Exchange Edge zurückbauen
Als Microsoft mit Exchange 2007 die neue "Edge-Rolle" eingeführt haben, wurde Sie als "DMZ-Relay mit Spamschutz, Rewriting, Empfängerfilterung" beschrieben. Die Funktion ist aber immer weniger wichtig, da insbesondere Spamfilter entweder über Exchange Online oder 3rd-Party Produkte wie NoSpamProxy u.a. bereitgestellt werden. Auch der "Zero Trust"-Ansatz hat die Bedeutung der DMZ reduziert und bei vielen Firmen ist es kein Problem mehr, dass die OnPremises Exchange Server zumindest direkt mit den Exchange Online Endpunkten über Port 25 sprechen dürfen. Für den Rückbau der Edge-Server habe ich mir folgende Checkliste gebaut und unterscheide je nach Richtung.
Ausgehend
Der Versand von Exchange OnPremises über die Exchange Edge Server kann meiner Ansicht nach etwas einfacher umgestellt werden, denn die Send-Connectoren werden heute schon "OnPremises" konfiguriert.
Schritt | Erledigt |
---|---|
DNS und Firewall konfigurierenWenn Exchange OnPremises selbst die Mails versenden soll, dann müssen natürlich die geplanten Transportserver die Ziele auflösen und erreichen können. Prüfen Sie daher:
|
|
ZertifikateBislang hat der Edge-Server die Zertifikat, mit denen er sich per MTLS bei der Gegenseite ausweisen kann. Dies gilt insbesondere für die Hybrid-Bereitstellung. Stellen Sie daher sicher, dass die zukünftigen Transportserver die entsprechenden Zertifikate haben, um sich genauso ausweisen zu können, z.B. indem sie das Zertifikat des Edge Servers mit auf den Frontend kopieren. |
|
Source Bridgehead ändernNun kommt der Moment, wo sie im Send-Connector die Edge Server entfernen und nach und nach die neuen Transportserver einsetzen. Ab sofort sollten dann die Mails über die neuen Server laufen. Exchange übernimmt nach erfolgreicher AD-Replikation die Änderungen in der Regel innerhalb weniger Sekunden. |
|
VerifikationNatürlich sollten Sie das neue Mailrouting prüfen. Vielleicht sollten Sie sich schon vorher ein paar Testmails bereitlegen, die sie schnell abfeuern können und das Zielpostfach geöffnet haben.
Bei Problemen können Sie die Konfiguration immer wieder zurückdrehen. |
Besonders vorsichtige Administratoren können natürlich zuerst einen neuen Connector mit den gleichen Daten und einer Test-Domain anlegen und damit das Mailrouting prüfen. Das würde helfen, wenn aufgrund einer Fehlkonfiguration die Gegenseite ihren neuen Exchange Server.
Eingehend
Eingehendes Mailrouting scheint ähnlich zu sein aber ich habe die Erfahrung gemacht, dass hier meist etwas mehr Arbeit erforderlich sein kann. Dies gilt insbesondere, wenn eingehende Verbindungen per TLS abgesichert werden, muss Exchange das passende Zertifikat vorweisen. Im Gegensatz zu einem Webserver der per HostHeader auch mehrere Zertifikate unter einer Instanz nutzen kann, kann der Receive Connector immer nur genau ein Zertifikat binden. Eine Änderung des Zertifikats auf dem "Default Receive Connector" kann also andere eingehende Verbindungen unterbrechen. SAN-Zertifikate sind hilfreich aber wenn Sie intern mit privaten Namen arbeiten, bekommen Sie wieder keine öffentlichen Zertifikate. Diese Probleme haben Sie mit dem Edge-Server elegant umgangen, da er vor den Exchange Servern stand und schon immer einen eigenen Namen hatte.
Dennoch ist es möglich, die Edge Server auch für eingehende Verbindungen zu entfernen, wenn Sie umsichtig vorgehen.
Schritt | Erledigt |
---|---|
DNS und Firewall konfigurierenAuch hier fangen wir erst einmal damit an, dass die zukünftigen Exchange Server von allen Gegenstellen erreichbar sein müssen, die heute schon zum Edge-Server gehen. Da aber Exchange Transportserver meist intern stehen, müssen Sie für eine externe Erreichbarkeit mit NAT arbeiten. Wenn Sie aber die aktuell vom Edge-Server vorhandene IP-Adresse auf die neuen Server umstellen wollen, dann geht das erst nachdem ihre Exchange Konfiguration passt. |
|
Receive ConnectorDer "Default Frontend <Servername>"-Receiveconnector in Exchange" nutzt ein "SelfSigned-Zertifikat und nimmt nur authentifizierte Verbindungen an. In Verbindung mit einem Edge Server, der anonyme Verbindungen von extern annimmt und dann authentifiziert zum Transportserver sendet, ist das Setup sogar perfekt und sicher. Allerdings habe ich fast immer damit zu tun, dass die Konfiguration gleich nach der Installation angepasst wird z.B. dass auch der interne Exchange Server anonym Mails von intern annimmt. In größeren Umgebungen gibt es häufig Loadbalancer die mit virtuellen Namen arbeiten. Entsprechend wurden schon die Zertifikat geändert und der "HELO-String angepasst. Hier kann es dann knifflig werden die eingehenden Verbindungen auf den Edge-Server zu addieren. insbesondere die Hybrid-Verbindung ist hier zu beachten, da Exchange Online nur ein offizielles Zertifikate mit dem vorgegebenen Namen akzeptiert. Mal eben schnell das Edge-Zertifikat auf dem Default Frontend Receive Connector zu binden, kann den Empfang von internen Absendern stören, die das Zertifikat nicht erwarten. Eine Lösung könnte sein, den Servern je eine zusätzliche IP-Adresse zu geben und einen eigenen Receive Connector analog zum Receive Connector des Edge-Servers samt Zertifikat zu konfigurieren. Das könnte dann parallel zu ihren Connectoren erfolgen. Allerdings wird der nächste HCW-Lauf mit den neuen Parametern die Konfiguration des Default Frontende Receive Connectors überschreiben. Vergessen Sie dabei nicht auch die folgende Option beim Receive Connector zu setzen. TlsDomainCapabilities : {mail.protection.outlook.com:AcceptCloudServicesMail} Es schadet normalerweise nicht, diese Einstellung auf mehreren Connectoren zu setzen, wenn Sie nicht genau wissen, welcher für den Hybrid-Empfang genutzt werden wird. Welcher Weg für ihre Umgebung richtig ist, müssen Sie selbst oder mit Hilfe eines Dienstleisters festlegen. |
|
Eingehendes Routing umschwenkenWenn die Frontend Transport Server die konfiguriert sind, können Sie die eingehende NAT-Regel oder Konfiguration des Loadbalancers anpassen, dass die Verbindungen nicht mehr zu den Edge-Server sondern den Frontend Transport Servern gehen. |
|
Routing TestenNach der Umstellung sollten Sie nun die entfernten Absender bitten, eine Test-Mail zu senden. Beim Hybrid-Routing sollte eine Mail von Exchange Online an ein OnPremises Postfach nicht nur ankommen, sondern auch als authentifiziert klassifiziert sein. Sie erkennen das daran, dass die Absenderadresse der empfangenen Mail nur den Displaynamen und keine SMTP-Adresse zeigt. |
Rückbau Edge Server
Nachdem das produktive Mailrouting an den Edge Servern vorbei erfolgt, sollten die Edge Server keinerlei Funktion mehr haben.
Theoretisch können Sie auch die Transport-Dienste stoppen. Allerdings ist dies nur dann eine gute Idee, wenn die Absender auch zeitnah bemerken, dass Sie ihre Mails nicht mehr versenden können. Das ist oft nicht der Fall. Daher lasse ich die Edge-Server lieber ein paar Tage weiter laufen, kontrollieren auf neue Mails und sorge notfalls dafür, dass die Mails aus den Queues noch zugestellt werden. So kann ich aber den einliefernden Server, die Absender/Empfänger-Adressen und den Betreff erkennen.
Schritt | Erledigt |
---|---|
MessagetrackingKontrollieren Sie per Messagetracking, dass keine Mails mehr ankommen. Sollten noch Mails ankommen, dann versucht der Edge-Server diese weiterhin zuzustellen. Ob dies gelingt, hängt von der Art ihrer Umstellung ab. In der Regel funktioniert die Zustellung zu den internen Exchange Servern weiterhin, da hier noch nichts geändert wurde. Ein Versand ins Internet kann funktionieren, wenn die Firewall weiterhin die NAT-Funktion zulässt. |
|
Exchange QueueAuch mit "Get-Queue" können Sie gut erkennen, ob Mails auf dem Transport Server auflaufen. Normalerweise versucht auch ein Edge Server die Mails bis zu 24h weiter zuzustellen. Nur wenn die Gegenstelle die Annahme der Mail mit einer 5xx-Fehlermeldung ablehnt, würde der Edge Server eine Unzustellbarkeit senden und die Mail löschen. Durch die Umstellung sollten aber Mails weiterhin an die Ziele erfolgreich zugestellt werden oder eben mangels Erreichbarkeit in der Queue bleiben. Eine Garantie gibt es dafür aber nicht |
|
Rückbau Exchange EdgeWenn sie die Edge Server nach einigen Tagen nicht mehr benötigen, dann können Sie einfach die Server herunterfahren und für andere Zwecke verwenden. Sie können natürlich auch über das Setup die Exchange Rolle deinstallieren. Allerdings sind dann nur die Exchange Programme entfernt aber viele Voraussetzungen, Zertifikate, Logfiles weiter vorhanden. Ich würde so einen Server nicht ohne komplett Neuinstallation für andere Zwecke verwenden. Ein Edge-Server ist nicht Mitglied des internen Active Directory und kann einfach heruntergefahren werden. Dennoch kann er ins Management, Backup, Virenscanner etc. eingebunden sein. Vergessen Sie nicht ihn auch hier zu entfernen. Der letzte Schritt ist dann die Neuformatierung der Festplatten oder Deprovisionierung der VM. |
|
Rückbau Edge SubscriptionAuf den internen Exchange Servern müssen Sie nun nur noch die Edge-Subscription löschen. Damit "vergisst" Exchange die Server, so dass Sie nicht mehr in Connectoren erscheinen und der EdgeSync-Dienst versucht nicht weiter die Server anzusprechen. Get-EdgeSubscription | Remove-EdgeSubscription |
|
Rückbau DNS/FirewallDie Server sind aus oder gelöscht aber die DNS-Namen könnten noch im DNS-Server sein und sicherlich gibt es noch die Regeln in der Firewall oder Loadbalancer, die die alten Edge Server referenzieren. Auch diese Einträge sollten Sie sauber entfernen. |
Damit sollte das Kapitel "Edge" in ihrer Exchange OnPremises-Umgebung abgeschlossen sein.
Weitere Links
- Exchange Edge Rolle
- Exchange Edge Default Settings
- Exchange Online - Hybrid
- Hybrid Edge Falschrouting
- Hybrid Mail Routing
- External Sender Identification
-
Mail flow and the transport pipeline
https://learn.microsoft.com/en-us/exchange/mail-flow/mail-flow -
Office 365 – Common Exchange Online Hybrid Mail Flow Issues
https://blogs.perficient.com/2015/02/10/office-365-common-exchange-online-hybrid-mail-flow-issues/