(0) exportieren Drucken
Alle erweitern

Hybridbereitstellungen mit mehreren Active Directory-Gesamtstrukturen

Exchange 2013
 

Gilt für: Exchange Server 2013, Exchange Server, Exchange Online

Letztes Änderungsdatum des Themas: 2014-03-26

Neu in Exchange 2013 SP1 werden Hybridbereitstellungen jetzt für Organisationen mit mehreren lokalen Active Directory-Gesamtstrukturen und einem einzelnen Office 365 Mandant unterstützt. Hinsichtlich der Funktionen und Überlegungen zu Hybridbereitstellungen werden Organisationen mit mehreren Gesamtstrukturen als Organisationen definiert, bei denen Exchange-Server in mehreren Active Directory-Gesamtstrukturen bereitgestellt werden. Organisationen, die eine Ressourcengesamtstruktur für die Benutzerkonten verwenden, jedoch sämtliche Exchange-Server in einer einzelnen Gesamtstruktur verwalten, werden nicht als Organisationen mit mehreren Gesamtstrukturen hinsichtlich der Hybridbereitstellung klassifiziert. Diese Arten von Organisationen sollten sich als Organisation mit einer einzelnen Gesamtstruktur betrachten, wenn eine Hybridbereitstellung beabsichtigt und konfiguriert wird.

Weitere Informationen zu Hybridbereitstellungen finden Sie unter Hybridbereitstellungen in Exchange Server 2013.

Die Voraussetzungen bei der Hybridbereitstellung mit mehreren Gesamtstrukturen sind mit den Voraussetzungen bei der Hybridbereitstellung für eine Organisation mit einer einzelnen Gesamtstruktur weitestgehend identisch. Es gelten jedoch folgende Ausnahmen:

  • AutoErmittlung   Jede Exchange-Gesamtstruktur muss über eine Autorisierung für mindestens einen SMTP-Namespace und den entsprechenden AutoErmittlung-Namespace verfügen. Falls freigegebene Domänen in mehreren Exchange-Gesamtstrukturen vorhanden sind, müssen das E-Mail-Routing und die Endpunkte der AutoErmittlung konfiguriert werden und zwischen den Exchange-Gesamtstrukturen ordnungsgemäß funktionieren, bevor Sie die Hybridbereitstellung mit mehreren Gesamtstrukturen konfigurieren. Der Office 365-Dienst muss in der Lage sein, den AutoErmittlungsdienst in jeder einzelnen Exchange-Gesamtstruktur abzufragen.

  • Zertifikate   Ein von einer vertrauenswürdigen externen Zertifizierungsstelle ausgegebenes digitales Zertifikat ist für sämtliche Hybridbereitstellungen erforderlich. Bei einer Hybridbereitstellung mit mehreren Gesamtstrukturen ist die Verwendung eines einzelnen digitalen Zertifikats für mehrere Active Directory-Gesamtstrukturen nicht möglich. Jede Gesamtstruktur muss ein spezielles von einer Zertifizierungsstelle ausgegebenes Zertifikat verwenden, sodass der sichere E-Mail-Transport bei der Hybridbereitstellung ordnungsgemäß funktioniert. Das für Hybridbereitstellungsfunktionen verwendete Zertifikat, das für jede Gesamtstruktur in einer Organisation mit mehreren Gesamtstrukturen erforderlich ist, muss sich in mindestens einer der folgenden Eigenschaften unterscheiden:

    1. Allgemeiner Name   Der allgemeine Name (Common Name, CN) des digitalen Zertifikats ist Bestandteil des Zertifikatbetreffs. Dieser Name muss mit dem authentifizierten Host übereinstimmen. Dabei handelt es sich normalerweise um den externen Hostnamen für den Clientzugriffsserver in der Active Directory-Gesamtstruktur. Als Beispiel dient "mail.contoso.com". Wir empfehlen, den allgemeinen Namen als Unterscheidungskriterium bei Active Directory-Zertifikaten zu verwenden, die bei Hybridbereitstellungen mit mehreren Gesamtstrukturen zum Einsatz kommen.

    2. Aussteller   Die externe Zertifizierungsstelle, die die Informationen der Organisation überprüft und das Zertifikat ausgegeben hat. Als Beispiele dienen "VeriSign" oder "Go Daddy". Beispielsweise verfügt eine Gesamtstruktur über ein Zertifikat, das von "VeriSign" ausgegeben wurde, und eine andere Gesamtstruktur verfügt über ein Zertifikat, das von "Go Daddy" ausgegeben wurde.

    WichtigWichtig:
    Das auf dem Postfach- und Kundenzugriffsserver (und ggf. auf dem Edge-Transport-Server) in jeder Active-Directory-Gesamtstruktur installierte Zertifikat, das für den E-Mail-Transport in der Hybridbereitstellung verwendet wird, muss von derselben CA erstellt werden und denselben gemeinsamen Namen haben.
  • Exchange-Server   Mindestens ein Exchange 2013 SP1-Server mit der Clientzugriffs-Serverrolle muss in jeder Active Directory-Gesamtstruktur installiert sein, die für eine Hybridbereitstellung konfiguriert ist. Beim Clientzugriffsserver handelt es sich um den Endpunkt für den sicheren Transport von eingehenden E-Mails hinsichtlich des Exchange Online Protection-Diensts (EOP), der im Office 365-Mandantendienst enthalten ist. Mithilfe des Clientzugriffsservers kann der Assistent für die Hybridkonfiguration in der Active Directory-Gesamtstruktur ausgeführt werden. Weiterhin muss mindestens ein Exchange 2013 SP1-Server mit der Postfachserverrolle in jeder Active Directory-Gesamtstruktur installiert sein, die für eine Hybridbereitstellung konfiguriert ist. Beim Postfachserver handelt es sich um den Endpunkt für den sicheren Transport von ausgehenden E-Mails hinsichtlich Nachrichten, die an den EOP-Dienst und die Exchange Online-Organisation gesendet werden.

  • Active Directory-Synchronisierung   Alle Hybridbereitstellungen erfordern eine Active Directory-Synchronisierung mit Office 365. Für die Konfiguration einer Hybridbereitstellung mit einem einzelnen Office 365 Mandant müssen lokale Exchange-Organisationen mit mehreren Gesamtstrukturen den Microsoft Forefront Identity Manager (FIM) 2010 R2 oder höher und den Windows Azure Active Directory (AAD) Connector einrichten.

    Weitere Informationen finden Sie unter Verzeichnissynchronisierung mit mehreren Gesamtstrukturen mit Szenario zum einmaligen Anmelden.

  • Einmaliges Anmelden   Obwohl das einmalige Anmelden keine Voraussetzung für Hybridbereitstellungen mit einzelnen Active Directory-Gesamtstrukturen ist, so ist es doch eine Voraussetzung für Hybridbereitstellungen mit mehreren Gesamtstrukturen. Das einmalige Anmelden ermöglicht es Benutzern, mit denselben Anmeldeinformationen (Benutzername und Kennwort) sowohl auf die lokale als auch auf die Exchange Online-Organisation zugreifen zu können. Die einmalige Anmeldung bietet Benutzern ein vertrautes Anmeldeerlebnis und ermöglicht Administratoren das problemlose Steuern von Kontorichtlinien für Postfächer in der Exchange Online-Organisation über die lokalen -Verwaltungstools. Administratoren können wählen, einen SSO-Server in jeder Active Directory-Gesamtstruktur zu konfigurieren, oder einen einzelnen SSO-Server zu konfigurieren, wenn eine Gesamtstrukturvertrauensstellung in beide Richtungen zwischen den lokalen Gesamtstrukturen konfiguriert wurde.

    Weitere Informationen finden Sie unter Einmalige Anmeldung in Hybridbereitstellungen.

Eine vollständige Auflistung der Voraussetzungen für eine Hybridbereitstellung finden Sie unter Voraussetzungen für die Hybridbereitstellung

Sehen Sie sich das folgende Szenario an. Hierbei handelt es sich um eine Beispieltopologie, die einen Überblick über eine typische Exchange 2013-Bereitstellung bietet. Contoso, Ltd. ist eine Organisation mit mehreren Gesamtstrukturen und mehreren Domänen. Darüberhinaus verfügt die Organisation über zwei Active Directory-Gesamtstrukturen. Die Gesamtstruktur A enthält die Domäne "contoso.com", und die Gesamtstruktur B enthält die Domäne "sale.contoso.com". In jeder einzelnen Gesamtstruktur sind Domänencontroller vorhanden, ein Exchange 2013 SP1-Server mit der installierten Clientzugriffsrolle und ein Exchange 2013 SP1-Server mit der installierten Postfachserverrolle. Contoso-Remotebenutzer verwenden Outlook Web App, um über das Internet eine Verbindung mit Exchange 2013 herzustellen, ihre Postfächer zu überprüfen und auf ihren Outlook-Kalender zuzugreifen.

Vor Hybridbereitstellung mit mehreren Gesamtstrukturen

Angenommen, Sie sind der Netzwerkadministrator für Contoso und möchten eine Hybridbereitstellung konfigurieren. Sie stellen einen erforderlichen Active Directory-Synchronisierungsserver in der Gesamtstruktur A bereit, konfigurieren ihn und möchten einen optionalen AD FS-Server bereitstellen, um die Anzahl an Aufforderungen zur Eingabe von Anmeldeinformationen für Contoso-Benutzer und Administratoren, die in der Gesamtstruktur A auf Office 365-Dienste zugreifen, zu minimieren. Nachdem Sie die Voraussetzungen für die Hybridbereitstellung erfüllt haben und mit dem Assistenten für die Hybridkonfiguration Optionen für die Hybridbereitstellung ausgewählt haben, sieht die Konfiguration der neuen Topologie wie folgt aus:

  • Benutzer verwenden die Anmeldeinformationen ihres vorhandenen Netzwerkkontos für die Anmeldung bei der lokalen und der Exchange Online-Organisation ("einmaliges Anmelden").

  • Die lokal und in der Exchange Online-Organisation befindlichen Postfächer verwenden mehrere E-Mail-Adressdomänen. Zum Beispiel verwenden Postfächer in der lokalen Organisation der Gesamtstruktur A und einige Postfächer in der Exchange Online-Organisation "@contoso.com" in den E-Mail-Adressen der Benutzer. Postfächer in der Gesamtstruktur B und einige Postfächer in der Exchange Online-Organisation verwenden "@sales.contoso.com".

  • Alle Nachrichten werden von der lokalen Organisation an das Internet zugestellt. Die lokale Organisation steuert den gesamten Nachrichtentransport und dient als Relay für die Exchange Online-Organisation ("zentraler E-Mail-Transport").

  • Benutzer der lokalen und der Exchange Online-Organisation können einander die Frei/Gebucht-Informationen in ihrem Kalender freigeben. Die für beide Organisationen konfigurierten Organisationsbeziehungen ermöglichen zudem die standortübergreifende Nachrichtenverfolgung, E-Mail-Infos und die Nachrichtensuche.

  • Lokale und Exchange Online-Benutzer verwenden dieselbe URL zum Herstellen einer Verbindung mit ihren Postfächern über das Internet.

Nach Hybridbereitstellung mit mehreren Gesamtstrukturen

Wenn Sie die vorhandene Organisationskonfiguration von Contoso mit der Konfiguration der hybriden Bereitstellung vergleichen, stellen Sie fest, dass bei der Konfiguration der hybriden Bereitstellung Server und Dienste hinzugefügt wurden, welche die zusätzliche Kommunikation und die Features unterstützen, die von der lokalen und der Exchange Online-Organisation gemeinsam genutzt werden. Im Folgenden erhalten Sie einen Überblick über die Änderungen, die für die Hybridbereitstellung an der anfänglichen lokalen Exchange-Organisation vorgenommen wurden.

 

Konfiguration Vor der Hybridbereitstellung Nach der Hybridbereitstellung

Speicherort des Postfachs

Nur lokale Postfächer.

Postfächer in der lokalen und in der Exchange Online-Organisation.

Nachrichtentransport

Lokale Clientzugriffsserver verarbeiten das gesamte Routing eingehender und ausgehender Nachrichten.

Lokaler Clientzugriffsserver verarbeitet das interne Nachrichtenrouting zwischen der lokalen und der Exchange Online-Organisation.

Outlook Web App

Lokaler Clientzugriffsserver empfängt alle Outlook Web App-Anforderungen und zeigt Postfachinformationen an.

Lokaler Clientzugriffsserver leitet Outlook Web App-Anforderungen entweder an den lokalen Exchange 2013 SP1-Postfachserver um oder stellt einen Link zur Anmeldung bei der Exchange Online-Organisation bereit.

Einheitliche GAL (globale Adressliste) für beide Organisationen

Nicht zutreffend; nur einzelne Organisation.

Lokaler Active Directory-Synchronisierungsserver repliziert Active Directory-Informationen für E-Mail-aktivierte Objekte in die Exchange Online-Organisation.

Einmaliges Anmelden wird für beide Organisationen verwendet

Nicht zutreffend; nur einzelne Organisation.

Lokaler Server der Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) unterstützt die Verwendung einmaliger Anmeldeinformationen für Postfächer, die sich in der lokalen oder in der Office 365-Organisation befinden.

Hergestellte Organisationsbeziehung und eine Verbundvertrauensstellung mit dem Windows Azure AD Authentifizierungssystem

Sie können eine Vertrauensstellung mit dem Windows Azure AD Authentifizierungssystem und Organisationsbeziehungen mit anderen Exchange-Verbundorganisationen konfigurieren.

Vertrauensstellung mit dem Windows Azure AD Authentifizierungssystem ist erforderlich. Organisationsbeziehungen werden zwischen der lokalen und der Exchange Online-Organisation hergestellt.

Freigabe von Frei/Gebucht-Informationen

Freigabe von Frei/Gebucht-Informationen nur zwischen lokalen Benutzern.

Freigabe von Frei/Gebucht-Informationen zwischen lokalen und Exchange Online-Benutzern.

Führen Sie zum Konfigurieren einer Hybridbereitstellung in einer Organisation mit mehreren Gesamtstrukturen die folgenden grundlegenden Schritte aus:

  1. Stellen Sie sicher, dass Sie die Voraussetzungen für die Hybridbereitstellung erfüllt haben. Siehe Voraussetzungen, die am Anfang dieses Themas und unter Voraussetzungen für die Hybridbereitstellung aufgelistet sind. Normalerweise muss nur für eine Gesamtstruktur ein Active Directory Synchronisationsserver installiert werden. Ein AD FS-Server muss in jeder Gesamtstruktur installiert werden, um das einmalige Anmelden zu ermöglichen, wenn eine Gesamtstrukturvertrauensstellung in beide Richtungen zwischen den Gesamtstrukturen konfiguriert wird.

  2. Fordern Sie ein Zertifikat von einer externen Zertifizierungsstelle für jede Active Directory-Gesamtstruktur an, das die bereits in diesem Thema aufgeführten Anforderungen erfüllt.

  3. Installieren Sie das Zertifikat auf sämtlichen Exchange 2013 SP1-Clientzugriffs- und Postfachservern in jeder einzelnen Gesamtstruktur.

  4. Führen Sie die im Thema Erstellen einer Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration beschriebenen Schritte für die primäre Gesamtstruktur aus.

    WichtigWichtig:
    Vergewissern Sie sich, dass Sie im Assistenten für die Hybridkonfiguration das Zertifikat auswählen, das für die primäre Gesamtstruktur bestimmt ist. Wählen Sie anschließend die primäre SMTP-Domäne für die Gesamtstruktur aus.
  5. Führen Sie die im Thema Erstellen einer Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration beschriebenen Schritte für die sekundäre Gesamtstruktur aus.

    WichtigWichtig:
    Vergewissern Sie sich, dass Sie im Assistenten für die Hybridkonfiguration das Zertifikat auswählen, das für die sekundäre Gesamtstruktur bestimmt ist. Wählen Sie anschließend die primäre SMTP-Domäne für die Gesamtstruktur aus.
 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft