Exchange 2019: Hybrid zu Cloud Only

In den letzten Exchange 2019 Hybrid Artikeln, ging es um Migration der Exchange on-Prem Postfächer zu Microsoft 365. In diesem letzten Artikel geht es nun darum, den Hybrid Modus zu beenden und den letzten on-Prem Exchange Server zu deinstallieren. Wenn alle Postfächer zu Microsoft 365 migriert wurden und die Synchronisation der lokalen Active Directory Konten mit Azure Active Directory beendet wird, kann der on-Prem Exchange Server deinstalliert werden.

Einstellungen überprüfen

Bevor der Hybrid Modus beendet wird, sollte zur Sicherheit noch einmal kontrolliert werden, ob auch keine Postfächer mehr auf dem lokalen Exchange Server gespeichert sind. Die folgenden Befehle sollten also keine Ergebnisse mehr liefern:

Get-MailboxDatabase | get-mailbox
Get-MailboxDatabase | get-mailbox -Archive
Exchange Mailboxes

Falls öffentliche Ordner im Einsatz waren, sollte dieser Befehl ebenfalls keine Postfächer mehr anzeigen:

Get-MailboxDatabase | get-mailbox -PublicFolder

Auch der MX Eintrag für die E-Mail Domain muss auf MX von Microsoft 365 zeigen. Bevor der on-Prem Exchange Server deinstalliert wird, sollten auch die Message Tracking Logs über einen längeren Zeitraum kontrolliert werden. So kann sichergestellt werden, dass keine lokalen Geräte Mails via Exchange on-Prem verschicken. Oft fällt hier noch das ein oder andere Gerät auf, welches Statusmails oder ähnliches über den On-Prem Exchange verschickt.

Exchange Hybrid Modus beenden

Um den Exchange Hybrid Modus zu beenden sind nur wenige Schritte nötig. Zunächst können die DNS Einträge am lokalen DNS Server angepasst werden. In der Regel wurde für Exchange on-Prem Split-Split DNS eingesetzt. Die DNS Einträge für den lokalen Exchange Server können hier nun gelöscht, bzw. für Autodiscover angepasst werden:

On-Prem DNS

In meinem Fall wird der Eintrag „outlook.frankysweblab.de“ nicht mehr benötigt, da sich ja bereits alle Clients mit Microsoft 365 verbinden. Der Eintrag für Autodisocver „autodiscover.frankysweblab.de“ ist allerdings weiterhin erforderlich. Im vorherigen Screenshot ist der HOST-A Eintrag „autodiscover.frankysweblab.de“ zu sehen. Der Host-A für Autodiscover kann gelöscht werden und durch einen CNAME Eintrag mit Verweis auf „autodiscover.outlook.com“ ersetzt werden:

On-Prem DNS

Nachdem die DNS Einstellungen angepasst wurden, kann das On-Prem Autodiscover und der IntraOrganization Connector deaktiviert werden. Dazu können die folgenden Befehle in der Exchange Admin Shell ausgeführt werden:

Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $Null
Get-IntraOrganizationConnector | Set-IntraOrganizationConnector -Enabled $false
Exchange Admin Shell

Im Exchange Admin Center können jetzt die Sende Connectoren gelöscht werden. Da der Exchange on-Prem Server deinstalliert werden soll, können hier alle Sendeconnectoren gelöscht werden. Der On-Prem Exchange Server ist somit nicht mehr in der Lage E-Mail zuzustellen:

Exchange Admin Center

Im Exchange Online Admin Center können nun ebenfalls die Connectoren gelöscht werden, Exchange Online routet dann keine Mails mehr über den lokalen Exchange Server:

Exchange Online Admin Center

Auch die Konfiguration für die Frei/Gebucht Information kann gelöscht werden:

Exchange Online Admin Center

Azure AD Connect deaktivieren und deinstallieren

Bevor AAD Connect deinstalliert wird, ist es ratsam noch eine letzte Synchronisation durchzuführen:

Start-ADSyncSyncCycle -PolicyType Delta
AAD Connect Sync

Jetzt wird in der Exchange Online Shell die Synchronisation mit AAD Connect abgeschaltet:

Import-Module MSOnline
Connect-MsolService
Set-MsolDirSyncEnabled -EnableDirSync $false
Synchronisation beenden

AAD Connect kann jetzt bereits deinstalliert werden:

AAD Connect deinstallieren

In der Exchange Online Shell wird nun die ImmutableID der Benutzer gelöscht. Bei der ImmutableID handelt es sich um die objectGUID des on-Prem Active Directory Benutzers. Mittels der ImmutableID hat AAD Connect den onPrem AD Benutzer mit dem Azure AD Benutzer verknüpft. Da nun keine Synchronisation zwischen AD und AAD mehr stattfindet, wird auch die ImmutableID nicht mehr benötigt:

Get-MsolUser | where {$_.ImmutableID -ne $NULL} | Set-MsolUser -ImmutableID "$null"

Im Microsoft 365 Admin Center werden die Benutzer nun als „Cloud Only“ Benutzer angezeigt:

Microsoft 365 Admin Center

Exchange Online und Exchange on-Prem sind nun wieder getrennte Welten, dies bedeutet auch, dass es jetzt 2 Benutzerkonten für jeden Benutzer gibt: Das lokale AD Konto und das Azure AD Konto. Die beiden Konten müssen also ab jetzt getrennt von einander verwaltet werden (AzureAD und onPrem AD).

Exchange Server deinstallieren

Bei der Deinstallation des letzten Exchange Servers wird es zu der folgenden Fehlermeldung kommen:

Exchange Fehler bei der Deinstallation

Uninstall can’t continue. Errors:
This mailbox database contains one or more mailboxes, mailbox plans, archive mailboxes, public folder mailboxes or arbitration mailboxes, Audit mailboxes. To get a list of all mailboxes in this database, run the command Get-Mailbox -Database . To get a list of all mailbox plans in this database, run the command Get-MailboxPlan. To get a list of archive mailboxes in this database, run the command Get-Mailbox -Database -Archive. To get a list of all public folder mailboxes in this database, run the command Get-Mailbox -Database -PublicFolder. To get a list of all arbitration mailboxes in this database, run the command Get-Mailbox -Database -Arbitration. To get a list of all Audit mailboxes in this database, run the command Get-Mailbox -Database -AuditLog. To disable a non-arbitration mailbox so that you can delete the mailbox database, run the command Disable-Mailbox . To disable an archive mailbox so you can delete the mailbox database, run the command Disable-Mailbox -Archive. To disable a public folder mailbox so that you can delete the mailbox database, run the command Disable-Mailbox -PublicFolder. To disable a Audit mailbox so that you can delete the mailbox database, run the command Get-Mailbox -AuditLog | Disable-Mailbox. Arbitration mailboxes should be moved to another server; to do this, run the command New-MoveRequest . If this is the last server in the organization, run the command Disable-Mailbox -Arbitration -DisableLastArbitrationMailboxAllowed to disable the arbitration mailbox. Mailbox plans should be moved to another server; to do this, run the command Set-MailboxPlan -Database . It was running the command ‚Remove-MailboxDatabase ‚CN=Mailbox Database 1102940717,CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=FrankysWebLab,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=frankysweblab,DC=de‘ -whatif‘.
For more information, visit: http://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.UnwillingToRemoveMailboxDatabase.aspx

Das Problem sind an dieser Stelle die Arbitration Postfächer welche noch in der Postfachdatenbank gespeichert sind:

Arbitration Postfächer

In diesem Fall können die zugehörigen Active Directory Benutzer gelöscht werden:

AD Konten löschen
Nachdem die Benutzer gelöscht wurden, lässt sich Exchange deinstallieren:
Exchange Deinstallation

Die Deinstallation des letzten Exchange Servers sollte nun erfolgreich durchlaufen:

Exchange Deinstallation abgeschlossen

5 Gedanken zu „Exchange 2019: Hybrid zu Cloud Only“

  1. Hallo,
    danke für den Artikel, ich vermisse den Abschnitt bei dem im Hybrid Config Wizzard Transfer Org to cloud durchgeführt wird. Istdas hier nicht notwendig?

    Antworten
  2. Könnte ich nach der deinstallation des Exchage den Azure Ad Connect wieder neu einrichten, damit ich das lokale ad wider mit der cloud abgleichen kann? (nur halt ohne den loalen msx)

    Antworten
    • Dann wärst du unsupported unterwegs. Der adsync ist der Grund, warum man den Hybrid Exchange lt. Ms support Statement überhaupt benötigt. Und ja es geht auch ohne exchange, aber dann eben derzeit ohne support.

      Antworten
  3. Hallo, wenn man im lokalen AD keine Exchange Attribute nutzen würde und sonst auch keine anderen Systeme diese verwenden, was spricht denn dagegen den letzen Exchange Server zu deinstallieren? Werden per AD Connect etwas gesynct was in der Cloud verwendet wird? Es wird ausschließlich Exchange online verwendet.

    Antworten
    • Der adsync ist der Grund für den lokalen Exchange. Liest denn niemand mal beim Hersteller nach?
      „ Wenn die Verzeichnissynchronisierung für einen Mandanten aktiviert ist, und ein Benutzer der lokalen Bereitstellung synchronisiert wird, können die meisten Attribute nicht über Exchange Online verwaltet werden und müssen lokal verwaltet werden. Das liegt nicht an der Hybridkonfiguration, sondern an der Verzeichnissynchronisierung. Selbst wenn Sie die Verzeichnissynchronisierung einsetzen ohne den Hybridkonfigurationsassistenten auszuführen, können Sie die meisten Empfängeraufgaben nicht über die Cloud verwalten.“

      https://docs.microsoft.com/de-de/exchange/decommission-on-premises-exchange

      „ Es wird häufig die Frage gestellt, ob ein Verwaltungstool eines Drittanbieters oder ADSIEDIT verwendet werden kann. Die Antwort ist, Sie können Sie diese verwenden, aber sie werden nicht unterstützt. Die Exchange-Verwaltungskonsole, das Exchange Admin Center (EAC) und die Exchange Verwaltungsshell sind die einzigen unterstützten Tools, die zum Verwalten von Exchange Empfängern und Objekten verfügbar sind. Wenn Sie sich entscheiden, Verwaltungstools von Drittanbietern zu verwenden, geschieht das auf eigenes Risiko. Drittanbieter-Verwaltungstools funktionieren häufig, aber Microsoft überprüft diese Tools nicht.“

      Antworten

Schreibe einen Kommentar