Condividi tramite

Gestire i destinatari in ambienti ibridi di Exchange usando gli strumenti di gestione

  • Articolo

Se si gestisce un server Exchange locale solo per la gestione dei destinatari negli ambienti ibridi di Exchange, anche dopo aver spostato tutti i destinatari in Exchange Online, potrebbe essere possibile arrestare l'ultimo server Exchange e gestire i destinatari usando Windows PowerShell.

In precedenza, anche dopo aver spostato tutte le cassette postali in Exchange Online, era comunque necessario un server Exchange locale per gestire gli attributi dei destinatari cloud. I destinatari sono stati modificati in un server Exchange nel Active Directory locale e i relativi attributi sono stati copiati in Microsoft Entra ID usando la sincronizzazione della directory. È comunque possibile usare questo metodo per gestire i destinatari, anche se sono tutti nel cloud. L'arresto del server Exchange è completamente facoltativo.

Nota

Non è possibile modificare i destinatari locali direttamente in Microsoft Entra ID o Exchange Online, quindi è comunque necessaria una sincronizzazione di server Exchange e directory locale tramite lo strumento di sincronizzazione cloud o Microsoft Entra Connect. Per altre informazioni, vedere Perché potrebbe non voler rimuovere i server Exchange dall'ambiente locale.

Questo nuovo metodo funzionerà per me?

Una versione aggiornata degli strumenti di gestione di Exchange può eliminare la necessità di eseguire un server Exchange locale se tutte le istruzioni seguenti sono vere:

  • È stata eseguita la migrazione di tutte le cassette postali e delle cartelle pubbliche a Exchange Online (nessun destinatario di Exchange locale).
  • Ad viene usato per la gestione dei destinatari e la sincronizzazione cloud o Microsoft Entra Connect per la sincronizzazione.
  • Non è necessario usare o richiedere l'interfaccia di amministrazione di Exchange locale o il controllo degli accessi in base al ruolo di Exchange.
  • È possibile usare Windows PowerShell solo per la gestione dei destinatari.
  • Non è necessario il controllo o la registrazione dell'attività di gestione dei destinatari.
  • Si esegue solo un server Exchange locale e solo per la gestione dei destinatari.
  • Si desidera gestire i destinatari senza eseguire alcun server Exchange.

Usare l'installazione di Exchange in Exchange 2019 Cumulative Update 12 o versione successiva per installare gli strumenti di gestione più recenti in qualsiasi computer aggiunto a un dominio (client o server). Per istruzioni, vedere Installare gli strumenti di gestione di Exchange.

Avviso

NON disinstallare l'ultimo server. È possibile scegliere di arrestare il server e usare lo script per eseguire la pulizia, ma NON disinstallare. La disinstallazione del server rimuove le informazioni critiche da Active Directory che impediscono al pacchetto dello strumento di gestione di gestire gli attributi di Exchange. Altre informazioni sono disponibili qui: Importante: Essere consapevoli

Con gli strumenti di gestione di Exchange aggiornati, gli amministratori di dominio e i membri del gruppo EMT di gestione dei destinatari (creato tramite il passaggio 6 seguente) possono usare Windows PowerShell per eseguire i cmdlet seguenti senza un server Exchange in esecuzione:

  • Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser e Enable-MailUser.
  • Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact e Enable-MailContact.
  • Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox e Enable-RemoteMailbox.
  • Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup e Enable-DistributionGroup (escluso Upgrade-DistributionGroup).
  • Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember e Update-DistributionGroupMember.
  • Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy e Update-EmailAddressPolicy.
  • Set-User e Get-User.

Nota

Non è possibile modificare i destinatari locali direttamente nell Microsoft Entra ID o Exchange Online.

Verificare che gli strumenti di gestione possano essere eseguiti senza Exchange Server

Se l'ambiente include un singolo server Exchange in esecuzione esclusivamente per la gestione dei destinatari cloud, usare i passaggi descritti in questa sezione per testare l'aggiornamento degli strumenti di gestione.

Preparare l'ambiente exchange

  1. Verificare che tutte le cassette postali si trovino nel cloud eseguendo i comandi seguenti in Exchange Management Shell:

    Set-AdServerSettings -ViewEntireForest $true
Get-Mailbox

    Nota

    Per impostazione predefinita, le cassette postali di amministrazione predefinite non vengono sincronizzate nel cloud tramite sincronizzazione cloud o Microsoft Entra Connect. Prima di procedere, è consigliabile disabilitare queste cassette postali usando Disable-Mailbox.

  2. Verificare che il dominio di coesistenza del tenant Exchange Online (in genere simile a "contoso.mail.onmicrosoft.com") sia configurato come dominio di recapito di destinazione eseguendo il comando seguente:

    Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain

    Se il dominio di coesistenza non viene aggiunto come dominio remoto, è possibile aggiungerlo usando New-RemoteDomain. Ad esempio:

    New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'

    Se non è impostato come dominio di recapito di destinazione, è possibile impostarlo usando Set-RemoteDomain. Ad esempio:

    Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'

    Nota

    Se l'ultimo server Exchange è già stato rimosso o non ne è mai stato installato uno, è possibile accedere ai cmdlet Set-RemoteDomain e New-RemoteDomain tramite lo snapin di Exchange. Installare gli strumenti di gestione di Exchange dall'ultimo aggiornamento cumulativo per Exchange Server 2019 in qualsiasi computer aggiunto a un dominio ed eseguire il comando seguente in Windows PowerShell:

    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn

    Questo metodo di abilitazione manuale dello snapin di Exchange è supportato solo per questo caso specifico.

    L'installazione degli strumenti di gestione di Exchange in un ambiente che non ha mai avuto un Exchange Server creerà una nuova organizzazione di Exchange e preparerà Active Directory per Exchange. Se si dispone di una distribuzione di Active Directory di grandi dimensioni o se un team separato gestisce Active Directory, seguire questa procedura: Preparare Active Directory e i domini per Exchange Server per preparare Active Directory.

  3. Installare il ruolo Strumenti di gestione di Exchange usando l'installazione dell'aggiornamento cumulativo di aprile 2022 Exchange Server 2019. Gli strumenti aggiornati possono essere installati in qualsiasi computer aggiunto a un dominio in un'organizzazione di Exchange 2013 o successiva.

    Nota

    L'installazione degli strumenti di gestione di Exchange aggiornati in un ambiente con solo Exchange 2013 e/o Exchange 2016 aggiornerà l'organizzazione di Exchange a Exchange Server 2019 e eseguirà un aggiornamento dello schema di Active Directory. Se si dispone di una distribuzione di Active Directory di grandi dimensioni o se un team separato gestisce ACTIVE Directory, seguire questa procedura: Preparare Active Directory e i domini per Exchange Server per eseguire l'aggiornamento dello schema.

  4. Installare Gli strumenti di amministrazione remota di Windows Server usando la procedura descritta in questo articolo: Installare, disinstallare e disattivare/attivare gli strumenti di Amministrazione remota del server.

  5. Se l'agente di scripting è abilitato, copiare ScriptingAgentConfig.xml dalla cartella $env:ExchangeInstallPath\Bin\CmdletExtensionAgents nel Exchange Server nella cartella $env:ExchangeInstallPath\Bin\CmdletExtensionAgents nel computer in cui è installato l'aggiornamento degli strumenti di gestione.

  6. Eseguire lo script fornito per creare il gruppo di sicurezza EMT gestione destinatari che concede agli utenti senza diritti di amministratore di dominio di gestire i destinatari.

    1. Accedere al computer con gli strumenti di gestione aggiornati come Amministrazione di dominio e aprire Windows PowerShell.

    2. Caricare lo snap-in Gestione destinatari eseguendo il comando seguente:

      Add-PSSnapin *RecipientManagement

    3. Eseguire Add-PermissionForEMT.ps1 dalla cartella $env:ExchangeInstallPath\Scripts. Lo script crea un gruppo di sicurezza denominato Gestione destinatari EMT. I membri di questo gruppo dispongono di autorizzazioni di gestione dei destinatari. Tutti gli amministratori senza diritti di amministratore di dominio devono eseguire la gestione dei destinatari devono essere aggiunti a questo gruppo di sicurezza.

  7. Accedere al computer con l'aggiornamento degli strumenti di gestione con le autorizzazioni appropriate (amministratore di dominio o membro di Gestione destinatari EMT) e caricare lo snap-in Gestione destinatari eseguendo:

    Add-PSSnapin *RecipientManagement

    È necessario eseguire questo passaggio ogni volta che si gestiscono i destinatari.

  8. Testare tutti i cmdlet di gestione dei destinatari e verificare di visualizzare i risultati previsti.

Nota

I cmdlet a cui si accede tramite Snapin di PowerShell come RecipientManagement avranno una differenza nei tipi di dati di output rispetto a quando vengono eseguiti usando New-PSSession. Ciò è previsto e tutti gli script che si basano sui tipi di dati dei cmdlet devono essere modificati di conseguenza.

Ad esempio, (Get-Mailbox User).EmailAddresses.GetType() se usato tramite RecipientManagement SnapIn produrrà il tipo di dati come ProxyAddressCollection, dove come lo stesso cmdlet quando viene eseguito in una sessione PSSession restituirà il tipo di dati come ArrayList.

  1. Arrestare l'ultimo server Exchange e verificare che tutti i cmdlet di gestione dei destinatari funzionino ancora come previsto.

Arresto permanente dell'ultimo Exchange Server

Se si intende arrestare definitivamente l'ultimo Exchange Server, è consigliabile seguire questa procedura per pulire e migliorare il comportamento di sicurezza dell'ambiente.

Importante

Se si usa l'ultimo server Exchange per qualsiasi scopo diverso dalla gestione dei destinatari (per l'inoltro SMTP exmaple), non arrestarlo.

  1. Attivare l'ultimo server Exchange.

  2. Pulire la configurazione ibrida eseguendo i passaggi da 1 a 8 per lo scenario 2 in Come e quando rimuovere le autorizzazioni dei server Exchange locali in una distribuzione ibrida.

  3. Rimuovere l'attendibilità federativa eseguendo il comando seguente in Exchange Management Shell:

    Remove-FederationTrust "Microsoft Federation Gateway"

  4. Rimuovere il certificato federativo: per trovare l'identificazione personale del certificato, eseguire:

    $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint

    Per rimuovere l'identificazione personale del certificato, eseguire:

    Remove-ExchangeCertificate -Thumbprint $fedThumbprint

  5. Rimuovere le credenziali dell'entità servizio create per OAuth. A tale scopo, è necessario determinare quale KeyId corrisponde al valore della chiave del certificato OAuth. Per trovare il KeyId corrispondente, seguire questa procedura:

    1. Eseguire questi comandi in Exchange Management Shell per ottenere OAuth credValue:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$credValue = [System.Convert]::ToBase64String($certBytes)

    2. Trovare il KeyId uguale al $credValue precedente, eseguire i comandi seguenti come amministratore tenant usando Microsoft Graph PowerShell.

      Import-Module Microsoft.Graph.Applications
Connect-MgGraph -Scopes "Application.Read.All"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MgServicePrincipalByAppId -AppId $ServiceName
$keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId

      In questo modo viene restituito il KeyId della chiave il cui valore corrisponde al $credValue trovato in precedenza.

    3. Per rimuovere le credenziali dell'entità servizio, eseguire il comando seguente:

      Import-Module Microsoft.Graph.Applications
$params = @{
KeyId = $keyId
}
Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params

  6. Disinstallare l'agente ibrido. Se l'ambiente ha una configurazione ibrida moderna, seguire questa procedura per rimuoverlo.

    1. Nel computer in cui è installato l'agente ibrido aprire Exchange Management Shell e passare alla directory dello script C:\Programmi\Microsoft Hybrid Service\HybridManagement.psm1 e quindi importare il modulo PowerShell dell'agente ibrido.

      Import-Module .\HybridManagement.psm1

    2. Per rimuovere l'app, è necessario un AppId. Usare uno dei cmdlet seguenti in Exchange Online PowerShell per trovare l'AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr

      L'output è simile al seguente:

      TargetSharingEpr
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx

      In alternativa, eseguire:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer

      L'output è simile al seguente:

      RemoteServer
------------
6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net

      In questo esempio, 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 è l'AppId da usare nel passaggio successivo.

    3. Rimuovere l'app eseguendo:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)

      Nota

      AppId è 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 solo per questo esempio; il valore sarà diverso.

    4. Disinstallare l'agente ibrido usando la procedura seguente: Disinstallare l'agente ibrido.

  7. Se non è già stato fatto, puntare i record DNS MX e di individuazione automatica a Exchange Online. Questo passaggio è importante per garantire che il flusso di posta non sia interessato. Per altre informazioni, vedere Record di sistema del nome di dominio esterno per Office 365.

  8. Arrestare l'ultimo server Exchange.

Pulizia di Active Directory

Se si prevede di non eseguire mai più un server Exchange locale, è consigliabile pulire Active Directory rimuovendo gli oggetti di Exchange non necessari.

Avviso

Questo passaggio non può essere annullato. Procedere solo se non si desidera eseguire mai più Exchange Server.

La pulizia di AD può essere eseguita eseguendo lo script CleanupActiveDirectoryEMT fornito con gli strumenti di gestione. Lo script rimuove le cassette postali di sistema, i contenitori di Exchange non necessari, le autorizzazioni per i gruppi di sicurezza di Exchange nelle partizioni di dominio e configurazione e i gruppi di sicurezza di Exchange. È necessario eseguire questo script con le credenziali di amministratore di dominio.

Questo script è disponibile all'indirizzo: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Importante: tenere presente

Avviso

Dopo aver arrestato l'ultimo server Exchange, il controllo degli accessi in base al ruolo di Exchange non funzionerà più. Gli utenti che facevano parte di gruppi di destinatari di Exchange o avevano ruoli di Exchange personalizzati che consentono la gestione dei destinatari non avranno più l'autorizzazione. Solo gli amministratori di dominio e gli utenti a cui viene assegnata l'autorizzazione tramite Add-PermissionForEMT.ps1 script potranno eseguire la gestione dei destinatari.

Dopo aver arrestato l'ultimo server Exchange ed aver eseguito i passaggi di pulizia di Exchange ibrido e Active Directory come descritto in precedenza, è necessario cancellare e riformattare l'ultimo server Exchange. Non disinstallare il Exchange Server.

Aggiornare il ruolo solo degli strumenti di gestione Exchange Server (senza Exchange Server in esecuzione) a un aggiornamento cumulativo o di sicurezza più recente

Sono stati eseguiti i passaggi descritti in questo articolo per rimuovere gli ultimi Exchange Server e si usano solo gli strumenti di gestione per la gestione di oggetti ibridi.

Aggiornare gli strumenti di gestione a un aggiornamento cumulativo (CU) più recente

In questi ambienti, se si aggiorna il server ruolo solo degli strumenti di gestione a una cu più recente, potrebbe non riuscire con l'errore seguente:

Screenshot degli strumenti di gestione dell'aggiornamento all'aggiornamento cumulativo più recente.

Active Directory deve essere preparato con "Setup /PrepareAD" prima che Exchange Server strumenti di gestione possano essere aggiornati a una cu più recente.

Per aggiornare gli strumenti di gestione a un cu più recente, seguire questa procedura:

  1. Usare il comando seguente per eseguire PrepareAD:

    .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  2. Usare il comando seguente per aggiornare il ruolo Solo strumenti di gestione:

    .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  3. Se in precedenza è stato eseguito .\CleanupActiveDirectoryEMT.ps1 nell'ambiente come da Gestire i destinatari negli ambienti ibridi di Exchange usando gli strumenti di gestione, eseguire di nuovo lo .\CleanupActiveDirectoryEMT.ps1 script perché /PrepareAD ha ricreato alcuni oggetti rimossi da CleanupActiveDirectoryEMT.ps1 .

Avviso

Assicurarsi di eseguire CleanupActiveDirectoryEMT.ps1 lo script SOLO nell'ambiente in cui è già stato seguito Gestire i destinatari negli ambienti ibridi di Exchange usando gli strumenti di gestione e che lo script sia già stato eseguito in precedenza e che non siano in esecuzione server Exchange. Questa azione non può essere annullata.

Aggiornare gli strumenti di gestione a un aggiornamento della sicurezza (SU) più recente

Scaricare il pacchetto di aggiornamento della sicurezza ed eseguirlo per aggiornare il ruolo degli strumenti di gestione a un aggiornamento automatico più recente.