Migration Notes zu Exchange Online
Seit IBM das Produkt "Notes" an einen früheren Supportpartner übergeben hat, dürfte nun auch dem letzten Notes-Fahnenträger bewusst werden, dass im nicht mehr so viele Truppen folgen. Die Anzahl der Anfragen nach Notes Migrationen hat 2017/2018 doch deutlich zugenommen, nach dem es einige Jahre etwas ruhiger war. Heute ist die Herausforderung aber oft radikaler und die Migration soll möglichst direkt in die Office 365 Cloud gehen. Ich versuche hier nicht allzu technisch zu beleuchten, wie so etwas aussehen kann.
Siehe dazu auch Notes zu Office 365 und Fasttrack mit Notes
Übersicht
Die komplette Migration gliedere ich in vier Abschnitte auf, die hier als Übersicht aufgemalt sind. Um die Komplexität etwas zu erhöhen, habe ich neben Notes und Office 365 mit dem erforderlichen Hybrid Exchange Server für das Provisioning noch eine vierte Komponente ins Spiel gebracht. Größere Firmen lassen ihre Identitäten gerne von Provisioning-Lösungen verwalten.
Damit wird die Umgebung etwas komplexer aber auch interessanter.
Phase 1: Ausgangssituation und Vorbereitung
Wir starten damit, dass in der Personalabteilung in dem entsprechenden HR-System (z.B.: SAP, Navision o.ä.) die Mitarbeiter erfasst werden. Zu jedem Mitarbeiter gibt es natürlich weitere Einstellmöglichkeiten, z.B. Gruppenmitgliedschaften oder die gewünschte primäre Mailadresse. Bislang hat die Identity-Plattform (DirSync) diese Daten regelmäßig ausgelesen und im lokale Active Directory die Benutzer und Gruppen aktualisiert.
Der Office 365 Tenant wird angelegt, die Domains zugewiesen und nachdem auch der UPN der lokalen Anwender und einige andere Voraussetzungen geschaffen wurden, können die Identitäten mit AADConnect abgeglichen werden.
Wer FIM (Forefront Identity Manager) als Provisioning-Lösung einsetz, könnte sogar einen Connector für Office 365 einbinden. Allerdings wird AADConnect sehr viel häufiger aktualisiert und ich bleibe gerne nahe am Standard. Ich werde ja nicht daran gehindert später aus dem Provisioning heraus direkt die Einstellungen in Office 365 vorzunehmen, die AADConnect gar nicht umsetzen kann. Dazu gehört z.B. die Exchange Quarantäne verwalten, POP3/IMAP4 abschalten etc. Dafür sind die entsprechenden Management Agenten oder Skripte beizeiten zu entwickeln.
Die bestehende Identity-Plattform kann und sollte aber alle Felder im AD pflegen, die für AADConnect und Office 365 relevant sind. Für Name, Vorname, Displayname etc. ist das noch einfach. UPN, msexchUsageLocation etc. sind besonders zu behandelnde Felder.
Im Hinblick auf Exchange ist hierbei zu beachten, dass die Objekte in der Cloud zu dem Zeitpunkt noch keine Exchange Lizenz bekommen dürfen, da Sie ansonsten von Office 365 sofort als "Postfach" aktiviert werden könnten. Das wollen wir jetzt noch nicht.
Die Anmeldung an der Cloud wird ebenfalls einrichtet. Das kann per Office 365 Password Sync, Pass-Through Authentifizierung (PTA) mit Seamless Single Sign On oder ADFS mit Office 365 erfolgen.
Phase 2: Mailfluss und Empfängermanagement
Ehe in der Phase 3 die Inhalte verlagert werden können, muss natürlich die Plattform stehen. Dazu gehören:
- Exchange Hybrid Server
Damit das Provisioning der Empfänger über die Powershell über einen supporteten Weg möglich ist.(Siehe auch DirSync mit Exchange und ADSync mit Ex Online Only - Exchange Hybrid Server
Damit der Mailfluss zwischen der lokalen Notes Umgebung und Office 365 über einen sicheren Kanal erfolgt - Empfänger
Damit das Notes Adressbuch und die Exchange GAL die gleichen Empfänger und deren finales Ziel für Mails richtig ermitteln können.
Für die Mailübertragung werden die Mails anhand eindeutiger SMTP-Domains geroutet. Jeder Exchange Online Empfänger hat später dazu eine „msxfaq.onmicrosoft.com“-Adresse, an die Mails zugestellt werden können. Solange die Empfänger in Notes sind, behalten Sie ihre bisherige Adresse. Exchange Online und das lokale Exchange senden alle Mails zu Notes. Notes kann später Mails über die msxfaq.onmicrosoft.com-Adresse an Empfänger in Exchange Online weiter senden.
Alle Notes Empfänger, d.h. Postfächer aber auch MailIn-Datenbanken und Verteiler müssen im lokalen Active Directory für Exchange entsprechend eingerichtet werden. Jeder Empfänger muss in jedem System bekannt und der korrekten Routingadresse versehen sein. Die Kurzfassung als Tabelle:
|
SAP |
Notes |
Exchange |
Exchange Online |
|---|---|---|---|
|
Personen |
Postfach |
MailUser |
MailUser |
|
? |
MailIn DB |
MailUser |
MailUser |
|
|
Mailverteiler |
Distribution Group |
Distribution Group |
|
|
Externe Kontakte |
MailContacts |
MailContacts |
Dabei sind MailUser ganz normale AD-Benutzer, die im Exchange Adressbuch erscheinen und deren Zieladresse (AD-Feld „TargetAddress“) zum aktuell aktiven Postfach verweist. Anfangs steht hier die Weiterleitung zu Notes drin. "Mailcontacts" sind AD-Kontakte, die nur für die Sichtbarkeit im Adressbuch genutzt werden und deren Zieladresse in der Regel extern ist. Die Phase ist abgeschlossen, wenn in allen Welten das Adressbuch die gleiche Anzahl an Empfänger mit allen relevanten Mailadressen enthält.
In diese Phase fallen auch viele Arbeiten hinsichtlich Provisioning und verbundener Management Agenten. Die Provisioning-Plattform muss während der Migration die Empfänger korrekt provisionieren und in der ganzen Zeit in allen Systemen entsprechende Änderungen durchführen. Allerdings muss dabei Rücksicht darauf genommen werden, dass bestimmte Änderungen auch durch die Migrationssoftware am Provisioning vorbei erfolgen. Hier darf es kein gegenseitiges Überschreiben geben.
Denkbar ist also auch, dass während der späteren Migration das Provisioning erst einmal die Finger von den bestehenden Objekten lässt, bis die Migration abgeschlossen ist. Vielleicht sparen Sie sich damit auch viel Entwicklung für Code, der danach sowieso entfällt.
Irgendwann steht natürlich noch die Umstellung des MX-Records an. Oft ist ein Wechsel zu Office 365 auch mit einem Wechsel des Spamfilters verbunden. Solange beide Welten alle anderen Empfänger korrekt kennen, können Sie das Mailrouting nach Bedarf umstellen. Ich bin nur kein Freund davon, das mitten in der Migration einfließen zu lassen. Zumal Spamfilter und damit verbundene Warnmeldungen als auch Disclaimer, Signaturen etc. kommuniziert werden müssen.
Phase 3: Inhaltsmigration und Benutzerumstellung
Wenn die Vorarbeiten geleistet sind, fängt irgendwann die Migration der Inhalte an. Meist werden "Batches" angelegt, die einen Gruppe von Anwender als Block überträgt. Durch den Anwender sind ebenfalls Vorarbeiten erforderlich, z.B. die Entschlüsselung von Mails in Notes.
So können diese Anwender gemeinsam geschult werden und danach weiter zusammenarbeiten. Zudem werden alle Clients quasi zeitgleich mit Outlook versehen. Einschränkungen sind dabei natürlich, dass die Zusammenarbeit mit anderen noch nicht migrierten Benutzern erschwert ist und die gesamte Gruppe, schlimmstenfalls ein Standort oder eine Abteilung in der Zeit nur eingeschränkt dienstbereit ist.
Hier greifen das Provisioning, AADConnect und die Migrationssoftware abgestimmt ineinander. In der Regel hat die Migrationssoftware die führende Rolle und ändert die Einträge im lokalen AD derart, dass die Umstellung schnell und fehlerfrei erfolgt. Der technische Prozess könnte wie folgt aussehen:
- Zuerst wird aus dem MailUser im lokalen Active Directory eine „Remote
Mailbox“
Sie behält noch die eine Weiterleitungsadresse zum Notes-Postfach, so dass Mails in der Exchange Welt weiterhin an das aktive Notes-Postfach weitergeleitet werden
Diese Änderungen werden durch die Migrationssoftware direkt an dem AD-Objekt durchgeführt. Durch die Aktivierung als RemoteMailbox wird in AzureAD aus dem MailUser eine Mailbox in der Cloud. Diese Mailbox benötigt innerhalb der der nächsten 30 Tage eine Exchange Lizenz in der Cloud, damit die Mailbox erhalten bleibt. - Inhalte übertragen
Die Migrationssoftware sorgt dann dafür, dass die Inhalte aus Notes in das leere bereitgestellte Exchange Postfach übertragen werden. Je nach Produkt ist das ein direkter Export aus der NSF-Datei in das Zielpostfach. Im Rahmen von Fasttrack werden die Postfach-NSF-Dateien vorab schon auf einen Notes-Server in Azure repliziert, damit der Weg zum Postfach bei der eigentlichen Migration nicht mehr so weit ist. - PostfachSwitch
Der nächste Schritt ist der Schwenk der aktiven Mailbox von Notes nach Exchange Online. Auch diese Aktion wird durch die Migrationssoftware durchgeführt, welche in Exchange Online die Weiterleitung entfernt, damit neue Nachrichten in Exchange Online verbleiben. Auf der Notes-Seite wird nun eine Weiterleitung zu %User%@msxfaq.onmicrosoft.com eingerichtet, damit neue Mails zu Exchange Online gesendet werden. Zudem werden die Rechte auf dem Notes Postfach entfernt oder eingeschränkt, damit der Anwender maximal „Read-Only“ zugreifen kann und Stellvertreter nicht irrtümlich den Notes Kalender für die Terminplanung weiter nutzen.
Parallel muss der Anwender nun natürlich mit Outlook arbeiten und ggfls. mobile Clients umgestellt werden.
Je nach Migrationssoftware werden die fehlenden Änderungen aus Notes noch mal mit einem letzten Synchronisationslauf zu Exchange übertragen.
Phase 4: Abschluss
Nachdem alle Inhalte in Exchange Online angekommen sind, sollte es in der Quelle keine Mailempfänger mehr geben, die Mails bekommen. Vielleicht liegen auf dem Notes Server noch Inhalte in Archiven, die nicht migriert wurden und den Anwendern z.B.: per Webzugriff weiter angeboten werden. Es dürfte auch noch Applikationen geben, die den Notes-Server als Relay benutzen und noch umgestellt werden müssen. Vielleicht gibt es sogar noch einige Prozess-Empfänger (Notes Applikationen, MailIn-Datenbanken etc.) Das ist aber nicht weiter störend, solange der DirSync weiter funktioniert.
Allerdings wird die Migrationssoftware zurückgebaut, die bislang einen wesentlichen Anteil an der Verwaltung der Benutzer hatte. Das ist nun spätestens die Chance für das Provisioning die Aufgaben zu übernehmen, die bislang durch die Migrationssoftware oder manuelle Aktionen umgesetzt wurden. Im lokalen Active Directory sind alle AD-Benutzer mit einer „Remote Mailbox“ ausgestattet, die dafür sorgt, das Mails zuverlässig zum finalen Empfänger in Exchange Online zugestellt werden.
Die lokale Exchange Umgebung bleibt ohne Postfächer aus mehreren Gründen weiter bestehen:
- Lokaler Mailversand
Lokale Systeme können ihre Mail per SMTP problemlos einliefern und Exchange sorgt über den sicheren Tunnel die Übertragung in Exchange Online. - Lokaler Mailempfang
Wenn weiterhin lokal Empfänge vorhanden sind, z.B. Notes Applikationen, FAX-Server oder andere Systeme, dann übernehmen auch hier die Exchange Server den Empfang aus der Cloud - Provisioning
Die Verwaltung der Exchange Empfänger in Exchange Online ist nur über die Modifikation an den Objekten im lokalen Active Directory möglich. Direkte Änderungen an den Cloud-Objekten ist nur für eine Teilmenge der Einstellungen möglich. Der Management-Agent für FIM muss über den lokalen Exchange Server die Empfänger verwalten.
Und natürlich gibt es noch immer die Kopplung zu Notes, bis der letzte Notes Server endlich abgeschaltet werden kann.
Weitere Links
- Notes zu Office 365
- Office 365 FastTrack
- Fasttrack mit Notes
- TargetAddress
- Routingdomäne
- Notes zu Office 365
-
DirSync mit Exchange
Besonderheiten mit Exchange Online und DirSync -
ADSync mit Ex Online Only
Exchange Online mit DirSync ohne lokalen Exchange verwalten
