MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Migration zu Exchange SE

Auch dieser Seite fasste ich noch mal kurz die Schritte zusammen, um einen Exchange 2016 Server auf Exchange SE zu migrieren. Die Migration ist relativ einfach, da im Gegensatz zu Exchange 2013 z.B. das ExchangeASA-Konto für Kerberos weiter genutzt werden kann, und keine Public Folder von Exchange 2010 migriert werden müssen. Auch dürften alle Clients schon MAPI/HTTP nutzen. Exchange SE ist einfach sehr nahe an 2016/2019, so dass eine Umstellung problemlos ust

Laut BSI (30.000 unsichere Exchange Server) laufen 40% der alten Server mit Exchange 2016. Sie 45% Exchange 2019 Server können per Inplace Update direkt aktualisiert werden. Die verbliebenen Exchange 2010/2013 Server machen weniger als 10% aus und müssten eh erst auf Exchange 2016 angehoben werden oder gehen direkt zu Exchange Online.

Diese Seite ist "Work in Progress". Ich versuche Sie immer weiter zu erweitern. Wer glaubt, dass etwas fehlt, dann sendet mir einfach eine Mail und ich versuche es hier zu ergänzen.

Der früher unter dieser URL erreichbare Inhalt finden Sie auf Wege zu Exchange Server SE

Kurzbeschreibung

Diese Seite beschreibt gezielt eine Umgebung mit einem Exchange 2016 Server in einem Active Directory Forest, welcher nicht per Inplace Update zu Exchange SE aktualisiert werden kann. Es bleibt nur ein "Swing"-Update, bei dem ein Exchange SE-Server neben den Exchange 2016 Server gestellt wird und alle Zugriffe, Connectoren und Inhalte migriert und umgestellt werden müssen. Da Exchange 2016 seit 14. Okt 2025 keine Security Updates mehr bekommt, sollten Firmen möglichst schnell ihre Exchange Umgebung aktualisieren. Andere Alternativen wären

Andere Szenarien  Bewertung

Migration 2016- >2019 und dann Inplace

Macht keinen Sinn, denn auch Exchange 2019 bekommt keine Updates mehr

Migration Exchange 2013 -> SE

Exchange 2013 kann nicht mit Exchange SE parallel genutzt werden. Sie könnten Exchange 2019 CU14 (nicht CU15) installieren, nach dem hier beschriebenen Verfahren migrieren und danach von Exchange 2019 CU14 auf Exchange SE mittels Inplace Updates.

Exchange 2019 -> SE 

Ich würde umgehend ein Inplace Update auf SE machen. Wenn Sie die Hardware ändern wollen, dann können Sie das danach immer noch über die hier beschriebene Swing-Migration machen.

Das Ziel ist die möglichst schnelle Reduzierung des Exchange 2016 Verwendung bis auf 0. Es ist natürlich auch immer eine schnelle Migration nach Exchange Online möglich.

Ich teile die Migration in vier Abschnitte auf:

  • Vorarbeiten
    Starten Sie nicht direkt das Exchange SE Setup ohne ihre Umgebung zu kennen. Sie möchten eine möglichst kurze Koexistenz haben, da die Ressourcen kostbar sind und dann könnte ein zu spät erkannter Blocker ihren Plan durcheinanderwirbeln
  • Exchange SE Integration
    Der erste große Punkt ist die Integration von Exchange SE in die Umgebung, so dass auch Mailrouting, Client-Zugriff und Hybrid-Routing umgestellt werden. Der neue Server ist schon voll produktiv aber hat noch keine Postfächer. Der Exchange 2016 Server ist idealerweise nur noch "Backend" und hat immer weniger direkte Verbindungen
  • Migration
    Diese Phase verschiebt die Postfächer und dauert einige Tage, je nach Datenmenge, Performance und Backup. Hier erfolgt auch die Analyse des alten Servers auf weitere Nutzung durch Clients
  • Rückbau
    Nach einer letzten Kontrolle wird der alte Exchange 2016 Server deinstalliert und entfernt. Sollten Clients oder Prozesse übersehen worden sein, dann müssen diese nachträglich angepasst werden

Sie können diese Schritte allein oder mit Unterstützung eines Dienstleister durchlaufen. Um den Aufwand und damit die Kosten und die Dauer gering zu halten, wird man Kompromisse schließen müssen. Es bleibt bei solch einer beschleunigten Umstellung immer ein Risiko, das Client temporär eine Zertifikatswarnung sehen, die Performance reduziert ist oder ein Zugriff einige Zeit nicht möglich ist. Ein Exchange 2016 Server mit bekannten Sicherheitslücken ist aber deutlich gefährlicher für ihre Firma.

Der kritische Faktor ist hier natürlich die Migration der Postfachinhalte. Wenn der lokale Server kräftig genutzt wird, dann können das Giga- oder sogar Terabytes sein, die vom alten Server auf den neuen Server mittels MoveRequest verschoben werden müssen und im Ziel auch viele Transaktionsprotokolle generieren. Selbst wenn man 10-20 Gigabyte/Stunde verschiebt, kann dies Tage oder Wochen dauern. Gerade kleine Server sind oftmals auch schwächer hinsichtlich der Hardware ausgestattet. 128 GB wird von Microsoft empfohlen aber sehr oft sind die Systeme geringer ausgelegt. Das Zielsystem könnte heute schon mit SSD arbeiten aber dann bleibt dennoch das Backup eine Herausforderung.

Vorarbeiten

Zuerst schauen wir uns die Umgebung an und erfassten zumindest einige relevante Daten. Wir haben einen Server, der von Clients per HTTP angesprochen wird. Drucker, Skripte, FaxServer sprechen SMTP und das Internet ist auch erreichbar. Optional gibt es eine Hybrid-Verbindung zu einem Exchange Online Tenant.

Ehe wir den neuen Exchange SE-Server bereitstellen, müssen wir das Mengengerüst kennen.

Aktivität Erledigt

Inventory

Bitte nicht gleich das Setup starten. Ein paar Checks sollten vorab erfolgen.

  • Unter welchen DNS-Namen ist der aktuelle Server erreichbar
    Hier sind die Internal/External-URLs der Server interessant, da der neue Server die am besten mit übernimmt. Wenn noch nicht passiert, dann wäre nun auch mal die Change pber generische CNAMEs statt Server-FQDNs nachzudenken, z.B. mail.<firmendomain>, imap.<firmendomain>, smtp.<firmendomain>
  • Welche Zertifikate nutzt aktuell der Server
    Sie müssen zu den URLs und Servernamen passen
  • Wie ist er aus dem Internet erreichbar (HTTP, SMTP)
    Durch die Koexistenz muss der neue Server eine eigene IP-Adresse haben und Firewalls, DNS und Routing muss ggfls. angepasst werden
  • Welche 3rd Party-Produkte müssen für Exchange SE angepasst werden
    Denken Sie an Fax-Server, Disclaimer-Software, ERP-Zugriffe per EWS/IMAP4, Telefonanlage, lokale GIT-Server
  • Clients
    Outlook und ActiveSync sind problemlos. Aber SMTP-Sender oder IMAP/POP-Clients machen selten Autodiscover und nutzen oft IP-Adressen oder den FQDN, was eine Umstellung erschwert.
  • Volumen
    Wissen sie, wie viel Speicherplatz ihr Exchange Server gerade verwendet und was ihr geplantes Wachstum beträgt? Sie müssen kein High End Sizing machen aber ein paar Eckdaten zu CPU, RAM und vor allem Disks sollten Sie schon für den nächsten Schritt zusammenstellen.

Plattform bereitstellen

Ich erspare mir ein eigenes Kapitel für Sizing, da Exchange SE und 2019/2016 die gleichen Anforderungen haben. Neue Server oder VMs sind meist ehr schneller, haben mehr RAM und oft SSDs, wovon alte Server nur träumen konnten.

  • Active Directory Mode
    Auch wenn Exchange SE quasi wie Exchange 2019/2016 tickt, sollten Sie sicherstellen, dass ihr AD in Topform ist, d.h. mindestens zwei DCs, auf denen natürlich kein Exchange installiert wird,  eine funktionierende Namensauflösung, korrekte Zeitsynchronisation (vor allem auf VMs)
  • Windows Server OS
    Ob sie den zukünftigen Server aus einer Vorlage oder neu erstellen, überlasse ich ihnen. Er muss halt "Domainmitglied" sein. Zusätzliche Festplatten für Datenbanken müssen mit 64k-Blöcken formatiert und ggfls. als Mountpoints eingebunden werden. Integrieren den Server ihn auch in ihr Monitoring, Backup, Logging etc.

Exchange SE Integration

Wir wollen schnell umstellen. Daher ist der erste Abschnitt die funktionsfähige Bereitstellung von Exchange in der Umgebung samt Umstellung der Client-Zugriffe, SMTP-Routing und erste Testmigrationen. Nach Abschluss dieser Phase ist der Exchange 2016 Server nur noch "daneben" aber stellt die Postfächer bereit.

 

 Das kann man, je nach Umgebung, auch an einem Tag schaffen.

Aktivität Erledigt

Installation Exchange

  • Prerequsites
    Die fordert das Exchange Setup ja schon alleine an
  • Exchange Installation + Anpassen Autodiscover/CAS-URL
    Das Setup addiert im Active Directory entsprechende Einträge, die Clients stören könnten. Diese sollten umgehend auf passende Werte gesetzt werden, z.B. den Namen des alten Servers
  • Zertifikate einspielen
    Wenn der neue Server später unter dem gleichen DNS-Namen wie der bisherige Server erreichbar sein soll, dann sollten Sie die erforderlichen Zertifikate des bisherigen Servers mit installieren. Bitte nutzen Sie nicht die MMC (Exchange Zertifikat Insights) sondern die Exchange PowerShell
  • Updates
    Sowohl für Windows als auch Exchange und nachinstallierte Komponenten sind Updates zu installieren. (Exchange Server SE Updates)
  • Lizenz einspielen
    Wenn der Server nicht nur ein Hybrid Connector Server ist, sondern SMTP-Dienste oder Postfächer betreibt, dann ist jetzt der Zeitpunkt zum Einspielen der Lizenz. Details zur Lizenzierung finden Sie auf Exchange SE Licensing
  • Exchange HealthCheck
    Prüfen Sie mit dem CSS-Exchange Healthcheck das installierte System. Ich denke an TCP-Settings, TLS-Einstellungen, etc.

Danach läuft der neue Server erst einmal fast unbemerkt neben dem Bestandssystem. Allerdings werden die anderen Exchange Server ihn z.B.: in die Transport-HA-Funktion integrieren.

Exchange Mailbox-Rolle vorbereiten

  • Konfiguration DAG und Cluster
    Wenn die neue Umgebung für länger geplant ist dann wäre eine DAG vielleicht eine gute Idee. Das sind dann mindestens zwei Server und ein Quorum
  • Datenbanken anlegen
    Damit die Postfächer ein Ziel haben
  • Backup integrieren
    Hochverfügbarkeit ist kein Backup

Exchange Transport umstellen

Eine Umstellung des Mailroutings läuft meist von Anwendern kaum bemerkt ab aber bringt erste Last auf den Server und entlastet den alten Server. Vor allem kann man bis zur Abschaltung einfacher sehen, wer den Server vielleicht noch verwendet.

  • Globale Einstellungen
    z.B. Messagtrackinggröße, Nachrichtengröße etc. Es ist gut, wenn damals bei der Installation von Exchange 2016 die Änderungen protokolliert wurden.
  • Receive Connectoren
    Auf dem bisherigen Server hinterlegte Connectoren, z.B. für Relay-Versand müssen auch auf dem neuen Server nachgehalten werden. Dabei sollten Sie prüfen, ob diese "unsicheren" Funktionen überhaupt noch erforderlich sind.
  • Send-Connectoren
    Nach Installation der Zertifikat können wir den neuen Server einfach in die SendConnectoren als "Local Bridgehead" aufnehmen.
  • Firewall/Relay-Anpassungen
    Denken Sie bei allen Änderungen, dass auch eine Firewall oder SMTP-Relays und externe Spamfilter mit angepasst werden müssen.

Hybrid Setup

Wenn Sie bereits ein Hybrid Setup mit Exchange 2016 haben, dann muss dieses auf Exchange SE umgestellt werden. Das sind einmal die Einstellungen auf dem Transport, die MRS-Endpunkte und EWS-Zugriffe. Der einfachste Weg ist die Konfiguration per HCW mit dem neuen Server und nachfolgend dann die Umstellung der Erreichbarkeit über das Netzwerk.

  • Hybrid Routing
    Sie können mit dem HCW das SMTP-Routing zwischen Exchange Online und OnPremises anpassen. Ich würde aber externe Servernamen einfach gleich lassen und auf dem Receive Connector die TLS-Settings eintragen und dann das SMTP-Routing umstellen.
  • MRSProxy aktivieren, wenn der Server einen Exchange Online Migrationsendpunkte ersetzen soll
  • Webveröffentlichung und Dedicated Hybrid App
  • Gggfls. Modern Hybrid Agent installieren

Exchange Client Zugriff umstellen

Der nächste Schritt ist die Umstellung des Client-Zugriffs. Dazu müssen eventuell erforderliche Receive Connectoren für SMTP-Clients vorhanden sein.

  • Einspielen und Binden der IIS-Zertifikate
  • MAPI/HTTP konfigurieren, wenn es noch nicht passiert sein sollte
  • ggfls. Konfiguration der IIS-Seiten (Authentifizierung, Kerberos)
  • Verifizieren der Clients
    Wenn ihr Setup es zulässt, können Sie auf einigen Clients über einen HOST-Eintrag schon den neuen Server nutzen und testen
  • Zugriffe umstellen (DNS oder HLB)
    Irgendwann kommt dann aber der Moment, dass Sie alle Clients nur noch über den neuen Server routen. Tipp.
  • Exchange PowerShell
    Denken Sie dabei auch an Automatisierungsskripte, die z.B. Benutzer anlegen und verwalten oder Reports erstellen.

Idealerweise greift nun kein Client mehr auf den bisherigen Server direkt zu. Clients nutzen den neuen Server als Frontend, der seinerseits dann auf die Postfächer auf dem alten Server zugreift.

Damit haben wir nun einen ersten Zwischenschritt erreicht. Der neue Server bedient alle Clients und routet SMTP-Nachrichten, während der alte Server weiterhin die Postfächer hält.

Hinsichtlich externer Erreichbarkeit sieht das Internet und Exchange Online erst einmal nur noch den Exchange SE-Server. Das sollten Sie aber nicht als Freibrief missverstehen, den alten Server nun weiter laufen zu lassen. Er ist von internen Clients, und damit auch Angreifern meist weiter erreichbar und authentifizierte Angriffe von Extern werden auch durch einen Exchange SE Frontend Server zum Postfachserver weitergeleitet.

Client und Inhaltsmigration

In dieser Phase geht es einfach darum die Postfächer umzuziehen. Je nach Menge müssen Sie den Prozess über einige Tage oder gar Wochen strecken, damit die Festplatten nicht durch Transaktionsprotokolle befüllt werden.

Die Migration erfolgt einfach mit Bordmittel (MoveRequest) und zusätzlich kontrollieren wir den Server auf verbliebene Client-Zugriffe.

Aktivität Erledigt

Umstellen von SMTP-Clients

Ich wünsche ihnen ja, dass alle Clients über einen virtuellen DNS-Namen (z.B. mail.<firmendomain>) auf den alten Exchange Server zugegriffen haben und allein eine Änderung im DNS oder Loadbalancer schon die Umstellung auf den neuen Server bewirkt hat. Wenn Sie aber Clients haben, die den FQDN des alten Server oder gar dessen IP-Adresse genutzt haben, dann finden Sie diese Clients im Messagetrackinglog des alten Servers und dürfen die Produkte und Geräte nun umstellen.

Umstellen von Connectoren/Gateways

Das gleiche gilt für Systeme, die von Exchange per Connector erreicht werden, z.B. andere Hosts, ERP/CRM-Systeme, Faxserver, Archivprodukte

Verschieben der Postfächer von 2016->SE

Schön langsam mit Backup der Logfiles, Denken Sie auch an die Systempostfächer, DiscoveryMailbox, Arbitration Postfächer, Public Folder etc.

Statusmeetings

Wenn Sie als Kunde diesen Teil der Migration selbst durchführen, können regelmäßige Statusmeetings durch den Dienstleister den Vorgang beschleunigen.

Das Ziel ist erreicht, wenn auf dem alten Server keine Postfächer mehr in den Datenbank vorhanden sind.

Rückbau

Der alte Server ist leer und kann weg? Im Prinzip ja, aber bitte nicht zu schnell.

 

Dennoch ist es irgendwann geschafft, dass der alte Server weg ist 

Aktivität Erledigt

Lastfreiheit feststellen

Ehe wir den alten Exchange Server deinstallieren, kontrollieren wir, dass er nicht mehr verwendet wird:

  • Get-Mailbox -Server <servername>
    Bis auf einige Monitoring-Mailboxen sollte kein Postfach mehr aufgeführt werden. Wenn dies der Fall ist, dann können wir die Datenbanken löschen. Dabei prüft Exchange auch noch einmal, dass wirklich kein Postfach mehr in der jeweiligen Datenbank liegt
  • Get-Messagetracking | Group-Object OriginalClientIP
    Wir werden sicher einige HARedirect-Messages von anderen Exchange Servern sehen aber es sollten keine eingehende Verbindungen von anderen IP-Adressen mehr erscheinen.
  • IISLogs
    Ob der Server noch von Clients genutzt wird, sehen wir am einfachsten im IIS/POP/IMAP-Log. Einige Firmen können dies auch im Netzwerkmanagement (SFlow, IPFix, NetFlow) nachprüfen. Wir erwarten keine Zugriffe mehr. Ansonsten haben Sie in der vorherigen Phase nicht sorgfältig gearbeitet.

Exchange "Ruhezeit"

Die "vorsichtigen Administratoren" könnten nu erst einmal den alten Exchange Server in den Wartungsmode versetzen und für einige Tage "Offline" nehmen. Ich mache das in der Regel nicht, sondern wenn der Server seit Beginn der Migration nur noch Zugriffe über die neuen Server protokolliert hat, dann finden Sie die seltenen Verbindungen auch nicht. Klassische ist der "Massenmailversand von Weihnachtsgrußkarten" mit einer 3rd Party Software. Das fällt dann wirklich erst dann auf. Jede Komponente, die Mails senden, sollte auch mit einem Fehler umgehen und diese über eine Monitoring sichtbar machen.

Exchange Deinstallation

Irgendwann ist aber der Moment gekommen, dass Sie auf dem alten Server das Exchange Setup starten und Exchange deinstallieren. Falls das Setup sich über noch auf dem Server verbliebene Reste beschwert, sollten die Hinweise ihnen bei der Beseitigung helfen.

Sicher gibt es Umgebungen, in denen so eine vereinfachte Migration nicht alle Komponenten beschreibt. Der Weg zu einem Dienstleister mit entsprechender Erfahrung steht ihnen jederzeit offen. Jetzt sollten Sie aber nur noch ihre neuen Exchange SE Server im Unternehmen haben, die professionell betrieben werden müssen.

Wenn ihr Ziel die komplette Entfernung aller lokalen Exchange Server ist, dann sollten Sie mit Exchange Online und aktiviertem Verzeichnisabgleich sich vorher über LES - Last Exchange Server, Last Exchange Server entfernen, IsExchangeCloudManaged und Exchange Online Provisioning informieren

Bitte deinstallieren sie nie einfach den letzten Exchange Server ohne die Zusammenhänge auf Last Exchange Server entfernen verstanden zu haben.

Da Ziel ist aber erreicht, dass der alte Exchange 2016-Server entfernt ist und nur noch ein aktueller Exchange SE-Server die bisherige Funktion identisch bereitstellt. Eine Weiterentwicklung ist natürlich immer möglich.

Weitere Links