Сводка. Что необходимо знать для планирования гибридного развертывания Exchange.
Гибридное развертывание позволяет организациям расширять многофункциональные возможности и средства администрирования существующей локальной организации Microsoft Exchange на облако. Гибридное развертывание обеспечивает единую среду с общими функциональными возможностями Exchange для локальной организации Exchange и Exchange Online. Кроме того, гибридное развертывание может выступать в качестве промежуточного этапа перед полным переходом к организации Exchange Online.
Возможности гибридного развертывания Exchange
Гибридное развертывание обеспечивает следующие возможности:
Обеспечение безопасной маршрутизации почты между локальной организацией Exchange и организацией Exchange Online.
Маршрутизация с общим доменным пространством имен. Например, как локальные организации, так и организации Exchange Online используют @contoso.com домен SMTP.
Единый глобальный список адресов (GAL), или общая адресная книга.
Обмен сведениями о доступности и данными календаря между локальной организацией Exchange и организацией Exchange Online.
Централизованное управление исходящим и входящим потоком почты. Можно настроить маршрутизацию всех входящих и исходящих сообщений Exchange Online через локальную организацию Exchange.
Один URL-адрес Outlook в Интернете для локальной организации и организации Exchange Online.
Возможность перемещения существующих локальных почтовых ящиков в организацию Exchange Online. При необходимости можно переместить почтовые ящики Exchange Online обратно в локальную организацию.
Централизованное управление почтовыми ящиками с помощью Центра администрирования (EAC) локальной Exchange.
Отслеживание сообщений, подсказки и поиск в нескольких почтовых ящиках в локальной организации Exchange и организации Exchange Online.
Облачная архивация сообщений для локальных почтовых ящиков Exchange. Архивацию Exchange Online можно использовать с гибридным развертыванием. Дополнительные сведения о архивации Exchange Online см. в статье Описание службы архивации Exchange Online.
Рекомендации по гибридному развертыванию Exchange
Перед реализацией гибридного развертывания Exchange учтите следующее:
Требования к гибридному развертыванию. Перед настройкой гибридного развертывания необходимо убедиться, что локальная организация соответствует всем предварительным требованиям, необходимым для успешного развертывания. Дополнительную информацию см. в статье Предварительные условия для гибридного развертывания.
Клиенты Exchange ActiveSync. При перемещении почтового ящика из локальной организации Exchange в Exchange Online все клиенты, обращаюющиеся к почтовому ящику, должны быть обновлены для использования Exchange Online; сюда входят устройства Exchange ActiveSync. При перемещении почтового ящика в Exchange Online большинство клиентов Exchange ActiveSync будут автоматически перенастроены, но некоторые старые устройства могут обновиться неправильно. Дополнительные сведения см. в разделе Параметры устройства Exchange ActiveSync с гибридными развертываниями Exchange.
Миграция разрешений для почтовых ящиков. Локальные разрешения почтового ящика, такие как отправка как, полный доступ, отправка от имени и разрешения для папок, которые явно применяются к почтовому ящику, переносятся в Exchange Online. Наследуемые (не явные) разрешения почтового ящика и разрешения, предоставленные объектам, не включенным в Exchange Online, не переносятся. Перед переносом необходимо убедиться, что все разрешения предоставлены в явном виде, а для всех объектов включена поддержка почты. Поэтому необходимо запланировать настройку этих разрешений в Exchange Online, если это применимо для вашей организации.
Поддержка разрешений для локальных почтовых ящиков. Гибридные развертывания Exchange поддерживают использование разрешений полный доступ и отправка от имени между почтовыми ящиками, расположенными в локальной организации Exchange, и почтовыми ящиками, расположенными в Exchange Online. Для предоставления разрешений "Отправить как" требуются дополнительные действия. Кроме того, дополнительная настройка может потребоваться для поддержки разрешений в гибридном развертывании, в зависимости от установленной в локальной организации версии Exchange. Дополнительные сведения см. в разделе Делегирование разрешений для почтовых ящиков статьи Разрешения при гибридных развертываниях Exchange и в статье Настройка Exchange для поддержки делегированных разрешений почтовых ящиков в гибридном развертывании.
Отключение. В рамках текущего управления получателями может потребоваться переместить почтовые ящики Exchange Online обратно в локальную среду.
Параметры пересылки почтовых ящиков. Почтовые ящики можно настроить для автоматической пересылки почты, отправляемой им в другой почтовый ящик. В Exchange Online поддерживается переадресация почтовых ящиков, но конфигурация переадресации не копируется в Exchange Online при переносе почтового ящика в эту среду. Прежде чем переносить почтовый ящик в Exchange Online, обязательно экспортируйте конфигурацию переадресации для каждого почтового ящика. Конфигурация переадресации хранится в свойствах DeliverToMailboxAndForward, ForwardingAddressи ForwardingSmtpAddress в каждом почтовом ящике.
Компоненты гибридного развертывания Exchange
Гибридное развертывание предполагает использование различных служб и компонентов.
Серверы Exchange. Если требуется настроить гибридное развертывание, в локальной организации необходимо настроить по крайней мере один сервер Exchange Server. Если вы используете Exchange 2013 или более ранней версии, необходимо установить по крайней мере один сервер с ролями почтового ящика и клиентского доступа. Если вы используете Exchange 2016 или более поздней версии, необходимо установить по крайней мере один сервер с ролью сервера почтовых ящиков. При необходимости пограничные транспортные серверы Exchange также можно установить в сети периметра и поддерживать безопасный поток обработки почты в Microsoft 365 или Office 365.
Примечание
Установка серверов Exchange с ролью сервера почтовых ящиков или клиентского доступа в сети периметра не поддерживается.
Важно!
Для гибридных развертываний требуется последняя версия накопительного пакета обновления (CU) или накопительный пакет обновления (RU), доступный для вашей версии Exchange. Для настройки гибридной среды рекомендуется использовать Exchange Server с последней версией cu и SU. Если не удается установить последнее обновление, также поддерживается предыдущий выпуск.
Office 365 или Microsoft 365. Несколько подписок на службы Office 365 и Microsoft 365 включают организацию Exchange Online. Организациям, которые настраивают гибридное развертывание, необходимо приобрести лицензию для каждого почтового ящика, перенесенного или созданного в организации Exchange Online.
Мастер гибридной конфигурации. Exchange включает мастер гибридной конфигурации, который предоставляет упрощенный процесс настройки гибридного развертывания между локальными организациями Exchange и Exchange Online.
Система проверки подлинности Microsoft Entra. Система проверки подлинности Microsoft Entra — это бесплатная облачная служба, которая выступает в качестве брокера доверия между локальной организацией Exchange 2016 и организацией Exchange Online. Локальные организации, настраивающие гибридное развертывание, должны иметь доверие федерации с системой проверки подлинности Microsoft Entra. Доверие федерации можно создать вручную (в рамках настройки федеративного общего доступа между локальной организацией Exchange и другими федеративными организациями Exchange) или в рамках настройки гибридного развертывания с помощью мастера гибридной конфигурации. Доверие федерации с системой проверки подлинности Microsoft Entra для клиента Exchange Online автоматически настраивается при активации учетной записи службы Microsoft 365 или Office 365.
Синхронизация Microsoft Entra. Синхронизация Microsoft Entra использует облачную синхронизацию или синхронизацию подключения для репликации локальных данных Active Directory для объектов с поддержкой почты в облако для поддержки единого глобального списка адресов (GAL) и проверки подлинности пользователей. Организациям, которые настраивают гибридное развертывание, необходимо развернуть облачную синхронизацию или подключить синхронизацию на отдельном локальном сервере для синхронизации локальной службы Active Directory с Microsoft 365 или Office 365.
Обратите внимание на следующий сценарий. Это пример топологии, который предоставляет общие сведения о типичном развертывании Exchange 2016. Contoso, Ltd. — это организация с одним лесом с одним доменом с двумя контроллерами домена и одним сервером Exchange 2016. Удаленные пользователи Contoso используют Outlook в Интернете для подключения к Exchange 2016 через Интернет, чтобы проверить свои почтовые ящики и получить доступ к календарю Outlook.
Предположим, что вы сетевой администратор Contoso и заинтересованы в настройке гибридного развертывания. Вы развертываете и настраиваете необходимый сервер Microsoft Entra Connect, а также решаете использовать функцию синхронизации паролей Microsoft Entra Connect, чтобы разрешить пользователям использовать одни и те же учетные данные как для локальной сетевой учетной записи, так и для учетной записи Microsoft 365 или Office 365. После выполнения необходимых действий для гибридного развертывания и использования мастера гибридной конфигурации для выбора параметров гибридного развертывания новая топология будет иметь следующую конфигурацию:
Пользователи будут использовать одно и то же имя пользователя и пароль для входа в локальные организации и Организации Exchange Online (единый вход).
Для почтовых ящиков пользователей, расположенных в локальной организации и организации Exchange Online, будет использоваться один и тот же домен адресов электронной почты. Например, почтовые ящики, расположенные локально, и почтовые ящики, расположенные в организации Exchange Online, будут использовать @contoso.com в адресах электронной почты пользователей.
Локальная организация доставляет всю исходящую почту в Интернет. Управление транспортировкой всех сообщений осуществляется локальной организацией, которая выступает в качестве ретранслятора для организации Exchange Online ("централизованная транспортировка почты").
Пользователи локальной организации и организации Exchange Online могут обмениваться друг с другом сведениями о доступности. Связи организации, настроенные для обеих организаций, также предоставляют возможность отслеживания сообщений между организациями, включения подсказок и поиска сообщений.
Локальные пользователи и пользователи Exchange Online применяют один URL-адрес для подключения к почтовым ящикам через Интернет.
Если сравнить существующую конфигурацию организации Contoso с конфигурацией гибридного развертывания, можно увидеть, что при настройке гибридного развертывания были добавлены серверы и службы, поддерживающие дополнительные функции и возможности подключения между локальной организацией и организацией Exchange Online. Далее приводится обзор изменений исходной локальной организации Exchange, которые были выполнены в результате развертывания гибридного сценария.
Конфигурация
До гибридного развертывания
После гибридного развертывания
Расположение почтового ящика
Только локальные почтовые ящики.
Локальные почтовые ящики и почтовые ящики в Exchange Online.
Транспортировка сообщений
Локальные серверы почтовых ящиков обрабатывают все запросы маршрутизации входящих и исходящих сообщений.
Локальные серверы почтовых ящиков обрабатывают внутреннюю маршрутизацию сообщений между локальной организацией и организацией Exchange Online.
Outlook в Интернете
Локальные серверы почтовых ящиков принимают все запросы Outlook в Интернете и отображают сведения о почтовых ящиках.
Локальные серверы почтовых ящиков перенаправляют запросы Outlook в Интернете на локальные серверы почтовых ящиков Exchange 2016 или предоставляют ссылку для входа в Exchange Online.
Единый глобальный список адресов для обеих организаций
Не применимо; только для отдельных организаций.
Локальный сервер синхронизации Active Directory реплицирует сведения Active Directory для объектов с поддержкой почты в Exchange Online.
В обеих организациях используется компонент единого входа
Неприменимо; только для одной организации.
Локальные службы Active Directory и Exchange Online используют одно и то же имя пользователя и пароль для почтовых ящиков, расположенных локально или в Exchange Online.
Установлено отношение организации и доверие федерации с системой проверки подлинности Microsoft Entra
Отношения доверия с системой проверки подлинности Microsoft Entra и отношения организации с другими федеративными организациями Exchange можно настроить.
Требуется отношение доверия с системой проверки подлинности Microsoft Entra. Между локальной средой и облаком устанавливаются связи организации.
Обмен сведениями о доступности
Обмен сведениями о доступности только между локальными пользователями.
Обмен сведениями о доступности между пользователями локальной организации и организации Exchange Online.
Факторы, которые необходимо учитывать перед настройкой гибридного развертывания
После краткого знакомства с гибридным развертыванием можно более подробно рассмотреть некоторые важные вопросы. Развертывание гибридного сценария может затронуть разные аспекты функционирования текущей сети и организации Exchange.
Синхронизация каталогов и единый вход
Синхронизация Active Directory между локальной организацией и облаком, которая выполняется каждые 30 минут сервером под управлением Microsoft Entra Connect, является обязательным требованием для настройки гибридного развертывания. Синхронизация службы каталогов позволяет получателям в обеих организациях видеть друг друга в глобальном списке адресов. Он также синхронизирует имена пользователей и пароли, что позволяет пользователям выполнять вход с одинаковыми учетными данными как в локальной организации, так и в Microsoft 365 или Office 365.
Примечание
Если вы решили настроить Microsoft Entra Connect с AD FS, имена пользователей и пароли локальных пользователей по-прежнему будут синхронизированы с облаком по умолчанию. Тем не менее основным методом проверки подлинности будет использование локальной службы Active Directory через AD FS. Если вы хотите настроить AD FS для отката и проверки подлинности с именами пользователей и паролями, синхронизированными с облаком, если AD FS не сможет подключиться к локальной службе Active Directory, см. статью Руководство. Настройка синхронизации хэша паролей в качестве резервной копии для служб федерации Azure Directory.
Все клиенты Microsoft Entra ID и Microsoft 365 или Office 365 имеют ограничение по умолчанию в 50 000 объектов (пользователи, контакты с поддержкой почты и группы), которое определяет, сколько объектов можно создать в организации Microsoft 365 или Office 365. После проверки первого домена это ограничение автоматически увеличивается до 500 000 объектов для Microsoft Entra ID Free или неограниченного количества объектов для Microsoft Entra Basic или Premium. Дополнительные сведения см. в разделе Цены на Microsoft Entra.
Помимо сервера под управлением Microsoft Entra Connect, вам также потребуется развернуть прокси-сервер веб-приложения, если вы решили настроить AD FS. Этот сервер должен быть размещен в сети периметра и будет выступать в качестве посредника между внутренними серверами ADFS и Интернетом. Прокси-сервер веб-приложений должен принимать подключения от клиентов и серверов в Интернете через TCP-порт 443.
Управление гибридным развертыванием
Управление гибридным развертыванием в Exchange 2016 осуществляется в единой консоли управления, в которой можно управлять как локальной организацией, так и организацией Exchange Online. В Центре администрирования Exchange (EAC), который заменил консоль управления Exchange и панель управления Exchange, можно подключать и настраивать функции для обеих организаций. При первом запуске мастера гибридной конфигурации вам будет предложено подключиться к организации Exchange Online. Чтобы подключить EAC к организации Exchange Online, необходимо использовать учетную запись, которая входит в группу ролей "Управление организацией".
Сертификаты
При развертывании гибридного сценария важное значение имеют цифровые сертификаты SSL. Они помогают защитить обмен данными между локальным почтовым ящиком или пограничными серверами и организацией Exchange Online. Сертификаты являются обязательным требованием для настройки нескольких типов служб. Если в организации Exchange уже используются цифровые сертификаты, может потребоваться их изменение с включением дополнительных доменов или приобретение дополнительных сертификатов в доверенном центре сертификации. Если сертификаты еще не используются, потребуется приобрести один или несколько сертификатов в доверенном центре сертификации.
Сетевое подключение к Интернету напрямую повлияет на производительность связи между локальной организацией и организацией Microsoft 365 или Office 365. Это особенно актуально при перемещении почтовых ящиков с локального сервера Exchange 2016 в организацию Microsoft 365 или Office 365. Доступная пропускная способность вместе с размером и числом почтовых ящиков, перемещаемых одновременно, влияют на продолжительность миграции почтовых ящиков. Кроме того, другие службы, такие как SharePoint Server 2016 и Skype для бизнеса, также могут повлиять на доступную пропускную способность для служб обмена сообщениями.
Перед перемещением почтовых ящиков в облако необходимо:
Определите средний размер почтового ящика для перемещаемого почтового ящика.
Определить среднюю пропускную способность и скорость подключения между локальной организацией и Интернетом.
Определить ожидаемую среднюю скорость передачи данных и соответствующим образом спланировать процесс перемещения почтовых ящиков.
Единая система обмена сообщениями не доступна в Exchange 2019.
Единая система обмена сообщениями (UM) поддерживается в гибридном развертывании между локальной средой и организациями Microsoft 365 или Office 365. Ваше локальное решение телефонии должно иметь возможность взаимодействовать с облаком. Для этого может потребоваться приобретение дополнительного оборудования и программного обеспечения.
Если вы хотите переместить почтовые ящики из локальной организации в облако и эти почтовые ящики настроены для единой системы обмена сообщениями, перед перемещением этих почтовых ящиков необходимо настроить UM в гибридном развертывании. Почтовые ящики, перемещенные до настройки единой системы обмена сообщениями в гибридном развертывании, не будут иметь доступ к ее функциям.
Управление правами на доступ к данным
Управление правами на доступ к данным (IRM) позволяет пользователям применять к отправляемым сообщениям шаблоны служб Active Directory Rights Management (AD RMS). Шаблоны AD RMS позволяют предотвратить утечку информации за счет настройки параметров доступа к защищенным правами сообщениям и работы с ними.
IRM в гибридном развертывании требует планирования, ручной настройки организации Microsoft 365 или Office 365 и понимания того, как клиенты используют серверы AD RMS в зависимости от того, находится ли их почтовый ящик в локальной организации или организации Exchange Online.
В гибридном развертывании поддерживаются мобильные устройства. Если Exchange ActiveSync уже включен на существующих серверах, они продолжат перенаправлять запросы с мобильных устройств в почтовые ящики на локальном сервере почтовых ящиков. Для мобильных устройств, подключающихся к существующим почтовым ящикам, которые перемещаются из локальной организации в облако, профили Exchange ActiveSync будут автоматически обновлены для подключения к облаку на большинстве телефонов. Все мобильные устройства, которые поддерживают Exchange ActiveSync, должны быть совместимы с гибридным развертыванием.
В гибридном развертывании рекомендуем использовать клиенты Outlook 2016 или Outlook 2013. Клиенты до Outlook 2010 не поддерживаются в гибридных развертываниях или в Microsoft 365 или Office 365.
Лицензирование для Microsoft 365 и Office 365
Чтобы создать почтовые ящики в Microsoft 365 или Office 365 или переместить их в них, необходимо зарегистрироваться для получения соответствующего плана подписки, у вас должны быть доступные лицензии. При регистрации вы получите определенное количество лицензий, которые можно назначить новым почтовым ящикам или почтовым ящикам, перемещенным из локальной организации. Каждый почтовый ящик в облаке должен иметь лицензию.
Службы защиты от вирусов и нежелательной почты
Почтовые ящики, перемещаемые в облако, автоматически обеспечиваются антивирусной защитой и защитой от нежелательной почты с помощью Exchange Online Protection (EOP), предоставляемой Microsoft 365 и Office 365. Если вы решите направить всю входящую интернет-почту через службу EOP, возможно, понадобится приобрести дополнительные лицензии EOP для локальных пользователей. Мы рекомендуем тщательно оценить, подходит ли защита EOP в Microsoft 365 или Office 365 для удовлетворения потребностей в антивирусной программе и защите от нежелательной почты в локальной организации. При наличии защиты в локальной организации, возможно, потребуется обновить или настроить локальные решения для защиты от вирусов и нежелательной почты в организации для обеспечения максимальной защиты.
Общедоступные папки поддерживаются в облаке, а локальные общедоступные папки можно перенести в облако. Кроме того, общедоступные папки в облаке можно переместить в локальную организацию Exchange. Локальные и облачные пользователи могут получать доступ к общедоступным папкам, расположенным в любой организации, с помощью Outlook в Интернете, Outlook 2016, Outlook 2013 или Outlook 2010 с пакетом обновления 2 (SP2) или более поздней версии. Существующая конфигурация локальных общедоступных папок и доступ к локальным почтовым ящикам не изменяются при настройке гибридного развертывания.
В следующем списке приведены определения основных компонентов, связанных с гибридным развертыванием в Exchange 2013.
Централизованный почтовый транспорт
Вариант гибридной конфигурации, в котором все входящие и исходящие сообщения Exchange Online из и в Интернет маршрутизируются через локальную организацию Exchange. Этот вариант маршрутизации настраивается в мастере настройки гибридной конфигурации. Дополнительные сведения см. в статье Transport options in Exchange hybrid deployments.
Домен сосуществования
Обслуживаемый домен, добавленный в локальную организацию для гибридного потока обработки почты и запросов автообнаружения для службы Microsoft 365 или Office 365. Этот домен добавляется в качестве дополнительного прокси-домена к любым политикам адресов электронной почты с шаблонами PrimarySmtpAddress для доменов, выбранных в мастере гибридной конфигурации. По умолчанию это домен <домен>.mail.onmicrosoft.com.
Hybridconfiguration Объект Active Directory
Объект Active Directory в локальной организации, который включает в себя нужные параметры конфигурации гибридного развертывания, определяемые выбранными значениями в мастере настройки гибридной конфигурации. Гибридный модуль настройки использует эти параметры при настройке локальных параметров и параметров Exchange Online в гибридной конфигурации. Содержимое объекта HybridConfiguration сбрасывается при каждом запуске мастера гибридной конфигурации.
модуль гибридной конфигурации
Модуль гибридной конфигурации выполняет основные действия, необходимые для настройки и обновления гибридного развертывания. Он сравнивает состояние объекта Active Directory HybridConfiguration и текущие параметры конфигурации локальной организации Exchange и Exchange Online, а затем приводит параметры конфигурации развертывания в соответствие с параметрами, определенными в объекте HybridConfiguration в Active Directory. Дополнительные сведения см. в разделе Гибридный модуль конфигурации.
мастер настройки гибридной конфигурации (HCW)
Адаптивное средство в Exchange, помогающее администраторам настроить гибридное развертывание между локальными организациями и Exchange Online. Мастер определяет параметры конфигурации гибридного развертывания в объекте HybridConfiguration и побуждает модуль гибридной конфигурации включить определенные гибридные возможности. Дополнительные сведения см. в разделе Мастер гибридной конфигурации.
гибридное развертывание на основе Exchange 2010
Гибридное развертывание, настроенное с помощью пакета обновления 3 (SP3) для локальных серверов Exchange Server 2010 в качестве конечной точки подключения для служб Microsoft 365 или Office 365 и Exchange Online. Вариант гибридного развертывания для локальных организаций Exchange 2010, Exchange Server 2007 и Exchange Server 2003.
гибридное развертывание на основе Exchange 2013
Гибридное развертывание, настроенное с использованием локальных серверов Exchange 2013 в качестве подключающейся конечной точки для служб Microsoft 365, Office 365 и Exchange Online. Вариант гибридного развертывания для локальных организаций Exchange 2013, Exchange 2010 и Exchange 2007.
Гибридное развертывание на основе Exchange 2016
Гибридное развертывание, настроенное с использованием локальных серверов Exchange 2016 в качестве конечной точки подключения для служб Microsoft 365 или Office 365 и Exchange Online. Вариант гибридного развертывания для локальных организаций Exchange 2016, Exchange 2013 и Exchange 2010.
Безопасный почтовый транспорт
Автоматически настраиваемая функция гибридного развертывания, которая обеспечивает безопасный обмен сообщениями между локальной организацией и организацией Exchange Online. Сообщения шифруются и проходят проверку подлинности с использованием протокола TLS и сертификата, выбранного в мастере настройки гибридной конфигурации. Организация Microsoft 365 или Office 365 — это конечная точка для гибридных транспортных подключений, исходящих из локальной организации, и источник гибридных транспортных подключений к локальной организации из Exchange Online.
Документация по гибридному развертыванию Exchange
В следующей таблице приведены ссылки на разделы, которые содержат дополнительную информацию по управлению гибридными развертываниями в Microsoft Exchange.
Узнайте больше о предварительных требованиях к гибридному развертыванию, включая совместимые организации Exchange Server, требования Microsoft 365 или Office 365 и другие требования к локальной конфигурации.
Создание решения для гибридной идентификации, использующего локальную службу Active Directory, может оказаться непростой задачей. Узнайте, как реализовать безопасное решение для гибридной идентификации.
В качестве гибридного администратора Windows Server вы интегрируете среды Windows Server со службами Azure и управляете Windows Server в локальных сетях.