Exchange 2000/2003 nach 2007/2010 Migration - Swing Server

Exchange Deployment Wizard
http://technet.microsoft.com/de-de/exdeploy2010/
Hier können Sie fast alle Migrationswege als Checkliste erhalten. Aber mir fehlen dabei die praktischen Ergänzungen und einige Schritte werden elegant übergangen, z.B. Public Folder Replication

Routine ist eine Gefahr, die gerade Consultants und Dienstleister betrifft. Wer täglich Exchange migriert und keine Checkliste hat, vergisst vielleicht einen wichtigen Schritt. Auch Berufspiloten arbeiten vor, während und nach dem Flug immer wieder Checklisten ab. Selbst TÜV-Prüfer haben ihren Testbogen. für IT-Tätigkeiten sollte dies auch genutzt werden.

Die folgende Checkliste soll sicherstellt, dass die Migration eines Exchange 2000/2003 Server nach Exchange 2007/2010 fehlerarm durchgeführt wird. Sie deckt nicht Migrationen mit Cluster (DAG), mehreren Standorten, Gateways oder Small Business Server ab. Die Beschreibungen sind Stichpunkte, aber zu jedem Prüfpunkt könnte man locker noch mal eine eigene Seite schreiben. Sie sollten aus IT/Exchange-Sicht schon das gleiche Wissen haben, wie ein KFZ-Meister oder Pilot in seinem Metier. Lesen Sie auch die anderen Seiten in diesem Bereich Migration und Koexistenz, z.B. Mig200x-2007 und MigSameOrg.

Vorarbeiten

Die Liste ist bei weitem nicht vollständig. Ich habe hier nur die Punkte aufgezeigt, die für eine 1:1 Migration relevant sind. Oft zeigen sich Probleme auch erst bei der Installation. Die Behandlung aller Eventualitäten im Rahmen dieser Checkliste auf der MSXFAQ scheint mir aber keinen Sinn zu machen. Die wichtigsten Dinge sind:

Thema und Schritte Erledigt

Bye Bye Exchange 5.5

Alle Spuren einer Exchange 5.5 Vorinstallation müssen entfernt sein. Auch Reste eines Active Directory Connectors etc. müssen weg sein. Das kann besonders ärgerlich sein, wenn ein ADC Interorg-CA genutzt wird.

 

Windows 2003 DC auf SP1

In jeder Active Directory Site mit Exchange 2007 muss zumindest ein DC mit Windows 2003 SP1 oder höher stehen

 

AD Standorte und Dienste

Prüfen Sie, dass hier alle Standorte mit Subnetzen und passenden Verbindungen gepfelgt sind, da Exchange 2007 anhand dieser Informationen seine Mails später zustellt.

 

Exchange 2003 Mailrouting

Wenn Sie bisher eine "Single Server Installation betreiben oder aus sonstigen Gründen bislang ohne SMTP-Connector ausgekommen sind, dann sollten Sie nun doch einen Connector anlegen, da sonst der Exchange 2007 Send-Connector als einziger Leitweg ihr Routing beeinflussen würde.

 

Exchange 2007 Besonderheiten

  • NTBackup auf Windows 2008
    Kann noch kein Exchange 2007 sicher. Abhilfe ist angekündigt
  • Es gibt kein NNTP mehr
    Damit ist der Weg auf die öffentlichen Ordner verbaut
  • Windows SMTP-Sinks sind nicht mehr nutzbar
    Zusatzprodukte, z.B. Disclaimer, Antivirus etc. sind daher anzupassen
  • Wegfall des RUS

Die folgenden Punkte betreffen Sie in diesem 1:1 Szenario nicht sondern ist nur eine Warnung für Migrationen in komplexeren Umgebungen.

  • LinkState Routing
    Muss bei mehreren Standorten berücksichtigt werden.
    http://technet.microsoft.com/en-us/library/aa996728.aspx
  • E2007 CAS als Exchange 2003 Frontend
    Funktioniert nur, wenn der CAS keine Mailboxrolle hat. (Also weiterer Server)
    Das betrifft Sie in diesem 1:1 Szenario aber nicht sondern ist nur eine Warnung für einer der Punkte in komplexeren Umgebungen.
  • Public Folder auf CCR ist problematisch
    Beim verlustbehafteten Failover in einer Umgebung mit mehreren PF-Servern sind die Ordner verloren.
    Das betrifft Sie in diesem 1:1 Szenario aber nicht sondern ist nur eine Warnung für einer der Punkte in komplexeren Umgebungen.

 

ExBPA Preflight Check

Für Exchange 2007 eignet sich die Funktion "Exchange 2007 Prefight Check" des ExBPA, um vorab einige Prüfungen durchzuführen. für Exchange 2010 ist ExPDA das bessere Hilfsmittel. Auch NETDIAG, DCDIAG, ultrasound etc. sind Werkzeuge, die Fehler in der Infrastruktur aufzeigen können.

 

OU-Vererbung

Stellen Sie sicher, dass die Vererbung von Berechtigungen nicht abgeschaltet ist. Das Setup legt Sicherheitsgruppen an und vergibt Berechtigungen. Es ist darauf angewiesen, dass diese neuen Rechte auch vererbt werden. Dies gilt nicht nur für die Domäne, sondern auch z.B. für Adresslisten in der Exchange Konfiguration.

Tipp: Addieren Sie einfach oben auf der OU einen User mit READ-Recht und schauen Sie, ob dieses Recht bei allen OUs angekommen ist.

 

AdminSDHolder

Wenn Sie die Seite AdminSDHolder gelesen haben, dann wissen Sie sicher auch, dass solche administrativen Konten eben keine Vererbung mehr haben und damit nach der Addition von Exchange 2007/2010 Berechtigungen die Exchange Dienste auf diese Benutzer weiterhin keine Rechte haben. Korrigieren Sie daher diese Benutzer vorher und machen Se sich einmal Gedanken über ein Adminkonzept

 

RUS und Empfängerrichtlinien, Aliasnamen und SMTP-Adressen

Exchange 2007 ist strenger was die Bildung von Mailadressen betrifft. So darf der Alias keine Leerzeichen, Kommas oder @-Zeichen mehr enthalten, was früher erlaubt war. Gefährlicher ist aber das Verhalten, die SMTP-Adressen anhand der Richtlinien gerade zu ziehen. Wer hier früher Benutzer manuell geändert und die Checkbox beim RUS drin gelassen hat, wird eine Überraschung erleben. Dies sollte vorher gefixt werden.

Auch der Wegfall des RUS bedeutet, das bisherige Skripte und die Exchange 2003 Snap-Ins zum Verwalten der Benutzer später nicht mehr funktionieren.

Zusätzliche Adressen wie FAX, FACSYS, IXIFAX, MRS, C3FAX etc. können ebenfalls das Update erschweren, da Exchange 2007 hierzu keine Bildungsregeln kennt.

 

Drittprodukte

Exchange 2007 ist nicht nur aufgrund der 64bit Basis anders. Prüfen Sie daher vorhandene Drittprodukte auf die Eignung und Migration, z.B. Datensicherung, Antivirus, Archivierung, Reporting, Überwachung etc.

 

Konzepte zu Administration und Betrieb.

Die Delegierung von Berechtigungen funktioniert mit Exchange 2007 ebenfalls anders. Es fehlt nicht nur die Karteikarte in der MMS für Benutzer und Computer. Hier müssen Vorgehensweisen und Dokumentationen überarbeitet werden.

 

PKI und SMIME

Exchange 2007 benutzt für OWA, ActiveSync aber auch Outlook 2007 Autodiscover und SMTP Zertifikate zur Identifizierung und Verschlüsselung. Eventuell ist daher ein PKI-Konzept angebracht.

 

Installation des Exchange 2007/2010 Servers

Der nächste Schritt ist die Installation des Servers.

Thema und Schritte Erledigt

Voraussetzungen schaffen:

  • Hardware korrekt konfigurieren (Speziell RAID Levels und Netzwerkkarten)
  • Windows 2003/2008 x64 installieren
  • Datenbankpartitionen korrekt formatieren
    Stichwort "Disk Alignment" und 64kb Blocksize
  • PowerShell + .NET 2.0
  • IIS + erforderliche Optionen
    Bitte installieren Sie nicht SMTP oder NNTP, da diese auf einem Exchange 2007 Server nicht mehr zulässig sind.

Ich gehe hier nicht auf die Installation der verschiedenen Hochverfügbarkeitsoptionen CCR, SCC, LCR und SCR ein.

 

Exchange installieren

Das Exchange 2007 Setup auf einem Single Server als Domain Admin einer Single Domain ist eigentlich immer problemlos und arbeitet ohne besondere Parameter:

  • Schema Erweiterung, Forestprep, DomainPrep
    Diese Schritte macht das Setup alleine, wenn diese erforderlich sind.
  • Auswahl der Rollen
    Die Standardauswahl installiert "Mailbox, Hub/Transport, CAS", was in fast alle Fällen passend ist
  • Ziel: C:\Programme\Microsoft\Exchange
    Wenn Se mehrere Festplatten haben, dann sollten eventuell den Pfad anpassen
  • Routing Group Connectoren
    Das Setup richtet nur einen RG-Connector zu genau einem Exchange 2003 Server ein. Diesen Server müssen Sie aus einer Liste auswählen.

Nur größere Umgebungen müssen bei der Installation weitere Besonderheiten berücksichtigen, z.B. mehrere Domain, Verteilte administrative Berechtigungen, Redundante Routinggroup-Connectoren.

 

Konfiguration

Nach der Installation startet zwar der Exchange Assistent mit den ersten Schritte, aber meiner Meinung nach greift dieser viel zu Kurz. Daher hier eine Liste der Schritte zur Erstkonfiguration.

Erste Konfiguration Erledigt

Lizenz eintragen

Ohne Lizenznummer nervt die MMC bei jedem Start und sie können z.B. nicht mehr als 5 Speichergruppen anlegen. Exchange läuft aber natürlich auch ohne Lizenz 120 Tage und sogar darüber hinaus.

 

Datenbanken und Speichergruppen

  • Speichergruppen anlegen / Datenbanken anlegen / Pfade verschieben
    Verlagern Sie die Pfade der Datenbanken und Transaktionsprotokollen an die gewünschten Orts
  • Quotas einrichten
    Es ist immer eine gute Idee, auf der Datenbank "Defaultwerte" einzutragen, um ein explosives Wachstum zu verhindern. Exchange 2007 hat sogar erstmals "Defaults", die bei der Migration stören können, wen Sie nicht pro Benutzer eigene Einstellungen haben.
    Aber seit Windows 2003 R2 können auch Quotas auf Verzeichnisse eingerichtet werden. So können Sie verhindern, dass eine Datenbank die komplette Partition füllt und andere Datenbanken in der gleichen Partition stört. Auch zur Überwachung sind diese Funktionen sehr effektiv.
  • Tombstone einstellen
    Wie lange bleiben gelöschte Objekte "wieder herstellbar" (Default 14 Tage)
    Wie lange bleiben gelöschte Postfächer wieder verbindbar (Default 30 Tage)
  • Berechtigungen für Dienstkonten (Blackberry, Archiv, Backup)
    Es gibt immer Konten, welche Berechtigungen auf eine Menge oder alle Postfächer benötigen. Dies muss man z.B.: pro Datenbank einrichten. (Siehe auch

add-adpermission -User "ADM-MailboxFullAccess" -accessrights GenericRead, GenericWrite -extendedrights Send-As, Receive-As, ms-Exch-Store-Admin

 

Logging und Messagetracking

Exchange protokolliert die Aktivitäten der Benutzer in verschiedenen Dateien. Prüfen Sie Pfade, Obergrenzen und Verweildauer bzw. welche Logs sie entsprechend anpassen müssen

  • Messagetracking auf dem Mailboxserver (Set-Mailboxserver)
    Pfad und Verweildauer sind eventuell anzupassen
  • Messagetracking auf dem Transportserver (Set-Transportserver)
    Pfad und Verweildauer sind eventuell anzupassen
  • IISLogs
    Wer später die Nutzung des IIS (RPC/HTTP, ActiveSync, OWA, WebServices) auswerten will, muss im IIS die Logs entsprechend einstellen. So ist die Größe der Daten per Default nicht in der Protokolldatei enthalten (sc-bytes und cs-bytes) Auch der Pfad sollte vielleicht nicht auf der Systemfestplatte liegen.
  • SMTP Logs
    Weitere Auswertungen, die über das eigentliche Messagetracking hinaus gehen, sind hier zu aktivieren. Gerade in der Anfangszeit kann dies bei der Fehlersuche helfen.
  • POP3/IMAP4-Server
    Die Protokollierung ist hier per Default abgeschaltet aber sollte für Auswertungen natürlich auch aktiviert werden.

 

Journal und Transportregeln

Ehe in der folgenden Stufe das Mailrouting weiter konfiguriert wird, sollte sichergestellt werden, dass die Mails auch ordentlich protokolliert und optional im Journal abgelegt wird. Die folgenden Einstellungen sind zu prüfen:

  • Anlegen eines Journalpostfachs
    Wird ein Journal erforderlich, dann ist das Ziel des Journals (Kontakt oder Postfach) anzulegen.
  • Journalregeln auf dem Transport
    Wenn bestimmte Nachrichten in ein Journal gesendet werden müssen, muss hier der Filter und das Ziel konfiguriert werden. Achtung: Transport-Journalling benötigt eine Enterprise CAL.
  • Store-Journal
    Auf dem Postfachspeicher kann ebenfalls die Journalfunktion aktiviert werden
  • Transportregeln
    Über Transportregeln kann gesteuert werden, welche Mails überhaupt übertragen werden. Dies ist der Ort, um z.B. den Versand in das Internet zu steuern.

 

Routinggroup Connector

Die Installation des ersten Exchange 2007 Servers in eine gemischte Umgebung hat einen Connector zur Exchange 2003 Welt angelegt. Dieser muss nicht geändert werden. Nur wenn Sie mehrere Server haben, ist eine Erweiterung dieser Konfiguration zu überlegen.

 

SMTP Versand

Um Mails in das Internet zu senden muss Exchange 2007 einen Weg wissen. Dazu wird ein SEND-Connector angelegt, der die Mails per DNS oder Smarthost versendet. Vorbereitend sind natürlich entsprechende Freischaltungen in der Firewall, auf dem Smarthost und für die DNS-Abfrage erforderlich. Auch die Maximalgröße von Mails ist hier konfigurierbar (Default 10 MB)

 

SMTP Empfang und Transportrolle

Per Default nimmt Exchange 2007 keine Mails von anonymen Absendern an. Das ist natürlich schlecht für den Empfang aus dem Internet oder von internen Prozessen. Wenn man keinen EDGE-Server hat oder das vorgelagerte Relay sich am Exchange nicht anmeldet oder interne Clients etwas senden müssen, dann ist eine Anpassung erforderlich. Siehe auch E2K7:Receiveconnector

  • Connector "Anonym Accept"
    erlaubt anonymen Zugang von ausgewählten IP-Adressen
  • Connector "Anonym Relay"
    Optional auch den Versand ins Internet anonym erlauben
  • Einstellung von Enforcement
    z.B. der Default Domain, der maximalen Mailgröße (Default: 10 MB), Tarpitting, Postmaster-Adresse und individueller NDRs
  • Anpassen der "maxConnectionsPerClient" beim Einsatz mit Loadbalancer
  • Setzen des Banners auf den Receive Connectoren
    z.B. auf den Namen des Connector, damit beim Test per "TELNET server 25" sichtbar wird, welche Konfiguration gezogen wird.

 

Konfiguration der CAS-Rolle

Was wäre Exchange ohne Outlook und andere Clients. Entsprechend sind Einstellungen erforderlich

  • Einrichtung eines CAS-Array
    Microsoft empfiehlt mittlerweile immer den Einsatz eines CAS-Array, auch wenn sie nur einen CAS-Server haben. Outlook schwenkt nicht mehr und der gesonderte Name ist die beste Basis, diese Funktion auf andere Server zu verlagern.
  • Kerberos für CASArray
    Per Default kann ein Client sich an einem CASArray nicht per Kerberos anmelden. Diese Einrichtung muss ab Exchange 2010 SP1 manuell erfolgen, aber ist von Microsoft empfohlen.
  • Loadbalancer
    Irgendwie müssen Sie sicherstellen, dass die Clients auf einem funktionsfähigen CAS-Server landen. Wem NLB nicht ausreichend ist, der sollte sich zum Themas LoadBalancer informieren. Hierzu gehört auch das Festlegen der entsprechenden Ports.
  • DNS-Einträge
    Es bietet sich immer an, nicht reale Servername zu verteilen, sondern DNS-Aliasse wie "mailout, mailrelay, pop.firma.de etc. zu verwenden. Diese Namen sind natürlich für die Generierung eines SSL-Zertifikats erforderlich.
  • SSL Zertifikat
    Sobald Clients aus dem Internet auf Exchange zugreifen müssen, ist der Einsatz eines privaten oder besser noch offiziellen Zertifikats ratsam, welches mit "new-exchangecertificate" (Siehe E2K7:Zertifikate) angefordert werden können. Das Zertifikat ist entsprechend an die gewünschten Dienste zu binden.
  • POP3/IMAP4
    Sofern erforderlich müssen diese Dienste auf Automatisch gesetzt werden. Ein Herabsetzen der Sicherheit bezüglich der Anmeldung sollte nur bei rein internem Zugriff überlegt werden, damit die Domainkennworte nicht über das Internet unsicher übertragen werden. Dies Protokolle werden oft von Mobiltelefonen oder Prozessen genutzt, die kein MAPI, ActiveSync oder OWA verwenden
  • RPC/HTTP
    Diese Funktion muss bei Bedarf ebenfalls aktiviert werden.
  • OWA Anpassungen
    Die EinstellMöglichkeiten von OWA sind zu umfangreich, um diese alle hier aufzuzählen. Wichtig ist der Einsatz von SSL und optional die Vorgabe der Authentifizierungsdomain. Die Angabe einer ExternalDomain und InternalDomain
  • Webservices und Autodiscover
    Wenn man das Zertifikat nur auf einen offiziellen Namen ausstellt, dann muss man auch die Veröffentlichungspunkte hierfür anpassen, damit die Clients mit dem zum Zertifikat passenden Namen ankommen.

 

Message Limits

Sofern Sie nicht schon bei der Einrichtung der Connectoren, Speichergruppen und Postfächer entsprechende Limits konfiguriert haben, sollten Sie noch einmal alle Grenzwerte prüfen

  • ReceiveConnector
  • Send Connector
  • Globale transportregeln
  • Datenbankgrenzen
  • Postfachbezogene Grenzwerte

 

Offline Adressbücher

Der vorhandene Exchange Server erstellt bereits ein OAB, welches aber nicht als "Webservice" bereit gestellt wird. Sie können zwar nun überlegen, dieses OAB zu übernehmen, aber ich lege in der Regel ein neues OAB an, welches der Exchange 2007 Server generiert und von den Exchange 2007 Speichergruppen genutzt wird. So kann ich vorab mit Testbenutzern die Funktion prüfen und wo wie nach und nach die Benutzer migriert werden, nutzen Sie dann das neue OAB. Hier muss man z.B. die Proxy Generation DLLs beachten, die vielleicht auf Exchange 2007 nicht funktionieren. Ein Blick ins Eventlog ist daher ratsam, dass alle OABs auch wirklich generiert werden. Die alten OABs können nach der Postfachmigration dann einfach gelöscht werden.

Viele Firmen stellen Änderungen der Adressbücher erst einmal hinten an, und stellen diese erst mit der Deinstallation der Exchange 2003 Server um.

 

Empfängerrichtlinien

Die Empfängerrichtlinien müssen irgendwann "übernommen" werden. Diese Umstellung verlegen die meisten Administratoren aber nach hinten, da dieser Schritt nicht umkehrbar ist und viele Einstellungen in der Exchange 2003 MMC einfacher möglich sind. Stichwort E2007:OPATH.

Viele Firmen stellen Änderungen der Empfängerrichtlinien erst einmal hinten an, und stellen diese erst mit der Deinstallation der Exchange 2003 Server um. Das ist durchaus sinnvoll, weil dann schon alle Postfächer auf Exchange 2007

 

ExBPA

Es ist immer eine gute Idee, den ExBPA, der bei Exchange 2007 in der Toolbox per Default mit vorhanden ist, regelmäßig auszuführen, um Fehler zu entdecken.

 

3rd Party Produkte

Ehe Sie an die Migration gehen, bleibt noch die Integration von Drittprodukten offen:;

Thema und Schritte Erledigt

Backup

Installieren und konfigurieren Sie ihre Sicherungslösung. Die meisten Firmen werden auch Exchange 2007 online über die Streaming-API sichern. wie dies in der Vergangenheit üblich war. Sicherungen per Schattenkopie, Snapshot und SAN sind aber eine interessant Option für Firmen mit großen Datenbanken oder schnelle Restore-Zeiten wünschen.

Testen Sie aber in der Phase auch ein Restore einer produktiven Datenbank als auch eine Wiederherstellung in die Recovery Storage Group)

 

Antivirus

Kein Exchange Server sollte ohne Virenscanner arbeiten. Das betrifft sowohl den Datei-Scanner, der den Server selbst schützt aber die Exchange Datenbanken auslassen muss, als auch den Postfachscanner, der Mail während der Übertragung und bei der Ablage im Postfach prüft.

Die "Forefront-Lösung" von Microsoft ist auf vielen CDs vorhanden aber nicht kostenfrei, sondern nur eine 120 Tage Version. Prüfen Sie ihre Lizenzen oder Drittprodukte.

 

Monitoring

Exchange 2007 hat andere Performance Counter und TestMöglichkeiten, die eine Überwachung nutzen sollte. Entsprechende Anpassungen sind erforderlich.

 

Test

Die hier aufgezählten Tests sind nur eine sehr kleine Liste der aus meiner Sicht mindestens durchzuführenden Tests. Einige der Tests können auch zur permanenten Überwachung herangezogen werden.

Thema und Schritte Erledigt

Testbenutzer auf Exchange 2007 einrichten

Zuerst müssen wir einen Benutzer zum Testen auf Exchange 2007 einrichten. Das muss natürlich funktionieren.

 

Mailflow testen

Der einfachste Test ist natürlich das Versenden von Nachrichten

  • Postfach 2003 -> Postfach 2007
  • Postfach 2007 -> Postfach 2003
  • Postfach 2007 -> Internet
  • Internet -> Postfach 2007

 

Zugriff durch Clients testen

Das Exchange 2007 Postfach sollte nun auch über die anderen Wege geprüft werden. Besonders die Zertifikate und Authentifizierung sind hier relevant.

  • OWA per HTTPS über Exchange 2007 CAS Server
  • ActiveSync per HTTPS über Exchange 2007 CAS Server
  • RPC over HTTP

Wer wirklich einen CAS-Server ohne Mailboxrolle betreibt, kann natürlich auch die Erreichbarkeit der Exchange 2003 Postfächer über den neuen CAS-Server prüfen.

 

Drittprodukte

Auch die installierten Zusatzprogramme sind zu prüfen:

  • Antivirus
    Senden Sie Testmails mit Virus (Siehe Eicarsender)
  • Datensicherung und Archiv
    Prüfen Sie auch diese Funktion. Speziell bei der Archivierung ist wichtig, ob die Benutzer ihre alten Nachrichten finden und auch wieder herstellen können. Das gilt auch für den Zugriff per OWA
  • Faxserver
    Können weiterhin Faxe versendet und empfangen werden ?
  • Monitoring
    Erkennt ihre Überwachungssoftware den neuen Server und kann Sie auch die Fehler entsprechend berichten ?. Werden auch erforderliche statistische Daten und Performance Counter aufgezeichnet ?

 

Test-Commandlets und Monitoring

Sowohl die in Exchange 2007 vorhandenen TEST-Commandelts als auch die eigenen Überwachungswerkzeuge sollten die Funktion der Server prüfen. Noch können Sie auch Fehler simulieren (z.B. falsche Smarthost oder DNS, damit die Queues voll laufen oder Dienste stoppen) um Alarmierungen zu prüfen.

Dazu gehört aber auch eine Überwachung und Kontrolle der Hardware, d.h. dass ein Ausfall einer RAID-Festplatte auch gemeldet wird und sie auch die Schritt für ein Rebuild können. Auch redundante LAN (Teaming) und SAN Anbindungen müssen sowohl ihre Funktion als auch die Meldung des Fehlers beweisen.

Prüfen Sie auch die Clientzugriffe über die verschiedenen Wege (OWA, ActiveSync, POP3, IMAP4, SMTP, RPC/HTTP, Autodiscover, Exchange Web Services (EWS für OOF etc.)

 

Migration

Die eigentliche Produktivmigration darf erst starten, wenn alle vorangehenden Schritte erfolgreich erledigt wurden. Sie müssen sicher sein und ein gutes Gefühl haben, dass der neue Server zuverlässig arbeitet. Fehler, die noch nicht geöst sind, können bei der Migration das Problem potenzieren, z.B. weil die öffentliche Ordner Replikation die Queues füllt oder die Postfachmigration mangels Rechten nicht stattfinden kann.

Thema und Schritte Erledigt

Replikation der öffentlichen Ordner auf Exchange 2007

Dies kann durchaus einige Tage dauern und vorher sollten die Postfächer noch nicht verschoben werden. So kann der Server langsam die Datenbank aufbauen und der SMTP-Traffic der Replikation stört nur bedingt die Anwender. Zudem können Sie nun auch mit ihrem Backup prüfen, ob die Transaktionsprotokolle abgeschnitten werden.

Dieser Prozess ist nebenbei ein echter Last-Test der Hub/Transport Server, Virenscanner und Disks, da hier sehr viele Mails übertragen werden.

In dem Zuge sollten Sie auch prüfen, dass alle Ordner mit Mailadresse auch korrekt als "Mailenabled" angezeigt werden.

 

CAS Zugriff umstellen

Wenn Sie dedizierte CAS-Serverhaben, sollten die Zugänge auf OWA und ActiveSync auf die neuen CAS-Server umgestellt haben, da die bisherigen Exchange 2003 Server nicht als Zugang auf Exchange 2007 Postfächer arbeiten können. Umgekehrt geht dies, wenn der CAS keine Mailboxrolle hat.

Für die Migration von einem Exchange 2003 Server auf einen Exchange 2007 Server müssen die Anwender nach der Postfachmigration synchron ihre Links und URLs anpassen.

 

Routing umstellen

Die neuen Exchange 2007 Hub/Transport Server sollten sehr früh auch den Mailverkehr übernehmen. Sie sind zum einen leistungsfähiger und können dann auch für die Exchange 2003 Empfänger und Sender mit Transportregeln arbeiten.

Wann die Umstellung erfolgt, ist egal, wenn die Konfiguration stimmt. Auch ausgehend Mails werden mehr und mehr über den Exchange 2007 Send-Connector übertragen. für Anwender ändert sich dabei natürlich auch die Ansicht und unzustellbarkeiten etc.

Beachten Sie dabei aber Einschränkungen mit mehreren Exchange 2003 Sites und LinkStateRouting. Innerhalb einer gemischten Organisation können nicht alle internen Mails über Exchange 2007 geleitet werden.

 

Postfächer migrieren

Dann können Sie Schritt für Schritt die Postfächer auf den neuen Server migrieren. Meist schafft man ca. 2-5 GB/Stunde. Die jeweiligen Postfächer sind in der Zeit gesperrt. Outlook stellt nach der Migration beim ersten Zugriff das MAPI-Profil auf den neuen Server um.

Achten Sie hierbei auf jeden Fall die die Transaktionsprotokolle der Postfachspeicher, da diese sehr stark wachsen.

Get-recipient | where { $_.RecipientTypeDetails -Eq " LegacyMailbox"} | Move-Mailbox -TargetDatabase "SR01\MB1"

Benutzer müssen aber in der MusterUmgebung danach den neuen CAS-Server für den zugriff per OWA, POP3, IMAP4 oder ActiveSync nutzen. Zu berücksichtigen ist hier die veränderte Bedienung von OWA 2007 und Outlook 2007, die eventuell in Kurzschulungen oder zumindest als Mitarbeiterinformation erklärt werden sollte.

Vergessen Sie bei der Migration nicht die Benutzer, die sich noch nie angemeldet haben und daher nicht in der Ansicht des Postfachspeichers sichtbar sind.

Prüfen sie, dass ihre Transaktionsprotokolle auf dem Zielsystem entweder regelmäßig durch ein Backup gelöscht werden. Denkbar ist auch der temporäre Wechsel auf "Circular Logging" während der Migration (Restrisiko beim Ausfall ohne CCR/DAG)

 

Adresslisten / GAL und Offline Adresslisten

Irgendwann kommt die Zeit, zu der die Adresslisten auf Exchange 2007 migriert werden müssen.

Set-GlobalAddressList "Default Global Address List"
 -RecipientFilter {(Alias -ne $null
	 -and (ObjectClass -eq 'User'
	 -or ObjectClass -eq 'contact'
	 -or ObjectClass -eq 'msExchSystemMailbox'
	 -or ObjectClass -eq 'msExchDynamicDistributionList'
	 -or ObjectClass -eq 'group'
	 -or ObjectClass -eq 'publicFolder'))}

Get-AddressList | Update-AddressList

Set-AddressList "All Users"
   -IncludedRecipients MailboxUsers

Set-AddressList "All Groups"
   -IncludedRecipients MailGroups 

Set-AddressList "All Contacts"
   -IncludedRecipients MailContacts 

Set-AddressList "All PublicFolders"
   -RecipientFilter { RecipientType -eq 'PublicFolder' }

Get-OfflineAddressBook | Move-OfflineAddressBook NeuerE2007Server 
Get-OfflineAddressBook | Update-OfflineAddressBook

Set-EmailAddressPolicy "Default Policy"
   -IncludedRecipients AllRecipients

Diese Änderungen müssen erst repliziert werden und speziell die Generierung und Verteilung der Offline Adressbücher sollten Sie überprüfen.

 

Entfernen von Exchange 2000/2003

Wenn dann wirklich alle Daten und Inhalte von dem alten Exchange 2000/2003 Server entfernt sind, dann können Sie an die Deinstallation des Servers gehen. Wenn Sie erst vor kurzen Postfächer verschoben haben, dann werden die Outlook Profile noch auf diesen Server verweisen. Nach dem umzug sollten Sie also einfach ein paar Tage vergehen lassen, ehe Sie den alten Server entfernen. Outlook Profile stellen sich sonst nicht alleine um.

Thema und Schritte Erledigt

Postfächer prüfen

Nicht jedes Postfach, welches noch auf dem Exchange 2003 Server liegt, wurde verwendet. Daher "sehen" sie in der Datenbankanzeige vielleicht kein Postfach, obwohl noch eines auf dem Server konfiguriert ist. Eine Suche im Active Directory ist hier hilfreich oder die Anzeige des Homeservers und der Home-Datenbank in der Exchange 2007 Konsole.

Löschen Sie bitte NICHT die letzte Postfachdatenbank, da ohne Postfachdatenbank auch das Mailrouting nicht mehr zuverlässig ist.

 

Offline Adressbuch umstellen

Wenn dies nicht schon vorher erfolgt ist, dann müssen Sie noch die Generierung der Offline Adressbücher auf Exchange 2007 umstellen

 

Replikation der öffentlichen Ordner von Exchange 2003 entfernen

Die eventuell noch auf dem Exchange 2003 Server liegenden Replikate werden vom alten Server entfernt. Nach einiger Zeit sollte dann auch in den Ressourcen des Ordners keine Ordner mehr sichtbar sein (Ausnahmen wie OWAScratchpad und andere ausgeschlossen)

Bei einer aktuellen Replikation sollte dieser Schritt nur wenige Minuten dauern, da der alte Server den Ordner nur auf "delete pending" setzt, eine Statusmal sendet und die Bestätigung der Replikationspartner abwartet, ehe er den Ordner wirklich entfernt.

How to decommission a Public Folder server without losing any data
http://blogs.technet.com/b/exchange/archive/2004/05/04/126015.aspx

Zum Schluss können Sie die entsprechende Datenbanken entfernen.

 

Public Folder Hierarchie umziehen

In genau einer Exchange 2003 administrativen Gruppe gibt es die "Public Folder Hierarchie". Auch diese muss man in die Exchange 2007 Admingruppe umziehen. Dazu muss man im Exchange System Manager einfach in der administrativen gruppe des Ziels zuerst einen Container für öffentliche Ordner Hierarchien anlegen und dann per Drag die öffentliche Ordner Hierarchie verschieben.

 

WARTEN

Wenn Sie glauben, alle Funktionen übertragen zu habe, dann warte ich gerne noch mal 1-2 Wochen.

Wer mag, kann auch die Exchange Dienste einfach mal ein paar Tage anhalten und sehen, ob noch alles wie gewohnt funktioniert. Mit aktivierten Diensten gibt es jedoch keinen Ausfall, aber ich sammle so genug Daten für den nächsten Schritt.

 

"Freischaltung" des Exchange 2003 Servers prüfen

Prüfen Sie anhand der verschiedenen Protokolle (SMTP, HTTP, Eventlog, Messagetracking), dass der alte Server wirklich von niemandem mehr genutzt wird. Erst dann sollten Sie dann die Deinstallation gehen.

Besonders das Message Tracking ist hier ein guter Indikator, welche Mails der Server noch bewegt. es sollten maximal ein paar öffentliche Ordner Hierarchie-Updates sein.

Wer mag, kann auch die Exchange Dienste einfach mal ein paar Tage anhalten und sehen, ob noch alles wie gewohnt funktioniert.

 

SERVER IST LASTFREI

Die nächsten Schritte sollten Sie nur angehen, wenn Sie nun sicher sind, dass der Server keine Funktion mehr hat.

 

Monitoring und Backup anpassen

Der Server wird in Kürze kein Exchange mehr haben. Um Fehlalarme zu verhindern sollten Sie ihre Systemüberwachung pausieren oder so anpassen, dass die Exchange Rolle nicht mehr überwacht wird.

Auch die Datensicherung muss angepasst werden, da es bald keinen Datenbank mehr zu sichern gibt.

 

RG Connector und Routinggruppe entfernen

Wenn klar ist, dass keine Mails mehr über den letzten verbliebenen Exchange 2000/2033 Server übertragen werden, dann kann der Routing Group Connector gelöscht werden.

Wenn am Ende keine Routinggruppe mehr in der administrativen Gruppe vorliegt, dann kann die auch noch entfernt werden.

 

RUS umstellen / löschen

Das Exchange 2007 keinen RUS mehr betriebt, können Sie die Einträge löschen, da sonst die Deinstallation des Exchange 2003 Servers sich verweigert. Die Empfängeraktualisierungsdienste für die jeweiligen Domains können noch über den Exchange System Manager gelöscht werden. Nur der Enterprise RUS lässt sich nur per ADSIEDIT entfernen.

 

Server deinstallieren

Achtung:
Nach der Deinstallation bleiben IIS mit RPCProxy, NNTP und SMTP "gestartet" zurück aber zumindest SMTP kann nicht mehr routen. Stoppen oder Deinstallieren Sie die Dienste, wenn Sie Missverständnisse und Datengräber verhindern wollen.

Exchange kann offiziell über die "Systemsteuerung - Programme" deinstalliert werden. Wenn dies nicht funktioniert, dann sollten Sie das Setup von der CD starten und so Exchange entfernen.

Lassen Sie aber die Exchange 2003 Admintools noch installiert. Sollte die Deinstallation verweigert werden, dann lösen Sie bitte die genannten Probleme (z.B. vergessene Postfächer, Connectoren, Ordner, Dienste etc.) Sie können die Exchange 2003 Verwaltungskonsole noch installiert lassen, wenn Sie z.B. Vorlagen etc. damit noch verwalten wollen.

 

Server-Kontainer Löschen

Wenn der letzte Exchange 2003 Server entfernt wird, bleibt manchmal die Server-OU in der Administrativen Gruppe von Exchange Konfiguration zurück. Diese muss mit ADSIEDIT entfernt werden, da ansonsten z.B. Mails an öffentliche Ordner nicht mehr funktionieren:

 

Exchange Konfiguration aufräumen / Kontrolle mit LDIFDE

Eine Exchange Deinstallation entfernt nicht immer alles. Temporäre Dateien oder nachträglich ersetzte Module werden nicht immer entfernt. Das Exchange Programmverzeichnis muss meist manuell gelöscht werden. Das ist natürlich alles nicht wichtig, wenn der Server sowieso außer Betrieb geht. Auch andere Produkte (z.B. Exchange Virenscanner, Exchange Backup Agent etc. sollten Sie entfernen.

Damit niemand den Server irrtümlich nutzt, deinstalliere ich auch NNTP und SMTP, da diese Dienste auch ohne Exchange ansonsten weiter Verbindungen annehmen aber nicht mehr weiter leiten.

Wenn der Server komplett entfernt wird, dann nehmen ich ihn "geplant" aus der Domäne heraus, so dass auch das Computerkonto in der Domäne entfernt werden kann.

Ich habe mir angewöhnt, nach solchen umfangreichen Änderungen sowohl die Domain als auch die Configuration-Partition mit LDIFDE zu exportieren und mit einem Editor dann die Ausgaben nach den alten Servernamen und nach "DEL" für gelöschte Objekte zu durchsuchen und die fraglichen Stellen dann zu korrigieren.

LDIFDE -f config.ldf -d "CN=Microsoft Exchange,CN=Service,CN=Configuration,DC=<domain>,DC=<tld>

LDIFDE -f domain.ldf -d "DC=<domain>,DC=<tld>

Änderungen an solchen Einträgen die LDIFDE offenbart, sollten Sie genau vorab prüfen.

 

Sicherheit anpassen

Nach der Deinstallation des letzten Exchange 2000/2003 Server können Sie ihre Umgebung noch sicherer machen, indem Sie überflüssige Berechtigungen und die Exchange 2000/2003 Gruppen  entfernen. Allerdings ist dies nur dann Gefahrlos, wenn Sie die Gruppen nicht für andere Zwecke missbraucht haben. Ich würde daher zuerst die Mitglieder der Gruppe entfernen und den Serverneustart abwarten, um zu sehen, dass diese nicht mehr benötigt werden.

Die Berechtigungen auf die Exchange Organisation können Sie mit folgender PowerShell Befehlszeile entfernen

Remove-ADPermission "dc=<Domain>" -User "<RootDomain>\Exchange Servers" -AccessRights WriteDACL -InheritedObjectType Group

Zudem können die beiden Gruppen "Exchange Domain Servers" und "Exchange Enterprise Servers" gelöscht werden, wenn diese leer sind.

 

ExBPA

Es ist immer eine gute Option, nachträglich ab und an mit EXBPA auf unstimmigkeiten zu prüfen und die Hinweise zur Lösung umzusetzen.

 

Eine umschaltung in einen Exchange 2007 "Native Mode" gibt es nicht.

Achtung:
Sie können die Exchange 2003 Administrative Gruppen per ADSIEDIT entfernen, wenn Sie sicher sind, dass alle Dienste diese nicht mehr verwenden. Aber es stört auch nicht, wenn Sie diese im AD belassen. In Exchange 2007 sind diese nicht sichtbar und stören nicht. Siehe auch LegacyExchangeDN und "945602 Users who use Outlook 2003 cannot publish their free/busy data in Exchange Server 2007"

Weitere Links