Donnerstag, 23. Oktober 2025

Entfernung des letzten lokalen Exchange Servers nach Hybridbetrieb

Einleitung

Dieser Post beschreibt den vollständigen und unterstützten Ablauf, um den letzten lokalen Exchange Server nach einer abgeschlossenen Hybridmigration ausser Betrieb zu nehmen. Es richtet sich an Umgebungen, in denen alle produktiven Postfächer bereits nach Exchange Online migriert wurden, die Identitäten jedoch weiterhin im lokalen Active Directory verwaltet und über Azure AD Connect mit Microsoft Entra ID (Azure AD) synchronisiert werden.

Ziel ist es, den lokalen Exchange Server sicher zu entfernen, ohne die Empfängerverwaltung zu verlieren, und gleichzeitig sicherzustellen, dass keine hybriden Abhängigkeiten mehr bestehen. Dabei werden die Exchange Server SE Management Tools zur weiteren Verwaltung verwendet, und das Microsoft-Skript CleanupActiveDirectoryEMT.ps1 sorgt für die abschliessende Bereinigung der lokalen Active Directory-Objekte.

Checkliste

1)       Ausgangslage prüfen

  • Alle produktiven Postfächer sind in Exchange Online. Keine Benutzer-, Shared-, Ressourcen- oder Archivpostfächer mehr on-prem.
    Beispiel vor Ort:

    Set-ADServerSettings -ViewEntireForest $true
Get-Mailbox -ResultSize Unlimited


              Beispiele in EXO:

    Get-ExoMailbox -ResultSize Unlimited | Measure-Object

  • On-prem dürfen die Systemmailboxen (Get-Mailbox -Arbitration) sichtbar sein. Diese werden später über das Microsoft Skript bereinigt und werden nicht nach EXO migriert.

2)       Mailflow und Autodiscover auf EXO

·       MX zeigt auf EOP. Autodiscover extern auf EXO. Interne SCP-URL neutralisieren.

3)       Hybrid-Artefakte planen

·       Ziel ist der Betrieb aller Mailboxen in Exchange Online, während die Identitäten weiterhin lokal im Active Directory erstellt und mit Azure AD Connect in die Microsoft Cloud synchronisiert werden.

·       Hybrid-Connectoren, Organization Relationship, OAuth, Hybrid Agent gemäss Decommission-Leitfaden entfernen.

4)       Management ohne laufenden Server

·       Exchange Server SE Management Tools auf einem Domänen-joined Management-Host installieren.

·       Den letzten Server nicht deinstallieren. Erst herunterfahren, testen, danach AD mit CleanupActiveDirectoryEMT.ps1 bereinigen.

5)       Sicherheit und Rückfallebene

·       Keine on-prem SMTP-Relays oder Dritt-Apps mehr, die den Server benötigen.

·       Nach Cleanup kann bei Bedarf wieder ein Exchange Server SE eingeführt werden, zuerst PrepareAD.

 

Schritt-für-Schritt-Anleitung

A. Management Tools only vorbereiten und testen

1)       Exchange Server SE Management Tools installieren

  • Setup der aktuellen Exchange Server SE Build auf einem Domain-Member nur mit Management Tools ausführen.

  • Optional RSAT installieren, Scripting Agent übernehmen, Recipient Management EMT Gruppe erstellen.

    Add-PSSnapin *RecipientManagement
.\Add-PermissionForEMT.ps1

  • Wichtig laut Microsoft: den letzten Exchange Server nicht deinstallieren.

2)       Verwaltung ohne laufenden Server testen

  • Letzten Exchange Server herunterfahren.

  • Typische Empfängervorgänge über den Management-Host ausführen, zum Beispiel:

    Add-PSSnapin *RecipientManagement
Get-RemoteMailbox
Set-RemoteMailbox user@contoso.ch -EmailAddresses @{add="alias@contoso.ch"}

  • Hinweis aus der Doku: solange der Server nur heruntergefahren ist, kann bei einzelnen Cmdlets kurz Latenz auftreten. Diese verschwindet nach dem AD-Cleanup.

 

B. Letzte technische Prüfungen und Bereinigungen

3)       Postfachinventar verifizieren
On-prem:

Set-ADServerSettings -ViewEntireForest $true
Get-Mailbox -ResultSize Unlimited
Get-Mailbox -Arbitration
Get-Mailbox -AuditLog
Get-Mailbox -Monitoring
Get-Mailbox -PublicFolder

Erwartung: keine produktiven Mailboxen on-prem. Systemmailboxen dürfen vorhanden sein. Sie werden später vom Cleanup-Skript entfernt.

4)       Mailflow und Autodiscover fest auf EXO

  • MX auf <tenant>.mail.protection.outlook.com.

  • Interne SCP-URL neutralisieren:

    Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $null

  • EXO-Connectoren überprüfen und alte Hybrid-Inbound/Outbound-Connectoren für on-prem entfernen, wenn nicht mehr benötigt.

5)       Hybrid-Bausteine zurückbauen

  • Organization Relationship, OAuth, IntraOrganizationConnector, Hybrid Agent und HCW-Connectoren gemäss Leitfaden entfernen:

    Remove-HybridConfiguration
Get-IntraOrganizationConnector -Identity ExchangeHybridOnPremisesToOnline | Set-IntraOrganizationConnector -Enabled $False

  • Federation Trust entfernen:

    Get-FederationTrust | Remove-FederationTrust -Confirm:$false

  • OAuth-Konfiguration entfernen:

    Get-AuthServer | Remove-AuthServer -Confirm:$false

  • Zertifikate, die ausschliesslich für Hybrid genutzt wurden (z. B. smtp.domain.ch, Autodiscover), aus dem lokalen Zertifikatsspeicher löschen oder widerrufen.

  • Hybrid Agent (wenn genutzt) deinstallieren:

1.       Öffne Programme und Features.

2.       Wähle Microsoft Hybrid Agent und klicke Deinstallieren.

3.       Nach Abschluss den Agent-Dienst in Services.msc kontrollieren und ggf. bereinigen.

  • Nach diesen Schritten Hybrid-Verbindungen in Exchange Online überprüfen und sicherstellen, dass keine verwaisten Connectoren mehr bestehen.

 

C. Dauerhafte Stilllegung und AD-Bereinigung

6)       Hybrid endgültig bereinigen und DNS finalisieren

·       Falls noch nicht geschehen, alle in der Decommission-Anleitung genannten Schritte abarbeiten.

·       Externe und interne DNS auf EXO, alte Einträge des Servers entfernen.

7)       CleanupActiveDirectoryEMT.ps1 ausführen

  • Server nochmals einschalten ist nicht nötig, das Skript läuft auf dem Management-Host.

  • PowerShell als Domänenadministrator auf dem Management-Host:

    cd $env:ExchangeInstallPath\Scripts
.\CleanupActiveDirectoryEMT.ps1

  • Das Skript entfernt Systemmailboxen, Exchange-Container, Berechtigungen der Exchange Security Groups sowie die Gruppen selbst. Dieser Schritt kann nicht rückgängig gemacht werden.

8)       Nacharbeiten

  • Management Tools bleiben für Empfängerverwaltung bestehen.

  • Künftige Updates der Management Tools:

    .\Setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
.\Setup.exe /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
.\CleanupActiveDirectoryEMT.ps1   # nochmals ausführen, weil PrepareAD gewisse Objekte neu anlegt

  • Falls später wieder ein Exchange Server gebraucht wird: zuerst PrepareAD, dann Exchange Server SE installieren. Ältere Versionen werden nach Cleanup nicht mehr unterstützt.

9)       Aufräumen Infrastruktur

·       Zertifikate und Monitoring für den alten Server entfernen.

·       Dokumentation und Betriebsprozesse auf Cloud-only Mailbetrieb aktualisieren.

 

Hinweise und Quellen

·       Offizieller Microsoft-Leitfaden: Decommission Exchange Hybrid Servers
https://learn.microsoft.com/exchange/decommission-on-premises-exchange

·       Exchange Server SE Management Tools: Empfängerverwaltung ohne laufenden Server
https://learn.microsoft.com/exchange/manage-hybrid-exchange-with-management-tools

·       Microsoft Exchange Team Blog: FAQ zur Entfernung des letzten lokalen Exchange Servers
https://techcommunity.microsoft.com/t5/exchange-team-blog/decommissioning-your-last-exchange-server-faq/ba-p/606355

·       Hybrid Agent Entfernen
https://learn.microsoft.com/exchange/hybrid/hybrid-agent-remove

·       Azure AD Connect Synchronisierung
https://learn.microsoft.com/azure/active-directory/hybrid/how-to-connect-install-custom

Eingestellt von um
Labels: , , , , ,

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)