

MicrosoftOnline

OnPremises

Prüfung Federation Trust - on premise

O365

Prüfung Federation Trust - office 365

Prüfung Organization Sharing

Hier werden die DNS E-Mail Domains der Exchange Organisationen angezeigt, welche sich vertrauen.

OnPremises

Die OnPremises Organisation vertraut dem O365 Tenant mit dem Namen “jkuenzlergmx.mail.onmicrosoft.com”

Prüfung Organization Sharing - onpremises

O365

Der O365 Tenant vertraut der OnPremises Organisation “univice.net”.

Prüfung Organization Sharing - Office365

Prüfung Sharing Policies

Wichtig ist, dass die Sharing Policies auf beiden Seiten gleich eingestellt sind. Dies lässt sich so recht einfach prüfen:

OnPremises

Prüfung Sharing Policies - Onpremises

O365

Prüfung Sharing Policies - Office365

Fazit

Ich hoffe, dass ich mit diesen Erläuterungen die Zusammenhänge von Exchange Hybrid, Federation Trust und Organization Sharing ein wenig verdeutlichen konnte. Sollten Sie Unterstützung bei Ihrem O365 Transition Project benötigen, so sprechen Sie uns gerne an. Die erfahrenen Consultants der FirstAttribute unterstützen Sie gerne.

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
Exchange Migration | AD Consulting

Kontaktieren Sie uns einfach unverbindlich,
wenn Sie ein O365 Transition Projekt planen.

Artikel erstellt am: 22.06.2017
Tags:

You also might be interested in

Connect-MsolService – Unable to authenticate your credentials – Office 365 – SharePoint

Connect-MsolService – Unable to authenticate your credentials – Office 365 – SharePoint

Um Konfigurationen in einem Microsoft Online Tenant in der Microsoft Cloud z.B.[...]

Mailversand über O365 automatisieren

Mailversand über O365 automatisieren

Vielerorts wird von Microsoft Exchange auf Office 365 umgestellt. Damit[...]

E-Mail Migration nach O365 – Exchange Throttling Policies

E-Mail Migration nach O365 – Exchange Throttling Policies

Bei einer E-Mail Migration ist es wichtig zu wissen, wie[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

FirstAttribute

AD Gruppen dynamisch machen

DynamicGroup

© 2020 · Active-Directory-FAQ by firstattribute.com