Umstellung der Archivierung von Microsoft Exchange Server auf Microsoft 365

In diesem Artikel wird die Umstellung der Archiverungsumgebung am Beispiel der bei einem Umstieg von einer lokalen Exchange-Umgebung zu Microsoft 365 in MailStore Server notwendigen Schritte beschrieben.

Warnung: Es wird dringend empfohlen, die in diesem Artikel beschriebenen Schritte zunächst in einer Testumgebung durchzuführen, da sie unter Umständen Änderungen an Ihren Exchange- und MailStore Server-Installationen vornehmen, die nicht oder nur sehr zeitaufwändig rückgängig gemacht werden können. Vor Anwendung der hier dargestellten Methoden ist außerdem die Durchführung eines Backups Ihrer MailStore Server- und Exchange-Server-Produktivumgebung zwingend erforderlich.

Voraussetzungen, Empfehlungen und Einschränkungen

Es wird davon ausgegangen, dass MailStore Server bisher in einer Umgebung bestehend aus Active Directory und Exchange Server gemäß den MailStore Exchange Implementation Guides und nach der Umstellung den Vorgaben des MailStore Implementation Guide für Microsoft 365 (Modern Authentication) entsprechend betrieben wird.
Vor der Umstellung sollte eine Verzeichnisdienstsynchronisation in MailStore Server durchgeführt werden, um sicherzustellen, dass die Benutzerdaten aktuell sind.
Falls Benutzerpostfächer archiviert werden, sollten diese vor der Umstellung mit folgenden Filtereinstellungen archiviert werden, um nach der Umstellung Duplikate im Archiv zu vermeiden:

Warnung: Mit diesen Einstellungen werden alle E‑Mails aus den zu archivierenden Postfächern in das MailStore Server-Archiv verschoben, d.h. diese Postfächer sind nach der Archiverung leer. Daher sollte dieser Schritt unmittelbar vor der Umstellung des Email-Systems erfolgen.
Im Gegensatz zu lokalen Exchange Servern unterstützt Microsoft 365 keine Journalpostfächer. Die MailStore Server-Journalarchivierung muss daher mittels des MailStore Gateway erfolgen. Beachten Sie dazu auch die Hinweise im entsprechenden Abschnitt dieses Artikels weiter unten.
Die im Folgenden beschriebenen Änderungen an MailStore Server sollten im Safe Mode durchgeführt werden, um eine Beeinflussung durch Hintergrundprozesse oder Benutzer auszuschließen.
Einige der in diesem Artikel beschriebenen Schritte werden mit Hilfe von PowerShell-Skripts durchgeführt, diese erfordern Windows PowerShell 3.0 oder höher.
- Die Skripte können Sie hier herunterladen. Sie sind nach dem Entpacken im Unterverzeichnis powershell\domainUpdate zu finden. Ihre grundsätzliche Verwendung ist in der enthaltenen readme.md beschrieben.
- Für die Skripte nutzen den MailStore PowerShell API-Wrapper, der im o.g. Skriptpaket im Unterverzeichnis powershell\api-wrapper bereits enthalten ist. Hierfür muss der Zugriff auf die MailStore Administration API in der MailStore Server Dienst-Konfiguration aktiviert sein.
- Die Umbenennung der Benutzer und Archivordner erfordert, dass der Zugriff auf die Benutzer-Archive durch Administratoren in MailStore Server gestattet ist, was standardmäßig nicht der Fall ist. Das Ändern dieser Einstellung ist im Kapitel Compliance Allgemein des MailStore Server Handbuchs beschrieben.

Umstellen der Benutzersynchronisation

Im ersten Schritt muss der Verzeichnisdienst, mit dem MailStore Server seine Benutzersynchronisation durchführt, von Active Directory auf Microsoft 365 mit moderner Authentifizierung umgestellt werden. Die Umstellung ist notwendig, da Microsoft 365 anstelle eines lokalen Active Directory das Azure Active Directory als Verzeichnisdienst nutzt.

Hinweis: Die für die Umstellung des Verzeichnisdienstes notwendigen Schritte sind abhängig vom Benutzernamensschema, das für die Benutzersynchronisation mit dem lokalen Active Directory in MailStore Server verwendet wird, da MailStore Server Benutzer nur anhand des Benutzernamens unterscheidet (z.B. wären hmeyer und [email protected] aus MailStore Server-Sicht zwei verschiedene Benutzer). Darüber hinaus assoziiert MailStore Server das zugehörige Archiv eines Benutzers immer namentlich zu dessen Benutzernamen, so dass für den Benutzer hmeyer auch immer ein zugehöriges Archiv (Archiv von) hmeyer erstellt wird, das, sofern es archivierte Emails enthält, unter diesem Namen erhalten bleibt, auch wenn sich der Benutzername ändert.

Verwendung des User Principal Name

Bei Verwendung des vollständigen User Principal Name (UPN, z.B. [email protected]) als Benutzername in MailStore Server können Sie die direkt zum Abschnitt Umstellung der Verzeichnisdienstsynchronisation auf Microsoft 365 dieses Artikels wechseln, wenn genau dieser UPN auch für die Anmeldung an Microsoft 365 benutzt werden soll. Wenn Sie allerdings das Namensschema des UPN in Microsoft 365 geändert haben (z.B. von [email protected] nach [email protected] oder von [email protected] nach [email protected]), müssen Sie mit den Schritten des folgenden Abschnitts fortfahren.

Verwendung des SAM Account Name oder des User Principal Name (Local Part)

Bei Verwendung des SAM Account Name oder des User Principal Name (Local Part), also eines "flachen" Benutzernamens ohne Domänenanteil (z.B. hmeyer), müssen Benutzer und Archivordner in MailStore Server umbenannt werden, da Azure Active Directory den vollständigen User Principal Name, der im Allgemeinen der primären Emailadresse entspricht (z.B. [email protected]), als Benutzernamen verwendet.

Gehen Sie für die Umbenennung wie folgt vor:

Falls noch nicht geschehen, laden Sie die Skripte, wie unter Voraussetzungen Empfehlungen und Einschränkungen beschrieben, herunter und entpacken Sie sie auf Ihrem MailStore Server-Computer, z.B. nach C:\MailStoreScipts.
Bearbeiten Sie die Skripte MSS_1_prepare_users.ps1 und MSS_2_update_users.ps1 in der PowerShell ISE und passen Sie die Zugangsdaten im Abschnitt # Adjust these values according to your installation entsprechend Ihrer MailStore Server Installation an. Normalerweise müssen Sie hier nur den Wert der Variable $password auf Ihr MailStore Server-Administratorkennwort ändern.
Starten Sie das Skript MSS_1_prepare_users.ps1 in der PowerShell ISE mittels F5.
Die Datei mailstore-users.txt wird erstellt (standardmäßig im Verzeichnis C:\Users\<Ihr Benutzername>\). Diese enthält die aktuellen MailStore Server-Benutzernamen.
Bearbeiten Sie diese Datei mit einem Texteditor. Ergänzen Sie die neuen Benutzernamen jeweils nach dem =, so dass die Einträge dann z.B. in der Form [email protected] vorliegen. Für Benutzernamen, die sich nicht ändern sollen (z.B. der interne admin-Benutzer), brauchen Sie nichts zu ergänzen, solche Zeilen werden von folgenden Skripten übersprungen.
Speichern Sie die Datei mailstore-users.txt, die jetzt die alten und neuen Benutzernamen enthalten sollte.
Starten Sie jetzt das Skript MSS_1_update_users.ps1 in der PowerShell ISE mittels F5.
Das Skript benennt nun die Benutzer und ihre Archivordner in MailStore Server um und setzt auch die Archivordnerrechte entsprechend.
Melden Sie sich als MailStore Server-Administrator über den MailStore Client an und überprüfen Sie die neuen Benutzernamen und Archivordner. Da sowohl die bisherigen Exchange- als auch die zukünftigen Microsoft 365-Archiverungsprofile dieselbe Ordnerstruktur beginnend mit Exchange unterhalb der Archivordner verwenden, müssen keine weiteren Umbenennungen vorgenommen werden.

Umstellen der Verzeichnisdienstsynchronisation auf Microsoft 365

Damit sich Benutzer anstatt mit ihren bisherigen Active Directory- zukünftig mit ihren Microsoft 365-Zugangsdaten an MailStore Server anmelden können, muss die Verzeichnisdienstsynchronisation auf Microsoft 365 (Modern Authentication) umgestellt werden.

Folgen Sie den Schritten im Kapitel Synchronisieren von Benutzerkonten mit Microsoft 365 (Modern Authentication) des MailStore Server Handbuchs. Führen Sie die Synchronisation hier zunächst nur allenfalls testweise mittels der entsprechenden Schaltfläche durch.
Sollten Sie die Verzeichnisdienstsynchronisation per Job zur zeitgesteuerten Ausführung eingerichtet haben, melden Sie sich als MailStore Server-Administrator über den MailStore Client an. Klicken Sie im Menübaum links auf Verwaltung > Management API > Jobs und deaktivieren Sie dort jeden angezeigten Job, der die Verzeichnisdienstsynchronisation ausführt, mittels des per Rechtsklick aufrufbaren Kontextmenüs.

Umstellen der Archiverungsprofile

Am 20. September 2019 hat Microsoft angekündigt, Basic Authentication als Authentifizierungsmethode für Exchange Online APIs in naher Zukunft nicht mehr zu unterstützen. Daher können die vorhandenen Exchange-Archiverungsprofile nicht mehr zur Archiverung von Microsoft 365-Postfächern verwendet werden, denn diese verwenden Basic Authentication zum Anmelden eines Benutzers oder Servicekontos am Exchange Server.

Deaktivieren vorhandener Profile und Jobs

Wenn Sie MailStore Server, wie weiter oben empfohlen, im Safe Mode ausführen, sind sowohl die automatische Ausführung als auch die Ausführung von Archiverungsprofilen per Job deaktiviert. Um diese dauerhaft zu deaktivieren, gehen Sie bitte wie folgt vor:

Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
Klicken Sie auf E‑Mails archivieren.
Aktivieren Sie unterhalb der Profilliste die Option Profile anderer Benutzer anzeigen.
Stellen Sie jedes angezeigte Exchange-Archiverungsprofil mittels des per Rechtsklick aufrufbaren Kontextmenüs auf "Manuell" um.
Sollten Sie Exchange-Exportprofile eingerichtet haben, klicken Sie im Menübaum links auf E‑Mails exportieren und verfahren Sie dort analog.
Sollten Sie Exchange-Profile per Job zur zeitgesteuerten Ausführung eingerichtet haben, klicken Sie im Menübaum links auf Verwaltung > Management API > Jobs und deaktivieren Sie dort jeden angezeigten Job, der ein Exchange-Profil ausführt, mittels des per Rechtsklick aufrufbaren Kontextmenüs.

Anlegen neuer Microsoft 365 Profile

In MailStore Server 13 wurden die Unterstützung für moderne Authentifizierungsmethoden via OAuth 2.0 & OpenID Connect gemäß Microsofts Empfehlung sowie entsprechende Microsoft 365-Archivierungs- und Exportprofile eingeführt.

Richten Sie die neuen Profile und Jobs entsprechend der folgenden Artikel ein. Um die Ausführung nach der Einrichtung überprüfen zu können, sollten diese zunächst auf manuell bzw. deaktiviert gestellt werden.

Folgen Sie für die Archivierung von Microsoft 365-Postfächern dem Implementation Guide E‑Mail-Archivierung von Microsoft 365 (Modern Authentication). Beachten Sie dabei insbesondere die Notwendigkeit des Einsatzes von MailStore Gateway für die Journalarchivierung, wie im Implementation Guide ausführlich beschrieben.
Die Einrichtung von Microsoft 365-Exportprofilen wird im Kapitel E‑Mails exportieren des MailStore Server Handbuchs beschrieben.
Nach der Einrichtung der Profile können Sie auch eventuell vorhandene Jobs anpassen, wie im Kapitel Jobs des MailStore Server Handbuchs beschrieben.

Abschließende Umstellungsaufgaben durchführen

Um die Umstellung der Archivierungsumgebung in MailStore Server abzuschließen, führen Sie bitte noch die folgenden Schritte durch.

Schließen Sie ggf. alle noch offenen MailStore Client-Sessions und starten Sie den MailStore Server-Dienst neu.
Melden Sie sich erneut als MailStore Server-Administrator über den MailStore Client an.
Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
Führen Sie die Synchronisation testweise mittels der entsprechenden Schaltfläche durch. Überprüfen Sie das Ergebnis mittels der angezeigten Benutzerliste. Hier können Sie auch überprüfen, ob die Benutzeranmeldung über Microsoft 365 wie erwartet funktioniert.
Wechseln Sie im Menübaum links auf Verwaltung > Benutzer und Archive > Archive und überprüfen Sie die Namen der Archivordner.
Wechseln Sie im Menübaum links auf E-Mails archivieren. Führen Sie die neuen Microsoft 365-Archiverungsprofile manuell nacheinander aus und kontrollieren Sie das Ergebnis. Fällt dieses zufriedenstellend aus, können Sie die alten Exchange-Archiverungsprofile anschließend löschen.
Verfahren Sie ggf. mit den Exportprofilen und Jobs analog.

Mit der erfolgreichen Durchführung dieser Aufgaben ist die Umstellung der Archiverungsumgebung in MailStore Server abgeschlossen.