Migrace Exchange Server 2016 na Subscription Edition (SE) část 1

Pozn.: Prakticky jsem instaloval Exchange Server SE roli Mailbox server na Windows Server 2025. V prostředí s jinou interní a veřejnou DNS doménou a Split DNS (Split-Brain DNS). Do existující organizace Exchange 2016 s využitím DAG (Database Availability Group).

Exchange Server Subscription Edition (SE)

• What's new in Exchange Server SE
• Exchange Server Subscription Edition (SE) is now available
• Upgrading your organization from current versions to Exchange Server SE

Nová verze Exchange Server SE vyšla 1.7.2025, jde o build Release to Manufacturing (RTM). Lze ji nainstalovat jako kumulativní aktualizaci (CU) k Exchange Serveru 2019 CU14 nebo CU15 (In-place upgrade) a lze ji připojit k organizacím Exchange 2016/2019. Při přechodu z Exchange Serveru 2016 musíme provést Legacy upgrade (novou instalaci serveru do organizace) a klasickou migraci schránek.

Pro Exchange Server 2016 CU23 a Exchange Server 2019 CU14/CU15 končí standardní podpora 14. 10. 2025. Do té doby bychom měli provést migraci nebo upgrade na Subscription Edition. Exchange Server SE RTM neobsahuje žádnou významnou aktualizaci kódu ani změny funkcí ve srovnání s Exchange 2019 CU15. Lišit se začne až od Exchange Server SE CU1.

Exchange Server SE RTM má Build Number 15.2.2562.17. Od verze 2013, která měla 15.0, se nemění hlavní verze. Verze SE je 15.2 , stejně jako u 2019. Exchange Server build numbers and release dates

S Exchange Server SE se mění modern support lifecycle (mělo by jít stále o hlavní verzi) a licencování. Mimo licence pro server a CAL pro uživatele musíme mít aktivní předplatné. To znamená licence se Software Assurance (SA) nebo cloudové předplatné (třeba Microsoft 365 E3).

Architektura Exchange SE

• Exchange Server documentation
• Exchange architecture

Architektura je stejná pro Exchange 2016 i Exchange SE. Hlavní role je Mailbox server (obsahuje databáze schránek, transportní služby a přístupové služby pro klienty), volitelně můžeme nasadit Edge Transport server pro zabezpečení komunikace s internetem. Na serveru může být pouze jedna role a serverů se stejnou rolí můžeme mít více.

Pozn.: Od Exchange 2019 není k dispozici služba Unified Messaging, která byla dříve součástí Mailbox server.

V článcích zde se věnujeme pouze roli Mailbox server. Pro správu využíváme webové Exchange admin center (EAC) nebo CLI Exchange Management Shell (EMS). Pro vysokou dostupnost poštovních schránek se využívá Database Availability Group (DAG).

Nasazení Exchange Server SE (migrace)

• Upgrading to Exchange Server Subscription Edition (SE)

Před lety jsem se věnoval Migrace Exchange organizace 2010 na 2016. Přechod na Exchange SE je jednodušší, protože se architektura od verze 2016 nezměnila. Různé oblasti konfigurace, popsané pro Exchange 2016, jsou stále stejné a je možné využít starší sérii článků.

Pro vytvoření plánu nasazení můžeme využít online nástroj Microsoft Exchange setup and migration guides (On-premises Exchange deployments).

Průběh migrace na Exchange SE

• nainstalujeme nový Exchange server, který se automaticky připojí do existující Exchange organizace
• nakonfigurujeme nový server a jeho služby (adresy, certifikáty, konektory)
• migrujeme všechny poštovní schránky a prostředky na nové servery
• odinstalujeme původní servery

Instalační média

Instalační média získáme podle toho, jakým kanálem jsme získali licenci. Pokud máme Volume Licensing (VL) agreements, tak stáhneme z Microsoft 365 admin center spolu s licenčním klíčem. Nebo můžeme stáhnout veřejně Exchange Server Subscription Edition RTM (KB5047155). Instalační ISO má 6 GB.

Systémové požadavky (System Requirements)

• Exchange Server 2019 and SE system requirements

Než začneme instalovat server, tak musíme ověřit, že splňujeme požadavky.

• Domain Functional Level i Forest Functional Level minimálně Windows Server 2012 R2
• Exchange servery v organizaci musí být minimálně Exchange 2016 CU23
• klienti jsou podporováni od Outlook 2016

Server pro Exchange (VM)

• požadavky na hardware (nejčastěji VM) 64bitový procesor, doporučeno minimálně 128 GB RAM (ale mohu potvrdit funkčnost s 32 GB)
• podporované OS na serveru Windows Server 2019, Windows Server 2022 nebo Windows Server 2025 v edici Standard nebo Datacenter, je podporována verze s GUI (Desktop Experience) i Server Core (dokonce doporučena)
• diskové oddíly pro systém a Exchange musí být NTFS, pro Mailbox DB a transakční logy může být ReFS
• stránkovací soubor (paging file) nastavit minimální a maximální hodnotu na 25 % instalované paměti

Předpoklady (Prerequisites)

• Exchange Server 2019 and SE prerequisites

Při instalaci Exchange server můžeme zvolit, aby se automaticky instalovaly Windows Server role a vlastnosti, přesto některé věci musíme instalovat ručně a může být lepší dopředu povolit systémové vlastnosti.

Potřebujeme nainstalovat aplikace

• .NET Framework 4.8.1
• Visual C++ Redistributable Package for Visual Studio 2012
• Visual C++ Redistributable Package for Visual Studio 2013
• Unified Communications Managed API 4.0 (nechápu proč, když již neexistuje služba Unified Messaging)
• IIS URL Rewrite Module

Povolení vlastností pomocí PowerShellu

Install-WindowsFeature Server-Media-Foundation, NET-Framework-45-Core, NET-Framework-45-ASPNET, NET-WCF-HTTP-Activation45,
 NET-WCF-Pipe-Activation45, NET-WCF-TCP-Activation45, NET-WCF-TCP-PortSharing45, RPC-over-HTTP-proxy, RSAT-Clustering,
 RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth,
 Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect,
 Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45,
 Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation,
 RSAT-ADDS

Také jsem ručně odebral vlastnost Wireless LAN (WLAN) a Microsoft Defender Antivirus (s kterým máme na serveru stále výkonové problémy). Určitě se hodí odebrat další zbytečné vlastnosti a služby (jako Bluetooth a Print Spooler).

Příprava Active Directory Domain Services (AD DS)

• Prepare Active Directory and domains for Exchange Server

Před instalací Exchange Serveru musíme rozšířit (aktualizovat) schéma a připravit les a jeho domény. Úpravy může provést instalační průvodce Exchange, kterého musíme spustit pod dostatečnými právy (člen skupin Schema Admins a Enterprise Admins). Nebo můžeme spustit ručně z příkazové řádky (z Exchange ISO image).

Rozšíření Active Directory schéma

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareSchema

Následně musíme počkat na replikaci AD (nebo vyvolat). Provedeme přípravu Active Directory (Forest a aktuální Domain).

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAD

Pokud máme více domén a chceme všechny připravit, tak použijeme další příkaz.

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains

Instalace Exchange Server SE Mailbox server

Instalace Exchange Mailbox server role proběhne jednoduše pomocí průvodce, který je stejný jako u verze 2016. Popis s obrázky je v oficiální dokumentaci Install Exchange Mailbox servers using the Setup wizard.

Server se automaticky přidá do existující Exchange organizace. Hned po instalaci musíme upravit některá nastavení, protože se klienti (MS Outlook) v interní síti začnou připojovat na nový server, který se jim bude nabízet pomocí AutoDiscover.

Pozn.: Důležité je, že po instalaci Exchange na server nesmíme změnit jméno serveru.

Jednotlivé kroky instalace:

• z instalačního ISO spustíme setup.exe
• Copying Files - zkopírují se soubory na lokální disk, standardně do %WinDir%\Temp\ExchangeSetup, logy se ukládají do C:\ExchangeSetupLogs
• Introduction - inicializuje se průvodce a zobrazí stránka s radami, kde získat informace
• License Agreement - musíme souhlasit s licenčními podmínkami
• Recommended Settings - můžeme zvolit doporučené nastavení, kdy se odesílají informace do MS, nebo nepoužít a odesílání je vypnuté
• Server Role Selection - zvolíme Mailbox role, automaticky se přidá Management Tools a neumožní instalovat Edge Transport role, pro jistotu zatrhneme, aby se nainstalovaly komponenty Windows, ale ty jsme již instalovali dopředu

• Installation Space and Location - můžeme ponechat standardní cestu instalace C:\Program Files\Microsoft\Exchange Server\V15, a dozvíme se, že instalace zabere 5 711 MB (méně než Exchange 2016)
• protože provádíme migraci, tak již existuje Exchange Organization a tudíž se nyní nezobrazí krok, kde bychom ji vytvářeli
• Malware Protection Settings - v další kroku volíme, zda chceme používat Microsoft Malware Protection
• Readiness Checks - dojde ke kontrole, zda jsou splněny všechny předpoklady (nainstalované aplikace a systémové vlastnosti), pokud je nalezena nějaká chyba, tak můžeme zvolit pouze Retry, pokud ji odstraníme

• pokud je vše v pořádku, tak klikneme na Install (instalace u mne trvala zhruba 16 minut)
• provedeme restart serveru

Informace o verzi serverů

Verzi našich Exchange serverů můžeme vypsat pomocí PowerShellu. Oficiální seznam verzí a čísla sestavení (Build number) nalezneme v Exchange Server build numbers and release dates.

[PS] C:\>Get-ExchangeServer | FT Name, Edition, AdminDisplayVersion -AutoSize

Name             Edition AdminDisplayVersion
----             ------- -------------------
MAIL2         Enterprise Version 15.1 (Build 2507.6)
MAIL0         Enterprise Version 15.1 (Build 2507.6)
MAIL1 StandardEvaluation Version 15.2 (Build 2562.17)

Přístup na EAC pro Exchange Server SE

Nevím, zda je to důležité v případě koexistence Exchange Server 2016 a Exchange Server SE, ale bylo to potřeba mezi verzemi Exchange 2010 a 2016 a jsou popsány problémy u Exchange 2013 a 2019.

Pokud má náš administrátorský účet pro správu Exchange schránku na starším Exchange 2016, tak se při připojení na ECP nového serveru stejně dostane do rozhraní starší verze. Pro přístup k nové verzi ECP musíme přidat parametr do URL.

https://<Exchange Server SE>/ecp/?ExchClientVer=15.2

Standardně se pro přihlášení na ECP používá Forms Based Authentication (FBA) a musíme použít formát jména Domain\user name.

Zadání licenčního klíče (Product Key)

Podle klíče se určí, zda jde o edici Standard nebo Enterprise.

• EAC - Exchange Admin Center
• Servers - Servers
• zvolíme server a klikneme na Enter Product Key (nebo Edit)
• na záložce General zadáme klíč a klikneme na Save
• restartujeme službu Microsoft Exchange Information Store

Uvedený postup je z oficiální dokumentace. Když jsem zadal svůj Product Key, tak se zobrazila chyba

error Invalid Product Key.

Funkční řešení pro mne bylo použít PowerShell.

[PS] C:\>Set-ExchangeServer Mailbox01 -ProductKey 12345-12345-12345-12345-12345
WARNING: The product key has been validated and the product ID has been successfully created. This change won't take
effect until the Information Store service has been restarted.

[PS] C:\>Restart-Service MSExchangeIS
WARNING: Waiting for service 'Microsoft Exchange Information Store (MSExchangeIS)' to start...

Adresy služeb (Client Access Namespaces)

• Namespace design

Jelikož je architektura stejná, tak můžeme ponechat adresy služeb, které používáme na Exchange Server 2016, a nic nemusíme měnit. Je řada variant, jak využíváme DNS domény a adresy. Rozebírali jsme v článku Exchange Server 2016 Namespaces - adresy služeb.

Já řeším situaci, kdy se využívá interně neveřejná doména firma.local. Takže služby mají jinou adresu interně a externě. Navíc i se Split DNS, takže interní dotazy na veřejné jméno firma.cz vrací interní IP adresu a externí dotazy veřejnou IP adresu. S tím souvisí, že interně musíme využívat certifikáty od vlastní CA. Díky Split DNS bychom mohli i interně využívat veřejnou doménu.

Pro řadu služeb využíváme stejnou adresu, přesto potřebujeme certifikát s řadou jmen (Subject Alternative Name). Protože máme více Exchange serverů, a pro jednoduchou změnu (migraci) serverů, využíváme interně virtuální jméno (FQDN), tedy DNS A záznam s IP adresami všech Exchange serverů.

• mail0.firma.local, mail1.firma.local, mail2.firma.local - interní adresy Exchange serverů
• firma.cz - primární SMTP namespace
• mail.firma.cz, mail.firma.local - virtuální adresa pro služby MAPI over HTTP, Outlook Anywhere (RPC over HTTP), Offline Address Book (OAB), Exchange Web Services (EWS), Exchange ActiveSync (EAS), Outlook on the web (OWA), Exchange admin center (EAC)
• autodiscover.firma.cz - Autodiscover, alias na mail.firma.cz
• maildownload.firma.cz - Download Domain kvůli zranitelnosti CVE-2021-1730, alias na mail.firma.cz, v obecných seznamech adres jsem tuto doménu nenalezl

Pozn.: Pro OWA můžeme použít samostatnou adresu, ale přijde mi to zbytečné. Doporučuje se zjednodušit a minimalizovat počet DNS adres, veřejných IP adres i certifikátů.

SSL certifikát pro nový Exchange server

• Digital certificates and encryption in Exchange Server
• Configure an SSL certificate
• Certificate procedures in Exchange Server

Řada služeb využívá TLS šifrování, takže potřebují certifikát. Ten musí být důvěryhodný pro klienty, kteří se ke službě připojují. Pro využití uvnitř firmy může jít o certifikát vystavený interní certifikační autoritou (CA). Ale pro komunikaci v rámci internetu (například šifrování SMTP) potřebujeme certifikát od veřejně důvěryhodné CA (komerční třetí strany).

Můžeme použít různé certifikáty pro různé služby a oddělit tak interní a externí přístupy. Při přístupu z internetu můžeme důvěryhodný certifikát nastavit na Firewallu. Obecně se doporučuje počet certifikátů minimalizovat. Pro interní přístupy vystavíme certifikát od interní CA s řadou jmen v SAN (podle předchozího výčtu adres), který použijeme na všech Exchange serverech. Pro zjednodušení můžeme použít wildcard certifikát (hvězdičkový).

Pozn.: Po instalaci Exchange Serveru se vystaví Self-signed certifikát, který se nastaví na služby pro přístup klientů. Na těchto službách se zároveň nakonfiguruje adresa daného serveru pro interní přístup (místo virtuální adresy, kterou chceme používat). Díky tomu se klienti (Outlook) začnou připojovat na nový server a zobrazovat varování o nedůvěryhodném certifikátu. Musíme proto co nejdříve vystavit důvěryhodný certifikát nebo změnit nastavení služeb (můžeme použít virtuální adresu, která zatím neobsahuje IP nového serveru).

 Vystavení certifikátu

Máme různé možnosti na vystavení certifikátu (či žádosti). Můžeme použít průvodce v EAC, který nabízí adresy podle konfigurovaných služeb (což ještě nemáme).

• EAC - Exchange Admin Center
• Servers - Certificates
• klikneme na tlačítko plus (New)

Já pro interní CA preferuji jinou možnost. Pomocí MMC konzole Certificates - Local Computer.

• spustíme certlm.msc
• Personal - Certificates
• klikneme pravým tlačítkem a zvolíme All Tasks - Request New Certificate
• zvolíme naši politiku a certifikační šablonu pro webserver certifikát
• vyplníme dodatečné informace Subject Name (minimálně Common Name) a Alternative Name (DNS pro všechny adresy)
• klikneme Enroll
• pro přehlednost můžeme nastavit Friendly Name, klineme na vystavený certifikát pravým tlačítkem a Properties, zadáme například Exchange Internal

Přiřazení služeb

• EAC - Exchange Admin Center
• Servers - Certificates
• zvolíme nový Exchange server a označíme nový certifikát
• klikneme na tužku (Edit)
• na záložce Services vybereme požadované služby (IMAP, POP, IIS, SMTP)
• klikneme na Save