Disable-RemoteMailbox

Diese Seite beschäftigt sich mit der besonderen Aufgabenstellung, ein Postfach in der Cloud wieder zurück zu bauen.

Archiv, Dumpster, Litigation Hold, Shared

Ein Benutzer hat ein Postfach und wenn er das Unternehmen verlässt, dann wird der Benutzer gelöscht und das Postfach gleich mit. Was einfach klingt ist aber oft nicht so einfach, denn in den seltensten Fällen wird das Postfach direkt gelöscht. Das sollten Sie vielleicht auch bleiben lassen, bis Sie geregelt haben, wie mit den Daten im Postfach umgegangen wird. Hier sind zum einen Rechte des ehemaligen Mitarbeiters, "Stichwort Private Mails" zu berücksichtigen. Auch als Firma ist es eher der Regelfall, dass auch nach dem Ausscheiden weiter Mails an die Adresse kommen. Vielleicht sollten Sie die Absender mit einer aussagekräftigen Meldung über den Nachfolger informieren. Das funktioniert aber nur, wenn der Absender diese Mails auch liest und versteht. Bei Newslettern oder automatisierten B2B-Mails ist aber der Absender eine Maschine, die nur bedingt intelligent ist. Dann sollten Sie ein NDR Tracking umsetzen.

Allerdings können Sie auch das Postfach einfach weiterleben und durch den Nachfolger bedienen lassen. Voraussetzung ist natürlich, dass darin dann keine Daten sind, die der Nachfolger nicht sehen darf. Also könnten Sie das Postfach zu einer Shared Mailbox konvertieren, die bis 50 GB in der Cloud auch keine Lizenz kostet und die bisherige Mailadresse einem anderen Empfänger zur weiteren Bearbeitung neuer Mails zuschlagen.

Wenn das Postach aber ein Archiv hatte, dann sollten zumindest in Exchange Online zuerst eine "Exchange Plan 2"-Lizenz addieren, damit das Archiv nicht verschwindet.

Und dann gibt es noch technische Besonderheiten, auf die ich auf dieser Seite weiter eingehe. Auf der Seite "Disable-RemoteMailbox" stehen ein paar Sätze im Flißetext, die so gar nicht herausgehoben sind:


Quelle: https://learn.microsoft.com/en-us/powershell/module/exchange/disable-remotemailbox

Man könnte auch hinterfragen, ob Microsoft seine eigene Provisioning-Plattform hier nicht ganz im Griff hat. Allerdings kenne ich die Hintergründe und Details nicht und wenn es einfach zu lösen wäre, dann würde man es sicher nicht erst dokumentieren.

Wer schon länger mit Provisioning zu tun hat, wird solche Situationen kennen, die man einige Zeit in Kauf nimmt, weil eine temporäre Lösung mehr Zeit kostet als am großen Ziel weiter zu arbeiten.

Allerdings sollten Sie daher

Deprovisioning

Exchange Online kennt wie Exchange OnPremises neben den regulären "User Postfächern" auch Räume, gemeinsame Postfächer und Ressourcen, die sich technisch nur minimal von einem regulären Benutzerpostfach unterscheiden. Zu jedem Exchange Online Postfach gehört ein Konto im AzureAD und bei der Nutzung von AzureAD Connect und dem Exchange Hybrid Mode sollte es auch immer ein Konto im lokalen AD geben. Es gibt nun drei Optionen, ein solches Postfach in Exchange zu entfernen:

  • Disable-Mailbox/Disable-RemoteMailbox
    Damit bleibt das AD/AzureAD-Konto erhalten und sie entfernen nur die Exchange Funktionalität. Sollte das Postfach in der Cloud aber noch eine Exchange Online Lizenz haben, kann es passieren, dass es doch wieder "reaktiviert" wird.
  • Exchange Lizenz entfernen
    Eine klassische Shared Mailbox bis 50GB und ohne Archiv benötigt in Exchange Online keine Lizenz. Wer größere gemeinsame Postfächer betreibt, muss aber eine Lizenz addieren und kann die dann natürlich auch wieder entfernen. Ein User-Postfach wird dann nach aktiviert während eine Shared Mailbox erhalten bleibt.
  • Benutzerobjekt löschen (Remove-RemoteMailbox/Remove-Mailbox)
    Wenn Sie ein Konto im lokalen AD oder ein CloudOnly Konto im AzureAD entfernen, dann löscht dies nach kurzer Zeit auch das Exchange Postfach

Gelöscht ist eine Shared Mailbox also schnell, aber damit wird der Platz bei Microsoft nicht sofort freigegeben. Wie bei einem regulären Postfach kann man auch die Shared Mailbox bis zu 30 Tage wieder zurückholen. Allerdings gibt es einen Sonderfall, den Microsoft auch beschreibt.

Due to the current service architecture, you need to convert shared mailboxes to user mailboxes prior to running the Disable-RemoteMailbox cmdlet.
Quelle: https://learn.microsoft.com/en-us/powershell/module/exchange/disable-remotemailbox?view=exchange-ps#description

Dies betrifft den Fall, dass Sie in einer Hybrid-Bereitstellung mit ADSync arbeiten und die Empfänger im lokalen Exchange verwaltet werden. Das schauen wir uns nun einmal im Detail an.

Umgebung

Ich skizziere hier erst einmal wieder eine einfache Umgebung mit einem lokalen AD, ADSync, Azure AD und dem Exchange Online Verzeichnis. Sie sollten von Azure AD - Ein Verzeichnisdienst, oder zwei oder mehr schon wissen, dass es in der Cloud nicht nur ein Verzeichnis gibt.

Fast jede Änderung am lokalen Anwender wird durch ADSync an den AzureAD Provisioning-Service übertragen, welcher dann die Daten in die verschiedenen Zielsysteme überträgt. Das AzureAD bekommt den Benutzer mit UPN und vielleicht PHS-Hashwerten zur Anmeldung und ein paar Informationen zu Exchange während im Exchange Online Verzeichnis alle für Exchange relevanten Informationen landen. Aber es nicht nicht nur mehrere Verzeichnisdienste sondern sogar mehrere Clouds.

Für meine Tests habe ich im lokalen Active Directory mit Exchange zwei Remote-Mailboxen vom Typ "Shared" angelegt

New-RemoteMailbox ADSyncShared1 -Shared
New-RemoteMailbox ADSyncShared2 -Shared

Exchange OnPremises hat zwei deaktivierte Konten angelegt und ADSync hat diese Identitäten in meinen Tenant übertragen. Wenige Sekunden später konnt eich die beiden Objekte auch im Exchange Admin Center sehen:

Disable-Mailbox

Wenn ich der Anleitung von Microsoft folge, dann dürfte ich eine Shared Mailbox nicht mittels "Disable-Mailbox" deaktivieren. Ich habe es dennoch getan

Disable-Remotemailbox ADSyncShared2

Exchange OnPremises hat die Exchange Eigenschaften im lokalen AD bis auf wenige Reste entfernt und ADSync repliziert den Verlust der Exchange Properties.

Kurze Zeit später ändert sich auch etwas im Exchange Online Admin Center. Die Shared Mailbox bleibt im Ziel erhalten aber bekommt eine "onmicrosoft.com"-Adresse".

Die "verlorene" Shared Mailbox ADSyncShared2" kann auch nicht in der Cloud über das Exchange Online Admin Center oder die Exchange Online PowerShell gelöscht werden. Da das Objekt aus dem lokalen AD mittels ADSync repliziert wird, sind die meisten Änderungen am korrespondierenden AzureAD-Objekt und Exchange Online Objekt unterbunden.

Erwartet und erhofft hatten Sie sicher, dass die Shared Mailbox in Exchange Online komplett verschwindet

Wenn Sie die "<tenantname>.onmicrosoft.com"-Adresse nie verwenden, dann kann eine Suche nach Shared Mailbox-Einträgen mit dieser Adresse ein guter Indikator für Problemkonten sein.

Um auszuschließen, das Rest der Exchange-Einstellungen ursächlich sein können, habe ich auch noch die beim "Disable-RemoteMailbox" zurückgebliebenen Einträge gelöscht:

Eine Kontrolle des nächsten ADSync-Laufs hat aber gezeigt, dass das Löschen dieser Felder gar nicht durch Synchronisierungs-Reglen abgedeckt ist. Die Felder sind für Exchange Online einfach nicht relevant. Allein das Feld "ProxyAddresses" wurde aus der Cloud wieder zurückgeschrieben.

Damit konnten wir bestätigen, dass die Einschränkung laut Microsoft-Artikel auch am 12. Feb 2024 noch vorhanden ist.

Enable-RemoteMailbox

Ich habe nun alle meine Änderungen wieder rückgängig gemacht. Zuerst wollte ich das noch vorhandene AD-Konto wie folgt wieder zu einer Remote Shared Mailbox machen

Enable-RemoteMailbox ADSyncShared2 -Shared

Allerdings schlug der einfache Versuch mit dem Fehler einer ungültigen Zieladresse fehl:

Anscheinend hat "Enable-RemoteMailbox" hier nicht die erforderlich Logik, sich selbst einen Alias und davon abgeleitet eine TargetAddress zu bilden, die bei "New-RemoteMailbox" angewendet wird. Ich konnte das Postfach dann mit Angabe der RemoteRoutingAddress aber dann doch wieder reaktivieren.

Enable-RemoteMailbox ADSyncShared2 -Shared -RemoteRoutingAddress ADSyncShared2@msxfaqlab.onmicroosft.com

Nachdem ich ADsSync angetriggert und etwas gewartet habe, war auch in Exchange Online wieder alles zurückgedreht. "ADSyncShared2" war wieder eine SharedMailbox in Exchange Online und auch die Mailadresse passt wieder. Danach bin ich den "regulären Weg gegangen, und haben OnPremises die RemoteMailbox konvertiert:

Set-RemoteMailbox ADSyncShared2 -Type regular

Beim nächsten ADSync-Lauf wurde die Änderungen zur Cloud übertragen.

Die Änderung wurde etwas später in Exchange Online sichtbar.

Achten Sie darauf, dass die Änderungen repliziert wurden, ehe Sie den nächsten Schritt machen.

Mit den Vorarbeiten habe ich dann wieder den "Disable-RemoteMailbox gestartet.

Disable-RemoteMailbox ADSyncShared2

Der nächste ADSync-Lauf hat die Änderungen die die Cloud übertragen.

Sie sehen, dass hier der msExchRemoteRecipientType von 1 auf "null" gesetzt. Wenn dann alles korrekt läuft UND das Postfach in der Cloud natürlich auch keine Lizenz hat, dann sollte auch die frühere "Shared Mailbox", die zwischenzeitlich eine "User Mailbox ohne Lizenz" geworden ist, ganz verschwinden.

Achtung:
Wenn der Benutzer noch einen Exchange Plan als Lizenz hat, wird das Postfach nicht gelöscht, obwohl es im lokalen Exchange Server nicht mehr als Empfänger geführt wird. Das ist aus meiner Sicht keine sinvoll Konfiguration, da jede über OnPremises an dieses Postfach adressierte Mail nicht zuverlässig zugestellt werden kann.

Ein Disable-RemoteMailbox sollte daher auch immer mit einem Entfernen einer eventuell zugewiesenen Lizenz verbunden sein.

Remove-RemoteMailbox

Diese Zwischenschritte sind natürlich nur erforderlich, wenn Sie das AD-Konto/AzureAD-Konto weiter behalten wollen Wenn Sie die "Shared Mailbox" samt dem deaktivierten Anmeldekonto nicht mehr benötigen, dann können Sie auch direkt das Konto löschen. Das habe ich als Gegenprobe mit dem Konto "ADSyncShared1" gemacht.

Remove-Remotemailbox ADSyncShared1

Damit wurde im lokalen AD der komplette Benutzer entfernt und ADSync hat die Löschung  in die Cloud repliziert. damit verschwand sofort das Postfach in Exchange Online, unabhängig davon, ob es eine UserMailbox oder eine Shared Mailbox war und der Benutzer landete im AzureAD unter den "Deleted Objects".

Das bedeutet natürlich nicht, dass man es nicht doch wieder zurückholen könnte. Es ist ja eine Mailbox, auf die auch die 30 Tage Grace Period angewendet werden.

Zwischenstand

Im Prinzip funktioniert Exchange Online und ADSync in den meisten Fällen problemlos. Es gibt nur den einen Fall, wenn Sie eine "Remote Shared Mailbox" in einer Hybrid-Bereitstellung im lokalen Exchange entfernen aber das AD-Konto belassen. Dann kann es passieren, dass die Shared Mailbox in der Cloud erhalten bleibt. Sie können natürlich das AD-Konto komplett löschen, was auch die Reste in Exchange Online wegräumen sollte. Eine Lizenzänderung stößt in vielen eine erneute Abstimmung (Reconciliation) an. Ansonsten können Sie natürlich über ein Microsoft Ticket eine beschleunigte Korrektur erreichen.

Das Problem tritt nicht auf, wenn Sie das AD-Konto zu einer Shared Mailbox gleich mit wegräumen.

Weitere Links