Hier ist eine merkwürdige Konstellation, auf die Sie beim Erstellen von Microsoft 365-Konten gestoßen sein könnten, wenn Sie ein hybrides Setup haben. Viele Unternehmen, betreiben Exchange 2016/2019 vor Ort und haben auch AAD Connect installiert. Sie haben eine Synchronisierung mit Azure AD zusammen mit dem Hybrid-Konfigurationsassistenten eingerichtet, damit Microsoft Office 365 weiß, was vor Ort passiert. Für diejenigen, die AAD Sync oder AAD Connect nicht verstehen, dies synchronisiert im Grunde Ihr lokales Active Directory mit Azure AD, und das Setup bestimmt, wer die maßgebliche Quelle ist. Wir wollen hier nicht zu sehr ins Detail gehen, aber lassen Sie uns das kurz erklären. Nachdem ein Benutzer in Ihrem lokalen Active Directory erstellt wurde, wird er bei der nächsten Synchronisierung in Azure AD angezeigt, und beide Plattformen kennen nun diesen Benutzer. Großartig, es ist also alles in Ordnung.
Microsoft 365 Hybrid-Modus und Synchronisierung
Als nächstes können Sie Gruppen in Ihrem lokalen Active Directory einrichten. Sie können es so einrichten, dass, wenn ein Benutzer zu dieser Gruppe hinzugefügt wird, ihm die von Ihnen angegebene Lizenz zugewiesen wird, die diesen Gruppen zugeordnet ist. Das ist großartig. Wo liegt nun das Problem? Nehmen wir an, ich erstelle Benutzer 1 in meinem lokalen Active Directory und füge Benutzer 1 der Microsoft 365-Gruppe hinzu, der eine E5 plus Microsoft Teams-Lizenz zugewiesen wird. Nun findet die nächste Synchronisierung statt, und weil dem Benutzer eine Lizenz zugewiesen wurde, hat er dann ein Postfach in Microsoft 365 erstellt.
OK, jetzt kommt also der IT-Mitarbeiter und richtet den Rechner des Benutzers ein – und legt dabei ein lokales Postfach auf Exchange 2016/2019 on-premises an. Da der Benutzer im LAN angemeldet ist, wird das Konto sofort und ohne Fehler eingerichtet. Der Laptop wird dem Benutzer gegeben, aber er ruft Sie an, um zu sagen, dass Leute ihn anmailen und er keine E-Mails erhält. Sie melden sich mit den lokalen Anmeldedaten bei Outlook im Web an und können die E-Mails sehen. Wenn Sie den Verbindungsstatus überprüfen, zeigt dieser auf Microsoft Office 365 und nicht auf den lokalen Exchange Server.
Eine seltsame Fehlermeldung
Personen, die die Microsoft Office 365-Version verwenden, können auch E-Mail-Bounce-Backs mit einer seltsamen X500-Adresse erhalten und Exchange meldet diese Bounce-Back-Meldung:
Recipient not found by Exchange Legacy encapsulated email address lookup
Personen, die eine Retail-Version von Microsoft Office verwenden, z. B. Office 2019, die sich nicht im LAN befindet, können dem Benutzer ohne Fehler eine E-Mail aus der globalen Adressliste (GAL) senden. Seltsam, oder?
Also gut, warum passiert das? Erstens: Wenn Sie die Microsoft 365-Version von Office verwenden, besteht das Verhalten darin, in Office 365 nach einem Postfach zu suchen, und wenn es eines gibt, wird es automatisch mit diesem verbunden. In diesem Fall wurde das Postfach erstellt, weil dem Benutzer zunächst eine Lizenz zugewiesen wurde. Wenn Sie es so belassen wollen, können Sie das tun, aber dann ist die einzige Möglichkeit, sich mit Exchange 2016/2019 on-premises zu verbinden, einen Hostdateieintrag auf dem lokalen Rechner wie folgt hinzuzufügen:
127.0.0.1 outlook.office365.com
Damit können Sie in Outlook beim Einrichten des Profils die Details für Ihre Exchange-Umgebung eingeben. Nun wird die Mailbox verbunden und der Benutzer kann lokal arbeiten. Wie wir gesehen haben, führt dies jedoch zu Problemen für den Benutzer. Leider müssen Sie ein paar Schritte durchführen, um alles wiederherzustellen, was zeitaufwendig ist – aber es wird Ihnen auf lange Sicht helfen. Hier sind die Schritte:
- Entfernen Sie den Benutzer aus dem lokalen Active Directory. Dadurch wird der Benutzer auch aus allen Gruppen entfernt.
- Lassen Sie AAD Connect Sync laufen, und es wird die Änderung übernehmen und den Benutzer und die Lizenz entfernen.
- Legen Sie das Benutzerkonto in Ihrem lokalen Active Directory an und erstellen Sie ein Exchange-Postfach für den Benutzer.
- Lassen Sie AAD Connect Sync erneut laufen, damit es den neuen Benutzer und alle seine Attribute aufnimmt.
- Fügen Sie den Benutzer erneut zu den erforderlichen Gruppen hinzu, aber dieses Mal wird die Lizenz ohne Fehler zugewiesen.
Sobald Sie das Profil lokal auf dem Rechner eingerichtet haben – und wenn Sie OAuth im Hybridmodus ausführen – wird das Verhalten so sein, dass es Sie auffordert, den Benutzernamen und das Kennwort in einem Microsoft 365-Anmeldefenster einzugeben. Es wird dann das Konto ohne Fehler einrichten, und wenn Sie den Verbindungsstatus überprüfen, zeigt es Ihren On-Premises-Server und nicht Office 365.
Gefixt!
Wenn Sie jetzt eine E-Mail an den Benutzer senden, sollte diese nicht mehr zurückkommen und die E-Mail zugestellt werden. Möglicherweise müssen Sie den zwischengespeicherten Eintrag in Ihrem Outlook löschen und den Benutzer das erste Mal in der GAL auswählen, wenn Sie ihm zuvor eine E-Mail geschickt haben. Wenn der Benutzer ein Administrator in Office 365 ist, wird durch die Anwendung des Workarounds mit dem Hostdateieintrag der Zugriff auf das Office 365-Portal blockiert und er kann sich nicht mit dem Admin Center verbinden.
Seien Sie nicht voreilig mit AAD Connect, da dies dazu führen kann, dass Sie Konten immer wieder neu erstellen müssen. Lassen Sie die Synchronisierung nach ihrem Zeitplan ablaufen, und sobald sie abgeschlossen ist, können Sie zum nächsten Schritt übergehen. Wenn Sie mit AAD Connect und dem Synchronisierungstool nicht vertraut sind, können Sie sich im Portal anmelden und den Synchronisierungsstatus anzeigen lassen. Dies wird im Haupt-Admin-Center auf Microsoft 365 angezeigt.