Exchange Edge zurückbauen

DNS und Firewall konfigurieren

Wenn Exchange OnPremises selbst die Mails versenden soll, dann müssen natürlich die geplanten Transportserver die Ziele auflösen und erreichen können. Prüfen Sie daher:

• DNS Auflösung mit NSLOOKUP
  Wenn ein SendConnector die Mails per MX-Lookup zustellen, dann muss der Exchange Server die passenden Server finden.
• Firewall SMTP-Port Erreichbarkeit
  Die meisten Mails werden an den Port 25 der Gegenstelle übertragen. Kontrollieren Sie z.B. mit Telnet die Erreichbarkeit der Server.
• Firewall NAT-Rule
  Prüfen Sie, mit welcher IP-Adresse sich ihre neuen Sender bei der Gegenseite melden und ob die Gegenseite aufgrund der Source-IP abweichende Konfigurationen hat.

Zertifikate

Bislang hat der Edge-Server die Zertifikat, mit denen er sich per MTLS bei der Gegenseite ausweisen kann. Dies gilt insbesondere für die Hybrid-Bereitstellung. Stellen Sie daher sicher, dass die zukünftigen Transportserver die entsprechenden Zertifikate haben, um sich genauso ausweisen zu können, z.B. indem sie das Zertifikat des Edge Servers mit auf den Frontend kopieren.

Source Bridgehead ändern

Nun kommt der Moment, wo sie im Send-Connector die Edge Server entfernen und nach und nach die neuen Transportserver einsetzen. Ab sofort sollten dann die Mails über die neuen Server laufen. Exchange übernimmt nach erfolgreicher AD-Replikation die Änderungen in der Regel innerhalb weniger Sekunden.

Verifikation

Natürlich sollten Sie das neue Mailrouting prüfen. Vielleicht sollten Sie sich schon vorher ein paar Testmails bereitlegen, die sie schnell abfeuern können und das Zielpostfach geöffnet haben.

• Get-Queue
  Sie sollten auf den Servern mit Get-Queue sehr schnell sehen, dass nun der neue Connector genutzt wird oder Mails in der Warteschlange auflaufen
• Get-Messagetrackinglog
  Auf dem Server können Sie natürlich ihre Testmail nachverfolgen und über den Status SMTP/SEND oder SMTP/SENDEXTERNAL erkennen, welche
• Get-DNSClientCache / Get-NetTCPConection / NETSTAT
  Auch mit der PowerShell können Sie schaue, ob der Server den Namen korrekt aufgelöst hat und es Verbindungsversuche gibt
• WireShark und Firewall-Protokolle
  In schweren Fällen sind natürlich diese Tools hilfreich.
• Zielpostfach
  Wenn die Mail ankommt, dann sollten im Ziel kontrollieren, das beim Hybrid-Routing auch die Mail als "intern" klassifiziert wird, d.h. die Absenderadresse wurde aufgelöst und zeigt keine SMTP-Adresse dahinter und wenn Sie die Funktion External Sender Identification aktiv haben, sollten die Mails nicht entsprechend markiert sein.

Bei Problemen können Sie die Konfiguration immer wieder zurückdrehen.

DNS und Firewall konfigurieren

Auch hier fangen wir erst einmal damit an, dass die zukünftigen Exchange Server von allen Gegenstellen erreichbar sein müssen, die heute schon zum Edge-Server gehen. Da aber Exchange Transportserver meist intern stehen, müssen Sie für eine externe Erreichbarkeit mit NAT arbeiten. Wenn Sie aber die aktuell vom Edge-Server vorhandene IP-Adresse auf die neuen Server umstellen wollen, dann geht das erst nachdem ihre Exchange Konfiguration passt.

Receive Connector

Der "Default Frontend <Servername>"-Receiveconnector in Exchange" nutzt ein "SelfSigned-Zertifikat und nimmt nur authentifizierte Verbindungen an. In Verbindung mit einem Edge Server, der anonyme Verbindungen von extern annimmt und dann authentifiziert zum Transportserver sendet, ist das Setup sogar perfekt und sicher. Allerdings habe ich fast immer damit zu tun, dass die Konfiguration gleich nach der Installation angepasst wird z.B. dass auch der interne Exchange Server anonym Mails von intern annimmt. In größeren Umgebungen gibt es häufig Loadbalancer die mit virtuellen Namen arbeiten. Entsprechend wurden schon die Zertifikat geändert und der "HELO-String angepasst. Hier kann es dann knifflig werden die eingehenden Verbindungen auf den Edge-Server zu addieren. insbesondere die Hybrid-Verbindung ist hier zu beachten, da Exchange Online nur ein offizielles Zertifikate mit dem vorgegebenen Namen akzeptiert.

Mal eben schnell das Edge-Zertifikat auf dem Default Frontend Receive Connector zu binden, kann den Empfang von internen Absendern stören, die das Zertifikat nicht erwarten.

Eine Lösung könnte sein, den Servern je eine zusätzliche IP-Adresse zu geben und einen eigenen Receive Connector analog zum Receive Connector des Edge-Servers samt Zertifikat zu konfigurieren. Das könnte dann parallel zu ihren Connectoren erfolgen. Allerdings wird der nächste HCW-Lauf mit den neuen Parametern die Konfiguration des Default Frontende Receive Connectors überschreiben.

Vergessen Sie dabei nicht auch die folgende Option beim Receive Connector zu setzen.

TlsDomainCapabilities : {mail.protection.outlook.com:AcceptCloudServicesMail}

Es schadet normalerweise nicht, diese Einstellung auf mehreren Connectoren zu setzen, wenn Sie nicht genau wissen, welcher für den Hybrid-Empfang genutzt werden wird. Welcher Weg für ihre Umgebung richtig ist, müssen Sie selbst oder mit Hilfe eines Dienstleisters festlegen.

Eingehendes Routing umschwenken

Wenn die Frontend Transport Server die konfiguriert sind, können Sie die eingehende NAT-Regel oder Konfiguration des Loadbalancers anpassen, dass die Verbindungen nicht mehr zu den Edge-Server sondern den Frontend Transport Servern gehen.

Routing Testen

Nach der Umstellung sollten Sie nun die entfernten Absender bitten, eine Test-Mail zu senden. Beim Hybrid-Routing sollte eine Mail von Exchange Online an ein OnPremises Postfach nicht nur ankommen, sondern auch als authentifiziert klassifiziert sein. Sie erkennen das daran, dass die Absenderadresse der empfangenen Mail nur den Displaynamen und keine SMTP-Adresse zeigt.

Messagetracking

Kontrollieren Sie per Messagetracking, dass keine Mails mehr ankommen. Sollten noch Mails ankommen, dann versucht der Edge-Server diese weiterhin zuzustellen. Ob dies gelingt, hängt von der Art ihrer Umstellung ab. In der Regel funktioniert die Zustellung zu den internen Exchange Servern weiterhin, da hier noch nichts geändert wurde. Ein Versand ins Internet kann funktionieren, wenn die Firewall weiterhin die NAT-Funktion zulässt.

Exchange Queue

Auch mit "Get-Queue" können Sie gut erkennen, ob Mails auf dem Transport Server auflaufen. Normalerweise versucht auch ein Edge Server die Mails bis zu 24h weiter zuzustellen. Nur wenn die Gegenstelle die Annahme der Mail mit einer 5xx-Fehlermeldung ablehnt, würde der Edge Server eine Unzustellbarkeit senden und die Mail löschen. Durch die Umstellung sollten aber Mails weiterhin an die Ziele erfolgreich zugestellt werden oder eben mangels Erreichbarkeit in der Queue bleiben. Eine Garantie gibt es dafür aber nicht

Rückbau Exchange Edge

Wenn sie die Edge Server nach einigen Tagen nicht mehr benötigen, dann können Sie einfach die Server herunterfahren und für andere Zwecke verwenden. Sie können natürlich auch über das Setup die Exchange Rolle deinstallieren. Allerdings sind dann nur die Exchange Programme entfernt aber viele Voraussetzungen, Zertifikate, Logfiles weiter vorhanden. Ich würde so einen Server nicht ohne komplett Neuinstallation für andere Zwecke verwenden. Ein Edge-Server ist nicht Mitglied des internen Active Directory und kann einfach heruntergefahren werden. Dennoch kann er ins Management, Backup, Virenscanner etc. eingebunden sein. Vergessen Sie nicht ihn auch hier zu entfernen. Der letzte Schritt ist dann die Neuformatierung der Festplatten oder Deprovisionierung der VM.

Rückbau Edge Subscription

Auf den internen Exchange Servern müssen Sie nun nur noch die Edge-Subscription löschen. Damit "vergisst" Exchange die Server, so dass Sie nicht mehr in Connectoren erscheinen und der EdgeSync-Dienst versucht nicht weiter die Server anzusprechen.

Get-EdgeSubscription | Remove-EdgeSubscription

Rückbau DNS/Firewall

Die Server sind aus oder gelöscht aber die DNS-Namen könnten noch im DNS-Server sein und sicherlich gibt es noch die Regeln in der Firewall oder Loadbalancer, die die alten Edge Server referenzieren. Auch diese Einträge sollten Sie sauber entfernen.