Mit Exchange SE steht der Nachfolger von Exchange 2019 in den Startlöchern. Der Server lässt sich über den Hybrid Configuration Wizard an Microsoft 365 und damit an Microsoft 365 und Entra ID anbinden. Der Beitrag zeigt die Möglichkeiten.
Der Hybrid Configuration Wizard verbindet Exchange SE mit Microsoft 365 und Entra ID – zentrale Schnittstelle für Migration und Verzeichnisabgleich.
(Bild: Joos | Microsoft)
Exchange SE (Subscription Edition) baut auf Exchange 2019 CU15 auf. Daher ist auch der Hybrid Configuration Wizard ähnlich im Aufbau. Bezüglich der Serverversion entspricht Exchange SE in der RTM-Version der Version 15.2 (Build 2562.17). Bei Exchange 2019 CU15 ist die Version ebenfalls 15.2, allerdings mit dem Build 1748.10. Um eine lokale Exchange-Organisation an Microsoft 365 anzubinden und die Benutzer auch über Microsoft 365 anzubinden, erfolgt die Ausführung des Hybrid Configuration Wizards über den Bereich "Hybrid" im Exchange Admin Center.
Exchange-Verwaltungstools auf Windows 11 vorbereiten
Am besten erfolgt die Einrichtung über eine Admin-Arbeitsstation auf der auch die Verwaltungstools für Exchange SE installiert sind. Verbinden sich Admins von einer Arbeitsstation mit installierten Exchange-Verwaltungstools über den lokal installierten Webbrowser mit dem Exchange Admin Center, können sie von hier die Einrichtung starten.
Die Exchange-Verwaltungstools werden am besten über die ISO-Datei von Exchange SE installiert. Dazu wird zuerst das Feature IIS6ManagementCompatibility gebraucht. Dieses lässt sich in Windows 11 am schnellsten über die Befehlszeile installieren:
Danach erfolgt der Start des Installationsassistenten von Exchange SE auf dem PC.
Verbindung zwischen Exchange und Microsoft 365 testen
Damit Exchange SE mit Microsoft 365 verbunden werden kann, sollte auf dem Exchange-Server zunächst die Verbindung überprüft werden. Microsoft stellt dazu ein Skript zur Verfügung, mit dem die Verbindung getestet werden kann. Nach dem Download kopieren wird die Datei in das Modules-Verzeichnis der PowerShell kopiert. Dieses lässt sich mit dem folgenden Befehl öffnen:
Cd $PSHome\Modules
Damit das Skript funktioniert, muss zeitweise die Ausführungsrichtlinie für Skripts der PowerShell auf Unrestricted gesetzt werden:
Set-ExecutionPolicy Unrestricted
Das PowerShell-Skript muss zunächst als Modul in die PowerShell importiert werden:
Import-Module .\HybridManagement.psm1
Danach kann die Verbindung mit folgendem Cmdlet getestet werden:
Nach dem Start des Installationsassistenten von Exchange SE, lässt sich auf Windows 11 der Menüpunkt „Empfohlene Einstellungen nicht verwenden“ und dann „Verwaltungstools“ auf der Seite „Serverrollenauswahl“ zur Verfügung. Nach der Installation stehen die Verwaltungstools auf dem PC zur Verfügung, vor allem das PowerShell-Modul für Exchange SE, das Basis für die Verwaltung ist. Nach dem Start der Tools, ruft man über den lokal installierten Browser das Exchange Admin Center auf dem Server mit Exchange SE auf. Die Adresse dazu ist https://<Name oder IP von Exchange>/ecp.
Nach der Anmeldung erfolgt ein Wechsel zu „Hybrid“.
Die Einrichtung lässt sich auch über die Schaltfläche „Konfigurieren“ im Exchange Online Admin Center bei „Einstellungen -> Hybrideinrichtung starten“. Das Exchange Online Admin Center steht über die Adresse admin.exchange.microsoft.com zur Verfügung. Nach dem Download des Hybrid-Assistenten „Microsoft.Online.CSE.Hybrid.Client.application“ erfolgt dessen Start. Das funktioniert auch direkt auf dem Server, ist aber auf Grund von Sicherheitseinstellungen oft umständlicher als auf einer Arbeitsstation.
Startet der Assistent nicht, hilft es die Verknüpfung der Dateiendung „*.application“ in den Systemeinstellungen von Windows auf eine andere App zu legen, zum Beispiel den Editor und danach wieder auf „ClickOnce Application Deployment Support Library“. Das Tool kann auch direkt über den Link heruntergeladen werden.
Hierbei handelt es sich um keinen offiziellen Download von Microsoft, die Verwendung erfolgt auf eigene Gefahr.
Hybrid Agent im Exchange Admin Center aktivieren
Der Hybrid Agent wird direkt über das Exchange Admin Center gestartet, sobald der Hybrid Configuration Wizard ausgeführt wird. Auf der Arbeitsstation mit Windows 11 und installierten Exchange-Verwaltungstools genügt ein Aufruf der Seite „Hybrid“, um den Assistenten herunterzuladen und zu starten. Der Agent ersetzt in der modernen Bereitstellung klassische Methoden wie Reverse Proxies oder öffentliche HTTPS-Verbindungen auf dem Exchange-Server.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Während der Einrichtung fordert der Assistent zur Authentifizierung an der lokalen Exchange-Organisation und Microsoft 365 auf. Sobald beide Anmeldungen erfolgreich verlaufen sind, prüft das Tool die verfügbaren Server und fordert zur Auswahl der Hybridkonfiguration auf. Für die Anbindung wird ein TXT-Eintrag in der externen DNS-Zone notwendig, um den Besitz der Domäne zu bestätigen. Der Inhalt des Eintrags wird im Assistenten angezeigt und kann direkt in die Zwischenablage übernommen werden.
Zertifikatsvalidierung und Connector-Konfiguration
Nach der Domänenverifizierung prüft der Assistent die eingesetzten Zertifikate auf allen Exchange SE-Servern. Dabei erkennt er automatisch, ob die Zertifikate korrekt installiert, vollständig verteilt und den richtigen Connectors zugewiesen sind. Fehlerhafte Konfigurationen blockieren den Assistenten nicht. Stattdessen lassen sich betroffene Server aus der Hybridkonfiguration ausschließen und der Vorgang trotzdem abschließen. Der Hybrid Agent benötigt keinen eingehenden Netzwerkzugriff von außen. Alle Verbindungen erfolgen ausgehend über die Ports 80 und 443.
Teilweise schlägt die Verbindung zu Microsoft 365 wegen eines Fehlers in der Zeitzonenerkennung fehl. In diesem Fall hilft eine temporäre Umstellung der Arbeitsstation auf UTC -1 (Azoren). Der Fehler tritt unregelmäßig auf und betrifft vor allem den Verbindungsaufbau beim Start des Assistenten.
Postfachmigration und Frei/Gebucht-Zeiten aktivieren
Nach Abschluss der Einrichtung lassen sich Postfächer direkt vom lokalen Exchange SE-Server zu Microsoft 365 migrieren. Auch die Frei/Gebucht-Zeiten zwischen Cloud- und On-Premises-Benutzern werden synchronisiert. Der Mailbox Replication Service nutzt dafür eine dedizierte Proxy-URL, die über den Agent generiert und verwaltet wird. Die URL basiert auf einem GUID-basierten Format und ist vollständig in Azure abgesichert.
Anders als oft vermutet, verbindet der Hybrid Agent nicht nur einen bestimmten Server mit Microsoft 365. In Exchange SE sind alle Server einer Organisation eingebunden, sofern sie über den Assistenten erkannt und zugelassen wurden. Eine zentrale Hybridrolle entfällt. Voraussetzung ist, dass alle beteiligten Server die DNS-Auflösung für AutoDiscover intern und extern fehlerfrei umsetzen können.
Vorbereitung und Kontrolle der lokalen Umgebung
Bevor der Hybrid Agent zum Einsatz kommt, sollte Exchange SE vollständig eingerichtet und betriebsbereit sein. Dazu gehören korrekte Zertifikatszuweisungen, stabile DNS-Auflösungen und eine funktionierende AutoDiscovery-Logik. Besonders bei komplexeren Umgebungen mit mehreren Servern empfiehlt sich eine Prüfung der Ereignisanzeige sowie ein Testlauf über das Skript Test-HybridConnectivity.
Zur vollständigen Integration in Microsoft 365 ist auch die Benutzer- und Gruppenverwaltung über Entra ID erforderlich. Dazu wird Entra ID Connect eingesetzt. Das Tool läuft auf einem separaten Server oder einem Domänencontroller und synchronisiert die lokalen Objekte in die Cloud. Die Einrichtung erfolgt über das Azure-Portal und bildet die Basis für ein einheitliches Identitätsmodell zwischen Exchange SE und Microsoft 365.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fc/67/fc67a88780feb1bb04f72d984bf1f5b7/0125978635v1.jpeg "Die Einrichtung und Verwaltung der Hybridbereitstellung kann auf dem Exchange-Server selbst oder auf einer Arbeitsstation erfolgen. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/f1/9a/f19afbeebf3de1efc2df0708493571e4/0125978640v1.jpeg "Vorbereitungen für die Installation der Exchange-Verwaltungstools in Windows 11.(Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/6d/f8/6df88c218d74a92c28ab59d7f2516e7a/0125978638v1.jpeg "Der Hybrid Configuration Wizard lässt sich auch direkt im Exchange Admin Center herunterladen und starten.(Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/fd/db/fddb3f1d61ffa20f53ea9f3034770b0b/0125978637v1.jpeg "Starten des Hybrid Configuration Wizards in einer Exchange-Organisation. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/57/5b578151a4fe8f1e725af42722317d11/0125497476v2.jpeg "In diesem Video-Tipp zeigen wir, wie man mit dem quelloffenen PowerShell-Modul „Harden Windows Security“ Windows-11-PCs einfach und schnell sicherer macht. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/7f/da7f45f6f19f349558280c7370c4008f/0123330152v2.jpeg "0Patch versorgt Windows 10 weiter mit Updates: Das steckt dahinter. (Bild: Vadim - stock.adobe.com)")