MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Webcast Exchange 2016/2019 EOL

Am 12. Sep 2025 habe ich mit Net at Work einen Webcast zum Ende von Exchange 2016 und 2019 gehalten, der sehr gut besucht war. Da aber sicher nicht alle mögliche Interessenten die Einladung gesehen haben, die Teilnehmer die Folien nachfragen und die MSXFAQ-Leser auch informiert sein wollen, fasse ich hier den Webcast mit den Folien noch einmal zusammen. Es scheint einen hohen Bedarf zu geben, weil wohl noch mehr Exchange Server OnPremises laufen, die auch am 14. Oktober noch nicht abgebaut sind.

Ich habe das Thema auch als Audiodatei für einen Podcast aufbereitet
webcast_exchange_20162019_eol.mp3

Gedanken zu Exchange SE

Wir hatten einen Themenblock von ca. 20-30 Minuten geplant, so dass noch genug Zeit für Fragen über Chat oder Audio möglich waren. Der erste Abschnitt behandelt explizit die Exchange SE Themen.

Das Bild ist schon etwas provokant und hat Copilot mit einen ersten Prompt und zwei "Korrekturen" geliefert. Es sind seit dem Release von Exchange 2016 und Skype for Business schon ca. 10 Jahre vergangen. Nur Exchange 2019 ist noch etwas jünger aber bald 7 Jahre.

Wenn Sie heute noch diese oder sogar noch ältere Produkte im Einsatz haben, dann wird es höchste Zeit sich über das zukünftige Betriebsmodell Gedanken zu machen. Es wird für diese drei Produkte ab 14. Oktober 2025 keine allgemein verfügbare Security Updates mehr geben.

Microsoft bietet für Vertragskunden, die mit ihrer Migration auf Exchange SE oder Online nicht pünktlich fertig werden, ein "Extended Security Update Program (ESU) an, um vermutlich bis Exchange SE CU1 Anfang 2026 noch Security Updates für 2016/2019 zu erhalten. Den Mehraufwand lässt sich Microsoft aber bezahlen.

Exchange SE basierte auf dem Code von Exchange 2019/2016. Wenn nun nach dem 14. Okt 2025 ein Security Update für Exchange SE veröffentlicht ist, dann ist es sehr wahrscheinlich, das die Lücke auch in den Vorgängerversionen enthalten ist. Schon das ist Grund genug möglichst schnell Exchange 2016/2019 zu entfernen.

Ich werde nicht weiter auf das Support-Ende von Windows 10 eingehen.

Aber damit stellt sich natürlich die Frage nach den Optionen. Hier meine Liste der fünf Möglichkeiten:

  1. Exchange 2016/2019 weiter betreiben
    Sie könnten natürlich auf den Gedanken kommen, dass dass alles gar nicht so schlimm wird und auch heute noch viele ältere Systeme, z.B. auch Windows 10, im Einsatz sind. Die Herausforderung bei Exchange ist allerdings, dass der Server per Definition per SMTP und HTTP erreichbar ist. Den externen SMTP-Weg können Sie mit vorgelagerten Virenscannern noch absichern aber genaugenommen müssten Sie das dann auch von intern mit eigenen VLANs und internen Firewalls machen. Möglich aber für HTTP wird es ungleich schwerer. Ihr Anwender müssen ja an das Postfach kommen und jeder Fehler im IIS/HTTP ist erst einmal aus dem Internet erreichbar. Es hilft nicht, einen Exchange SE "davor" zu schalten, dass der Frontend zwar eine Authentifizierung macht aber dann die Anfragen zum Backend mit der aktiven Datenbank für das Postfach weiterreicht. Auch das Vorschalten eines Loadbalancers oder Azure AD Application Proxy kann mit PreAuth und URL-Filterung sicherlich den Schutzlevel erhöhen aber Sie müssen sich schon genau die Vektoren anschauen, ob diese damit noch einige Zeit kontrollierbar sind, bis Sie die Migration abgeschlossen haben.
    Generell ist es aber immer eine gute Idee ein Tiering-Modell mit VLANs und Firewalls aufzubauen, um nicht nur Exchange Server gegen Seitenangriffe abzuschotten. Das gilt übrigens in beide Richtungen. Mit dem Hafnium Exploit konnten Angreifer über den von extern anonym gekaperten Exchange Server auch z.B. ihre SAP/SQL/Dateiserver angreifen. Der Betrieb alter Systeme ohne Updates von bekannten Lücken sind mehr als nur leichtsinnig, sondern unverantwortlich und könnte sogar strafbar sein.
  2. Exchange 2016/2019 mit ESU
    Wenn sie etwas mehr Sicherheit bis zum Abschalten von Exchange 2016/2019 benötigen, dann können Sie über ihren Microsoft Ansprechpartner nachfragen, ob sie in das ESU-Programm aufgenommen werden und was es kostet. ESU ist leider kein Produkt im klassischen Sinn, welches sie einfach "kaufen" können. Hier hat Microsoft wohl schon noch einige Hürden addiert, dass es schon auch etwas schmerzhaft ist. Aber dann hätten Sie wohl noch bis Frühjahr 2026 Zeit. Aber wir wissen alle, wie schnell die Zeit verfliegt. Ich habe gehört, dass Microsoft nur solchen Firmen den Zugang erlaubt, die neben Geld auch ein Migrationskonzept mitbringen, welches einen Abschluss bis dahin geplant hat.
  3. Exchange 2019 Inplace Update
    Wer heute schon Exchange 2019 hat, sollte umgehend ein Update nach Exchange SE machen. Das ist nicht viel mehr als die Installation eines CUs, denn es ist quasi Exchange 2019 CU15. Sie brauchen nicht einmal einen anderen Lizenzcode aber natürlich müssen Sie sich um eine korrekte Lizenzierung kümmern. Exchange SE lässt sich aber auch problemlos auf Windows 2019 betreiben, was damals für Exchange 2019 der Mindeststandard war. Ein Wechsel auf Exchange SE mit neuerem Windows können Sie ja in Ruhe nach dem Oktober 2025 angehen. Windows 2019 hat ja noch weitere vier Jahre Support.
  4. Schnelle Migration zu Exchange Online
    Auch wenn es zum Zeitpunkt des Webcasts am 13.9 bis zum 14.10 grade noch ein Monat war, ist dieser Weg durchaus möglich. Sie können in kurzer Zeit einen neuen oder bestehenden Tenant mit ADSync anbinden und mittels MinHybrid und einer passablen Internetleitung durchaus einige 10-100 GB pro Tag migrieren. Es hilft, wenn es viele kleine Postfächer sind und der lokale Exchange Server natürlich hinterher kommt. Aber warten Sie nicht zu lange.
  5. OnPremises Migration
    Sollten Sie noch Exchange 2016 in ihrer Umgebungen haben und ein Weg zu Exchange Online ist aus verschiedenen Gründen nicht erlaubt, dann bleibt nur ein Swing-Update auf Exchange SE. Das wird natürlich schon eine Hausnummer so etwas "in Time" zu schaffen. Sie müssen die neuen Exchange SE-Server erst einmal auf VMs oder Hardware installieren, Client-Zugriffe und Mailrouting anpassen und Postfächer umziehen. Ohne Monitoring und insbesondere ohne Backup zum kürzen der Transaktionsprotokolle im Ziel geht das nicht. Wer sogar noch Exchange 2013 hat, kann erst einen etwas älteren Stand von Exchange 2019 installieren, um eine Swing-Migration durchzuführen und dann per Inplace auf Exchange SE wechseln

Ich habe mich auf diese fünf Szenarien beschränkt. Es sind natürlich noch andere Wege möglich und sprechen Sie mich gerne an, wenn Sie von Exchange 2010/2013 zu Exchange Online wollen. Es wäre ja auch denkbar, dass Sie mit "Greenfield" anfangen, d.h. alle Benutzer mit einem leeren Exchange Online Postfach starten und der lokale Exchange Server nur noch für Administratoren erreichbar ist die dann mit Bordmitteln oder 3rd Party-Produkten die Mails "nachliefern". Es soll ja auch Firmen gehen, die ihren lokalen Exchange Server durch einen Cyberangriff verloren haben und dann schnell mit Exchange Online neu gestartet sind. Wenn dann die lokalen Daten nach Wochen aus einem alten Backup bereitgestellt werden konnten, wurden diese dann in Exchange Online z.B. als PST-Datei importiert. 

Hier noch mal der Überblick der verschiedenen Wege.

 

Nachdem ich meine fünf präferierten Wege vorgestellt habe, musste natürlich auch das Thema "Lizenzen" beschrieben werden. Microsoft hat mit Exchange SE das Modell auf eine "Subscription" umgestellt, d.h. sie "kaufen" nicht mehr den Server in der klassischen Form sondern mieten diesen mit verpflichtender "Subscription". 

Das gilt auch für die CALs und selbst Outlook Clients müssen eine "supportete Version" sein. Das bedeutet nicht, dass Exchange zu alte Clients aktiv aussperrt aber die Interoperabilität wird nicht mehr getestet und es kann Funktionseinschränkungen geben. Denken Sie dabei auch daran, dass "Hybrid-Server" zur Verbindung mit Exchange Online und einer "Organization Connector" ebenfalls eine supportete Version sein müssen, damit Exchange Online der Verbindung vertraut.

Hinweis
In Microsoft 365 E3/E5/A3/A5/G3/G5 sind sowohl die CALs aber auch die Exchange SE-Lizenzen enthalten, wenn Sie für alle Benutzer solche Lizenzen haben. Wer z.B. nur Office 365 E3 hat, hat zumindest die Exchange CAL und Outlook Lizenz aber keine Serverlizenz. Microsoft 365 Business Standard/Premium enthalten keine Server Lizenz.
Prüfen Sie genau ihre Verträge und Lizenzvereinbarungen oder lassen Sie dies vom Net at Work Vertrieb prüfen.

Die folgende Tabelle zeigt noch einmal, welche Exchange Version auf welcher Windows-Version ausgeführt werden kann und wann diese aus dem Support läuft.

 

Für Exchange SE und 2019 ist wichtig, dass beide Versionen sowohl auf Windows 2019/2022 und 2025 laufen, die auch alle noch einige Jahre mit Support versorgt werden. Wer also noch Exchange 2019 SE auf Windows 2019 betreibt, sollte schnellstens auf Exchange SE wechseln und dann in Ruhe für die Zukunft planen.

Achtung:
Ein Inplace Updates des Betriebssystems mit installiertem Exchange Server ist nicht  supportet

Pakete (Werbung)

Auch wenn ich auf der MSXFAQ sehr viele Seiten und Anleitungen veröffentlicht habt und auch Microsoft nicht sparsam mit Informationen ist, kommen immer wieder Fragen von Lesern und Kunden, die für ihre individuelle Fragestellung entweder noch keine Antwort gefunden haben oder einfach eine Begleitung bei der Migration wünschen. Es wird natürlich knifflig die tausende Exchange 2019/2016/2013/2010 Server noch bis 14. Oktober umzustellen. Aber vielleicht ist dann ein direkter Kontakt und eine Begleitung bei ihrer eigenen Migration eine Option. Daher haben wir (Net at Work) zwei Pakete für Firmen vorgestellt, die eigentlich selbst Umstellen wollen aber ein Coaching wünschen.

  • "Ready-to-Migrate" Check
    Wir gehen davon aus, dass Sie ein grundsätzliches Verständnis für Exchange Migrationen OnPremises oder Exchange Online haben und Unterstützung bei Entwurf, Planung und Verifizierung der Umstellung benötigen.

  • "CO-Managed" Migration Support
    Wer eine stärkere Begleitung wünscht, kann Regelmäßige Abstimmungs- und Unterstützungstermine vereinbaren, die wir in 6x4h Slots für die jeweils kritischen Phasen eingeplant haben, d.h. Vorgespräche, Readyness des Tenant, Hybrideinrichtung, Kontrolle nach der Postfach Migration, Umstellen des Mailroutings, Rückbau Exchange etc.

Die meisten Migrationen laufen nämlich immer nach dem gleichen Schritte ab. Allerdings hat jede Firma immer noch so die ein oder andere "Besonderheit", sei es ein CRM-System, ein Massenmailer oder andere Integrationen, die über Jahre mitgeschleift werden. Dazu finden Sie aber in Microsoft Anleitungen keine Hilfestellung. Hier ist dann die mehrjährige Erfahrung eines Consultants gefragt, um mit ihnen gemeinsam die Infrastruktur für den zukünftigen Betrieb anzupassen.

Wenn Sie weitere Details zu unsere Paketen oder einer individuellen Unterstützung benötigen, dann sprechen Sie uns über www.netatwork.de/kontakt einfach an.

Was sonst noch wichtig ist!

Bei den ganzen Überlegungen zu Exchange SE und Supportende am 14. Okt 2025 sollten Sie nicht vergessen, dass Microsoft sowohl in Exchange Online als auch OnPremises verschiedene Änderungen verteilt, die sie ggfls. umsetzen sollten. Folgende Themen habe ich dazu erläutert:

  • IsExchangeCloudManaged
    Sie sollten mitbekommen haben, dass sie trotz ADSync die Exchange Eigenschaften von Postfächern auch direkt in der Cloud verwalten können.
  • Dedicated Hybrid Application
    Zum 14. Okt schaltet Exchange Online die generische App aus. Wer weiter lokale Exchange Postfächer hat und u.a. die Frei/Belegt-Zeiten von Exchange Online Postfächern abfragen will, muss aktiv werden. Microsoft schaltet schon vorher immer mal wieder die Funktion temporär aus, um Aufmerksamkeit zu erreichen.
  • Exchange Online EWS Abschaltung 2026
    Es ist noch über ein Jahr aber auch dieser Termin wird für die ein oder andere Firma wieder viel zu schnell oder überraschend kommen. Wer zukünftig auf Daten in Exchange Online zugreifen will, muss seine Anwendungen auf Microsoft Graph umstellen oder die Postfächer auf Exchange SE OnPremises zurückmigrieren. Lokal wird EWS weiter bereitgestellt.
  • Exchange DirectSend/RejectDirectSend
    Eine Spam/Phishing-Welle mit angeblich internen Absendern direkt an Exchange Online hat einige Firmen aufgeschreckt. Mit der richtigen Konfiguration können Sie diesen Nebeneingang sicher unterbinden. Sie müssen aber aktiv werden.
  • TERRL - Tenant External Recipient Rate Limit
    Die globalen Limits sollten Sie im Hinterkopf haben, wenn Sie ihren lokalen Exchange Server entfernen und alles über Exchange Online senden. In dem Zuge sollten sie auch die Nutzung von "onmicrosoft.com"-Domains als Absender zurückbauen, denn zukünftig sind nur noch 100 ausgehende Mails/Tag/Tenant möglich.
  • Das "richtige" Outlook
    Microsoft drängt Anwender zum Einsatz von "New Outlook/Win". Allerdings funktioniert dies nur mit Exchange Online. Wenn Sie weiter auf Exchange SE setzen, dann gilt es die passende Lizenz für "Classic Outlook" bereitzustellen.
  • SPF, DKIM und DMARC jetzt!
    Und dann kommt von mir immer wieder der Aufruf, bitte die eigene Domain mit einer DKIM-Signatur und einer strengen Konfiguration von SPF und DMARC gegen Missbrauch und Phishing abzusichern.

Einen besonderen Platz nimmt hier der "Last Exchange Server" ein. Speziell wenn Sie von Exchange OnPremises zu Exchange Online migrieren, ist irgendwann der Zeitpunkt gekommen, die lokalen Server auch zu deinstallieren. Das ist über die Systemsteuerung einfach möglich aber beim allerletzten Server müssen Sie etwas aufpassen, da er oft noch ein SMTP-Mailrouting macht, als Autodiscover-Endpunkt per LDAP auflösbar ist und eine Deinstallation auch die lokale Exchange Organisation entfernt. Im schlimmsten Fall mit den Benutzerkonfigurationen, die ADSync dann in Exchange Online löschen könnte.

Damit sie den LES - Last Exchange Server entfernen können, müssen Sie natürlich auf jeden Fall alle Postfächer und ggfls. öffentliche Ordner zu Exchange Online verschoben haben. Aber auch dann müssen Sie sich noch um zwei Dinge kümmern:

  • SMTP-Routing
    Ohne Exchange haben Sie auch keinen SMTP-Server mehr, der Nachrichten von intern annimmt oder weiter gibt. Sie müssen also Lösungen finden, wie interne SMTP-Absender, z.B. Scanner, Prozess, Skripte o.ä. ihre Mails an den Empfänger bekommen und wie vielleicht lokale Dienste Mails weiterhin empfangen. Sie können rechte probelmlos z.B. die ausgewählten Geräte per IP-Adresse und NAT durch die Firewall zu ihrem Tenant anonym zulassen und in Exchange Online dann die statische IP-Adresse ihrer Firewall über einen Partner Connector für die Absenderdomains ganz ohne weitere Authentifizierung zulassen. SMTP-AUHT mit Username und Kennwort geht nicht, aber wenn ihre Software OAUTH versteht, dann könnten Sie sogar über ein Postfach (Exchange Plan Lizenz erforderlich) interagieren. Oder sie nutzen einen anderen SMTP-Service, z.B.: ihren Webhoster, ihre Firewall oder andere 3rd-Party Dienste.
    Weitergehende Informationen finde Sie hierzu auf Exchange Online als Outbound Relay, SMTP Relay ohne Exchange, Multifunktionsgeräte mit Exchange Online u.a.
  • Provisioning
    Solange Sie ADSync am Start hatten, mussten Sie bis Sommer 2025 ihre Empfänger immer im lokalen Active Directory verwalten, da die Exchange Einstellungen (Mails, ProxyAddresses etc.) in Exchange Online "ReadOnly" waren. Viele Firmen haben dazu auch einen Exchange OnPremServer oder auch einfach nur die Recipient Management PowerShell betrieben. Mittlerweile können Sie aber das lokale AD von Exchange Online mit IsExchangeCloudManaged entkopplen.

Es gibt also Wege, einen lokalen Exchange Server zu entfernen, so dass Sie kein Risiko einer alten Version ohne Security Updates mehr haben. Denken Sie aber daran, dass es einen Unterschied zwischen "Deinstallation" und "Abschalten" gibt. Um einen Server per Setup zu deinstallieren, müssen einige Voraussetzungen erfüllt sein. Bei der Deinstallation des allerletzten Servers würde das Setup aber auch die Exchange Organisation in ihrem Active Directory entfernen, also sehr viele LDAP-Einträge, die sie aber doch noch brauchen könnten.

FAQ

Sowohl über den Chat als auch auf der Tonspur haben die Teilnehmer ihre Fragen stellen können. einen Großteil der Fragen habe ich schon in den bisherigen Text einfließen lassen, so dass noch folgende Fragen thematisch eigenständig waren:

Q: Kann ich einen Exchange SE Server einfach "vor" meine Exchange 2016/2019 Server stellen, so dass er wie eine Application Firewall die alten Server abschirmt?

A: Technisch kann ich natürlich einen Exchange SE Server vor meine bisherigen Server stellen. Allerdings trennt Exchange zwischen "Frontend"-Rolle" und "Backend"-Rolle. Vom Exchange SE Server würde dann nur die Frontend-Rolle genutzt, welche die Verbindungen dann aber zu dem Backend Server weiterreicht, auf dem die Datenbank mit dem aktiven Postfach liegt. Der externe Nutzer/Angreifer verwendet als weiter die Exchange 2016/2019 OWA und MAPI/HTTP-Dienste. Der Exchange SE macht eine Preauthentication aber nicht mehr. Das kann ich auch mit einem Reverse -Proxy und SAML und Preauthentication oder einem Azure AD Application Proxy erreichen. Der Schutz ist erhöht aber sie müssen ggfls. Angriffe innerhalb der Payload weiter analysieren. Zudem müssen Sie dann natürlich auch jegliche direkten internen Zugriffe von Clients auf die Exchange Server sicher unterbinden. Die meisten Angriffe kommen von intern.

Q: Exchange als SMTP-Relay und Lizenz
Es gibt ja den Exchange Hybrid Connector Server, der keine Postfächer hat und nur für das Provisioning und SMTP-Routing zuständig ist. Das könnte ja auch ein Exchange SE Server macht, der per HCW mit einer "Coexistence-License" versehen wurde.

A: Die Lizenzaussagen von Microsoft sind hier eindeutig. Wenn ein Exchange Server mehr als nur Provisioning macht, und dazu zählt neben das Bereitstellen von Postfächern auch das Routen von Mails, dann muss dieser Server korrekt lizenziert sein, d.h. der Server aber auch CALs, da er ja eine aktive Funktion für Clients bereitstellt. Wer Microsoft 365 E3 o.ä. hat, kann problemlos einen Exchange SE Server als reinen Connector-Server installieren ohne Lizenz ist der Betrieb nicht korrekt.

Q: Wie komme ich an einen Exchange SE Lizenzkey

A: Um einen Exchange SE-Server zu betreiben, brauchen Sie technisch noch keinen Schlüssel. Als "Eval-Version" funktioniert er auch nach 120 Tagen weiter aber ist auf "Standard" beschränkt, d.h. max. 5 Datenbanken im Cluster etc. Der Exchange 2019 Key wird aber von Exchange SE RTM weiterhin erkannt. Es könnte sein, dass auch noch CU1 hier noch keine Änderung vornimmt und erst mit CU2 der Schlüssel streng geprüft wird. Aber juristisch brauchen Sie mit Exchange SE RTM auch schon eine Exchange Se Lizenz. Prüfen Sie erst einmal ihr Volume License Center, ob sie als Lizenznehmer von Microsoft 365 E3/E5/A3/A5/G3/G5 schon einen Lizenzcode erhalten. Ansonsten geht der Weg über die normalen Microsoft Vertriebswege.

Weitere Links