Distribuzioni ibride con più foreste
Le distribuzioni ibride di Exchange 2013 e successive sono supportate per le organizzazioni con più foreste di Exchange locali e una singola organizzazione di Microsoft 365 o Office 365. Per le funzionalità e le considerazioni sulla distribuzione ibrida, le organizzazioni a più foreste sono definite come organizzazioni con server Exchange distribuiti in più foreste. Le organizzazioni che utilizzano una foresta di risorse per gli account utente ma che mantengono tutti i server di Exchange in una foresta singola, non vengono classificate come organizzazioni a più foreste negli scenari di distribuzione ibrida. Questo tipo di organizzazioni devono considerarsi a foresta singola quando si pianifica e si configura una distribuzione ibrida.
La migrazione delle cartelle pubbliche da un ambiente locale a Microsoft 365 o Office 365 è supportata solo da una singola foresta di Active Directory. Allo stesso modo, l'accesso alle cartelle pubbliche in uno stato ibrido è supportato solo quando le cartelle pubbliche locali sono ospitate in una singola foresta di Active Directory.
Per altre informazioni sulle distribuzioni ibride, vedere Exchange Server distribuzioni ibride.
Importante
Per Exchange 2013 e versioni successive, le distribuzioni ibride richiedono l'aggiornamento cumulativo più recente disponibile per la versione di Exchange installata nell'organizzazione locale.
Se non è possibile installare l'aggiornamento più recente, è supportata anche la versione immediatamente precedente. Le ur e le UR precedenti non sono supportate. Per altre informazioni, vedere Prerequisiti di distribuzione ibrida.
Prerequisiti della distribuzione ibrida a più foreste
I prerequisiti di distribuzione ibrida a più foreste sono quasi identici ai prerequisiti di distribuzione ibrida per un'organizzazione a foresta singola, con le eccezioni seguenti:
Individuazione automatica: ogni foresta di Exchange deve essere autorevole per almeno uno spazio dei nomi SMTP e lo spazio dei nomi di individuazione automatica corrispondente. Nel caso in cui siano presenti domini condivisi tra più foreste di Exchange, sia l'instradamento della posta che l'endpoint di individuazione automatica devono essere configurati e funzionare correttamente nelle foreste di Exchange, prima di configurare la distribuzione automatica a più foreste. Il servizio Office 365 deve essere in grado di eseguire query del servizio di individuazione automatica in ogni foresta di Exchange.
Certificati: tutte le distribuzioni ibride richiedono un certificato digitale emesso da un'autorità di certificazione di terze parti attendibile. Per una distribuzione ibrida a più foreste, non è possibile utilizzare un certificato digitale singola per più foreste di Active Directory. Ogni foresta deve utilizzare un apposito certificato rilasciato da un'Autorità di certificazione affinché il trasporto sicuro della posta elettronica funzioni correttamente in una distribuzione ibrida. Il certificato utilizzato per le funzionalità di distribuzione ibrida per ogni foresta all'interno di un'organizzazione a più foreste deve essere differente in almeno una delle seguenti proprietà:
Nome comune: il nome comune (CN) del certificato digitale fa parte dell'oggetto del certificato. Tale nome deve corrispondere all'host autenticato e di solito rappresenta il nome host esterno per il server Accesso client nella foresta di Active Directory. Ad esempio, mail.contoso.com. Si consiglia di utilizzare il nome comune come la proprietà discriminante tra i certificati di Active Directory utilizzati nelle distribuzioni ibridi a più foreste.
Autorità di certificazione: autorità di certificazione di terze parti che ha verificato le informazioni sull'organizzazione e ha emesso il certificato. Ad esempio, VeriSign o Go Daddy. Come esempio in una distribuzione ibrida a più foreste, una foresta avrebbe un certificato emesso da VeriSign e una foresta avrebbe un certificato emesso da Go Daddy.
Importante
Il certificato installato nei server Cassette postali e Accesso client (e Trasporto Edge, se distribuito) in ogni foresta di Active Directory usata per il trasporto della posta nella distribuzione ibrida deve essere emesso dalla stessa CA e avere lo stesso nome comune.
In un server Trasporto Edge, se il nome comune del certificato e il nome dell'autorità di certificazione non corrispondono, è possibile impostarli manualmente nel connettore di ricezione usando i comandi seguenti:
$cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate" $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)" Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatenameServer Exchange: almeno un server Exchange 2013 con il ruolo del server Accesso client o un server Exchange 2016 o versione successiva con il ruolo Cassetta postale, deve essere installato in ogni foresta di Active Directory configurata per la distribuzione ibrida.
In Exchange 2013, il server Accesso client è l'endpoint di trasporto della posta sicura in ingresso per il servizio Exchange Online Protection (EOP) incluso nel servizio dell'organizzazione Microsoft 365 o Office 365 e consente l'esecuzione della configurazione guidata ibrida nella foresta di Active Directory. Inoltre, almeno un server di Exchange con il ruolo server Cassette postali deve essere installato in ogni foresta di Active Directory configurata per la distribuzione ibrida. Il server Cassette postali di Exchange 2013 è l'endpoint di trasporto della posta sicura in uscita per i messaggi inviati al servizio EOP e all'organizzazione Exchange Online.
In Exchange 2016 e versioni successive, il ruolo server Cassetta postale gestisce tutto il trasporto sicuro in ingresso e in uscita tra l'organizzazione locale e ed Exchange Online.
Pianificazione dello spazio dei nomi: ogni foresta in cui si installa Exchange richiede un proprio spazio dei nomi univoco individuabile esternamente. Lo spazio dei nomi univoco di una foresta verrà specificato nella configurazione guidata ibrida quando viene eseguito in ogni foresta.
Sincronizzazione di Active Directory: tutte le distribuzioni ibride richiedono la sincronizzazione di Active Directory con Microsoft 365 o Office 365. Se l'azienda ha già configurato la sincronizzazione di Active Directory tra l'organizzazione locale a più foreste e Microsoft 365 o Office 365 usando Forefront Identity Manager, è possibile usare Microsoft Entra Connect.
Single Sign-On: anche se non è un requisito per le distribuzioni ibride con singole foreste di Active Directory, gli amministratori possono scegliere di configurare un server SSO in ogni foresta di Active Directory o di configurare un singolo server SSO se è configurato un trust tra foreste bidirezionali tra le foreste locali. È possibile utilizzare la sincronizzazione AD FS o con password per consentire un'esperienza di autenticazione semplice.
Per ulteriori informazioni, vedere Accesso Single Sign-On con distribuzioni ibride.
Per un elenco completo dei prerequisiti della distribuzione ibrida, vedere Prerequisiti per la distribuzione ibrida
Scenario di distribuzione ibrida a più foreste
Nello scenario seguente. Si tratta di una topologia di esempio che offre una panoramica di una distribuzione tipica di Exchange 2013. Contoso, Ltd. è un'organizzazione multi-foresta e multidominio con due foreste active directory. Nella foresta A è presente il dominio contoso.com e nella foresta B è contenuto il dominio sale.contoso.com. Ognuno contiene controller di dominio in ogni foresta, un server Exchange 2013 con il ruolo Accesso client installato e un server Exchange 2013 con il ruolo del server Cassette postali installato. Gli utenti contoso remoti usano Outlook Web App per connettersi a Exchange 2013 tramite Internet per controllare le cassette postali e accedere al calendario di Outlook.
Si supponga di essere l'amministratore di rete di Contoso e di essere interessati a configurare una distribuzione ibrida. Si distribuisce e si configura un server di sincronizzazione Active Directory obbligatorio nella foresta A e si decide anche di distribuire un server Active Directory Federation Services (AD FS) come opzione per ridurre al minimo il numero di richieste di credenziali dell'account per gli utenti e gli amministratori di Contoso che accedono a Microsoft 365 o Office 365 nella foresta A. Dopo aver completato i prerequisiti di distribuzione ibrida e aver usato la Configurazione guidata ibrida per selezionare le opzioni per la distribuzione ibrida, la nuova topologia ha la configurazione seguente:
Gli utenti utilizzeranno le credenziali dell'account di rete esistente per accedere all'organizzazione locale e a quella di Exchange Online ("Single Sign-On").
Le cassette postali degli utenti che si trovano in locale e nell'organizzazione Exchange Online useranno più domini di indirizzi di posta elettronica. Ad esempio, le cassette postali che si trovano nella foresta A in locale e alcune cassette postali che si trovano nell'organizzazione Exchange Online useranno @contoso.com negli indirizzi di posta elettronica e nelle cassette postali degli utenti nella foresta B e alcune cassette postali presenti nell'organizzazione Exchange Online useranno @sales.contoso.com.
Tutta la posta viene recapitata in Internet dall'organizzazione locale. Tale organizzazione controlla il trasporto di tutti i messaggi e costituisce un punto di inoltro per l'organizzazione di Exchange Online ("trasporto centralizzato della posta").
Gli utenti dell'organizzazione locale e dell'organizzazione di Exchange Online possono condividere le informazioni di disponibilità del calendario. Le relazioni dell'organizzazione configurate per entrambe le organizzazioni consentono inoltre la verifica dei messaggi cross-premise, Suggerimenti messaggio e la ricerca di messaggi.
Gli utenti dell'organizzazione locale e dell'organizzazione di Exchange Online utilizzano lo stesso URL per connettersi alle cassette postali via Internet.
Se si confronta la configurazione dell'attuale organizzazione di Contoso con la configurazione della distribuzione ibrida, è possibile notare che in quest'ultima sono stati aggiunti server e servizi che supportano una maggiore comunicazione e funzionalità condivise tra l'organizzazione locale e l'organizzazione di Exchange Online. Di seguito è illustrata una panoramica delle modifiche che la distribuzione ibrida ha apportato rispetto all'organizzazione Exchange locale iniziale.
| Configurazione | Prima della distribuzione ibrida | Dopo la distribuzione ibrida |
|---|---|---|
| Posizione delle cassette postali | Solo cassette postali locali. | Cassette postali locali e in Exchange Online. |
| Trasporto dei messaggi | I server Accesso client locali gestiscono tutto il routing dei messaggi in entrata e in uscita. | Il server Accesso client locale gestisce il routing dei messaggi interni fra l'organizzazione locale e l'organizzazione di Exchange Online. |
| Outlook Web App | Il server Accesso client locale riceve tutte le richieste di Outlook Web App e visualizza le informazioni della cassetta postale. | Il server Accesso client locale reindirizza le richieste di Outlook Web App al server Cassette postali di Exchange 2013 locale oppure fornisce un collegamento per accedere all'organizzazione di Exchange Online. |
| Elenco indirizzi globale unificato per entrambe le organizzazioni | Non applicabile; solo organizzazione singola. | Il server di sincronizzazione con Active Directory locale replica le informazioni di Active Directory per gli oggetti abilitati alla posta nell'organizzazione di Exchange Online. |
| Single-Sign on utilizzato per entrambe le organizzazioni | Non applicabile; solo organizzazione singola. | Il server Active Directory Federation Services locale (AD FS) supporta l'uso di credenziali di accesso Single Sign-On per le cassette postali locali o nell'organizzazione microsoft 365 o Office 365. |
| Relazione organizzativa stabilita e trust federativo con Microsoft Entra sistema di autenticazione | È possibile configurare relazioni di trust con il sistema di autenticazione Microsoft Entra e le relazioni dell'organizzazione con altre organizzazioni di Exchange federate. | È necessaria una relazione di trust con il sistema di autenticazione Microsoft Entra. Le relazioni organizzative vengono stabilite tra l'organizzazione locale e l'organizzazione di Exchange Online. |
| Condivisione informazioni sulla disponibilità | Condivisione delle informazioni sulla disponibilità solo tra gli utenti locali. | Condivisione delle informazioni sulla disponibilità tra gli utenti locali e di Exchange Online. |
Configurazione delle distribuzioni ibride il organizzazioni a più foreste
Per configurare una distribuzione ibrida per un'organizzazione a più foreste, è necessario effettuare la procedura di base riportata di seguito:
Verificare che siano stati soddisfatti i prerequisiti della distribuzione ibrida. Vedere i prerequisiti elencati in precedenza in questo argomento e Prerequisiti per la distribuzione ibrida. In genere, una sola foresta richiede un server di sincronizzazione Active Directory installato. Per altre informazioni, vedere Topologie per Microsoft Entra Connect.
Ottenere un certificato da un'Autorità di certificazione di terze parti per ogni foresta di Active Directory che soddisfa i requisiti elencati nella sezione precedente di questo argomento.
Installare il certificato su tutti i server Cassette postali e Accesso client di Exchange 2013 o su tutti i server Cassette postali di Exchange 2016 in ogni foresta.
Per la foresta principale, effettuare la procedura descritta nell'argomento Creare una distribuzione ibrida con la procedura guidata di configurazione ibrida.
Importante
Assicurarsi di selezionare il certificato designato per la foresta principale nella procedura guidata di configurazione ibrida e selezionare il dominio SMTP principale per la foresta.
Per la foresta secondaria, effettuare la procedura descritta nell'argomento Creare una distribuzione ibrida con la procedura guidata di configurazione ibrida.
Importante
Assicurarsi di selezionare il certificato designato per la foresta secondaria nella procedura guidata di configurazione ibrida e selezionare il dominio SMTP principale per la foresta.