Гибридные развертывания в нескольких лесах
Гибридные развертывания Exchange 2013 и более поздних версий поддерживаются организациями с несколькими локальными лесами Exchange и одной организацией Microsoft 365 или Office 365. Для функций и рекомендаций гибридного развертывания организации с несколькими лесами определяются как организации с серверами Exchange Server, развернутыми в нескольких лесах. Организации, использующие лес ресурсов для учетных записей пользователей, но содержащие все серверы Exchange в одном лесу, не являются организациями с несколькими лесами в гибридном развертывании. При планировании и настройке гибридного развертывания эти типы организаций необходимо рассматривать как организации с одиночным лесом.
Перенос общедоступных папок из локальной среды в Microsoft 365 или Office 365 поддерживается только из одного леса Active Directory. Аналогично, доступ к общедоступным папкам в гибридном состоянии поддерживается, только когда локальные общедоступные папки размещаются в одном лесу Active Directory.
Дополнительные сведения о гибридных развертываниях см. в разделе Exchange Server гибридных развертываний.
Важно!
Для Exchange 2013 и более поздних версий для гибридных развертываний требуется последнее накопительное обновление (CU), доступное для версии Exchange, установленной в локальной организации.
Если не удается установить последнее обновление, также поддерживается предыдущий выпуск. Предыдущие CU и ЕЗ не поддерживаются. Дополнительную информацию см. в статье Предварительные условия для гибридного развертывания.
Необходимые условия для гибридных развертываний с несколькими лесами
Предварительные требования к гибридному развертыванию с несколькими лесами практически идентичны предварительным требованиям для гибридного развертывания для организации с одним лесом, за следующими исключениями:
Автообнаружения. Каждый лес Exchange должен быть полномочным по крайней мере для одного пространства имен SMTP и соответствующего пространства имен автообнаружения. Если в нескольких лесах Exchange имеются общие домены, конечные точки как маршрутизации, так и обнаружения должны быть правильно настроены для надлежащего взаимодействия лесов Exchange, прежде чем будет выполнена настройка гибридного развертывания с несколькими лесами. В службе Office 365 должна быть обеспечена возможность отправки запросов в службу автообнаружения в каждом лесу Exchange.
Сертификаты. Для всех гибридных развертываний требуется цифровой сертификат, выданный доверенным сторонним центром сертификации (ЦС). Для гибридного развертывания с несколькими лесами нельзя использовать один цифровой сертификат для нескольких лесов Active Directory. Каждый лес должен иметь специальный сертификат центра сертификации, чтобы обеспечить надлежащую работу безопасного транспорта почты в гибридном развертывании. Сертификаты, используемые для обеспечения возможностей гибридного развертывания в каждом лесу организации, должны отличаться по крайней мере следующими свойствами:
Общее имя. Общее имя (CN) цифрового сертификата является частью субъекта сертификата. Оно должно соответствовать проверяемому узлу и обычно является внешним именем узла на сервере клиентского доступа в лесу Active Directory. Например, mail.contoso.com. Рекомендуется рассматривать общее имя как отличительный признак сертификатов Active Directory, используемых в гибридных развертываниях с несколькими лесами.
Издатель: сторонний ЦС, который проверил сведения об организации и выдал сертификат. Например, VeriSign или Go Daddy. Например, в гибридном развертывании с несколькими лесами один лес будет иметь сертификат, выданный VeriSign, а один лес — сертификат, выданный Go Daddy.
Важно!
Сертификат, установленный на серверах почтового ящика и клиентского доступа (и пограничного транспорта, если они развернуты) в каждом лесу Active Directory, используемом для передачи почты в гибридном развертывании, должен быть выдан тем же центром сертификации и иметь одинаковое общее имя.
На пограничном транспортном сервере, если общее имя сертификата и имя издателя не совпадают, их можно вручную задать в соединителе получения с помощью следующих команд:
$cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate" $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)" Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatenameСерверы Exchange. В каждом лесу Active Directory, настроенном для гибридного развертывания, необходимо установить по крайней мере один сервер Exchange 2013 с ролью сервера Клиентского доступа или один сервер Exchange 2016 или более поздней версии с ролью почтовых ящиков.
В Exchange 2013 сервер клиентского доступа — это конечная точка входящего безопасного транспорта почты для службы Exchange Online Protection (EOP), включенной в службу microsoft 365 или Office 365 организации, и позволяет мастеру гибридной конфигурации выполняться в лесу Active Directory. Кроме того, в каждом лесу Active Directory, настроенном для гибридного развертывания, должен быть по крайней мере один сервер Exchange с установленной ролью сервера почтовых ящиков. Сервер почтовых ящиков Exchange 2013 — это конечная точка исходящего безопасного транспорта почты для сообщений, отправляемых в службу EOP и Exchange Online организацию.
В Exchange 2016 и более поздних версиях роль сервера почтовых ящиков обрабатывает весь безопасный транспорт входящей и исходящей почты между локальной организацией и Exchange Online.
Планирование пространства имен. Каждому лесу, в котором устанавливается Exchange, требуется собственное уникальное внешне обнаруживаемое пространство имен. Уникальное пространство имен леса будет указано в мастере гибридной конфигурации при его запуске в каждом лесу.
Синхронизация Active Directory. Для всех гибридных развертываний требуется синхронизация Active Directory с Microsoft 365 или Office 365. Если ваша компания уже настроила синхронизацию Active Directory между локальной организацией с несколькими лесами и Microsoft 365 или Office 365 с помощью Forefront Identity Manager, можно использовать Microsoft Entra Connect.
Единый вход. Хотя для гибридных развертываний с одними лесами Active Directory не требуется, администраторы могут настроить сервер единого входа в каждом лесу Active Directory или настроить один сервер единого входа, если между локальными лесами настроено двустороннее доверие леса. Вы используете AD FS или синхронизацию паролей, чтобы обеспечить беспроблемную проверку подлинности пользователей.
Дополнительные сведения см. в статье Единый вход в гибридных развертываниях.
Полный список предварительных требований для гибридного развертывания см. в разделе Предварительные требования для гибридного развертывания.
Сценарий гибридного развертывания с несколькими лесами
Рассмотрим следующий сценарий. Это пример топологии, который предоставляет общие сведения о типичном развертывании Exchange 2013. Contoso, Ltd. — это организация с несколькими лесами и несколькими доменами с двумя лесами Active Directory. Лес А содержит домен contoso.com, а лес Б — домен sale.contoso.com. Каждый из них содержит контроллеры домена в каждом лесу, один сервер Exchange 2013 с установленной ролью клиентского доступа и один сервер Exchange 2013 с установленной ролью сервера почтовых ящиков. Удаленные пользователи Contoso используют Outlook Web App для подключения к Exchange 2013 через Интернет для проверка своих почтовых ящиков и доступа к календарю Outlook.
Предположим, что вы являетесь администратором сети компании Contoso и заинтересованы в настройке гибридного развертывания. Вы развертываете и настраиваете необходимый сервер синхронизации Active Directory в лесу A, а также решаете развернуть сервер службы федерации Active Directory (AD FS) (AD FS), чтобы свести к минимуму количество запросов учетных данных учетной записи для пользователей и администраторов Contoso, обращаюющихся к Microsoft 365 или Office 365 службы в лесу A. После выполнения предварительных требований к гибридному развертыванию и использования мастера гибридной конфигурации для выбора параметров гибридного развертывания новая топология имеет следующую конфигурацию:
Пользователи будут использовать имеющиеся учетные данные сетевой учетной записи для входа в локальные и Exchange Online организации ("единый вход").
Для почтовых ящиков пользователей, расположенных в локальной организации и организации Exchange Online, будут использоваться несколько доменов адресов электронной почты. Например, почтовые ящики, расположенные в локальном лесу A, и некоторые почтовые ящики, расположенные в Exchange Online организации, будут использовать @contoso.com в адресах электронной почты пользователей и почтовые ящики в лесу B, а некоторые почтовые ящики, расположенные в Exchange Online организации, будут использовать @sales.contoso.com.
Всю почту в Интернет доставляет локальная организация. Управление транспортировкой всех сообщений осуществляется локальной организацией, которая выступает в качестве ретранслятора для организации Exchange Online ("централизованная транспортировка почты").
Пользователи локальной организации и организации Exchange Online могут обмениваться друг с другом сведениями о доступности. Связи организации, настроенные для обеих организаций, также предоставляют возможность отслеживания сообщений между организациями, включения подсказок и поиска сообщений.
Локальные пользователи и пользователи Exchange Online применяют один URL-адрес для подключения к почтовым ящикам через Интернет.
Если сравнить существующую конфигурацию организации Contoso с конфигурацией гибридного развертывания, можно увидеть, что при настройке гибридного развертывания были добавлены серверы и службы, поддерживающие дополнительные функции и возможности подключения между локальной организацией и организацией Exchange Online. Далее приводится обзор изменений исходной локальной организации Exchange, которые были выполнены в результате развертывания гибридного сценария.
| Конфигурация | До гибридного развертывания | После гибридного развертывания |
|---|---|---|
| Расположение почтового ящика | Только локальные почтовые ящики. | Локальные почтовые ящики и почтовые ящики в Exchange Online. |
| Транспортировка сообщений | Локальный сервер клиентского доступа обрабатывает все запросы маршрутизации входящих и исходящих сообщений. | Локальный сервер клиентского доступа обеспечивает внутреннюю маршрутизацию сообщений между локальной организацией и организацией Exchange Online. |
| Outlook Web App | Локальный сервер клиентского доступа получает все запросы Outlook Web App и отображает сведения о почтовом ящике. | Локальный сервер клиентского доступа перенаправляет Outlook Web App запросы на локальный сервер почтовых ящиков Exchange 2013 или предоставляет ссылку для входа в Exchange Online организацию. |
| Единый глобальный список адресов для обеих организаций | Не применимо; только для отдельных организаций. | Локальный сервер синхронизации Active Directory реплицирует сведения Active Directory для объектов с поддержкой почты в Exchange Online организацию. |
| В обеих организациях используется компонент единого входа | Неприменимо; только для одной организации. | Локальный сервер службы федерации Active Directory (AD FS) (AD FS) поддерживает использование учетных данных единого входа для почтовых ящиков, расположенных локально, в Microsoft 365 или Office 365 организации. |
| Установлено отношение организации и доверие федерации с системой проверки подлинности Microsoft Entra | Отношения доверия с Microsoft Entra система проверки подлинности и отношения организации с другими федеративными организациями Exchange могут быть настроены. | Требуется отношение доверия к системе проверки подлинности Microsoft Entra. Связи организации устанавливаются между локальной организацией и организацией Exchange Online. |
| Обмен сведениями о доступности | Обмен сведениями о доступности только между локальными пользователями. | Обмен сведениями о доступности между пользователями локальной организации и организации Exchange Online. |
Настройка гибридных развертываний в организациях с несколькими лесами
Чтобы настроить гибридное развертывание для организации с несколькими лесами, необходимо выполнить следующие основные действия:
Убедитесь, что выполнены предварительные требования к гибридному развертыванию. См. предварительные требования, перечисленные ранее в этом разделе, и Предварительные требования для гибридного развертывания. Как правило, сервер синхронизации Active Directory необходимо установить только для одного леса. Дополнительные сведения см. в разделе Топологии для Microsoft Entra Connect.
Получите сертификат стороннего центра сертификации для каждого леса Active Directory, удовлетворяющего требованиям, перечисленным выше в этом разделе.
Установите сертификат на все серверы клиентского доступа Exchange 2013 и на все серверы почтовых ящиков или серверы почтовых ящиков Exchange 2016 в каждом лесу.
Выполните действия, описанные в разделе Создание гибридного развертывания с помощью мастера гибридной конфигурации для основного леса.
Важно!
Обязательно выберите сертификат, предназначенный для основного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.
Выполните действия, описанные в разделе Создание гибридного развертывания с помощью мастера гибридной конфигурации для дополнительного леса.
Важно!
Обязательно выберите сертификат, предназначенный для дополнительного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.