Vorwort
In dieser Artikelreihe geht es um das manuelle Entfernen eines Exchange 2016 Servers aus dem Active Directory. Dieses Vorgehen sollte nur in besonderen Fällen angewendet werden. Die folgenden Fälle kommen in Frage:
- Es gab schon “früher” mal eine Exchange Installation die unvollständig oder fehlerhaft ist
- Der Exchange Server ist abgebrannt und kann nicht per Desaster Recovery wiederhergestellt werden (Kein Backup vorhanden, AD Computer Konto gelöscht)
- Ein neuer Exchange Server soll in einem misshandelten Active Directory installiert werden in dem einer oder beide der oben genannten Punkte zutreffen
Das im folgenden geschilderte Vorgehen muss mit Vorsicht durchgeführt werden und ist ENDGÜLTIG. Also bitte genau lesen und UNBEDINGT eine Sicherung der Domain Controller erstellen.
Falls das Computer Konto des Exchange Servers noch existiert, sollte zunächst ein Desaster Recovery versucht werden. Das manuelle Entfernen ist das aller letzte Mittel.
Umgebung
Dieser Artikel bezieht sich auf ein Active Directory in dem der einzige Exchange 2016 Server zerstört wurde und nicht aus der Sicherung wiederhergestellt werden kann. Der Domain Controller auf einem anderen Server ist allerdings noch intakt. Nehmen wir also an, dass der Exchange Server mit dem Namen FWCOMEX1 zuerst vom Blitz getroffen wurde, in dessen Folge der Server abgebrannt ist und durch die Hitze eine Wasserleitung gebrochen ist, die den Server geflutet hat:
Nachdem dann eine Wiederherstellung nicht mehr geklappt hat, weil auch schon das AD Computer Konto gelöscht wurde und alle Heilungsversuche fehlgeschlagen sind, soll nun von vorne begonnen werden. Einen kleinen Hoffnungsschimmer gibt es sogar noch für die Daten. FWCOMEX1 wurde also würdevoll beerdigt:
Vorgehen
In welche Reihenfolge vorgegangen wird, spielt eigentlich keine große Rolle, ich fange mit dem DNS an. Alle der hier erwähnten Schritte finden auf dem Domain Controller FWCOMDC1 statt.
DNS Einträge entfernen
Im DNS gibt es je nach Konfiguration mehrere Einträge die auf den kaputten Exchange Server verweisen. Die Einträge lassen sich meist einfach anhand der IP-Adresse identifizieren. Diese Einträge werden gelöscht:
In der DNS Zone könnte je nach Konfiguration auch noch ein SRV-Record für Autodiscover existieren. Dieser wird wird ebenfalls gelöscht:
Gleiches gilt für die Reverse Lookup Zone, alles was die IP des Exchange Servers trägt, wird gelöscht (wenn vorhanden)
Konfiguration aus Active Directory löschen
Nachdem die DNS Einträge gelöscht wurden, kann die Exchange Konfiguration aus der Active Directory Konfigurations Partition gelöscht werden. Dazu wird sich mittels ADSIEdit zuerst mit den Konfigurationspartition verbunden:
Unter “Services” finden sich die beiden Einträge “Microsoft Exchange” und “Microsoft Exchange Autodiscover”. Beide werden gelöscht:
Danach wird sich zum Namenskontext verbunden. Hier werden nun die Einträge “Microsoft Exchange Security Groups” und “Microsoft Exchange System Object” gelöscht:
Weiter geht es mit der Konsole “Active Directory-Benutzer und Computer”. In der OU Users werden alle Exchange Systempostfächer gelöscht:
Die Exchange Konfiguration ist jetzt bereits Geschichte.
Attribute der Benutzerkonten zurücksetzen
Auch die AD Benutzerkonten enthalten noch Attribute die auf den Exchange Server verweisen. Die Attribute können am einfachsten per PowerShell zurückgesetzt werden, da es sich um recht viele Attribute handelt. Für einen einzelnen Benutzer funktioniert es mit folgenden Befehl:
Get-ADUser frank | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN
Für alle Benutzer kann der folgende Befehl verwendet werden:
Get-ADUser -filter * | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN
Jetzt ist auch die Exchange Konfiguration der Postfächer Geschichte.
Computer Account löschen
Falls das Computer Konto des Exchange Servers noch existiert, kann es ebenfalls gelöscht werden:
Neuen Exchange Server installieren
Bevor ein neuer Exchange Server mit neuen Namen installiert wird, sollte das das Active Directory einmal per Kommandozeile vorbereitet werden, damit die notwendigen Einträge wieder angelegt werden.
Dazu kommt noch ein separater Artikel.