Administración de destinatarios en entornos híbridos de Exchange mediante herramientas de administración

Si mantiene un servidor exchange local solo para la administración de destinatarios en entornos híbridos de Exchange, incluso después de mover todos los destinatarios a Exchange Online, es posible que pueda apagar el último servidor exchange y administrar destinatarios mediante Windows PowerShell.

Anteriormente, incluso después de mover todos los buzones a Exchange Online, todavía necesitaba un servidor Exchange local para administrar esos atributos de destinatarios en la nube. Editó los destinatarios en un servidor de Exchange en el Active Directory local y sus atributos se copiaron en Microsoft Entra identificador mediante la sincronización de directorios. Todavía puede usar este método para administrar los destinatarios, incluso si todos están en la nube. Apagar el servidor exchange es completamente opcional.

Nota:

No puede modificar los destinatarios locales directamente en Microsoft Entra id. o Exchange Online, por lo que todavía necesita una sincronización de directorios y un servidor exchange local mediante la sincronización en la nube o Microsoft Entra herramienta Connect. Para obtener más información, consulte Por qué es posible que no quiera retirar los servidores de Exchange del entorno local.

¿Funcionará este nuevo método para mí?

Una versión actualizada de las Herramientas de administración de Exchange puede eliminar la necesidad de ejecutar un servidor exchange local si se cumplen todas las instrucciones siguientes:

• Ha migrado todos los buzones de correo y carpetas públicas a Exchange Online (sin destinatarios de Exchange locales).
• Usa AD para la administración de destinatarios y la sincronización en la nube o Microsoft Entra Connect para la sincronización.
• No se usa ni se requiere el centro de administración de Exchange local o el control de acceso basado en rol (RBAC) de Exchange.
• Le resulta cómodo usar Windows PowerShell solo para la administración de destinatarios.
• No es necesario auditar ni registrar la actividad de administración de destinatarios.
• Solo ejecuta un servidor exchange local y solo para la administración de destinatarios.
• Quiere administrar los destinatarios sin ejecutar ningún servidor de Exchange.

Use el programa de instalación de Exchange en la actualización acumulativa 12 de Exchange 2019 o posterior para instalar las herramientas de administración más recientes en cualquier equipo unido a un dominio (cliente o servidor). Para obtener instrucciones, consulte Instalación de las herramientas de administración de Exchange.

Advertencia

NO desinstale el último servidor. Puede optar por apagar el servidor y usar el script para limpiar, pero NO desinstalar. Al desinstalar el servidor, se quita la información crítica de Active Directory que interrumpe la capacidad del paquete de herramientas de administración para administrar los atributos de Exchange. Más información aquí: Importante: Tenga en cuenta

Con las herramientas de administración de Exchange actualizadas, los administradores de dominio y los miembros del grupo emt de administración de destinatarios (creados a continuación en el paso 6) pueden usar Windows PowerShell para ejecutar los siguientes cmdlets sin un servidor Exchange en ejecución:

• Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser y Enable-MailUser.
• Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact y Enable-MailContact.
• Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox y Enable-RemoteMailbox.
• Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup y Enable-DistributionGroup (excepto Upgrade-DistributionGroup).
• Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember y Update-DistributionGroupMember.
• Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy y Update-EmailAddressPolicy.
• Set-User y Get-User.

Nota:

No se pueden modificar los destinatarios locales directamente en Microsoft Entra identificador o Exchange Online.

Compruebe que las herramientas de administración se pueden ejecutar sin Exchange Server

Si el entorno incluye un único servidor Exchange que se ejecuta únicamente para la administración de destinatarios en la nube, siga los pasos de esta sección para probar la actualización de herramientas de administración.

Preparación del entorno de Exchange

1. Compruebe que todos los buzones están en la nube ejecutando los siguientes comandos en el Shell de administración de Exchange:

   Set-AdServerSettings -ViewEntireForest $true
   Get-Mailbox
   

   Nota:

   De forma predeterminada, los buzones de administración integrados no se sincronizan con la nube mediante la sincronización en la nube ni Microsoft Entra Connect. Antes de continuar, debe deshabilitar estos buzones mediante Disable-Mailbox.

2. Compruebe que el dominio de coexistencia de inquilinos de Exchange Online (normalmente algo parecido a "contoso.mail.onmicrosoft.com") está configurado como dominio de entrega de destino mediante la ejecución del siguiente comando:

   Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain
   

   Si el dominio de coexistencia no se agrega como dominio remoto, puede agregarlo mediante New-RemoteDomain. Por ejemplo:

   New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'
   

   Si no se establece como dominio de entrega de destino, puede establecerlo mediante Set-RemoteDomain. Por ejemplo:

   Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'
   

   Nota:

   Si ya quitó el último servidor de Exchange o nunca lo tuvo, puede acceder a los cmdlets Set-RemoteDomain y New-RemoteDomain a través del complemento de Exchange. Instale las herramientas de administración de Exchange desde la última actualización acumulativa de Exchange Server 2019 en cualquier equipo unido a un dominio y ejecute el siguiente comando en Windows PowerShell:

   Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
   

   Este método de habilitar manualmente el complemento de Exchange solo se admite para este caso específico.

   La instalación de las herramientas de administración de Exchange en un entorno que nunca tuvo un Exchange Server creará una nueva organización de Exchange y preparará Active Directory para Exchange. Si tiene una implementación de AD grande o si un equipo independiente administra AD, siga estos pasos: Preparación de Active Directory y dominios para Exchange Server para preparar AD.

3. Instale el rol Herramientas de administración de Exchange mediante el programa de instalación de actualización acumulativa de Exchange Server 2019 de abril de 2022. Las herramientas actualizadas se pueden instalar en cualquier equipo unido a un dominio en una organización de Exchange de Exchange 2013 o posterior.

   Nota:

   La instalación de las herramientas de administración de Exchange actualizadas en un entorno con Solo Exchange 2013 o Exchange 2016 actualizará la organización de Exchange a Exchange Server 2019 y realizará una actualización de esquema de AD. Si tiene una implementación de AD grande o si un equipo independiente administra AD, siga estos pasos: Preparación de Active Directory y dominios para Exchange Server para realizar la actualización del esquema.

4. Instale las Herramientas de administración remota del servidor de Windows siguiendo los pasos de este artículo: Instalar, desinstalar y desactivar o activar herramientas RSAT.

5. Si tiene habilitado el Agente de scripting, copie ScriptingAgentConfig.xml de $env:ExchangeInstallPath\Bin\CmdletExtensionAgents en el Exchange Server, a la carpeta $env:ExchangeInstallPath\Bin\CmdletExtensionAgents del equipo con la actualización herramientas de administración instalada.

6. Ejecute el script proporcionado para crear el grupo de seguridad EMT administración de destinatarios que concede a los usuarios sin derechos de administrador de dominio para administrar destinatarios.

   1. Inicie sesión en el equipo con la actualización herramientas de administración como un Administración de dominio y abra Windows PowerShell.

   2. Cargue el complemento Administración de destinatarios mediante la ejecución del siguiente comando:

      Add-PSSnapin *RecipientManagement
      

   3. Ejecute Add-PermissionForEMT.ps1 desde la carpeta $env:ExchangeInstallPath\Scripts. El script crea un grupo de seguridad denominado Administración de destinatarios EMT. Los miembros de este grupo tienen permisos de administración de destinatarios. Todos los administradores sin derechos de administrador de dominio que necesiten realizar la administración de destinatarios deben agregarse a este grupo de seguridad.

7. Inicie sesión en el equipo con la actualización herramientas de administración con los permisos adecuados (administrador de dominio o miembro de Recipient Management EMT) y cargue el complemento Administración de destinatarios mediante la ejecución de:

   Add-PSSnapin *RecipientManagement
   

   Debe realizar este paso cada vez que administre destinatarios.

8. Pruebe todos los cmdlets de administración de destinatarios y compruebe que ve los resultados esperados.

Nota:

Los cmdlets a los que se accede a través de PowerShell Snapin como RecipientManagement tendrán una diferencia en los tipos de datos de salida en comparación con cuando se ejecuten mediante New-PSSession. Esto se espera y los scripts que se basan en los tipos de datos de los cmdlets deben modificarse en consecuencia.

Por ejemplo, (Get-Mailbox User).EmailAddresses.GetType() cuando se usa a través RecipientManagement SnapIn de producirá el tipo de datos como ProxyAddressCollection, donde como el mismo cmdlet cuando se ejecuta en una PSSession producirá el tipo de datos como ArrayList.

9. Apague el último servidor de Exchange y compruebe que todos los cmdlets de administración de destinatarios siguen funcionando según lo esperado.

Cerrar permanentemente la última Exchange Server

Si tiene previsto apagar permanentemente la última Exchange Server, le recomendamos que siga estos pasos para limpiar y mejorar la posición de seguridad del entorno.

Importante

Si usa el último servidor de Exchange para cualquier propósito que no sea la administración de destinatarios (para la distribución de mapas, retransmisión SMTP), no lo apague.

1. Active el último servidor de Exchange.

2. Para limpiar la configuración híbrida, realice los pasos 1 a 8 del escenario 2 en Cómo y cuándo retirar los servidores de Exchange locales en una implementación híbrida.

3. Para quitar la confianza de federación, ejecute el siguiente comando en el Shell de administración de Exchange:

   Remove-FederationTrust "Microsoft Federation Gateway"
   

4. Quitar el certificado de federación: para buscar la huella digital del certificado, ejecute:

   $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint
   

   Para quitar la huella digital del certificado, ejecute:

   Remove-ExchangeCertificate -Thumbprint $fedThumbprint
   

5. Quite las credenciales de entidad de servicio creadas para OAuth. Para ello, debe determinar qué KeyId coincide con el valor de clave del certificado de OAuth. Para buscar el KeyId que coincida, siga estos pasos:

   1. Ejecute estos comandos en el Shell de administración de Exchange para obtener credValue de OAuth:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      

   2. Busque el KeyId que es el mismo que el $credValue se encontró anteriormente, ejecute los siguientes comandos como administrador de inquilinos mediante Microsoft Graph PowerShell.

      Import-Module Microsoft.Graph.Applications
      Connect-MgGraph -Scopes "Application.Read.All"
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MgServicePrincipalByAppId -AppId $ServiceName
      $keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId
      

      Esto proporciona el KeyId de la clave cuyo valor coincide con el $credValue se encontró anteriormente.

   3. Para quitar la credencial de la entidad de servicio, ejecute el siguiente comando:

      Import-Module Microsoft.Graph.Applications
      $params = @{
      KeyId = $keyId
      }
      Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params
      

6. Desinstale el agente híbrido. Si el entorno tiene una configuración híbrida moderna, siga los pasos que se indican a continuación para quitarlo.

   1. En el equipo donde está instalado el Agente híbrido, abra el Shell de administración de Exchange y cambie el directorio a la ubicación del script C:\Archivos de programa\Microsoft Hybrid Service\HybridManagement.psm1 e importe el módulo de PowerShell del Agente híbrido.

      Import-Module .\HybridManagement.psm1
      

   2. Para quitar la aplicación, se requiere un AppId. Use cualquiera de los siguientes cmdlets en Exchange Online PowerShell para buscar el AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      El resultado tiene este aspecto:

      TargetSharingEpr
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      O bien, ejecute:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      El resultado tiene este aspecto:

      RemoteServer
      ------------
      6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
      

      En este ejemplo, 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 es el AppId que se usará en el paso siguiente.

   3. Para quitar la aplicación, ejecute:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
      

      Nota:

      AppId es 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 solo para este ejemplo; su valor será diferente.

   4. Desinstale el agente híbrido siguiendo estos pasos: Desinstale el agente híbrido.

7. Si aún no lo ha hecho, apunte los registros DNS MX y Autodiscover a Exchange Online. Este paso es importante para asegurarse de que el flujo de correo no se ve afectado. Para obtener más información, vea Registros del sistema de nombres de dominio externo para Office 365.

8. Apague el último servidor exchange.

Limpieza de Active Directory

Si planea nunca volver a ejecutar un servidor exchange local, se recomienda limpiar Active Directory quitando objetos de Exchange innecesarios.

Advertencia

Este paso no se puede deshacer. Continúe solo si no desea volver a ejecutar Exchange Server.

La limpieza de AD se puede realizar mediante la ejecución del script CleanupActiveDirectoryEMT incluido con las herramientas de administración. El script quita buzones del sistema, contenedores de Exchange innecesarios, permisos para grupos de seguridad de Exchange en las particiones de dominio y configuración y los grupos de seguridad de Exchange. Debe ejecutar este script con credenciales de administrador de dominio.

Este script está disponible en: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Importante: Tenga en cuenta

Advertencia

Una vez que apague el último servidor exchange, Exchange RBAC dejará de funcionar. Los usuarios que formaban parte de grupos de destinatarios de Exchange o tenían roles de Exchange personalizados que permiten la administración de destinatarios ya no tendrán permiso. Solo los administradores de dominio y los usuarios a los que se les asigna el permiso mediante Add-PermissionForEMT.ps1 el script podrán realizar la administración de destinatarios.

Una vez que apague el último servidor exchange y realice los pasos de limpieza híbrido y de Active Directory de Exchange como se describió anteriormente, debe borrar y volver a formatear el último servidor de Exchange. No desinstale el Exchange Server.

Actualice el rol solo de las herramientas de administración de Exchange Server (sin Exchange Server en ejecución) a una actualización acumulativa o de seguridad más reciente.

Ha seguido los pasos de este artículo para quitar la última Exchange Server y solo usa el rol de herramientas de administración para la administración de objetos híbridos.

Actualizar las herramientas de administración a una actualización acumulativa (CU) más reciente

En estos entornos, si actualiza el servidor de rol solo de herramientas de administración a cu más reciente, puede producirse el siguiente error:

Active Directory debe estar preparado con "Setup /PrepareAD" para que Exchange Server herramientas de administración se puedan actualizar a un CU más reciente.

Para actualizar las herramientas de administración a una cu más reciente, siga estos pasos:

1. Use el siguiente comando para realizar PrepareAD:

   .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

2. Use el siguiente comando para actualizar el rol de solo herramientas de administración:

   .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

3. Si anteriormente se había ejecutado .\CleanupActiveDirectoryEMT.ps1 en el entorno según Administrar destinatarios en entornos híbridos de Exchange mediante herramientas de administración, vuelva a ejecutar el .\CleanupActiveDirectoryEMT.ps1 script (porque /PrepareAD ha vuelto a crear algunos objetos que quita).CleanupActiveDirectoryEMT.ps1

Advertencia

Asegúrese de que está ejecutando CleanupActiveDirectoryEMT.ps1 script SOLO en el entorno donde ya ha seguido Administrar destinatarios en entornos híbridos de Exchange mediante herramientas de administración y que el script ya se ejecutó antes (y no hay servidores de Exchange en ejecución). No se puede deshacer esta acción.

Actualizar las herramientas de administración a una actualización de seguridad (SU) más reciente

Descargue el paquete de actualización de seguridad y ejecútelo para actualizar el rol de herramientas de administración a una SU más reciente.