Wege zur Exchange Subscription Edition
Eng getaktet
Veröffentlicht in Ausgabe 04/2025 - SCHWERPUNKT
Bisher veröffentlichte Microsoft alle drei Jahre eine neue Exchange-Version. Beim Nachfolger von Exchange 2019 hat der Anbieter diesen Rhythmus jedoch verlängert: Die Exchange Server Subscription Edition (Exchange Server SE) erscheint erst im zweiten Halbjahr 2025 – sieben Jahre nach dem Release von Exchange 2019 im Jahr 2018.
Verzögerter Zeitplan
Microsoft begründet diese Verzögerung vor allem mit den zahlreichen Sicherheitsproblemen, die in den vergangenen Jahren aufgetreten sind. Besonders der Hafnium-Exploit Anfang 2021 machte die Verwundbarkeit vieler lokaler Exchange-Server deutlich und zeigte, dass auch diese regelmäßig gewartet werden müssen. Die Behebung der Schwachstelle zog sich über einen längeren Zeitraum hin. Um künftige Sicherheitslücken schneller temporär schließen zu können, hat Microsoft den Exchange Emergency Mitigation Service (EEMS) direkt in Exchange integriert – eine Funktion, die wir bereits in der Februar-Ausgabe 2022 ausführlich vorgestellt haben [1].
Zudem hat Redmond die Integration des Antimalware Scan Interface (AMSI) vollzogen. AMSI war bereits in Windows Server 2016 und 2019 enthalten und findet sich nun auch in Exchange 2016 und Exchange 2019. AMSI-kompatible Antivirenprodukte können den Inhalt von an Exchange-Server gesendeten HTTP-Anfragen analysieren und potenziell schädliche Anfragen blockieren, bevor sie von Exchange verarbeitet werden.
Bisher veröffentlichte Microsoft alle drei Jahre eine neue Exchange-Version. Beim Nachfolger von Exchange 2019 hat der Anbieter diesen Rhythmus jedoch verlängert: Die Exchange Server Subscription Edition (Exchange Server SE) erscheint erst im zweiten Halbjahr 2025 – sieben Jahre nach dem Release von Exchange 2019 im Jahr 2018.
Verzögerter Zeitplan
Microsoft begründet diese Verzögerung vor allem mit den zahlreichen Sicherheitsproblemen, die in den vergangenen Jahren aufgetreten sind. Besonders der Hafnium-Exploit Anfang 2021 machte die Verwundbarkeit vieler lokaler Exchange-Server deutlich und zeigte, dass auch diese regelmäßig gewartet werden müssen. Die Behebung der Schwachstelle zog sich über einen längeren Zeitraum hin. Um künftige Sicherheitslücken schneller temporär schließen zu können, hat Microsoft den Exchange Emergency Mitigation Service (EEMS) direkt in Exchange integriert – eine Funktion, die wir bereits in der Februar-Ausgabe 2022 ausführlich vorgestellt haben [1].
Zudem hat Redmond die Integration des Antimalware Scan Interface (AMSI) vollzogen. AMSI war bereits in Windows Server 2016 und 2019 enthalten und findet sich nun auch in Exchange 2016 und Exchange 2019. AMSI-kompatible Antivirenprodukte können den Inhalt von an Exchange-Server gesendeten HTTP-Anfragen analysieren und potenziell schädliche Anfragen blockieren, bevor sie von Exchange verarbeitet werden.
Zusätzlich hat Microsoft kontinuierlich Security Updates veröffentlicht, was eine Anpassung bei der Installation dieser Updates zur Folge hatte. Insgesamt sind also erhebliche Ressourcen in die Stabilisierung von Exchange geflossen – auf Kosten der Entwicklung der nächsten Version.
Nur noch im Abonnement
Exchange Server SE folgt demselben Lizenzmodell wie die SharePoint Server Subscription Edition. Das bedeutet: Exchange SE wird ausschließlich im Abonnement verfügbar sein und unterliegt der modernen Lifecycle-Support-Richtlinie. Dadurch gibt es kein festgelegtes End-of-Life-Datum – die Unterstützung bleibt bestehen, solange eine entsprechende Marktnachfrage besteht. Damit läuft die Entwicklung des lokalen Exchange weiter – ein kurzfristiger Wechselzwang auf Exchange Online aufgrund fehlender On-Premises-Versionen ist vorerst nicht zu befürchten.
Die Lizenzierung für die SE entspricht der von Exchange Server 2019. Es sind sowohl Server- als auch Client-Access-Lizenzen erforderlich. Dies kann entweder durch eine Software Assurance oder über Cloud-Abonnementlizenzen erfolgen. Letzteres beinhaltet neben den Zugriffsrechten auch die Serverlizenz für Exchange Server SE. Dies ist unter anderem bei Microsoft-365-E3- oder E5-Lizenzen der Fall, die die Extended Use Rights für Office-Server enthalten. Die Notwendigkeit für eigenständige CALs entfällt dabei. Mehr zur Nutzung von Microsoft-365-Lizenzen finden Sie in einem übersichtlichen PDF [2].
Verfügen Sie aktuell über eine aktive Software Assurance (SA), können Sie automatisch immer die aktuelle Exchange-Version einsetzen. Haben Sie eine ältere Exchange-Lizenz ohne SA im Einsatz, empfiehlt es, sich Lizenzen für Exchange 2019 inklusive SA zu erwerben. Bei Nutzern von Exchange 2019 ohne SA ist schnellstmöglich zu prüfen, ob Sie sich innerhalb der 90-Tage-Frist befinden und eine Software Assurance nachrüsten können. Ist dies nicht der Fall, müssen Sie sowohl neue Lizenzen für Server als auch für Client-Access erwerben.
Microsoft bietet weiterhin eine kostenlose Lizenz für Exchange-Server in hybriden Umgebungen, sofern diese nur für das Management der Verteiler und Empfänger Verwendung finden. Werden auf diesem Server Postfächer gehostet, ist der Server regulär zu lizenzieren. Die Product Keys werden künftig nicht mehr über das Volume License Service Center, sondern im Microsoft 365 Admin Center bereitgestellt. Eine fortlaufende Online-Validierung der Lizenzen ist dabei nicht erforderlich.
Koexistenz mit starken Einschränkungen
Exchange 2019 CU15 ist Voraussetzung für ein Inplace-Upgrade auf Exchange SE. CU15 lässt sich aber nur installieren, sofern keine Versionen vor Exchange 2016 in der Umgebung vorhanden sind. Gleiches gilt für Exchange SE. Die Installation wir dabei aktiv blockiert. Es ist daher dringend nötig, ältere Exchange Server zu migrieren, bevor Sie auf SE aktualisieren. Weiter dürfen auch keine älteren CUs bei Exchange 2016 beziehungsweise Exchange 2019 in der Organisation vorhanden sein. Hier findet zwar keine aktive Verhinderung der Installation statt, die Konstellation ist von Microsoft aber nicht unterstützt.
Sofern Exchange Server 2016 CU22, Exchange Server 2019 CU13 oder frühere Versionen in Ihrer Organisation laufen, sollten Sie vorher also auf das aktuelle CU umsteigen. Ist Exchange 2019 CU15 einmal aufgespielt, verhält sich das Inplace-Upgrade zu Exchange SE wie ein CU. Die RTM-Version von Exchange SE ist bezogen auf Exchange Server 2019 CU15 nahezu Code-äquivalent. Es wird nur die Lizenzvereinbarung aktualisiert und der Name von Microsoft Exchange Server 2019 in Microsoft Exchange Server Subscription Edition geändert. Dementsprechend erfolgt eine Aktualisierung der Build- und Versionsnummer.
Microsoft hat Exchange SE CU1 bereits für Oktober 2025 angekündigt. Dabei ist zu beachten, dass CU1 ausschließlich eine Koexistenz mit Exchange SE RTM gestattet. Somit müssen alle Exchange Server vor Exchange SE aus der Umgebung entfernt werden, bevor sich das CU1 installieren lässt. Eine direkte Migration von Exchange 2016 beziehungsweise Exchange 2019 zu Exchange SE CU1 ist nicht möglich. Einen Überblick erhalten Sie in der Tabelle.
| Version | Veröffentlichung | Details | Koexistenz |
|---|---|---|---|
| Exchange Server 2019 CU15 | 1. Halbjahr 2025 | Das letzte CU für Exchange Server 2019. Es wird Code-äquivalent zu Exchange Server SE RTM sein. | Keine Koexistenz mit Exchange 2013 und früher. Die Installation wird aktiv blockiert. Exchange-2016/2019-Server mit älteren CUs sollten zunächst aktualisiert werden. |
| Exchange Server SE RTM | Frühes 2. Halbjahr 2025 | Inplace-Upgrade von Exchange 2019 möglich. | Keine Koexistenz mit Exchange 2013. Die Installation wird aktiv blockiert. |
| Exchange Server SE CU1 | Spätes 2. Halbjahr 2025 | Erste neue Features in Exchange Server SE. | Keine Koexistenz mit Exchange 2013, 2016 oder 2019. Die Installation wird aktiv blockiert. |
Erste Wahl Inplace-Upgrade
Der Support von Exchange 2013 ist bereits im April 2023 ausgelaufen, sodass nur noch Exchange 2016 und 2019 laufen sollten. Exchange 2016 hat aber bereits im Oktober 2021 den Mainstream-Support verlassen und ist in den erweiterten Support übergegangen, sodass auch dieses nicht mehr zum Einsatz kommen sollte. In dieser Phase erhält Exchange Server keine kumulativen Updates mehr, Sicherheitsupdates werden aber weiterhin veröffentlicht.
Exchange 2019 ist seit Januar 2024 ebenfalls im erweiterten Support. Bei beiden Versionen läuft dieser dann parallel am 14. Oktober 2025 aus. Exchange 2019 verfügt somit über eine kürzere Release Time von nur sieben Jahren im Vergleich zu zehn bei anderen Versionen. Exchange SE soll im frühen zweiten Halbjahr 2025 erscheinen. Wegen des kurzen Zeitraums zwischen der Veröffentlichung von Exchange SE bis zum End-of-Life von Exchange 2016/2019 gibt es keinen großen Spielraum bei einem Upgrade zur neuen Version. Da dies meist ein längerer Prozess ist, empfiehlt Microsoft, möglichst frühzeitig auf Exchange 2019 zu wechseln, sodass sich ein einfaches Inplace-Upgrade auf SE durchführen lässt. Das Zeitfenster, um bei Exchange im Support zu bleiben, ist somit sehr kurz.
Wie schon erwähnt ist das CU 15 für ein Inplace-Upgrade Voraussetzung. CU15 wird das letzte CU für Exchange 2019 sein und neben dem Support für Exchange SE auch neue Features mitbringen, was im Extended Support untypisch ist. Dazu zählen zum Beispiel die Unterstützung von TLS 1.3 und die Zertifikatsverwaltung über das Exchange Admin Center. Letzteres war seit Exchange 2019 CU12 nicht mehr möglich, da Microsoft den hierzu nötigen UNC-Pfad aus Sicherheitsgründen entfernt hatte. Die für CU15 angekündigte Unterstützung von Windows Server 2025 hat der Konzern durch die Verzögerungen von CU15 bereits in CU14 integriert.
Klassische Migration mit hohem Aufwand
Die Hardware- und Betriebssystemanforderungen für Exchange Server SE entsprechen denen von Exchange 2019 CU15. Durch das Inplace-Upgrade gibt es keine Differenzen zum Active-Directory-Schema, die über die Änderungen in Exchange Server 2019 hinausgehen. Unterstützt wird weiterhin die Windows-Server-2012-R2-Forest-Funktionsebene. Neben dem Inplace-Upgrade unterstützt Exchange Server SE ebenfalls die klassischen Migrationswege. In einer Umgebung ab Exchange 2016 etwa lässt sich Exchange SE installieren und eine Migration durchführen.
Sollten jedoch noch ältere Exchange-Versionen im Einsatz sein, sind zunächst Zwischenmigrationen durchzuführen. Exchange 2007 hatte bereits 2017 den erweiterten Support verloren. Hier ist nur eine Migration zu Exchange 2013 möglich, bevor Sie weiter zu Exchange 2019 migrieren können. Zu Exchange SE ist dann wie geschildert ein Inplace-Upgrade möglich. Der Aufwand für dieses 2007er-Szenario ist also sehr groß.
Allerdings dürfte die Verbreitung von Exchange 2010 und 2013 sogar noch deutlich größer ausfallen. Nach einer BSI-Meldung vom April 2024 sind allein in Deutschland rund 45.000 Exchange-Server erreichbar. Zwölf Prozent fallen dabei auf Exchange 2010 und 2013, was eine relevante Größe darstellt. Exchange 2010 unterstützt im Gegensatz zu Exchange 2007 eine Koexistenz mit der Version 2016, eine direkte Migration zu Exchange 2019 beziehungsweise Exchange SE ist aber nicht möglich. Hierdurch ist ein Zwischenschritt zu Exchange 2016 nötig, erst im Anschluss können Sie dann weiter zu Exchange SE umziehen.
Vorbereitend möglich wäre aber eben noch der Zwischenschritt zu Exchange 2019, sodass bei Erscheinen von Exchange SE lediglich ein Inplace-Upgrade nötig ist. Auch Exchange 2013 ist bereits seit Längerem aus dem Support. Hier besteht aber immerhin die Möglichkeit, zu Exchange 2019 zu migrieren, sodass im Oktober nur noch das Inplace-Upgrade fällig wird. Zu beachten ist aber, dass sich Exchange 2019 CU15 nicht parallel zu Exchange 2013 installieren lässt, weshalb die Migration zu Exchange 2019 CU14 erfolgen muss, bevor Sie das CU15 einspielen können.
Was Exchange 2016 betrifft, ist eine klassische Migration zu Exchange SE möglich. So können Sie nach Erscheinen von Exchange SE auf neue Infrastruktur und ein neues Betriebssystem umziehen. Sollte die Zeit für den Umzug nach der Veröffentlichung von Exchange SE bis zum Auslaufen des Supports zu knapp sein, können Sie auch bei Exchange 2016 einen Zwischenschritt zu Exchange 2019 vollziehen, um im Anschluss daran vom Inplace-Upgrade zu profitieren. Sollten Sie Exchange 2019 bereits im Einsatz haben, bietet sich das Inplace-Upgrade ohnehin als erste Wahl an. Eine klassische Migration auf einen neuen Server wäre aber auch hier möglich.
Microsoft hat vor, für Exchange SE zwei CUs pro Jahr zu veröffentlichen. Nachdem es zur Veröffentlichung von Exchange SE keine neuen Funktionen geben soll, kündigte Microsoft gleich noch das CU1 mit einigen Änderungen für Oktober 2025 an. Noch einmal sei betont: Zum Zeitpunkt der CU1-Veröffentlichung wird Exchange Server SE die einzige unterstützte Exchange-Version sein. Alle früheren Versionen befinden sich zu diesem Zeitpunkt nicht nur nicht mehr im Support, sondern blockieren auch das Aufspielen von CU1. Eine Koexistenz ist dann nur noch mit Exchange Server SE RTM möglich. Microsoft schränkt das Zeitfenster für eine Umstellung auf Exchange SE damit weiter deutlich ein.
Neue Features in Exchange SE CU1
Als eine der ersten Ankündigungen für das CU1 findet zukünftig Kerberos für die Server-zu-Server-Kommunikation Verwendung. Das Standard-Authentifizierungsprotokoll für die Kommunikation zwischen Exchange-Servern wird von NTLMv2 auf Kerberos umgestellt. CU1 aktiviert automatisch Kerberos für alle virtuellen Verzeichnisse auf dem zu installierenden Exchange-Server.
Weiter führt Microsoft eine Admin-API für die Fernverwaltung von Exchange-Servern ein. Das Remote-PowerShell-Protokoll (RPS) wird durch das CU1 weiter unterstützt, aber in zukünftigen CUs abgekündigt. Dabei geht es nicht um die Abschaffung der PowerShell-Verwaltung, sondern um die Modernisierung des verwendeten Protokolls zwischen dem PowerShell-Client und dem Server.
Nicht ganz überraschend kommt das Ende von Outlook Anywhere. Exchange Online und Microsoft 365 haben die Unterstützung für Outlook Anywhere (auch bekannt als RPC-über-HTTP) bereits 2017 entfernt. MAPI-over-HTTP ist das empfohlene und schnellere Zugriffsprotokoll, das sich in Exchange Online bereits etabliert hat. Der Wechsel vollzog sich dabei lautlos, ohne dabei Endbenutzer zu beeinflussen. Nutzer sollen vor allem von einer bessere User Experience bei häufigen Netzwerkwechseln profitieren. Auch in den On-Premises-Versionen kommt MAPI-over-HTTP bereits seit Exchange 2013 und schon aktiv zum Einsatz. CU1 entfernt nun endgültig Outlook Anywhere aus Exchange Server SE.
Microsoft 365 als Alternative
Der Umstieg von einer älteren Exchange-Version direkt zu Microsoft 365 statt einer klassischen Migration zu Exchange Server SE kann gerade für KMU eine Alternative sein. Der große Vorteil ist der deutlich reduzierte Verwaltungsaufwand. Während ein lokaler Exchange-Server regelmäßige Wartung, Updates und Sicherheitsmaßnahmen erfordert, übernimmt Microsoft 365 diese Aufgaben automatisch. Dadurch entfallen zeitaufwendige Patchzyklen und das Risiko, kritische Sicherheitsupdates zu verpassen.Gleichzeitig lassen sich hohe Investitionskosten für neue Serverhardware und Softwarelizenzen vermeiden, da Microsoft 365 auf einem flexiblen Abonnementmodell basiert. Auch bei der Sicherheit bietet der Clouddienst Vorteile: Bedrohungen wie Phishing, Ransomware oder gezielte Angriffe lassen sich mit den integrierten Sicherheitsfunktionen von Microsoft 365, etwa der Advanced Threat Protection und Multifaktor-Authentifizierung, besser abwehren. Durch die globale Infrastruktur von Microsoft profitieren Nutzer zudem von einer hohen Verfügbarkeit, ohne sich selbst um redundante Server oder Backups kümmern zu müssen.Sollten Sie eine Migration zu Exchange Online ins Auge fassen, dann gibt es verschiedene Wege, um diese umzusetzen. Für den Umzug bietet Microsoft für eingeloggte Nutzer den "Microsoft-365-E-Mail-Migrationsratgeber" [5] an. Dieser führt Sie je nach Ausgangslage zum passenden Migrationsweg und nimmt Sie dann auch beim Umzug an die Hand. Der Assistent durchläuft mit Ihnen die verschiedenen Phasen der Migration und liefert ausführliche Schritte für Schrittanleitungen mit vielen Hinweisen.
Umstieg strukturiert vorbereiten und vollziehen
Eine Exchange-Migration ist ein komplexer Vorgang, den es gut zu planen gilt, und der, je nach Größe der Umgebung, einige Zeit in Anspruch nimmt. Ein unstrukturierter Umzug kann zu Ausfällen, Datenverlust oder Sicherheitsproblemen führen. Bevor Sie starten, sollten Sie eine gründliche Bestandsaufnahme durchführen und die Migration in einer Testumgebung durchspielen. Einen guten Überblick über bestehende Exchange-Umgebungen gibt es mit dem "Environment Report" [3]. Hierüber erhalten Sie neben Anzahl und Versionen der Server auch detaillierte Informationen zur Anzahl und Größe der Postfächer.
Vor der eigentlichen Migration gilt es, die Zielumgebung vorzubereiten. Stellen Sie einen neuen Exchange-Server lokal bereit, sind Installation und Grundkonfiguration erforderlich. SSL-Zertifikate müssen bereitgemacht und eingebunden werden, um eine sichere Verbindung zu gewährleisten. Ferner müssen Sie die virtuellen Verzeichnisse für Dienste wie Outlook on the Web, Exchange Web Services und ActiveSync anpassen, um den Zugriff auf die neue Umgebung zu ermöglichen. Weiter ist die Einrichtung von Empfangs- und Sendekonnektoren notwendig, um einen reibungslosen E-Mail-Verkehr sicherzustellen. Danach folgt die Übertragung der Postfächer. Falls öffentliche Ordner zum Einsatz kommen, müssen Sie diese in die neue Umgebung migrieren und mit den richtigen Berechtigungen versehen. Auch Verteilerlisten, Transportregeln, Limits und weitere Einstellungen gilt es zu übernehmen und zu prüfen.
Die Clientverbindungen über Outlook, OWA und mobile Endgeräte testen Sie im Anschluss mit dem "Microsoft Remote Connectivity Analyzer" [4], auf Deutsch auch "Microsoft-Remoteverbindungsuntersuchung" genannt. Hierüber stellen Sie sicher, dass sich die Nutzer problemlos anmelden und arbeiten können. Ebenso müssen Sie den gesamten E-Mail-Verkehr kontrollieren, damit Nachrichten fehlerfrei vom Sender zum Empfänger gelangen. Sobald die Tests erfolgreich abgeschlossen sind, lässt sich die neue Umgebung offiziell in Betrieb nehmen. Dazu müssen Sie final noch die DNS-Einträge aktualisieren, sodass der gesamte Datenverkehr ausschließlich über die neue Infrastruktur läuft. Eine gründliche Planung und strukturierte Umsetzung minimieren Risiken und sorgen für eine stabile, moderne und sichere E-Mail-Infrastruktur.
Fazit
Microsoft hält sich an seinen Fahrplan und bereitet Admins damit einiges Kopfzerbrechen: Sie müssen noch in diesem Jahr alle Exchange-Umgebungen anfassen, damit Sie im Support bleiben und weiterhin Updates erhalten. Wirklich große Neuerungen bleiben bei Exchange SE aus, sodass sich IT-Verantwortliche auf die sportliche Migrationsphase zwischen der Veröffentlichung von Exchange SE und dem End-of-Life der vorangegangenen Versionen konzentrieren können. Sofern Sie noch auf Exchange 2016 oder ältere Exchange-Versionen setzen, empfiehlt sich bereits jetzt die Migration zu Exchange 2019. Es wird auf jeden Fall eine riesige Herausforderung, bis zum 14. Oktober 2025 alle Setups auf Exchange SE zu heben.
(ln)
Link-Codes
[1] Exchange Emergency Mitigation Service in IT-Administrator 02/2022: https://www.it-administrator.de/heftarchiv-article?xv_article=ADMIN_2022_02_045&issue=022022&toc=2022-02
[2] Lizenzierung von Microsoft 365 (PDF): https://download.microsoft.com/download/8/7/7/877B1713-671E-43AA-BB79-AF8478C64AFF/Licensing-Microsoft-365.pdf
[3] Exchange Environment Report V2: https://granikos.eu/exchange-environment-report-v2/
[4] Microsoft-Remoteverbindungs- untersuchung: https://testconnectivity.microsoft.com/tests/exo
[5] Microsoft-365-Migrationsratgeber: https://admin.microsoft.com/adminportal/home#/modernonboarding/mailsetupadvisor