Herausforderungen bei der Nutzung von Exchange Online

Die Nutzung von Exchange Online aus der Office-365-Plattform stellt für viele Unternehmen eine attraktive Möglichkeit dar, Enterprise Communications zum erschwinglichen Preis nutzen zu können. Um die vollen Services von Exchange Online wie zum Beispiel Verzeichnisdienst-Synchronisierung und Single Sign-on zu nutzen, sind allerdings einige Zusatzinstallationen nötig. In diesem Artikel stellen wir Ihnen verschiedene Lösungswege vor.

Die Herausforderung: Synchronisierung mit Active Directory (AD)

Verbunden mit den anderen Diensten aus der Office 365 Cloud ergeben sich mit Exchange Online für Unternehmen jeder Größenordnung Möglichkeiten, die zuvor nur mit einem enormen Invest in Infrastruktur, Lizenzen und Dienstleistung zu erreichen war. Sofern Sie sich für eine reine “In-Cloud-Nutzung” entscheiden, also ohne eine Synchronisierung des lokalen Active Directory zu Office 365/Azure Active Directory, ist die Konfiguration unkritisch und tatsächlich mit geringem Aufwand zu realisieren. Dies dürfte aber aufgrund des fehlenden Komforts (doppelte Nutzerpflege, keine Kennwort-Synchronisierung, kein Single Sign-on) für die meisten Unternehmen mit eigener IT-Infrastruktur keine attraktive Lösung darstellen.

Was also tun, wenn Sie Exchange Online nutzen möchte, aber auch auf den vollen Komfort der Verzeichnisdienst-Synchronisierung und Single Sign-on nicht verzichten wollen?

Die Beantwortung dieser Frage ist, wie wir in diversen Kundenprojekten und Support Calls feststellen mussten, auch für Microsoft nicht einfach. Der Kern des Problems liegt im Autoritätsursprung des Verzeichnisdienstes. Im Fall von synchronisierten Objekten liegt der Ursprung der Autorität immer im On-Premise Active Directory. Nach Vorgaben von Microsoft müssen daher alle Informationen einer Identität im lokalen Active Directory vorhanden sein. Dies betrifft banale Informationen wie Vorname und Nachname, aber insbesondere Exchange-bezogene Attribute wie die Felder „E-Mail“ und „Target Address“.

Um das gesamte Set an Informationen für die Nutzung von Exchange Online korrekt zu füllen, muss im Verlauf der Einrichtung von Azure AD Connect die Option Exchange aktiviert werden. Diese sorgt für den Sync der entsprechenden Objekte von on-premise in das Azure AD, aber schreibt auch ein gewisses Set an Informationen zurück in das On-Premise AD.

Lösungsweg 1: Installation eines On-Premise-Exchange-Servers

Die von Microsoft beschriebene “Musterlösung” sieht nun vor, dass Kunden, die auch ausschließlich Exchange Online nutzen wollen, on-premise einen Exchange Server installieren müssen. Dies ist allerdings mit höheren Betriebsaufwänden auch nach der Migration in die Cloud verbunden. Denn auch wenn für diesen Exchange Server keine dedizierte Exchange-Server-Lizenz erforderlich ist – Microsoft stellt diese Lizenz allen Office-365-Kunden kostenfrei zur Verfügung, um das Management der Identitäten gemäß Vorgabe zu ermöglichen – so muss das System doch fortlaufend gepflegt werden, zum Beispiel durch Betriebssystem- und Exchange-Updates. Darüber hinaus ist auf die Kompatibilität der .NET-Versionen zu achten. Sie haben hierbei sozusagen eine Exchange-Hybrid-„light“-Bereitstellung.

Lösungsweg 2: Exchange-Management-Komponenten und PowerShell

Nun gibt es auf einigen Blogs die Aussage, dass es ausreicht, die Schemaerweiterung vorzunehmen und die Exchange-Management-Komponenten zu installieren. Da dies eine charmante Lösung sein könnte, haben wir diese mit dem Microsoft-Support diskutiert und tatsächlich die Bestätigung erhalten, dass dies ein gangbarer Weg ist. Der Vorteil ist hier, dass man keine vollständige Exchange-Server-Installation warten muss. Im Gegenzug verzichtet man auf die Exchange GUI (das Exchange Administration Center) und man erledigt alle Aufgaben über PowerShell. Dies mag auf den ersten Blick attraktiv erscheinen, jedoch haben wir leider in der Umsetzung einige Unzulänglichkeiten festgestellt. So ist das Anlegen von Shared Mailboxes nur sehr umständlich möglich. Für einige, eigentlich einfache, Aufgaben müssen umfassende und aufwändige PowerShell-Skripte erstellt werden. Eine erneute Klärung mit dem Microsoft-Support zu aufgetretenen Problemen in diesem Kontext hat folgerichtig auch das Ergebnis geliefert, dass die “Nur-Management-Installation” kein gangbarer Weg ist.

Unsere Empfehlung: Exchange Server mit Azure Virtual Machines (VM)

Um die bestmögliche und auch eine sicher unterstützte Umgebung zu erhalten, kommen Sie um einen On-Premise Exchange Server nicht herum. Nur damit können Sie das vollständige Funktionsset von Exchange beziehungsweise Exchange Online nutzen. Sofern Sie über keine entsprechenden Ressourcen verfügen, empfehlen wir, die Installation des Exchange-Systems in einer günstigen Azure VM vorzunehmen. Diese kann mit der On-Premise-Umgebung über VPN verbunden werden und belegt in Ihrer lokalen IT keine wertvollen Ressourcen. Sofern Sie die Exchange-Dienste nicht noch als internes E-Mail Relay nutzen, müssen Sie Azure VM sogar nur dann betreiben, wenn aktiv Exchange-Konfigurationsarbeiten ausgeführt werden. Die Kosten hierfür sind daher sehr niedrig. Zudem bietet das Hosting in Azure Ihnen eine einfache Möglichkeit, die fortlaufende Wartung der VM an Ihr Systemhaus im Rahmen eines Pflegevertrags auszulagern.

Wie Sie sehen, ist derzeit im Umfeld der Cloud Services noch nicht alles optimal gelöst. Sind die Lösungen aber erst einmal intelligent eingerichtet, profitieren Sie von einer Vielzahl an Mehrwerten. Um eine individuelle Beratung zu erhalten, sprechen Sie uns gerne an. Wir unterstützen Sie gerne bei beiden Lösungswegen und darüber hinaus.

War dieser Artikel hilfreich für Sie? Wir freuen uns über Ihr Feedback über die Kommentarfunktion und stehen bei Fragen gerne zur Verfügung.

Link-Tipps:

Über den Autor

Ehemaliger Projektleiter bei CONET Solutions GmbH | Beiträge

Christoph Züllighofen arbeitete als Architekt und Projektleiter im Team Cloud Workplace Solutions bei CONET.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert