Nachgetragenes Vorwort
Letztendlich gibt es einige Methoden – von der besten hin zur schlechtesten:
- Der OnPrem wird komplett zu einem Exchange-Online in der Azure Cloud transferiert, nach Umstellung den OnPrem komplett abschalten. (Dazu gehören allerdings auch Gedanken was man dann mit den Domaincontrollern tut)
- Im Hybridbetrieb ist die Online-Variante mit Microsoft 365 autodiscover für die Mailabhandlung zuständig, der OnPrem Exchange schiebt dann nur ein noch nicht modernisiertes altes AD hoch und dient nur als Schnittstelle eines veralteten ADs hin zum Exchange Online. Die Variante anders herum, wenn der OnPrem die Mails abhandelt funktioniert meines Wissens nicht.
- Das AD-Objekt vom Postfach aktivieren und ihm ein Kennwort setzen. Mit diesen Daten dann anmelden. Das verstößt allerdings gegen Lizenzrecht und bricht jeden Microsoft Audit. Ansatz hier ist dann das Umdrehen der gesamten Lizenzierung auf Gerätebasierte Lizenzen, damit könnt ihr womöglich dieses Problem umgehen.
- die kommende Methode hier die vollkommen entgegen Datensparsamkeitsgedanken ist – damit kopiert ihr Mails
jetzt aber zurück zum Thema:
Eine direkte Methode gibt es nicht, aber eine indirekte. Die ist sehr sehr „dreckig“.
Die sauberste Lösung ist eine Kombi aus Azure AD und Exchange-Online – hier kann ich auch nur vermuten, meine aber gesehen zu haben dass sich hier Exchange verhält wie vom Anwender erwartet. Das tut OnPrem leider nicht.
Hier soll es aber um die dreckige Lösung gehen, weil man ja gewisse Datenschutz-Spinnereien bei der bloßen Erwähnung von „Azure“ und „Exchange Online“ hat
Gedanken zur dreckigen Methode
Mit der Methode kopiert ihr E-Mails. Das hat einmal den Datenschutz zur Folge, weil ihr automatisiert Mails an Postfächer anderswo hin kopiert.
Andererseits vergrößert es die Datenbank, da ja jede Mail doppelt abgelegt wird. Je nachdem wie viele Postfächer die Mail dann empfangen.
Speicherplatz sollte aktuell kein Problem mehr sein, dazu gehören aber Gedanken bzgl. der Performance und ob die Datenmenge in 2-3 Jahren weiterhin flüssig abgearbeitet werden kann. Stetig langsamer werdende Systeme wird der Anwender nicht bemerken, wohl aber abrupt nicht mehr funktionierendes.
Das hättet ihr mit der skalierbaren Lösung im Azure Umfeld mit Exchange Online direkt erschlagen. Siehe Vorwort und deren Priorisierung.
Die Mails zu kopieren ist also genau so viel Speicher wie bei einem Verteiler – es ist ja auch einer. Man könnte also auch absprechen ob man freigegebene Postfächer so umstellt, dass es dann Verteiler sind. Damit verliert man die übersichtliche Auflistung als extra Postfach und die Alten Mails aus dem Postfach zu kopieren ist ein ziemlicher Aufwand. Wenn die Anwender sich dazu keine Filterregeln im Outlook anlegen können ist das ein starker Negativ-Punkt der euch auch von Kunden oder Anwendern entgegen kommen wird.
In Kürze – oder für die Erfahrenen
ForwardingSMTPAddress, darauf achten dass DeliverToMailboxAndForward auf $true steht. Sonst stibitzt ihr den ganzen Desktop-Anwendern die Mails weg.
Begleitende Gefahren: ForwardingSMTPAddress ist als erweitertes AD-Attribut genügend intransparent und wird in kaum einer GUI angezeigt, oft ist es auch der letzte Punkt an dem der dann schon verzweifelte IT-Dienstleister nachsieht. Im MessageTrackingLog steht dann urplötzlich einfach ne andere Mailadresse drin.
Zudem sind alle Empfänger, auch externe möglich.
Das macht es enorm gefährlich, ForwardingSMTPAddress sollte also bei jedem IT-Sicherheitsmenschen auf der Liste stehen.
Code in der Management Shell:
Set-Mailbox -Identity "XY" -DeliverToMailboxAndForward $true -ForwardingSMTPAddress irgendeinemail@irgendeinedomain.com
Bei mehreren Empfängern benötigt es eine DistributionGroup, da das AD-Attribut nur eine Mail pro AD-Objekt fassen kann. Sind mehrere externe Empfänger notwendig arbeitet man mit Contacts.
Kontrolle:
Get-Mailbox -Identity "XY" | Format-List ForwardingSMTPAddress,DeliverToMailboxAndForward
Länger – für die nicht ganz so erfahrenen
Methodik: Mails von Freigegeben Postfächern an persönliche Postfächer weiterleiten. Microsoft hat stand heute (siehe Artikeldatum) noch nicht geschafft OnPrem-Exchanges den Abruf von Freigegebenen Postfächern in der eigenen Outlook App zu integrieren.
Geht die Mail doch ins persönliche gibts nen Pling auf dem Smartphone und Mobiluser sind glücklich.
Culprit: User von Outlook für den Desktop bekommen Mails doppelt zugestellt, solange sie das freigegebene Postfach ebenfalls abrufen.
Einrichtung
Erst einmal Exchange Management Shell aufmachen, ich gehe davon aus dass ihr wisst wie das geht. Ansonsten halt DuckDuckGo…
Jetzt gehts weiter:
Set-Mailbox -Identity "XY" -DeliverToMailboxAndForward $true -ForwardingSMTPAddress "irgendeinemail@irgendeinedomain.com"
Set-Mailbox: Fasse Postfach an, -Identity als Marker welche Mailbox gemeint ist
-DeliverToMailboxAndForward ist ein AD-Attribut, das sichert dass Mails zugestellt UND weitergeleitet werden, ist das nicht drin wird die Mail nur weitergeleitet und kommt gar nicht erst im Freigegebenen Postfach an. – $true ist ein Boolean, wollt ihr das nicht, lasst das Attribut weg, $false Booleans setzt man nur dann wenn man explizit false ausdrücken möchte.
-ForwardingSMTPAddress ist das wichtige Attribut hier, das muss die Empfängermail enthalten, als Mailadresse, nicht als -Identity. Kann alles sein, Hacker, externe Mails. Wir nutzen das hier aber nur um an intern weiterzuleiten, also Mail des persönlichen Postfachs rein an das weitergeleitet werden soll.
ForwardingSMTPAddress fässt genau eine Adresse, sind mehrere gefordert muss eine Verteilergruppe angelegt werden, dann ist der Verteiler der Wert fürs Attribut.
Der Befehl gibt nichts aus, wundert euch nicht. Deswegen die Kontrolle:
Get-Mailbox -Identity "XY" | Format-List ForwardingSMTPAddress,DeliverToMailboxAndForward
Get-Mailbox: Rufe Postfach auf,
-Identity kennt ihr schon.
| ist ein verketteter Befehl, ihr wollt was anderes als üblich haben.
Format-List (Ausgabe formatieren) – und dann die Attribute die wir eben angefasst haben.
Nun werden Mails an das freigegebene Postfach schön abgezwackt und in persönliche Postfächer zugestellt.
Nachteil wie oben aus dem Experten-Bereich: Niemand sieht das, jedenfalls niemand der nicht explizit daran denkt.
Dies ist nur die technische Methode, Datenschutz weiter auszuführen sollte jeder für sich machen. Das ist zu individuell.
Diese Methode weiterspinnen
Zusätzlich dazu sehe ich die Möglichkeit für die Empfänger von Freigegebenen Postfächern extra private-postboxes zu erstellen an die eben jene Mails dann weiter gehen, weil eben nur Private von Outlook Apps abgerufen werden kann. Damit haben die User dann eben zwei Postfächer in den Apps hinterlegt, von denen eins eine Spiegelung des freigegebenen ist.
Diese Methodik zieht allerdings andere Probleme mit, besonders wenn doppelte Privat-Postboxen eben auch doppelte AD-Accounts benötigen.
Fazit
Die Tage von On-Premise Exchanges sind gezählt. Heutzutage geht man statt lokaler Server eher den Weg zu redundanten Internet-Strecken um eben Azure und Microsoft 365 verlässlich erreichen zu können.
Microsoft wird sich also bezüglich Featureupdates für On-Premise Exchanges eher zurückhalten und die volle Energie in Microsoft 365 für Endkunden und Enterprise stecken. Das lässt die Zeitbombe für Unternehmen und Dienstleister ticken, die vielleicht aus finanzieller Sicht On-Premise weiterhin promoten, mit einem Stück Hardware, entweder beim Kunden oder als vom Dienstleister gemietetes Rechenzentrum lässt sich halt gut Marge fahren. Darauf sollte ein Vertrieb achten. Ich bin sowieso immer für sehr viel mehr Langzeit-Planung im vertrieblichen Bereich. Besonders beim Konflikt zwischen nachhaltig-verlässlicher Lösung und größerer Marge.
Das Problem von Freigegebenen Postfächern auf Mobilgeräten wird sich also auf längere Sicht selbst beheben, weil es früher oder später einfach gar keine andere Möglichkeit mehr als Exchange-Online geben wird.
Ein Quick-Win ist aber nur über diese „dreckige“ Methode aus shared-postbox mails private-postbox mails zu machen verfügbar.