Lesefortschritt

Exchange nach der Migration behalten oder deinstallieren?

von 25 Apr, 2022Exchange Online, Sicherheit

Einleitung

Exchange nach der Migration behalten oder deinstallieren (Sprich: den letzten Exchange Server aus dem AD entfernen, wenn die Exchange Online Migration abgeschlossen ist)? Diese Frage stellen sich alle Kunden, aber fĂŒr viele Jahre war sie ein absolutes Tabu. Der Grund hierfĂŒr ist (beziehungsweise war) die Supportability Matrix von Microsoft. Ohne in technische Details abzudriften, ist (beziehungsweise war) der Grund ganz einfach dieser:

  • Azure AD Connect synchronisiert Benutzer vom AD ins Azure AD
  • Dieser Synchronisationsprozess schließt email-relevante Felder ein (diese mĂŒssen also im on-premises AD gepflegt werden)
  • Die Pflege der email-relevanten Felder im AD darf ausschließlich ĂŒber einen Exchange Server erfolgen

So stellt Microsoft sicher, dass alle PostfĂ€cher saubere Metadaten haben. Findet beispielsweise eine Umwandlung von Benutzerpostfach auf freigegebenes Postfach (Funktionspostfach) statt, so muss eine handvoll Felder an diesem AD-Account angepasst werden. Dieses ĂŒber die Konsole Active Directory Users and Computers zu tun wĂ€re zwar theoretisch möglich, darf aber nur ĂŒber einen Exchange Server erledigt werden, da Microsoft hierbei interne IDs und Kennwerte setzt. Diese Logik mĂŒsste bei manuellen Prozessen komplett nachgebaut werden und ist darum sehr fehleranfĂ€llig. Aus diesem Grund schreibt Microsoft die Verwendung eines Exchange Servers fĂŒr diese AnwendungsfĂ€lle bisher strikt vor. Kommt es zum Fehlerfall und es ist kein Exchange Server vorhanden, darf Microsoft den Support verweigern.

Die Praxis – kreatives Chaos

In der RealitÀt haben sich unterschiedliche mehr oder weniger kreative Szenarien entwickelt:

  • Exchange Management Server (gepatcht oder ungepatcht) zur Pflege der PostfĂ€cher
  • Weiterbetrieb von Exchange Hybrid obwohl dies nicht notwendig wĂ€re (weil alle PostfĂ€cher in die Cloud migriert sind)
Es ist ein weit verbreiteter Irrtum, dass fĂŒr SMTP eine volle Hybridstellung benötigt wird. Dies ist NICHT der Fall!
  • 1 oder mehrere Exchange Server, die standardmĂ€ĂŸig heruntergefahren sind und maximal 1x pro Woche gestartet werden, oder im Supportfall, um Microsoft zufrieden zu stellen
  • Abbau aller Exchange Server (entgegen den Vorschriften von Microsoft) aus Angst vor Hafnium und Pflege via Active Directory Users and Computers

Vor allem die Hafnium VorfĂ€lle haben bei vielen Kunden Angst geschĂŒrt – hĂ€ufig wird dabei vergessen, dass Hafnium kein alleiniges Exchange Problem im eigentlichen Sinne ist, sondern das schonungslose Aufzeigen stiefmĂŒtterlich behandelter Change- und Updateprozesse. Exchange war hier nur ein sehr prominentes Beispiel. Auch andere Systeme wie WordPress, Typo3 und andere bekannte sind anfĂ€llig, wenn sie nicht gepatcht werden. Exchange Online ist immer aktuell gepatcht – darum war es nicht betroffen.

Die Lösung – Exchange auf supportetem Weg deinstallieren

Exchange nach der Migration behalten oder deinstallieren
Exchange Server können deinstalliert weden

Nichtsdestotrotz ist es immer eine gute Idee, Systeme zu reduzieren um Angreifern grundsĂ€tzlich weniger FlĂ€che zu bieten. Microsoft bietet jetzt zum ersten mal (nach vielen Jahren Wartezeit) endlich eine Lösung um die lokalen Exchange Server restlos aus der Umgebung zu entfernen. Diese Lösung hat Microsoft in einem Artikel in der Techcommunity angekĂŒndigt.

Microsoft stellt hierbei den Supportzyklus der Updates fĂŒr Exchange um – auf H1 und H2 (also nur noch 2x pro Jahr kumulative Updates statt bisher 4x CUs). Da Exchange 2016 bald nicht mehr im Mainstream Support ist, bedeutet dies, dass das aktuelle CU das letzte sein wird. Denn gemĂ€ĂŸ der neuen Updatephilosophie wird das H2 Update aller Wahrscheinlichkeit nach erscheinen, wenn der Mainstream Support ausgelaufen ist. Microsoft schreibt dies in seiner AnkĂŒndigung schon ziemlich final:

The next CU will be released in H2 of 2022, and it will be for Exchange Server 2019 only; mainstream support has ended for Exchange Server 2013 and Exchange Server 2016. We will release SUs as needed while those versions are in extended support.

Quelle: Released: 2022 H1 Cumulative Updates for Exchange Server – Microsoft Tech Community

Dies klingt auf den ersten Blick nach einer sehr schlechten Nachricht, denn Exchange 2019 war bisher nie als kostenlose Serverlizenz im Hybridverbund erhÀltlich. Aber auch hier hat Microsoft eine Lösung parat:

Exchange Server 2019 wird kostenlos zur VerfĂŒgung gestellt: “We have updated our licensing to add a product key for Exchange 2019 hybrid servers at no additional charge!“

Quelle: Released: 2022 H1 Cumulative Updates for Exchange Server – Microsoft Tech Community

Verwaltung ohne Exchange Server? Wie geht das?

Microsoft bietet mit dem Update Exchange Server 2019 CU12 eine vereinfachte Version der Exchange Management Tools an. Vereinfacht bedeutet: Jegliche GUI wurde entfernt und die Verwaltungseinheit auf PowerShell reduziert. Diese Verwendung dieser Management Tools ermöglicht erstmals die ‘legale’ Deinstallation des letzten Exchange Servers. Ferner bringt dieses CU einige Kommandos mit, welche die Verwaltung des Hybridagenten vereinfachen. Ebenso gibt es jetzt eine vollstĂ€ndige RĂŒckbauanleitung fĂŒr Exchange Hybrid. Es kann also in Umgebungen, die auf cloud-only geschwenkt sind, nicht mehr passieren, dass Einstellungen vergessen werden.

Vor- und Nachteile

Der grĂ¶ĂŸte Vorteil ist ganz klar, dass der gesamte Pflegeaufwand fĂŒr einen Exchange Server nach der Deinstallation entfĂ€llt. Auch ĂŒberflĂŒssige Hybridstellungen können abgebaut werden. Allerdings benötigt es weiterhin einen Ersatz fĂŒr SMTP Routing. Multifunktionsdrucker und Drittapplikationen mĂŒssen in der Lage sein, Emails zu senden. Dies könnte also bedeuten, dass man einen Exchange Server abschaltet, aber fĂŒr SMTP neue Infrastrukturkomponenten benötigt.

Der RĂŒckbau von ECP auf PowerShell bedeutet fĂŒr nicht-scriptaffine Admins einen deutlichen RĂŒckschritt. FĂŒr diese FĂ€lle mĂŒssen also eigene Interfaces entwickelt werden.

Fazit

Prinzipiell ist die Möglichkeit des Entfernens von Exchange eine tolle Sache, da viele oder alle bisherigen AngriffsflĂ€chen von innen oder außen geschlossen werden. Allerdings muss die Automatisierung und Powershell- bzw. Scriptkenntnis unter den Administratoren voran getrieben werden. Unsere PowerShell Kurse sind hier ein geeigneter Einstieg. Auch unterstĂŒtzen wir Sie gerne bei der Planung des Update auf Exchange 2019 und RĂŒckbaus Ihre(s/r) Exchange Server:

Black Magic Cloud | b8c7f45a5b7cc0a8e3352addf4b792be6cadd3976817db3fec1fccbb9b45fb5f 160
Andreas HĂ€hnel
Beitrags Kategorien: Exchange Online | Sicherheit
Beitrags-Tags:
Exchange , Hybrid
Neuste BeitrÀge:
BeitrÀge zu folgenden Themen (Tags):

BeitrĂ€ge, die fĂŒr Sie interessant sein könnten:

Exchange OnlinePowershellSicherheit
Das Ende der Basic Authentication in Office 365
Das Ende der Basic Authentication in Office 365

Das Ende der Basic Authentication in Office 365

Das Ende der Basic Authentication in Office 365 beziehungsweise Exchange Online ist nah. Doch was genau bedeutet das fĂŒr die Kunden? Wer ist betroffen? Wir erklĂ€ren die Sachlage detailliert, wer von dieser Änderung betroffen ist (und wer nicht) und was Sie tun können, damit diese globale Abschaltung bei Ihnen keine Probleme verursacht.

MEHR LESEN