Microsoft 365 Domain übernehmen

Eine DNS-Domain kann es im Internet nur genau einmal geben und genau genommen kann sie auch nur genau einem Microsoft 365 Tenant zugewiesen sein. Es gibt Ausnahmen wie dem SMTP-Sharing aber als UPN-Domain kann eine DNS-Domäne immer nur einem Tenant zugewiesen werden.

Wichtig: Die Übernahme einer DNS-Domain aus eine anderen Tenant funktioniert nur, wenn es sich bei der Quelle um einen Viralen Tenant handelt oder die Domain in der Quelle nicht verifiziert ist. Sobald die Domain in der Quelle verifiziert ist, geht ein Domainumzug nur nachdem der Administrator der Quelle die Domain entfernt hat.

Es gibt Webseiten und Blogs, die etwa anderes suggerieren, nicht deutlich auf den Sachverhalt hinweisen oder schlicht den Unterschied nicht kennen.

Domains im Tenant

Ob eine DNS-Domain in einem Tenant bereits registriert ist, können Sie über verschiedene REST-APIs etc. ermitteln oder sie versuchen einfach die Domain in ihrem Tenant anzulegen und zu verifizieren. Hier sehen Sie dann spätestens die Fehlermeldung:

Das ist aber nur das Microsoft Admin Portal. Aber auch im Azure Portal bekomme ich nur die gleiche Option angeboten aber ohne Information über den Administrator.

Die Links gehen zu folgenden Seiten und helfen nicht viel weiter.

Domain verfügbar?

Der saubere Weg besteht darin, die Domain aus dem bisherigen Tenant zu löschen. Dazu müssen Sie natürlich erst einmal die Domain "freimachen", d.h. die Exchange Empfänger dürfen diese Domain nicht mehr durch ADSync als Mail-Adresse, ProxyAddresses, UPN etc. repliziert bekommen. Wenn der Administrator in der Quelle dann die Domain entfernt, wird Microsoft 365 dennoch prüfen, welche Auswirkungen es hat. Es gibt einige Einstellungen, die Microsoft 365 selbst bereinigen kann, z.B. Adressen bei Objekten, die in der Cloud verwaltet werden. Es könnte aber auch Eintragungen geben, an denen der Administrator eingreifen muss.

Wenn der Quelltenant später sowieso wegfallen soll, dann können Sie natürlich den Verzeichnisabgleich abschalten (Siehe Dirsync aus- und einschalten) und etwas warten, bis alle Benutzer und Gruppen von "DirSync" auf "Cloud-Managed" gewechselt sind. Dann sollte das Löschen der Domain in der Quelle einfach möglich sein, weil Microsoft 365 dann die Einträge löscht bzw. auf die "<tenantname>.onmicrosoft.com" umstellt.

Ob der Neueintrag einer Domäne in einem Zieltenant funktioniert, hängt aber von dem aktuellen Zustand ab:

Domain Beschreibung

Nicht in Microsoft 365 registriert

Neueintragung kann in wenigen Minuten erfolgen

Viral/Unverifiziert

Die Domain ist in einem anderen Tenant eingetragen aber wurde dort nie per DNS-Eintrag verifiziert. Dann Sie sie nicht gegen eine Verwendung in einem anderen Tenant geschützt und kann innerhalb weniger Minuten im gewünschten Tenant addiert und verifiziert werden.

Verifiziert

Die Domain ist in einem anderen Tenant eintragen und wurde verifiziert. Ab dem Moment kann sie in dem Tenant auch als Mail-Domain, UPN-Domain u.a. genutzt werden und ist gegen eine Eintragung in einem anderen Tenant geschützt.

Das ist wichtig bei Firmenverkäufen. Es reicht nicht, wenn der Verkäufer die DNS-Domain an den Käufer überträgt. Er muss sich auch verpflichten, die Domain in seinem Tenant zu einem bestimmten Zeitpunkte zu entfernen!

Knifflig wird das, wenn die Domain in einem Tenant hinterlegt ist, zu dem niemand mehr die Zugangsdaten kennt. In dem Fall müssen Sie mit Microsoft versuchen, Admin-Zugriff auf den Tenant zu erhalten. Der Prozess dauert aber länger, da Microsoft sich natürlich absichert, ob dieser Wunsch berechtigt ist. Es könnte ja Daten in dem Tenant liegen.

Auf Wer nutzt Office 365 und wie? habe ich beschrieben, wie Sie zu einer Domain den Tenant-Namen und Tenant-Status ermitteln. Vielleicht versuchen Sie mal, ob Sie sich als "admin@<tenantname>.onmicrosoft.com anmelden können und über die "Kennwort vergessen"-Funktion könnten Sie einen Teil der Recovery-Mailadresse erhalten und einer Person zuordnen.

Alte TXT-Records mit MS=xxxxxx stören übrigens nicht bei der Übernahme. Sie werden von Microsoft 365 nur einmalig bei der Verifikation eingelesen und können danach wieder entfernt werden.

Domainumzug zwischen Tenants

Wenn Sie eine Domain von einem Tenant zu anderen umziehen, dann, dann ist die Kurzform:

  1. Anmelden als Admin am abgebenden Tenant
  2. Löschen der Domain
    (dabei werden dann alle UPNs auf <tenantname>.onmicrosoft.com umgestellt. Eventuell gibt es noch Exchange Mailboxen etc. Das entfernen kann also schon etwas dauern. Auch die Benutzer samt Daten bleiben erhalten, solange noch Lizenzen zugewiesen sind. Die User können sich auch anmelden, wenn sie den richtigen neuen UPN kennen
  3. Domain im Zieltenant einrichten
  4. Benutzer und Postfächer mit Mailadressen einrichten

Zwischen Schritt 2 und 4 vergehen je nach Umgebung einige Minuten und bis zu 72 Stunden. Wenn Mails an die alte Domain durch den MX-Record an Exchange Online gesendet wurden, dann ist in dieser Zeit nicht mehr zuständig und lehnt die Mails ab. Sie könnten daher vorher den MX-Record z.B. auf eine IP-Adresse umstellen, an der kein Mailserver auf Port 25 lauscht. Damit können andere Systeme die Mails nicht mehr zustellen und versuchen es meist 24h im Abstand von 15Min weiter. Dann können Sie in Ruhe die Domain und Empfänger einrichten und danach den MX-Record auf den richtigen Pool umstellen. Gerade beim Umzug der Domain zwischen geografischen Rechenzentren ändert sich gerne mal der MX-Eintrag.

Denken Sie auch daran, dass die Benutzer im Tenant mit der gleichen UPN-Adresse dennoch neue Objekte sind und z.B. Gastzugriffe in anderen Tenants wieder neu einzurichten sind.

Domain Umzug ohne Hilfe

Da es im Internet immer wieder Hinweise gibt, dass eine Domain auch ohne Mithilfe der abgebenden Seite umgezogen werden kann, habe ich das im Okt 2023 durchgespielt:

Beschreibung PowerShell

Status im Quelltenant

Zuerst habe ich mit einen Tenant gesucht, in dem eine Domain verifiziert ist, die ich umziehen kann. Mein "msxfaqlab.onmicrosoft.com" hat mit der alten lyncfaq.net eine Domain, die sogar noch im DNS mit einem obsoleten TXT-Record versehen ist und zwei Benutzer hat.

# Quelltenant
PS C:\ > Connect-MSOLService
PS C:\ > Get-MsolDomain

Name                       Status    Authentication
----                       ------    --------------
msxfaqlab.onmicrosoft.com  Verified  Managed
msxfaqlab.de               Verified  Managed
lyncfaq.net                Verified  Managed

PS C:\ > nslookup -q=TXT lyncfaq.net
lyncfaq.net text = "MS=ms53773727"

PS C:\ > Get-MsolUser
UserPrincipalName   DisplayName
-----               -------------
user2@lyncfaq.net   user2 
fctest6@lyncfaq.net fctest6

Addieren im Ziel

Ich habe dann im Ziel diese Domain erst einmal "unverifiziert" addiert, um den DNS-Eintrag zu erhalten.

# Zieltenant
PS C:\ > Connect-MSOLService
PS C:\ > New-MsolDomain -name lyncfaq.net
Name         Status      Authentication
----         ------      --------------
lyncfaq.net  Unverified  Managed

PS C:\ > Get-MsolDomainVerificationDns -DomainName lyncfaq.net -Mode DNSTxtRecord
Label : lyncfaq.net
Text : MS=ms81973983
Ttl : 3600

DNS-Eintrag

Den angezeigten TXT-Eintrag habe ich dann beim DNS-Provider eingetragen und mit NSLOOKUP geprüft.

PS C:\ > nslookup -q=TXT lyncfaq.net

lyncfaq.net text = "MS=ms81973983"
lyncfaq.net text = "MS=ms53773727"

Freundliche Verifizierung

Zuerst habe ich versucht diese Domain zu verifizieren, was natürlich nicht funktioniert hat

PS C:\ > Confirm-MsolDomain -DomainName lyncfaq.net

Confirm-MsolDomain : Unable to verify this domain because it 
is used elsewhere in Office 365. Remove the verified domain 
from the other service before adding it here.

Force Verifizierung

Dann habe ich versucht, mit dem Parameter "-ForceTakeOver", was den gleichen Fehler produziert hat

PS C:\ > Confirm-MsolDomain -DomainName lyncfaq.net -ForceTakeover force -Verbose
Confirm-MsolDomain : Unable to verify this domain because it 
is used elsewhere in Office 365. Remove the verified domain 
from the other service before adding it here.

Hier noch mal ein Bild des Fehlers:

Es geht also nur, wenn in dem anderen Tenant die Domain entfernt wird. Damit stellt sich die Frage, wie sie den Administrator des Tenants ermitteln, welcher aktuell diese Domain blockiert.

Weitere Links