Vorwort
In dieser Artikelreihe geht es um das manuelle Entfernen eines Exchange 2016 Servers aus dem Active Directory. Dieses Vorgehen sollte nur in besonderen Fällen angewendet werden. Die folgenden Fälle kommen in Frage:
- Es gab schon “früher” mal eine Exchange Installation die unvollständig oder fehlerhaft ist
- Der Exchange Server ist abgebrannt und kann nicht per Desaster Recovery wiederhergestellt werden (Kein Backup vorhanden, AD Computer Konto gelöscht)
- Ein neuer Exchange Server soll in einem misshandelten Active Directory installiert werden in dem einer oder beide der oben genannten Punkte zutreffen
Das im folgenden geschilderte Vorgehen muss mit Vorsicht durchgeführt werden und ist ENDGÜLTIG. Also bitte genau lesen und UNBEDINGT eine Sicherung der Domain Controller erstellen.
Falls das Computer Konto des Exchange Servers noch existiert, sollte zunächst ein Desaster Recovery versucht werden. Das manuelle Entfernen ist das aller letzte Mittel.
Umgebung
Dieser Artikel bezieht sich auf ein Active Directory in dem der einzige Exchange 2016 Server zerstört wurde und nicht aus der Sicherung wiederhergestellt werden kann. Der Domain Controller auf einem anderen Server ist allerdings noch intakt. Nehmen wir also an, dass der Exchange Server mit dem Namen FWCOMEX1 zuerst vom Blitz getroffen wurde, in dessen Folge der Server abgebrannt ist und durch die Hitze eine Wasserleitung gebrochen ist, die den Server geflutet hat:
Nachdem dann eine Wiederherstellung nicht mehr geklappt hat, weil auch schon das AD Computer Konto gelöscht wurde und alle Heilungsversuche fehlgeschlagen sind, soll nun von vorne begonnen werden. Einen kleinen Hoffnungsschimmer gibt es sogar noch für die Daten. FWCOMEX1 wurde also würdevoll beerdigt:
Vorgehen
In welche Reihenfolge vorgegangen wird, spielt eigentlich keine große Rolle, ich fange mit dem DNS an. Alle der hier erwähnten Schritte finden auf dem Domain Controller FWCOMDC1 statt.
DNS Einträge entfernen
Im DNS gibt es je nach Konfiguration mehrere Einträge die auf den kaputten Exchange Server verweisen. Die Einträge lassen sich meist einfach anhand der IP-Adresse identifizieren. Diese Einträge werden gelöscht:
In der DNS Zone könnte je nach Konfiguration auch noch ein SRV-Record für Autodiscover existieren. Dieser wird wird ebenfalls gelöscht:
Gleiches gilt für die Reverse Lookup Zone, alles was die IP des Exchange Servers trägt, wird gelöscht (wenn vorhanden)
Konfiguration aus Active Directory löschen
Nachdem die DNS Einträge gelöscht wurden, kann die Exchange Konfiguration aus der Active Directory Konfigurations Partition gelöscht werden. Dazu wird sich mittels ADSIEdit zuerst mit den Konfigurationspartition verbunden:
Unter “Services” finden sich die beiden Einträge “Microsoft Exchange” und “Microsoft Exchange Autodiscover”. Beide werden gelöscht:
Danach wird sich zum Namenskontext verbunden. Hier werden nun die Einträge “Microsoft Exchange Security Groups” und “Microsoft Exchange System Object” gelöscht:
Weiter geht es mit der Konsole “Active Directory-Benutzer und Computer”. In der OU Users werden alle Exchange Systempostfächer gelöscht:
Die Exchange Konfiguration ist jetzt bereits Geschichte.
Attribute der Benutzerkonten zurücksetzen
Auch die AD Benutzerkonten enthalten noch Attribute die auf den Exchange Server verweisen. Die Attribute können am einfachsten per PowerShell zurückgesetzt werden, da es sich um recht viele Attribute handelt. Für einen einzelnen Benutzer funktioniert es mit folgenden Befehl:
Get-ADUser frank | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN
Für alle Benutzer kann der folgende Befehl verwendet werden:
Get-ADUser -filter * | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN
Jetzt ist auch die Exchange Konfiguration der Postfächer Geschichte.
Computer Account löschen
Falls das Computer Konto des Exchange Servers noch existiert, kann es ebenfalls gelöscht werden:
Neuen Exchange Server installieren
Bevor ein neuer Exchange Server mit neuen Namen installiert wird, sollte das das Active Directory einmal per Kommandozeile vorbereitet werden, damit die notwendigen Einträge wieder angelegt werden.
Dazu kommt noch ein separater Artikel.
Ich habe folgendes Problem:
Wir haben 2 Standorte: Köln (Mutter) und Berlin (Tochter) per VPN verbunden.
Eine Domain, Verwaltung ist und bleibt in Köln, Berlin wird geschlossen.
Köln hat ein Exchange Server und Berlin hat ein Exchange Server.
Der Berliner Exchange Server erhält seine Mails vom Kölner Exchange Server.
Die Domain soll in Köln weiter bestehen.
Ich habe die Berliner Kollegen bereits alle deaktiviert.
Kann ich den Berliner Exchange Server mit der Anleitung oben sauber aus der Domäne schmeissen oder wäre das besser mit einer Deinstallation des Berliner Exchange Servers?
Hi Frank,
das meiste hat soweit geklappt. Der Exchange meckert allerdings noch immer rum:
Dieser Computer ist als Quell-Transport-Server für 1 Connectors in der Organisation konfiguriert. Diese müssen verschoben oder gelöscht werden, bevor Setup fortgesetzt werden kann.
Weitere Informationen finden Sie unter: http://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.ServerIsSourceForSendConnector.aspx
Da die Powershell für den Exchange nicht funktioniert lassen sich die Connectoren darüber auch nicht deinstallieren. Weißt du einen Rat?
Beste Grüße Maik
Hallo Frank,
ich habe den versautes Exchange wie oben beschrieben entfernt. Auch das Script zur Bereingung der User durch geführt.
Nachdem erfolgreichen Installieren des Ex 2016 werden aber in der ECS die User die schon mal ein Postfach hatten nicht mehr angezeigt.
Hast du mir dazu noch einen Tipp?
Übrigens super hilfreiche Seite von dir!
Hallo,
auch wenn der Post vielleicht schon etwas her ist. Wir haben das gleiche Phänomen gehabt. Wenn ma in den Atributen der User im DC den mail nicknamen löscht werden sie im ECS angezeigt.
Gruß
Hallo,
ich habe eine bestehende Domäne mit einem gut laufenden Exchange 2010. Nun wollte ich den Exchange 2016 daneben installieren um dann eine Migration zu starten. Leider ist es dabei zu einem Problem bei der Installation des 2016 gekommen, welche kann ich noch nicht mal nachvollziehen. Wenn ich nun ein m:RecoverServer starte wird es abgebrochen, auch ein DisasterRecover ist nicht möglich, der Server kann auch nicht über „uninstall“ deinstalliert werden :-(
Sicherlich könnte ich die virtuelle Maschine auf der es installiert ist löschen, aber dennoch bleiben Fragmente in der AD und ich kann keine neue Installtion starten.
Wenn ich nun die von Dir hier angegeben Dateien lösche, laufe ich doch mit an Sicherheit grenzender Wahrscheinlichkeit Gefahr meinen bisherigen 2010er auch zu killen.
Was gibt es noch für Möglichkeiten?
Über Antworten wäre ich sehr dankbar.
Gruß
Michael
Hi Michael,
hier ist das Vorgehen beschrieben:
https://www.frankysweb.de/exchange-2016-manuelles-entfernen-eines-exchange-servers-mehrere-server/
Gruß,
Frank
Kann Microsoft Exchange Security groups nicht Löschen Zugriff verweigert
00000005 SecErr: DISD-31526D0 problem 4003 INSUFF_access_rights
dabei füre ich es im ADSI Editor auf dem DC aus
Moin Frank, vielen Dank.
Gruß, Manuel
Hallo Frank,
ich habe folgendes Problem.
Nachdem ich, dank deines Blogs und diversen Testinstallationen, Exchange2016 mit 4 externe Domains die bei 2 verschiedenen Providern gehostet sind, eingerichtet hab und alles funktioniert, incl. Autodiscover, in OL2010, OL 2016, iPhone, Galaxy, (Zertifikate von AD-Zertifikatdienste) habe ich gestern eine Firewall installiert, eine Watchguard Firebox T30.
Sobald die Firebox ins Spiel kommt, hat der DC Probleme mit der Namensauflösung.
Ping vom DC aus oder umgekehrt funktioniert sowohl auf dem „external interface“ (Fritzbox 192.178.178.1/24) und auch auf dem „Trusted Interface“ (192.168.168.1/24 einwandfrei, nslookup funktioniert nur wenn ich IPv6 deaktiviere (kommt sonnst die Fehlermeldung DNS request timed out Standardserver UnKnow), der DC kommt aber trotzdem nicht ins Netz.
Wenn ich einen neuen DC-Server aufsetze oder den DC herabstufe und DNS neu installiere und den wieder hochstufe, dann funktioniert es aber nur wenn die Installation mit angeschlossener Firebox erfolgt. Habe heute den ganzen Tag getestet und bin jetzt am überlegen ob ich den Exchange-Server aus der Domain nehme, denn DC neu installiere und dann den Exchange-Server wieder einbinde (geht das überhaupt?). Oder lieber alles neu?
Was meinst Du?
Trotzdem würde ich den Fehler gerne finden, falls es aus welchen Gründen auch immer nochmal passiert.
Danke und Gruß
Manuel
Hi Manuel,
schau dir diesen Artikel mal an. Ich denke das beschreibt dein Problem ganz gut:
https://www.frankysweb.de/active-directory-ipv6-fritzbox-sophos-utm-domain-controller/
Gruß,
Frank
Klasse … hat geklappt …
Wieso darf der alte Computername nicht wieder verwendet werden?