Nachrichten werden zwischen Exchange Online und On-Premises-Servern geroutet, Konnektoren legen die Ausgangs- und Eingangsendpunkte fest. Zertifikate und TLS-Konfigurationen sind die Schlüssel für sichere Kommunikationsstrecken und müssen auf beiden Seiten übereinstimmen. Das funktioniert in der Praxis erstaunlich gut, solange alles passt. Das Problem: Wenn etwas nicht passt, ist es oft schwer zu erkennen, woran es genau liegt. Und genau hier entstehen die Blind Spots.
Hybrid ist nicht Legacy
Zunächst eine kurze Klarstellung, denn das Missverständnis hält sich hartnäckig: Eine hybride Exchange-Umgebung ist kein Übergangsstadium, das man möglichst schnell hinter sich lassen sollte. Für viele Organisationen ist Hybrid die langfristig richtige Antwort auf echte Anforderungen.
Typische Gründe, warum On-Premises Exchange auch 2026 noch gebraucht wird:
- Postfächer mit besonderen Schutzanforderungen, etwa für HR-Daten, Gesundheitsinformationen oder regulierte Bereiche
- Applikationspostfächer und SMTP-Relay für interne Systeme und Geräte, die keine direkte Cloud-Anbindung haben
- Umgebungen ohne direkten Internetzugang, z. B. in Produktionsnetzen oder abgesicherten Segmenten
- Compliance-Anforderungen, die eine lokale Verarbeitung oder Archivierung von Nachrichten vorschreiben
- Saubere Verzeichnissynchronisation und Identitätsverwaltung zwischen On-Premises AD und Entra ID
Kurz gesagt: Wer Hybrid betreibt, tut das meistens nicht aus Gewohnheit, sondern weil es technisch und organisatorisch Sinn ergibt. Mit Exchange Server SE hat Microsoft außerdem ein klares Signal gesendet: On-Premises Exchange hat eine Zukunft, aber eben unter neuen Vorzeichen. Das Versprechen lautet, dass Exchange Server mindestens bis Ende 2035 verfügbar ist.
Mit Exchange Server SE hat Microsoft außerdem ein klares Signal gesendet: On-Premises Exchange hat eine Zukunft, aber eben unter neuen Vorzeichen. Das Versprechen lautet, dass Exchange Server mindestens bis Ende 2035 verfügbar bleiben wird.
Dabei lohnt sich eine Klarstellung, die im Alltag manchmal untergeht: Nicht alles, was als „Hybrid“ bezeichnet wird, ist es wirklich, zumindest nicht im Sinne von Microsoft. Eine echte Exchange-Hybridverbindung besteht nur dann, wenn Exchange Server und Exchange Online direkt per SMTP kommunizieren können. Genau das konfiguriert der Hybrid Configuration Wizard: Er richtet die erforderlichen Konnektoren, Zertifikatszuordnungen und Organisationsbeziehungen ein, damit beide Seiten vertrauensvoll miteinander kommunizieren können.
Sobald ein aktiver MTA eines Drittherstellers Nachrichten nicht nur weiterleitet, sondern auch aktiv verarbeitet oder modifiziert, ist dies keine unterstützte Hybridverbindung mehr, mit allen Konsequenzen für Free/Busy, Mail-Routing und Supportfähigkeit.
Blind Spot #1: On-Premises und Exchange Online-Metriken, zwei Welten ohne gemeinsames Bild
On-Premises-Server lassen sich mit klassischen Tools überwachen: Performance-Countern, Event Logs, dem Exchange Health Checker. Exchange Online hingegen liefert Daten über das Microsoft 365 Admin Center oder PowerShell-Cmdlets – in einem völlig anderen Format, mit anderen Latenzen und anderen Granularitäten.
Das Ergebnis: Admins haben selten ein einheitliches Bild der gesamten Hybrid-Infrastruktur. Ein Mailflow-Problem, das seinen Ursprung auf der Exchange Online-Seite hat, wird im On-Premises-Monitoring nicht sichtbar – und umgekehrt. Wer dann nach der Ursache sucht, beginnt oft am falschen Ende.
Besonders tückisch ist dabei die Übergabezone: Nachrichten, die zwischen On-Premises und Exchange Online geroutet werden, werden von Konnektoren verarbeitet, die auf beiden Seiten konfiguriert sind. Schlägt eine Zustellung in diesem Bereich fehl, erscheint das Problem je nach Blickwinkel mal On-Premises, mal cloud-seitig. Ohne eine Monitoring-Lösung, die beide Seiten zusammenführt, bleibt die Fehlersuche ein Raten auf hohem Niveau.
Blind Spot #2: Edge-Server und DMZ-Synchronisation
Edge-Transport-Server in der DMZ sind in vielen Hybrid-Umgebungen unverzichtbar. Sie nehmen eingehende E-Mails entgegen, schützen den internen Exchange-Server und synchronisieren Konfigurationsdaten per EdgeSync vom Hub-Transport. Klingt solide. Und es ist auch so, solange die Synchronisation funktioniert.
Läuft EdgeSync unbemerkt in einen Fehler, arbeitet der Edge-Server mit veralteten Empfängerlisten oder veralteten Routing-Konfigurationen. Das kann stille Fehler verursachen: E-Mails werden falsch geroutet, legitime Absender blockiert oder Spamnachrichten fälschlicherweise durchgelassen. Keine Fehlermeldung im ersten Moment, nur ein leises Abdriften der Konfiguration.
Ein weiterer oft übersehener Punkt ist, dass der Edge-Server außerhalb der Active Directory-Topologie liegt. Er hat keinen direkten Zugriff auf das interne AD und wird daher vom üblichen Exchange-Monitoring nicht erfasst. Wer nur die internen Mailbox-Server überwacht, sieht den Edge-Server nicht. Bis es zu einem Problem kommt.
Blind Spot #3: Unbemerkte Mailflow-Unterbrechungen
Eine der frustrierendsten Situationen im Exchange-Alltag: Der Server läuft, alle Services sind grün, der Ping kommt durch, aber E-Mails werden nicht zugestellt. Transport-Queues bauen sich auf, Nachrichten bleiben im Retry-Status, Nutzende warten.
Klassische Infrastruktur-Checks decken solche Szenarien nicht ab. Ein Ping bestätigt nur, dass das Betriebssystem reagiert, nicht, dass der SMTP-Service tatsächlich Nachrichten annimmt und weitergibt. Wer nur auf Erreichbarkeit monitort, hat eine gefährliche Lücke im Blick.
In hybriden Umgebungen wird es besonders kritisch, wenn der Mailflow nur in eine Richtung unterbrochen ist: E-Mails von On-Premises zu Exchange Online werden zugestellt, aber der Rückweg funktioniert nicht. Nutzer sehen den Eindruck eines funktionierenden E-Mail-Clients, während im Hintergrund Antworten verloren gehen oder lange in der Queue verweilen. Solche asymmetrischen Fehler sind ohne umfassendes End-to-End-Mailflow-Monitoring schwer zu erkennen.
Blind Spot #4: Operational Blackouts während Updates
Wartungsfenster sind notwendig, können jedoch heikel sein. Wer Exchange Server SE nach dem neuen Modern Servicing-Modell aktuell hält, installiert regelmäßig kumulative Updates. Während dieser Updates und kurz danach kann es zu kritischen Phasen kommen, in denen Transportdienste neu starten, Verbindungen kurzzeitig unterbrochen werden oder sich Konfigurationen ändern.
Ein konkretes Beispiel: Wird während eines Updates ein Konnektor-Zertifikat erneuert oder eine TLS-Konfiguration verändert, kann der TLS-Handshake zwischen Exchange Server und Exchange Online fehlschlagen. Der Mailflow bricht ein, oft nur in eine Richtung, und ohne gezieltes Monitoring nach dem Wartungsfenster bleibt der Fehler unbemerkt, bis sich die ersten Nutzer beschweren.
Wer nach dem Patch-Vorgang einfach davon ausgeht, dass alles läuft, weil keine Fehler gemeldet wurden, lebt gefährlich. Das Monitoring sollte daher nicht nur während des Wartungsfensters aktiv sein, sondern gerade in den Stunden danach besonders wachsam sein.
Sichtbarkeit ist keine nette Ergänzung – sie ist Strategie
Eine Monitoring-Lösung für hybride Exchange-Umgebungen muss deshalb drei Dinge leisten: einheitliche Sichtbarkeit über On-Premises und Exchange Online hinweg, tiefe Checks, die nicht nur die Erreichbarkeit, sondern auch die tatsächliche Funktionalität prüfen, und Frühwarnsignale, bevor aus einem gelben Status ein roter wird.
Genau das ist der Ansatz von ENow: Die Plattform bündelt Exchange-Monitoring und Reporting in einer einzigen Oberfläche für On-Premises, Hybrid und Exchange Online. Statt zwischen mehreren Tools zu wechseln, hast du alle relevanten Metriken in einem zentralen Dashboard sowie proaktive Alerts, bevor Probleme den Betrieb beeinträchtigen.
Links
- Exchange 2019 Preferred Architecture (gilt für Exchange Server SE gleichermaßen)
- Security best practices for Exchange Server
- Exchange Server Subscription Edition (SE) is now available
- Transport options in Exchange hybrid deployments
- ENow Exchange Monitoring und Reporting
