Предварительные условия для гибридного развертывания

Сводка. Что необходимо среде Exchange для настройки гибридного развертывания.

Перед созданием и настройкой гибридного развертывания с помощью мастера гибридной конфигурации необходимо, чтобы ваша существующая локальная организация Exchange соответствовала определенным требованиям. В противном случае вы не сможете выполнить шаги в мастере гибридной конфигурации и настроить гибридное развертывание между локальной организацией Exchange и организацией Exchange Online.

Необходимые условия для гибридного развертывания

Ниже приведены необходимые условия для настройки гибридного развертывания:

  • Локальная организация Exchange. Версия Exchange, установленная в локальной организации, определяет версию гибридного развертывания, которую можно установить. Как правило, следует настроить последнюю версию гибридного развертывания, поддерживаемую в вашей организации, как описано в следующей таблице.
Локальная среда Гибридное развертывание на основе Exchange 2019 гибридное развертывание на основе Exchange 2016 гибридное развертывание на основе Exchange 2013 гибридное развертывание на основе Exchange 2010
Exchange 2019 Поддерживается Не поддерживается Не поддерживается Не поддерживается
Exchange 2016 Поддерживается Поддерживается Не поддерживается Не поддерживается
Exchange 2013 Поддерживается Поддерживается Поддерживается Не поддерживается
Exchange 2010 Не поддерживается Поддерживается Поддерживается Поддерживается
  • Выпуски Exchange Server. Для гибридных развертываний требуется последняя версия накопительного обновления (CU) или накопительный пакет обновления (RU), доступный для вашей версии Exchange. Если не удается установить последнее обновление, также поддерживается предыдущий выпуск.

    Exchange CU выпускаются ежеквартально, поэтому поддержание актуальности серверов Exchange обеспечивает дополнительную гибкость, если вам периодически требуется дополнительное время для завершения обновлений.

  • Роли сервера Exchange. Роли сервера, которые необходимо установить в локальной организации, зависят от установленной версии Exchange.

    • Exchange 2016 и более поздней версии: по крайней мере один сервер почтовых ящиков.

    • Exchange 2013: установлен по крайней мере один экземпляр ролей сервера почтового ящика и сервера клиентского доступа (отдельно или на одном сервере; настоятельно рекомендуется на одном сервере).

    • Exchange 2010: по крайней мере один экземпляр ролей сервера почтового ящика, транспорта концентратора и сервера клиентского доступа (отдельно или на одном сервере; настоятельно рекомендуется на одном сервере).

      Гибридное развертывание также поддерживает серверы Exchange с активной ролью пограничного транспортного сервера. Пограничные транспортные серверы также должны быть обновлены до последней версии CU или RU. Мы настоятельно рекомендуем развертывать пограничные транспортные серверы в сети периметра. Вы не можете развернуть серверы почтовых ящиков или клиентского доступа в сети периметра.

    Примечание.

    Если вы уже начали процесс миграции с гибридными конечными точками Exchange 2010 и не планируете хранить локальные почтовые ящики, продолжайте миграцию как есть. Если вы планируете сохранить некоторые почтовые ящики в локальной среде, настоятельно рекомендуется внедрить гибридные конечные точки Exchange 2016 (так как жизненный цикл поддержки Exchange 2010 истек). Продолжите перенос почтовых ящиков Exchange 2010 в Office 365, а затем переместите почтовые ящики, которые останутся локальными, на серверы Exchange 2016. После удаления всех серверов Exchange 2010 вы можете представить серверы Exchange 2019 в качестве новых гибридных конечных точек, а также переместить оставшиеся локальные почтовые ящики на серверы Exchange 2019.

  • Microsoft 365 или Office 365. Гибридные развертывания поддерживаются во всех планах Microsoft 365 и Office 365, поддерживающих синхронизацию Microsoft Entra. Все планы Microsoft 365 бизнес стандарт, бизнес базовый, корпоративный, правительственный, академический и средний поддерживают гибридные развертывания. Приложения Microsoft 365 для бизнеса и домашние планы не поддерживают гибридные развертывания.

    Дополнительные сведения см. в Microsoft 365.

  • Личные домены. Зарегистрируйте все личные домены, которые вы хотите использовать в гибридном развертывании с помощью Microsoft 365 или Office 365. Это можно сделать с помощью портала Microsoft 365 или при необходимости настроив службы федерации Active Directory (AD FS) (AD FS) в локальной организации.

    Дополнительные сведения см. в разделе Добавление домена в Microsoft 365 или Office 365.

  • Синхронизация Active Directory. Разверните средство Microsoft Entra Connect или облачной синхронизации, чтобы включить синхронизацию Active Directory с локальной организацией.

    Дополнительные сведения см. в статье Параметры входа Microsoft Entra Connect user и What is Microsoft Entra Cloud Sync?.

  • Записи DNS автообнаружения. Настройте запись автообнаружения для существующих доменов SMTP в общедоступной службе DNS, чтобы она указывала на локальные серверы Exchange (сервер клиентского доступа Exchange 2010/2013 или сервер почтовых ящиков Exchange 2016/2019).

  • Сертификаты. Назначьте службы Exchange действительным цифровым сертификатом, приобретенным в доверенном общедоступном центре сертификации (ЦС). Хотя вы должны использовать самозаверяемые сертификаты для доверия локальной федерации с Microsoft Federation Gateway, вы не можете использовать самозаверяемые сертификаты для служб Exchange в гибридном развертывании.

    Экземпляру служб IIS на серверах Exchange, настроенных в гибридном развертывании, требуется действительный цифровой сертификат, приобретенный в доверенном ЦС.

    Внешний URL-адрес EWS и конечная точка автообнаружения, указанные в общедоступной службе DNS, должны быть указаны в поле Альтернативное имя субъекта (SAN) сертификата. Сертификаты, устанавливаемые на серверах Exchange Server для потока обработки почты в гибридном развертывании, должны быть выданы тем же центром сертификации и иметь одинаковый субъект.

    Дополнительные сведения см. в статье Требования к сертификатам для гибридных развертываний.

  • EdgeSync. Если вы развернули пограничные транспортные серверы в локальной организации и хотите настроить пограничные транспортные серверы для гибридной безопасной передачи почты, необходимо настроить EdgeSync перед использованием мастера гибридной конфигурации. Кроме того, необходимо запускать EdgeSync при каждом применении нового cu к пограничному транспортному серверу.

    Важно!

    Хотя EdgeSync является обязательным требованием в развертываниях с пограничными транспортными серверами, при настройке пограничных транспортных серверов для гибридной безопасной передачи почты требуются дополнительные параметры конфигурации.

    Дополнительные сведения см. в разделе Пограничные транспортные серверы при гибридном развертывании.

  • Microsoft платформа .NET Framework. Чтобы проверить версии, которые можно использовать с определенной версией Exchange, см. Exchange Server матрица поддержки — Microsoft платформа .NET Framework.

  • Почтовые ящики с поддержкой единой системы обмена сообщениями( UM). Если у вас есть почтовые ящики с поддержкой единой системы обмена сообщениями и вы хотите переместить их в Microsoft 365 или Office 365, перед их перемещением необходимо выполнить следующие требования:

Протоколы, порты и конечные точки гибридного развертывания

Необходимо настроить следующие протоколы, порты и конечные точки подключения в брандмауэре, который защищает локальную организацию, как описано в следующей таблице.

Важно!

Связанные конечные точки Microsoft 365 и Office 365 огромны, постоянно меняются и не перечислены здесь. Вместо этого ознакомьтесь с разделами Exchange Online и Microsoft 365 Common и Office Online в Microsoft 365, а также Office 365 URL-адреса и диапазоны IP-адресов, чтобы определить конечные точки для каждого порта, указанного здесь.

Примечание.

Порты, необходимые для потока обработки почты и подключения клиентов в локальной организации Exchange, не связанные с гибридной конфигурацией, описаны в разделе Сетевые порты для клиентов и поток обработки почты в Exchange.

Source Протокол или порт Target Comments
конечные точки Exchange Online TCP/25 (SMTP/TLS) Почтовый ящик Exchange 2019/2016 или Edge

Сервер клиентского доступа или пограничный сервер Exchange 2013

Exchange 2010 Hub/Edge

Локальные серверы Exchange Server, настроенные для размещения соединителей получения для безопасной передачи почты с помощью Exchange Online в мастере гибридной конфигурации
Почтовый ящик Exchange 2019/2016 или Edge

Сервер клиентского доступа или пограничный сервер Exchange 2013

Exchange 2010 Hub/Edge

TCP/25 (SMTP/TLS) конечные точки Exchange Online Локальные серверы Exchange Server настроены для размещения соединителей отправки для безопасной передачи почты с помощью Exchange Online в мастере гибридной конфигурации
конечные точки Exchange Online TCP/443 (HTTPS) Почтовый ящик Exchange 2019/2016

Сервер клиентского доступа Exchange 2013/2010

Локальные серверы Exchange Server, используемые для публикации веб-служб Exchange и автообнаружения в Интернете
Почтовый ящик Exchange 2019/2016

Сервер клиентского доступа Exchange 2013/2010

TCP/443 (HTTPS) конечные точки Exchange Online Локальные серверы Exchange Server, используемые для публикации веб-служб Exchange и автообнаружения в Интернете
Почтовый ящик Exchange 2019/2016 или Edge

Сервер клиентского доступа или пограничный сервер Exchange 2013

Exchange 2010 Hub/Edge

80 ctldl.windowsupdate.com/* Для гибридных функций серверам Exchange Server требуется исходящее подключение к различным конечным точкам списка отзыва сертификатов (CRL), упомянутым здесь. Настоятельно рекомендуется разрешить Windows поддерживать список доверия сертификатов (CTL) на компьютере. В противном случае это необходимо поддерживать вручную на регулярной основе. Чтобы разрешить Windows поддерживать CTL, URL-адрес должен быть доступен с компьютера, на котором установлен Exchange Server.

В следующей таблице приведены более подробные сведения о задействованных локальных конечных точках.

Описание Порт и протокол Локальная конечная точка Поставщик проверки подлинности Метод авторизации Поддерживается предварительная проверка подлинности?
Поток почты SMTP между Microsoft 365 или Office 365 и локальной службой Exchange TCP 25 (SMTP/TLS) Почтовый ящик Exchange 2019/2016 или Edge

Сервер клиентского доступа или пограничный сервер Exchange 2013

Exchange 2010 Hub/Edge

Н/Д На основе сертификата Нет
Автообнаружение TCP 443 (HTTPS) Сервер почтовых ящиков Exchange 2019/2016: /autodiscover/autodiscover.svc/wssecurity

Exchange 2013/2010 CAS: /autodiscover/autodiscover.svc

система проверки подлинности Microsoft Entra Проверка подлинности WS-Security Нет
"Свободная/занятая", подсказки и отслеживание сообщений (EWS) TCP 443 (HTTPS) Почтовый ящик Exchange 2019/2016
или
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

система проверки подлинности Microsoft Entra Проверка подлинности WS-Security Нет
Поиск в нескольких почтовых ящиках (EWS) TCP 443 (HTTPS) Почтовый ящик Exchange 2019/2016
или
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

Сервер проверки подлинности Проверка подлинности WS-Security Нет
Миграция почтовых ящиков (EWS) TCP 443 (HTTPS) Почтовый ящик Exchange 2019/2016
или
Exchange 2013/2010 CAS:

/ews/mrsproxy.svc

NTLM; Обычный Нет
OAuth (автообнаружения и EWS) TCP 443 (HTTPS) Почтовый ящик Exchange 2019/2016
или
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

Сервер проверки подлинности Проверка подлинности WS-Security Нет
AD FS (Windows Server) TCP 443 (HTTPS) Windows 2012 R2/2016 Server: /adfs/* система проверки подлинности Microsoft Entra Зависит от конфигурации. 2-факторная
Microsoft Entra Connect TCP 443 (HTTPS) Windows 2012 R2/2016 Server (AD FS): /adfs/* система проверки подлинности Microsoft Entra Зависит от конфигурации. 2-факторная

Дополнительные сведения об этой информации см. в разделах Подробное руководство. Как работает гибридная проверка подлинности, Демистификация и устранение неполадок с гибридным потоком обработки почты: когда это внутреннее сообщение?, Транспортная маршрутизация в гибридных развертываниях Exchange, Настройка потока обработки почты с помощью соединителей и Управление потоком обработки почты с почтовыми ящиками в нескольких расположениях (Exchange Online и локально).

При настройке гибридных развертываний с помощью мастера гибридной конфигурации полезны следующие средства и службы:

  • Помощник по миграции почты. Предоставляет пошаговые инструкции по настройке гибридного развертывания между локальной организацией и Microsoft 365 или Office 365 или полностью выполнить миграцию в Microsoft 365 или Office 365.

    Дополнительные сведения см . в этой странице.

  • Средство анализатора удаленного подключения. Средство анализатора удаленного подключения Майкрософт проверяет внешнее подключение локальной организации Exchange и гарантирует, что вы готовы к настройке гибридного развертывания. Перед настройкой гибридного развертывания с помощью мастера гибридной конфигурации мы настоятельно рекомендуем вам проверить свою локальную организацию с помощью анализатора удаленных подключений.

    Дополнительные сведения см. в разделе Microsoft Remote Connectivity Analyzer.

  • Единый вход. Единый вход позволяет пользователям получать доступ к локальным и Exchange Online организациям с одним именем пользователя и паролем. Он предоставляет пользователям знакомый интерфейс входа и позволяет администраторам легко управлять политиками учетных записей для почтовых ящиков Exchange Online организации с помощью средств управления локальная служба Active Directory.

    При развертывании единого входа у вас есть несколько вариантов: синхронизация паролей и службы федерации Active Directory. Оба варианта предоставляются Microsoft Entra Connect. Синхронизация паролей позволяет легко реализовать единый вход практически для любой организации независимо от ее размера. По этой причине и из-за того, что пользовательский интерфейс в гибридном развертывании значительно улучшается при включенном едином входе, настоятельно рекомендуется реализовать его. Службы федерации Active Directory требуются для очень крупных организаций, например организаций с несколькими лесами Active Directory, которые необходимо присоединить к гибридной среде.

    Дополнительные сведения см. в статье Единый вход в гибридные развертывания.