Exchange Hybrid Decommissioning

Migration nach Exchange Online abgeschlossen

Die Anzahl Unternehmen, welche vor allem ihre On-Premises Exchange-Umgebung nach Office 365 migrieren oder migriert haben, steigt stetig an. Dieser Blog-Beitrag befasst sich mit dem Thema „Nach der Migration nach Exchange Online“.

Ein schlagkräftiges Argument für die Migration der eigenen Mail-Umgebung in die Microsoft-Cloud besteht natürlich darin, dass die On-Premises Mail-Server und alle dazugehörigen Systeme aus dem Verkehr gezogen werden können. Somit kann auch effektiv etwas eingespart werden. Microsoft beschreibt in einem TechNet-Beitrag ausführlich, wie man sich in den verschiedenen Szenarien zu verhalten hat. Ich konzentriere mich in meinen nachfolgenden Ausführungen auf dasjenige Szenario, welches die meisten Unternehmen mit Exchange On-Premises schlussendlich antreffen werden. Von folgenden Voraussetzungen gehe ich aus:

  • Alle Mailboxen und Public Folder wurden nach Exchange Online migriert
  • Der SMTP-Inbound- & Outbound-Traffic erfolgt direkt via Exchange Online Protection
  • Die Autodiscover-DNS-Einträge zeigen direkt nach Exchange Online
  • Alle Dienste & Applikationen, welche bisher über die On-Premises Exchange Server SMTP-Relaying gemacht haben, tun dies nun via Exchange Online
  • Es gibt keine 3rd-Party-Applikationen mehr, welche in irgendeiner Form On-Premises auf einen Exchange-Server angewiesen wären (diese Applikationen kommunizieren nun über die unterstützten Protokolle direkt mit Exchange Online)
  • Das lokale Active Directory wird nach wie vor On-Premises verwendet und die benötigten Identitäten werden mit Azure Active Directory Connect (AADC) nach Office 365 respektive ins Azure Active Directory synchronisiert

Die eingefleischten, langjährigen Administratoren von gepflegten Exchange-Umgebungen werden nun sagen: „Sämtliche Exchange-Server zurückbauen, Organisations-Konfigurationen entfernen und die Empfänger-Verwaltung von nun an in Exchange Online durchführen!“ Würde man dies tun – man wird dabei beim Umsetzen auch nicht daran gehindert oder gewarnt – läuft man Gefahr, plötzlich nicht mehr in der Lage zu sein, die relevanten Attribute wie z.B. die „PrimarySMTPAddress“ oder die „EmailAddresses“ bequem editieren zu können.

Der Grund dafür ist einfach: alle Empfänger-Objekte (Mailboxen, Verteilerlisten oder Kontakte) wurden von AADC nach Office 365 synchronisiert, wobei deren „Sync Type“ im Office 365-Protal auf  „Synced with Active Directory“ steht. Dieser Zustand verunmöglicht das Administrieren dieser Objekte in Exchange Online – der Grund dafür: Das On-Premises Active Directory ist „Master“ der besagten, synchronisierten Objekte und demzufolge hat deren Administration im On-Premises Active Directory zu erfolgen.

„Wo liegt das Problem“, sagen die Exchange- und AD-Administratoren, dazu gibt es doch ADSIEDIT oder ich bearbeite gleich alle Attribute via Script mittels dem Active Direcory PowerShell Modul oder dem gutem alten Quest AD PowerShell Modul. Damit lassen sich in der Realität auch alle gängigen Use Cases abdecken, aber das Ganze hat einen Haken: dieses Vorgehen ist von Microsoft nicht unterstützt. Die einzigen zwei Werkzeuge, welche zur Verwaltung der besagten Mail-Attribute unterstützt sind, sind zum einen die Exchange Management Shell (PowerShell) und zum anderen die Exchange Administration Console (Web). Vergessen Sie hierbei gleich die Exchange Management Konsole von Exchange 2010, den diese hat dafür anno dazumal funktioniert, tut ihren Dienst aber inzwischen nicht mehr.

Nachfolgend eine Zusammenstellung, was Sie On-Premises mindestens noch brauchen, um die Mail-Empfänger-Verwaltung korrekt durchführen zu können:

  • 1 Exchange Server, mind. Version 2013
  • Exchange Server jeweils mit dem aktuellsten CU ausrüsten
  • Dieser Exchange Server benötigt keine zu bezahlende Lizenz, Microsoft stellt dafür eine spezielle „Exchange Hybrid-Lizenz“ zur Verfügung
  • Sämtliche Hybrid-Konfigurations-Elemente können entfernt werden (8-tung: lässt sich unter Exchange 2010 nicht elegant mit PowerShell-Befehlen umsetzen, die verbleibenden Elemente im AD-Configuration-Container stören aber den AD-Betrieb in keiner Weise)
  • Der besagte Exchange Server hostet weder Daten (Mailboxen oder Public Folders), noch routet er noch irgendwelche Nachrichten
  • Die initial erstellten Empfänger-Objekte für „Benutzer Mailboxen“ sollten vom Typ „Mail-User“ sein (nach der Synchronisation mit AADC werden sie zum Typ „Remote Mailbox“ konvertiert)

Verteilerlisten, Kontakte, Shared Mailboxen, Room Mailboxen oder Equipment Mailboxen müssen sie nicht zwingend On-Premises erstellen und verwalten, da deren Identitäten nicht zum Authentifizieren benutzt werden. Sie können diese Objekte auch direkt in Exchange Online erstellen und verwalten. Zwecks einer einheitlichen Administration sollte man sich jedoch damit befassen, die Mutationen aller Objekte auf dem On-Premises AD durchzuführen und AADC synchronisiert dann die Objekte und deren Modifikationen ins Azure Active Directory.

Zu guter Letzt  habe ich zum Thema noch eine gute Nachricht. In absehbarer Zeit wird dieser „Exchange Hybrid Server“ nicht mehr notwendig sein: Microsoft wird ein Feature mit dem Namen „Hybrid Recipient Management“ lancieren, womit die Administration der (Mail)Objekte bequem On-Premises oder in der Cloud erfolgen kann. Dieses Feature wird im Q1 2018 im Preview erwartet.