In vielen Unternehmen werden noch Öffentliche Ordner alter Bauart, die sog. Legacy Public Folder, auf Exchange Server 2010 Systemen bereitgestellt. Oftmals sind die diese Ordnerstrukturen innerhalb der Öffentlichen Ordner Hierarchie über die Jahre unkontrolliert gewachsen. Dies nicht nur im Hinblick auf das Datenvolumen, sondern auch auf die Anzahl der Ordner und die Ordnertiefe in der Ordnerhierarchie. Aus diesen Gründen fürchten viele Unternehmen eine Migration der Öffentlichen Ordner zu einer modernen Version von Exchange Server oder zu Exchange Online.
Am 14. Januar 2020 ist das Support-Ende von Exchange Server 2010 erreicht. Bis zu diesem Termin sollten Sie vorhanden Öffentliche Ordner Hierarchien zu Modernen Öffentlichen Ordnern in Exchange Server 2016 oder zu Exchange Online migriert haben. Nach diesem Datum befinden sich Ihre Exchange Server 2010 Installationen in einem nicht unterstützten Betriebszustand und stellen ein Risiko für den sicheren Betrieb Ihrer IT-Plattform dar.
Maßnahmen zur Migration von Öffentlichen Ordnern
Vermeiden Sie die vollständige Migration aller Öffentlichen Ordner ohne eine Revision der Inhalte und Ordnerstrukturen.
Die Migration hin zu modernen Öffentlichen Ordner in Exchange Online muss besonders vorbereitet werden.
Diese Vorbereitung der Öffentlichen Ordner muss folgenden Maßnahmen und Überlegungen berücksichtigen:
- Deaktivierung der E-Mail-aktivierten Öffentlichen Ordner
- Vermeidung einer verzögerten Zustellung von E-Mails während der Migrations- und Finalisierungsphase
- Überführung der Ordnerinhalten in Freigegeben Postfächer oder zu Office 365 Groups
- Bereinigung der E-Mail-aktivierten Öffentlichen Ordner, wenn nicht alle E-Mail-Aktivierungen entfernt werden können
- Entfernung oder Änderung nicht unterstützter Zeichen aus dem Attribute E-Mail-Alias (mailNickname)
- Entfernung von Leerzeichen aus dem Attribute E-Mail-Alias (mailNickname)
- Bereinigung verwaister AD-Objekte von ehemals E-Mail-aktivierten Öffentlichen Ordner
- Löschung der Objekte aus dem MESO-Container
- Bereinigung der Berechtigungen in der Ordnerhierarchie
- Entfernung “alter” Sicherheitsbezeichnungen, insbesondere
- Umstellung der Ordnerberechtigungen von Einzelberechtigungen auf Sicherheitsgruppen
- Bereinigung der Ordnernamen der Öffentlichen Ordner
- Entfernung oder Änderung nicht unterstützter Zeichen
- Entfernung führender oder nachfolgender Leerzeichen
- Reduzierung der Ordnerinhalte und der Ordnerhierarchie
Warum sind diese Maßnahmen notwendig?
Mit einer Umstellung und Bereinigung der E-Mal-aktivierten Ordner stellen Sie eine sichere Zustellung der E-Mail-Nachrichten während der Migrations- und Finalisierungsphase der Öffentlichen Ordner sicher. Unabhängig davon, ob die die Öffentlichen Ordner zu Exchange Server 2016 oder zu Exchange Online migrieren, kommt es zu einem Pausieren der Zustellung. Nach der Fertigstellung werden wartende Nachrichten in die neue Betriebsumgebung der Öffentlichen Ordner umgeleitet und zugestellt. Dies ist für zeitkritische E-Mail-Nachrichten nicht akzeptabel.
Die Information über einen E-Mail-aktivierten Ordner wird nicht nur innerhalb der Öffentlichen Ordner-Hierarchie gespeichert. Zu einem E-Mail-aktivierten Ordner gehört auch ein entsprechendes AD-Objekt, das im MESO-Container gespeichert ist. Wenn die Berechtigung für Exchange Server auf diesen Container angepasst wurde wird das AD-Objekt nicht entfernt oder geändert. Bei einer Aufhebung der E-Mail-Aktivierung verbleibt das AD-Objekt im MESO-Container und sorgt bei einer Migration zu Exchange Online für Probleme. Dieser Fehler macht sich in einer reinen On-Premises-Umgebung nicht bemerkbar. Der Fehler schlummert im Untergrund und wartet darauf, entdeckt zu werden.
Die Bereinigung der Ordnerberechtigungen, hin zu Gruppen-basierten Berechtigungen führt zu einer Vereinheitlichung und Vereinfachung des Zugriffes. Bereits bei einem rein lokalen Betrieb der Öffentlichen Ordner profitieren Sie schon von dieser Umstellung. Wenn Sie jedoch eine Migration der Öffentlichen Ordner zu Exchange Online planen, ist diese Umstellung ein absolutes Muss. Eine Anpassung der Ordnerberechtigungen nach der Migration zu Exchange Online ist eine besondere Herausforderung. Solange die Ordnerhierarchie relativ flach ist und nur wenige Ordner enthält, werden Sie keine Probleme bei der rekursiven Anpassung von Ordnerberechtigungen haben.
Gerade in vertriebsorientierten Unternehmen sind den Jahren, seit Einführung der Öffentlichen Ordner, eigenständige Ordnerbäume gewachsen. Ich durfte mit einer Ordnerhierarchie, bestehend aus ~120.000 Ordner unterhalb eines Basisordners, nach der Migration zu Exchange Online besondere Erfahrungen machen.
Nachfolgend ein Beispiel für die Ordnerstruktur einer Vertriebsorganisation.
Wenn Sie in einer solchen Ordnerhierarchie die Berechtigungen per Remote PowerShell setzen möchten, werden Sie bei der Ausführung der Cmdlets in Probleme laufen.
Durch die besondere Betriebsart als SaaS-Angebot, gibt es klare Grenzen für die Verarbeitung von Cmdlets in einer Remote PowerShell-Session. Sie können maximal 120 destruktive Cmdlets je 60 Sekunden ausführen. Wenn Sie diesen Schwellenwert überschreiten, wird die Ausführung Ihrer Cmdlets durch sog. MicroDelays verzögert. Unter destruktiven Cmdlets versteht man Cmdlets, wie Einstellungen hinzufügen oder ändern, als Set-*, Remove-*, New-* oder Add-* Cmdlets.
Das Hinzufügen von Berechtigungen für Öffentliche Ordner erfolgt mit Hilfe des Cmdlets Add-PublicFolderClientPermission. Die Anpassung einer bestehenden Berechtigung besteht immer aus zwei Konfigurationsschritten, dem Entfernen der alten Berechtigung (Remove-PublicFolderClientPermission) und dem Hinzufügen der neuen Berechtigung.
Dieses Problem trifft Sie nicht nur bei Ausführung einer Remote-PowerShell-Sitzung, sondern auch bei der Anpassung der Berechtigungen über das Exchange Online Admin Center (EAC). Der Unterschied ist, dass das EAC Sie mit einer Success-Meldung in SIcherheit wiegt und Ihnen vorgaukelt, dass auf allen Ordnern die Berechtigungen gesetzt wurden. Die Realität hat gezeigt, dass die im Hintergrund ausgeführten PowerShell-Cmdlets in die Begrenzung laufen.
Alternativ können Sie die Berechtigungen auch mit Hilfe der Exchange Web Services (EWS) anpassen. Hierzu gibt es professionelle Lösungen am Markt. Jedoch greifen auch für den Zugriff per EWS Grenzwerte. Professionelle Programme versuchen durch Pausen bei der Ausführung das Erreichen der Grenzwerte zu vermeiden. Dies führt natürlich zu einer entsprechenden Laufzeit bei der Anpassung der Berechtigungen.
Empfehlung
Daher ist meine Empfehlung, die Berechtigungen der Öffentlichen Ordner vor einer Migration zu Exchange Online zu bereinigen. Hierdurch stellen Sie sicher, dass Sie sich nur noch auf die Mitgliedschaft der Benutzerkonten in den entsprechenden Sicherheitsgruppen kümmern müssen.
Links
- Exchange Server 2010 End of Support is (Still) Coming
- Office 365 Resource Limits
- IDFix Directory Synchronization Error Remediation Tool
- Running PowerShell cmdlets for large numbers of users in Office 365
- Exchange Online PowerShell Throttling in Office 365
- Micro delay applied warning or delays when you run scripts and cmdlets in Exchange Online
- Modern public folder deployment best practices
Viel Spaß mit Öffentlichen Ordnern. Und vergessen Sie den Stichtag 14. Januar 2020 für das Support-Ende von Exchange Server 2010 nicht.
