Office 365 Domain Umzug/Löschen

Wie kann ich eine Domain von einem Tenant in einen anderen Tenant umziehen oder überhaupt erst einmal löschen? Diese Seite versucht den Prozess des Umzugs zu beschreiben.

Warum?

DNS-Domains im Internet sind nun mal einmalig. Eine Domain kann aber immer nur genau einem Tenant zugewiesen werden.

Es ist nicht möglich die gleiche DNS-Domain zwischen zwei oder mehr Tenants zu sharen.

Sie können natürlich über Mailweiterleitungen und Umschreibungen erreichen, dass Empfänger in unterschiedlichen Domänen die gleiche Mailadresse zu Empfang nutzen können und beim Versand müssen Sie die Absender-Adressen wieder umschreiben und SPF-Records beachtet. Das ist aber nur ein Notbetrieb da andere Dienste wie z. B. Anmeldung per UPN oder SIP-Adressen nicht zwischen zwei Tenants gemeinsam genutzt werden können.

Wenn eine Teilfirma aus einem Tenant herausgelöst werden muss, dann wird sie in der Regel ihre Domäne nicht mitnehmen können. Sie werden also mit einer neuen Domain beginnen und die Inhalte migrieren. Für den Fall, dass Sie aber die komplette DNS-Domain umziehen wollen, dann liefert diese Seite die passende Beschreibung.

Diese Seite beschreibt nicht die Aufgabenstellung, die Daten der umgezogenen Anwender aus Exchange, SharePoint, OneDrive, Teams, PowerBi etc., umzuziehen und eine ggfls. mögliche Übertragung von Lizenzen. Auch sollten Sie darauf vorbereitet sein, dass Sie auf dem Clients eingreifen müssen, wenn diese mit dem gleichen UPN nun auf einem komplett anderen Tenant landen. (Outlook Profile, Skype for Business Einstellungen, OneDrive-Synchronisation, ActiveSync Devices etc.).

Domain kapern?

Nicht immer stimmen sich Administratoren ab. Also habe ich einfach mal versucht die Domäne auf meinem zweiten Tenant einzutragen ohne diese auf dem ersten Tenant vorher auszutragen. Ich habe also die Domain addiert und auch den dazugehörigen TXT-Record addiert und versucht die Domain anzulegen. Erst nach der Anlage des TXT-Records kam die Fehlermeldung:

Auch im Azure Portal sehen Sie beim Versuch, eine bereits existierende Domain einzutragen, eine Fehlermeldung mit dem Hinweis auf den aktuell zugewiesenen Tenant

Ehe dieser Schritt nicht abgeschlossen ist, können Sie die Domain nicht in ihrem Tenant verwenden.

Ich kann eine Domain nicht einfach übertragen, ohne dass der abgebende Tenant die Domain vorher gelöscht hat. Die Fehlermeldung nennt mir den Tenant-Name und einen Teil der Mailadresse eines Administrators. Das "sollte" ihnen weiterhelfen. Leider ist die angezeigte Adresse der UPN und nicht zwingend eine gültige Mailadresse.

Es kann auch eine "onmicrosoft.com"-Adresse sein. In dem Fall ist dann wohl der Microsoft Support gefragt ihnen einen Kontakt zum Tenant-Owner herzustellen, denn eine öffentliche Datenbank dazu gibt es nicht.

Da die TXT-Records aber unverändert bleiben, können Sie in Vorbereitung auf eine Domain-Übernahme im Ziel-Tenant schon die Domain addieren und den TXT-Record eintragen. So sparen Sie sich die DNS-Verzögerungen und Abstimmung mit dem DNS-Admin zum Umstellungszeitpunkt.

Mailrouting pausieren

Wenn eingehende Mails über den MX-Record zum heutigen Tenant laufen, dann wird diese Domäne während des Umzugs "unerreichbar" sein. Im Vorfeld werden bei den Empfängern schon die Mailadressen entfernt. Daher sollten Sie vorab Es kann daher interessant sein vorab den TTL der MX-Records zu reduzieren und kurz vor dem Abschalten auf ein nicht erreichbares System zu leiten. Nachdem die Domain dann auf dem neuen Tenant angelegt wurde und die Benutzer wieder korrekt mit den passenden Mailadressen ausgestattet wurden, können Sie die Änderung wieder zurück stellen.

Natürlich sollte die Zeit zwischen dem Umbiegen des MX-Records bis zur Reaktivierung sehr kurz sein, da ansonsten andere Absender mit Verzögerungsmeldungen auf den Ausfall aufmerksam gemacht werden.

Vorarbeiten

Sie können natürlich einfach mal versuchen die Domäne im Tenant zu löschen. Das geht aber meist nicht, da es immer noch das ein oder andere Objekte gibt, welches die Domäne irgendwo verwendet. Wenn Sie über portal.azure.com sich die Domäne des Tenants anschauen, dann finden Sie hier einen entsprechenden Eintrag: Zuerst gehen wir über "Custom Domains" im AzureAD auf die ausgewählte Domäne.

Sie sehen auch hier den "Delete"-Button aber wichtiger ist hier, dass angeblich noch 107 Objekte diese Domain nutzen. Ich sollte diese erst einmal kontrollieren, ehe ich ein "Delete" mache. Über den Link komme ich zu einer Detailseite mit allen Objekten.

Ich kann von hier jedes Objekte anspringen und selbst die Änderung herbeiführen. Ich kann aber auch AzureAD dies überlassen, indem ich einen Schritt vorher auf "Delete" drücke. Das Portal weist mich genau darauf hin, wie es die Konflikte lösen wird: 

Ich muss zur Bestätigung den Domainnamen noch mal eingeben und erneut "Delete" klicken. Meist geht es aber nicht immer. In meinem Fall hat eine Exchange Gruppe die Entfernung hartnäckig verhindert.

Dieses Objekt "gehört" nicht dem AzureAD sondern Exchange und muss dort gelöscht werden. In meinem Fall war das gar nicht so einfach, wie ich auf EXO Gruppen unlöschbar gesondert ausführe.

Meines Wissens gibt es vier Stellen, an denen eine Domain referenziert wird und die zu lösen sind. Beachten Sie, dass per AADConnect synchronisierte Objekte in ihrem lokalen AD anzupassen sind und die Replikation durch AADConnect erst abgeschlossen sein muss.

  • Primäre Domain
    In jedem Office 365 Tenant gibt es eine "Primäre Domain". Wenn Sie diese Domain entfernen wollen, dann müssen Sie erst eine andere Domäne als Primär konfigurieren.
  • UPN
    Der Anmeldename des Benutzers ist natürlich direkt mit der Domäne verbunden und muss entsprechend freigegeben werden. Oft braucht man aber das Konto in der Quelle noch einige Zeit um z.B. die Inhalte im Nachhinein zu übertragen. Wenn Sie den Benutzer nicht löschen, dann müssen Sie den UPN entsprechend anpassen. Wer keine andere temporäre Domäne einrichten will, kann mit der %tenantname%.onmicrosoft.com arbeiten.
  • SMTP-Adressen in ProxyAdresse
    Die Domäne darf von keinem Benutzer als Mailadresse weiter verwendet werden. Es ist später natürlich kein Problem entsprechende Kontakte über einen Verzeichnisangleich anzulegen zu lassen, so dass auch über Tenants hinweg eine Erreichbarkeit möglich ist. Für das Entfernen einer Domain muss diese aber erst einmal frei geräumt werden..
  • SIP-Adressen
    Auch die Adressen für Skype for Business dürfen nicht mehr auf die Domäne verweisen. Das ist zwar immer nur eine und meist ist diese mit dem UPN identisch und damit schon geändert worden aber wer mit AADConnect lokal die SIP-Adresse und den UPN abweichend konfiguriert hat, muss hier auch noch mal ran
  • ADFS Federation
    Sie können die Anmeldung an einer Domäne per ADFS konfigurieren. Diese Federation ist natürlich ein weiterer Hinderungsgrund eine Domäne zu löschen.

Sie können auch über die PowerShell sehr einfach die Objekte ausfindig machen, die ein Entfernen der Domäne verhindern.

get-msolUser -domainname <domain>

Weitere Blocker habe ich aktuell nicht gefunden. Es kann natürlich sein, dass zukünftige Funktionen von Office 365 ebenfalls die DNS-Domain verwenden, z.B. bei der Registrierung.

M365 Admin Center Domain löschen

Wenn Sie die Vorarbeiten durchgeführt haben, dann können Sie die Domain endlich löschen. Das geht im Microsoft 365 Admin-Center unter https://admin.microsoft.com

Hier können und sollten Sie kontrollieren, welche Benutzer, Gruppen und Apps diese Domain verwenden. Wenn Sie z. B. vergessen haben die primäre Domäne umzustellen, dann warnt der Assistent und bietet die Umstellung sofort an.


(Bild ist aus einer anderen Domain)

Nebenbei wird dann bei allen Objekten in dieser Domäne der UPN entsprechend auf die neue Standarddomäne geändert.

Das Löschen kann durchaus einige Minuten dauern, denn im Hintergrund werden Objekte korrigiert. Aber selbst dann kann der Remove scheitern, da die Cloud nicht alle Referenzen beseitigen kann.

Dann hat der Prozess wohl zu lange gedauert aber er läuft im Hintergrund weiter. Wenn Sie sicher sind, dann versuchen Sie es einfach etwas später noch mal. Es kann aber auch sein, dass der Status dann wie folgt aussieht:

Dann heißt es wieder zurück zu Start und die erforderlichen Veränderungen manuell zu machen.

Beachten Sie dazu auch die Seite EXO Gruppen unlöschbar

Azure Admin Center Domain löschen

Eine zweite Option ist das Azure Admin Portal unter https://portal.azure.com. Hier können Sie die Domain ebenfalls auswählen und in den Details sehen Sie auch die betroffenen Objekte, die diese Domain noch nutzen

Wenn Sie auf die Domain klicken, dann befindet sich der Delete-Button. Die Domain ist dann aber nicht sofort weg, sondern der Lösch-Prozess wird nur angestartet und kann bist zu 24h dauern.

Wartezeit und Aktivierung im Ziel

Wenn Sie die Domäne im Tenant gelöscht haben, dauert es natürlich noch etwas, bis Sie diese im neuen Tenant anlegen können. Die alte Domain muss in der Office 365 Verzeichnisstruktur natürlich erst per Replikation verschwinden. Das geht in der Regel ziemlich zügig aber die Zeit kann je nach Größe des Tenants variieren. Die Domäne steht solange auf "Domain remove in progress".

Eine Statusmeldung per Mail nach erfolgter Entfernung habe ich dazu nicht erhalten.  Man muss eben ab und an mal nachschauen. Ein Klick auf die Domain selbst schreibt ebenfalls, dass es etwas dauert und bei einem Fehler oder Problem dies hier gemeldet wird.

Zur Dauer habe ich folgende Aussage bei Microsoft gefunden:

It can take as little as five minutes for Microsoft 365 to remove a domain if it's not referenced in a lot of places such as security groups, distribution lists, users, aliases, shared mailboxes, resource mailboxes, and Microsoft 365 groups. If there are many references that use the domain it can take several hours (a day) for the domain to be removed.
https://learn.microsoft.com/en-us/microsoft-365/admin/get-help-with-domains/remove-a-domain?view=o365-worldwide#how-long-does-it-take-for-a-domain-to-be-removed

Mit ist es sogar schon in weniger als 10 Sekunden gelungen, eine Domäne in einem fast leeren Test-Tenant zu löschen und in einem neuen Tenant anzulegen. Ich kann im Ziel ja schon die Registrierung samt TXT-Record vorbereiten und dann immer wieder "Validate" drücken.

Benutzer Provisionierung

Nachdem die Domäne dem neuen Tenant aktiviert ist, sollten Sie umgehend daran gehen, die Benutzer wieder mit den nun möglichen Stammdaten zu versehen. Einige Einstellungen sind manuell möglich oder werden durch den ebenfalls anzupassenden AADConnect wieder geschrieben. Bei der Nutzung von ADFS für die Anmeldung muss natürlich auch die neue Domäne in die ADFS-Federation aufgenommen werden. Dazu gehören:

  • Lizenz zuweisen
    Die neuen Benutzer benötigen natürlich eine Lizenz, wenn sie mit einen Postfach u.a. arbeiten. Dieser Schritt ist meist schon erledigt, da im Vorfeld gerne die Inhalte schon migriert werden.
  • UPN
    Damit sich die Anwender anmelden können, wenn dies nicht durch ADFS erfolgt
  • SMTP-Adressen
    Normalerweise haben die Zielobjekt schon ein Postfach, damit die Inhalte der Quelle ggfls. vorab schon kopiert/repliziert werden können
  • SIP-Adressen
    Diese Adresse orientiert sich am UPN, wenn diese nicht per AADConnect von einem lokalen Active Directory übertragen wird.

Wenn die Empfänger wieder für den Empfang von Mails bereit sind, dann können Sie den MX-Record wieder so einrichten, dass Mails zugestellt werden. Es wird etwas dauern, bis die anderen Systeme die geänderten Einträge erkennen.

Weitere DNS-Einträge

Der Assistent der abgebenden Domäne kümmert sich natürlich nicht um die sonstigen DNS-Einträge. Die meisten Einträge bleiben ja sogar erhalten, da das Ziel ebenfalls in Office 365 liegt.

Tenant komplett löschen

Wenn ein Tenant nach einer Migration überflüssig wird, dann können Sie auch diesen löschen lassen. Im Extremfall ist das nach 3 Tagen erfolgt. Siehe dazu die gesonderte Seite Office 365 Tenant löschen

Weitere Links