Exchange Migration zu Exchange Online (Microsoft/Office 365)

Um einen lokalen (on Premise) Exchange Server zu Exchange Online (Office 365 bzw. Microsoft 365) zu migrieren bedarf es mehrere Schritte:

Vorbereitungen:

  • Sollten Sie eine WAF (Web Application Firewall) einsetzen, welche nur Exchange bedient – so stellen Sie diese auf NAT um – sollten Sie weitere Webserver veröffentlichen, so stellen Sie bitte die WAF so um, das zu dem Exchange Server alle URLs durchgehen und keine Filter aktiv sind.
  • Sollten Sie eine Web Protection aktiv haben, erstellen Sie eine Ausnahme für die Server welche für die Migration erforderlich sind, damit später keine Fehler stattfinden. Alternativ können Sie diese für die Migration so lange deaktivieren.
  • Sie benötigen einen Microsoft 365 Tenant und einen Zugang mit entsprechenden rechten (z.B. Globaler Administrator). Achten sie darauf, das sie ihre externe Domain hinzugefügt und bestätigt haben.
  • Sollten sie vorerst für die Einrichtungsphase 2FA bzw. MFA deaktivieren wollen, so gehen sie bitte zu https://portal.azure.com und wählen im Menü den Punkt Active Directory und dann die Eigenschaften. Wählen sie unten bei Sicherheitsstandards Deaktiviert aus.
  • Sie benötigen Zugangsdaten für DNS ihrer externen Domain.
  • Sie benötigen Zugang zum Exchangeserver/AD mit entsprechenden Rechten (Domänen Admin, Organisations Admin, Exchangen Admin).
  • Sie benötigen einen Server, welcher im AD verbleibt und später weiterhin das lokale AD mit dem Azure AD syncronisiert. Ein Memberserver empfehlenswert – ein DC geht zwar auch, aber Microsoft empiehlt aus dem Sicherheitsaspekt diesen nicht zu verwenden.

Lokales AD mit Azure synchronisieren:

Exchange Hybrid einrichten:

  • Melden Sie sich im ECP an und gehen Sie links in der Leiste. Dort können Sie den Exchange Hybrid Configuration Wizard starten.

Hier bin ich über folgende Probleme gestoßen:

  • Der Hybrid Configuration Wizard wird nicht gestartet: Erstellen sie eine Textdatei auf dem Desktop, zeigen sie die Dateiendungen an und benennen sie, sie von .txt in .application um, gehen Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften, wählen Sie nun beim Punkt Öffnen mit den Internet Explorer aus und schließen sie das Dialogfeld mit Ok. Das Icon sollte sich ändern, geben Sie nun im Internet Explorer https://aka.ms/HybridWizard ein – die Anwendung sollte nun starten.
  • Exchange Online und Premise konnte nicht kommunizieren, hier habe ich für den Exchange Ausnahmen im IPS und der Webprotection erstellt. Weiterhin habe ich den Port für den ECP zurückgestellt (ich nutze ECP auf einen anderen Port, damit nicht auf die ECP von extern zugegriffen werden kann) und die Änderungen komplett rückgängig gemacht. Danach ist jedoch die ECP wieder von extern erreichbar!
  • Der Assistent geht nicht weiter und zeigt Fehler 1603: Hier fehlte bei mir die TLS 1.2 Unterstützung – erstellen Sie die folgenden Registrierungswerte (DWORD 32 Bit):
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft.NETFramework\v4.0.30319] „SystemDefaultTlsVersions“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft.NETFramework\v4.0.30319] „SchUseStrongCrypto“ = dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] „DisabledByDefault“=dword:00000000
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] „Enabled“=dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] „DisabledByDefault“=dword:00000000
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] „Enabled“=dword:00000001

Migrieren der Postfächer:

In der Exchange Online Panel können Sie nun unter dem Punkt Migration die bestehenden Postfächer migrieren.

Deinstallation Exchange:

  • Wichtig: Beachten Sie unbedingt meine Hinweise um zu entscheiden, ob der Exchange deinstalliert werden soll.
  • Wenn alles Postfächer verschoben sind, löschen Sie alle Datenbanken. Sollten diese, sich nicht löschen lassen, prüfen sie wie folgt ob alle Postfächer entfernt wurden: https://www.leibling.de/exchange-datenbankinhalte-pruefen-vor-loeschen/
  • Deinstallieren Sie nun denn Exchange.
  • Wenn alles nicht funktioniert, entfernen sie mit ADSIEDIT.msc den Ordner CN=Microsoft Exchange (Sie finden diesen unter Konfiguration dc.domain.local > CN=Configuration,DC=dmain,DC=local > CN=Services). Lassen sie jedoch den Punkt CN=Microsoft Exchange Autodiscover unbedingt bestehen.

Entfernen der Migrationsendpunkte:

  • Kommt noch.

Nacharbeiten:

Hinweise:

  • Benutzer werden weiterhin lokal im AD angelegt und dann Syncronisiert.
  • Syncronisierte Benutzer können nicht im Web verändert werden. Auch keine weitere Emailadresse hinzufügen.
  • Sollen Emailadressen verändert werden müssen (z.B. eine weitere hinzugefügt werden) – so gibt es mehrere Möglichkeiten:
    • Ein Exchange Server verbleibt als Verwaltungsserver lokal zum konfigurieren (muss nicht von außen erreichbar sein!). Der kann auch Konten in der Cloud verwalten. Sollten keine Mailboxen vorhanden sein, so kann ein Exchange Server 2016 kostenlos verwendet werden – kein 2019. Beide sind jedoch bald EOL.
    • Der AD Sync wird aufgehoben – dann können alle Informationen im Exchange Online verwaltet werden, jedoch werden dann auch nicht mehr die Kennwörter synchronisiert.
    • Das neue Konto wird nicht synconisiert nach Exchange Online (z.B. Konto in eine OU verschieben, welches nicht mit Syncronisiert wird). Dann das Postfach auf dem Exchange manuell einrichten und das Postfach neu zuordnen.

Weitere Infos:

Tags: , , , , , , ,

©  2024 Leibling.de. Erstellt mit WordPress und dem Highlight Theme