Verwalten von Empfängern in Exchange-Hybridumgebungen mithilfe von Verwaltungstools

Wenn Sie einen lokalen Exchange-Server nur für die Empfängerverwaltung in Exchange-Hybridumgebungen verwalten, können Sie ihren letzten Exchange-Server möglicherweise herunterfahren und Empfänger mithilfe von Windows PowerShell verwalten, nachdem Sie alle Empfänger in Exchange Online verschoben haben.

Zuvor benötigten Sie selbst nach dem Verschieben aller Postfächer in Exchange Online noch einen lokalen Exchange-Server, um diese Attribute der Cloudempfänger zu verwalten. Sie haben die Empfänger auf einem Exchange-Server in Ihrem lokales Active Directory bearbeitet, und ihre Attribute wurden mithilfe der Verzeichnissynchronisierung in Microsoft Entra ID kopiert. Sie können diese Methode weiterhin verwenden, um Ihre Empfänger zu verwalten, auch wenn sie alle in der Cloud sind. Das Herunterfahren des Exchange-Servers ist vollständig optional.

Hinweis

Sie können lokale Empfänger nicht direkt in Microsoft Entra ID oder Exchange Online ändern, sodass Sie weiterhin eine lokale Exchange-Server- und Verzeichnissynchronisierung über die Cloudsynchronisierung oder Microsoft Entra Connect-Tool benötigen. Weitere Informationen finden Sie unter Warum Sie Exchange-Server nicht aus der lokalen Umgebung außer Betrieb setzen möchten.

Funktioniert diese neue Methode für mich?

Eine aktualisierte Version der Exchange-Verwaltungstools kann die Ausführung eines lokalen Exchange-Servers überflüssig werden, wenn alle der folgenden Aussagen zutreffen:

• Sie haben alle Postfächer und öffentlichen Ordner zu Exchange Online migriert (keine lokalen Exchange-Empfänger).
• Sie verwenden AD für die Empfängerverwaltung und Cloudsynchronisierung oder Microsoft Entra Connect für die Synchronisierung.
• Sie verwenden oder benötigen weder das lokale Exchange Admin Center noch die rollenbasierte Zugriffssteuerung von Exchange (RBAC).
• Sie können Windows PowerShell nur für die Empfängerverwaltung verwenden.
• Sie benötigen keine Überwachung oder Protokollierung der Empfängerverwaltungsaktivitäten.
• Sie führen nur einen lokalen Exchange-Server und nur für die Empfängerverwaltung aus.
• Sie möchten Empfänger verwalten, ohne Exchange-Server auszuführen.

Verwenden Sie Exchange-Setup in Exchange 2019 Kumulatives Update 12 oder höher, um die neuesten Verwaltungstools auf jedem in die Domäne eingebundenen Computer (Client oder Server) zu installieren. Anweisungen finden Sie unter Installieren der Exchange-Verwaltungstools.

Warnung

Deinstallieren Sie den letzten Server NICHT. Sie können den Server herunterfahren und das Skript verwenden, um sauber, aber NICHT deinstallieren. Durch die Deinstallation des Servers werden wichtige Informationen aus Active Directory entfernt, die die Fähigkeit des Verwaltungstoolpakets zum Verwalten von Exchange-Attributen beeinträchtigen. Weitere Informationen finden Sie hier: Wichtig: Bewusst sein

Mit den aktualisierten Exchange-Verwaltungstools können Domänenadministratoren und Mitglieder der EMT-Gruppe empfängerverwaltung (erstellt durch Schritt 6 unten) Windows PowerShell verwenden, um die folgenden Cmdlets ohne ausgeführten Exchange-Server auszuführen:

• Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser und Enable-MailUser.
• Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact und Enable-MailContact.
• Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox und Enable-RemoteMailbox.
• Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup und Enable-DistributionGroup (ohne Upgrade-DistributionGroup).
• Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember und Update-DistributionGroupMember.
• Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy und Update-EmailAddressPolicy.
• Set-User und Get-User.

Hinweis

Sie können lokale Empfänger nicht direkt in Microsoft Entra ID oder Exchange Online ändern.

Vergewissern Sie sich, dass die Verwaltungstools ohne Exchange Server ausgeführt werden können.

Wenn Ihre Umgebung einen einzelnen Exchange-Server enthält, der ausschließlich für die Cloudempfängerverwaltung ausgeführt wird, führen Sie die Schritte in diesem Abschnitt aus, um das Verwaltungstoolsupdate zu testen.

Vorbereiten der Exchange-Umgebung

1. Überprüfen Sie, ob sich alle Postfächer in der Cloud befinden, indem Sie die folgenden Befehle in der Exchange-Verwaltungsshell ausführen:

   Set-AdServerSettings -ViewEntireForest $true
   Get-Mailbox
   

   Hinweis

   Standardmäßig werden integrierte Administratorpostfächer nicht per Cloudsynchronisierung oder Microsoft Entra Connect mit der Cloud synchronisiert. Bevor Sie fortfahren, sollten Sie diese Postfächer mithilfe von Disable-Mailbox deaktivieren.

2. Überprüfen Sie, ob die Exchange Online Mandantenkoexistenzdomäne (in der Regel etwa "contoso.mail.onmicrosoft.com") als Zielübermittlungsdomäne konfiguriert ist, indem Sie den folgenden Befehl ausführen:

   Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain
   

   Wenn die Koexistenzdomäne nicht als Remotedomäne hinzugefügt wird, können Sie sie mit New-RemoteDomain hinzufügen. Zum Beispiel:

   New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'
   

   Wenn sie nicht als Zielübermittlungsdomäne festgelegt ist, können Sie sie mithilfe von Set-RemoteDomain festlegen. Beispiel:

   Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'
   

   Hinweis

   Wenn Sie den letzten Exchange-Server bereits entfernt haben oder noch nie einen hatten, können Sie über das Exchange-Snapin auf die Set-RemoteDomain und New-RemoteDomain Cmdlets zugreifen. Installieren Sie die Exchange-Verwaltungstools aus dem letzten kumulativen Update für Exchange Server 2019 auf einem beliebigen in die Domäne eingebundenen Computer, und führen Sie den folgenden Befehl in Windows PowerShell aus:

   Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
   

   Diese Methode zum manuellen Aktivieren des Exchange-Snapins wird nur für diesen speziellen Fall unterstützt.

   Durch die Installation der Exchange-Verwaltungstools in einer Umgebung, die nie über eine Exchange Server verfügte, wird eine neue Exchange-organization erstellt und Active Directory für Exchange vorbereitet. Wenn Sie über eine große AD-Bereitstellung verfügen oder ein separates Team AD verwaltet, führen Sie die folgenden Schritte aus: Vorbereiten von Active Directory und Domänen für Exchange Server, um AD vorzubereiten.

3. Installieren Sie die Rolle Exchange-Verwaltungstools mithilfe des setups für kumulative Updates vom Exchange Server 2019 April 2022. Die aktualisierten Tools können auf jedem in die Domäne eingebundenen Computer in exchange 2013 oder höher organization installiert werden.

   Hinweis

   Wenn Sie die aktualisierten Exchange-Verwaltungstools in einer Umgebung mit nur Exchange 2013 und/oder Exchange 2016 installieren, wird das Exchange-organization auf Exchange Server 2019 aktualisiert, und es wird ein AD-Schemaupdate ausgeführt. Wenn Sie über eine große AD-Bereitstellung verfügen oder ein separates Team AD verwaltet, führen Sie die folgenden Schritte aus: Vorbereiten von Active Directory und Domänen für Exchange Server, um die Schemaaktualisierung durchzuführen.

4. Installieren Sie die Windows-Remoteserver-Verwaltungstools mithilfe der Schritte in diesem Artikel: Installieren, Deinstallieren und Deaktivieren/Aktivieren von RSAT-Tools.

5. Wenn Sie den Skript-Agent aktiviert haben, kopieren Sie ScriptingAgentConfig.xml aus $env:ExchangeInstallPath\Bin\CmdletExtensionAgents auf dem Exchange Server in den Ordner $env:ExchangeInstallPath\Bin\CmdletExtensionAgents auf dem Computer, auf dem das Management Tools-Update installiert ist.

6. Führen Sie das bereitgestellte Skript aus, um die EMT-Sicherheitsgruppe empfängerverwaltung zu erstellen, die Benutzern ohne Domänenadministratorrechte zum Verwalten von Empfängern gewährt.

   1. Melden Sie sich mit dem Update der Verwaltungstools als Domänen-Admin beim Computer an, und öffnen Sie Windows PowerShell.

   2. Laden Sie das Empfängerverwaltungs-Snap-In, indem Sie den folgenden Befehl ausführen:

      Add-PSSnapin *RecipientManagement
      

   3. Führen Sie Add-PermissionForEMT.ps1 im Ordner $env:ExchangeInstallPath\Scripts aus. Das Skript erstellt eine Sicherheitsgruppe namens Recipient Management EMT. Mitglieder dieser Gruppe verfügen über Empfängerverwaltungsberechtigungen. Alle Administratoren ohne Domänenadministratorrechte müssen die Empfängerverwaltung durchführen, sollten dieser Sicherheitsgruppe hinzugefügt werden.

7. Melden Sie sich mit dem Update der Verwaltungstools mit den entsprechenden Berechtigungen (Domänenadministrator oder Mitglied von Empfängerverwaltungs-EMT) beim Computer an, und laden Sie das Snap-In Empfängerverwaltung, indem Sie Folgendes ausführen:

   Add-PSSnapin *RecipientManagement
   

   Sie müssen diesen Schritt jedes Mal ausführen, wenn Sie Empfänger verwalten.

8. Testen Sie alle Cmdlets für die Empfängerverwaltung, und vergewissern Sie sich, dass die erwarteten Ergebnisse angezeigt werden.

Hinweis

Cmdlets, die über PowerShell Snapin wie RecipientManagement aufgerufen werden, unterscheiden sich bei den Ausgabedatentypen im Vergleich zu , wenn sie mit New-PSSessionausgeführt werden. Dies ist zu erwarten, und alle Skripts, die auf den Datentypen der Cmdlets basieren, sollten entsprechend geändert werden.

Für instance ergibt (Get-Mailbox User).EmailAddresses.GetType() bei Verwendung durch RecipientManagement SnapIn den Datentyp als ProxyAddressCollection, wobei dasselbe Cmdlet, wenn es in einer PSSession ausgeführt wird, den Datentyp als ArrayListergibt.

9. Fahren Sie Den letzten Exchange-Server herunter, und überprüfen Sie, ob alle Empfängerverwaltungs-Cmdlets weiterhin wie erwartet funktionieren.

Endgültiges Herunterfahren Des letzten Exchange Server

Wenn Sie beabsichtigen, Ihre letzte Exchange Server dauerhaft herunterzufahren, empfehlen wir Ihnen, die folgenden Schritte auszuführen, um sauber und den Sicherheitsstatus Ihrer Umgebung zu verbessern.

Wichtig

Wenn Sie Ihren letzten Exchange-Server für einen anderen Zweck als die Empfängerverwaltung (für Exmaple, SMTP-Relay) verwenden, fahren Sie ihn nicht herunter.

1. Aktivieren Sie Den letzten Exchange-Server.

2. Bereinigen Sie Ihre Hybridkonfiguration, indem Sie die Schritte 1 bis 8 für Szenario 2 unter Wie und wann Ihre lokalen Exchange-Server in einer Hybridbereitstellung außer Betrieb genommen werden sollen.

3. Entfernen Sie die Verbundvertrauensstellung, indem Sie den folgenden Befehl in der Exchange-Verwaltungsshell ausführen:

   Remove-FederationTrust "Microsoft Federation Gateway"
   

4. Entfernen des Verbundzertifikats: Führen Sie Folgendes aus, um den Zertifikatfingerabdruck zu suchen:

   $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint
   

   Um den Zertifikatfingerabdruck zu entfernen, führen Sie Folgendes aus:

   Remove-ExchangeCertificate -Thumbprint $fedThumbprint
   

5. Entfernen Sie die Für OAuth erstellten Dienstprinzipalanmeldeinformationen. Dazu müssen Sie bestimmen, welche KeyId mit dem Schlüsselwert des OAuth-Zertifikats übereinstimmt. Führen Sie die folgenden Schritte aus, um die übereinstimmende KeyId zu finden:

   1. Führen Sie die folgenden Befehle in der Exchange-Verwaltungsshell aus, um OAuth credValue abzurufen:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      

   2. Suchen Sie nach der KeyId, die mit der oben gefundenen $credValue identisch ist, führen Sie die folgenden Befehle als Mandantenadministrator mithilfe von Microsoft Graph PowerShell aus.

      Import-Module Microsoft.Graph.Applications
      Connect-MgGraph -Scopes "Application.Read.All"
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MgServicePrincipalByAppId -AppId $ServiceName
      $keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId
      

      Dadurch wird die KeyId des Schlüssels zurückgegeben, dessen Wert dem oben gefundenen $credValue entspricht.

   3. Führen Sie den folgenden Befehl aus, um die Anmeldeinformationen des Dienstprinzipals zu entfernen:

      Import-Module Microsoft.Graph.Applications
      $params = @{
      KeyId = $keyId
      }
      Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params
      

6. Deinstallieren Sie den Hybrid-Agent. Wenn Ihre Umgebung über eine moderne Hybridkonfiguration verfügt, führen Sie die folgenden Schritte aus, um sie zu entfernen.

   1. Öffnen Sie auf dem Computer, auf dem der Hybrid-Agent installiert ist, die Exchange-Verwaltungsshell, wechseln Sie zum Speicherort des Skripts "C:\Programme\Microsoft Hybrid Service\HybridManagement.psm1 ", und importieren Sie dann das PowerShell-Modul des Hybrid-Agents.

      Import-Module .\HybridManagement.psm1
      

   2. Um die App zu entfernen, ist eine AppId erforderlich. Verwenden Sie eines der folgenden Cmdlets in Exchange Online PowerShell, um die AppId zu finden.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      Die Ausgabe sieht in etwa folgendermaßen aus:

      TargetSharingEpr
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      Oder führen Sie Folgendes aus:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      Die Ausgabe sieht in etwa folgendermaßen aus:

      RemoteServer
      ------------
      6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
      

      In diesem Beispiel ist 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 die AppId, die im nächsten Schritt verwendet werden soll.

   3. Entfernen Sie die App, indem Sie Folgendes ausführen:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
      

      Hinweis

      Die AppId lautet nur für dieses Beispiel 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7; Ihr Wert unterscheidet sich.

   4. Deinstallieren Sie den Hybrid-Agent mithilfe der folgenden Schritte: Deinstallieren des Hybrid-Agents.

7. Wenn noch nicht geschehen, verweisen Sie ihre MX- und AutoErmittlungs-DNS-Einträge auf Exchange Online. Dieser Schritt ist wichtig, um sicherzustellen, dass der Nachrichtenfluss nicht beeinträchtigt wird. Weitere Informationen finden Sie unter Externe Domänennamensystemeinträge für Office 365.

8. Fahren Sie Den letzten Exchange-Server herunter.

Active Directory-sauber up

Wenn Sie planen, nie wieder einen lokalen Exchange-Server auszuführen, empfiehlt es sich, Ihr Active Directory sauber, indem Sie unnötige Exchange-Objekte entfernen.

Warnung

Dieser Schritt kann nicht rückgängig werden. Fahren Sie nur fort, wenn Sie Exchange Server nie wieder ausführen möchten.

Die AD-Bereinigung kann durch Ausführen des cleanupActiveDirectoryEMT-Skripts ausgeführt werden, das im Lieferumfang der Verwaltungstools enthalten ist. Das Skript entfernt Systempostfächer, unnötige Exchange-Container, Berechtigungen für Exchange-Sicherheitsgruppen für die Domänen- und Konfigurationspartitionen sowie die Exchange-Sicherheitsgruppen. Sie müssen dieses Skript mit Domänenadministratoranmeldeinformationen ausführen.

Dieses Skript ist verfügbar unter: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Wichtig: Beachten Sie

Warnung

Nachdem Sie den letzten Exchange-Server heruntergefahren haben, funktioniert Exchange RBAC nicht mehr. Benutzer, die Teil von Exchange-Empfängergruppen waren oder über benutzerdefinierte Exchange-Rollen verfügten, die die Empfängerverwaltung ermöglichten, verfügen nicht mehr über die Berechtigung. Nur Domänenadministratoren und Benutzer, denen die Berechtigung per Add-PermissionForEMT.ps1 Skript zugewiesen wurde, können die Empfängerverwaltung durchführen.

Nachdem Sie Ihren letzten Exchange-Server heruntergefahren und die Zuvor beschriebenen Schritte zur Exchange-Hybrid- und Active Directory-Bereinigung ausgeführt haben, sollten Sie Den letzten Exchange-Server löschen und neu formatieren. Deinstallieren Sie die Exchange Server nicht.

Aktualisieren Sie die Rolle "Nur Exchange Server-Verwaltungstools" (ohne ausgeführte Exchange Server) auf ein neueres kumulatives update oder Sicherheitsupdate.

Sie haben die Schritte aus diesem Artikel ausgeführt, um die letzte Exchange Server zu entfernen, und verwenden Verwaltungstools nur für die Verwaltung von Hybridobjekten.

Upgrade von Verwaltungstools auf ein neueres kumulatives Update (CU)

Wenn Sie in solchen Umgebungen nur den Verwaltungstools-Rollenserver auf ein neueres CU aktualisieren, tritt möglicherweise der folgende Fehler auf:

Active Directory muss mit "Setup /PrepareAD" vorbereitet werden, bevor Exchange Server Verwaltungstools auf ein neueres CU aktualisiert werden können.

Führen Sie die folgenden Schritte aus, um die Verwaltungstools auf ein neueres CU zu aktualisieren:

1. Verwenden Sie den folgenden Befehl, um PrepareAD auszuführen:

   .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

2. Verwenden Sie den folgenden Befehl, um nur die Rolle "Verwaltungstools" zu aktualisieren:

   .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

3. Wenn Sie zuvor in der Umgebung gemäß Verwalten von Empfängern in Exchange-Hybridumgebungen mithilfe von Verwaltungstools ausgeführt .\CleanupActiveDirectoryEMT.ps1 haben, führen Sie das .\CleanupActiveDirectoryEMT.ps1 Skript erneut aus (da /PrepareAD einige Objekte, die entfernt CleanupActiveDirectoryEMT.ps1 werden, neu erstellt hat).

Warnung

Stellen Sie sicher, dass Sie das Skript NUR in der Umgebung ausführen CleanupActiveDirectoryEMT.ps1 , in der Sie bereits empfänger in Exchange-Hybridumgebungen mithilfe von Verwaltungstools verwalten gefolgt sind und das Skript bereits ausgeführt wurde (und keine Exchange-Server ausgeführt werden). Diese Aktion kann nicht rückgängig gemacht werden.

Upgrade von Verwaltungstools auf ein neueres Sicherheitsupdate (Sicherheitsupdate, SU)

Laden Sie das Sicherheitsupdatepaket herunter, und führen Sie es aus, um die Rolle "Verwaltungstools" auf eine neuere SU zu aktualisieren.