Der letzte Exchange-Server: Warum das Abschalten komplizierter (und jetzt einfacher) ist, als Sie denken
Jeder IT-Administrator, der eine Migration zu Microsoft 365 durchgeführt hat, kennt diesen Moment: Das letzte Postfach ist erfolgreich in Exchange Online angekommen. Die lokale Infrastruktur scheint überflüssig geworden zu sein. Die logische Frage lautet: Kann man den letzten lokalen Exchange-Server jetzt einfach deinstallieren und abschalten? Jahrelang war die Antwort ein überraschendes und oft frustrierendes „Nein“. Doch die Spielregeln haben sich kürzlich geändert. Dieser Artikel beleuchtet die überraschenden Komplexitäten und die neuen Möglichkeiten, die sich nun für die Stilllegung Ihres letzten Exchange-Servers ergeben.
Erkenntnis 1: Die Falle der Verzeichnissynchronisierung: Warum der letzte Server bleiben musste
Der Hauptgrund, warum Organisationen mit Verzeichnissynchronisierung (via Entra Connect oder Cloud Sync) ihren letzten Exchange-Server behalten mussten, lag in der Verwaltung der Empfängerattribute. Obwohl die Postfächer in der Cloud waren, blieb das lokale Active Directory die „Source of Authority“ (Autoritätsquelle) für die meisten Benutzereigenschaften. Das bedeutete, dass Änderungen an Attributen wie E-Mail-Adressen (ProxyAddresses) oder benutzerdefinierten Attributen lokal vorgenommen und dann in die Cloud synchronisiert werden mussten. Ohne einen lokalen Exchange-Server fehlten die unterstützten Verwaltungstools (Exchange Admin Center und Exchange Management Shell), um diese Attribute korrekt zu bearbeiten.
Microsoft hat diese Abhängigkeit in seiner Dokumentation klar beschrieben:
When directory synchronization is enabled and a user is synchronized from the on-premises environment to the cloud, you can’t manage most user properties from Exchange Online; you must manage those properties in the on-premises environment.
Der Versuch, diese Attribute direkt im Active Directory mit Tools wie ADSIEDIT zu ändern, war und ist nicht unterstützt und birgt ein hohes Fehlerrisiko. Also blieb der Server – oft als reine Verwaltungsmaschine.
Erkenntnis 2: Ein Paradigmenwechsel: Die „Source of Authority“ wandert in die Cloud
Hier kommt die entscheidende Neuerung ins Spiel: Microsoft hat eine Funktion eingeführt, die es ermöglicht, die Verwaltung von Exchange-Attributen direkt in Exchange Online durchzuführen, selbst für synchronisierte Benutzer. Die „Source of Authority“ für Exchange-spezifische Attribute kann nun offiziell in die Cloud verlagert werden.
Dies wird über einen neuen PowerShell-Parameter namens IsExchangeCloudManaged für Postfächer in Exchange Online gesteuert. Sobald dieser für einen Benutzer auf true gesetzt wird, können dessen Exchange-Attribute direkt über das Exchange Admin Center oder die EXO PowerShell verwaltet werden. Identitätsbezogene Attribute wie Vor- und Nachname (givenName, sn) bleiben weiterhin im lokalen Active Directory verankert und müssen dort verwaltet werden. Diese Funktion löst das in Punkt 1 beschriebene Kernproblem und ebnet den Weg zur vollständigen Stilllegung des letzten lokalen Exchange-Servers.
Die Einführung erfolgt in Phasen: Phase 1, die bereits allgemein verfügbar ist, ermöglicht die Steuerung auf individueller Postfachebene. Phase 2 wird eine Rückschreibefunktion (Write-Back) für bestimmte Attribute einführen, um das lokale AD konsistent zu halten. Eine wichtige Voraussetzung dafür wird die Implementierung von Entra Cloud Sync sein.
Erkenntnis 3: Eine überraschende Warnung: Stilllegen bedeutet nicht Deinstallieren
Selbst mit den neuen Möglichkeiten ist eine wichtige und etwas kontraintuitive Regel zu beachten: Sie sollten den letzten Exchange-Server zwar herunterfahren und stilllegen, ihn aber niemals formell deinstallieren. Die Deinstallation entfernt wichtige Exchange-Objekte und -Attribute aus dem Active Directory-Schema. Dies würde die Fähigkeit der neuen, serverlosen Verwaltungstools (siehe nächster Punkt) zerstören, die Exchange-Attribute weiterhin zu verwalten.
Die Warnung in der Microsoft-Dokumentation ist unmissverständlich:
DO NOT uninstall the last server. You can choose to shut down the server, and use the script to clean up, but DO NOT uninstall. Uninstalling the server removes critical information from Active Directory that breaks the ability of the management tool package to manage Exchange attributes.
Die empfohlene Vorgehensweise ist also: Den Server herunterfahren, die virtuelle Maschine löschen oder die Hardware neu formatieren, aber niemals den Exchange-Setup-Assistenten im Deinstallationsmodus ausführen.
Erkenntnis 4: Die Alternative: Empfängerverwaltung ganz ohne Server
Parallel zur Verlagerung der Autorität in die Cloud bietet Microsoft eine zweite, ebenso praktikable Option an. Mit dem Exchange 2019 Cumulative Update 12 (oder neuer) wurden die Exchange Management Tools aktualisiert. Diese Tools können nun auf einem beliebigen, in die Domäne eingebundenen Computer (Client oder Server) installiert werden und ermöglichen die Empfängerverwaltung über PowerShell, ohne dass ein Exchange-Server im Hintergrund laufen muss.
Diese Methode ist die ideale Lösung für Organisationen, die ihre letzte Exchange-Hardware loswerden möchten, aber aus Compliance- oder Betriebsgründen die „Source of Authority“ für Attribute zwingend im lokalen Active Directory behalten müssen oder wollen. Sie installieren einfach die Tools, fahren den letzten Server herunter (deinstallieren ihn aber nicht!) und verwalten die Empfängerattribute von einer dedizierten Management-Workstation aus.
Fazit: Eine neue Ära für Hybrid-Umgebungen
Die langjährige Regel, dass der letzte Exchange-Server für Verwaltungszwecke in einer Hybrid-Umgebung unverzichtbar ist, hat ausgedient. Dank neuer Cloud-Funktionen und aktualisierter, serverloser Management-Tools haben Administratoren nun endlich flexible und voll unterstützte Optionen. Die Tür zur vollständigen Stilllegung steht offen, doch sie führt zu einer strategischen Weggabelung.
Die zentrale Frage, die Sie sich stellen müssen, lautet: Wo soll die „Source of Authority“ für Ihre Exchange-Attribute in Zukunft liegen?
- Weg 1: Autorität in die Cloud verlagern. Wählen Sie den
IsExchangeCloudManaged-Ansatz, um Attribute direkt in Exchange Online zu verwalten und sich maximal von der lokalen Infrastruktur zu lösen. - Weg 2: Autorität lokal behalten, Server entfernen. Nutzen Sie die aktualisierten Management Tools, um die Kontrolle im lokalen Active Directory zu behalten, während Sie gleichzeitig die letzte physische Serverabhängigkeit eliminieren.
Sind Sie bereit, die letzte physische Verbindung zu Exchange zu kappen, und was bedeutet dieser strategische Schritt für die Zukunft Ihrer IT-Infrastruktur?
Quellen:
BOIT - Cloud & Kubernetes 
Hinterlasse einen Kommentar