Verwalten von Empfängern in Exchange Hybridumgebungen mithilfe von Verwaltungstools

In Exchange Hybridumgebungen benötigen Sie eine aktive Exchange Server, um die Attribute von Empfängern zu verwalten. Zunächst werden Attribute mithilfe eines Exchange Server in lokalen Azure Active Directory (Azure AD) bearbeitet, die dann mithilfe der Verzeichnissynchronisierung in Azure AD kopiert werden. Lokale Empfänger können nicht direkt in Azure AD oder Exchange Online geändert werden. Daher müssen Sie eine Exchange Server mithilfe der Verzeichnissynchronisierung über das Azure AD Verbinden-Tool ausführen.

Wenn Sie einen Exchange Server nur für die Empfängerverwaltung ausführen lassen, können Sie möglicherweise Ihren letzten Exchange Server herunterfahren und Empfänger mithilfe von Windows PowerShell verwalten.

Wichtig

Sie können diese Methode weiterhin verwenden, um Ihre Empfänger zu verwalten und den Server laufen zu lassen, wenn Sie nur den Exchange Server für die Empfängerverwaltung ausführen. Das Herunterfahren des Servers ist optional.

Installieren Sie die neuesten Verwaltungstools, die über Exchange Server 2019 Setup bereitgestellt werden, auf einem beliebigen in die Domäne eingebundenen Computer (Client oder Server). Erfahren Sie, wie Sie die neuesten Verwaltungstools installieren.

Wichtig

Dieses Feature ist nur für Exchange Server kumulatives Update 2019 12 oder höher verfügbar.

Funktioniert das für mich?

Eine aktualisierte Version der Exchange-Verwaltungstools kann die Ausführung Exchange Servers vermeiden, wenn alle folgenden Bedingungen erfüllt sind:

  • Sie haben alle Postfächer und öffentlichen Ordner zu Exchange Online migriert.
  • Verwenden Sie AD für die Empfängerverwaltung und Azure AD-Verbinden für die Synchronisierung.
  • Sie verwenden/benötigen nicht das lokale Exchange Admin Center oder Exchange Role-Based Access Control (RBAC).
  • Sie können nur Windows PowerShell für die Empfängerverwaltung verwenden.
  • Sie benötigen keine Überwachung oder Protokollierung von Empfängerverwaltungsaktivitäten.
  • Sie führen nur einen Exchange Server und nur für Empfängerverwaltungszwecke aus.
  • Sie möchten Empfänger verwalten, ohne Exchange Server auszuführen.

Warnung

Deinstallieren Sie nicht den letzten Server. Sie können den Server herunterfahren und das Skript zum Bereinigen verwenden, aber NICHT deinstallieren. Durch das Deinstallieren des Servers werden wichtige Informationen aus Active Directory entfernt, was dazu führt, dass das Verwaltungstoolpaket zum Verwalten Exchange Attributen unterbricht. Weitere Informationen finden Sie hier: Wichtig: Seien Sie sich bewusst

Mit den aktualisierten Exchange Verwaltungstools können Domänenadministratoren und Mitglieder der EMT-Gruppe "Empfängerverwaltung" (erstellt durch Schritt 6 unten) Windows PowerShell verwenden, um die folgenden Cmdlets auszuführen, ohne dass Exchange Server ausgeführt wird:

  • Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser und Enable-MailUser
  • Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact und Enable-MailContact
  • Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox und Enable-RemoteMailbox
  • Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup und Enable-DistributionGroup (ohne Upgrade-DistributionGroup)
  • Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember und Update-DistributionGroupMember
  • Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy und Update-EmailAddressPolicy
  • Set-User und Get-User

Hinweis

Lokale Empfänger können nicht direkt in Azure AD oder Exchange Online geändert werden.

Stellen Sie sicher, dass Verwaltungstools ohne Exchange Server ausgeführt werden können

Wenn Ihre Umgebung nur einen einzigen Exchange Server enthält, der ausschließlich aufgrund von Empfängerverwaltungsanforderungen ausgeführt wird, führen Sie die folgenden Schritte aus, um das Update der Verwaltungstools zu testen.

Vorbereiten der Exchange-Umgebung

  1. Stellen Sie sicher, dass sich alle Postfächer in der Cloud befinden, indem Sie die folgenden Befehle in der Exchange Verwaltungsshell ausführen:

    Set-AdServerSettings -ViewEntireForest $true
    Get-Mailbox
    

    Hinweis

    Integrierte Administratorpostfächer werden standardmäßig nicht über Azure AD-Verbinden mit der Cloud synchronisiert. Bevor Sie fortfahren, sollten Sie diese Postfächer mit "Disable-Mailbox" deaktivieren.

  2. Stellen Sie sicher, dass die Exchange Online Mandantenkoexistenzdomäne (in der Regel etwa "contoso.mail.onmicrosoft.com") als Zielübermittlungsdomäne konfiguriert ist, indem Sie den folgenden Befehl ausführen:

    Get-RemoteDomain Hybrid* | fl DomainName,TargetDeliveryDomain
    

    Wenn die Koexistenzdomäne nicht als Remotedomäne hinzugefügt wird, können Sie sie mithilfe von New-RemoteDomain hinzufügen. Beispiel:

    New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'
    

    Wenn sie nicht als Zielübermittlungsdomäne festgelegt ist, können Sie sie mit set-RemoteDomain festlegen. Beispiel:

    Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'
    

    Hinweis

    Sie haben bereits Exchange Server entfernt oder hatten noch nie eine Exchange Server, auf Set-Remotedomain und New-RemoteDomain Cmdlets kann über Microsoft.Exchange zugegriffen werden. Management.PowerShell.E2010-Snap-In. Fügen Sie das Snapin hinzu, bevor Sie die cmdlets Set-RemoteDomain oder New-RemoteDomain verwenden.

  3. Installieren Sie die Rolle Exchange Verwaltungstools mithilfe des kumulativen Update-Setups vom Exchange Server 2019 April 2022. Die aktualisierten Tools können auf jedem in die Domäne eingebundenen Computer in einer Exchange Organisation installiert werden. Es kann in Organisationen mit Exchange Server 2013, Exchange Server 2016 und/oder Exchange Server 2019 verwendet werden.

    Hinweis

    Durch das Installieren der aktualisierten Exchange-Verwaltungstools in einer Umgebung mit nur Exchange 2013 und/oder Exchange 2016 wird die Exchange Organisation auf Exchange Server 2019 aktualisiert, und es wird ein AD-Schemaupdate ausgeführt. Wenn Sie über eine große AD-Bereitstellung verfügen oder wenn ein separates Team AD verwaltet, führen Sie die folgenden Schritte aus: Bereiten Sie Active Directory und Domänen für Exchange Serve vor, um die Schemaaktualisierung durchzuführen.

  4. Installieren Sie die Windows Remoteserver-Verwaltungstools mithilfe der Schritte in diesem Artikel: Installieren, Deinstallieren und Deaktivieren/Aktivieren von RSAT-Tools.

  5. Wenn Sie den Skript-Agent aktiviert haben, kopieren Sie ScriptingAgentConfig.xml aus $env:ExchangeInstallPath\Bin\CmdletExtensionAgents auf dem Exchange Server in den Ordner $env:ExchangeInstallPath\Bin\CmdletExtensionAgents auf dem Computer, auf dem das Update "Verwaltungstools" installiert ist.

  6. Führen Sie das bereitgestellte Skript aus, um die EMT-Sicherheitsgruppe "Empfängerverwaltung" zu erstellen, die Benutzern ohne Domänenadministratorrechte die Verwaltung von Empfängern gewährt.

    1. Melden Sie sich mit dem Update der Verwaltungstools als Domänenadministrator beim Computer an, und öffnen Sie Windows PowerShell.

    2. Laden Sie das Snap-In "Empfängerverwaltung", indem Sie Add-PSSnapin *RecipientManagement ausführen.

    3. Führen Sie Add-PermissionForEMT.ps1 aus dem Ordner $env:ExchangeInstallPath\Scripts aus. Das Skript erstellt eine Sicherheitsgruppe namens Recipient Management EMT. Mitglieder dieser Gruppe verfügen über Empfängerverwaltungsberechtigungen. Alle Administratoren ohne Domänenadministratorrechte, die die Empfängerverwaltung durchführen müssen, sollten dieser Sicherheitsgruppe hinzugefügt werden.

  7. Melden Sie sich mit dem Update der Verwaltungstools mit den entsprechenden Berechtigungen (Domänenadministrator oder Mitglied des Empfängerverwaltungs-EMT) beim Computer an, und laden Sie das Snap-In "Empfängerverwaltung", indem Sie Folgendes ausführen:

    Add-PSSnapin *RecipientManagement.
    

    Dieser Schritt muss jedes Mal ausgeführt werden, wenn Sie Empfänger verwalten.

  8. Testen Sie alle Empfängerverwaltungs-Cmdlets, und stellen Sie sicher, dass die erwarteten Ergebnisse angezeigt werden.

  9. Fahren Sie den letzten Exchange Server herunter, und überprüfen Sie, ob alle Empfängerverwaltungs-Cmdlets weiterhin wie erwartet funktionieren.

Das letzte Exchange Server endgültig heruntergefahren

Wenn Sie beabsichtigen, Ihre letzte Exchange Server dauerhaft zu beenden, empfehlen wir, die folgenden Schritte zu verwenden, um Aspekte Ihrer Exchange Konfiguration zu bereinigen, um den Sicherheitsstatus Ihrer Umgebung zu verbessern.

Wichtig

Wenn Sie Ihren letzten Exchange-Server für andere Zwecke als die Empfängerverwaltung (z. B. für SMTP-Relay) verwenden, fahren Sie ihn nicht herunter.

  1. Aktivieren Sie den letzten Exchange Server.

  2. Bereinigen Sie Ihre Hybridkonfiguration, indem Sie die Schritte 1 bis 8 für Szenario 2 in "Wie und wann Sie Ihre lokalen Exchange Server in einer Hybridbereitstellung außer Betrieb nehmen" ausführen.

  3. Entfernen Sie die Verbundvertrauensstellung, indem Sie den folgenden Befehl in der Exchange-Verwaltungsshell ausführen:

    Remove-FederationTrust "Microsoft Federation Gateway"
    
  4. Entfernen Des Verbundzertifikats: Führen Sie folgende Schritte aus, um den Zertifikatfingerabdruck zu finden:

    $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint
    

    Führen Sie folgende Schritte aus, um den Zertifikatfingerabdruck zu entfernen:

    Remove-ExchangeCertificate –Thumbprint $fedThumbprint
    
  5. Entfernen Sie die für OAuth erstellten Dienstprinzipalanmeldeinformationen. Dazu müssen Sie ermitteln, welche KeyId dem Schlüsselwert des OAuth-Zertifikats entspricht. Führen Sie die folgenden Schritte aus, um die übereinstimmenden KeyId zu finden:

    1. Führen Sie die folgenden Befehle in der Exchange-Verwaltungsshell aus, um den OAuth-CredValue abzurufen:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      
    2. Find the KeyId that is same as the $credValue found above, run the following commands as a tenant admin using the Azure Active Directory Module for Windows PowerShell.

      Install-Module -Name MSOnline
      Connect-MsolService
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceName
      $keyId = (Get-MsolServicePrincipalCredential -AppPrincipalId $p.AppPrincipalId -ReturnKeyValues $true | ?{$_.Value -eq $credValue}).KeyId
      

      Dadurch wird die KeyId des Schlüssels angegeben, dessen Wert mit dem oben gefundenen $credValue übereinstimmt.

    3. Führen Sie den folgenden Befehl aus, um die Dienstprinzipalanmeldeinformationen zu entfernen:

      Remove-MsolServicePrincipalCredential –KeyIds @($keyId) -AppPrincipalId $p.AppPrincipalId
      
  6. Deinstallieren Sie den Hybrid-Agent. Wenn Ihre Umgebung über eine moderne Hybridkonfiguration verfügt, führen Sie die folgenden Schritte aus, um sie zu entfernen.

    1. Öffnen Sie auf dem Computer, auf dem der Hybrid-Agent installiert ist, die Exchange-Verwaltungsshell, und ändern Sie das Verzeichnis an den Speicherort des Skripts C:\Program Files\Microsoft Hybrid Service\HybridManagement.psm1, und importieren Sie dann das Hybrid-Agent-PowerShell-Modul.

      Import-Module .\HybridManagement.psm1
      
    2. Um die App zu entfernen, ist eine AppId erforderlich. Verwenden Sie eines der folgenden Cmdlets in Exchange Online PowerShell, um die AppId zu finden.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      Die Ausgabe sieht in etwa folgendermaßen aus:

      TargetSharingEpr
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      Oder führen Sie Folgendes aus:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      Die Ausgabe sieht in etwa folgendermaßen aus:

      RemoteServer
      ------------
      6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
      

      In diesem Beispiel ist 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 die AppId, die im nächsten Schritt verwendet werden soll.

    3. Entfernen Sie die App, indem Sie Folgendes ausführen:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
      

      Hinweis

      Die AppId ist nur für dieses Beispiel 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7. Ihr Wert wird unterschiedlich sein.

    4. Deinstallieren Sie den Hybrid-Agent mithilfe der hier aufgeführten Schritte: Deinstallieren Sie den Hybrid-Agent.

  7. Wenn noch nicht geschehen, verweisen Sie Ihre MX- und AutoErmittlungs-DNS-Einträge auf Exchange Online. Dies ist wichtig, um sicherzustellen, dass der Nachrichtenfluss nicht beeinträchtigt wird. Weitere Informationen finden Sie unter "Externe Domänennamensystemeinträge" für Office 365.

  8. Fahren Sie den letzten Exchange Server herunter.

Active Directory bereinigen

Wenn Sie planen, niemals Exchange Server lokal auszuführen, sollten Sie Active Directory bereinigen, indem Sie unnötige Exchange Objekte entfernen.

Wichtig

Dieser Schritt kann nicht rückgängig werden. Fahren Sie daher nur fort, wenn Sie Exchange Server nie erneut ausführen möchten.

Die AD-Bereinigung kann durch Ausführen des CleanupActiveDirectoryEMT-Skripts erfolgen, das im Lieferumfang der Verwaltungstools enthalten ist. Das Skript entfernt Systempostfächer, unnötige Exchange Container, Berechtigungen für Exchange Sicherheitsgruppen für die Domänen- und Konfigurationspartitionen sowie die Exchange Sicherheitsgruppen. Sie müssen dieses Skript mit Domänenadministratoranmeldeinformationen ausführen.

Dieses Skript ist verfügbar unter: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Wichtig: Seien Sie sich bewusst

Warnung

Nachdem Sie den letzten Exchange Server heruntergefahren haben, funktioniert Exchange RBAC nicht mehr. Benutzer, die Teil Exchange Empfängergruppen waren oder benutzerdefinierte Exchange-Rollen hatten, die die Empfängerverwaltung ermöglichen, verfügen nicht mehr über die Berechtigung. Nur Domänenadministratoren und Benutzer, denen die Berechtigung mithilfe Add-PermissionForEMT.ps1 Skripts zugewiesen ist, können die Empfängerverwaltung durchführen.

Nachdem Sie Den letzten Exchange Server heruntergefahren und die oben aufgeführten Schritte zur Exchange Hybrid- und Active Directory-Bereinigung ausgeführt haben, sollten Sie den letzten Exchange Server löschen und neu formatieren. Deinstallieren Sie die Exchange Server nicht.