Dieses Jahr wird noch die neue Exchange Server Version erwartet. Es macht Sinn sich schon jetzt mit der Migration der vorhandenen Exchange 2016 Server zu Exchange SE zu befassen, denn das Zeitfenster für die Migration ist kurz. Bei rechtzeitiger Vorbereitung stellt dies aber kein Problem dar.
In diesem Artikel geht es um die Migration von Exchange Server 2016 zu Exchange Server 2019 CU15. Exchange 2019 CU15 hat bereits die gleiche Code Basis wie Exchange Server SE RTM und kann bei Veröffentlichung von Exchange SE einfach per Inplace Upgrade aktualisiert werden.
Die Umgebung
Ich habe eine kleine Testumgebung vorbereitet, welche aus drei Servern besteht. Hier mal eine kleine Grafik zur Veranschaulichung:
DC1 ist der Domain Controller für die Active Directory Domain frankysweblab.de. EX1 ist ein Windows 2016 Server mit Exchange Server 2016 CU23 und installiertem SU21. Der Server EX2 wurde mit Windows Server 2025 installiert und ist bisher nur als Mitglied des Active Directory konfiguriert. EX2 wird später der Exchange 2019 Server, welcher bei Verfügbarkeit von Exchange Server SE einfach der Inplace Upgrade aktualisiert werden kann.
Die Firewall leitet die Ports 25 (smtp) und 443 (https) via Portforward an den Server EX1 weiter. Die internen und externen Outlook Benutzer verbinden sich mittels MAPIoverHTTP. Für Exchange 2016 sind die folgenden URLs als Zugriffspunkte konfiguriert:
- outlook.frankysweblab.de für alle Webservices, OWA, SMTP, POP3 und IMAP.
- autodiscover.frankysweblab.de für Autodiscover
Das Zertifikat kommt in diesem Fall von einer internen Zertifizierungsstelle und enthält die beiden oben angegebenen Namen:
Die konfigurierten Namen werden auch für Exchange 2019 beibehalten. Die DNS Host-A Einträge für outlook.frankysweblab.de und autodiscover.frankysweblab.de sind im internen DNS (Domain Controller) und beim Hoster der öffentlichen DNS Zone eingetragen. Es handelt sich also um klassisches Split Brain DNS.
Vorbereitung Exchange Server 2016
Damit die Migration so reibungslos wie möglich läuft, ist es wichtig, dass der Exchange 2016 Server mit den aktuellen Updates versorgt wird. Neben den aktuellen Exchange 2016 Updates, sollten natürlich auch alle verfügbaren Windows Updates installiert werden.
Die aktuellen Exchange Updates finden sich hier:
Nachdem alle Updates installiert wurden, sollte unbedingt der Exchange Health Checker ausgeführt werden. Der Exchange Health Checker listet neben häufigen Konfigurationsproblemen auch Schwachstellen auf.
Der Exchange Health Checker wird auf dem Exchange 2016 Server in einer administrativen Exchange Management Shell mit den folgenden Befehlen ausgeführt:
.\HealthChecker.ps1
.\HealthChecker.ps1 -BuildHtmlServersReport
Exchange Health Checker erzeugt dann einen Bericht im HTML Format, welcher im besten Fall keine roten Punkte enthält. Insbesondere sollte der Punkt „Vulnerability Detected“ keine Schwachstellen aufweisen:
Ein möglichst sauberer Bericht erleichtert die Migration erheblich, denn dies bedeutet auch, dass Sicherheitsfeatures wie Extented Protection bereits aktiviert sind. Es kommt also nicht durch Schiefstände in der Konfiguration zu Schwierigkeiten bei der Migration.
Sollte der Health Checker Bericht Punkte wie Schwachstellen, abgelaufene Zertifikate oder andere kritische Fehler enthalten, dann sollten diese Punkte unbedingt vor der Exchange 2019 Installation behoben und getestet werden. Es ist viel einfacher die Fehler jetzt zu beheben, wenn es nur eine Exchange Version gibt, anstatt später die Probleme in zwei Umgebungen suchen zu müssen. Hier lohnt es sich also etwas mehr Zeit in die Analyse des Health Checker Berichts zu investieren, das spart unter Umständen viel Arbeit.
Insbesondere das SIcherheitsfeature Extended Protection ist wichtig, mittlerweile wird das Feature in der Standardinstallation aktiviert. Extended Protection muss daher, auf allen Servern aktiviert oder deaktiviert werden. Ein Mischbetrieb führt zu Problemen, die Empfehlung ist daher, Extended Protection auf allen Servern zu aktivieren.
Hier gibt es auch ein Script, welches einige Einstellungen inkl. Extended Protection aktivieren kann:
Nächste Schritte
Der nächste Schritt ist die Installation von Exchange Server 2019 CU15 auf Windows Server 2025. Die Installation wird im nächsten Artikel beschrieben. Sobald der Artikel fertig ist, werde ich diesen hier zur besseren Auffindbarkeit verlinken. Im zweiten Teil des Artikels geht es dann um die Konfiguration von Exchange 2019.
Gibt es große Unterschiede zu deiner damaligen Anleitung (https://www.frankysweb.de/howto-migration-von-exchange-2016-zu-exchange-2019-teil-1/)?
Hallo Frank,
Kannst du bei der Migration nochmal darauf eingehen, wie es sich verhält wenn Kerberos aktiviert ist? Das ASA Konto beinhaltet ja erstmal nur den alten Exchange.
Danke!
Nächste Schritte
Der nächste Schritt ist die Installation von Exchange Server 2019 CU15 auf Windows Server 2015. Es soll Server 2025 sein!
Guten Morgen,
„auf Windows Server 2015“ ist wahrscheinlich nicht der nächste Schritt. ;)
Wie lange kann man den Exchange Server 2019 wohl noch gefahrlos betreiben?
Es gibt bestimmt viele, die nicht in MS365 gehen können oder wollen, aber noch einen Exchange Server 2016 oder einen 2019er betreiben.
Wie ist eure Einschätzung hier? Oder kommt vielleicht doch noch im August ein on Premise?
Du hast die Artikel zu Exchange SE aber schon gelesen, die hier in der letzten Zeit so rumfliegen, oder?
Exchange SE ist der neue on premise Server. SE steht für Subscription Edition. Du kannst die Lizenz also nur noch im Abo abschließen und nicht mehr einmalig kaufen.
Wie lange kann man Exchange 2019 noch betreiben? Gar nicht!
Ich würde niemals einen Exchange ohne Support betreiben. Alles andere ist grob fahrlässig. Das wichtigste beim Exchange ist immer auf dem neusten Patchlevel zu sein. Bekannte Exchange Schwachstellen werden sofort ausgenutzt.
Du kannst schon einen Exchange ohne Support betreiben, aber dann eben so, dass er nicht veröffentlicht ist. Ich betreue tatsächlich noch einen Kunden mit Exchange 2010. Selbst als ich die Veröffentlichung rausgenommen habe, bliebt er standhaft und greift nun von außerhalb via VPN darauf zu. Email kommen via Mail-Gateway (Quellbegrenzung) rein – also selbst SMTP ist nicht veröffentlicht. Habe da auch keine Lust mehr auf Diskussionen. So lange er läuft und keine Probleme macht, ist es mir mittlerweile egal…
Wichtig ist das beim Installieren eines Exchange Servers dieser im AD als Service Registriert wird und die Clients in der AD Site diesen direkt ansprechen werden und es zu Zertifikatswarnungen beim Outlook kommen wird. Deshalb nach Installation sofort in Maintenance nehmen und die Autodiscover URL setzen anschließend den Server neustarten dann kann in Ruhe konfiguriert werden.
Nur haben halt meistens die, die jetzt noch Exchange 2016 einsetzen keine Lizenzen für Exchange 2019. Somit ist eine Vorbereitung zwar möglich, aber Lizenzrechtlich nicht erlaubt. Und jetzt noch Exchange 2019 zu lizenzieren macht überhaupt keinen Sinn, außer man möchte sein Geld beim Fenster raus werfen.
Wenn du Exchange 2019 mit SA kaufst, wirfst du zwar für x Monate Geld zum Fenster raus bis zum Erscheinen von SE, aber dafür kannst du jetzt schon für 3 Jahre genau sagen was es kostet. ;) Ist ja auch was wert.
Wie kommst Du auf die 3 Jahre?
Weil du nicht mehr als 3 Jahre SA am Stück kaufen kannst afair.
Genau das, was in den nächsten Tagen/Woche bei mir ansteht, daher an dieser Stelle schon mal ein dickes DANKESCHÖN!! :-)