Beheer van Exchange Server: patches, monitoring en de weg vooruit

Exchange Server bevindt zich vandaag de dag in een andere situatie dan een jaar geleden. Microsoft heeft de ondersteuning voor Exchange Server 2016 en 2019 op 14 oktober 2025 beëindigd en de daaropvolgende overbruggingsperiode van zes maanden met uitgebreide beveiligingsupdates is in april 2026 verstreken. Organisaties die nog steeds een van beide versies gebruiken zonder over te stappen naar Exchange Server Subscription Edition (SE), werken nu op een infrastructuur die niet meer wordt ondersteund, zonder beschikbare beveiligingsupdates en zonder mogelijkheid tot algemene ondersteuning.

Voor MSP’s en IT-teams die Exchange-omgevingen beheren, verandert dit het operationele beeld ingrijpend. De vraag is niet langer hoe Exchange 2016 of 2019 eindeloos van patches voorzien kan blijven worden. Het gaat erom hoe Exchange SE correct beheerd kan worden terwijl het in productie is, en hoe de overgang naar Microsoft 365 Exchange Online gepland kan worden voor de omgevingen waar on-premises Exchange niet langer zinvol is. Datto, onderdeel van de Kaseya-familie, helpt MSP's al meer dan 15 jaar bij het beveiligen van Microsoft-omgevingen, zowel on-premises als in de cloud, en deze gids put uit die operationele diepgang om te beschrijven wat elke fase daadwerkelijk vereist.

Het Exchange Server-landschap in 2026: wat is er veranderd?

De ondersteuning voor Exchange Server 2016 en 2019 is op 14 oktober 2025 beëindigd. Microsoft bood een eenmalig ESU-programma van zes maanden aan dat uitsluitend kritieke en belangrijke beveiligingsupdates omvatte, zonder algemene ondersteuning, en dat liep tot april 2026.

Vanaf mei 2026 draait elke organisatie die nog steeds Exchange Server 2016 of 2019 gebruikt zonder ESU-abonnement op een niet-ondersteunde, niet-gepatchte e-mailinfrastructuur. Microsoft heeft ook aangegeven dat er mogelijk SMTP-beperkingen worden ingevoerd voor verouderde on-premises Exchange-configuraties die verbinding maken met Exchange Online, een maatregel die al is toegepast op Exchange 2013 en eerdere versies. De druk om over te stappen is reëel en neemt toe.

Exchange Server Subscription Edition (SE) is het huidige door Microsoft ondersteunde Exchange-product voor lokaal gebruik, waarvan de ondersteuning is bevestigd tot ten minste 31 december 2035. Voor updates is een actieve Software Assurance-overeenkomst vereist en het product introduceert een abonnementsmodel met frequentere updatecycli dan eerdere versies. Voor organisaties die daadwerkelijk behoefte hebben aan lokaal gebruik, is SE de juiste keuze. Voor organisaties die dat niet hebben, is Microsoft 365 Exchange Online de strategische keuze.

Exchange Server SE: het nieuwe onderhoudsmodel

Exchange Server SE verandert de manier waarop updates worden geleverd en geïnstalleerd. Het driemaandelijkse ritme van cumulatieve updates blijft gehandhaafd, maar SE zorgt voor een nauwere integratie met Windows Server en Entra ID-verificatie, waarbij Kerberos voor server-naar-server-verificatie de oudere verificatiemechanismen vervangt. CU1 voor Exchange Server SE staat gepland voor de eerste helft van 2026.

De regels voor de volgorde van updates die golden voor Exchange 2016 en 2019 blijven van kracht: cumulatieve updates moeten zijn geïnstalleerd voordat beveiligingsupdates worden geïnstalleerd, en voor sommige beveiligingsupdates is een specifiek niveau van cumulatieve updates vereist. Dit is geen patchomgeving waar je de instellingen eenmaal kunt instellen en er vervolgens geen omkijken meer naar hebt. Bij elke updatecyclus moet de compatibiliteit worden gecontroleerd, moet de update eerst in een testomgeving worden getest voordat deze in de productieomgeving wordt geïmplementeerd, en moeten onderhoudsvensters worden ingepland, omdat voor de meeste Exchange Server-updates de service opnieuw moet worden opgestart, wat de e-mailstroom onderbreekt.

In hybride Exchange-omgevingen, waar on-premises Exchange tijdens de migratie of voor permanent hybride identiteitsgebruik naast Exchange Online bestaat, is het geen optie om op de huidige CU te blijven. Microsoft heeft in het verleden de hybride connectiviteit vanuit verouderde Exchange-versies beperkt of geblokkeerd, en SE-omgevingen in hybride modus moeten up-to-date zijn om de integratie te behouden.

Patchbeheer voor Exchange Server SE

Effectief patchbeheer voor Exchange Server SE verloopt via twee parallelle trajecten.

Het eerste onderdeel behandelt het onderliggende Windows Server-platform: OS-patches, beveiligingsupdates en de onderhoudstaken die van toepassing zijn op elke Windows Server-rol. Datto RMM beheert deze laag via geautomatiseerde, op beleid gebaseerde patchimplementatie, met nalevingsrapportages die de patchstatus in de hele omgeving weergeven en geplande onderhoudsvensters die ervoor zorgen dat implementaties niet tijdens kantooruren plaatsvinden. Apparaten buiten het netwerk, waaronder Exchange-servers die via een VPN of op externe locaties toegankelijk zijn, worden gedekt door de Datto RMM-agent zonder dat er wijzigingen in het netwerk nodig zijn.

Het tweede onderdeel is specifiek voor Exchange en vereist extra discipline. Voor cumulatieve updates en beveiligingsupdates voor Exchange geldt het volgende:

1. Controle van de compatibiliteit met de huidige versie van Exchange SE vóór de implementatie

2. Een testomgeving die een exacte kopie is van de productieomgeving, waarbij elke wijziging in de productieomgeving eerst wordt getest

3. Een vastgelegd onderhoudsvenster waarbij de herstart van de dienst op een moment met minimale verstoring is gepland

4. Controle van de consistentie van de database na grote updates, waarbij wordt nagegaan of de mailboxdatabases correct zijn gekoppeld en de e-mailstroom weer naar behoren verloopt

5. De terugdraaiprocedure is gedocumenteerd en getest voordat de wijziging wordt doorgevoerd

IT Glue, het documentatieplatform van Kaseya, is de plek waar de standaardprocedure voor het patchen van Exchange is vastgelegd. Als het proces daar is gedocumenteerd, wordt het altijd op dezelfde manier uitgevoerd, ongeacht welke technicus het uitvoert. Juist die consistentie voorkomt dat er fouten ontstaan doordat „we dezelfde stappen hebben gevolgd, maar een ander resultaat hebben gekregen“ – een situatie die zich voordoet wanneer het patchen van Exchange afhankelijk is van het collectieve geheugen in plaats van een gedocumenteerde procedure.

Een praktijkvoorbeeld dat het risico illustreert: een MSP die 15 klanten beheert, waarvan er drie Exchange Server SE gebruiken. Het is Patch Tuesday. De technicus past de beveiligingsupdate toe op klant één, volgens de gebruikelijke procedure voor Windows Server, zonder de vereiste voor de Exchange CU te controleren. De update wordt geïnstalleerd, maar veroorzaakt een probleem met de transportservice omdat het niveau van de Exchange CU twee versies achterliep. Het diagnosticeren daarvan kost vier uur. Met een gedocumenteerde en geteste procedure waarin het controleren van het CU-niveau als eerste stap is opgenomen, doet het probleem zich nooit voor.

Monitoring van Exchange Server: de essentiële controles

Het monitoren van Exchange Server omvat verschillende afzonderlijke lagen, en als er ook maar één daarvan ontbreekt, leidt dat doorgaans tot een incident dat eerder had kunnen worden opgemerkt.

Referentiewaarden voor de serverstatus. CPU-, geheugen- en schijfgebruik op de Exchange-server zelf. Exchange is een resource-intensieve toepassing en de toename van schijfruimte door transactielogboeken is een veelvoorkomende bron van problemen die zich geleidelijk en niet plotseling voordoen. Waarschuwingsdrempels moeten zo worden ingesteld dat er een melding wordt gegeven voordat het gebruik kritiek wordt, en niet pas wanneer dat al het geval is.

Beschikbaarheid en status van databases. In Database Availability Group (DAG)-configuraties moeten mailboxdatabases correct zijn gekoppeld en repliceren. De groeitrends van de databasegrootte zijn hierbij van belang: als een database ongewoon snel groeit in vergelijking met de uitgangswaarde, duidt dit vaak op een probleem met het beleid voor gegevensbewaring of op een uit de hand gelopen mailbox.

De lengte van de e-mailwachtrij. Een aanhoudende of groeiende e-mailwachtrij is een van de duidelijkste vroege signalen van een bezorgingsprobleem. Korte pieken zijn normaal. Een wachtrij die urenlang blijft groeien zonder dat het probleem wordt opgelost, duidt op een storing in de transportdienst, een verbindingsprobleem met de smart host of een certificaatfout die stroomafwaarts tot fouten bij de TLS-onderhandeling leidt.

Verloop van certificaten. Dit is de meest voorkomende, maar vermijdbare oorzaak van storingen in Exchange. Verlopen certificaten verstoren de verbinding met Outlook, de toegang tot OWA en de e-mailstroom die afhankelijk is van TLS. Exchange maakt gebruik van meerdere certificaten: het standaard zelfondertekende certificaat, het toegewezen transportcertificaat en eventuele externe SSL-certificaten voor clientverbindingen. Elk certificaat heeft zijn eigen vervaldatum. Geautomatiseerde monitoring van het verlopen van certificaten in Datto RMM, met waarschuwingen 60, 30 en 14 dagen voor het verlopen, voorkomt deze storingsmodus volledig. De oplossing is goedkoop en kost slechts enkele minuten. Wanneer het incident zich voordoet zonder monitoring, duurt het doorgaans uren om de oorzaak vast te stellen, omdat het symptoom (clients kunnen geen verbinding maken) niet direct wijst op een certificaat als oorzaak.

Servicestatus. De belangrijkste Exchange-services – Transport, Mailbox en Client Access – moeten worden gecontroleerd op onverwachte uitval. Geautomatiseerde herstartprocedures voor storingen waarvan bekend is dat ze veilig kunnen worden verholpen, verkorten de tijd tussen detectie en oplossing, maar storingen die na het herstarten terugkeren, vereisen onderzoek door een medewerker.

Patronen in gebeurtenislogboeken. De Windows-gebeurtenislogboeken op Exchange-servers bevatten vroege waarschuwingssignalen voor databaseproblemen, authenticatiefouten en replicatieproblemen in DAG-omgevingen. Door te letten op specifieke Exchange-gebeurtenis-ID’s, in plaats van alle gebeurtenissen te willen monitoren, blijft het aantal valse alarmen binnen de perken en worden de signalen die ertoe doen toch opgemerkt.

Overstap naar Microsoft 365: de overgang plannen

Voor de meeste organisaties die Exchange Server lokaal gebruiken, is de overstap naar Exchange Online de strategische keuze. De mogelijkheden van Microsoft 365 zijn voor de meeste toepassingen inmiddels gelijkwaardig aan die van Exchange op locatie, en de operationele kosten voor het beheer en het patchen van Exchange Server op locatie leveren zelden evenredige bedrijfswaarde op in vergelijking met een beheerde clouddienst.

De onderdelen van de migratieplanning die doorgaans bepalend zijn voor de tijdsplanning en de complexiteit:

Synchronisatie van adreslijsten. Azure Active Directory Connect (nu Microsoft Entra Connect) zorgt voor de synchronisatie van identiteiten tussen de lokale Active Directory en Entra ID. Bij hybride implementaties is dit meestal al geregeld. Voor organisaties die helemaal opnieuw beginnen, is de configuratie van Entra Connect de eerste stap waarvan al het andere afhangt.

Coëxistentie van e-mail. Tijdens de migratie zullen sommige mailboxen tegelijkertijd zowel lokaal als in Exchange Online staan. De e-mailroutering tussen beide omgevingen moet vlekkeloos verlopen. Daarom is het noodzakelijk dat de hybride configuratie en de connectoren correct zijn ingesteld voordat de mailboxen worden verplaatst.

Openbare mappen. Organisaties met verouderde structuren voor openbare mappen staan voor het meest complexe onderdeel van de meeste Exchange-migraties. Moderne openbare mappen, die in Exchange 2013 zijn geïntroduceerd, laten zich soepeler migreren dan verouderde openbare mappen, maar hoe dan ook vereist dit onderdeel een eigen inventarisatie-, plannings- en testcyclus.

Het buiten gebruik stellen van de on-premises omgeving. Exchange Server kan niet zomaar worden verwijderd zodra de migratie is voltooid. De on-premises Exchange-infrastructuur moet op de juiste wijze buiten gebruik worden gesteld via een gedocumenteerde procedure waarbij de Exchange-rollen in de juiste volgorde worden verwijderd, de Active Directory-attributen worden opgeschoond en wordt gecontroleerd of er geen resterende services of applicaties zijn die afhankelijk zijn van de on-premises Exchange-eindpunten, voordat deze worden uitgeschakeld.

Overwegingen met betrekking tot licenties en naleving. Organisaties in gereguleerde sectoren, met name de gezondheidszorg en de financiële dienstverlening, kunnen te maken hebben met vereisten inzake gegevensopslag of -bewaring die van invloed zijn op de configuratie van Microsoft 365 en die de planning van de migratie vertragen. Deze aspecten moeten vóór aanvang van de migratie in kaart worden gebracht en mogen niet pas tijdens de migratie aan het licht komen.

Exchange Online beveiligen na de migratie

Een veelgehoorde aanname bij de overstap naar Microsoft 365 is dat de verantwoordelijkheid van Microsoft voor het platform betekent dat de gegevens beschermd zijn. Dat is echter niet het geval, althans niet op de manier waarop organisaties dat doorgaans bedoelen als ze het over back-ups hebben.

Microsoft zorgt voor de beschikbaarheid van de dienst en de veerkracht van de infrastructuur, maar biedt geen langetermijnback-up van mailboxgegevens met gedetailleerd herstel naar een specifiek tijdstip. Als gegevens worden verwijderd – hetzij per ongeluk, opzettelijk of door een ransomware-aanval die gericht is op cloudomgevingen – zijn de standaard bewaartools van Microsoft mogelijk niet toereikend om deze te herstellen, afhankelijk van de configuratie van het bewaarbeleid en het tijdstip van de verwijdering.

Datto SaaS Protection Exchange Online, SharePoint, OneDrive, Teams en de overige applicaties uit het Microsoft 365-pakket. Het biedt drie dagelijkse back-ups met herstel naar een specifiek tijdstip, waardoor MSP’s en IT-teams de mogelijkheid hebben om afzonderlijke e-mails, agenda-items of volledige mailboxen te herstellen naar elk willekeurig back-upmoment, los van de standaard bewaartermijnen van Microsoft.

De nieuwe geïntegreerde herstelworkflow, die tijdens Kaseya Connect 2026 werd aangekondigd, gaat nog een stap verder door het herstel van Microsoft 365 Exchange en het herstel van Entra ID-objecten te combineren tot één enkele operationele workflow, waardoor de hersteltijd bij incidenten op het gebied van identiteitsbeheer wordt verkort.

Ontdek Datto SaaS Protection Microsoft 365.

De operationele rol van documentatie en automatisering

Het beheer van Exchange Server op grote schaal – of het nu gaat om meerdere klantomgevingen voor een MSP of om een complex intern IT-landschap – loopt spaak wanneer het afhankelijk is van de kennis van individuele technici in plaats van van gedocumenteerde en geautomatiseerde processen.

Drie gebieden waarop documentatie incidenten rechtstreeks voorkomt:

De procedure voor het aanbrengen van patches. Deze procedure is vastgelegd in IT Glue de controle op vereisten voor de CU de eerste stap vormt, de staging-test een verplichte poort is en het onderhoudsvenster een veld is dat moet worden bevestigd voordat de implementatie van start gaat. Wanneer deze procedure aanwezig is en wordt gevolgd, verdwijnen incidenten met Exchange-patches die worden veroorzaakt door het overslaan van een vereiste.

De certificaatlijst. Alle Exchange-certificaten in alle beheerde omgevingen, inclusief vervaldata, verlengingsbronnen en de bijbehorende dienst, worden vastgelegd in IT Glue. In combinatie met geautomatiseerde monitoring van vervaldata in Datto RMM zorgt dit ervoor dat storingen als gevolg van certificaten niet langer tot de onverwachte gebeurtenissen behoren.

De checklist voor het buiten gebruik stellen na een migratie. Een stapsgewijze procedure voor het correct verwijderen van de on-premises Exchange-omgeving, gedocumenteerd en getest. Migratieprojecten die vlekkeloos worden uitgevoerd en vervolgens worden gevolgd door een correcte buitengebruikstelling, voorkomen de situatie waarin „we weliswaar zijn gemigreerd, maar er nog steeds ergens een Exchange-server draait“, wat leidt tot voortdurende verplichtingen op het gebied van patching en monitoring zonder zakelijke rechtvaardiging.

Kaseya Intelligence, getraind op basis van meer dan 1 miljard helpdesktickets, 3 exabyte aan back-upgegevens en 17 miljoen beheerde eindpunten, voegt een autonome laag toe aan deze processen. Het gaat daarbij niet langer alleen om het doen van patchaanbevelingen, maar ook om het uitvoeren en valideren van de resultaten zonder handmatige tussenkomst. Voor Exchange Server-omgevingen betekent dit dat niet-gepatchte kwetsbaarheden en gemiste back-upcontroles worden opgespoord en opgelost voordat ze tot incidenten leiden. Ontdek Kaseya Intelligence.