Exchange Edge zurückbauen

Als Microsoft mit Exchange 2007 die neue "Edge-Rolle" eingeführt haben, wurde Sie als "DMZ-Relay mit Spamschutz, Rewriting, Empfängerfilterung" beschrieben. Die Funktion ist aber immer weniger wichtig, da insbesondere Spamfilter entweder über Exchange Online oder 3rd-Party Produkte wie NoSpamProxy u.a. bereitgestellt werden. Auch der "Zero Trust"-Ansatz hat die Bedeutung der DMZ reduziert und bei vielen Firmen ist es kein Problem mehr, dass die OnPremises Exchange Server zumindest direkt mit den Exchange Online Endpunkten über Port 25 sprechen dürfen. Für den Rückbau der Edge-Server habe ich mir folgende Checkliste gebaut und unterscheide je nach Richtung.

Ausgehend

Der Versand von Exchange OnPremises über die Exchange Edge Server kann meiner Ansicht nach etwas einfacher umgestellt werden, denn die Send-Connectoren werden heute schon "OnPremises" konfiguriert.

Schritt Erledigt

DNS und Firewall konfigurieren

Wenn Exchange OnPremises selbst die Mails versenden soll, dann müssen natürlich die geplanten Transportserver die Ziele auflösen und erreichen können. Prüfen Sie daher:

  • DNS Auflösung mit NSLOOKUP
    Wenn ein SendConnector die Mails per MX-Lookup zustellen, dann muss der Exchange Server die passenden Server finden.
  • Firewall SMTP-Port Erreichbarkeit
    Die meisten Mails werden an den Port 25 der Gegenstelle übertragen. Kontrollieren Sie z.B. mit Telnet die Erreichbarkeit der Server.
  • Firewall NAT-Rule
    Prüfen Sie, mit welcher IP-Adresse sich ihre neuen Sender bei der Gegenseite melden und ob die Gegenseite aufgrund der Source-IP abweichende Konfigurationen hat.

Zertifikate

Bislang hat der Edge-Server die Zertifikat, mit denen er sich per MTLS bei der Gegenseite ausweisen kann. Dies gilt insbesondere für die Hybrid-Bereitstellung. Stellen Sie daher sicher, dass die zukünftigen Transportserver die entsprechenden Zertifikate haben, um sich genauso ausweisen zu können, z.B. indem sie das Zertifikat des Edge Servers mit auf den Frontend kopieren.

Source Bridgehead ändern

Nun kommt der Moment, wo sie im Send-Connector die Edge Server entfernen und nach und nach die neuen Transportserver einsetzen. Ab sofort sollten dann die Mails über die neuen Server laufen. Exchange übernimmt nach erfolgreicher AD-Replikation die Änderungen in der Regel innerhalb weniger Sekunden.

Verifikation

Natürlich sollten Sie das neue Mailrouting prüfen. Vielleicht sollten Sie sich schon vorher ein paar Testmails bereitlegen, die sie schnell abfeuern können und das Zielpostfach geöffnet haben.

  • Get-Queue
    Sie sollten auf den Servern mit Get-Queue sehr schnell sehen, dass nun der neue Connector genutzt wird oder Mails in der Warteschlange auflaufen
  • Get-Messagetrackinglog
    Auf dem Server können Sie natürlich ihre Testmail nachverfolgen und über den Status SMTP/SEND oder SMTP/SENDEXTERNAL erkennen, welche
  • Get-DNSClientCache / Get-NetTCPConection / NETSTAT
    Auch mit der PowerShell können Sie schaue, ob der Server den Namen korrekt aufgelöst hat und es Verbindungsversuche gibt
  • WireShark und Firewall-Protokolle
    In schweren Fällen sind natürlich diese Tools hilfreich.
  • Zielpostfach
    Wenn die Mail ankommt, dann sollten im Ziel kontrollieren, das beim Hybrid-Routing auch die Mail als "intern" klassifiziert wird, d.h. die Absenderadresse wurde aufgelöst und zeigt keine SMTP-Adresse dahinter und wenn Sie die Funktion External Sender Identification aktiv haben, sollten die Mails nicht entsprechend markiert sein.

Bei Problemen können Sie die Konfiguration immer wieder zurückdrehen.

Besonders vorsichtige Administratoren können natürlich zuerst einen neuen Connector mit den gleichen Daten und einer Test-Domain anlegen und damit das Mailrouting prüfen. Das würde helfen, wenn aufgrund einer Fehlkonfiguration die Gegenseite ihren neuen Exchange Server.

Eingehend

Eingehendes Mailrouting scheint ähnlich zu sein aber ich habe die Erfahrung gemacht, dass hier meist etwas mehr Arbeit erforderlich sein kann. Dies gilt insbesondere, wenn eingehende Verbindungen per TLS abgesichert werden, muss Exchange das passende Zertifikat vorweisen. Im Gegensatz zu einem Webserver der per HostHeader auch mehrere Zertifikate unter einer Instanz nutzen kann, kann der Receive Connector immer nur genau ein Zertifikat binden. Eine Änderung des Zertifikats auf dem "Default Receive Connector" kann also andere eingehende Verbindungen unterbrechen. SAN-Zertifikate sind hilfreich aber wenn Sie intern mit privaten Namen arbeiten, bekommen Sie wieder keine öffentlichen Zertifikate. Diese Probleme haben Sie mit dem Edge-Server elegant umgangen, da er vor den Exchange Servern stand und schon immer einen eigenen Namen hatte.

Dennoch ist es möglich, die Edge Server auch für eingehende Verbindungen zu entfernen, wenn Sie umsichtig vorgehen.

Schritt Erledigt

DNS und Firewall konfigurieren

Auch hier fangen wir erst einmal damit an, dass die zukünftigen Exchange Server von allen Gegenstellen erreichbar sein müssen, die heute schon zum Edge-Server gehen. Da aber Exchange Transportserver meist intern stehen, müssen Sie für eine externe Erreichbarkeit mit NAT arbeiten. Wenn Sie aber die aktuell vom Edge-Server vorhandene IP-Adresse auf die neuen Server umstellen wollen, dann geht das erst nachdem ihre Exchange Konfiguration passt.

Receive Connector

Der "Default Frontend <Servername>"-Receiveconnector in Exchange" nutzt ein "SelfSigned-Zertifikat und nimmt nur authentifizierte Verbindungen an. In Verbindung mit einem Edge Server, der anonyme Verbindungen von extern annimmt und dann authentifiziert zum Transportserver sendet, ist das Setup sogar perfekt und sicher. Allerdings habe ich fast immer damit zu tun, dass die Konfiguration gleich nach der Installation angepasst wird z.B. dass auch der interne Exchange Server anonym Mails von intern annimmt. In größeren Umgebungen gibt es häufig Loadbalancer die mit virtuellen Namen arbeiten. Entsprechend wurden schon die Zertifikat geändert und der "HELO-String angepasst. Hier kann es dann knifflig werden die eingehenden Verbindungen auf den Edge-Server zu addieren. insbesondere die Hybrid-Verbindung ist hier zu beachten, da Exchange Online nur ein offizielles Zertifikate mit dem vorgegebenen Namen akzeptiert.

Mal eben schnell das Edge-Zertifikat auf dem Default Frontend Receive Connector zu binden, kann den Empfang von internen Absendern stören, die das Zertifikat nicht erwarten.

Eine Lösung könnte sein, den Servern je eine zusätzliche IP-Adresse zu geben und einen eigenen Receive Connector analog zum Receive Connector des Edge-Servers samt Zertifikat zu konfigurieren. Das könnte dann parallel zu ihren Connectoren erfolgen. Allerdings wird der nächste HCW-Lauf mit den neuen Parametern die Konfiguration des Default Frontende Receive Connectors überschreiben.

Vergessen Sie dabei nicht auch die folgende Option beim Receive Connector zu setzen.

TlsDomainCapabilities : {mail.protection.outlook.com:AcceptCloudServicesMail}

Es schadet normalerweise nicht, diese Einstellung auf mehreren Connectoren zu setzen, wenn Sie nicht genau wissen, welcher für den Hybrid-Empfang genutzt werden wird. Welcher Weg für ihre Umgebung richtig ist, müssen Sie selbst oder mit Hilfe eines Dienstleisters festlegen.

Eingehendes Routing umschwenken

Wenn die Frontend Transport Server die konfiguriert sind, können Sie die eingehende NAT-Regel oder Konfiguration des Loadbalancers anpassen, dass die Verbindungen nicht mehr zu den Edge-Server sondern den Frontend Transport Servern gehen.

Routing Testen

Nach der Umstellung sollten Sie nun die entfernten Absender bitten, eine Test-Mail zu senden. Beim Hybrid-Routing sollte eine Mail von Exchange Online an ein OnPremises Postfach nicht nur ankommen, sondern auch als authentifiziert klassifiziert sein. Sie erkennen das daran, dass die Absenderadresse der empfangenen Mail nur den Displaynamen und keine SMTP-Adresse zeigt.

Rückbau Edge Server

Nachdem das produktive Mailrouting an den Edge Servern vorbei erfolgt, sollten die Edge Server keinerlei Funktion mehr haben.

Theoretisch können Sie auch die Transport-Dienste stoppen. Allerdings ist dies nur dann eine gute Idee, wenn die Absender auch zeitnah bemerken, dass Sie ihre Mails nicht mehr versenden können. Das ist oft nicht der Fall. Daher lasse ich die Edge-Server lieber ein paar Tage weiter laufen, kontrollieren auf neue Mails und sorge notfalls dafür, dass die Mails aus den Queues noch zugestellt werden. So kann ich aber den einliefernden Server, die Absender/Empfänger-Adressen und den Betreff erkennen.

Schritt Erledigt

Messagetracking

Kontrollieren Sie per Messagetracking, dass keine Mails mehr ankommen. Sollten noch Mails ankommen, dann versucht der Edge-Server diese weiterhin zuzustellen. Ob dies gelingt, hängt von der Art ihrer Umstellung ab. In der Regel funktioniert die Zustellung zu den internen Exchange Servern weiterhin, da hier noch nichts geändert wurde. Ein Versand ins Internet kann funktionieren, wenn die Firewall weiterhin die NAT-Funktion zulässt.

Exchange Queue

Auch mit "Get-Queue" können Sie gut erkennen, ob Mails auf dem Transport Server auflaufen. Normalerweise versucht auch ein Edge Server die Mails bis zu 24h weiter zuzustellen. Nur wenn die Gegenstelle die Annahme der Mail mit einer 5xx-Fehlermeldung ablehnt, würde der Edge Server eine Unzustellbarkeit senden und die Mail löschen. Durch die Umstellung sollten aber Mails weiterhin an die Ziele erfolgreich zugestellt werden oder eben mangels Erreichbarkeit in der Queue bleiben. Eine Garantie gibt es dafür aber nicht

Rückbau Exchange Edge

Wenn sie die Edge Server nach einigen Tagen nicht mehr benötigen, dann können Sie einfach die Server herunterfahren und für andere Zwecke verwenden. Sie können natürlich auch über das Setup die Exchange Rolle deinstallieren. Allerdings sind dann nur die Exchange Programme entfernt aber viele Voraussetzungen, Zertifikate, Logfiles weiter vorhanden. Ich würde so einen Server nicht ohne komplett Neuinstallation für andere Zwecke verwenden. Ein Edge-Server ist nicht Mitglied des internen Active Directory und kann einfach heruntergefahren werden. Dennoch kann er ins Management, Backup, Virenscanner etc. eingebunden sein. Vergessen Sie nicht ihn auch hier zu entfernen. Der letzte Schritt ist dann die Neuformatierung der Festplatten oder Deprovisionierung der VM.

Rückbau Edge Subscription

Auf den internen Exchange Servern müssen Sie nun nur noch die Edge-Subscription löschen. Damit "vergisst" Exchange die Server, so dass Sie nicht mehr in Connectoren erscheinen und der EdgeSync-Dienst versucht nicht weiter die Server anzusprechen.

Get-EdgeSubscription | Remove-EdgeSubscription

Rückbau DNS/Firewall

Die Server sind aus oder gelöscht aber die DNS-Namen könnten noch im DNS-Server sein und sicherlich gibt es noch die Regeln in der Firewall oder Loadbalancer, die die alten Edge Server referenzieren. Auch diese Einträge sollten Sie sauber entfernen.

Damit sollte das Kapitel "Edge" in ihrer Exchange OnPremises-Umgebung abgeschlossen sein.

Weitere Links