Hallo,
historisch bedingt arbeiten bei meiner Firma zwei Single Exchange-Server 2016, d.h. Datenbanken und Postfächer sind nicht redundant vorhanden.
Davor ist noch ein Loadbalancer geschaltet, welcher zwar die einzelnen Services (OWA, EWS, ActiveSync) steuert und verteilt, aber das nützt ja nichts, wenn der Server mit dem Postfach nicht mehr da ist.
Nun wird mit dem Gedanken gespielt ein DAG zu bilden und auch eine Migration auf Exchange 2019. Dazu habe ich drei Fragen, die ihr mir hoffentlich beantworten bzw. Ratschläge geben könnt.
- Die Erstellung eines DAGs ist theoretisch einfach und bei frankysweb sehr gut beschrieben. Wie aber verhält es sich, wenn bereits Datenbanken und Postfächer vorhanden sind und der Buchstabe der Partition auf dem anderen Server schon vergeben ist?
Ich würde theoretisch direkt ein DAG mit Exchange 2019 bilden und die Postfächer dann in die dort neu angelegten Datenbanken verschieben. Dadurch hat man eine Bereinigung der beiden alten Server und hat wieder alles sauber. In dem Moment in welchem ich die beiden Exchange 2019-Server als DAG bereitstelle, läuft auch die Kommunikation darüber, oder? D.h. ich muss bereits jetzt sicher sein, dass die Clients TLS1.2 unterstützen und aktiviert haben, da bereits jetzt der Client nicht mehr auf Exchange zugreifen kann, oder?
- Nun zum Thema Exchange 2019 und TLS1.2. Wenn das Client-Betriebssystem kein TLS1.2 unterstützt und bis zum Loadbalancer via TLS1.0 oder TLS1.1 kommuniziert, kann der Loadbalancer am Ende aber die Kommunikation vom Loadbalancer zum Exchange 2019 in TLS1.2 umwandeln. Und auf dem Rückweg ebenso. Dadurch wäre die Unterstützung älterer Clients durchaus möglich, oder irre ich mich da?
Oder kann ich irgendwie steuern, dass die Clients direkt mit dem Exchange 2016 kommunizieren, wenn das Postfach dort vorhanden ist um das TLS1.2 Thema etwas zu entschärfen? - Falls diese Variante nicht möglich wäre, würde ich erstmal aus den beiden Exchange 2016 Servern ein DAG bilden, wie gehe ich das am sinnvollsten an? Die Migration zu Exchange 2019 kann dann zu einem späteren Zeitpunkt (1-2 Jahre) erfolgen, da es von der Dauer des Supports sowieso egal ist.
Vielen Dank für eure Rückmeldung.
Mit freundlichen Grüßen,
Xiffus
Zu 1: du erstellst doch sowieso neue Server mit 2019. Stell dir vor, da sind noch gar keine laufwerksbuchstaben und auch nur leere Datenbanken. Im Normalfall empfehle ich sowieso die Verwendung von mointpoints anstatt laufwerksbuchstaben.
Zu 2. wenn der loadbalancer tls 1.0 annimmt und der Exchange tls 1.2 dann spricht der Client tls 1.0 und der Server tls 1.2. sinnvoll wäre aber nur 1.2 zu verwenden. Aber machbar wäre es aber. Abgesehen davon kann man exchange 2019 bzw. Windows 2019 einfach tls 1.0 und 1.1 aktivieren wenn man es meint zu brauchen. Aber aufgrund des loadbalancers wäre es eben egal.
zu 3: siehe oben.
zu 2) Was um Himmels Willen hast du für Clients? Wir haben über 10.000 sehr heterogene Benutzer/Systeme und auf Exchange 2019 mit nur TLS 1.2 umgestellt. Die nicht mehr funktionierenden Clients, die dann ans Tageslicht kamen, waren furchtbar veraltet.
- Mac Mail auf Sierra 10.12 und älter (nicht mehr supported)
- uralt Handys/Smartphones (< Android 4.3, nicht mehr supported)
- Windows 7 (inzwischen nicht mehr supported) braucht für Outlook entsprechende Registrykeys, s. https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi
- Windows 8 und Outlook (bei Windows 8.1 haben dieselben Registrykeys wie bei Windows 7 geholfen)
Testmöglichkeiten (nur Webbrowser):