Implantações híbridas com várias florestas
Há suporte para implantações híbridas do Exchange 2013 e posteriores para organizações com várias florestas locais do Exchange e uma única organização do Microsoft 365 ou Office 365. Para recursos e considerações de implantação híbrida, as organizações de várias florestas são definidas como organizações com servidores do Exchange implantados em várias florestas. Organizações que usam uma floresta de recursos de contas de usuário, mas mantêm todos os servidores do Exchange em uma única floresta, não são classificadas como uma organização de várias florestas em cenários de implantação híbrida. Esses tipos de organizações devem considerar a si próprias como uma organização de uma única floresta durante o planejamento e a configuração de uma implantação híbrida.
A migração de pastas públicas de um ambiente local para o Microsoft 365 ou Office 365 só tem suporte de uma única floresta do Active Directory. Da mesma forma, só há suporte para acessar pastas públicas em um estado híbrido quando as pastas públicas locais são hospedadas em uma única floresta do Active Directory.
Para obter mais informações sobre implantações híbridas, consulte Exchange Server implantações híbridas.
Importante
Para o Exchange 2013 e posterior, as implantações híbridas exigem a cu (atualização cumulativa) mais recente disponível para a versão do Exchange instalada em sua organização local.
Se você não puder instalar a atualização mais recente, a versão imediatamente anterior também terá suporte. Não há suporte para CUs e RUs anteriores. Para obter mais informações, consulte os Pré-requisitos de implantação híbrida.
Pré-requisitos de implantação híbrida em várias florestas
Os pré-requisitos de implantação híbrida de várias florestas são quase idênticos aos pré-requisitos de implantação híbrida para uma organização de floresta única, com as seguintes exceções:
Autodiscover: cada floresta do Exchange deve ser autoritativa para pelo menos um namespace SMTP e o namespace de descoberta automática correspondente. Se houver domínios compartilhados em várias florestas do Exchange, será necessário configurar os pontos finais de direcionamento de email e de Descoberta automática, de modo que funcionem apropriadamente entre as florestas do Exchange, antes de configurar sua implantação híbrida com várias florestas. O serviço do Office 365 deve ser capaz de consultar o serviço de Descoberta automática em cada floresta do Exchange.
Certificados: todas as implantações híbridas exigem um certificado digital emitido pela autoridade confiável de certificado de terceiros (AC). Para uma implantação híbrida em várias florestas, um único certificado digital não pode ser usado para várias florestas do Active Directory. Cada floresta deve usar um certificado emitido por uma CA dedicada para que o transporte de email seguro funcione corretamente em uma implantação híbrida. O certificado usado para os recursos de implantação híbrida de cada floresta em uma organização com várias florestas deve ser diferente em pelo menos uma das seguintes propriedades:
Nome comum: o CN (nome comum) do certificado digital faz parte da entidade de certificado. Isso deve corresponder ao host que está sendo autenticado e, normalmente, é o nome de host externo para o servidor de Acesso para Cliente na floresta do Active Directory. Por exemplo, mail.contoso.com. Recomendamos o uso do CN como a propriedade de diferenciação entre os certificados do Active Directory usados em implantações híbridas em várias florestas.
Emissor: a AC de terceiros que verificou as informações da organização e emitiu o certificado. Por exemplo, VeriSign ou Go Daddy. Como exemplo em uma implantação híbrida de várias florestas, uma floresta teria um certificado emitido pela VeriSign e uma floresta teria um certificado emitido pelo Go Daddy.
Importante
O certificado instalado nos servidores Mailbox e Client Access (e Transporte de Borda, se implantado) em cada floresta do Active Directory usada para transporte de email na implantação híbrida deve ser emitido pela mesma AC e ter o mesmo nome comum.
Em um servidor de Transporte de Borda, se o nome comum do certificado e o nome do emissor não corresponderem, você poderá defini-los manualmente no conector de recebimento usando os seguintes comandos:
$cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate" $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)" Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatenameServidores exchange: pelo menos um servidor do Exchange 2013 com a função de servidor de Acesso ao Cliente ou um servidor do Exchange 2016 ou posterior com a função Caixa de Correio, deve ser instalado em cada floresta do Active Directory configurada para implantação híbrida.
No Exchange 2013, o servidor do Client Access é o ponto de extremidade de transporte de email seguro de entrada para o serviço de Proteção do Exchange Online (EOP) incluído com o serviço de organização microsoft 365 ou Office 365 e permite que o assistente de Configuração Híbrida seja executado na floresta do Active Directory. Além disso, pelo menos um servidor com a função de Caixa de Correio deve ser instalado na floresta do Active Directory configurada para implantação híbrida. O servidor mailbox do Exchange 2013 é o ponto de extremidade de transporte de email seguro de saída para mensagens enviadas ao serviço EOP e à organização Exchange Online.
No Exchange 2016 e posterior, a função de servidor de caixa de correio trata de todo o transporte seguro de mensagens de entrada e de saída entre a sua organização no local e o Exchange Online.
Planejamento de namespace: cada floresta na qual você instala o Exchange requer seu próprio namespace exclusivo de descoberta externa. Você especificará o namespace exclusivo de uma floresta no assistente de Configuração Híbrida ao executá-lo em cada floresta.
Sincronização do Active Directory: todas as implantações híbridas exigem sincronização do Active Directory com o Microsoft 365 ou Office 365. Se sua empresa já tiver configurado a sincronização do Active Directory entre sua organização local de várias florestas e o Microsoft 365 ou Office 365 usando o Forefront Identity Manager, você poderá usar Microsoft Entra Connect.
Logon único: embora não seja um requisito para implantações híbridas com florestas do Active Directory individuais, os administradores podem optar por configurar um servidor SSO em cada floresta do Active Directory ou configurar um único servidor SSO se houver uma confiança de floresta bidirecional configurada entre as florestas locais. Use o AD FS ou a senha de sincronização para permitir uma experiência de autenticação de usuário simplificada.
Para mais informações, consulte Logon único com implantações híbridas.
Para obter uma lista completa de todos os pré-requisitos de implantação, consulte Pré-requisitos de implantação híbrida
Cenário de implantação híbrida em várias florestas
Examine o cenário a seguir. É uma topologia de exemplo que fornece uma visão geral de uma implantação típica do Exchange 2013. Contoso, Ltd. é uma organização de várias florestas e vários domínios com duas florestas do Active Directory. A Floresta A contém o domínio contoso.com e a Floresta B contém o domínio sale.contoso.com. Cada um contém controladores de domínio em cada floresta, um servidor do Exchange 2013 com a função de Acesso ao Cliente instalada e um servidor do Exchange 2013 com a função de servidor mailbox instalada. Usuários remotos da Contoso usam Outlook Web App para se conectar ao Exchange 2013 pela Internet para marcar suas caixas de correio e acessar seu calendário do Outlook.
Digamos que você é o administrador de rede da Contoso e está interessado em configurar uma implantação híbrida. Você implanta e configura um servidor de sincronização do Active Directory necessário na Floresta A e também decide implantar um servidor do AD FS (Serviços de Federação do Active Directory (AD FS)) como uma opção para minimizar o número de prompts de credenciais de conta para usuários e administradores da Contoso que acessam o Microsoft 365 ou Office 365 serviços na Floresta A. Depois de concluir os pré-requisitos de implantação híbrida e usar o assistente de Configuração Híbrida para selecionar opções para a implantação híbrida, sua nova topologia tem a seguinte configuração:
Os usuários usarão suas credenciais de conta na rede existentes para fazer logon nas organizações local e do Exchange Online ("logon único").
As caixas de correio do usuário situadas na organização local e no Exchange Online usarão vários domínios de endereço de email. Por exemplo, caixas de correio localizadas na Floresta A local e algumas caixas de correio localizadas no Exchange Online organização usarão @contoso.com em endereços de email e caixas de correio do usuário na Floresta B e algumas caixas de correio localizadas na organização Exchange Online usarão @sales.contoso.com.
Todos os emails serão enviados à Internet pela organização local. A organização local controla todo o transporte de mensagens e funciona como um retransmissor para a organização do Exchange Online ("transporte de email centralizado").
Os usuários das organizações local e do Exchange Online podem compartilhar informações de disponibilidade no calendário uns com os outros. Os relacionamentos de organização configurados para ambas as organizações viabilizam também o controle de mensagens entre locais, MailTips e pesquisa de mensagens.
Os usuários locais e do Exchange Online usam a mesma URL para se conectarem às suas caixas de correio pela Internet.
Ao comparar a configuração atual de organização da Contoso com a configuração de implantação híbrida, observe que a configuração de implantação híbrida adicionou servidores e serviços que oferecem suporte a recursos e comunicação adicionais que são compartilhados entre as organizações local e do Exchange Online. Veja a seguir uma visão geral das alterações feitas pela implantação híbrida na organização local inicial do Exchange.
| Configuração | Antes da implantação híbrida | Após a implantação híbrida |
|---|---|---|
| Local da caixa de correio | Caixas de correio locais somente. | Caixas de correio no local e no Exchange Online. |
| Transporte de mensagens | Os servidores de Acesso para Cliente locais controlam todo o roteamento de mensagens de entrada e saída. | O servidor de Acesso para Cliente local trata todo direcionamento de mensagem interna entre a organização local e a do Exchange Online. |
| Outlook Web App | O servidor local de Acesso para Cliente recebe todas as solicitações do Outlook Web App e exibe informações das caixas de correio. | O servidor de Acesso para Cliente local redireciona as solicitações do Outlook Web App para o servidor local de Caixas de Correio do Exchange 2013 ou disponibiliza um link para fazer logon na organização do Exchange Online. |
| GAL unificada para ambas as organizações | Não aplicável; organização única somente. | O servidor de sincronização do Active Directory local replica as informações do Active Directory referentes a objetos habilitados para email para a organização do Exchange Online. |
| Logon único usado em ambas as organizações | Não aplicável; organização única somente. | O servidor Serviços de Federação do Active Directory (AD FS) local (AD FS) dá suporte ao uso de credenciais de logon único para caixas de correio localizadas localmente ou na organização microsoft 365 ou Office 365. |
| Relação de organização estabelecida e uma confiança de federação com Microsoft Entra sistema de autenticação | A relação de confiança com o sistema de autenticação Microsoft Entra e as relações de organização com outras organizações federadas do Exchange podem ser configuradas. | A relação de confiança com o sistema de autenticação Microsoft Entra é necessária. Relacionamentos de organização são estabelecidos entre a organização local e a organização do Exchange Online. |
| Compartilhamento de disponibilidade | Compartilhamento de disponibilidade entre usuários locais somente. | Compartilhamento de disponibilidade entre usuários locais e do Exchange Online. |
Configurar implantações híbridas em organizações com várias florestas
Para configurar uma implantação híbrida de uma organização com várias florestas, será necessário executar as etapas básicas abaixo:
Verifique se você atendeu aos pré-requisitos da implantação híbrida. Confira os pré-requisitos listados anteriormente neste tópico e Pré-requisitos de implantação híbrida. Normalmente, apenas uma floresta precisa de um servidor de sincronização do Active Directory instalado. Para obter mais informações, consulte Topologias para Microsoft Entra Connect.
Obtenha um certificado de CA de terceiro para cada floresta do Active Directory que atenda aos requisitos listados anteriormente neste tópico.
Instale o certificado em todos os servidores de Acesso para Cliente e de Caixa de Correio do Exchange 2013, ou servidores de caixa de correio do Exchange 2016, em cada floresta.
Para a floresta primária, complete as etapas descritas no tópico Criar uma implantação híbrida com o Assistente de Configuração Híbrida.
Importante
Lembre-se de selecionar o certificado designado para a floresta primária no assistente de Configuração Híbrida e selecione o domínio SMTP primário para a floresta.
Para a floresta secundária, complete as etapas descritas no tópico Criar uma implantação híbrida com o Assistente de Configuração Híbrida.
Importante
Lembre-se de selecionar o certificado designado para a floresta secundária no assistente de Configuração Híbrida e selecione o domínio SMTP primário para a floresta.