SBS 2011 - Migration zu MS 365 und Server 2022

[carsten.m 10]

Hallo Zusammen, 

ich denke ich habe die Foren und Websuche so gut wie möglich bemüht um das Thema dann doch zu eröffnen.

 

Ist Zustand
SBS 2011 mit contoso.local Domäne

40 User mit lokaler Office Installation (2013 und höher)

Mailversand via Smarthost und Abholung via PopCon in den Exchange

Weitere Server und Dienste mit LDAP Anbindung zwecks Anmeldung

 

Soll Zustand (so wenig Altlast wie möglich mitnehmen)

Neuer lokaler Server 2022 mit contoso.de zwecks AD-Verwaltung, GPO etc.

E-Mails ausschließlich über MS 365 bzw. Outlook verwenden (kein lokaler Exchange mehr)

Server und Dienste mit LDAP Anbindung umstellen und die migrierten User und Gruppen sind weiterhin gültig

 

Geplante Vorgehensweise

1)      Via ADMT eine Cross Forest Migration von Benutzern und Gruppen (inkl. SID und Passwörtern) 

2)      User mittels AAD Connect Sync nach MS 365 übertragen

3)      Exchange Postfächer via "CodeTwo Office 365 Migration" zu MS 365 Business Basic Konten übertragen (Basic, da die lokalen Office Lizenzen weiter genutzt werden können korrekt?)

4)      Notebooks/PC’s via "User Profile Wizard" in neue Domäne umziehen, damit die User ihre bisherigen lokalen Profile weiter nutzen können (Mir geht es darum, dass die Benutzer so wenig wie möglich tun müssen)

 

Fragen

A) Ist die Migration so durchführbar oder gibt es einen einfacheren/besseren Weg (z.B. sowas wie vom SBS 2011 direkt zu MS 365 und dann zurück auf den Lokalen AD 2022?)

B) Gibt es in diesem Szenario außer der korrekten Core und User-CAL Lizenzierung noch weitere Lizenzen die benötigt werden? (Es greifen nur MA auf Dienste und Server zu)

C) Gibt es noch sonstige Fallstricke die man beachten sollte?

 

Schon mal danke vorab :)

bearbeitet 24. März 2022 von carsten.m

[testperson 1.534]

Hi,

 

was versprichst du dir von der Migration von contoso.local zu contoso.de? Bleib bei .local und beantworte die Frage A) dann mit "einfacherer und direkter Weg". Zusätzlich brauchst du dann kein CodeTwo und User Profile Wizard. Dabei dürfen die User auch am aller wenigsten mitbekommen.

 

Evtl. bleibst du dann auch bei einem Windows Server 2019 DC und behältst dir so noch die Option auf einen (kostenlosen) 2016er Exchange Management Server offen. AD Sync und Exchange online ohne On-Premises (Verwaltungs) Exchange ist nicht supported.

 

BTW.: Bei 40 Usern kann sollte man sicherlich auch über einen zweiten Domain Controller nachdenken.

 

Gruß

Jan

bearbeitet 24. März 2022 von testperson

[cj_berlin 1.138]

Moin,

 

was Jan gesagt hat. Ergänzend:

 

1. den lokalen Exchange *brauchst* Du, wenn die User per AADC synchronisiert werden sollen. Somit ist derzeit nur Server 2019 als DC zulässig.

2. Du kannst den UPN-Suffix contoso.de (und somit UPN=mail) auch dann verwenden, wenn die AD-Domain contoso.local heißt

3. In Abhängigkeit davon, was Du noch on-prem nutzen möchtest, solltest Du genau prüfen, ob ein lokales AD und somit überhaupt lokale Server wirklich notwendig sind. Wenn "weitere Server und Dienste" tatsächlich nur per LDAP (also nicht per AD) angebunden sind, kannst Du ein Azure AD DS im User Forest-Modus prüfen. Kostet ca. 80 € im Monat, und alle User und Gruppen werden aus dem Azure AD repliziert.

 

[carsten.m 10]

Mir ist diese .local Geschichte immer wieder auf die Füße gefallen sobald es an das Thema lokale CA und Zertifikate (extern u. intern) ging... Zertifikatswarnungen bei Outlook, Interne Webseiten, Exchange Konsole mal halb geschrottet (aus Unwissenheit) usw. Da ich kein Vollzeit-Admin bin, habe ich mit Sicherheit über die Jahre auch einiges an Einstellungen verkorkst und will es nun einfach von Anfang an "sauber" haben. Deshalb wollte ich auch möglichst nur die User und Gruppen umziehen um so wenig Artefakte wie möglich zu haben.

 

Danke für die Hinweise bezüglich dem Exchange, habe mir einen Artikel dazu durchgelesen und verstehe warum der EMS in Verbindung mit MS365 notwendig ist.

Ein zweiter DC ist schon eingeplant :)

 

Halten wir mal also schon mal fest, dass die Migration nur mit 2019er DC's und den 2016er Exchange als EMS durchgeführt werden kann, um technisch supported zu sein bzw. überhaupt möglich ist. Es ist auch mal wieder zum Haare raufen, was sich MS bei der Kombinatorik an OS und Server-Versionen da ausgedacht hat... aber naja man kennt das. 

bearbeitet 24. März 2022 von carsten.m

[cj_berlin 1.138]

vor 7 Minuten schrieb carsten.m:

Es ist auch mal wieder zum Haare raufen, was sich MS bei der Kombinatorik an OS und Server-Versionen da ausgedacht hat... aber naja man kennt das. 

Wieso? Das Exchange-Team wird irgendwann die 2022er DCs freigeben, aber es ist bisher noch nicht erfolgt. Ein ganz normaler Vorgang - oder haben alle deine Branchensoftware-Anbieter bereits die Freigabe für 2022 gegeben?

Um Dich endgültig zu verwirren: Exchange 2016 ist nur auf maximal Server 2016 installierbar.

[carsten.m 10]

vor 25 Minuten schrieb cj_berlin:

3. In Abhängigkeit davon, was Du noch on-prem nutzen möchtest, solltest Du genau prüfen, ob ein lokales AD und somit überhaupt lokale Server wirklich notwendig sind. Wenn "weitere Server und Dienste" tatsächlich nur per LDAP (also nicht per AD) angebunden sind, kannst Du ein Azure AD DS im User Forest-Modus prüfen. Kostet ca. 80 € im Monat, und alle User und Gruppen werden aus dem Azure AD repliziert.

 

Ja ich vermute, dass alle Dienste nur via LDAP angebunden sind, werde ich aber noch mal prüfen. Da ich mich mit AD DS noch nicht beschäftigt habe fallen mir spontan zwei Fragen ein: 1) Wo verwalte ich Gruppenrichtlinien wenn ich keinen on-prem DC mehr habe?

2) Wie lange kann ein Client ohne Verbindung zum AD DS auskommen, bevor die Anmeldung verweigert wird (falls das überhaupt ein Szenario ist) 

[cj_berlin 1.138]

Die Idee ist, dass Deine Clients gar nicht mehr ins AD kommen, sondern nur zum Azure AD gejoined sind.

 

Wenn sie zwingend ins AD müssen, dann kannst Du mit einem davon auch die GPOs verwalten - RSAT installieren und als Admin-User starten. Dafür muss man sich nicht an irgendwelchen Servern anmelden.

 

Mit Cached Credentials kann ein Client beliebig ohne Verbindung zum Verzeichnis auskommen - bis es Zeit wird, das Kennwort zu ändern.

[NorbertFe 1.805]

vor 9 Stunden schrieb carsten.m:

Mir ist diese .local Geschichte immer wieder auf die Füße gefallen sobald es an das Thema lokale CA und Zertifikate (extern u. intern) ging...

Dann hast du deine Füße an der falschen Stelle. ;)

[testperson 1.534]

Hi,

  

vor 9 Stunden schrieb carsten.m:

Da ich kein Vollzeit-Admin bin, habe ich mit Sicherheit über die Jahre auch einiges an Einstellungen verkorkst und will es nun einfach von Anfang an "sauber" haben.

Das klingt so, als solltest du das Projekt ggfs. mit externer Unterstützung planen und evtl. auch umsetzen. 

 

Gruß

Jan

[carsten.m 10]

Das war vielleicht etwas über-dramatisiert und das "verkorkst" bezieht sich lediglich auf die Zertifikatsgeschichte... ich sollte zurückhaltender mit solchen Phrasen sein 

 

Zwecks der Planung bin ich ja hier, es ist nicht so, dass ich die Lösung auf dem Silbertablett serviert bekommen möchte. Ihr habt ja schon einiges an Stichpunkten aufgezeigt. Externe Unterstützung würde ich erst in Anspruch nehmen wollen, wenn ich wirklich gar nicht mehr weiter kommen.

 

Da die Server alle virtualisiert sind, kann ich die Migration auch erst mal im Testlab durchspielen. Bisher klingt das Vorhaben für mich machbar. 

[NorbertFe 1.805]

vor 22 Minuten schrieb carsten.m:

wirklich gar nicht mehr weiter kommen.

Das ist der Moment, wo es meist auch teurer wird als notwendig. :)

[carsten.m 10]

Deshalb ja auch das Testlab 

[NorbertFe 1.805]

Viel Erfolg :)

[carsten.m 10]

Am 24.3.2022 um 21:23 schrieb testperson:

Evtl. bleibst du dann auch bei einem Windows Server 2019 DC und behältst dir so noch die Option auf einen (kostenlosen) 2016er Exchange Management Server offen. AD Sync und Exchange online ohne On-Premises (Verwaltungs) Exchange ist nicht supported.

 

Hey Jan, habe nun im VM-Testlab mal angefangen und schnell gemerkt, dass Server 2019 und Exchange 2016 EMC scheinbar nicht geht. Ich hatte das zwar schon in der MS-Matrix gesehen dachte aber "nicht supported muss ja nicht unbedingt heißen, dass es nicht trotzdem geht"  bzw. dass die EMC vielleicht von dieser Limitierung befreit wäre. Ist sie aber nicht oder mir hat sich das Hintertürchen noch nicht aufgetan. Die fehlende Komponente lässt sich jedenfalls nicht nachinstallieren, weswegen das Exchange-Setup auch nicht durchläuft. 

 

Hast du da noch weitere Infos drüber, wie das gehen soll?

bearbeitet 8. April 2022 von carsten.m

[NorbertFe 1.805]

vor 7 Minuten schrieb carsten.m:

aber "nicht supported muss ja nicht unbedingt heißen, dass es nicht trotzdem geht"  

:/ naja man könnte sich seinen Teil denken, wenn der Hersteller es schon dokumentiert.