Einleitung
Exchange nach der Migration behalten oder deinstallieren (Sprich: den letzten Exchange Server aus dem AD entfernen, wenn die Exchange Online Migration abgeschlossen ist)? Diese Frage stellen sich alle Kunden, aber für viele Jahre war sie ein absolutes Tabu. Der Grund hierfür ist (beziehungsweise war) die Supportability Matrix von Microsoft. Ohne in technische Details abzudriften, ist (beziehungsweise war) der Grund ganz einfach dieser:
- Azure AD Connect synchronisiert Benutzer vom AD ins Azure AD
- Dieser Synchronisationsprozess schließt email-relevante Felder ein (diese müssen also im on-premises AD gepflegt werden)
- Die Pflege der email-relevanten Felder im AD darf ausschließlich über einen Exchange Server erfolgen
So stellt Microsoft sicher, dass alle Postfächer saubere Metadaten haben. Findet beispielsweise eine Umwandlung von Benutzerpostfach auf freigegebenes Postfach (Funktionspostfach) statt, so muss eine handvoll Felder an diesem AD-Account angepasst werden. Dieses über die Konsole Active Directory Users and Computers zu tun wäre zwar theoretisch möglich, darf aber nur über einen Exchange Server erledigt werden, da Microsoft hierbei interne IDs und Kennwerte setzt. Diese Logik müsste bei manuellen Prozessen komplett nachgebaut werden und ist darum sehr fehleranfällig. Aus diesem Grund schreibt Microsoft die Verwendung eines Exchange Servers für diese Anwendungsfälle bisher strikt vor. Kommt es zum Fehlerfall und es ist kein Exchange Server vorhanden, darf Microsoft den Support verweigern.
Die Praxis – kreatives Chaos
In der Realität haben sich unterschiedliche mehr oder weniger kreative Szenarien entwickelt:
- Exchange Management Server (gepatcht oder ungepatcht) zur Pflege der Postfächer
- Weiterbetrieb von Exchange Hybrid obwohl dies nicht notwendig wäre (weil alle Postfächer in die Cloud migriert sind)
- 1 oder mehrere Exchange Server, die standardmäßig heruntergefahren sind und maximal 1x pro Woche gestartet werden, oder im Supportfall, um Microsoft zufrieden zu stellen
- Abbau aller Exchange Server (entgegen den Vorschriften von Microsoft) aus Angst vor Hafnium und Pflege via Active Directory Users and Computers
Vor allem die Hafnium Vorfälle haben bei vielen Kunden Angst geschürt – häufig wird dabei vergessen, dass Hafnium kein alleiniges Exchange Problem im eigentlichen Sinne ist, sondern das schonungslose Aufzeigen stiefmütterlich behandelter Change- und Updateprozesse. Exchange war hier nur ein sehr prominentes Beispiel. Auch andere Systeme wie WordPress, Typo3 und andere bekannte sind anfällig, wenn sie nicht gepatcht werden. Exchange Online ist immer aktuell gepatcht – darum war es nicht betroffen.
Die Lösung – Exchange auf supportetem Weg herunterfahren
Nichtsdestotrotz ist es immer eine gute Idee, Systeme zu reduzieren um Angreifern grundsätzlich weniger Fläche zu bieten. Microsoft bietet jetzt zum ersten mal (nach vielen Jahren Wartezeit) endlich eine Lösung, um ohne lokalen Exchange Server die eigenen Remote Mailboxen administrieren zu dürfen. Diese Lösung hat Microsoft in einem Artikel in der Techcommunity angekündigt.
Microsoft stellt hierbei den Supportzyklus der Updates für Exchange um – auf H1 und H2 (also nur noch 2x pro Jahr kumulative Updates statt bisher 4x CUs). Da Exchange 2016 bald nicht mehr im Mainstream Support ist, bedeutet dies, dass das aktuelle CU das letzte sein wird. Denn gemäß der neuen Updatephilosophie wird das H2 Update aller Wahrscheinlichkeit nach erscheinen, wenn der Mainstream Support ausgelaufen ist. Microsoft schreibt dies in seiner Ankündigung schon ziemlich final:
The next CU will be released in H2 of 2022, and it will be for Exchange Server 2019 only; mainstream support has ended for Exchange Server 2013 and Exchange Server 2016. We will release SUs as needed while those versions are in extended support.
Quelle: Released: 2022 H1 Cumulative Updates for Exchange Server – Microsoft Tech Community
Dies klingt auf den ersten Blick nach einer sehr schlechten Nachricht, denn Exchange 2019 war bisher nie als kostenlose Serverlizenz im Hybridverbund erhältlich. Aber auch hier hat Microsoft eine Lösung parat:
Exchange Server 2019 wird kostenlos zur Verfügung gestellt: „We have updated our licensing to add a product key for Exchange 2019 hybrid servers at no additional charge!„
Quelle: Released: 2022 H1 Cumulative Updates for Exchange Server – Microsoft Tech Community
Verwaltung ohne Exchange Server? Wie geht das?
Microsoft bietet mit dem Update Exchange Server 2019 CU12 eine vereinfachte Version der Exchange Management Tools an. Vereinfacht bedeutet: Jegliche GUI wurde entfernt und die Verwaltungseinheit auf PowerShell reduziert. Diese Verwendung dieser Management Tools ermöglicht erstmals das ‚legale‘ Herunterfahren des letzten Exchange Servers im eigenen AD. Ferner bringt dieses CU einige Kommandos mit, welche die Verwaltung des Hybridagenten vereinfachen. Ebenso gibt es jetzt eine vollständige Rückbauanleitung für Exchange Hybrid. Es kann also in Umgebungen, die auf cloud-only geschwenkt sind, nicht mehr passieren, dass Einstellungen vergessen werden.
Hierbei darf nicht vergessen werden, dass der letzte Exchange Server nicht deinstalliert werden darf! Er darf lediglich dauerhaft ausgeschaltet bleiben. Es empfiehlt sich, den Server in einem regelmäßigen Turnus weniger Wochen kurz hochzufahren, zu patchen und dann wieder auszuschalten. So wird auch sichergestellt, dass das AD Computerobjekt intakt bleibt. Sollte der Exchange Server eines Tages wieder in Betrieb genommen werden, hat man so bereits eine solide Grundlage geschaffen.
Microsoft hat dies in seinem Artikel auch deutlich gemacht. Die Deinstallation des letzten Exchange Servers ist keine gute Idee, da hier wichtige Informationen aus dem AD entfernt werden, welche für die Synchronisation von Benutzern wichtig sind:
DO NOT uninstall the last server. You can choose to shut down the server, and use the script to clean up, but DO NOT uninstall. Uninstalling the server removes critical information from Active Directory that breaks the ability of the management tool package to manage Exchange attributes.
Quelle: Manage recipients in Exchange Server 2019 Hybrid environments | Microsoft Learn
Vor- und Nachteile
Der größte Vorteil ist ganz klar, dass der andauernde Pflegeaufwand für einen Exchange Server nach dem Herunterfahren entfällt. Überflüssige Hybridstellungen können abgebaut werden. Allerdings benötigt es weiterhin einen Ersatz für SMTP Routing. Multifunktionsdrucker und Drittapplikationen müssen in der Lage sein, Emails zu senden. Dies könnte also bedeuten, dass man einen Exchange Server abschaltet, aber für SMTP neue Infrastrukturkomponenten benötigt.
Der Rückbau von ECP auf PowerShell bedeutet für nicht-scriptaffine Admins einen deutlichen Rückschritt. Für diese Fälle müssen also eigene Interfaces entwickelt werden.
Fazit
Prinzipiell ist die Möglichkeit des Herunterfahrens von Exchange eine tolle Sache, da viele oder alle bisherigen Angriffsflächen von innen oder außen geschlossen werden. Allerdings muss die Automatisierung und Powershell- bzw. Scriptkenntnis unter den Administratoren voran getrieben werden. Unsere PowerShell Kurse sind hier ein geeigneter Einstieg. Auch unterstützen wir Sie gerne bei der Planung des Update auf Exchange 2019 und Rückbaus Ihre(s/r) Exchange Server:
