Exchange 2016: Manuelles Entfernen eines Exchange Servers (Single Server)

Vorwort

In dieser Artikelreihe geht es um das manuelle Entfernen eines Exchange 2016 Servers aus dem Active Directory. Dieses Vorgehen sollte nur in besonderen Fällen angewendet werden. Die folgenden Fälle kommen in Frage:

  • Es gab schon “früher” mal eine Exchange Installation die unvollständig oder fehlerhaft ist
  • Der Exchange Server ist abgebrannt und kann nicht per Desaster Recovery wiederhergestellt werden (Kein Backup vorhanden, AD Computer Konto gelöscht)
  • Ein neuer Exchange Server soll in einem misshandelten Active Directory installiert werden in dem einer oder beide der oben genannten Punkte zutreffen

Das im folgenden geschilderte Vorgehen muss mit Vorsicht durchgeführt werden und ist ENDGÜLTIG. Also bitte genau lesen und UNBEDINGT eine Sicherung der Domain Controller erstellen.

Falls das Computer Konto des Exchange Servers noch existiert, sollte zunächst ein Desaster Recovery versucht werden. Das manuelle Entfernen ist das aller letzte Mittel.

Umgebung

Dieser Artikel bezieht sich auf ein Active Directory in dem der einzige Exchange 2016 Server zerstört wurde und nicht aus der Sicherung wiederhergestellt werden kann. Der Domain Controller auf einem anderen Server ist allerdings noch intakt. Nehmen wir also an, dass der Exchange Server mit dem Namen FWCOMEX1 zuerst vom Blitz getroffen wurde, in dessen Folge der Server abgebrannt ist und durch die Hitze eine Wasserleitung gebrochen ist, die den Server geflutet hat:

Zeichnung1

Nachdem dann eine Wiederherstellung nicht mehr geklappt hat, weil auch schon das AD Computer Konto gelöscht wurde und alle Heilungsversuche fehlgeschlagen sind, soll nun von vorne begonnen werden. Einen kleinen Hoffnungsschimmer gibt es sogar noch für die Daten. FWCOMEX1 wurde also würdevoll beerdigt:

Manuelles Entfernen

Vorgehen

In welche Reihenfolge vorgegangen wird, spielt eigentlich keine große Rolle, ich fange mit dem DNS an. Alle der hier erwähnten Schritte finden auf dem Domain Controller FWCOMDC1 statt.

DNS Einträge entfernen

Im DNS gibt es je nach Konfiguration mehrere Einträge die auf den kaputten Exchange Server verweisen. Die Einträge lassen sich meist einfach anhand der IP-Adresse identifizieren. Diese Einträge werden gelöscht:

image

In der DNS Zone könnte je nach Konfiguration auch noch ein SRV-Record für Autodiscover existieren. Dieser wird wird ebenfalls gelöscht:

image

Gleiches gilt für die Reverse Lookup Zone, alles was die IP des Exchange Servers trägt, wird gelöscht (wenn vorhanden)

Konfiguration aus Active Directory löschen

Nachdem die DNS Einträge gelöscht wurden, kann die Exchange Konfiguration aus der Active Directory Konfigurations Partition gelöscht werden. Dazu wird sich mittels ADSIEdit zuerst mit den Konfigurationspartition verbunden:

image

Unter “Services” finden sich die beiden Einträge “Microsoft Exchange” und “Microsoft Exchange Autodiscover”. Beide werden gelöscht:

image

Danach wird sich zum Namenskontext verbunden. Hier werden nun die Einträge “Microsoft Exchange Security Groups” und “Microsoft Exchange System Object” gelöscht:

image

Weiter geht es mit der Konsole “Active Directory-Benutzer und Computer”. In der OU Users werden alle Exchange Systempostfächer gelöscht:

image

Die Exchange Konfiguration ist jetzt bereits Geschichte.

Attribute der Benutzerkonten zurücksetzen

Auch die AD Benutzerkonten enthalten noch Attribute die auf den Exchange Server verweisen. Die Attribute können am einfachsten per PowerShell zurückgesetzt werden, da es sich um recht viele Attribute handelt. Für einen einzelnen Benutzer funktioniert es mit folgenden Befehl:

Get-ADUser frank | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN

image

Für alle Benutzer kann der folgende Befehl verwendet werden:

Get-ADUser -filter * | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN

image

Jetzt ist auch die Exchange Konfiguration der Postfächer Geschichte.

Computer Account löschen

Falls das Computer Konto des Exchange Servers noch existiert, kann es ebenfalls gelöscht werden:

image

Neuen Exchange Server installieren

Bevor ein neuer Exchange Server mit neuen Namen installiert wird, sollte das das Active Directory einmal per Kommandozeile vorbereitet werden, damit die notwendigen Einträge wieder angelegt werden.

Dazu kommt noch ein separater Artikel.

5 Gedanken zu “Exchange 2016: Manuelles Entfernen eines Exchange Servers (Single Server)

  1. Hallo Frank,

    ich habe folgendes Problem.

    Nachdem ich, dank deines Blogs und diversen Testinstallationen, Exchange2016 mit 4 externe Domains die bei 2 verschiedenen Providern gehostet sind, eingerichtet hab und alles funktioniert, incl. Autodiscover, in OL2010, OL 2016, iPhone, Galaxy, (Zertifikate von AD-Zertifikatdienste) habe ich gestern eine Firewall installiert, eine Watchguard Firebox T30.

    Sobald die Firebox ins Spiel kommt, hat der DC Probleme mit der Namensauflösung.
    Ping vom DC aus oder umgekehrt funktioniert sowohl auf dem „external interface“ (Fritzbox 192.178.178.1/24) und auch auf dem „Trusted Interface“ (192.168.168.1/24 einwandfrei, nslookup funktioniert nur wenn ich IPv6 deaktiviere (kommt sonnst die Fehlermeldung DNS request timed out Standardserver UnKnow), der DC kommt aber trotzdem nicht ins Netz.

    Wenn ich einen neuen DC-Server aufsetze oder den DC herabstufe und DNS neu installiere und den wieder hochstufe, dann funktioniert es aber nur wenn die Installation mit angeschlossener Firebox erfolgt. Habe heute den ganzen Tag getestet und bin jetzt am überlegen ob ich den Exchange-Server aus der Domain nehme, denn DC neu installiere und dann den Exchange-Server wieder einbinde (geht das überhaupt?). Oder lieber alles neu?

    Was meinst Du?

    Trotzdem würde ich den Fehler gerne finden, falls es aus welchen Gründen auch immer nochmal passiert.

    Danke und Gruß

    Manuel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.