Voraussetzungen für die Hybridbereitstellung
Zusammenfassung: Anforderungen an Ihre Exchange-Umgebung vor dem Einrichten einer Hybridbereitstellung.
Vor dem Erstellen und Konfigurieren einer Hybridbereitstellung mithilfe des Assistenten für die Hybridkonfiguration muss die vorhandene lokale Exchange-Organisation bestimmte Anforderungen erfüllen. Wenn diese Anforderungen nicht erfüllt sind, können Sie die Schritte des Assistenten für die Hybridkonfiguration nicht abschließen, und Sie können keine Hybridbereitstellung zwischen Ihrer lokalen Exchange-Organisation und Exchange Online konfigurieren.
Voraussetzungen für die Hybridbereitstellung
Für die Konfiguration einer Hybridbereitstellung müssen die folgenden Voraussetzungen erfüllt sein:
- Lokale Exchange-Organisation: Die Version von Exchange, die Sie in Ihrer lokalen Organisation installiert haben, bestimmt die Hybridbereitstellungsversion, die Sie installieren können. Sie sollten in der Regel die neueste Hybridbereitstellungsversion konfigurieren, die in Ihrer Organisation unterstützt wird, wie in der folgenden Tabelle beschrieben:
| Lokale Umgebung | Exchange 2019-basierte Hybridbereitstellung | Exchange 2016-basierte Hybridbereitstellung | Exchange 2013-basierte Hybridbereitstellung | Exchange 2010-basierte Hybridbereitstellung |
|---|---|---|---|---|
| Exchange 2019 | Unterstützt | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
| Exchange 2016 | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| Exchange 2013 | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt |
| Exchange 2010 | Nicht unterstützt | Unterstützt | Unterstützt | Unterstützt |
Exchange-Serverreleases: Hybridbereitstellungen erfordern das neueste kumulative Update (CU) oder Updaterollup (RU), das für Ihre Version von Exchange verfügbar ist. Wenn Sie nicht das neueste Update installieren können, wird die unmittelbar vorherige Version ebenfalls auch unterstützt.
Exchange-CUs werden vierteljährlich veröffentlicht. Wenn Sie Ihre Exchange-Server auf dem neuesten Stand halten, erhalten Sie zusätzliche Flexibilität, wenn Sie in regelmäßigen Abständen zusätzliche Zeit zum Durchführen von Upgrades benötigen.
Exchange-Serverrollen: Die Serverrollen, die Sie in Ihrer lokalen Organisation installieren müssen, hängen von der Version von Exchange ab, die Sie installiert haben.
Exchange 2016 und höher: Mindestens ein Postfachserver.
Exchange 2013: Mindestens eine Instanz von Postfach- und Clientzugriffsserverrollen installiert (separat oder auf einem Server; wir empfehlen dringend auf einem Server).
Exchange 2010: Mindestens eine Instanz der Serverrollen "Postfach", "Hub-Transport" und "Clientzugriff" installiert (separat oder auf einem Server; wir empfehlen dringend auf einem Server).
Hybridbereitstellungen unterstützen auch die Exchange-Server, auf denen die Edge-Transport-Serverrolle ausgeführt wird. Edge-Transport-Server müssen auch auf das neueste CU oder RU aktualisiert werden. Es wird dringend empfohlen, Edge-Transport-Server in einem Umkreisnetzwerk bereitzustellen. Sie können keine Postfach- oder Clientzugriffsserver in einem Umkreisnetzwerk bereitstellen.
Hinweis
Wenn Sie bereits einen Migrationsprozess mit Exchange 2010-Hybridendpunkten gestartet haben und nicht planen, lokale Postfächer zu behalten, setzen Sie die Migration unverändert fort. Wenn Sie planen, einige Postfächer lokal zu halten, empfehlen wir dringend, Exchange 2016-Hybridendpunkte einzuführen (da Exchange 2010 das Ende des Supportlebenszyklus erreicht hat). Setzen Sie die Migration von Exchange 2010-Postfächern zu Office 365 fort, und verschieben Sie dann die Postfächer, die lokal bleiben, auf Exchange 2016-Server. Nachdem Sie alle Exchange 2010-Server entfernt haben, können Sie Exchange 2019-Server als Ihre neuen Hybridendpunkte einführen und auch Ihre verbleibenden lokalen Postfächer auf Exchange 2019-Server verschieben.
Microsoft 365 oder Office 365: Hybridbereitstellungen werden in allen Microsoft 365- und Office 365-Plänen unterstützt, die die Microsoft Entra-Synchronisierung unterstützen. Alle Pläne für Microsoft 365 Business Standard, Business Basic, Enterprise, Government, Academic und Midsize unterstützen Hybridbereitstellungen. Microsoft 365 Apps for Business- und Home-Pläne unterstützen keine Hybridbereitstellungen.
Weitere Informationen finden Sie unter Microsoft 365.
Benutzerdefinierte Domänen: Registrieren Sie alle benutzerdefinierten Domänen, die Sie in Ihrer Hybridbereitstellung mit Microsoft 365 oder Office 365 verwenden möchten. Dazu können Sie das Microsoft 365-Portal verwenden oder optional Active Directory-Verbunddienste (AD FS) in Ihrer lokalen Organisation konfigurieren.
Weitere Informationen finden Sie unter Hinzufügen Ihrer Domäne zu Microsoft 365 oder Office 365.
Active Directory-Synchronisierung: Stellen Sie das Microsoft Entra Connect- oder Cloudsynchronisierungstool bereit, um die Active Directory-Synchronisierung mit Ihrer lokalen Organisation zu aktivieren.
Weitere Informationen finden Sie unter Microsoft Entra Connect-Benutzeranmeldungsoptionen und Was ist Microsoft Entra Cloud Sync?.
AutoErmittlungs-DNS-Einträge: Konfigurieren Sie den AutoErmittlungseintrag für Ihre vorhandenen SMTP-Domänen in Ihrem öffentlichen DNS so, dass er auf Ihre lokalen Exchange-Server (exchange 2010/2013-Clientzugriffsserver oder Exchange 2016/2019-Postfachserver) verweist.
Zertifikate: Weisen Sie Exchange-Dienste einem gültigen digitalen Zertifikat zu, das Sie von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle erworben haben. Obwohl Sie selbstsignierte Zertifikate für die lokale Verbundvertrauensstellung mit dem Microsoft-Verbundgateway verwenden sollten, können Sie in einer Hybridbereitstellung keine selbstsignierten Zertifikate für Exchange-Dienste verwenden.
Die IIS-Instanz (Internet Information Services) auf den Exchange-Servern, die in der Hybridbereitstellung konfiguriert sind, erfordern ein gültiges digitales Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle erworben wurde.
Die externe EWS-URL und der AutoErmittlungsendpunkt, die Sie in Ihrem öffentlichen DNS angegeben haben, müssen im Feld Alternativer Antragstellername (Subject Alternative Name, SAN) des Zertifikats aufgeführt sein. Die Zertifikate, die Sie auf den Exchange-Servern für den Nachrichtenfluss in der Hybridbereitstellung installieren, müssen alle von derselben Zertifizierungsstelle ausgestellt werden und denselben Betreff aufweisen.
Weitere Informationen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.
EdgeSync: Wenn Sie Edge-Transport-Server in Ihrer lokalen Organisation bereitgestellt haben und die Edge-Transport-Server für den hybriden sicheren E-Mail-Transport konfigurieren möchten, müssen Sie EdgeSync konfigurieren, bevor Sie den Hybridkonfigurations-Assistenten verwenden. Außerdem müssen Sie EdgeSync jedes Mal ausführen, wenn Sie ein neues CU auf einen Edge-Transport-Server anwenden.
Wichtig
Obwohl EdgeSync eine Anforderung in Bereitstellungen mit Edge-Transport-Servern ist, sind zusätzliche Konfigurationseinstellungen erforderlich, wenn Sie Edge-Transport-Server für den hybriden sicheren E-Mail-Transport konfigurieren.
Weitere Informationen finden Sie unter Edge-Transport-Server in Hybridbereitstellungen.
Microsoft .NET Framework: Informationen zum Überprüfen der Versionen, die mit Ihrer spezifischen Version von Exchange verwendet werden können, finden Sie unter Exchange Server-Unterstützungsmatrix – Microsoft .NET Framework.
Unified Messaging-fähige (UM)-Postfächer: Wenn Sie über UM-fähige Postfächer verfügen und diese nach Microsoft 365 oder Office 365 verschieben möchten, müssen Sie die folgenden Anforderungen erfüllen, bevor Sie sie verschieben:
Lync Server 2010, Lync Server 2013 oder Skype for Business Server 2015 oder höher in Ihr lokales Telefoniesystem integriert.
oder
Skype für Business Online in Ihr lokales Telefoniesystem integriert.
oder
Eine herkömmliche lokale Festnetztelefonanlage oder IP-Nebenstellenanlage.
Weitere Informationen finden Sie unter Telefonsystemintegration mit UM in Exchange Online, Planen der Skype für Business Server- und Exchange Server-Migration und Einrichten von Cloud Voicemail.
Protokolle, Ports und Endpunkte für Hybridbereitstellungen
Sie müssen die folgenden Protokolle, Ports und Verbindungsendpunkte in der Firewall konfigurieren, die Ihre lokale Organisation schützt, wie in der folgenden Tabelle beschrieben.
Wichtig
Die zugehörigen Microsoft 365- und Office 365-Endpunkte sind umfangreich, ändern sich ständig und werden hier nicht aufgeführt. Lesen Sie stattdessen die Abschnitte Exchange Online und Microsoft 365 Common und Office Online in Microsoft 365 und Office 365 URLs und IP-Adressbereiche , um die Endpunkte für jeden hier aufgeführten Port zu identifizieren.
Hinweis
Die Ports, die für den Nachrichtenfluss und die Clientkonnektivität in Ihrer lokalen Exchange-Organisation erforderlich sind, die nicht mit der Hybridkonfiguration verknüpft sind, werden unter Netzwerkports für Clients und Nachrichtenfluss in Exchange beschrieben.
| Quelle | Protokoll/Port | Ziel | Kommentare |
|---|---|---|---|
| Exchange Online-Endpunkte | TCP/25 (SMTP/TLS) | Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
Lokale Exchange-Server, die zum Hosten von Empfangsconnectors für den sicheren E-Mail-Transport mit Exchange Online im Hybridkonfigurations-Assistenten konfiguriert sind |
| Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
TCP/25 (SMTP/TLS) | Exchange Online-Endpunkte | Lokale Exchange-Server, die zum Hosten von Sendeconnectors für den sicheren E-Mail-Transport mit Exchange Online im Hybridkonfigurations-Assistenten konfiguriert sind |
| Exchange Online-Endpunkte | TCP/443 (HTTPS) | Exchange 2019/2016-Postfach Exchange 2013/2010 CAS |
Lokale Exchange-Server, die zum Veröffentlichen von Exchange-Webdiensten und AutoErmittlung im Internet verwendet werden |
| Exchange 2019/2016-Postfach Exchange 2013/2010 CAS |
TCP/443 (HTTPS) | Exchange Online-Endpunkte | Lokale Exchange-Server, die zum Veröffentlichen von Exchange-Webdiensten und AutoErmittlung im Internet verwendet werden |
| Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
80 | ctldl.windowsupdate.com/* | Für Hybridfunktionen benötigt Exchange Server ausgehende Verbindungen mit verschiedenen hier erwähnten Endpunkten der Zertifikatsperrliste (Certificate Revocation List, CRL). Es wird dringend empfohlen, windows die Zertifikatvertrauensliste (Certificate Trust List, CTL) auf Ihrem Computer verwalten zu lassen. Andernfalls muss dies in regelmäßigen Abständen manuell verwaltet werden. Damit Windows die CTL verwalten kann, muss die URL von dem Computer aus erreichbar sein, auf dem Exchange Server installiert ist. |
Die folgende Tabelle enthält ausführlichere Informationen zu den beteiligten lokalen Endpunkten:
| Beschreibung | Port und Protokoll | Lokaler Endpunkt | Authentifizierungsanbieter | Autorisierungsmethode | Unterstützung für Pre-Auth? |
|---|---|---|---|---|---|
| SMTP-Nachrichtenfluss zwischen Microsoft 365 oder Office 365 und lokalem Exchange | TCP-25 (SMTP/TLS) | Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
Nicht zutreffend | Zertifikatbasiert | Nein |
| AutoErmittlung | TCP 443 (HTTPS) | Exchange 2019/2016-Postfachserver: /autodiscover/autodiscover.svc/wssecurity Exchange 2013/2010 CAS: /autodiscover/autodiscover.svc |
Microsoft Entra-Authentifizierungssystem | WS-Security-Authentifizierung | Nein |
| Frei/Gebucht, E-Mail-Infos und Nachrichtennachverfolgung (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016-Postfach oder Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity |
Microsoft Entra-Authentifizierungssystem | WS-Security-Authentifizierung | Nein |
| Suche mit mehreren Postfächern (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016-Postfach oder Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Authentifizierungsserver | WS-Security-Authentifizierung | Nein |
| Postfachmigrationen (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016-Postfach oder Exchange 2013/2010 CAS: /ews/mrsproxy.svc |
NTLM | Standard | Nein |
| OAuth (AutoErmittlung und EWS) | TCP 443 (HTTPS) | Exchange 2019/2016-Postfach oder Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Authentifizierungsserver | WS-Security-Authentifizierung | Nein |
| AD FS (Windows Server) | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server: /adfs/* | Microsoft Entra-Authentifizierungssystem | Variiert je nach Konfiguration | Zwei Faktoren |
| Microsoft Entra Connect | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server (AD FS): /adfs/* | Microsoft Entra-Authentifizierungssystem | Variiert je nach Konfiguration | Zwei Faktoren |
Weitere Informationen zu diesen Informationen finden Sie unter Deep Dive: How Hybrid Authentication Really Works, Demystifying and troubleshooting hybrid mail flow: when is a message internal?, Transportrouting in Exchange hybrid deployments, Configure mail flow using connectors, and Manage mail flow with mailboxes in multiple locations (Exchange Online and on-premises).
Empfohlene Tools und Dienste
Die folgenden Tools und Dienste sind nützlich, wenn Sie Hybridbereitstellungen mit dem Hybridkonfigurations-Assistenten konfigurieren:
E-Mail-Migrationsratgeber: Enthält eine schrittweise Anleitung zum Konfigurieren einer Hybridbereitstellung zwischen Ihrer lokalen Organisation und Microsoft 365 oder Office 365 oder einer vollständigen Migration zu Microsoft 365 oder Office 365.
Weitere Informationen finden Sie unter Verwenden des E-Mail-Migrationsratgebers.
Remotekonnektivitätsanalysetool: Das Tool Microsoft Remote Connectivity Analyzer überprüft die externe Konnektivität Ihrer lokalen Exchange-Organisation und stellt sicher, dass Sie bereit sind, Ihre Hybridbereitstellung zu konfigurieren. Es wird dringend empfohlen, Ihre lokale Organisation mit der Remoteverbindungsuntersuchung zu überprüfen, bevor Sie Ihre Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration konfigurieren.
Weitere Informationen finden Sie unter Microsoft-Remoteverbindungsuntersuchung
Einmaliges Anmelden: Mit einmaligem Anmelden können Benutzer mit einem einzigen Benutzernamen und Kennwort auf die lokalen und Exchange Online-Organisationen zugreifen. Sie bietet Benutzern ein vertrautes Anmeldeerlebnis und ermöglicht Administratoren das problemlose Steuern von Kontorichtlinien für Postfächer in der Exchange Online-Organisation über die lokalen Active Directory-Verwaltungstools.
Beim Bereitstellen des einmaligen Anmeldens haben Sie zwei Optionen: Synchronisierung von Kennwörtern und Active Directory-Verbunddienste (AD FS). Beide Optionen werden von Microsoft Entra Connect bereitgestellt. Die Kennwortsynchronisierung ermöglicht nahezu jeder Organisation (unabhängig von der jeweiligen Größe), die einmalige Anmeldung einfach zu implementieren. Aus diesem Grund und da die Benutzererfahrung in einer Hybridbereitstellung bei aktiviertem einmaligem Anmelden deutlich besser ist, wird dringend empfohlen, es zu implementieren. Bei äußerst großen Organisationen (die beispielsweise mehrere Active Directory-Gesamtstrukturen aufweisen, die mit der Hybridbereitstellung verbunden werden müssen) sind die Active Directory-Verbunddienste (AD FS) erforderlich.
Weitere Informationen finden Sie unter: Einmaliges Anmelden in Hybrid-Bereitstellungen