Zusammenarbeit Exchange 2013 On-Premise - Exchange Online (Office 365)

Intensivkurs EXS-Hybrid

Exchange Hybrid 2016

Azure Active Directory - ADFS - Hybrid Konfiguration - OAUTH2 - Mail Flow - Mailbox Move - Free/Busy - Public Folder - Modern Authentication

Mit diesem neuen 3-Tage-Kurs wollen wir Unternehmen ermöglichen, ihre bestehende Exchange 2016 (2013) On-Premise Umgebung systematisch selbst in eine Exchange Hybrid Umgebung zu überführen.
Die Zusammenarbeit zwischen Exchange 2016 On-Premise (lokal) und Exchange Online (Azure Office 365) ist oft notwendig für international tätige Firmen mit Mitarbeitern, die auf der ganzen Welt unterwegs sind.

ZIELGRUPPE
Das Seminar richtet sich an Enterprise und Domain Administratoren, Exchange Administratoren, IT-Infrastruktur Manager und Systemhäuser.
Erfahrung mit Exchange 2010, 2013.
Erfahrung mit Active Direcrtory.

NIVEAU
★★★★★ — sehr anspruchsvoll

DAUER
3 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

22.08. - 24.08.2017 noch Plätze frei

Zur Anmeldung

PREIS
2.750,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 09:00 - 17:30 Uhr
Am letzten Tag 09:00 - 16:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Die Besonderheit einer Exchange Hybrid-Konfiguration ist, so zu konfigurieren, dass ein SSO (Single Sign-On) für jeden Benutzer möglich, egal wo sein Postfach ist. Auch wenn manche Postfächer in der Cloud liegen (Exchange Online) wird die Authentifizierung und Autorisierung durch das On-Premise (lokale) Active Directory mit Unterstützung von ADFS (AD Federation Service) ermöglicht.

Der Kurs wird mit echter Azure Subscription XCHANGE-HYBRID.DE (XchangeHybridDE.onMicrosoft.com) und Exchange Online (Office 365) Business praktiziert. Jeder Kursteilnehmer bekommt eine eigene Exchange Online Lizenz, sodass er sein Postfach lokal oder in Azure (Office 365 Tenant) anlegen und verschieben kann:

Für den Kurs wird Public SSL Zertifikat für die Sicherung der HTTP-Transports zwischen On-Premise und Azure Komponenten eingesetzt. Auch dieser Kurs ist "projektbezogen", d.h. die Kursteilnehmer können nach dem Kurs ihr "Hybrid" Projekt durchführen.

Exchange Hybrid erlaubt, die Nutzung eines gemeinsamen GAL (Global Address Book) und verteilte Free/Busy. Auch auf die bestehenden On-Premise Public Folder kann von allen Benutzern zugegriffen werden. Durch die Verzeichnissynchronisation (DirSync) durch AADConnect werden ausgewählte AD Benutzerobjekte des lokalen AD Forests XCHANGE-HYBRID.DE in die angelegte Federation Domäne XchangeHybridDE.onMicrosoft.com repliziert. Wie wir im Kurs noch sehen werden, steckt hinter dieser Federated Domäne eine OU in einer Microsoft Domäne (z.B. EURPR01A005.Prod.Outlook.com). Die Federated Domäne wird auch als Azure AD bezeichnet.

Damit SSO möglich ist, wird in einer Enterprise Umgebung neben DirSync eine hochverfügbare ADFS Struktur (ADFS Serverfarm + Proxy Farm) benötigt, die zusammen mit Active Directory und Azure AD für die SSO Authentifizierung der Benutzer zuständig ist. Das On-Premise ADFS arbeitet mit Microsofts ACS (AD Access Control) zusammen, um die Authentifizierung und Autorisierung auf Exchange Objekte zu ermöglichen. Für die Autorisierung wird das neue Protokoll OAUTH2 eingesetzt. Dieses neue Autorisierungsprotokoll kann mit allen Webbasierten Clients und Access Token Formaten arbeiten, wobei das neue sehr kompakte JSON Web Token (JWT) eingesetzt wird. Das OAuth 2.0 Authorization Framework (RFC6749) ist äußerst flexibel, wenn es darum geht, Zugriff auf fremde Ressourcen durch Delegation zu ermöglichen. Man könnte dies mit Kerberos Delegation in einem Double-Hop Szenario vergleichen, wo die geschätzte Ressource nicht lokal, sondern irgendwo remote liegt. Während Kerberos innerhalb eines AD Forests und Trusted Forests beschränkt ist, kann OAUTH 2.0 zusammen mit ADFS für alle Webbasierten Anwendungen eingesetzt werden. Der Zugriff kann von überall erfolgen, egal ob der Benutzer On-Premise in einer Trusted AD Umgebung ist oder von der Cloud wie Facebook, Google Open ID, Windows Live ID kommt. Die notwenigen Trusts der "fremden" Parteien werden über X.509 Zertifikat geregelt.

In einer ADFS Welt ist eine Claims Based Web Application (CBWA) nicht für die Authentification zuständig, sie überlässt diese Aufgabe durch den Relying Party Trust einem ADFS Server, der die Authentifizierung im Namen des Benutzers an einem AD Domain Controller durchführt. Nach der Authentifizierung bekommt der Benutzer (Browser bzw. Anwendung) ein Security Token (SAML 1.x oder 2.0) mit den notwendigen Claims um auf die CWBA zuzugreifen. Wenn jedoch Zugriff auf z.B. den Terminkalender eines anderen Benutzers für Free/Busy benötigt wird, ist ein Federation Protokoll wie WS-Federation oder SAML ungeeignet. Hier kommt das neue OAUTH 2 Authorization Protokoll ins Spiel. In einem OAUTH 2 Szenario sind vier Parteien beteiligt: Vereinfacht dargestellt, muss der User-Agent (Web Browser, Smart-Client) eines Benutzers (OAUTH2 Resource Owner) zuerst für den OAUTH2 Client (Web Server, Web Service) einen Authorization Grant (code) für den Zugriff auf eine geschützte Resource (Terminkalender) vom OAUTH2 Authorization Server holen. Mit diesem Authorization Code kann der Client (Web Server) das gewünschte OAUTH2 Access Token (JSON Web Token) und optional das Refresh Token vom OAUTH2 Authorization Server bekommen, mit dem der Client auf die geschützte Resource auf einem OAUTH2 Resource Server zugreifen kann. Damit die Authentifizierung und Autorisierung durch eine einzige Benutzeranmeldung funktioniert, arbeiten der On-Premise ADFS Server und der Microsofts OAUTH2 Authorization Server (ACS) ständig zusammen. Es ist wirklich sehr komplex, wenn man versucht, die verschiedenen "Flows" zwischen diesen Komponenten zu analysieren.

Durch die Zusammenarbeit mit Azure Exchange Online kann der bisherige eingehende Mail Flow via MX-Records auch anders gestaltet werden. Wenn die mächtigen Schutzmechanismen von EOP (Exchange Online Protection) gegen Viren, Spams, etc. genutzt werden sollen, kann der eingehende Mail Flow zu EOP umgeleitet werden. In der Regel besitzen Enterprise Unternehmen diverse Mechanismen, um E-Mails zu schützen. Für kleinere Unternehmen kann der EOP Einsatz sehr sinnvoll sein. Alle eingehende E-Mails werden zuerst durch EOP geschleust, bevor diese an die On-Premise und Online Postfächer geleitet werden.

Das SSO (Single-Sign On) Problem beim Zugriff auf ein Office 365 Postfach in Azure wurde erst mit der Verfügbarkeit der "Modern Authentication" (Mitte Mai 2016) durch die Neuimplentierung der Office 365 Authentication an Azure AD auf ADAL (Active Directory Authentication library) beseitigt. Wenn man sich On-Premise mit einem Office 365 Postfach anmelden möchte, kommt immer ein Anmelde-Fenster (ohne Modern Authentication). Das geschieht sowohl bei einem Domain Member mit Postfach in Azure als auch bei einem Benutzer, der an einem via Workplace Join eingeklinkten Gerät arbeitet. Für Office 2016 ist die Modern Authentication standardmäßig aktiviert, lediglich ist nur noch  eine Aktivierung in Exchange Online notwendig. Für Office 2013 wird ein Registry-Key benötigt.

Aufbau der Exchange Hybrid Infrastruktur:

Praktische Übungen:

Demo:

Alle Übungen werden mit Troubleshooting kombiniert.

Dieser Kurs wird durch die Kurse Exchange Server 2016 (2013) High Availability und Kerberos & AD Federation Services ergänzt.

Zusammenarbeit Exchange 2013 On-Premise - Exchange Online (Office 365)
Zusammenarbeit Exchange 2016 (2013) On-Premise - Exchange Online (Office 365)

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Der Kurs wird in Blöcke aufgeteilt. Jeder Block stellt einen Kursschwerpunkt mit mehreren Modulen dar.

Block I: Einführung in die Exchange Hybrid Infrastruktur
Bevor wir loslegen, ist es wichtig einen Gesamtblick von der geplanten Infrastruktur zu verschaffen.

Block 2: Exchange Hybrid Infrastruktur einrichten
Schritt für Schritt entsteht die notwendige Infrastruktur, bevor die Hybrid Configuration Wizard gestartet werden kann.

Block 3: Hybrid Configuration Wizard (HCW)
Nach der Vorbereitung kann der HCW gestartet werden. Danach werden alle angelegten und modifizierten Objekte untersucht.

Block 4: Exchange Hybrid praktizieren
Nach der Konfiguration wird Mail Flow getestet, Mailbox migriert und die Zusammenarbeit mit allen Komponenten untersucht.

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -