Wie Admins den letzten lokalen Exchange Server entfernen

Warum einige Unternehmen eine hybride Exchange-Konfiguration benötigen

Die Notwendigkeit eines lokalen Exchange Servers bei gleichzeitiger Nutzung von Microsoft 365/Office 365 ergab sich vor allem aus der Notwendigkeit des Zugriffs auf Verwaltungstools, die sich im Exchange-Administrationsportal auf dem lokalen Server befanden. Zu diesen Verwaltungsfunktionen gehörten Exchange PowerShell und das Exchange Admin Center, das die Erstellung von Verteilerlisten, die Verwaltung von Empfängern, die Verwaltung öffentlicher Ordner und die Überwachung vieler Exchange-Hybridkonfigurationen unterstützte.

Für Unternehmen, die auf Microsoft 365 umgestiegen sind, war dieser letzte Exchange Server immer ein großes Problem. Das Patchen, Sichern und Absichern dieses verbleibenden Exchange Servers war eine Arbeitslast, die nicht mehr für das Hosten von Postfächern benötigt wurde, nachdem die Organisation ihre Benutzer auf Exchange Online umgestellt hatte.

Die gelegentlichen Warnungen über Exchange-Zero-Days waren eine schmerzhafte Erinnerung daran, dass der Server sofort Abhilfe schaffen musste, da er mit dem Internet verbunden ist. Mit der Veröffentlichung der aktualisierten Verwaltungstools in Exchange Server 2019 im April 2022 können Organisationen nun eine Verbindung und Synchronisierung mit AD herstellen und E-Mail-Empfänger verwalten, ohne dass ein lokaler Exchange Server erforderlich ist.

Für Unternehmen, welche die meisten Arbeitslasten in die Cloud verlagert haben, kann diese Option der letzte Schritt sein, um ihre lokalen Server vollständig zu entlasten. Administratoren, die den lokalen Server nicht mehr benötigen, können sich auf die Verwaltung von Exchange Online konzentrieren und müssen sich nicht mehr um die lokale Installation kümmern, deren Wartung Hardware und Software erfordert.

Voraussetzungen, um den letzten Exchange Server zu entfernen

Organisationen müssen die Anforderungen der Exchange Server 2019-Verwaltungstools erfüllen, die Anwendungen auf Windows Server 2019 oder höher installieren.

Der erste Schritt zum Entfernen des letzten Exchange Servers aus der hybriden Umgebung ist die Erfüllung folgender Punkte:

• Alle Postfächer und öffentlichen Ordner befinden sich in Exchange Online.
• Die Organisation verwendet Active Directory für die Empfängerverwaltung und Azure AD Connect für die Synchronisierung von Active Directory-Objekten.
• Es wird keine rollenbasierte Zugriffskontrolle verwendet.
• Keine erforderliche Prüfung oder Protokollierung von Aktionen im Zusammenhang mit der Empfängerverwaltung.

Mit diesen Voraussetzungen kann der Administrator die Exchange-Einrichtung in Exchange Server 2019 CU12 oder höher ausführen, um auf die aktualisierten Exchange-Verwaltungstools zuzugreifen, die auf einem domänenverbundenen Computer installiert sind.

Administratoren können den letzten Server noch nicht deinstallieren. Microsoft stellt Skripte zur Verfügung, um Active Directory von allen Resten des letzten Exchange Servers zu bereinigen.

Die aktualisierten Exchange-Verwaltungstools erfordern Windows PowerShell, um die folgenden Cmdlets zu verwenden:

• Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser und Enable-MailUser.
• Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact und Enable-MailContact.
• Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox und Enable-RemoteMailbox.
• Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup und Enable-DistributionGroup (außer Upgrade-DistributionGroup).
• Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember und Update-DistributionGroupMember.
• Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy und Update-EmailAddressPolicy.
• Set-User und Get-User.

Diese PowerShell-Befehle stehen nur Domänenadministratoren und einer Sicherheitsgruppe namens Recipient Management EMT zur Verfügung, die ein Skript der Exchange-Verwaltungstools erstellt.

So entfernen Sie den Exchange Server

Überprüfen Sie zunächst mit diesen PowerShell-Befehlen, ob sich alle Postfächer in der Microsoft-Cloud befinden:

Set-AdServerSettings -ViewEntireForest $true

Get-Mailbox

Überprüfen Sie, ob die Koexistenz-Domäne des Exchange Online-Mandanten als Zielzustellungsdomäne festgelegt ist:

Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain

Installieren Sie die Exchange-Verwaltungstools aus dem Exchange Server 2019 April 2022 CU-Update.

Installieren Sie die Remote Server-Verwaltungstools.

Kopieren Sie das Skript mit dem Namen ScriptingAgentConfig.ml aus dem Ordner CmdletExtensionAgents auf dem Exchange Server in den Installationsordner der neuen Exchange-Verwaltungstools.

Führen Sie folgenden Befehl aus:

Add-PSSnapin *RecipientManagement

Führen Sie einen Test mit den aufgeführten PowerShell-Befehlen aus, um den Status zu überprüfen. Wenn es keine Probleme gibt, schalten Sie den letzten verbleibenden Exchange Server ab.

Bereinigen von Verweisen auf die Exchange-Hybridkonfiguration

In den nächsten Schritten wird erläutert, wie Sie Verweise auf die Hybridkonfiguration über die Exchange Management Shell entfernen.

Führen Sie folgende Befehle aus, um die Verbundvertrauensstellung und das Zertifikat vom letzten Exchange Server zu entfernen:

Remove-FederationTrust "Microsoft Federation Gateway"

$fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint

Remove-ExchangeCertificate -Daumenabdruck $fedThumbprint

Im nächsten Schritt wird die von OAuth verwendete Dienstprinzipal-Berechtigung widerrufen. Führen Sie folgende Befehle aus, um den OAuth CredValue abzurufen:

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint

$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}

$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert

$certBytes = $oAuthCert.Export($certType)

$credValue = [System.Convert]::ToBase64String($certBytes)

Führen Sie folgendes Skript aus, um KeyId zu erhalten. Der Code verwendet das Azure Active Directory-Modul für Windows PowerShell, um die Übereinstimmung mit dem OAuth credValue zu finden:

Install-Module -Name MSOnline

Connect-MsolService

$ServiceName = "00000002-0000-0ff1-ce00-000000000000"

$p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceName

$keyId = (Get-MsolServicePrincipalCredential -AppPrincipalId

$p.AppPrincipalId -ReturnKeyValues $true | ?{$_.Value -eq $credValue}).KeyId

Führen Sie folgenden Befehl aus, um die Dienstprinzipal-Berechtigung zu entfernen:

Remove-MsolServicePrincipalCredential -KeyIds @($keyId) -AppPrincipalId $p.AppPrincipalId

Organisationen, die eine moderne Hybridkonfiguration verwenden, müssen den Hybridagenten entfernen, indem sie mehrere Befehle auf dem Computer ausführen, auf dem sich der Agent befindet. Wechseln Sie mit der Exchange Management Shell in den Ordner C:\Programme\Microsoft Hybrid Service\ und führen Sie dann folgenden Befehl aus, um das PowerShell-Modul des Hybridagenten zu importieren:

Import-Modul .\HybridManagement.psm1

Suchen Sie die AppId, die zum Entfernen des Hybridagenten benötigt wird, mit dem folgenden Befehl:

Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer

Die AppId ist die GUID in der Ausgabe, wie im folgenden Beispiel gezeigt:

<GUID>.resource.mailboxmigration.his.msappproxy.net

Verwenden Sie den im vorherigen Schritt ermittelten Wert der AppId und führen Sie folgenden Befehl aus, um die Anwendung zu entfernen:

Remove-HybridApplication -appId <GUID> -Credential (Get-Credential)

Führen Sie den Assistenten für die Hybridkonfiguration auf dem Computer mit dem Hybridagenten aus und wählen Sie klassische Konnektivität, um den Hybridagenten zu entfernen.

Stellen Sie abschließend sicher, dass alle Mail Exchange-Einträge und Autodiscover-DNS-Einträge auf Exchange Online und nicht auf die externe IP-Adresse des lokalen Exchange Servers verweisen.

Einige Organisationen benötigen möglicherweise immer noch Exchange Server

Während sich viele IT-Mitarbeiter darüber freuen werden, endlich den letzten lokalen Exchange Server und die damit verbundene Wartung und Pflege der Sicherheit abzuschaffen, kann es sein, dass einige Unternehmen diesen Server weiterhin benötigen.

So kann es zum Beispiel sein, dass aufgrund von Compliance-Anforderungen einige Postfächer auf einem lokalen Server verbleiben. Für viele Unternehmen ist diese von Microsoft unterstützte Option eine Möglichkeit, die Belastung der IT-Mitarbeiter zu verringern.