Microsoft 365 Domain übernehmen
Eine DNS-Domain kann es im Internet nur genau einmal geben und genau genommen kann sie auch nur genau einem Microsoft 365 Tenant zugewiesen sein. Es gibt Ausnahmen wie dem SMTP-Sharing aber als UPN-Domain kann eine DNS-Domäne immer nur einem Tenant zugewiesen werden.
Wichtig: Die Übernahme einer DNS-Domain aus eine anderen Tenant funktioniert nur, wenn es sich bei der Quelle um einen Viralen Tenant handelt oder die Domain in der Quelle nicht verifiziert ist. Sobald die Domain in der Quelle verifiziert ist, geht ein Domainumzug nur nachdem der Administrator der Quelle die Domain entfernt hat.
Es gibt Webseiten und Blogs, die etwa anderes suggerieren, nicht deutlich auf den Sachverhalt hinweisen oder schlicht den Unterschied nicht kennen.
Domains im Tenant
Ob eine DNS-Domain in einem Tenant bereits registriert ist, können Sie über verschiedene REST-APIs etc. ermitteln oder sie versuchen einfach die Domain in ihrem Tenant anzulegen und zu verifizieren. Hier sehen Sie dann spätestens die Fehlermeldung:
Das ist aber nur das Microsoft Admin Portal. Aber auch im Azure Portal bekomme ich nur die gleiche Option angeboten aber ohne Information über den Administrator.
Die Links gehen zu folgenden Seiten und helfen nicht viel weiter.
- Add a custom domain name in Microsoft
Entra
https://go.microsoft.com/fwlink/?linkid=838494 - Federated and managed domain names
https://go.microsoft.com/fwlink/?linkid=846340 - Domain names in Microsoft Entra and
other Microsoft Online Services
https://go.microsoft.com/fwlink/?linkid=846341
Domain verfügbar?
Der saubere Weg besteht darin, die Domain aus dem bisherigen Tenant zu löschen. Dazu müssen Sie natürlich erst einmal die Domain "freimachen", d.h. die Exchange Empfänger dürfen diese Domain nicht mehr durch ADSync als Mail-Adresse, ProxyAddresses, UPN etc. repliziert bekommen. Wenn der Administrator in der Quelle dann die Domain entfernt, wird Microsoft 365 dennoch prüfen, welche Auswirkungen es hat. Es gibt einige Einstellungen, die Microsoft 365 selbst bereinigen kann, z.B. Adressen bei Objekten, die in der Cloud verwaltet werden. Es könnte aber auch Eintragungen geben, an denen der Administrator eingreifen muss.
Wenn der Quelltenant später sowieso wegfallen soll, dann können Sie natürlich den Verzeichnisabgleich abschalten (Siehe Dirsync aus- und einschalten) und etwas warten, bis alle Benutzer und Gruppen von "DirSync" auf "Cloud-Managed" gewechselt sind. Dann sollte das Löschen der Domain in der Quelle einfach möglich sein, weil Microsoft 365 dann die Einträge löscht bzw. auf die "<tenantname>.onmicrosoft.com" umstellt.
Ob der Neueintrag einer Domäne in einem Zieltenant funktioniert, hängt aber von dem aktuellen Zustand ab:
Domain | Beschreibung |
---|---|
Nicht in Microsoft 365 registriert |
Neueintragung kann in wenigen Minuten erfolgen |
Viral/Unverifiziert |
Die Domain ist in einem anderen Tenant eingetragen aber wurde dort nie per DNS-Eintrag verifiziert. Dann Sie sie nicht gegen eine Verwendung in einem anderen Tenant geschützt und kann innerhalb weniger Minuten im gewünschten Tenant addiert und verifiziert werden. |
Verifiziert |
Die Domain ist in einem anderen Tenant eintragen und wurde verifiziert. Ab dem Moment kann sie in dem Tenant auch als Mail-Domain, UPN-Domain u.a. genutzt werden und ist gegen eine Eintragung in einem anderen Tenant geschützt. Das ist wichtig bei Firmenverkäufen. Es reicht nicht, wenn der Verkäufer die DNS-Domain an den Käufer überträgt. Er muss sich auch verpflichten, die Domain in seinem Tenant zu einem bestimmten Zeitpunkte zu entfernen! Knifflig wird das, wenn die Domain in einem Tenant hinterlegt ist, zu dem niemand mehr die Zugangsdaten kennt. In dem Fall müssen Sie mit Microsoft versuchen, Admin-Zugriff auf den Tenant zu erhalten. Der Prozess dauert aber länger, da Microsoft sich natürlich absichert, ob dieser Wunsch berechtigt ist. Es könnte ja Daten in dem Tenant liegen. Auf Wer nutzt Office 365 und wie? habe ich beschrieben, wie Sie zu einer Domain den Tenant-Namen und Tenant-Status ermitteln. Vielleicht versuchen Sie mal, ob Sie sich als "admin@<tenantname>.onmicrosoft.com anmelden können und über die "Kennwort vergessen"-Funktion könnten Sie einen Teil der Recovery-Mailadresse erhalten und einer Person zuordnen. |
Alte TXT-Records mit MS=xxxxxx stören übrigens nicht bei der Übernahme. Sie werden von Microsoft 365 nur einmalig bei der Verifikation eingelesen und können danach wieder entfernt werden.
Domainumzug zwischen Tenants
Wenn Sie eine Domain von einem Tenant zu anderen umziehen, dann, dann ist die Kurzform:
- Anmelden als Admin am abgebenden Tenant
- Löschen der Domain
(dabei werden dann alle UPNs auf <tenantname>.onmicrosoft.com umgestellt. Eventuell gibt es noch Exchange Mailboxen etc. Das entfernen kann also schon etwas dauern. Auch die Benutzer samt Daten bleiben erhalten, solange noch Lizenzen zugewiesen sind. Die User können sich auch anmelden, wenn sie den richtigen neuen UPN kennen - Domain im Zieltenant einrichten
- Benutzer und Postfächer mit Mailadressen einrichten
Zwischen Schritt 2 und 4 vergehen je nach Umgebung einige Minuten und bis zu 72 Stunden. Wenn Mails an die alte Domain durch den MX-Record an Exchange Online gesendet wurden, dann ist in dieser Zeit nicht mehr zuständig und lehnt die Mails ab. Sie könnten daher vorher den MX-Record z.B. auf eine IP-Adresse umstellen, an der kein Mailserver auf Port 25 lauscht. Damit können andere Systeme die Mails nicht mehr zustellen und versuchen es meist 24h im Abstand von 15Min weiter. Dann können Sie in Ruhe die Domain und Empfänger einrichten und danach den MX-Record auf den richtigen Pool umstellen. Gerade beim Umzug der Domain zwischen geografischen Rechenzentren ändert sich gerne mal der MX-Eintrag.
Denken Sie auch daran, dass die Benutzer im Tenant mit der gleichen UPN-Adresse dennoch neue Objekte sind und z.B. Gastzugriffe in anderen Tenants wieder neu einzurichten sind.
Domain Umzug ohne Hilfe
Da es im Internet immer wieder Hinweise gibt, dass eine Domain auch ohne Mithilfe der abgebenden Seite umgezogen werden kann, habe ich das im Okt 2023 durchgespielt:
Beschreibung | PowerShell |
---|---|
Status im QuelltenantZuerst habe ich mit einen Tenant gesucht, in dem eine Domain verifiziert ist, die ich umziehen kann. Mein "msxfaqlab.onmicrosoft.com" hat mit der alten lyncfaq.net eine Domain, die sogar noch im DNS mit einem obsoleten TXT-Record versehen ist und zwei Benutzer hat. |
# Quelltenant PS C:\ > Connect-MSOLService PS C:\ > Get-MsolDomain Name Status Authentication ---- ------ -------------- msxfaqlab.onmicrosoft.com Verified Managed msxfaqlab.de Verified Managed lyncfaq.net Verified Managed PS C:\ > nslookup -q=TXT lyncfaq.net lyncfaq.net text = "MS=ms53773727" PS C:\ > Get-MsolUser UserPrincipalName DisplayName ----- ------------- user2@lyncfaq.net user2 fctest6@lyncfaq.net fctest6 |
Addieren im ZielIch habe dann im Ziel diese Domain erst einmal "unverifiziert" addiert, um den DNS-Eintrag zu erhalten. |
# Zieltenant PS C:\ > Connect-MSOLService PS C:\ > New-MsolDomain -name lyncfaq.net Name Status Authentication ---- ------ -------------- lyncfaq.net Unverified Managed PS C:\ > Get-MsolDomainVerificationDns -DomainName lyncfaq.net -Mode DNSTxtRecord Label : lyncfaq.net Text : MS=ms81973983 Ttl : 3600 |
DNS-EintragDen angezeigten TXT-Eintrag habe ich dann beim DNS-Provider eingetragen und mit NSLOOKUP geprüft. |
PS C:\ > nslookup -q=TXT lyncfaq.net lyncfaq.net text = "MS=ms81973983" lyncfaq.net text = "MS=ms53773727" |
Freundliche VerifizierungZuerst habe ich versucht diese Domain zu verifizieren, was natürlich nicht funktioniert hat |
PS C:\ > Confirm-MsolDomain -DomainName lyncfaq.net Confirm-MsolDomain : Unable to verify this domain because it is used elsewhere in Office 365. Remove the verified domain from the other service before adding it here. |
Force VerifizierungDann habe ich versucht, mit dem Parameter "-ForceTakeOver", was den gleichen Fehler produziert hat |
PS C:\ > Confirm-MsolDomain -DomainName lyncfaq.net -ForceTakeover force -Verbose Confirm-MsolDomain : Unable to verify this domain because it is used elsewhere in Office 365. Remove the verified domain from the other service before adding it here. |
Hier noch mal ein Bild des Fehlers:
Es geht also nur, wenn in dem anderen Tenant die Domain entfernt wird. Damit stellt sich die Frage, wie sie den Administrator des Tenants ermitteln, welcher aktuell diese Domain blockiert.
Weitere Links
- Viraler Tenant
- Dirsync aus- und einschalten
- Take over an unmanaged directory as administrator in Microsoft Entra ID
https://learn.microsoft.com/en-us/entra/identity/users/domains-admin-takeover - Add a custom domain name in Microsoft Entra
https://go.microsoft.com/fwlink/?linkid=838494 - Federated and managed domain names
https://go.microsoft.com/fwlink/?linkid=846340 - Domain names in Microsoft Entra and other Microsoft Online Services
https://go.microsoft.com/fwlink/?linkid=846341 - Übernahme einer Microsoft 365 Schattendomäne
https://granikos.eu/uebernahme-einer-microsoft-365-schattendomaene/ - Office 365 domain ForceTakeOver
https://blog.thenetw.org/2019/09/17/office-365-domain-forcetakeover/ - How to do a Forceful Domain Admin take over in Office 365
http://www.thatlazyadmin.com/2020/04/02/how-to-do-a-forceful-domain-admin-take-over-in-office-365/