MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Last Exchange Server entfernen

Diese Seite beschreibt meine Checkliste, wie ich den letzten lokalen Exchange Server entferne, wenn ich meine Postfächer alle nach Exchange Online verschoben habe. Sie müssen schon etwas mehr beachten als einfach das Exchange Setup zu starten und die Software entfernen.

Mit Copilot erstellt: Prompt: "Zeichne ein neues Bild um den Schwerpunkt auf den letzten Server aus einer Reihe von Servern zu leegen- .Vielleicht ein Board mit mehreren Dosen, auf denen das Exchange Logo zu sehen ist, und die letzte gerade abgeschossen wird während alle anderen schon auf dem Boden liegen. Auf dem Brett sollte nur noch eine Dose sein, die gerade umfällt "

Auch eine KI macht Fehler und das ist nicht das Ende von Exchange OnPremises.

Ich hoffe damit die vielleicht ultimative Checkliste zum Rückbau einer lokalen Exchange Umgebung mit Hybrid-Konfiguration zusammengestellt zu haben. Aber ich nehme gerne für Korrekturen entgegen.

Vorletzte Exchange Server

Wenn Sie eine lokale Exchange Umgebung haben und nach und nach alle Postfächer und Public Folder nach Exchange Online verschoben, ihr Mailrouting ebenfalls in die Cloud umgestellt und das Provisioning von ihrem lokalen Server entfernt haben, dann können Sie "fast" alle lokalen Exchange Server über das Setup einfach sauber deinstallieren. Bei der Deinstallation eines Exchange Servers prüft das Setup, dass alle Einstellungen und Daten auf andere Server oder die Cloud verschoben wurden. Dazu gehören.

  • Connectoren
    Stellen sie vorher sicher, dass der zur Deinstallation anstehende Server nicht mehr in einem SendConnector als "Local Bridgehead" aufgeführt wird. Auch die Receive Connetoren sollten sie prüfen, ob Clients, Prozesse o.ä. dort noch etwas einliefern. Das Messagetracking ist dazu ein guter Startpunkt und natürlich können Sie ein paar Tage vorher einfach mal den Server "in Wartung" nehmen oder die Dienste stoppen.
  • Postfächer und Datenbanken
    Versuchen Sie vor der Deinstallation die Datenbanken zu löschen. Schon das Exchange Control Panel prüft vorher, ob es noch Empfänger in der Datenbank gibt. Manchmal finden Sie Benutzer, die sich nie angemeldet hatten und daher in der Statistik nicht auftauchen.
  • DNS-Einträge/Loadbalancer
    Stellen Sie sicher, dass der Server nur noch unter seinem FQDN erreichbar ist aber nicht mehr über einen DNS-Alias oder als Teil eines Loadbalancers.

Ein so vorbereiteter Server sollte "Idle" sein und obwohl er noch im Netzwerk ist, sollte er nicht mehr genutzt werden. Im IISLog und Messagetracking sollten sich nur noch die Zugriffe der Exchange Überwachung (Exchange 2013 Managed Availability) finden. Diese Schritte sind aber schon seit Jahrzehnten bekannt und galten für alle Exchange Server der Vergangenheit. Entsprechend habe ich auch schon einige Seiten dazu geschrieben und zumindest die aktuellsten Seiten passen auch noch, wenn Sie keine Exchange Online Dienste nutzen oder nie einen Hybrid-Mode mit ADSync eingerichtet haben.

Letzter Exchange Server

Wenn Sie aber Exchange Hybrid für die Migration oder Koexistenz bislang genutzt haben, dann reicht eine Anleitung zur Deinstallation einer rein lokalen Umgebung nicht mehr aus. Wir starten nun bei dem Stand, dass sie bis auf einen letzten Server alle anderen früheren Exchange Server deinstalliert haben und nun auch noch den letzten Server loswerden wollen. Stellen Sie dazu aber zuerst einmal sicher, dass Sie die drei großen Funktionen auch wirklich abgelöst haben.

  • Mailrouting
    Der lokale Server darf keine Rolle mehr beim SMTP-Routing haben
  • Provisioning
    Sie müssen wissen, wie sie ohne den lokalen Exchange Server die Exchange Empfänger in Exchange Online verwalten, sei es per IsExchangeCloudManaged oder mit der Exchange Management Rolle. Denken Sie auch daran, wie die Informationen über Empfänger ggfls. weiter im lokalen AD aktualisiert werden, z.B. für lokale Dienste die das AD weiter als Adressbuch nutzen und nach Mailadressen suchen (Scan2Mail etc)
  • Spezialpostfächer
    Stellen Sie sicher, dass wirklich alle Nutzer, auch automatische Prozesse, mit Exchange Online arbeiten und zukünftig arbeiten können. Ich denke da an die Anmeldung per OAUTH oder auch die Exchange Online EWS Abschaltung 2026

Die Details und Alternativen habe ich auf der Seite LES - Last Exchange Server ausführlich beschrieben. Wir starten also an der Stelle, dass der lokale Exchange Server auch einfach "ausgeschaltet" werden könnte und nichts weiter passiert. Wir gehen weiter davon aus, dass wir so schnell keinen weiteren Exchange Server installieren wollen aber ganz verbauen sollten wir uns den Rück dennoch nicht. Die weiteren Schritte dürfen also nicht dafür sorgen, dass eine spätere Exchange Installation auf Probleme stößt.

Achtung
Deinstallieren Sie nicht den lokalen Exchange Server über die Systemsteuerung. Dabei würde auch der Exchange Container im AD gelöscht und ein Management mit der Exchange Management Rolle nicht mehr möglich.

Hybrid Rückbau

Zuerst sollten wir die Hybrid-Konfiguration zurückbauen. Leider kann der HCW - Hybrid Configuration Wizard nur Konfigurationen anlegen und aktualisieren aber nicht zurückbauen. Sie können auch nur einen Teil der Einstellungen per Browser im Exchange Admin Center und der lokalen Exchange Management Console entfernen. Daher ist es es wohl am besten, wenn wir die Einstellungen direkt auf der lokalen Exchange PowerShell und Exchange Online PowerShell durchführen. Es ist im wesentlichen das Zurückdrehen der Einstellungen des HCW.

Einstellung Erledigt

Empfänger kontrollieren

Zuerst schauen wir im lokalen Exchange nach, ob wirklich alle Empfänger in der Cloud sind

# Lokale Exchange PowerShell in mehreren Domains	
Set-ADServerSettings -ViewEntireForest $true

Get-Recipient -Resultsize unlimited | group Recipienttypedetails

Einträge für RemoteMailbox, MailUser und MailContact sind OK. Lokale Mailboxuser, SharedMailbox, Roommailbox etc. sind erst aufzulösen.

Achtung: Deaktivieren Sie nicht ihre Empfänger, solange es noch ein DirSync (ADSync, EntraID Connect, EntraID Cloud Connect) gibt. Lokale Änderungen würden auch Exchange Online betreffen

Move Requests bereinigen

Dann kontrollieren wir, ob es noch MoveRequests gibt. Das machen wir sowohl lokal als auch in Exchange Online:

Get-MoveRequest

Wenn Sie noch Requests finden, dann warten Sie auf deren Ende und entfernen Sie diese danach.

Migration Endpoint entfernen

Wenn es nichts mehr zu migrieren gibt, können wir den Migration Endpunkt entfernen. Auch hier gibt es zwei Stellen. Sie sollten in Exchange Online den Migration Endpoint entfernen, der Exchange Online den Weg zum lokalen Server weist

# Anzeigen der aktuellen Endpunkte
Get-MigrationEndpoint

# Entfernen des Endpunkts
Remove-MigrationEndpoint <identity>

Lokal gibt es vermutlich noch den DNS-Eintrag, die Firewall-Veröffentlichung, ggfls. einen Loadbalancer und die Einstellungen auf dem MRS-Proxy. 

Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -MRSProxyEnabled $false

Danach sind natürlich keine Migrationen von Postfächern zwischen Exchange Online und OnPremises möglich.

ADSync und Provisioning

Sie müssen nun entscheiden, wie Sie später ihre Empfänger verwalten wollen. Es gibt drei Optionen,

  • Ohne ADSync und Cloud Only
    Wenn Sie auf den Verzeichnisabgleich dauerhaft verzichten wollen, weil Sie eh in Richtung "CloudNative" unterwegs sind und ihr lokales AD abschalten wollen, dann können Sie den DirSync abschalten und die Exchange Empfänger in Exchange Online verwalten
  • IsExchangeCloudManaged
    Sie schalten zuerst einmal ab, dass die Exchange-Eigenschaften der Cloud-Postfächer durch ADSync gepflegt werden. Dann können Sie ADSync weiter die Verwaltung der Benutzer mit Kennworten, Gruppen und Devices überlassen und dennoch Exchange Online-Eigenschaften in der Cloud verwalten.
  • Exchange Management Rolle
    In dem Fall brauchen Sie ADSync und verwalten weiter die Empfänger lokal per PowerShell. In der ADSync-Konfiguration sollten Sie dan natürlich keine Filterung auf Exchange-Felder aktivieren oder die Hybrid-Checkbox entfernen.

Die technische Anpassung beim Entfernen des letzten Exchange OnPremises Servers ist eher eine Sache von Minuten. Ihre Konzeption und  Beschreibung des zukünftigen Managements und Anpassung von Automatisierungsskripten ist sicher eine größere Aufgabe.

 

Eingehendes Mailrouting (MX-Record)

Eigentlich ist dieser Punkt selbstverständlich aber ich führe ihn dennoch explizit noch einmal mit auf. Ehe Sie den lokalen Exchange Server abschalten, sollten das eingehende Mailrouting aus dem Internet umgestellt worden sein. Es bietet sich an, entweder den Spamfilter von Exchange Online Protection zu nutzen und den MX-Record rechtzeitig auf EOP zu drehen. Alternativ können Sie natürlich auch einen 3rd-Party-Spamfilter wie NoSpamProxy oder andere Cloud-Dienste nutzen. Ein Routing der Mail über ein lokales Relay ist zwar auch denkbar, aber warum wollen Sie jede Mail zweimal über ihren Internet-Link übetragen?

Autodiscover umstellen

Wenn Sie es bislang noch nicht getan haben, sollten Sie ihre lokalen Clients dazu bringen, nicht mehr den lokalen Exchange Server zu fragen. Das machen Sie über den Service Connection Point, welcher einen Eintrag im AD hinterlegt und von den Outlook-Clients per LDAP gesucht wird. Den Wert setzen wir für den verbliebenen Server auf "$null" 

Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $Null

Kontrollieren Sie speziell bei Split-DNS-Konfigurationen, dass "autodiscover.<ihredomain>" nicht auch noch auf lokale Dienste verweist sondern zu Exchange Online. Das ist ein CNAME auf autodiscover-s.outlook.com

Lokale Hybridkonfiguration entfernen

Durch den HCW wurden nicht nur einige Connectoren etc. angelegt sondern auch die Konfiguration im Active Directory hinterlegt. Diesen Eintrag können Sie einfach löschen

Remove-HybridConfiguration

Dabei wird aber nicht nur die Konfiguration entfernt, sondern auch der Send-Connector von OnPremises zu Exchange Online.

Auch in Exchange Online gibt es die Konfiguration und kann entfernt werden.

IntraOrganizationConnector deaktivieren

Wenn Sie Full-Hybrid eingerichtet haben, dann gibt es auf beiden Seiten eine Konfiguration zum Austausch von Frei/Belegt-Zeiten u.a. Das folgende Commandlet führen Sie in beiden Exchange PowerShells aus.

Get-IntraOrganizationConnector | Set-IntraOrganizationConnector -Enabled $False

Ich habe noch keine Quellen gefunden, die auch ein Löschen als Option aufzeigen. Vor der Einrichtung von Hybrid gibt es Eintrag ja auch nicht. Aber vielleicht ist er ja an noch anderen Stellen verknüpft. Daher belasse ich es beim Deaktivieren.

OrganizationRelationShip

Neben dem IntraOrganizationConnector gibt es noch die Organization Relation Ship. Diese bauten wir OnPremises wie folgt ab:

Remove-OrganizationRelationship –Identity “<On Premises to Exchange Online Organization Relationship>”

Die Einstellung sollten wir auch in Exchange Online über dne gleichen Weg entfernen:

Remove-OrganizationRelationship –Identity “<Exchange Online to On Premises Organization Relationship>”

Federation Trust

Nachdem OrganizationRelationship und IntraOrganizationConnector entfernt sind, können wir auch den Federation Trust und das Federation Gateway zurückbauen. Auch das damit verbundene Zertifikat ist nicht mehr erforderlich.

Remove-FederationTrust "Microsoft Federation Gateway"

$fedThumbprint = (Get-ExchangeCertificate | Where-Object {$_.Subject -eq "CN=Federation"}).Thumbprint
Remove-ExchangeCertificate -Thumbprint $fedThumbprint

Dedicated Hybrid App entfernen

Seit Okt 2025 musste es für die Nutzung von Frei/Belegt-Zeiten, Mailtipps und Userbilder eine eigene dedizierte Hybrid App geben. Dies wurde durch HCW oder ein Skript konfiguriert. Auf dem lokalen Exchange Server können Sie diese Nutzung wieder zurückschrauben.

Get-SettingOverride `
| Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} `
| Remove-SettingOverride

Wichtiger ist aber das Löschen der App Registration in ihrem Tenant. Das geht am einfachsten mit dem PowerShell-Script von Microsoft.

ConfigureExchangeHybridApplication
https://microsoft.github.io/CSS-Exchange/Hybrid/ConfigureExchangeHybridApplication/

Damit können Sie nicht nur die Dedicated Hybrid App einrichten, sondern auch sauber entfernen.

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

Natürlich können Sie auch das Azure Portal (https://portal.azure.com) nutzen, zum die App im Tenant zu finden und zu entfernen

Remote Domain entfernen

Auf beiden Seiten wurden durch den HCW die jeweils anderen Domains als "Remote-Domain" eingetragen.

Wenn Sie lokal noch mit der Exchange Management Rolle verwalten wollen, dann dürfen Sie diese Domains nicht löschen, da sie sonst bei "Enable/Set-RemoteMailbox" und der Angabe der RemoteRoutingAddress einen Fehler bekommen.

Wenn Sie aber in Exchange Online direkt verwalten, weil Sie z.B. keinen ADSync mehr haben oder mit IsExchangeCloudManaged verwalten, dann können Sie die Einträge entfernen.

Get-RemoteDomain Hybrid* | Format-List Name, DomainName, TargetDeliveryDomain

Löschen Sie nur die RemoteDomains, die für den Hybrid-Betrieb erforderlich waren. Remote-Domains werden gerne auch für eine Zusammenarbeit mit anderen Firmen oder in Konzernen genutzt (Multi Tenant etc.)

Modern Hybrid Agent

Immer mehr Firmen haben ihren Exchange Server nicht per EWS von Exchange Online direkt aus dem Internet erreichbar gemacht, sondern haben den Exchange Modern Hybrid Agent für eine Modern Hybrid-Konfiguration genutzt. Er wurde lokal auf einem Server installiert und hat eine ausgehende Verbindung zur Cloud offen gehalten. Wenn es keine lokalen Exchange Server mehr gibt, sollten wir auch den Agenten deinstallieren.

Zuerst müssen wir die AppID der Applikation in Erfahrung bringen. Diese bekommen wir aus dem "TargetSharingEpr" in Exchange Online

$OrgRelationShip = (Get-OnPremisesOrganization).OrganizationRelationship
(Get-OrganizationRelationship $OrgRelationShip).TargetSharingEpr

Diese GUID brauchen wir nun auf dem Computer, auf dem der Modern Hybrid Agent installiert ist. Da die Änderung in EntraID erfolgt, müssen Sie die erforderlichen Anmeldedaten eingeben.

cd "C:\Program Files\Microsoft Hybrid Service"
Import-Module .\HybridManagement.psm1

Remove-HybridApplication `
   -AppId <AppID> `
   -Credential (Get-Credential)

 

SMTP Connectoren

Für Hybrid wurden auf dem lokalen Exchange Server ein Send-Connector angelegt und der Default Receive Connector angepasst. Ich würde den Send-Connector löschen, ehe Sie den lokalen Exchange Server herunterfahren. Auch im Receive Connector können Sie die Konfiguration zurückbauen, wenn dies nicht schon vorher erfolgt ist.

# lokaler SendConnector entfernen
Get-SendConnector "Office*" | Remove-SendConnector

# Lokaler Receive Connector zurücksetzen
Get-ReceiveConnector | Set-ReceiveConnector -TlsDomainCapabilities:$null

In Exchange Online gibt es die "Inbound" und "Outbound"-Connectoren mit der GUID ihrer OnPremises Umgebung. Diese können Sie einfach im Exchange Admin Center oder per PowerShell löschen. Achten Sie aber darauf, dass Sie die richtigen Connectoren mit ihrer SMTP-Domain erwischen, denn es gibt durchaus Tenants, die zu mehreren OnPremises-Umgebungen eine Hybrid-Bereitstellung haben.

Lokales AD aufräumen

Dieses Skript entfernt Exchange Gruppen und Berechtigungen in ihrem AD. Die Rechte und Gruppen zu belassen ist nicht schlimm, solange keine Benutzer oder Computer als Mitglied in den Gruppen geführt werden. Dann hat niemand die Rechte. Ansonsten müssen Sie bei einer erneuten Installation von Exchange OnPremises wieder ein "PrepareDomain" und "PrepareAD" machen, damit die Gruppen wieder angelegt und die Berechtigungen neu addiert werden.

cd $env:ExchangeInstallPath\Scripts 
.\CleanupActiveDirectoryEMT.ps1

Ich überlasse es ihrer Entscheidung, ob sie die Rechte entfernen..

Die Exchange Schema Erweiterung bekommen übrigens nach heutigem Wissen wieder entfernt. Sie könnten die Felder und Klassen maximal "sperren", damit niemand sie mehr aktiv nutzen kann. Aber da sehe ich keinen Sinn drin.

Exchange Server entfernen

Eine Deinstallation von Exchange ist nicht empfohlen. Also fahren Sie den Server erst einmal herunter und lassen Sie ihn einige Tage ausgeschaltet. Wenn Sie sicher sind, dass alle Dienste und Funktionen weiter wie geplant funktionieren, dann können Sie das Computer-Objekt des Servers im Active Directory entfernen. Wenn es noch ein ExchangeASA-Konto aus einer Loadbalancer-Konfiguration gibt, können Sie dies auch entfernen. Die Hardware oder VM sollten Sie dann löschen, damit Sie nicht irrtümlich wieder gestartet werden kann.

Provisioning ohne LES

Schon mehrfach habe ich auf die verschiedenen Wege zur zukünftigen Verwaltung der Exchange Online Eigenschaften hingewiesen. Ohne lokalen Exchange Server haben Sie natürlich keine Exchange Admin Console und auch keine Exchange PowerShell. Sie können die Einstellungen über die lokale Exchange Management Rolle allein per PowerShell verwalten oder den Tenant pro Postfach mit IsExchangeCloudManaged anweisen, die Exchange Properties nicht mehr aus dem lokalen Active Directory zu übernehmen oder sie deaktivieren den DirSync komplett, z.B. wenn Sie lokal das AD auch noch zurückbauen wollen.

Im Oktober 2025 gibt es aber noch keine Lösung, mit der die Informationen und Änderungen in Exchange Online auch wieder in das lokale AD zurück kommen. Bis z.B. "EntraID Cloud Sync" die Informationen zur Mailadresse und ProxyAddreses auch wieder ins lokale AD  zurückschreiben, dauert es noch etwas.

Wenn Sie eigene Provisioning-Tools einsetzen, dann müssen Sie hier ggfls. auch noch Anpassungen vornehmen.

Weitere Links