Dieses Jahr wird noch die neue Exchange Server Version erwartet. Es macht Sinn sich schon jetzt mit der Migration der vorhandenen Exchange 2016 Server zu Exchange SE zu befassen, denn das Zeitfenster für die Migration ist kurz. Bei rechtzeitiger Vorbereitung stellt dies aber kein Problem dar.
In diesem Artikel geht es um die Migration von Exchange Server 2016 zu Exchange Server 2019 CU15. Exchange 2019 CU15 hat bereits die gleiche Code Basis wie Exchange Server SE RTM und kann bei Veröffentlichung von Exchange SE einfach per Inplace Upgrade aktualisiert werden.
Die Umgebung
Ich habe eine kleine Testumgebung vorbereitet, welche aus drei Servern besteht. Hier mal eine kleine Grafik zur Veranschaulichung:
DC1 ist der Domain Controller für die Active Directory Domain frankysweblab.de. EX1 ist ein Windows 2016 Server mit Exchange Server 2016 CU23 und installiertem SU21. Der Server EX2 wurde mit Windows Server 2025 installiert und ist bisher nur als Mitglied des Active Directory konfiguriert. EX2 wird später der Exchange 2019 Server, welcher bei Verfügbarkeit von Exchange Server SE einfach der Inplace Upgrade aktualisiert werden kann.
Die Firewall leitet die Ports 25 (smtp) und 443 (https) via Portforward an den Server EX1 weiter. Die internen und externen Outlook Benutzer verbinden sich mittels MAPIoverHTTP. Für Exchange 2016 sind die folgenden URLs als Zugriffspunkte konfiguriert:
- outlook.frankysweblab.de für alle Webservices, OWA, SMTP, POP3 und IMAP.
- autodiscover.frankysweblab.de für Autodiscover
Das Zertifikat kommt in diesem Fall von einer internen Zertifizierungsstelle und enthält die beiden oben angegebenen Namen:
Die konfigurierten Namen werden auch für Exchange 2019 beibehalten. Die DNS Host-A Einträge für outlook.frankysweblab.de und autodiscover.frankysweblab.de sind im internen DNS (Domain Controller) und beim Hoster der öffentlichen DNS Zone eingetragen. Es handelt sich also um klassisches Split Brain DNS.
Vorbereitung Exchange Server 2016
Damit die Migration so reibungslos wie möglich läuft, ist es wichtig, dass der Exchange 2016 Server mit den aktuellen Updates versorgt wird. Neben den aktuellen Exchange 2016 Updates, sollten natürlich auch alle verfügbaren Windows Updates installiert werden.
Die aktuellen Exchange Updates finden sich hier:
Nachdem alle Updates installiert wurden, sollte unbedingt der Exchange Health Checker ausgeführt werden. Der Exchange Health Checker listet neben häufigen Konfigurationsproblemen auch Schwachstellen auf.
Der Exchange Health Checker wird auf dem Exchange 2016 Server in einer administrativen Exchange Management Shell mit den folgenden Befehlen ausgeführt:
.\HealthChecker.ps1
.\HealthChecker.ps1 -BuildHtmlServersReport
Exchange Health Checker erzeugt dann einen Bericht im HTML Format, welcher im besten Fall keine roten Punkte enthält. Insbesondere sollte der Punkt „Vulnerability Detected“ keine Schwachstellen aufweisen:
Ein möglichst sauberer Bericht erleichtert die Migration erheblich, denn dies bedeutet auch, dass Sicherheitsfeatures wie Extented Protection bereits aktiviert sind. Es kommt also nicht durch Schiefstände in der Konfiguration zu Schwierigkeiten bei der Migration.
Sollte der Health Checker Bericht Punkte wie Schwachstellen, abgelaufene Zertifikate oder andere kritische Fehler enthalten, dann sollten diese Punkte unbedingt vor der Exchange 2019 Installation behoben und getestet werden. Es ist viel einfacher die Fehler jetzt zu beheben, wenn es nur eine Exchange Version gibt, anstatt später die Probleme in zwei Umgebungen suchen zu müssen. Hier lohnt es sich also etwas mehr Zeit in die Analyse des Health Checker Berichts zu investieren, das spart unter Umständen viel Arbeit.
Insbesondere das SIcherheitsfeature Extended Protection ist wichtig, mittlerweile wird das Feature in der Standardinstallation aktiviert. Extended Protection muss daher, auf allen Servern aktiviert oder deaktiviert werden. Ein Mischbetrieb führt zu Problemen, die Empfehlung ist daher, Extended Protection auf allen Servern zu aktivieren.
Hier gibt es auch ein Script, welches einige Einstellungen inkl. Extended Protection aktivieren kann:
Nächste Schritte
Der nächste Schritt ist die Installation von Exchange Server 2019 CU15 auf Windows Server 2025. Die Installation wird im nächsten Artikel beschrieben. Sobald der Artikel fertig ist, werde ich diesen hier zur besseren Auffindbarkeit verlinken. Im zweiten Teil des Artikels geht es dann um die Konfiguration von Exchange 2019.