14
Migration Exchange Cloud Only und AD-Sync
Guten Abend zusammen,
Ich hoffe, dass hier jemand ist, der seine Erfahrungen mit der Exchange Online Migration mit uns teilen möchte.
Aktuell haben wir einen On-Prem Exchange 2016 mit vorgeschaltetem NoSpamProxy bei uns im Einsatz. Parallel sind alle User mit 365 Business Premium und entsprechend auch Exchange Online Lizenzen ausgestattet. Da ja nun spätestens im Okt 2025 ein Serverwechsel ansteht, planen wir aktuell die Migration auf Exchange Online - zeitweise über Exchange Hybrid.
Dazu ist bereits seit einiger Zeit die AD mit der Entra-AD per Connect-Synchronisierung verbunden; das läuft.
Wir würden im nächsten Schritt die Nutzer migrieren und das ganze dann eine Zeit in der Hybrid-Konstellation betreiben wollen.
Die eigentliche Frage ist aber: Sobald wir auf Cloud-Only wechseln, würde der lokale Exchange wegfallen und die AD-Synchro müsste - um die Exchange-Konten vollständige Online verwalten zu können - ebenfalls deaktiviert werden. Damit würden aber auch aktuelle Vorteile wie die Kennwortsynchronisierung, das automatische Anlegen neuer Nutzer in beiden Welten, SSO, etc. wegfallen. Dauerhaft einen On-Prem zu betreiben macht in meinen Augen keinen Sinn, erst recht nicht, da Exchange SE/2025 dann abonniert werden müsste. Wie löst ihr das Ganze?
Vorab vielen Dank für jede Meinung zu diesem Thema.
Ich hoffe, dass hier jemand ist, der seine Erfahrungen mit der Exchange Online Migration mit uns teilen möchte.
Aktuell haben wir einen On-Prem Exchange 2016 mit vorgeschaltetem NoSpamProxy bei uns im Einsatz. Parallel sind alle User mit 365 Business Premium und entsprechend auch Exchange Online Lizenzen ausgestattet. Da ja nun spätestens im Okt 2025 ein Serverwechsel ansteht, planen wir aktuell die Migration auf Exchange Online - zeitweise über Exchange Hybrid.
Dazu ist bereits seit einiger Zeit die AD mit der Entra-AD per Connect-Synchronisierung verbunden; das läuft.
Wir würden im nächsten Schritt die Nutzer migrieren und das ganze dann eine Zeit in der Hybrid-Konstellation betreiben wollen.
Die eigentliche Frage ist aber: Sobald wir auf Cloud-Only wechseln, würde der lokale Exchange wegfallen und die AD-Synchro müsste - um die Exchange-Konten vollständige Online verwalten zu können - ebenfalls deaktiviert werden. Damit würden aber auch aktuelle Vorteile wie die Kennwortsynchronisierung, das automatische Anlegen neuer Nutzer in beiden Welten, SSO, etc. wegfallen. Dauerhaft einen On-Prem zu betreiben macht in meinen Augen keinen Sinn, erst recht nicht, da Exchange SE/2025 dann abonniert werden müsste. Wie löst ihr das Ganze?
Vorab vielen Dank für jede Meinung zu diesem Thema.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 63536188435
Url: https://administrator.de/contentid/63536188435
Printed on: July 5, 2024 at 07:07 o'clock
14 Comments
Latest comment
Zitat von @prinzjulius:
Die eigentliche Frage ist aber: Sobald wir auf Cloud-Only wechseln, würde der lokale Exchange wegfallen und die AD-Synchro müsste - um die Exchange-Konten vollständige Online verwalten zu können - ebenfalls deaktiviert werden. Damit würden aber auch aktuelle Vorteile wie die Kennwortsynchronisierung, das automatische Anlegen neuer Nutzer in beiden Welten, SSO, etc. wegfallen. Dauerhaft einen On-Prem zu betreiben macht in meinen Augen keinen Sinn, erst recht nicht, da Exchange SE/2025 dann abonniert werden müsste. Wie löst ihr das Ganze?
Das ist meiner Meinung nach zur Zeit so nicht vorgesehen. Entweder Hybrid, d. h. das lokale AD hat den Hut auf, oder alles, inkl. AD, in die Cloud.
Moin,
Warum meint ihr, dass ihr die AD-Synchronisierung deaktivieren müsstet? Hier eine kurze Checkliste:
Sofern diese Voraussetzungen erfüllt sind, kann mit der Exchange-Migration / Datenübertragung gestartet werden. Dann DNS-Einträge anpassen und den onPrem Exchange abschalten.
Bei gewachsenen Strukturen ist die Hürde meist ein falsch gewählten AD-Domänennamen (z.B. firma.local oder ad.firma.de oder so etwas). Oder dass die Benutzernamen lokal anders sind als der erste Teil der Mail-Adresse. Das muss man dann erst entsprechend vorbereiten, abändern, umbiegen ...
Gemeinsame Postfächer und zusätzliche Gruppen usw. können zusätzlich online hinzugefügt werden.
Sobald wir auf Cloud-Only wechseln, würde der lokale Exchange wegfallen und die AD-Synchro müsste - um die Exchange-Konten vollständige Online verwalten zu können - ebenfalls deaktiviert werden.
Warum meint ihr, dass ihr die AD-Synchronisierung deaktivieren müsstet? Hier eine kurze Checkliste:
- Domains sind gleich (onPrem-AD-Domäne = firma.de; Mail-Domaine in M365 = firma.de)
- Benutzer sind in der onPrem-AD-Domäne korrekt angelegt (z.B. vorname.nachname, oder welches Schema ihr verwenden möchtet)
- AzureAD Sync mit Hashwert und SSO ist aktiv
- Benutzer werden synchronisiert und erhalten automatisch bei Zuteilung einer Lizenz im M365 die Mail vorname.nachname@firma.de zugeordnet
Sofern diese Voraussetzungen erfüllt sind, kann mit der Exchange-Migration / Datenübertragung gestartet werden. Dann DNS-Einträge anpassen und den onPrem Exchange abschalten.
Bei gewachsenen Strukturen ist die Hürde meist ein falsch gewählten AD-Domänennamen (z.B. firma.local oder ad.firma.de oder so etwas). Oder dass die Benutzernamen lokal anders sind als der erste Teil der Mail-Adresse. Das muss man dann erst entsprechend vorbereiten, abändern, umbiegen ...
Gemeinsame Postfächer und zusätzliche Gruppen usw. können zusätzlich online hinzugefügt werden.
Moin,
Nö, musst du nicht.
Du brauchst OnPrem nur noch die Exchange Verwaltungsrolle. Damit kannst du dann per Powershell den ganzen Exchange Kram managen, der dann zu M365 gesynced wird.
Gruß,
Avoton
Sobald wir auf Cloud-Only wechseln, würde der lokale Exchange wegfallen und die AD-Synchro müsste - um die Exchange-Konten vollständige Online verwalten zu können - ebenfalls deaktiviert werden.
Nö, musst du nicht.
Wie löst ihr das Ganze?
Du brauchst OnPrem nur noch die Exchange Verwaltungsrolle. Damit kannst du dann per Powershell den ganzen Exchange Kram managen, der dann zu M365 gesynced wird.
Gruß,
Avoton
Genau, der Azure AD Connect funktioniert auch wunderbar komplett ohne der Exchange Rolle. Also muss er nicht entfernt werden.
Guten Morgen und schon einmal Danke für die Antworten,
Es geht um die Deaktivierung der Synchro nach abgeschlossener Migration zu EXO. Soweit sind ja alle Konten schon synchron und kompatibel.
Da - solange die das Conenct aktiv ist - viel Attribute, inkl. der Exchange-Attribute, nur in der On-Premises-Welt verändert werden könnnen, ist man immer auf eine Minimal-Installation von Exchange angewiesen; und sei es nur die Verwaltungsrolle mit PowerShell.
Auch diese würde ich gerne loswerden, da wir ja aktuell einen EX 2016 mit entsprechendem Server nutzen. Jetzt noch auf EX 2019 upzugraden lohnt sich wohl nicht mehr und evtl. auf einen Abo-Server wechseln zu müssen, um eine lokale Minimal-Installation zu haben finde ich - sagen wir - schwierig.
Vielleicht übersehe ich an der Stelle auch etwas.
Warum meint ihr, dass ihr die AD-Synchronisierung deaktivieren müsstet? Hier eine kurze Checkliste:
Es geht um die Deaktivierung der Synchro nach abgeschlossener Migration zu EXO. Soweit sind ja alle Konten schon synchron und kompatibel.
Da - solange die das Conenct aktiv ist - viel Attribute, inkl. der Exchange-Attribute, nur in der On-Premises-Welt verändert werden könnnen, ist man immer auf eine Minimal-Installation von Exchange angewiesen; und sei es nur die Verwaltungsrolle mit PowerShell.
Du brauchst OnPrem nur noch die Exchange Verwaltungsrolle. Damit kannst du dann per Powershell den ganzen Exchange Kram managen, der dann zu M365 gesynced wird.
Auch diese würde ich gerne loswerden, da wir ja aktuell einen EX 2016 mit entsprechendem Server nutzen. Jetzt noch auf EX 2019 upzugraden lohnt sich wohl nicht mehr und evtl. auf einen Abo-Server wechseln zu müssen, um eine lokale Minimal-Installation zu haben finde ich - sagen wir - schwierig.
Vielleicht übersehe ich an der Stelle auch etwas.
Es geht um die Deaktivierung der Synchro nach abgeschlossener Migration zu EXO. Soweit sind ja alle Konten schon synchron und kompatibel.
Wir reden über AzureADConnect, richtig? Warum solltest du das deaktivieren müssen für EXO? Den EXO verwaltet man doch online? Ich glaube gerade, dass ich dein Anliegen nicht korrekt verstehe.
Servus,
Du musst den Onpremise garnicht mehr lizenzieren wenn du Hybrid unterwegs bist. Den dieser wird dann über die Microsoft Lizenzen bzw. Dann über den Exchange Hybrid Wizard lizenziert. Wir fahren hier auch einenMinimal Installation (4CPU Kerne, 16GB Ram) reicht in Zukunft völlig aus.
Wir haben uns damals bewusst dafür entschieden damit du die ganzen Attribute in beiden Welten hast. Macht für das ein oder andere Szenario sinn.
Den Azure AD Connect musst du aber such bei Abschaltung des lokalen ADs nicht abschalten.
Wir haben den Exchange lokal nach der Migration komplett dicht gemacht. Autodiscover und OWA haben wir komplett richtung Cloud Umgebogen. Läuft einwandfrei, so brauchst auch nix mehr an der Firewall machen.
Beste Grüße
Niklas
Du musst den Onpremise garnicht mehr lizenzieren wenn du Hybrid unterwegs bist. Den dieser wird dann über die Microsoft Lizenzen bzw. Dann über den Exchange Hybrid Wizard lizenziert. Wir fahren hier auch einenMinimal Installation (4CPU Kerne, 16GB Ram) reicht in Zukunft völlig aus.
Wir haben uns damals bewusst dafür entschieden damit du die ganzen Attribute in beiden Welten hast. Macht für das ein oder andere Szenario sinn.
Den Azure AD Connect musst du aber such bei Abschaltung des lokalen ADs nicht abschalten.
Wir haben den Exchange lokal nach der Migration komplett dicht gemacht. Autodiscover und OWA haben wir komplett richtung Cloud Umgebogen. Läuft einwandfrei, so brauchst auch nix mehr an der Firewall machen.
Beste Grüße
Niklas
Gab es da nicht ein Paket, das man anstelle des Exchange Servers installieren konnte, sodass die Exchange Attributen im AD vorhanden sind?
Wenn SSO aktiv und die DNS-Einträge (autodiscover, usw.) gesetzt sind, muss man gar nichts weiter machen? Outlook füllt die Mail-Adresse beim ersten Start aus, Benutzer klickt auf weiter und schon richtet sich Outlook ein.
Zumindest war das bislang immer so. Habe noch nie gehört, dass man für den EXO lokal Verwaltungstools dafür am Laufen haben muss. Einzig eventuell das exo-cmdlet für die Powershell, aber das muss ja nicht auf einem Server passieren. ¯\_(ツ)_/¯
Zumindest war das bislang immer so. Habe noch nie gehört, dass man für den EXO lokal Verwaltungstools dafür am Laufen haben muss. Einzig eventuell das exo-cmdlet für die Powershell, aber das muss ja nicht auf einem Server passieren. ¯\_(ツ)_/¯
Nochmals Danke für alle Meinungen.
Richtig, jetzt eben Entra-Connect. Dieser funktioniert natürlich auch, wenn EXO genutzt wird. Solange der Connect aber synct, sind die meisten AD-Attribute nur in der On-Prem AD überhaupt veränderbar. Und das betrifft ja auch Exchange-Attribute. Und genau dafür nutzen die meisten dann eben eine Minimal-Installation mit den Verwaltungstools.
Wenn das Lizenzfrei möglich ist und dann zukünftig auch die Verwaltungstools von EX 2025 genutzt werden können, der Server/Exchange 2016 also abgeschaltet werden kann, könnte ich damit leben.
Zitat von @anteNope:
Wir reden über AzureADConnect, richtig? Warum solltest du das deaktivieren müssen für EXO? Den EXO verwaltet man doch online? Ich glaube gerade, dass ich dein Anliegen nicht korrekt verstehe.
Wir reden über AzureADConnect, richtig? Warum solltest du das deaktivieren müssen für EXO? Den EXO verwaltet man doch online? Ich glaube gerade, dass ich dein Anliegen nicht korrekt verstehe.
Richtig, jetzt eben Entra-Connect. Dieser funktioniert natürlich auch, wenn EXO genutzt wird. Solange der Connect aber synct, sind die meisten AD-Attribute nur in der On-Prem AD überhaupt veränderbar. Und das betrifft ja auch Exchange-Attribute. Und genau dafür nutzen die meisten dann eben eine Minimal-Installation mit den Verwaltungstools.
Wenn das Lizenzfrei möglich ist und dann zukünftig auch die Verwaltungstools von EX 2025 genutzt werden können, der Server/Exchange 2016 also abgeschaltet werden kann, könnte ich damit leben.
Ah jetzt verstehe ich. Weil du deinen on Prem Exchange hast und zeitgleich Sync aktiv ist/war, schreibt der jene Einstellungen auch ins EntraID und sind dort (also online) nicht mehr veränderbar?
Sprich man hätte den on prem Exchange vor der ersten Synchronisierung komplett aus der lokalen AD entfernen müssen damit man den EXO online verwalten kann?
Klingt etwas dämlich, aber meine Erwartungen an MS sind mittlerweile sehr low ...
Sprich man hätte den on prem Exchange vor der ersten Synchronisierung komplett aus der lokalen AD entfernen müssen damit man den EXO online verwalten kann?
Klingt etwas dämlich, aber meine Erwartungen an MS sind mittlerweile sehr low ...
Zitat von @anteNope:
Ah jetzt verstehe ich. Weil du deinen on Prem Exchange hast und zeitgleich Sync aktiv ist/war, schreibt der jene Einstellungen auch ins EntraID und sind dort (also online) nicht mehr veränderbar?
Ah jetzt verstehe ich. Weil du deinen on Prem Exchange hast und zeitgleich Sync aktiv ist/war, schreibt der jene Einstellungen auch ins EntraID und sind dort (also online) nicht mehr veränderbar?
Genau. Und das ist auch genau so gewollt. Die lokale AD ist bei der Connect-Syncro der "Master". Wenn ich in Entra einen Nutzer bearbeiten will, sind entsprechend nahezu alle Felder ausgegraut und ich muss diese lokal anpassen und synchronisieren. Was ja für eine parallele Nutzung von On-Prem und EXO Sinn macht. Da müssen natürlich alle Daten identisch sein.
Sprich man hätte den on prem Exchange vor der ersten Synchronisierung komplett aus der lokalen AD entfernen müssen damit man den EXO online verwalten kann?
Das dürfte technisch gar nicht möglich sein, da Exchange ohne Domäne nicht "leben" kann.
Es scheint - wie Du schon sagst - dämlich. Entweder ich habe am Ende immer einen lokalen Exchange-Rest, oder ich muss auf die Sync verzichten. Am allerliebsten wäre MS wohl Cloud-Only und gar nichts mehr lokal. Das ist in unserem Fall aber nicht gewollt, weshalb wir uns wohl mit einer Einschränkung arrangieren müssen.
Das dürfte technisch gar nicht möglich sein, da Exchange ohne Domäne nicht "leben" kann.
Klingt dennoch irgendwie voll daneben. Weil ich habe die Tage eine frische Domäne (ohne lokalen Exchange) aufgesetzt und habe den EntraID-Connector installiert. Benutzer angelegt, sync abgewartet, Lizenzen online zugewiesen und fertig ist der EXO ...
Nur weil man mal einen onPrem Exchange hatte, bekommt man den nicht mehr raus? Eigentlich sollte sich MS doch freuen wenn man in die Cloud migriert ... man man man
auf dem Notizenzettel schreib: "niemals lokalen Exchange mit EntraID koppeln, komplett neu machen den Mist, spart Kopfschmerzen ...
Hier mal ein Beitrag von Franky‘s Web zum Thema letzter Exchange Server https://www.frankysweb.de/exchange-2019-einrichtung-einer-hybrid-umgebun ...
Nochmals allen vielen Dank. Ich setze diesen Beitrag mal auf gelöst.
Nochmals allen vielen Dank. Ich setze diesen Beitrag mal auf gelöst.
