Exchange Hybrid Rückbau
Die meisten Firmen mit Exchange On-Premises migrieren über den Hybrid Mode zu Exchange Online. Irgendwann ist aber das letzte Postfach in der Cloud und die öffentlichen Ordner migriert. Auf dieser Seite beschreibe ich die Schritte zum Abbau der On-Premises Umgebung bis auf den vorletzten Server.
Diese Seite beschreibt nicht, wie Sie den Exchange Hybrid Mode komplett entfernen sondern nur, wie sie die lokale Umgebung auf ein Mindestmaß reduzieren
Wer Office 365 mit ADSync einsetzt, muss noch mindestens einen Hybrid Connector Server bestehen lassen, um per PowerShell im lokalen AD die Exchange Eigenschaften zu verwalten.
Zielumgebung
Wer heute gleich mit Exchange Online anfängt und gar keine lokalen Exchange Server mehr installieren will, wird sich verwundert die Augen reiben, dass er dennoch das lokale Active Directory mit einem Exchange Schema erweitern und einen Exchange Server installieren muss. Das gilt immer dann, wenn Sie mit ADSync mit Exchange einsetzen wollen. Sobald ADSync eingerichtet ist, können Sie in Exchange Online keine Mailadressen oder ProxyAddresses mehr verwalten. Diese Attribute der Cloud-Identitäten sind auf einmal "ReadOnly" und müssen über die lokale Exchange Installation verwaltet werden.
Noch ist nicht absehbar, wann Microsoft diesen Zwang lockert. Es wäre durchaus denkbar die Verwaltung in der Cloud frei zu geben, wenn man z.B.: ADSync ohne Exchange Option eingerichtet hat.
Aber auf dieser Seite gehen wir davon aus, dass Sie eine vollständige Exchange Umgebung haben, die auf eine minimalen lokale Umgebung zurückgebaut werden soll.
Ausgangsumgebung
Ich gehe davon aus, dass Sie vor einiger Zeit mit Exchange On-Premises begonnen und dann den klassischen Hybrid Mode eingerichtet haben und auch immer noch betreiben mit:
- ADSync mit Exchange Synchronisation
- Autodiscover verweist auf On-Premises
- EWS zumindest für Office 365 erreichbar
- Microsoft Federation Gateway
- Mailrouting mit Connectoren
-
Hybrid Connector Server
Ein Server bleibt übrig und sollte bereits installiert worden sein.
Allerdings "tun" die Server idealerweise nichts mehr, d.h. sind lastfrei und enthalten keine Daten. Wenn Sie viele Server haben, könnten Sie durchaus schon einige Server selbst deinstalliert haben. Das ist nicht sonderlich schwer, da das Exchange Setup schon meckert, wenn noch Daten auf den Servern sind. Es beschwert sich aber nicht, wenn ein Server z.B. noch als Frontend für Client-Zugriffe oder SMTP-Verkehr bedient. Hier müssen sie selbst die Augen aufmachen und die Logs auswerten.
Checklist
Checklisten helfen bestimmte Routinetätigkeiten strukturiert und fehlerarm durchzuführen. Sie unterliegen natürlich einer kontinuierlichen Anpassung und ersetzen nicht den eigenen Kopf.
Prüfpunkt | Erledigt |
---|---|
On-Premises ObjekteAuf den lokalen Servern sollten natürlich keine Postfächer mehr liegen. Das Exchange Setup verhindert zwar die Installation aber da die Migration in die Cloud je nach Bandbreite auch länger dauern kann, sollten Sie mal schnell den aktuellen Status mit den beiden Commandlets prüfen. Set-ADServerSetting -ViewEntireForest $true Get-Mailbox Get-PublicFolder Get-MailPublicFolder
|
|
On-Premises Mailrouting / Client AccessDas Exchange Setup kontrolliert nur Datenspeicher (Mailbox, Public Folder) aber keine sonstigen Funktionen. Ehe Sie einen Server abschalten, sollten Sie die IIS/POP3/IMAP4-Logs und SMTP-Logs prüfen, ob hier noch Clients sich verbinden.
|
|
Mailrouting via CloudDamit die Mails später über die Cloud gesendet und empfangen werden, sind ein paar Einstellungen erforderlich
|
|
Hybrid Server bestimmenEin Server muss bestehen bleiben. Das kann ein bestehender Server oder auch ein neuer Server sein. Wer heute schon Exchange 2016 Server hat, die von der Installation und Hardware auch noch weiter betrieben werden sollen, kann einen oder zwei Server davon weiter betreiben. Bei den meisten Firmen ist es aber so, dass eine Migration von Exchange 2010/2013/2016 in die Cloud erfolgt, weil die Hardware schon "älter" ist und die Kosten für Wartung und Betrieb mit reduziert werden sollen. Dann kann es eine Option sein, eine VM mit Exchange 2016 als reinen Provisioning-Server mit vielleicht etwas Mailrouting aufzubauen. Theoretisch könnten Sie auch einen DC samt dem Exchange als AzureVM betreiben. Wenn Sie aber so "klein" sind, dass es lokal gar keine Server mehr gibt, dann könnte auch der Verzicht auf ADSync eine Option darstellen. |
|
Public Folder in die CloudWenn sie auch zukünftig mit öffentlichen Ordnern in der Cloud arbeiten will, dar beim Umzug nicht vergessen, am Ende den Switch durchzuführen und die Clients generell in die Cloud zu verweisen. Prüfen Sie dies mit: Get-Organizationconfig | fl PublicFoldersEnabled Hier sollte ein "Remote" oder "Null" aber nicht "Local" rauskommen. Geändert wird dies dann mit: Set-Organizationconfig ` -PublicFoldersEnabled remote Noch einfacher ist es natürlich, wenn Sie gar keine öffentlichen Ordner mehr nutzen Set-Organizationconfig ` -PublicFoldersEnabled none ` -RemotePublicFolderMailboxes $null Danach können Sie eventuell lokal vorhandene öffentliche Ordner, Öffentliche Ordner Datenbanken (bis Ex2010) oder auch öffentliche Order Postfächer (Ab Ex2013) entfernen. |
|
Autodisover in die CloudEs gibt keine lokalen Informationen mehr. Dann ist es auch an der Zeit die Funktion "Autodiscover" in die Cloud zu lenken. Ändern Sie dazu die DNS-Einträge in den DNS-Zonen ihrer SMTP-Domänen auf den Wert, den ihnen Office 365 vorgibt. DNS-Änderungen werden abhängig vom TimeToLive (TTL)-Feld des Eintrags propagiert. Es kann also einige Stunden dauern, bis Clients im Internet dies übernehmen. Kontrollieren Sie einfach ihren bislang extern veröffentlichten Webservice, wie die Anfragen abnehmen. Auch interne Clients müssen diese URLs gegen das Internet auflösen. Wenn Sie eine "Split-DNS"-Konfiguration fahren, bei denen intern Clients eine interne gleichnamige DNS-Zone auflösen, dann sollten Sie dort den Autodiscover-Eintrag addieren. Outlook 365 ist davon nicht mehr abhängig sondern nutzt als Fallback auch immer noch s-autodiscover.outlook.com, um solche Fehlkonfigurationen zu umschiffen. Aber es gibt ja noch andere Dienste, die auf "Autodiscover" aufsetzen. Autodiscover ist natürlich auch intern vorhanden und Outlook erfragt dazu per LDAP vom Domain Controller die Autodiscover-URL. Diese URL sollten wir auf allen internen Servern auf $null setzen, damit Outlook und Co auf DNS schwenken. # Exchange 2010 und neuer Get-ClientAccesServer ` | Set-ClientAccessSerer ` -AutoDiscoverServiceInternalUri $null #Exchange 2016 und hoeher Get-ClientAccesService ` | Set-ClientAccessService ` -AutoDiscoverServiceInternalUri $null Damit sollte Outlook den Schwenk auf DNS vollziehen und keine lokalen Exchange Server mehr benötigen. |
|
Postfachdatenbanken entfernenWenn die Server nicht mehr tun, dann können Sie zurück gebaut werden. Die Frontend-Rolle (bis Exchange 2010 auch CAS und HubTransport genannt) kann einfach so mit deinstalliert werden. Die Postfachrolle muss erst von seinen Datenbanken befreit werden.
|
|
Hybrid Konfiguration entfernenDurch die Einrichtung des HCW - Hybrid Configuration Wizard werden nicht nur Einstellungen in der Cloud und On-Premises vorgenommen sondern auch die eigentliche Konfiguration in einem Konfigurationsdokument gespeichert. Dies ist ein nicht einsehbares Objekt im Active Directory, damit beim nächsten Aufruf des HCW die gleichen Einstellungen wieder vorgeschlagen werden. Diese Konfiguration sollte entsprechend entfernt werden. Remove-HybridConfiguration Hinweis:
Kling einfach und ist auch einfach. Ich mache hier auch nichts anderes als über die Systemsteuerung Exchange zu deinstallieren. Sollte ich in der Vorbereitung etwas vergessen haben, dann wird mich das Setup mit einer Fehlermeldung stoppen und mir die Gelegenheit geben, die vergessenen Daten zu verschieben oder zu entfernen. |
|
Server deinstallierenKling einfach und ist auch einfach. Ich mache hier auch nichts anderes als über die Systemsteuerung Exchange zu deinstallieren. Sollte ich in der Vorbereitung etwas vergessen haben, dann wird mich das Setup mit einer Fehlermeldung stoppen und mir die Gelegenheit geben, die vergessenen Daten zu verschieben oder zu entfernen. Wenn Sie den allerletzten Server deinstallieren, können Sie sich auch überlegen, die komplette Organisation zu entfernen. Das ist aber nur möglich, wenn Sie kein Exchange mehr benötigen und auch nicht per ADSync noch Exchange Online angebunden haben. |
|
DMARC und SPFNachdem sichergestellt ist, dass keine Mails mehr von den lokalen Servern ins Internet gehen und jeder Versand z.B. durch die Cloud übertragen wird, können Sie die Konfiguration von SPF und DMARC etwas strenger fassen.
|
|
Dies ist ein Zwischenstand vom Oktober 2019. Sie können sicher sein, dass zukünftige Umstellungen natürlich berücksichtigt werden. Wenn Sie aber noch einen wichtigen Schritt vermissen. dann schreiben Sie mir doch einfach Kontakt
Zwischenstand
Mit diesen Schritten sollten Sie nun ihre Exchange On-Premises Umgebung soweit zurück gebaut haben, dass vor Ort nur noch ein kleiner Hybrid Connector Server läuft, welchen Sie weiter zu Verwaltung der Exchange Empfänger nutzen müssen und der zugleich weiterhin "Brückenkopf" für SMTP sein kann. Ihr Exchange Online Tenant kann weiterhin per TLS gesichert Mails an Subdomains senden, über die sie On-Premises andere Dienste anbinden, z.B. ERP, CRM, Helpdesk, Monitoring etc. und lokale Dienste können Mails intern an dem Hybrid Connector Server abliefert, die von dort dann gesichert und am Spamfilter der Cloud vorbei in ihren Tenant zugestellt werden.
Sie könnten den Hybrid-Mode sogar noch weiter zurück bauen, indem Sie Federation Gateway Organization Trust und SMTP-Connectoren entfernen, so dass am Ende nur noch der Exchange Rumpf-Server zum Provisioning übrig bleibt.
Ich persönlich lasse aber Hybrid am Ende noch bestehen, da speziell das "sicherere Mailrouting" mit On-Premises Diensten den meisten Kunden wichtig ist.
Weitere Links
- Hybrid Connector Server
- Exchange Hybrid Migration
- ADSync mit Exchange
- Exchange Server Deinstallation
- DMARC
- Spam und UCE - Filter: DKIM
- Spam und UCE - Filter: SPF, SenderID
- Checklisten
- Decommissioning Exchange 2010 server in
a Hybrid environments – The fastest way..
http://marcoschiavon.net/decommissioning-exchange-2010-server-in-a-hybrid-environments-the-fastest-way/ - How to remove the Exchange Autodiscover
SCP
http://jetzemellema.blogspot.com/2015/10/how-to-remove-exchange-autodiscover-scp.html