Hybrid-Bereitstellungen mit mehreren Active Directory-Gesamtstrukturen
Gilt für: Exchange Online, Exchange Server, Exchange Server 2013
Letztes Änderungsdatum des Themas: 2016-12-09
In Exchange 2010, Exchange 2013 und höher werden Hybridbereitstellungen für Organisationen mit mehreren lokalen Active Directory-Gesamtstrukturen und einem einzelnen Office 365-Mandanten unterstützt. Hinsichtlich der Funktionen und Überlegungen zu Hybridbereitstellungen werden Organisationen mit mehreren Gesamtstrukturen als Organisationen definiert, bei denen Exchange-Server in mehreren Active Directory-Gesamtstrukturen bereitgestellt werden. Organisationen, die eine Ressourcengesamtstruktur für die Benutzerkonten verwenden, jedoch sämtliche Exchange-Server in einer einzelnen Gesamtstruktur verwalten, werden nicht als Organisationen mit mehreren Gesamtstrukturen hinsichtlich der Hybridbereitstellung klassifiziert. Diese Arten von Organisationen sollten sich als Organisation mit einer einzelnen Gesamtstruktur betrachten, wenn eine Hybridbereitstellung beabsichtigt und konfiguriert wird.
Die Migration von öffentlichen Ordnern aus einer lokalen Umgebung zu Office 365 wird nur aus einer einzelnen Active Directory-Gesamtstruktur unterstützt. Ebenso wird der Zugriff auf öffentliche Ordner in einem hybriden Zustand nur unterstützt, wenn sich die lokalen öffentlichen Ordner in einer einzelnen Active Directory-Gesamtstruktur befinden.
Wichtig
Für Hybridbereitstellungen ist das neueste kumulative Update erforderlich, das für die in Ihrer lokalen Organisation installierte Exchange-Version verfügbar ist. Wenn Sie nicht das neueste kumulative Update installieren, wird die unmittelbar vorherige Version ebenfalls auch unterstützt. Ältere kumulative Updates werden nicht unterstützt. Weitere Informationen finden Sie unter Voraussetzungen für die Hybridbereitstellung.
Weitere Informationen zu Hybridbereitstellungen finden Sie unter Hybridbereitstellungen in Exchange Server.
Voraussetzungen für die Hybridbereitstellung mit mehreren Gesamtstrukturen
Die Voraussetzungen bei der Hybridbereitstellung mit mehreren Gesamtstrukturen sind mit den Voraussetzungen bei der Hybridbereitstellung für eine Organisation mit einer einzelnen Gesamtstruktur weitestgehend identisch. Es gelten jedoch folgende Ausnahmen:
AutoErmittlung Jede Exchange-Gesamtstruktur muss über eine Autorisierung für mindestens einen SMTP-Namespace und den entsprechenden AutoErmittlung-Namespace verfügen. Falls freigegebene Domänen in mehreren Exchange-Gesamtstrukturen vorhanden sind, müssen das E-Mail-Routing und die Endpunkte der AutoErmittlung konfiguriert werden und zwischen den Exchange-Gesamtstrukturen ordnungsgemäß funktionieren, bevor Sie die Hybridbereitstellung mit mehreren Gesamtstrukturen konfigurieren. Der Office 365-Dienst muss in der Lage sein, den AutoErmittlungsdienst in jeder einzelnen Exchange-Gesamtstruktur abzufragen.
Zertifikate Ein von einer vertrauenswürdigen externen Zertifizierungsstelle ausgegebenes digitales Zertifikat ist für sämtliche Hybridbereitstellungen erforderlich. Bei einer Hybridbereitstellung mit mehreren Gesamtstrukturen ist die Verwendung eines einzelnen digitalen Zertifikats für mehrere Active Directory-Gesamtstrukturen nicht möglich. Jede Gesamtstruktur muss ein spezielles von einer Zertifizierungsstelle ausgegebenes Zertifikat verwenden, sodass der sichere E-Mail-Transport bei der Hybridbereitstellung ordnungsgemäß funktioniert. Das für Hybridbereitstellungsfunktionen verwendete Zertifikat, das für jede Gesamtstruktur in einer Organisation mit mehreren Gesamtstrukturen erforderlich ist, muss sich in mindestens einer der folgenden Eigenschaften unterscheiden:
Allgemeiner Name Der allgemeine Name (Common Name, CN) des digitalen Zertifikats ist Bestandteil des Zertifikatbetreffs. Dieser Name muss mit dem authentifizierten Host übereinstimmen. Dabei handelt es sich normalerweise um den externen Hostnamen für den Clientzugriffsserver in der Active Directory-Gesamtstruktur. Als Beispiel dient "mail.contoso.com". Wir empfehlen, den allgemeinen Namen als Unterscheidungskriterium bei Active Directory-Zertifikaten zu verwenden, die bei Hybridbereitstellungen mit mehreren Gesamtstrukturen zum Einsatz kommen.
Aussteller Die externe Zertifizierungsstelle, die die Informationen der Organisation überprüft und das Zertifikat ausgegeben hat. Als Beispiele dienen "VeriSign" oder "Go Daddy". Beispielsweise verfügt eine Gesamtstruktur über ein Zertifikat, das von "VeriSign" ausgegeben wurde, und eine andere Gesamtstruktur verfügt über ein Zertifikat, das von "Go Daddy" ausgegeben wurde.
Wichtig
Das auf dem Postfach- und Kundenzugriffsserver (und ggf. auf dem Edge-Transport-Server) in jeder Active-Directory-Gesamtstruktur installierte Zertifikat, das für den E-Mail-Transport in der Hybridbereitstellung verwendet wird, muss von derselben CA erstellt werden und denselben gemeinsamen Namen haben.
Exchange-Server Mindestens ein Exchange 2010- oder Exchange 2013-Server mit der Clientzugriffs-Serverrolle oder ein Server mit Exchange 2016 oder höher mit der Postfachrolle muss in jeder Active Directory-Gesamtstruktur installiert sein, die für eine Hybridbereitstellung konfiguriert ist.
Beim Exchange 2010- und Exchange 2013-Clientzugriffsserver handelt es sich um den Endpunkt für den sicheren Transport von eingehenden E-Mails hinsichtlich des Exchange Online Protection-Diensts (EOP), der im Office 365-Mandantendienst enthalten ist. Mithilfe des Clientzugriffsservers kann der Assistent für die Hybridkonfiguration in der Active Directory-Gesamtstruktur ausgeführt werden. Weiterhin muss mindestens ein Exchange-Server mit der Postfachserverrolle in jeder Active Directory-Gesamtstruktur installiert sein, die für eine Hybridbereitstellung konfiguriert ist. Beim Exchange 2010- und Exchange 2013-Postfachserver handelt es sich um den Endpunkt für den sicheren Transport von ausgehenden E-Mails hinsichtlich Nachrichten, die an den EOP-Dienst und die Exchange Online-Organisation gesendet werden.
In Exchange 2016 und höher verarbeitet die Postfachserverrolle den gesamten eingehenden und ausgehenden sicheren Transport zwischen Ihrer lokalen Organisation und Exchange Online.
Planen von Namespaces Für jede Gesamtstruktur, in der Sie Exchange installieren, ist ein eindeutiger, extern sichtbarer Namespace erforderlich. Sie können einen eindeutigen Namespace einer Gesamtstruktur im Assistenten für die Hybridkonfiguration angeben, wenn Sie diesen in jeder Gesamtstruktur ausführen.
Active Directory-Synchronisierung Alle Hybrid-Bereitstellungen erfordern die Active Directory-Synchronisierung mit Office 365. Wenn Ihr Unternehmen die Active Directory-Synchronisierung zwischen Ihrer lokalen Organisation mit mehreren Gesamtstrukturen und Office 365 mithilfe von Forefront Identity Manager bereits eingerichtet hat, können Sie Azure Active Directory Connect verwenden.
Einmalige Anmeldung Obwohl das einmalige Anmelden keine Voraussetzung für Hybridbereitstellungen mit einzelnen Active Directory-Gesamtstrukturen ist, können Administratoren wählen, einen SSO-Server in jeder Active Directory-Gesamtstruktur zu konfigurieren oder einen einzelnen SSO-Server zu konfigurieren, wenn eine Gesamtstrukturvertrauensstellung in beide Richtungen zwischen den lokalen Gesamtstrukturen konfiguriert wurde. Verwenden Sie entweder AD FS oder die Kennwortsynchronisierung, um eine optimale Benutzerauthentifizierungserfahrung zu ermöglichen.
Weitere Informationen finden Sie unter Einmaliges Anmelden in Hybrid-Bereitstellungen.
Eine vollständige Auflistung der Voraussetzungen für eine Hybridbereitstellung finden Sie unter Voraussetzungen für die Hybridbereitstellung
Szenario für die Hybridbereitstellung mit mehreren Gesamtstrukturen
Sehen Sie sich das folgende Szenario an. Hierbei handelt es sich um eine Beispieltopologie, die einen Überblick über eine typische Exchange 2013-Bereitstellung bietet. Contoso, Ltd. ist eine Organisation mit mehreren Gesamtstrukturen und mehreren Domänen. Darüberhinaus verfügt die Organisation über zwei Active Directory-Gesamtstrukturen. Die Gesamtstruktur A enthält die Domäne "contoso.com", und die Gesamtstruktur B enthält die Domäne "sale.contoso.com". In jeder einzelnen Gesamtstruktur sind Domänencontroller vorhanden, ein Exchange 2013-Server mit der installierten Clientzugriffsrolle und ein Exchange 2013-Server mit der installierten Postfachserverrolle. Contoso-Remotebenutzer verwenden Outlook Web App, um über das Internet eine Verbindung mit Exchange 2013 herzustellen, ihre Postfächer zu überprüfen und auf ihren Outlook-Kalender zuzugreifen.
.png "Vor Hybridbereitstellung mit mehreren Gesamtstrukturen")
Angenommen, Sie sind der Netzwerkadministrator für Contoso und möchten eine Hybridbereitstellung konfigurieren. Sie stellen einen erforderlichen Active Directory-Synchronisierungsserver in der Gesamtstruktur A bereit, konfigurieren ihn und möchten einen optionalen AD FS-Server bereitstellen, um die Anzahl an Aufforderungen zur Eingabe von Anmeldeinformationen für Contoso-Benutzer und Administratoren, die in der Gesamtstruktur A auf Office 365-Dienste zugreifen, zu minimieren. Nachdem Sie die Voraussetzungen für die Hybridbereitstellung erfüllt haben und mit dem Assistenten für die Hybridkonfiguration Optionen für die Hybridbereitstellung ausgewählt haben, sieht die Konfiguration der neuen Topologie wie folgt aus:
Benutzer verwenden die Anmeldeinformationen ihres vorhandenen Netzwerkkontos für die Anmeldung bei der lokalen und der Exchange Online-Organisation ("einmaliges Anmelden").
Die lokal und in der Exchange Online-Organisation befindlichen Postfächer verwenden mehrere E-Mail-Adressdomänen. Zum Beispiel verwenden Postfächer in der lokalen Organisation der Gesamtstruktur A und einige Postfächer in der Exchange Online-Organisation "@contoso.com" in den E-Mail-Adressen der Benutzer. Postfächer in der Gesamtstruktur B und einige Postfächer in der Exchange Online-Organisation verwenden "@sales.contoso.com".
Alle Nachrichten werden von der lokalen Organisation an das Internet zugestellt. Die lokale Organisation steuert den gesamten Nachrichtentransport und dient als Relay für die Exchange Online-Organisation ("zentraler E-Mail-Transport").
Benutzer der lokalen und der Exchange Online-Organisation können einander die Frei/Gebucht-Informationen in ihrem Kalender freigeben. Die für beide Organisationen konfigurierten Organisationsbeziehungen ermöglichen zudem die standortübergreifende Nachrichtenverfolgung, E-Mail-Infos und die Nachrichtensuche.
Lokale und Exchange Online-Benutzer verwenden dieselbe URL zum Herstellen einer Verbindung mit ihren Postfächern über das Internet.
.png "Nach Hybridbereitstellung mit mehreren Gesamtstrukturen")
Wenn Sie die vorhandene Organisationskonfiguration von Contoso mit der Konfiguration der hybriden Bereitstellung vergleichen, stellen Sie fest, dass bei der Konfiguration der hybriden Bereitstellung Server und Dienste hinzugefügt wurden, welche die zusätzliche Kommunikation und die Features unterstützen, die von der lokalen und der Exchange Online-Organisation gemeinsam genutzt werden. Im Folgenden erhalten Sie einen Überblick über die Änderungen, die für die Hybridbereitstellung an der anfänglichen lokalen Exchange-Organisation vorgenommen wurden.
| Konfiguration | Vor der Hybridbereitstellung | Nach der Hybridbereitstellung |
|---|---|---|
Speicherort des Postfachs |
Nur lokale Postfächer. |
Postfächer in der lokalen und in der Exchange Online-Organisation. |
Nachrichtentransport |
Lokale Clientzugriffsserver verarbeiten das gesamte Routing eingehender und ausgehender Nachrichten. |
Lokaler Clientzugriffsserver verarbeitet das interne Nachrichtenrouting zwischen der lokalen und der Exchange Online-Organisation. |
Outlook Web App |
Lokaler Clientzugriffsserver empfängt alle Outlook Web App-Anforderungen und zeigt Postfachinformationen an. |
Lokaler Clientzugriffsserver leitet Outlook Web App-Anforderungen entweder an den lokalen Exchange 2013-Postfachserver um oder stellt einen Link zur Anmeldung bei der Exchange Online-Organisation bereit. |
Einheitliche GAL (globale Adressliste) für beide Organisationen |
Nicht zutreffend; nur einzelne Organisation. |
Lokaler Active Directory-Synchronisierungsserver repliziert Active Directory-Informationen für E-Mail-aktivierte Objekte in die Exchange Online-Organisation. |
Einmaliges Anmelden wird für beide Organisationen verwendet |
Nicht zutreffend; nur einzelne Organisation. |
Lokaler Server der Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) unterstützt die Verwendung einmaliger Anmeldeinformationen für Postfächer, die sich in der lokalen oder in der Office 365-Organisation befinden. |
Hergestellte Organisationsbeziehung und eine Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem |
Sie können eine Vertrauensstellung mit dem Azure AD-Authentifizierungssystem und Organisationsbeziehungen mit anderen Exchange-Verbundorganisationen konfigurieren. |
Eine Vertrauensstellung mit dem Azure AD-Authentifizierungssystem ist erforderlich. Organisationsbeziehungen werden zwischen der lokalen und der Exchange Online-Organisation hergestellt. |
Freigabe von Frei/Gebucht-Informationen |
Freigabe von Frei/Gebucht-Informationen nur zwischen lokalen Benutzern. |
Freigabe von Frei/Gebucht-Informationen zwischen lokalen und Exchange Online-Benutzern. |
Konfigurieren von Hybridbereitstellungen in Organisationen mit mehreren Gesamtstrukturen
Führen Sie zum Konfigurieren einer Hybridbereitstellung in einer Organisation mit mehreren Gesamtstrukturen die folgenden grundlegenden Schritte aus:
Stellen Sie sicher, dass Sie die Voraussetzungen für die Hybridbereitstellung erfüllt haben. Siehe Voraussetzungen, die am Anfang dieses Themas und unter Voraussetzungen für die Hybridbereitstellung aufgelistet sind. Normalerweise muss nur für eine Gesamtstruktur ein Active Directory Synchronisationsserver installiert werden. Ein Server mit Azure Active Directory Connect (Azure AD Connect) mit Active Directory Federation Services (AD FS) muss in jeder Gesamtstruktur installiert werden, um das einmalige Anmelden zu ermöglichen, wenn keine Gesamtstrukturvertrauensstellung in beide Richtungen zwischen den Gesamtstrukturen konfiguriert wird.
Fordern Sie ein Zertifikat von einer externen Zertifizierungsstelle für jede Active Directory-Gesamtstruktur an, das die bereits in diesem Thema aufgeführten Anforderungen erfüllt.
Installieren Sie das Zertifikat auf sämtlichen Exchange 2013-Clientzugriffs- und Postfachservern oder Exchange 2016-Postfachservern in jeder einzelnen Gesamtstruktur.
Führen Sie die im Thema Erstellen einer Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration beschriebenen Schritte für die primäre Gesamtstruktur aus.
Wichtig
Vergewissern Sie sich, dass Sie im Assistenten für die Hybridkonfiguration das Zertifikat auswählen, das für die primäre Gesamtstruktur bestimmt ist. Wählen Sie anschließend die primäre SMTP-Domäne für die Gesamtstruktur aus.
Führen Sie die im Thema Erstellen einer Hybridbereitstellung mit dem Assistenten für die Hybridkonfiguration beschriebenen Schritte für die sekundäre Gesamtstruktur aus.
Wichtig
Vergewissern Sie sich, dass Sie im Assistenten für die Hybridkonfiguration das Zertifikat auswählen, das für die sekundäre Gesamtstruktur bestimmt ist. Wählen Sie anschließend die primäre SMTP-Domäne für die Gesamtstruktur aus.