Endlich Exchange, los gehts! :)
Die Session geht um Hybrid Deployments und sollte sich primär über Exchange 2013 unterhalten. Klingt im ersten Moment recht gut.
Why Exchange Hybrid?
Wie funktioniert Hybrid - ganz simple, Einführung über FIM / DirSync / AADSync. Zuerst die Identities in Office 365 / Azure AD provisionieren. Danach Exchange Hybrid machen.
Was macht Hybrid aus?
- Secure Mail flow (TLS am Send / Receive Connector)
- Exchange FEderation bedeutet, Mailtips, Free/Busy, Archive,...)
- Native Mailbox Moves per MRS (Mailbox Replication Service) rein und raus. man kann halt jederzeit Mailboxen hin und herschieben zwischen Wolke und OnPrem
TIP: Garbage in - Garbage Out, räum das AD auf sonst kommt auch nur Schrott im AAD an.
Exchange Deployment Assistant verwenden damit man Fehler findet und auch wie man Step by Step Hybrid Deployed - USE IT!
Autodiscover ist einer der wichtigsten Punkte für eine erfolgreiche Hybrid Deployment und muss _immer_ auf die aktuellste Exchange Version des onPrem Environments zeigen.
Sizing
Es gibt keine besondere Guidance für Sizing, man macht ein normales onPrem Sizing um die Exchangeserver / Rollen zu sizen. Den reinen Move Traffice für die Mailboxmoves in die Cloud kann man grundsätzlich auf eigene Server legen, muss aber nicht sein. Wenn man die bestehenden Server verwendet muss man einfach nur ein wenig schaun wann Lastverhältnisse es zulassen.
High Availability
Auch hier - kein Unterschied zu OnPrem. Was man bedenken muss sofern im Einsatz ADFS, DirSync / AADSync. DirSync muss jetzt nicht Redundant sein, aber wenn man Mailboxen moven will oder neue USer provisionieren, benötige ich Dirsync für die Attributeänderungen. Sonst geht da garnix
ADFS hat sofort natürlich sofort Auswirkungen, da sich User nicht mehr anmelden können wenn die ADFS Server down gehen.
Interessante Idee - eine ADFS Maschine im Azure laufen lassen um redundante Internetleitungen obsolete zu machen. DNS Änderungen oder Global Load Balancer like Kemp (Azure Version?) machen in dem Kontext natürlich wieder Sinn.
Hybrid Wizard Fundamentals
Unter 2010 noch extrem mühsam weil manuell, unter 2010 SP2 kam der Hybrid Wizard, unter 2013 dann HCW mit Web Based UI.
Mit 2013 SP1 Multi Exchange Organizations supported plus 2013 Edge Supported.
Unter 2013 CU5 native OAuth support für die Authentifizierung ==> YEAH!
Wizard- was macht der?
- Creates the Hybrid Configuration Object (ADSIEdit)
- Desired State Configuration
- Powershell connection auf OnPrem und Online Tenant
- Compares Desired State Configuration with Current Configuration und schaut sich den "Unterschied" an. Es werden nur Änderungen gemacht, keine Doppeltkonfigurationen (wenn der SendConnector da ist, dann wird er nicht neu angelegt, EInstellungen werden aber angepasst)
Advanced Topics
AB Exchange 2013 SP1 kann ich mehrere Exchange Orgs auf einen O365 Tenant hängen. Spannend für N:1 Beziehnungen von FIrmen die in einen gemeinsamen Tenant migrieren wollen.
Vorraussetzungen sind einfach
- Exchange 2013 SP1 auf beiden Seiten
- Two Way Forest Trust zwischen den Servern
- Mailflow zwischen OnPrem Forests muss manuell konfiguriert werden
- AAD Sync installieren und synchronisieren der Forests / Office 365, es wird auch zwischen den onPrem installationen gesynct
- Hybrid Wizard laufen lassen - kontrolle des gesamten Mailflows.
- ADFS / PasswortSync sofern geplant in beiden Forests normal konfigurieren.
- Org Relationship einrichten zwischen den beiden Orgs.
OAUTH in Hybrid
wozu?
- Cross Premise Discovery Services
- Cross Premise Archive Moves
- Free / Busy (auch) wird halt ned ausschliesslich dafür verwendet
Alles vor 2013 kann man manuell konfigurieren, aber diese Möglichkeit wird wohl in zukünftigen Versionen rausfliegen damit ist 2013 wohl das Ziel.
Aufpassen - wenn man OAuth einrichtet, dauert ca. 45 Minuten bis das funktioniert.
Wesentliche Unterschiede DAUTH (Microsoft Federation GAteway) und OAUTH
DAUTH erlaubt über Relationship was geshared wird, Free / Busy oder Mailtips,...
OAUTH erlaubt mit wem geshared wird, aber nicht was, heisst (derzeit) alles oder nichts.
OAUTH kann Free Busy, aber zum Beispiel kein OWA Redirect, wird aber versteckt, weil der HCW beides konfiguriert und damit kriegt man alle Features.
Wenn OAUTH konfiguriert wird, dann ist das auch bevorzugt. Wenn also Free / Busy mit OAUTH nicht funktioniert, dann gibts keinen Fallback - es geht einfach ned.
Public Folders in Hybrid
Funktionieren grundsätzlich, werden über zusätzliche Mailbox (autodiscover response) abgewickelt und dementsprechend muss der funktionieren. (wichtig - November update von Outlook 2013 muss installiert werden)
Mail Enabled Public Folder werden nicht gesynct,.. blöd
Hybrid Management
Management geht nur über den Hybrid Server (also ECP Directory) - damit sollte man zumindest einen lokalen Exchange behalten inkl. SMTP Relay für solche Sachen. Plus - es ist anders nicht supported.
Hybrid Mailbox Migrations
- ca. 0.3-1.0 GB/hour pro Mailbox
- Item Count
- FIrewall COnfiguration
- Network Latency
- Source Side
- Max Concurrent moves 100
Pitfalls
Certification Refresh am Federation Gateway läuft ab und wird getauscht. Empfehlung, Scheduled Task um das Cert zu refreshen (Get-FederationTrust | Set-FederationTrust -RefreshMetadata...) once in a while...
CU6 Issues
Das Problem mit Management von online Mailboxen im ECP, dafür gibts ja einen FIX
CMC / Centralized Mailflow ist kaputt, ein Cloud User kann kein Mail ins Internet schicken, Resolution - Case aufmachen für einen Interims Fix, sonst warten auf CU7
Interessante Session - bis auf OAuth nix Neues aber wirklich gut vorgetragen.
LG Christoph