Office 365 Domain Umzug/Löschen

Office 365 Domain Umzug/Löschen

Wie kann ich eine Domain von einem Tenant in einen anderen Tenant umziehen? Diese Seite versucht den Prozess des Umzugs zu beschreiben.

Warum?

DNS-Domains im Internet sind nun mal einmalig. Eine Domain kann aber immer nur genau einem Tenant zugewiesen werden. Es ist nicht möglich die gleiche DNS-Domain zwischen zwei oder mehr Tenants zu sharen. Sie können natürlich über Mailweiterleitungen und Umschreibungen erreichen, dass Empfänger in unterschiedlichen Domänen die gleiche Mailadresse zu Empfang nutzen können und beim Versand müssen Sie die Absender-Adressen wieder umschreiben und SPF-Records beachtet. Das ist aber nur ein Notbetrieb da andere Dienste wie z. B. Anmeldung per UPN oder SIP-Adressen nicht zwischen zwei Tenants gemeinsam genutzt werden können.

Wenn eine Teilfirma aus einem Tenant herausgelöst werden muss, dann wird sie in der Regel ihre Domäne nicht mitnehmen können. Sie werden also mit einer neuen Domain beginnen und die Inhalte migrieren. Für den Fall, dass Sie aber die komplette DNS-Domain umziehen wollen, dann liefert diese Seite die passende Beschreibung.

Diese Seite beschreibt nicht die Aufgabenstellung, die Daten der umgezogenen Anwender aus Exchange, SharePoint, OneDrive, Teams, PowerBi etc., umzuziehen und eine ggfls. mögliche Übertragung von Lizenzen. Auch sollten Sie darauf vorbereitet sein, dass Sie auf dem Clients eingreifen müssen, wenn diese mit dem gleichen UPN nun auf einem komplett anderen Tenant landen. (Outlook Profile, Skype for Business Einstellungen, OneDrive-Synchronisation, ActiveSync Devices etc.).

Domain kapern?

Nicht immer stimmen sich Administratoren ab. Also habe ich einfach mal versucht die Domäne auf meinem zweiten Tenant einzutragen ohne diese auf dem ersten Tenant vorher auszutragen. Ich habe also die Domain addiert und auch den dazugehörigen TXT-Record addiert und versucht die Domain anzulegen. Erst nach der Anlage des TXT-Records kam die Fehlermeldung:

Ich kann also eine Domain nicht einfach übertragen ohne dass der abgebende Tenant die Domain vorher gelöscht hat. Die Fehlermeldung nennt mir den Tenantname und einen Teil der Mailadresse eines Administrators. Das "sollte" ihnen weiterhelfen. Leider ist die angezeigte Adresse der UPN und nicht zwingend eine gültige Mailadresse.

Es kann auch eine "onmicrosoft.com"-Adresse sein. In dem Fall ist dann wohl der Microsoft Support gefragt ihnen einen Kontakt zum Tenant-Owner herzustellen.

Da die TXT-Records aber unverändert bleiben, können Sie in Vorbereitung auf eine Domain-Übernahme im Ziel-Tenant schon die Domain addieren und den TXT-Record eintragen. So sparen Sie sich die DNS-Verzögerungen und Abstimmung mit dem DNS-Admin zum Umstellungszeitpunkt.

Mailrouting pausieren

Wenn eingehende Mails über den MX-Record zum heutigen Tenant laufen, dann wird diese Domäne während des Umzugs "unerreichbar" sein. Im Vorfeld werden bei den Empfängern schon die Mailadressen entfernt. Daher sollten Sie vorab Es kann daher interessant sein vorab den TTL der MX-Records zu reduzieren und kurz vor dem Abschalten auf ein nicht erreichbares System zu leiten. Nachdem die Domain dann auf dem neuen Tenant angelegt wurde und die Benutzer wieder korrekt mit den passenden Mailadressen ausgestattet wurden, können Sie die Änderung wieder zurück stellen.

Natürlich sollte die Zeit zwischen dem Umbiegen des MX-Records bis zur Reaktivierung sehr kurz sein, da ansonsten andere Absender mit Verzögerungsmeldungen auf den Ausfall aufmerksam gemacht werden.

Vorarbeiten zum Löschen der Domain

Sie können natürlich einfach mal versuchen die Domäne im Tenant zu löschen. Das geht aber meist nicht, da es immer noch das ein oder andere Objekte gibt, welches die Domäne irgendwo verwendet. Wenn Sie über manage.windowsazure.com sich die Domäne des Tenants anschauen, dann finden Sie hier einen entsprechenden Eintrag.

Leider sehen sie nicht, welche Einstellungen dies verhindern. Diese Funktion hat Microsoft aber mittlerweile in seine Office 365 Verwaltung addiert. Meines Wissens gibt es vier Stellen, an denen eine Domain referenziert wird und die zu lösen sind. Beachten Sie, dass per AADConnect synchronisierte Objekte in ihrem lokalen AD anzupassen sind und die Replikation durch AADConnect erst abgeschlossen sein muss.

  • Primäre Domain
    In jedem Office 365 Tenant gibt es eine "Primäre Domain". Wenn Sie diese Domain entfernen wollen, dann müssen Sie erst eine andere Domäne als Primär konfigurieren.
  • UPN
    Der Anmeldename des Benutzers ist natürlich direkt mit der Domäne verbunden und muss entsprechend freigegeben werden. Oft braucht man aber das Konto in der Quelle noch einige Zeit um z.B. die Inhalte im Nachhinein zu übertragen. Wenn Sie den Benutzer nicht löschen, dann müssen Sie den UPN entsprechend anpassen. Wer keine andere temporäre Domäne einrichten will, kann mit der %tenantname%.onmicrosoft.com arbeiten.
  • SMTP-Adressen in ProxyAdresse
    Die Domäne darf von keinem Benutzer als Mailadresse weiter verwendet werden. Es ist später natürlich kein Problem entsprechende Kontakte über einen Verzeichnisangleich anzulegen zu lassen, so dass auch über Tenants hinweg eine Erreichbarkeit möglich ist. Für das Entfernen einer Domain muss diese aber erst einmal frei geräumt werden..
  • SIP-Adressen
    Auch die Adressen für Skype for Business dürfen nicht mehr auf die Domäne verweisen. Das ist zwar immer nur eine und meist ist diese mit dem UPN identisch und damit schon geändert worden aber wer mit AADConnect lokal die SIP-Adresse und den UPN abweichend konfiguriert hat, muss hier auch noch mal ran
  • ADFS Federation
    Sie können die Anmeldung an einer Domäne per ADFS konfigurieren. Diese Federation ist natürlich ein weiterer Hinderungsgrund eine Domäne zu löschen.

Sie können auch über die PowerShell sehr einfach die Objekte ausfindig machen, die ein Entfernen der Domäne verhindern.

get-msoluser -domainname <domain>

Weitere Blocker habe ich aktuell nicht gefunden. Es kann natürlich sein, dass zukünftige Funktionen von Office 365 ebenfalls die DNS-Domain verwenden, z.B. bei der Registrierung

Domain löschen

Die Seite beschäftigt sich mit dem Umzug einer Domain in einen anderen Tenant. Der zweite Schritt nach dem Bereinigen ist die Entfernung aus dem bisherigen Tenant. Das geht per PowerShell mit "Remove-MSOLDomain" aber für diesen Schritt nutze ich auch lieber den Browser. Office 365 kann das mehr Dinge anzeigen. Wenn Sie z. B. vergessen haben die primäre Domäne umzustellen, dann warnt der Assistent und bietet die Umstellung sofort an.

Nebenbei wird dann bei allen Objekten in dieser Domäne der UPN entsprechend auf die neue Standarddomäne geändert. Wenn Sie dann noch vergessen haben, bei einigen Anwendern die Mailadresse oder den UPN zu ändern, dann wird auch dies angezeigt und auf Wunsch "automatisch" korrigiert.

Der Link zur manuellen Entfernung geht auf https://support.office.com/de-DE/client/results?Shownav=true&lcid=1031&ns=O365ENTADMIN&version=15&omkt=de-DE&ver=15&services=EXCHANGE_S_FOUNDATION%2cBI_AZURE_P0&HelpID=O365E_Setup_RemoveDomain

Sie sehen also, dass der Assistent ihnen schon viele Funktionen abnimmt. Sie müssen natürlich dennoch wissen, was Sie hier anstellen und sobald Konten per AADConnect verbunden sind, kann natürlich auch der Assistent nicht korrigieren.

Wartezeit und Aktivierung im Ziel

Wenn Sie die Domäne im Tenant gelöscht haben, dauert es natürlich noch etwas, bis Sie diese im neuen Tenant anlegen können. Die alte Domain muss in der Office 365 Verzeichnisstruktur natürlich erst per Replikation verschwinden. Das geht in der Regel ziemlich zügig aber die Zeit kann je nach Größe des Tenants variieren. Die Domäne steht solange auf "Domain remove in progress".

Eine Statusmeldung per Mail nach erfolgter Entfernung habe ich dazu nicht erhalten.  Man muss eben ab und an mal nachschauen. Ein Klick auf die Domain selbst schreibt ebenfalls, dass es etwas dauert und bei einem Fehler oder Problem dies hier gemeldet wird.

Zur Dauer habe ich folgende Aussage bei Microsoft gefunden:

Eine Domäne kann durch Office 365 in weniger als 5 Minuten entfernt werden, wenn nicht von vielen Stellen aus (z. B. Sicherheitsgruppen, Verteilerlisten, Benutzer und Office 365-Gruppen) auf diese Domäne verwiesen wird. Wenn viele Verweise vorhanden sind, die die Domäne verwenden, kann es mehrere Stunden (einen Tag) dauern, bis die Domäne entfernt wurde.
Quelle: https://support.office.com/de-DE/client/results?Shownav=true&lcid=1031&ns=O365ENTADMIN&version=15&omkt=de-DE&ver=15&services=EXCHANGE_S_FOUNDATION%2cBI_AZURE_P0&HelpID=O365E_Setup_RemoveDomain

Mit ist es sogar schon in weniger als 10 Sekunden gelungen, eine Domäne in einem fast leeren Test-Tenant zu löschen und in einem neuen Tenant anzulegen. Ich kann im Ziel ja schon die Registrierung samt TXT-Record vorbereiten und dann immer wieder "Validate" drücken.

Benutzer Provisionierung

Nachdem die Domäne dem neuen Tenant aktiviert ist, sollten Sie umgehend daran gehen, die Benutzer wieder mit den nun möglichen Stammdaten zu versehen. Einige Einstellungen sind manuell möglich oder werden durch den ebenfalls anzupassenden AADConnect wieder geschrieben. Bei der Nutzung von ADFS für die Anmeldung muss natürlich auch die neue Domäne in die ADFS-Federation aufgenommen werden. Dazu gehören:

  • Lizenz zuweisen
    Die neuen Benutzer benötigen natürlich eine Lizenz, wenn sie mit einen Postfach u.a. arbeiten. Dieser Schritt ist meist schon erledigt, da im Vorfeld gerne die Inhalte schon migriert werden.
  • UPN
    Damit sich die Anwender anmelden können, wenn dies nicht durch ADFS erfolgt
  • SMTP-Adressen
    Normalerweise haben die Zielobjekt schon ein Postfach, damit die Inhalte der Quelle ggfls. vorab schon kopiert/repliziert werden können
  • SIP-Adressen
    Diese Adresse orientiert sich am UPN, wenn diese nicht per AADConnect von einem lokalen Active Directory übertragen wird.

Wenn die Empfänger wieder für den Empfang von Mails bereit sind, dann können Sie den MX-Record wieder so einrichten, dass Mails zugestellt werden. Es wird etwas dauern, bis die anderen Systeme die geänderten Einträge erkennen.

Weitere DNS-Einträge

Der Assistent der abgebenden Domäne kümmert sich natürlich nicht um die sonstigen DNS-Einträge. Die meisten Einträge bleiben ja sogar erhalten, da das Ziel ebenfalls in Office 365 liegt.

Weitere Links