Die Exchange 2019 Hybrid Umgebung wurde bereits mit Teil 4 eingerichtet. Eigentlich wollte ich in diesem Artikel näher auf die Migration Batches eingehen, habe mich aber dagegen entschieden. Die Migration Batches und deren Möglichkeiten sind meistens erst in größeren Umgebungen relevant. Bei kleineren Umgebungen lassen sich die Migration Batches bequem via Exchange Online Admin Center verwalten. Erst wenn es viele Postfächer werden, muss man sich Gedanken um Scripte, Migration Endpoints und CSV Dateien machen.
Ich nehme an, dass die Meisten welche diese Artikelserie lesen, eine überschaubare Anzahl von Postfächern zu Microsoft 365 migrieren wollen. Auch wollen wahrscheinlich die wenigsten dauerhaft eine Hybrid Umgebung betreiben, sondern komplett zu Microsoft 365 migrieren. In diesem letzten Artikel zur Exchange 2019 Hybrid Umgebung geht es daher um Notwendigkeit des „letzten Exchange Servers“ und ein paar Besonderheiten, welche beachtet werden müssen. Es wird dann noch einen weiteren Artikel geben: Exchange 2019 Hybrid zu Cloud Only (also den Abbau der Hybrid Umgebung hin zu Microsoft 365 ohne Exchange Hybrid).
Migration Batches
Mit den Migrations Batches lässt sich die Migration der Postfächer recht gut planen. Zu beachten ist, dass nach dem Verschieben des Postfachs der Benutzer aufgefordert wird, Outlook neu zu starten. Damit Benutzer nicht mitten am Tag durch einen Outlook Neustart belästigt werden, lässt sich der Abschluss der Migration Batches planen und etwa auf das Wochenende verschieben:
Wer eine größere Anzahl Postfächer in einem Migration Batch aufnehmen will, muss nicht jedes Postfach manuell auswählen und hinzufügen. Mittels einer CSV-Datei lassen sich die Postfächer bequem auf verschiedene Batches aufteilen und die Migration der Daten automatisieren.
Mit dem folgenden Befehl lässt sich beispielsweise eine CSV–Datei mit allen Postfächern erzeugen:
get-mailbox -ResultSize unlimited | Select-Object -Property @{Name = 'EmailAddress'; Expression = {$_.PrimarySmtpAddress}} | Export-Csv c:\install\batch.csv -NoTypeInformation
Wenn nötig lassen sich auf dem Weg die Postfächer auch beliebig filtern, oder man bearbeitet die CSV-Datei mit einem Editor.
Auch über das Exchange Admin Center lassen sich die CSV Dateien für die Migration Batches erstellen:
Nur das Attribut „E-Mail-Adresse“ ist hier erforderlich:
In der per Exchange Admin Center erstellen CSV muss allerdings die erste Zeile einmal nach „EmailAddress“ geändert werden:
AADConnect und der letzte Exchange Server
Das Thema AADConnect und der letzte Exchange Server ist schon recht alt und sorgt immer noch für Frust. Eigentlich handelt es sich um ein recht banales Problem, welches aber leider immer noch nicht durch Microsoft gelöst wurde (Stand Dezember 2021). Das Problem ist folgendes: Wenn AADConnect zur Synchronisation der lokalen AD Konten zu Azure Active Directory verwendet wird, ist das lokale Active Directory das „führende System“.
Das große Problem
Bestimmte Änderungen an den mittels AAConnect synchronisierten Objekten (beispielswiese Gruppen und Benutzerkonten) müssen im lokalen AD durchgeführt werden und können nicht im Azure Active Directory geändert werden. So ist beispielsweise die Änderung oder das Hinzufügen einer E-Mail Adresse zu einem Postfach nicht in Exchange Online möglich, sondern nur im lokalem AD. Wenn beispielsweise versucht wird eine E-Mail Adresse in Exchange Online zu einem mittels AADConnect synchronisierten Benutzer hinzuzufügen, ist dies nicht möglich und es erscheint die folgende Fehlermeldung:
In diesem Fall muss also die neue E-Mail Adresse für das Postfach am lokalen Exchange Server (bzw. im lokalen AD) hinzugefügt werden:
Das Hinzufügen der Adresse ist eigentlich nur eine Änderung am lokalen AD-Attribut „ProxyAddresses“, diese Änderung wird dann mittels AADConnect zu AzureAD synchronisiert und Exchange Online kann die neue Adresse nutzen.
Die Konsequenz aus dem Problem
Um beispielsweise eine E-Mail Adresse zu einem mittels AADConnect synchronisiertem Benutzerkonto hinzuzufügen, wird ein lokaler Exchange Server als „GUI“ oder „Verwaltungs Exchange Server“ benötigt. Ohne den lokalen Exchange Server fehlt es schlicht an der Möglichkeit via Exchange Management Shell oder Exchange Admin Center eine E-Mail Adresse hinzuzufügen. Auch wenn schon alle Postfächer zu Microsoft 365 migriert wurden, wird also ein letzter Exchange Server zur Verwaltung der Exchange Online Postfächer benötigt, einfach aus dem Grund, weil die Änderung im on-Prem AD stattfinden muss und erst dann vom lokalen AD mittels AADConnet zu AzureAD übertragen wird.
Jetzt könnte man auf die Idee kommen, dann ändere ich doch einfach das Attribut direkt im lokalen AD, ohne Exchange Shell oder Exchange Admin Center. Genau dies wird aber durch Microsoft nicht supported. In der Praxis dürfte dies auch ziemlich umständlich sein, es geht ja schließlich nicht nur um die Mail Adressen, sondern auch noch um viele weitere Einstellungen. Wer weiß schon so genau welches Attribut für welche Einstellung zuständig und wie die genaue Syntax ist?!
Solange also AADConnect im Einsatz ist und lokale AD Konten zu AzureAD synchronisiert werden, braucht es einen einsamen lokalen Exchange Server zur Verwaltung der Einstellungen. Genau dieses Problem ist schon länger (Jahre) bei Microsoft auf der Roadmap, aber imme noch nicht gelöst.
Übrigens: Mit Exchange 2016 brachte der Hybrid Configuration Wizard aus genau diesem Grund eine kostenlose Exchange 2016 Lizenz mit. Bedingung ist: Der lokale Exchange Server darf keine Postfächer mehr speichern, also nur noch der Verwaltung dienen. Dafür wurde aber immerhin keine Exchange Server Lizenz mehr fällig. Mit Exchange 2019 wurde dies wieder geändert: Auch der letzte Exchange Server, der nur noch der Verwaltung dient, muss lizensiert sein. Ein „Einsamer Exchange 2019 Hybrid Verwaltungsserver ohne Postfächer“ benötigt eine Exchange Server Lizenz.
Damit die Verwaltung der Postfächer im Exchange Online Admin Center möglich wird, muss also die Synchronisation der Benutzerkonten via AADConnect aufgegeben werden.
Wie geht es weiter?
Von einer Hybrid Umgebung hin zu „Cloud Only“ ist es nicht mehr weit. Im nächsten Artikel geht es daher um den Rückbau der Hybrid Umgebung, der Abschaltung von AAD Connect und der Deinstallation des letzten Exchange Servers.