Управление получателями в Exchange гибридных средах с помощью средств управления

Если вы используете локальный сервер Exchange только для управления получателями в гибридных средах Exchange, даже после перемещения всех получателей в Exchange Online, вы можете завершить работу последнего сервера Exchange и управлять получателями с помощью Windows PowerShell.

Ранее, даже после перемещения всех почтовых ящиков в Exchange Online, вам по-прежнему нужен локальный сервер Exchange для управления этими атрибутами облачных получателей. Вы отредактировали получателей на сервере Exchange в локальная служба Active Directory, а их атрибуты были скопированы в Azure AD с помощью синхронизации каталогов. Вы по-прежнему можете использовать этот метод для управления получателями, даже если они все находятся в облаке. Завершение работы Exchange сервера является необязательным.

Примечание

Вы не можете изменять локальных получателей непосредственно в Azure AD или Exchange Online, поэтому вам по-прежнему требуется локальная синхронизация сервера Exchange и каталогов с помощью средства Azure AD Подключение. Дополнительные сведения см. в статье "Почему вы не хотите списание Exchange серверов из локальной среды".

Будет ли этот новый метод работать для меня?

Обновленная версия средств управления Exchange может исключить необходимость в запуске локального сервера Exchange, если выполняются все следующие инструкции:

  • Вы перенесите все почтовые ящики и общедоступные папки в Exchange Online (локальные Exchange получателей).
  • AD используется для управления получателями и Azure AD Подключение синхронизации.
  • Вы не используете или не требуете локального центра администрирования Exchange или Exchange управления доступом на основе ролей (RBAC).
  • Вы можете использовать Windows PowerShell только для управления получателями.
  • Аудит или ведение журнала действий по управлению получателями не требуется.
  • Вы используете только один локальный сервер Exchange и только для управления получателями.
  • Вы хотите управлять получателями без запуска каких-либо Exchange серверов.

Используйте Exchange установки в накопительном Exchange 2019 с обновлением 12 или более поздней версии, чтобы установить последние средства управления на любом присоединенном к домену компьютере (клиенте или сервере). Инструкции см. в статье "Установка Exchange управления".

Предупреждение

НЕ удаляйте последний сервер. Вы можете завершить работу сервера и использовать сценарий для очистки, но НЕ удаляйте его. При удалении сервера из Active Directory удаляются важные сведения, которые не позволяют пакету средства управления управлять Exchange атрибутами. Дополнительные сведения см . здесь: Важно: имейте в виду

С помощью обновленных средств управления Exchange администраторы домена и члены группы EMT управления получателями (созданные на шаге 6 ниже) могут использовать Windows PowerShell для выполнения следующих командлетов без запущенного Exchange-сервера:

  • Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser и Enable-MailUser.
  • Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact и Enable-MailContact.
  • Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox и Enable-RemoteMailbox.
  • Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup и Enable-DistributionGroup (за исключением Upgrade-DistributionGroup).
  • Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember и Update-DistributionGroupMember.
  • Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy и Update-EmailAddressPolicy.
  • Set-User и Get-User.

Примечание

Локальные получатели нельзя изменять непосредственно в Azure AD или Exchange Online.

Убедитесь, что средства управления могут работать без Exchange Server

Если в вашей среде есть один сервер Exchange, работающий исключительно для управления облачными получателями, выполните действия, описанные в этом разделе, чтобы протестировать обновление средств управления.

Подготовка Exchange среды

  1. Убедитесь, что все почтовые ящики находятся в облаке, выполнив следующие команды в Exchange Management Shell:

    Set-AdServerSettings -ViewEntireForest $true
    Get-Mailbox
    

    Примечание

    По умолчанию встроенные почтовые ящики администраторов не синхронизируются с облаком по Azure AD Подключение. Прежде чем продолжить, отключите эти почтовые ящики с помощью Disable-Mailbox.

  2. Убедитесь, что Exchange Online домен сосуществования клиента (обычно это "contoso.mail.onmicrosoft.com") настроен в качестве целевого домена доставки, выполнив следующую команду:

    Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain
    

    Если домен сосуществования не добавлен в качестве удаленного домена, его можно добавить с помощью New-RemoteDomain. Пример.

    New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'
    

    Если он не задается в качестве целевого домена доставки, его можно задать с помощью Set-RemoteDomain. Пример.

    Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'
    

    Примечание

    Если вы уже удалили последний сервер Exchange или у вас его никогда не было, вы можете получить доступ к командлетам Set-RemoteDomain и New-RemoteDomain с помощью оснастки Exchange. Установите средства управления Exchange из последнего накопительного пакета обновления Exchange Server 2019 на любом компьютере, присоединенном к домену, и выполните следующую команду в Windows PowerShell:

    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
    

    Этот метод ручного включения оснастки Exchange поддерживается только для этого конкретного случая.

    При установке Exchange управления в среде, в Exchange Server не было Exchange, и будет подготавливать Active Directory к Exchange. Если у вас есть крупное развертывание AD или отдельная команда управляет AD, выполните следующие действия: подготовка Active Directory и доменов для Exchange Server подготовки AD.

  3. Установите роль Exchange management Tools с Exchange Server накопительным пакетом обновления за апрель 2022 г. Обновленные средства можно установить на любом компьютере, присоединенном к домену, в Exchange 2013 или более поздней Exchange организации.

    Примечание

    Установка обновленных средств управления Exchange в среде только с Exchange 2013 и (или) Exchange 2016 обновит организацию Exchange до Exchange Server 2019 и выполнит обновление схемы AD. Если у вас большое развертывание AD или отдельная команда управляет AD, выполните следующие действия: подготовка Active Directory и доменов Exchange Server для обновления схемы.

  4. Установите Windows удаленного администрирования сервера, выполнив действия, описанные в этой статье: установка, удаление и отключение или включение средств RSAT.

  5. Если агент скриптов включен, скопируйтеScriptingAgentConfig.xml **** из папки $env:ExchangeInstallPath\Bin\CmdletExtensionAgents на Exchange Server в папку $env:ExchangeInstallPath\Bin\CmdletExtensionAgents на компьютере с установленным обновлением средств управления.

  6. Запустите предоставленный скрипт, чтобы создать группу безопасности EMT для управления получателями, которая предоставляет пользователям без прав администратора домена управление получателями.

    1. Войдите на компьютер с помощью обновления средств управления в качестве администратора домена и откройте Windows PowerShell.

    2. Загрузите оснастку "Управление получателями", выполнив следующую команду:

      Add-PSSnapin *RecipientManagement
      
    3. Выполните Add-PermissionForEMT.ps1 из папки $env:ExchangeInstallPath\Scripts. Скрипт создает группу безопасности с именем EMT для управления получателями. Члены этой группы имеют разрешения на управление получателями. В эту группу безопасности должны быть добавлены все администраторы без прав администратора домена, которые должны выполнять управление получателями.

  7. Войдите на компьютер с помощью обновления средств управления с соответствующими разрешениями (администратор домена или член EMT управления получателями) и загрузите оснастку "Управление получателями", выполнив команду:

    Add-PSSnapin *RecipientManagement
    

    Этот шаг необходимо делать каждый раз, когда вы управляете получателями.

  8. Проверьте все командлеты управления получателями и убедитесь, что вы видите ожидаемые результаты.

  9. Завершите работу последнего Exchange сервера и убедитесь, что все командлеты управления получателями по-прежнему работают должным образом.

Окончательное завершение работы последнего Exchange Server

Если вы планируете окончательно завершить работу последнего Exchange Server, рекомендуется выполнить следующие действия для очистки и улучшения состояния безопасности среды.

Важно!

Если вы используете последний сервер Exchange для любой цели, кроме управления получателями (для exmaple, ретранслятора SMTP), не завершайте его работу.

  1. Включите последний Exchange сервера.

  2. Очистите гибридную конфигурацию, выполнив шаги 1–8 для сценария 2 в разделе "Как и когда" списать локальные Exchange серверы в гибридном развертывании.

  3. Удалите доверие федерации, выполнив следующую команду в Exchange Management Shell:

    Remove-FederationTrust "Microsoft Federation Gateway"
    
  4. Удаление сертификата федерации. Чтобы найти отпечаток сертификата, выполните следующую команду:

    $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint
    

    Чтобы удалить отпечаток сертификата, выполните следующую команду:

    Remove-ExchangeCertificate -Thumbprint $fedThumbprint
    
  5. Удалите учетные данные субъекта-службы, созданные для OAuth. Для этого необходимо определить, какой keyId соответствует значению ключа сертификата OAuth. Чтобы найти соответствующий идентификатор Ключа, выполните следующие действия.

    1. Выполните следующие команды в Exchange Management Shell, чтобы получить значение credValue OAuth:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      
    2. Find the KeyId that is same as the $credValue found above, run the following commands as a tenant admin using the Azure Active Directory Module for Windows PowerShell.

      Install-Module -Name MSOnline
      Connect-MsolService
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceName
      $keyId = (Get-MsolServicePrincipalCredential -AppPrincipalId $p.AppPrincipalId -ReturnKeyValues $true | ?{$_.Value -eq $credValue}).KeyId
      

      При этом возвращается keyId ключа, значение которого соответствует $credValue указанному выше.

    3. Чтобы удалить учетные данные субъекта-службы, выполните следующую команду:

      Remove-MsolServicePrincipalCredential -KeyIds @($keyId) -AppPrincipalId $p.AppPrincipalId
      
  6. Удалите гибридный агент. Если ваша среда имеет современную гибридную конфигурацию, выполните приведенные ниже действия, чтобы удалить ее.

    1. На компьютере, где установлен гибридный агент, откройте командную консоль Exchange и измените каталог на расположение скрипта C:\Program Files\Microsoft Hybrid Service\HybridManagement.psm1, а затем импортируйте модуль PowerShell гибридного агента.

      Import-Module .\HybridManagement.psm1
      
    2. Чтобы удалить приложение, требуется appId. Используйте любой из следующих командлетов в Exchange Online PowerShell, чтобы найти AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      Результат выглядит следующим образом:

      TargetSharingEpr
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      Или выполните следующую команду:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      Результат выглядит следующим образом:

      RemoteServer
      ------------
      6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
      

      В этом примере 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 — это Идентификатор приложения, который будет использоваться на следующем шаге.

    3. Удалите приложение, выполнив:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
      

      Примечание

      AppId имеет значение 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 только для этого примера; ваше значение будет другим.

    4. Удалите агент гибридного развертывания, выполнив следующие действия: удаление гибридного агента.

  7. Если вы еще не сделали этого, наведите указатель на записи DNS MX и автообнаружения, чтобы Exchange Online. Этот шаг важен для того, чтобы поток обработки почты не был затронут. Дополнительные сведения см. в записях системы внешних доменных имен для Office 365.

  8. Завершите работу последнего Exchange сервера.

Очистка Active Directory

Если вы планируете больше никогда не запускать локальный сервер Exchange, рекомендуется очистить Active Directory, удалив ненужные Exchange объектов.

Предупреждение

Этот шаг нельзя отменить. Продолжайте только в том случае, если больше Exchange Server запускать.

Очистку AD можно выполнить, запустив скрипт CleanupActiveDirectoryEMT, поставляемый с помощью средств управления. Скрипт удаляет системные почтовые ящики, ненужные Exchange контейнеры, разрешения для групп безопасности Exchange в разделах домена и конфигурации, а также Exchange групп безопасности. Этот сценарий необходимо запустить с учетными данными администратора домена.

Этот сценарий доступен по адресу: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Важно! Имейте в виду

Предупреждение

После завершения работы последнего Exchange сервере Exchange RBAC больше не будет работать. Пользователи, которые были частью Exchange получателей или имели настраиваемые роли Exchange, позволяющие управлять получателями, больше не будут иметь разрешений. Управлять получателями смогут Add-PermissionForEMT.ps1 только администраторы домена и пользователи, которым назначено разрешение с помощью скрипта.

После завершения работы последнего сервера Exchange и выполнения гибридных действий по очистке Exchange и Active Directory, как описано выше, следует удалить и переформатировать последний Exchange-сервер. Не удаляйте Exchange Server.