Notes zu Office 365

Das Angebot von Microsoft ist auch für Firmen interessant, die noch gar nicht mit Exchange arbeiten. Office 365 Unterstützt Fremdsysteme leider nur in der Art, dass es die Mails per IMAP4 abholen könnte. Das ist aber nur der geringste Teil einer Migration. Auf dieser Seite beschreibe ich, wie jemand mit Notes zu Exchange Online migrieren könnte.

Am Anfang ...

Was für jüngere Exchange Administratoren undenkbar ist, ist für gestandene Notes Administratoren der Regelfall: Ein Notes Server nutzt als "Konfigurationsspeicher" nicht das Active Directory sondern seine eigene Datenbank. Sie trägt den Namen "NAMES.NSF". Die ganz "alten" Exchange Administratoren mögen sich an Exchange 4.0-5.5 Zeiten erinnern, als es neben der PRIV.EDB und PUB.EDB für Mails auch noch eine DIR.EDB für das "Directory" gab. Aber während damals bei Exchange die NT4-Domäne zumindest die Anmeldung übernommen hat und es eine Verknüpfung der Identität in der DIR.EDB mit einem Windows Konto gab, kann Notes hier komplett losgelöst arbeiten.

In der Names.NSF liegen daher die Informationen über Postfächer aber auch Kontakte und Verteilergruppen. Zusätzlich muss sich Notes natürlich noch Anmeldedaten, NotesIDs und seine eigene Konfiguration speichern. Darauf möchte ich aber hier nicht weiter eingehen.

Exchange Online/Hybrid

Exchange benötigt nicht nur OnPremise ein Active Directory. Auch die Office 365-Version nutzt ein Active Directory. Hier dann aber das Azure Active Directory, welches von Office 365 bereit gestellt wird. Objekte, die es nicht im Azure-AD gibt, kann Exchange nicht kennen und nicht nutzen. Dies bedeutet, dass im Azure-AD nicht nur alle Mitarbeiter und Sicherheitsgruppen angelegt werden, sondern durchweg alle Objekte vorliegen müssen die heute auch in der Notes Welt als "Empfänger" im Adressbuch erscheinen.

Nur kleine Firmen werden die Empfänger in der Cloud manuell per Browser im AdminCenter verwalten. Eigentlich alle meiner Kunden sind so groß (und das kann bei 10 Usern anfangen), dass Sie einen Verzeichnisabgleich zwischen dem lokalen Active Directory und dem Azure-AD aufgebaut haben. Den entsprechenden Service (DirSync, ADSync, AADConnect) gibt es kostenfrei mit Office 365 und erwarte viel Verwaltung in der Cloud. Das lokale AD ist damit führend und jede Änderung an Benutzern, Gruppen etc. wird in der Cloud nachgezogen.

Das bedeutet aber auch, dass Sie im AdminCenter der Cloud diese Benutzer auch nicht mehr verwalten können. Die meisten Eigenschaften sind "Grau" und nicht mehr per Browser veränderbar. Wer also z.B. die Rufnummer oder die Mailadresse eines Benutzers oder Kontakts verändern will, muss dies lokal im Active Directory machen und der Verzeichnisabgleich überträgt die Änderungen in die Cloud. Und damit ist auch schon klar, dass selbst bei einer Migration von Notes OnPremise in die Cloud dennoch lokal ein Exchange Server und damit das Exchange Schema im OnPremise Active Directory erforderlich ist.

Konfiguration abgleichen - DirSync

Der DirSync zwischen dem mit Exchange Schema erweiterten lokalen Active Directory mit der Cloud stellt Office 365 bereit. Nicht geklärt ist damit aber, wie nun die ganzen Empfänger aus den Notes Systemen (namen.nsf) in die Cloud kommen. Eine direkte Pflege in der Cloud ist seit Einrichten von AADConnect nicht möglich. Daher ist es erforderlich, dass lokal ein "Verzeichnisabgleich" etabliert wird, bei dem alle Mailadressen aus Notes an entsprechende Elemente im lokalen Active Directory angehängt werden.

Das klingt erst mal einfach aber in Realität ist es eine ganz anspruchsvolle Angelegenheit, Hier nur ein paar Stichpunkte:

  • Jedes Postfach in Notes muss einem Benutzer im AD zugewiesen werden
  • Jedes MAILIN-Postfach muss einem AD-Konto zugeordnet werden
    Das kann durchaus ein deaktiviertes Konto sein, aber es muss angelegt werden
  • Jeder Mailverteiler muss auf eine AD-Gruppe abgebildet werden
  • Alle Mitglieder on Mailverteilern müssen analog in den Windows Gruppen gepflegt werden
    Dazu ist es natürlich erforderlich, dass die "Member" auch schon vorhanden sind.
  • Kontakte und externe Empfänger werden zu AD-Kontakten
    Was immer in der NAMES.NSF noch als Empfänger erscheint und später in Exchange Online erreichbar sein muss, muss erst in das lokale AD übertragen werden.
  • Primäre Adresse und mehrere Adressen
    Empfänger mit mehreren Adressen müssen alle auch im AD hinterlegt werden. Dazu gibt es das Feld "ProxyAddresses"
  • All das muss "dauerhaft" sein
    Es ist nicht damit getan, einmalig diesen Abgleich herzustellen. Er muss vom ersten Tag bis zum Ende der Koexistenz funktionieren. Und das ist nicht einfach, wenn Änderungen auf der "falschen" Seite erfolgen. Das passiert gerne z.B. bei Gruppen.

Es gibt Umgebungen, in denen schon heute eine Verbindung zwischen Notes und dem Active Directory hergestellt wurde, und die vielleicht so einen kleinen Vorsprung haben. Aber selbst dann sind oft Verteiler und Mailin-Empfänger nicht synchronisiert.

Sie kommen nicht umhin, sich eine geeignete Software für diesen Abgleich zu suchen. Jeder Notes noch Microsoft haben entsprechende "fertige" Produkten hierzu. Das ist der Markt für Dritthersteller wie Dell, BinaryTree etc)

Mailflow mit Routingdomains

Solange noch nichts migriert ist, sind alle Empfänger auf Notes und die Objekte im lokalen Active Directory und im Azure AD und Exchange Online sind eigentlich nur "Kontakte", die auf die Mailadresse des Empfängers verweisen. Der MX-Record verweist ebenfalls noch auf das Notes-System und alles funktioniert noch. Interessant wird es nun, wenn der erste Absender in der Exchange Online Welt aktiv ist und die Notes-Empfänger im Adressbuch sieht. Er hat ja nun eine Postfachadresse in der Form "user@firma.tld" und die Kollegen auf Notes haben ebenfalls die Domäne "firma.tld". Sowohl Notes als auch Exchange Online müssen entsprechend konfiguriert werden, damit die Mails korrekt zugestellt werden. Und das geht am einfachsten mittels einer Routingdomäne.

Jede Seite bekommt ihre "eigene" dedizierte SMTP-Domäne die dann als Weiterleitungsadresse in den Kontakten hinterlegt werden kann.

Ein Postfach des USER1, welches rechts in Notes angelegt ist, wird über den DirSync im lokalen AD als MailUser angelegt, welcher eine TargetAddress auf die gesonderte "Notes-"Domäne bekommt. Es ist natürlich klar, dass diese neue Domäne in Notes erst definiert und als "Eingehend" angelegt wird. Zudem müssen alle Empfänger eine entsprechende Adresse zusätzlich bekommen, wenn in Notes nicht nur anhand des UserParts geroutet ist. Das kann durchaus aufwändiger werden, wenn eine Firma mehrere SMTP-Domains verwendet und damit der Userpart nicht zwingend eindeutig ist.

Umgekehrt muss ein Postfach in Exchange natürlich eine eigene eindeutige Adresse bekommen. Sie könnten dazu auch die "tenantname.onmicrosoft.com"-Adresse nehmen, aber ich halte es meist so, dass ich diese Adresse für manuell verwaltete Benutzer in der Cloud reserviere. die Verwaltung der Cloud-Postfächer erfolgt ja sowieso "onPremise" und hier wird dann ein "Remote-Postfach" angelegt. Der DirSync Richtung Notes muss aber dafür sorgen, dass in Notes kein Postfach, sondern ein Kontakt angelegt wird, welcher als Zieladresse aber die "USER2@exchange.msfaq.net" als Zieladresse enthält.

So ist aber sichergestellt, dass mit einer eindeutigen Domäne immer der Weg zum Postfach gefunden wird. Dies wird später noch wichtig

Mailflow mit Mehrwert

Damit die Mails zwischen den beiden Welten nicht unverschlüsselt über das Internet übertragen werden und vielleicht an einem Spamfilter von Office 365 oder ihrer Notes Umgebung hängen bleiben, sollten wir entsprechende direkte Verbindungen etablieren. Dazu wird die sowieso für das Management verwendete Exchange Installation OnPremise genutzt.

Über die Installation des Exchange Hybrid Mode gibt es zwischen dem Exchange Hybrid-Server OnPremise und der Cloud eine per TLS gesicherte Verbindung, die verschlüsselt und authentifiziert ist. Hier werden nun zusätzliche Connectoren eingerichtet, damit die Mails an "notes.msxfaq.net" von diesem Server zum Notes Server übertragen werden. Der Notes Server nimmt die Mails dann an.

Umgekehrt werden aus Notes die Mails in Richtung "exchange.msxfaq.net" eben nicht über den Standardweg (Internet) zur Cloud gesendet, sondern den kurzen Weg zu eben diesem Hybrid-Server, der die Mails dann in die Cloud weitergeben kann. Irgendwann während der Migration können Sie den MX-Record in die Cloud oder auf den Hybrid-Server verweisen lassen.

Damit ist es aber nicht getan. Die Verbindung von Notes und Exchange per SMTP ist problemlos möglich aber mit Einschränkungen verbunden. So können in Notes Mails z.B. Doclinks verwendet werden, mit denen Exchange so erst einmal nichts anfangen kann. Auch können z.B. Mails "weitergeleitet" werden und nicht alle Empfängeradressen werden dabei korrekt konvertiert. Hier können Drittprodukte abhelfen, die in den Mailfluss integriert werden und eine "bessere" Formatumsetzung erreichen.

Ob in ihrem Beispiel ein solcher Konvertierungsserver sinnvoll ist, sollten wir in einem Projektgespräch bewerten. Für sich allein ist so eine Konvertierung oft zu teuer. bei Drittprodukten ist diese Komponenten aber oft in einem Paket enthalten, und kann so mit genutzt werden. Net at Work

Free/Busy-Abfragen

Eine zwei Nutzung der Routing-Domains kommt bei der Frage zu frei/Belegt-Zeiten zum Tragen. Wenn Personen mit einem Postfach auf dem einen System zu einem Termin einladen, dann ist es in der Regel gewünscht, dass der Organisator schon bei der Planung sehen kann, welche Personen zur fraglichen Zeit verfügbar sind. Das reduziert die Anzahl der Absagen und verspricht ein Meeting mit allen Teilnehmern. Notes und Exchange lösen diese Fragestellung aber komplett unterschiedlich und natürlich nicht "kompatibel" zu einander. Seitens Microsoft oder Notes gibt es hier keine Abhilfe.

Das ist ebenfalls wieder die Stärke von Drittprodukten, die als Vermittler zwischen den beiden Welten agieren. Notes kann nämlich sehr wohl die Daten von Postfächern auf "anderen Notes Server" abfragen und auch Exchange kann über die Kalenderfederation die Frei/Belegt-Informationen von anderen Exchange Organisationen erhalten. Wer über die Systemgrenzen hinweg diese Daten z.B. während einer längeren Koexistenz bereitstellen will, muss eine Hilfssoftware einsetzen, die auf der einen Seite einen Notes Server simulieren kann um die Anfragen durch Exchange bedienen zu lassen. In die andere Richtung muss Sie den Exchange Servern einen Webservice anbieten, der in Realität aber bei Notes abfragt:

Auch hier kommen die unterschiedlichen Routing-Domänen zur Geltung, denn Outlook und Exchange "erkennen" z.B. anhand der TargetAddress das finale Ziel des Postfach nicht nur für das Mailrouting, sondern eben auch für die Frei/Belegt-Zeiten. Und auch in Notes kann die "foreign Domain" mit dem Namen "Exchange.msxfaq.net" auf diesen FreeBusy-Konverter gelenkt werden.

Wir kennen durch verschiedene Notes Projekte diese Anforderungen sehr gut und würden gerne mit ihnen die Details besprechen. Net at Work

Postfach umstellen

Der große Moment ist natürlich die Umstellung des Postfachs. Es geht dabei vordergründig natürlich um die Übertragung von E-Mails, Kontakten und Terminen aus Notes in ein Exchange Postfach. Aber auch hier sind die Tücken vielfältig.

  • Normale Mails
    Schon per IMAP4 kann Exchange Online mit Bordmitteln die meisten Mails ohne größere Verluste übertragen. Voraussetzung ist dabei natürlich, dass der IMAP4-Server auch die Adressen der Mails entsprechend umstellt. Es hilft nicht viel, wenn Sie heute per IMAP4 ihr Notes Postfach öffnen und bearbeiten aber die Empfängerinformationen nicht korrekt umgesetzt werden. Exchange Online kann noch weniger mit "Notes-Adressen" anfangen.
  • Verschlüsselte Mails
    In Notes ist per von Hause aus möglich, Mails zu verschlüsseln. Für jeden Notes Anwender wird immer auch eine Notes-ID gerechnet, die zugleich kryptografische Informationen enthalten und diese auch im Adressbuch für alle anderen Absender bereit stellen. Es ist sehr wichtig vorher zu prüfen, in welchem Umfang Mails verschlüsselt werden und wie diese übertragen werden können
  • Termine und Serientermine
    Notes speichert Termine komplett unterschiedlich zu Exchange und bei der Konvertierung gibt es Fälle, die so nicht abzubilden sind. Dies gilt insbesondere für Serientermine. Aber auch Termineinladungen sind tückisch, da hier eine Einladung an alle anderen Teilnehmer gegangen ist, die vielleicht erst nach der Migration des Postfachs zusagen. Zudem möchten Sie vielleicht auch nach der Migration einen Termin noch  einmal verändern. Auch dann muss das "Update" korrekt an die Teilnehmer versendet werden. Interessante Herausforderungen für ein Migrationswerkzeug.
  • Kontakt-Adressen
    Kontakte erscheinen auf den ersten Blick "einfach". Aber sie sollten wissen, dass Exchange z.B. die Gültigkeit der Mailadresse anhand des Formats prüft und erzwingt. Wenn Sie aber in Notes z.B. einen eigenen Kontakt mit einer Notes-Adresse angelegt haben, dann werden Sie diesen Kontakt so nicht in Exchange anlegen können.
  • Mailrouting
    Während der Migration gibt es natürlich das Postfach in Notes aber auch schon ein Postfach in Exchange. Die Migration einiger Gigabyte an Daten dauert aber. Es muss also in der gesamten Zeit sichergestellt sein, dass neue Mails weiterhin in Notes landen, bis die Mails auch in Exchange vorliegen. Erst ganz am Ende wird das Mailrouting mit Exchange als Ziel aktiviert, so dass neue Mails ab dem Moment in Exchange landen und der Anwender dort arbeitet. Nun muss Notes alle Mails an das noch vorhandene Notes-Postfach zu Exchange weiter senden, bis ein letzter Migrationslauf die zwischenzeitlichen Änderungen zu Exchange übertragen hat.

Dies sind nur ein paar Punkte, die bei einer Migration eines Postfachs schief gehen können.

3rd Party Tools

An verschiedenen Stellen haben Sie nun gelesen, dass einige Dinge nicht mit Bordmitteln zu erreichen sind oder eine Umstellung mit Bordmitteln sie einschränkt, Daten  nicht übertragen werden oder die Koexistenz darunter leidet.

Microsoft selbst kennt für die Migration in die Cloud aktuell nur die verschiedenen Exchange Versionen als Quelle und generische IMAP4-Konten. Damit lassen sich maximal kleine Notes Umgebungen zu einem Stichtag migrieren. So eine Migration können sie mit IMAP4 sogar gefahrlos einmal durchspielen. Sie brauchen keinen "Hybrid-Server" on Premise, wenn sich auf den DirSync verzichten und können einfach die Benutzer 1:1 in der Cloud manuell anlegen. Nach der "Kopie" der Inhalte können Sie mit Outlook oder OWA ja schauen, was von ihren Notes Mails in der Cloud noch angekommen ist. Erwarten Sie aber nicht zu viel, insbesondere bei Kontakten und Terminen sind viele Opfer zu bringen.

Ich bezeichne so ein Vorgehen absichtlich nicht als "Migration", sondern nur als Kopie. Und selbst als Kopie sind nach meiner Einschätzung die Ergebnisse zu schlecht um ernsthaft in Betracht gezogen zu werden.

Zudem ist Notes viel mehr als "nur ein Postfachserver". Daher kann eine Migration von Notes nach Exchange Online auch nicht nur unter dem Aspekt der E-Mails betrachtet werden. Neben Terminen und Kontakten gibt es in Notes MailIn-Datenbanken, die vielleicht als "Shared Mailbox" abgebildet werden können aber noch viele andere Datentöpfe, die irgendwie anders umgesetzt werden müssen, ehe Sie Notes komplett abschalten. Nicht jede Notes Applikation lässt sich als SharePoint Site abbilden. Hier sind konstruktive und pfiffige Lösungen gefragt, die oft den Einsatz von anderen 3rd Party Werkzeugen erfordern.

Es bleibt also nicht nur eine Migration der Postfachdaten, Terminen und Kontakten.

Weitere Links