Wenn Deine Mailboxen bereits in Exchange Online liegen, Entra Connect aber weiterhin Benutzer, Gruppen, Kontakte und Exchange-Attribute aus dem lokalen Active Directory synchronisiert, ist 2026 ein Entscheidungsjahr. Du musst festlegen, ob Du Exchange Server SE lokal weiterbetreibst, den letzten Exchange Server entfernst und nur noch Exchange Management Tools nutzt oder die Autorität für Exchange-Attribute in die Cloud verschiebst. Parallel kommt eine zweite Frist hinzu: Microsoft hat angekündigt, EWS in Exchange Online ab Oktober 2026 für Drittanbieter-Apps und Eigenentwicklungen zu blockieren bzw. stufenweise abzuschalten. Prüfe den für Deinen Tenant gültigen Zeitplan im Microsoft 365 Message Center und plane nicht mit einer Verlängerung.
Dieser Artikel ist eine praktische Checkliste für Administratoren, die Exchange Hybrid, Entra Connect, lokale AD-Objekte und Cloud-Mailboxen betreiben. Wenn Du die technischen Grundlagen zu Hybrid Configuration Wizard, Entra Connect, Mailflow, Migration und De-Hybridisierung vertiefen willst, passt der Exchange Hybrid Aufbaukurs: Verwaltung und Migration zu diesem Betriebsmodell. Der Artikel bewertet keine Lizenzmodelle, sondern Architektur, Betrieb und Risikoreduzierung.
Warum Exchange Hybrid 2026 eine Entscheidung erfordert
Exchange Server Subscription Edition ist seit Juli 2025 allgemein verfügbar. Exchange Server SE folgt der Modern Lifecycle Policy und kann laut Microsoft als CU-ähnlicher Upgradepfad von unterstützten Exchange Server 2019 CU14- oder CU15-Installationen eingeführt werden. Gleichzeitig endete der Support für Exchange Server 2016 und Exchange Server 2019 am 14. Oktober 2025. Nach diesem Datum stellt Microsoft für diese Versionen regulär keinen technischen Support, keine Bugfixes, keine Sicherheitsupdates und keine Zeitzonenupdates mehr bereit.
Damit entstehen drei konkrete Handlungsfelder für Exchange Hybrid 2026: veraltete Exchange-2016- oder Exchange-2019-Server müssen aus dem Support-Risiko heraus, Exchange Server SE ist der unterstützte On-Premises-Pfad, und EWS retirement 2026 betrifft Anwendungen, die noch gegen Exchange Online über EWS arbeiten. Die Entscheidung lautet deshalb nicht nur Upgrade oder nicht, sondern: Welcher Zielzustand soll für Empfängerverwaltung, Mailflow, SMTP-Relay, Compliance und Skripte gelten?
Schritt 1: Inventar erstellen, bevor Du den letzten Exchange Server anfasst
Bevor Du den letzten Exchange Server deinstallierst, ersetzt oder stilllegst, brauchst Du ein technisches Inventar. Dokumentiere alle Exchange-Server, Editionen, Buildstände, Cumulative Updates, Rollen, Zertifikate, Namespaces, Virtual Directories, Send Connectors, Receive Connectors und Transport Rules. Prüfe zusätzlich, ob noch lokale Mailboxen, Public Folders, Journaling, SMTP-Relay für Anwendungen, Centralized Mail Transport oder lokale Archivierungsprozesse existieren.
Get-ExchangeServer | Format-Table Name,Edition,AdminDisplayVersion,ServerRole
Get-ExchangeCertificate | Format-Table Thumbprint,Subject,Services,NotAfter
Get-HybridConfiguration | Format-List
Get-AcceptedDomain | Format-Table Name,DomainName,DomainType,Default
Get-RemoteDomain | Format-Table Name,DomainName,AutoReplyEnabled
Get-SendConnector | Format-Table Name,AddressSpaces,SmartHosts,Enabled
Get-ReceiveConnector | Format-Table Name,Bindings,RemoteIPRanges,PermissionGroups
Get-TransportRule | Format-Table Name,State,ModeDokumentiere danach den Empfängerprozess: Werden Benutzer im Exchange Admin Center angelegt, per Exchange Management Shell geändert, durch HR-Provisioning erzeugt oder über eigene PowerShell-Skripte mit proxyAddresses, mail, mailNickname, targetAddress und msExchHideFromAddressLists gepflegt? Prüfe in Entra Connect die OU-Filter, Synchronisierungsregeln, Writeback-Features, Hybrid-Objekte und alle Exchange-bezogenen Attribute im lokalen Active Directory.
Prüfpunkt: DNS-Abhängigkeiten gehören in dasselbe Inventar. MX, Autodiscover, SPF, DKIM, DMARC, Zertifikatnamen und interne SMTP-Routen bestimmen, ob eine Stilllegung nur die Verwaltung betrifft oder produktiven Mailflow unterbricht.
Schritt 2: Zielzustand festlegen: SE, reduzierter Hybrid, Tools-only oder Cloud Authority
Ordne den Zielzustand in einen von vier technischen Pfaden ein. Pfad 1 ist Exchange Server SE, wenn Du weiterhin lokale Exchange-Dienste benötigst, zum Beispiel lokale Mailboxen, Public Folders, SMTP-Relay mit Exchange-Connectoren oder lokale Transportregeln. Pfad 2 ist ein reduzierter Hybrid-Betrieb, wenn alle Mailboxen in Exchange Online liegen, das lokale AD aber für Benutzer, Gruppen und Exchange-Attribute autoritativ bleibt.
Pfad 3 ist Exchange Management Tools hybrid ohne laufenden Exchange Server. Dieser Ansatz passt, wenn keine lokalen Exchange-Dienste mehr gebraucht werden, Empfängerattribute aber weiterhin im lokalen Active Directory gepflegt und synchronisiert werden. Pfad 4 ist Cloud Authority für Exchange-Attribute. Nutze diesen Pfad nur, wenn die cloudseitige Verwaltung in Deinem Tenant unterstützt ist und Du getestet hast, welche Attribute bei synchronisierten Objekten weiterhin aus dem lokalen AD kommen.
| Zielzustand | Geeignet, wenn | Betriebsrisiko |
|---|---|---|
| Exchange Server SE | Lokale Exchange-Dienste bleiben erforderlich | Patchfenster, Zertifikate, Backup und Monitoring bleiben notwendig |
| Reduzierter Hybrid | Exchange Online hostet Mailboxen, AD bleibt autoritativ | Versteckte Connector- und Attributabhängigkeiten bleiben möglich |
| Exchange Management Tools | Keine lokalen Exchange-Dienste, aber lokale Attributpflege | PowerShell-Prozesse und Adminrechte müssen neu geregelt werden |
| Cloud Authority | Provisioning und Governance können in Exchange Online erfolgen | Skripte, Rollen und Auditing müssen cloudseitig funktionieren |
Wichtig ist die Trennung zwischen remove last Exchange server und alle Exchange-Abhängigkeiten entfernen. Der Server kann weg sein, während das Exchange-Schema im AD bleibt und proxyAddresses, mailNickname, legacyExchangeDN, RemoteRoutingAddress, Autodiscover, SMTP-Relay und Compliance-Prozesse weiterhin Exchange-spezifisches Wissen erfordern.
Schritt 3: Exchange-Server-SE-Migration sauber planen
Exchange Server SE ist der unterstützte On-Premises-Pfad für Organisationen, die Exchange weiterhin im eigenen Rechenzentrum benötigen. Prüfe vor der Exchange Server SE migration in der aktuellen Microsoft-Supportability-Matrix die freigegebene Kombination aus Exchange-SE-Build, Windows Server, .NET-Version und Installationsvoraussetzungen. Plane Neuinstallationen nur auf einer freigegebenen Windows-Server-Version und halte denselben CU- und SU-Stand auf allen Exchange-Servern. Vertiefende Praxisübungen zu Betrieb und Troubleshooting findest Du unter Microsoft Exchange SE und 2019 Seminare.
Plane kein In-Place-Upgrade des Windows-Server-Betriebssystems zwischen Hauptversionen unter einem installierten Exchange Server. Microsoft unterstützt dieses Szenario nicht. Wenn Du Windows Server 2025 nutzen willst, prüfe einen sauberen Serveraufbau, die Exchange-SE-Installationsvoraussetzungen, Namensauflösung, Zertifikate, Virenscanner-Ausnahmen und Backup-Kompatibilität vor dem produktiven Schwenk.
- Baue ein Labor mit repräsentativen Zertifikaten, Accepted Domains, Send Connectors und Receive Connectors auf.
- Teste Hybrid Configuration Wizard, OAuth, Free/Busy, MailTips, Autodiscover und Mailflow in beide Richtungen.
- Dokumentiere Rollback-Schritte für DNS, Connectoren, Zertifikatbindungen und Transportregeln.
- Prüfe vor der Deinstallation alter Server Systemmailboxen, Offline Address Books, Datenbanken, Sendeconnector-Quellenserver und verbleibende Receive-Connector-Abhängigkeiten.
- Führe nach dem Upgrade Health Checks für Dienste, Warteschlangen, Ereignisprotokolle und Message Tracking aus.
Schritt 4: Empfänger sicher verwalten, solange lokales AD synchronisiert wird
Empfängerverwaltung ist in vielen Hybrid-Umgebungen der Hauptgrund, warum der letzte Exchange Server weiterläuft. Wenn Entra Connect lokale AD-Objekte synchronisiert, kommen Benutzer, Gruppen, Kontakte und viele Exchange-Attribute weiterhin aus dem lokalen Verzeichnis. Änderungen direkt in Exchange Online können dann überschrieben werden oder sind für synchronisierte Objekte gesperrt.
Vergleiche drei Verwaltungsmodelle: Ein laufender Exchange Server SE als Management-Server bietet Exchange Admin Center und Exchange Management Shell im bekannten Betriebsmodell. Exchange Management Tools ohne laufenden Exchange Server reduzieren die Serverfläche, verlagern die Administration aber stärker auf PowerShell und klare Runbooks. Cloud Authority für Exchange-Attribute verschiebt die Pflege ausgewählter Exchange-Attribute nach Exchange Online, setzt aber voraus, dass Provisioning, Rollenmodell und Audit-Prozesse zur Cloud-Verwaltung passen.
Lege vor der Umstellung fest, wer Empfänger erstellen darf, welches System Attribute ändert, wie bestehende Skripte angepasst werden und wo Fehler nachvollziehbar protokolliert werden. Teste mindestens neue Benutzer, freigegebene Postfächer, Ressourcenpostfächer, Mail Contacts, Verteilergruppen, Microsoft-365-Gruppen, zusätzliche Aliase, primäre SMTP-Adressen, X500-Adressen und das Verhalten ausgeblendeter Adresslisten.
Schritt 5: Hybrid-Mailflow, DNS und Sicherheitskontrollen bereinigen
Mailflow entscheidet darüber, ob eine Exchange-Änderung nur Administrationsprozesse betrifft oder den Nachrichtenverkehr unterbricht. Prüfe, ob eingehende und ausgehende E-Mails über lokale Exchange-Server, ein Security Gateway, Exchange Online Protection oder einen Drittanbieterfilter laufen. Vergleiche Connectoren, Accepted Domains, Remote Domains, Transport Rules, TLS-Einstellungen, Relay-Berechtigungen und Anwendungsschnittstellen für SMTP.
Validiere vor und nach jeder Änderung MX, Autodiscover, SPF, DKIM, DMARC und Zertifikatnamen. Wenn Centralized Mail Transport aktiv ist, entscheide bewusst, ob dieses Routing aus Compliance-Gründen bleiben muss oder ob Exchange Online Protection den primären Mailflow übernehmen kann. Für Richtlinien, Defender-Funktionen und EOP-Konfigurationen sind Microsoft Security Schulungen fachlich naheliegend.
- Teste Message Trace in Exchange Online und Message Tracking auf lokalen Servern.
- Prüfe Quarantäne, Anti-Phishing Policies, Safe Links, Safe Attachments und Transport-Rule-Treffer.
- Validiere eDiscovery, Litigation Hold, Retention Labels und Journal-Workflows mit realen Testpostfächern.
- Erfasse alle Anwendungen, die per SMTP AUTH, Connector-Relay oder statischer IP-Adresse senden.
Schritt 6: EWS-Abhängigkeiten vor Oktober 2026 finden
EWS retirement 2026 ist unabhängig von Exchange Server SE, trifft aber häufig dieselben Administratoren. Microsoft hat angekündigt, EWS in Exchange Online ab Oktober 2026 für Drittanbieter-Apps und Eigenentwicklungen zu blockieren bzw. stufenweise abzuschalten. Typische EWS-Verbraucher sind ältere CRM- und ERP-Integrationen, Raum- und Ressourcenbuchungssysteme, Backup-Werkzeuge, Monitoring-Skripte, Service Accounts sowie eigene PowerShell- oder .NET-Anwendungen.
Verlasse Dich nicht auf alte Schnittstellendokumentation. Nutze EWS Usage Reports, Entra-Anmeldeprotokolle, Exchange-Online-Auditdaten und Analyzer-Werkzeuge, um echte Zugriffe zu finden. Ordne jede gefundene Abhängigkeit einem technischen Owner, einem Geschäftsprozess, einer Authentifizierungsmethode, einem Mailbox-Scope und einem Migrationspfad zu. Für neue Implementierungen ist Microsoft Graph der primäre Ersatzpfad, wobei nicht jede EWS-Funktion eins zu eins dieselbe Graph-API hat.
EWS-Aktionsliste
- Exportiere EWS-Nutzung nach App, Service Account, Client-IP und Zielpostfach.
- Markiere Anwendungen mit Application Impersonation, breitem Mailbox-Zugriff oder hart codierten EWS-URLs.
- Plane Graph-Tests mit Kalenderzugriff, Mailzugriff, Delegation, Application Permissions und Berechtigungsmodell.
- Setze interne Fristen für Entwicklung, Abnahme, Produktivsetzung und Abschaltung des EWS-Zugriffs.
Praxischeckliste 2026: Diese Entscheidungen solltest Du jetzt treffen
Treffe zuerst die Architekturentscheidung: Exchange Server SE, Exchange Management Tools hybrid, Cloud Authority für Exchange-Attribute oder ein gestufter Abbau der Hybrid-Komponenten. Erstelle danach ein Risikoregister für nicht unterstützte Exchange-Versionen, versteckte Mailflow-Abhängigkeiten, lokale AD-Attributpflege und EWS-Nutzung.
- Starte einen Pilot mit neuen Benutzern, freigegebenen Postfächern, Ressourcenpostfächern, Gruppen, Kontakten und Aliasänderungen.
- Teste Mailflow für interne Nachrichten, externe Nachrichten, Relay-Anwendungen, TLS und Quarantäne.
- Aktualisiere Admin-Runbooks, PowerShell-Skripte, Monitoring, Backup-Pläne und Incident-Response-Abläufe.
- Dokumentiere, welches System für jedes Exchange-Attribut autoritativ ist.
- Lege EWS-Abschalttermine pro Anwendung fest und verfolge die Migration zu Microsoft Graph.
Das Ergebnis der Checkliste sollte eine Entscheidungsvorlage sein: Zielzustand, Abhängigkeiten, Owner, Testfälle, Rollback-Schritte und Termine pro Anwendung. So vermeidest Du, dass eine Serverstilllegung unerwartet SMTP-Relay, Empfängeranlage oder Compliance-Prozesse trifft. Für ein praxisnahes Training zu Hybrid-Setup, Entra Connect, Hybrid Configuration Wizard, Migration, Empfängerverwaltung, Hybrid-Mailflow, Exchange Online Protection, Compliance und De-Hybridisierung kannst Du den Exchange Hybrid Aufbaukurs: Verwaltung und Migration nutzen.