根据自己的条件迁移到云（第 2 部分）：管理混合部署

Article
12/05/2012

原文发布于 2012 年 9 月 21 日（星期五）

混合管理历史简介

Exchange Server 2010 的发布带来了一项革命性的基于云的新服务，那就是如今众所周知的 Exchange Online for Office 365。在云计算发展初期，大量的时间和精力花在快速迁移用户和组织数据上，只有部分精力放在部署和支持具有基于 Web 的租户的本地 Exchange 企业部署之间的共存上。而对于大型组织 (LORG) 而言，除了对数据迁移效率的反馈之外，还有一个重要反馈就是他们迫切需要对更长时间内的本地部署和云共存状态的大力支持。LORG 已表明并要求获得对基于本地部署和云中的邮箱的完全保真、毫不逊色的管理体验。

Exchange Server 2010 是首个通过扩展 Exchange 管理控制台 (EMC) 提供的现有功能来交付本地加 Exchange Online 跨界共存解决方案的产品。EMC 是一种基于 Windows MMC 的客户端，最初的目标是管理大规模企业服务器部署，后来演变成事实上的 Exchange Server 控制台（我们现在简称为“混合”）。EMC 促进了向云 (Office 365) 的高效数据迁移，提供了跨界收件人管理（包括批量编辑）以及帮助管理大部分组织级别策略和对象。

EMC 通常用在承载 Exchange Server 角色的个人 x64 服务器上或通过“仅管理工具”安装单独位于工作站上。它是一款仅适用于 Windows 的管理工具，这意味着它依赖于诸如 WinRM 之类的本地服务通过 PowerShell 协议与远程服务器进行通信。

图 1：使用 Exchange Server 2010 的混合管理

对于混合管理，EMC 为管理员提供向控制台面板添加第二个“树”的功能，以便查看所有收件人、执行邮箱迁移和管理与 Exchange Online 租户相关的组织对象。纯粹的只有 Exchange Online 的部署不需要应用 EMC 进行管理，而是使用简化后的“Exchange 控制面板”(ECP) 控制台，该控制台也是 Exchange Server 2010 中的新增功能。

那么，什么是混合呢？

混合不应被想像成 Exchange 服务器本身的特有产品，而应被视作一种共存状态，这意味着本地服务器以合作的方式与基于 Internet 的服务进行交互。混合的概念并不局限于 Exchange 产品线，也可以在更宽泛的 Microsoft Office 服务器系列中找到，如 SharePoint 和 Lync。

对于 Exchange 混合，通常它表示一组邮箱和策略跨本地和 Office 365 分布以充当一个“虚拟”组织。在上一篇关于混合安装和部署的博客中，您了解到从两个界的角度出发，此共存状态被视作内部部署，例如，在从 Office 365 租户到本地收件人的跨界邮件流期间会自动添加证书，从而导致将传递的邮件信任为源自组织本身内部，尽管实际上是使用专用的混合邮件连接器通过 Internet 到达的。

跨本地和 Office 365 服务组织收件人以满足您组织需求的方式有多种可能性和组合。例如，一个组织可能计划在两年内将其本地的所有收件人均移动到租户，另一个组织会选择将其所有的资源空间邮箱立即添加到 Office 365 租户，而其他组织又会选择使用其联机租户来安全承载他们的联机存档邮箱。关键是我们能够提供灵活多变的混合选择，以满足您的业务需求。

新 Exchange 的混合管理简介

本博文是“根据自己的条件迁移到云 – 第 1 部分”一文的延续，将关注重点放在混合管理的“稳定状态”上，尤其是在最常见的情况下。

为了实现本文的目的，我们将假定下列先决条件均已满足：

至少安装有一个 Exchange Server 2013 客户端访问服务器 (CAS15) 和邮箱服务器 (MBX15) 角色。每种类型均有一个分别或同时驻留在单一服务器上，如在具有上一版 Exchange Server 的互操作性环境中。
Office 365 租户版本必须是 15.0.000.0 或更高版本才能利用 Exchange Server 2013 配置混合部署。请咨询 Office 365 网站了解关于许可和定价计划的最新详情（该链接可能指向英文页面）。
您已通过 Office 365 管理门户启用共存并如上所述执行了所有其他必备步骤，包括证明共存域的所有权。
您拥有访问 Office 365 租户所需的“租户管理员”Microsoft 帐户凭据的访问权限。
所有本地依赖项均已就绪，如已安装 Active Directory 同步。
混合配置向导已成功运行。如果您已在使用包含 Exchange 2010 与 Office 365 的混合，这可能包括升级您先前的混合配置设置。
您没有使用内置的“管理员”收件人帐户。请继续往下看，了解为何不支持将这一点用于混合管理的详细信息。

图 2：用于新 Exchange 的混合配置向导，可从 出自 Ben Appleby 的上一博文查看此向导

新 Exchange 管理中心混合控制台

从下面带注释的指南着手，开始了解新 Exchange 的 Exchange 管理中心 (EAC) 提供的新混合管理控制台：

A) “企业”(ENTERPRISE) 和“OFFICE 365”数据透视表 – 使用这两个数据透视表可在本地部署与联机的 Office 365 租户之间进行切换

B) 显示所有通知的单个整合中央列表，无需考虑通知的来源或您当前所使用的数据透视表，如关于跟踪从本地到 Office 365 的邮箱迁移。

C) 包含两个界中所有收件人的单个列表视图

D) 远程 (Office 365) 承载的邮箱的“详细信息面板”

E) 导航选项卡提供的邮箱迁移入口点

Exchange 混合管理中的新增功能

新 Exchange 混合的理念非常简单：就是为身为管理员的您提供一个熟悉的控制台，您几乎可以从任何位置使用该控制台来管理所有跨界组织。

以下是新增功能的简短列表：

1) 我们为 Exchange 管理员提供一个基于浏览器的功能完备的全新控制台，这意味着将降低确保“管理工具”安装处于最新状态所需的维护成本。只需更新您的 Exchange Server 2013 邮箱服务器即可确保您所有的 EAC 管理处于最新状态。

2) 根据邮箱服务器上的 ECP（EAC 的协议名称）IIS 虚拟目录的安全配置，您可以选择允许外部和内部管理员访问或仅允许内部访问加入域的计算机。

3) 从一个浏览器选项卡，您就可以控制您所有的收件人和组织对象（如地址列表和策略）。

4) 跨所有界的单个整合的 Exchange 通知组。

5) 支持通过 ADFS 2.0 进行单一登录 – 后续我们将推出专门介绍部署和管理单一登录的主题。详情请参阅 Office 365 上的“为单一登录做准备”。

图 4：混合模式的 ADFS 单一登录模块

6) 跨界管理“其他用户…”– 若要执行技术支持方案（如代表在休假的另一个用户设置外出消息），只需使用控制台右上角“显示名称”(Display Name) 旁边的“其他用户…”选项来查看跨所有界的收件人的完整列表。

图 5：管理“其他用户...”合并收件人视图

开始使用 Exchange Server 2013 的混合管理模式

如果您已运行混合配置向导 (HCW) 或直接在 PowerShell 中运行 Update-HybridConfiguration cmdlet，则您使用的正是 EAC 混合模式。实际上，只要您在 EAC 的“混合”(Hybrid) 选项卡中单击“启用”(enable)，系统就会询问您的 Microsoft 帐户凭据，在找到您的租户之后使您回到 EAC，但此时在混合模式下运行。

随后，在成功运行 HCW 之后，您不需要做任何特殊的操作即可进入混合模式。这是因为除了跨界启用邮件流和数据共享（亦称忙/闲）服务之类的主要情景之外，该向导还会在本地创建在出现时即可自动为 EAC 启用混合模式的项目。具体而言，Update-HybridConfiguration（通过 HCW）将创建一个特殊 Remote-Domain 对象，该对象在 EAC 检测到 –TargetDeliveryDomain (TDD) 属性时将自动启动 EAC 混合模式。

在使用混合模式时您会注意到一个最大的不同之处就是当您单击“Office 365”选项卡时，系统将提示您通过 Microsoft 帐户或 ADFS 凭据来登录您的联机租户。请注意，由于性能原因，EAC 会缓存是否使用混合模式以避免在每次登录时都进行检查（缓存状态每 30 分钟会自动刷新一次）。如果您使用 TDD 手动创建了一个远程域并需要立即开始使用混合模式，则您应当在 Exchange Server 2013 邮箱服务器上重新启动 IIS。

图 6：混合配置向导入口点

管理本地互操作性部署中的混合

在管理存在 Exchange 2010 和/或 Exchange 2007 服务器的本地互操作性环境中的混合时，需要注意几个要点。

在互操作性部署中，如果您的管理邮箱不在新的 Exchange 上，则要注意您应当将附加功能与您登录时用于访问部署的 URI 一起使用。大多数情况下，系统不会为您默认添加这些 URI 密钥，但请继续关注可能会带有预置链接的将来版本的详细信息。我们强烈建议将带有任何所需密钥/值对的 URI 设为书签，以便于参考。

互操作性功能	说明
如果您的管理邮箱尚未迁移到新 Exchange，则您必须使用“ExchClientVer=15”密钥/值以确保您被路由到 Exchange Server 2013 邮箱服务器上，而不是邮箱存储驻留的位置。这也适用于没有存储的“邮件用户”帐户。例如： https://contoso.com /ecp?ExchClientVer=15	这也适用于纯粹的本地管理。Exchange Server 2013 客户端访问服务器默认情况下会路由到基于与凭据关联的同一版本邮箱的邮箱服务器。还适用于“邮件用户”，这是因为尽管他们没有邮箱存储，但他们包含对首次创建他们的 SYSTEM 邮箱的引用，除非该邮箱先前已被迁移。当您在本地安装 Exchange Server 2013 时，在该安装程序的最后阶段中，您将找到一个可自动添加“ExchClientVer=15”以帮您轻松导航到 EAC 的链接。
将“cross=1”用作提示以使用 ADFS 身份验证模式进行单一登录例如： https://contoso.com /ecp?ExchClientVer=15&cross=1	共享 OWA 和 ECP 协议身份验证模块需要一个使用 ADFS 模式的提示。请注意，Outlook Web App 虚拟目录当前不支持 ADFS 身份验证方法。

如果您的管理邮箱尚未迁移到新 Exchange，则您必须使用“ExchClientVer=15”密钥/值以确保您被路由到 Exchange Server 2013 邮箱服务器上，而不是邮箱存储驻留的位置。

这也适用于没有存储的“邮件用户”帐户。

例如：

https://contoso.com /ecp?ExchClientVer=15

这也适用于纯粹的本地管理。Exchange Server 2013 客户端访问服务器默认情况下会路由到基于与凭据关联的同一版本邮箱的邮箱服务器。

还适用于“邮件用户”，这是因为尽管他们没有邮箱存储，但他们包含对首次创建他们的 SYSTEM 邮箱的引用，除非该邮箱先前已被迁移。

当您在本地安装 Exchange Server 2013 时，在该安装程序的最后阶段中，您将找到一个可自动添加“ExchClientVer=15”以帮您轻松导航到 EAC 的链接。

将“cross=1”用作提示以使用 ADFS 身份验证模式进行单一登录

例如：

https://contoso.com /ecp?ExchClientVer=15&cross=1

共享 OWA 和 ECP 协议身份验证模块需要一个使用 ADFS 模式的提示。

请注意，Outlook Web App 虚拟目录当前不支持 ADFS 身份验证方法。

要提醒您的是，在 Exchange Server 中使用的内置“管理员”帐户不应该用于混合管理：

尝试使用“管理员”帐户通过 ADFS 进行单一登录 (SSO) 将不会让您管理“Office 365”端的混合部署

此最佳实践适用于互操作性环境和非互操作性环境。

Exchange 内置的“管理员”帐户不是通过 Microsoft Online 目录同步 (DirSync) 在本地和 Office 365 租户之间进行同步的。

如果您尝试使用“管理员”来管理混合租户端，您将看到一条来自 ADFS 的错误，因为 Office 365 中没有对应的“邮件用户”帐户。

“管理员”用户不会按照目录同步规则进行同步，因为在其对象属性中指出：isCriticalSystemObject = TRUE。

在混合模式下管理收件人

“企业”(ENTERPRISE) 数据透视表下的“邮箱”(mailboxes) 选项卡提供了所有收件人的完整列表。在混合模式下创建和管理新收件人时，应当注意几项内容。

在使用混合设置或修改任意收件人时要遵守的简单规则就是始终使用本地“企业”(ENTERPRISE) 端。这是因为 MSO 目录同步服务的同步特性基本是单向的，并确保本地和租户所拥有的所有收件人 Active Directory 详细信息的副本相同。

图 7：本地邮箱标记为 Office 365 租户中的“邮件用户”(Mail Users)

收件人类型	说明
本地用户邮箱	在“企业”(ENTERPRISE) 数据透视表中按正常方式创建。这些将同步到租户，可通过查看“Office 365”中的“联系人”(contacts) 选项卡来验证是否为同步状态，请参见上图，他们在租户中被创建为“邮件用户”(Mail User)。通过将联机反映的用户作为“邮件用户”(Mail User)，可编译一个完整的全局地址列表 (GAL)。
用户在本地拥有主邮箱并在 Office 365 租户上存档邮箱	本地主邮箱的存档邮箱可以在租户上初次创建（请参见下图），也可以从本地迁移。
拥有 Office 365 主邮箱的用户	在“企业”(ENTERPRISE) 端中反映为“Office 365”邮箱。在 PowerShell 中查看时，Get-Mailbox cmdlet 输出的对应于“RecipientTypeDetails”的远程对象类似于具有额外特殊参数（具体而言是 RemoteRoutingAddress）的“邮件用户”(Mail User)，该参数指示 Microsoft Online 目录同步将此“邮件用户”(Mail User) 同步到 Office 365 租户。
邮件联系人和通讯组	这些对象类型将自动同步到 Office 365 端并驻留在两端的同一位置。目前，成员数超过 15,000 的本地组将通过目录同步服务被筛选掉（不同步）。

在 Office 365 中设置新邮箱

若要在混合模式下设置一个新的 Office 365 邮箱，从本地“邮箱”(Mailbox) 选项卡开始，然后在新建图标的下拉列表中选择“Office 365”邮箱类型。在您的租户中创建新的邮箱可能会影响您可用的客户端许可证，可通过使用 Microsoft 帐户凭据从 Office 365 门户中查看可用的许可证和计划。

图 8：创建 Office 365 邮箱

您会注意到在“Office 365”服务端，没有在混合模式下从 EAC 创建邮箱的选项。这样可确保所有新邮箱均在本地部署端设置以便获得完整的收件人副本。您可以直接从 Office 365 门户设置新 Office 365 邮箱，但不应在混合部署中使用此方法，因为此邮箱无法从 Office 365 同步回到本地，因此可能会发生邮件流问题。

也不建议或允许在混合模式下从“Office 365”端修改收件人，因为这样会导致收件人在跨界部署的一端过时。实际上，基于角色的访问控制 (RBAC) 运行时验证规则会阻止此操作，以避免发生副本冲突（请见以下错误消息）。

图 9：阻止在服务端编辑收件人以避免冲突

即将发布更多文章！

我们希望您跟我们一样为 Exchange 管理中心的新混合模式感到兴奋不已！敬请期待即将发布的关于迁移、通过 ADFS 的单一登录和调试混合之类主题的更多文章。

Warren Johnson

这是一篇本地化的博客文章。请访问 The Cloud On Your Terms (PART II): Managing Hybrid 以查看原文

Share via