Cutover und ADSync

Eine klassische "Cutover"-Migration mit Exchange Online kann nicht mit ADSync genutzt werden. Hier beschreibe ich, wie sie diese Einschränkung umgehen können, wenn z.B. eine Hybrid-Migration nicht möglich ist.

Beachte dazu auch die Seite EXO Bordmittel zur Migration.

Cutover vs Hybrid

Eine Migration mittels Exchange Hybrid, insbesondere "Min-Hybrid" ist der normale Weg, wenn Sie von Exchange 2010 On-Premises und höher zu Exchange Online migrieren möchten. Wer aber Exchange 2003/2007 hat für den sind "Remote Move Request" oder "Staged Migration" nicht möglich. Vielleicht können oder wollen Sie auch ihren Exchange 2010/2013/2016/2019 nicht über eine Hybrid-Bereitstellung mit Exchange Online verbinden, weil dies auch immer eine Erreichbarkeit aus dem Internet per HTTPS mit DNS und Zertifikat erfordert. Wenn Sie aber schon ADSync für die Verwaltung ihrer Benutzer in der Cloud installiert haben, dann können sie die Empfänger in Exchange Online nur noch sehr eingeschränkt verwalten. Wie Sie auf ADSync mit Exchange lesen konnten, verhindert eine installierte ADSync Installation die Verwaltung von Exchange Online in weiten Teilen und Microsoft sieht hier eine Hybrid Migration vor. Eine CutOver-Migration ist ausgegraut.


Bild des alten Exchange Admin Center

Im neuen Admin Center findet diese Prüfung nicht mehr statt. Stattdessen sehen Sie beim Einrichten des Migration Endpunkts nach allen Checks die Fehlermeldung

ADSync macht es mit Password Hash Sync (PHS) und Seamless Single Sign On auch sehr einfach mit Microsoft 365 zu arbeiten. Vielleicht geht es auch nur um die Herauslösung von Teilen einer Firma in einen anderen Office 365 Tenant, obwohl die Quelle schon Exchange Hybrid mit einem anderen Tenant nutzt. Sie können eine Exchange Organisation immer nur genau mit einem Tenant anbinden.

Es gibt also schon Szenarien, bei dem die Zielumgebung schon ADSync zur Verwaltung von Cloud-Identitäten nutzt aber eine klassische Exchange Migration nicht möglich ist. Diese Beschreibung stellt also Postfächer von einem lokalen Exchange Server oder anderen Mailsystem zu einem Stichtag auf Exchange Online um und stört sich nicht daran, dass ADSync aktiv ist.

Die Cutover-Migration von Microsoft ist auf 2000 Postfächer beschränkt und nur für Exchange 2013 und früher verfügbar. Exchange "holt" sich dazu die Mails per "RPC/HTTP" (Früher als Outlook AnyWhere bezeichnet) und aktiviert auch die Benutzer mit Postfächern in der Cloud. Das funktioniert aber nicht, wenn ADSync installiert ist.

ADSync anpassen

Für unsere Migration mit aktivierten ADSync können wir aber dennoch einen Weg eröffnen, wenngleich wir andere Migrationswerkzeuge brauchen. Die Umgebung besteht z.B. aus einem lokalen Active Directory mit Exchange, welches aber vielleicht zu einem anderen Tenant verbunden ist oder Hybrid nicht eingerichtet werden kann oder soll. Die Benutzerkonten werden aber mit ADSync schon in den richtigen Tenant repliziert. Nur gibt es dort keine Postfächer, weil ADSync die Informationen über die lokalen Postfächer zu Exchange Online repliziert und manuell können Sie die Benutzer im Zieltenant nicht verwalten, weil ADSync die relevanten Felder sperrt.

Wie kann ein Benutzer in Exchange Online trotz ADSync mit lokalem Postfach ein CloudPostfach bekommen?
Ich muss ADSync anpassen, die relevanten Felder nicht zu übertragen

Normalweise will man das genau nicht, um ein Doppelpostfach mit Exchange Online zu verhindern. Diesmal ist es aber Absicht, dass ich trotz lokalem Exchange mit ADSync absichtlich etwas verändere:

  • Deaktivierung ADSync Exchange Hybrid Mode
    In der Konfiguration von ADSync gibt es eine Checkbox für Exchange Hybrid. Verwechseln sie dies nicht mit dem Exchange Hybrid Konfiguration Assistent.

    Wenn Sie die Checkbox entfernen, dann werden alle Exchange Regeln in der ADSync-Konfiguration entfernt. ADSync ignoriert dann viele, aber nicht alle Exchange Attribute.
  • msExchMailboxGUID und msExchArchiveGUID ausschließen
    Dies ist das Schlüsselfeld, anhand dem Exchange Online erkennt, ob ein Benutzer ein On-Premises-Postfach hat. Suchen Sie die entsprechenden Regeln im ADSync und deaktivieren Sie diese

Mit dieser Konfiguration können Sie nun aber absichtlich das Szenario Doppelpostfach mit Exchange Online einrichten. Was normalerweise ein Konfigurationsfehler ist, ist hier aber erwünscht. Ich möchte neue leere Postfächer in einem Ziel haben, in die ich dann die Inhalte übertrage und zu einem Stichtag "umstellen".

Der Ausschluss der Exchange Felder in ADSync führt leider nicht dazu, dass die Felder in Exchange Online damit beschreibbar wären. Allein ein aktivierter "Dirsync" auf dem Tenant blockiert in Exchange Online leider die Möglichkeit, die Felder anderweitig zu pflegen.

Umleitung einrichten

Natürlich darf ich nun noch nicht den MX-Record zu Exchange Online umstellen und es sollten auch keine Anwender mit dem leeren Exchange Online Postfach arbeiten. Sie können das zwar, aber wenn sie ihre Kollegen anschreiben dann landen die Mails nicht über den MX-Record noch im aktuellen Postfach sondern bleiben in Exchange Online ungelesen. Das kann ich aber ändern. ADSync sperrt nämlich nicht alle Felder.

Der Versuch den Displaynamen zu ändern funktioniert nicht:

PS C:\> set-mailbox ADSyncCutover1 -DisplayName "ADSyncCutover1"
Write-ErrorMessage : |Microsoft.Exchange.Configuration.DualWrite.LocStrings.UnableToWriteToAadException|Ein Azure
Active Directory-Aufruf wurde ausgeführt, um die Synchronisierung eines Objekts zwischen Azure Active Directory und
Exchange Online aufrechtzuerhalten. Dabei ist jedoch ein Fehler aufgetreten. Detaillierte Fehlermeldung:
Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently
undergoing migration. DualWrite (Graph) RequestId: f74d8f35-df12-4a66-8bb1-eb4e64a31f45
Das Problem ist möglicherweise vorübergehend. Versuchen Sie es also bitte in ein paar Minuten noch mal. Wenn das
Problem weiterhin besteht, finden Sie weitere Informationen in den Ausnahmeelementen.
In C:\Users\fcarius\AppData\Local\Temp\tmpEXO_rxhzetwy.zza\tmpEXO_rxhzetwy.zza.psm1:1190 Zeichen:13
+ Write-ErrorMessage $ErrorObject

Ich kann aber sehr wohl die ForwardingSMTPAddress setzen.

PS C:\> set-mailbox ADSyncCutover -ForwardingSmtpAddress adsynccutover@carius.de

So kann ich zumindest sicherstellen, dass die Doppelpostfächer keine Mails bekommen. Dann bleiben natürlich noch Stellvertreter übrig, denen ich aber einfach die Rechte noch nicht geben muss.

Inhalte übertragen

Nun haben wir ein aktives Postfach auf der einen Seite und ein leeres Postfach auf der anderen Seite. Eine Migration mit einem RemoteMoveRequest im Rahmen einer Hybrid-Bereitstellung ist nicht gewollt. Also stellt sich die Frage, wie wir nun die Mails in das Zielpostfach bekommen. Dazu gibt es eigentlich vier Wege:

  • Migration durch den Benutzer
    Mit etwas Unterstützung kann der Anwender die Mails auch mit Outlook von einem Postfach zum anderen Postfach verlagern. Das ist möglich aber wohl eher etwas für eine Handvoll Anwender.
  • PST Export/PST Import
    Als Administrator können Sie natürlich die Mails aus der Quelle in z.B. PST-Dateien kopieren/exportieren und im Ziel wieder einspielen. Das ist aber auch Arbeitsintensiv und fehleranfällig.
  • IMAP4 Migration mit Exchange Online
    Das Ziel ist ja Exchange Online und die IMAP4-Migration kann Mails, aber keine anderen Elemente aus einem lokalen IMAP4-Server lesen und in ein bestehende Postfach einfügen.
  • 3rd-Party Migrationstools
    Leider bietet Microsoft keine Migrationswerkzeuge mehr an, die von EWS zu EWS kopieren o.ä. Aber es gibt sehr viele Dritthersteller, die genau diese Lücke mit Produkten füllen, die Mails auf einer Seite lesen und in eine andere Zielplattform schreiben. Pro Postfach kostet dies zwischen 5-15€ und teilweise können diese Produkte auch die Umleitungen der Mails setzen und löschen und Regeln und Rechte etc. übertragen.

Die Nutzung on 3rd Party Tools ist aus meiner Sicht der beste Weg. Insbesondere, wenn Sie z.B. Mails von Drittprodukten zu Exchange Online migrieren wollen und dazu eine lokale Windows-Software neben ihrem alten und aus dem Internet nicht erreichbaren Mailserver stellen wollen.

Umleitung in Gegenrichtung

Wenn Sie dann alle Mails übertragen haben, dann müssen Sie natürlich pro Postfach wieder die Richtung drehen, d.h.

  • Umleitung im Ziel entfernen
  • Umleitung in der Quelle aktivieren
  • Anwender auf das Ziel umkonfigurieren
  • Ein letztes Mal die Änderungen der Quelle ins Ziel übertragen

Wenn Sie alle Benutzer auf einen Schlag umstellen, dann reicht es aber auch im Ziel die Umleitungen zu entfernen und den MX-Record auf das Ziel zu lenken, ehe sie nach einem letzten lokalen Sync dann die Quelle abschalten.

Weitere Links