Управление получателями в гибридных средах Exchange с помощью средств управления

  • Статья

Если вы поддерживаете локальный сервер Exchange Server только для управления получателями в гибридных средах Exchange, даже после перемещения всех получателей в Exchange Online, возможно, вы сможете завершить работу последнего сервера Exchange Server и управлять получателями с помощью Windows PowerShell.

Ранее даже после перемещения всех почтовых ящиков в Exchange Online вам по-прежнему требовался локальный сервер Exchange Server для управления атрибутами этих облачных получателей. Вы отредактировали получателей на сервере Exchange Server в локальная служба Active Directory, а их атрибуты были скопированы в Microsoft Entra идентификатор с помощью синхронизации каталогов. Вы по-прежнему можете использовать этот метод для управления получателями, даже если они все в облаке. Завершение работы сервера Exchange Server является совершенно необязательным.

Примечание.

Вы не можете изменять локальных получателей непосредственно в Microsoft Entra id или Exchange Online, поэтому вам по-прежнему потребуется локальный сервер Exchange Server и синхронизация каталогов с помощью облачной синхронизации или средства Microsoft Entra Connect. Дополнительные сведения см. в разделе Почему может не потребоваться выводить из эксплуатации серверы Exchange из локальной среды.

Будет ли этот новый метод работать на меня?

Обновленная версия средств управления Exchange может устранить необходимость в запуске локального сервера Exchange, если выполняются все следующие инструкции:

  • Вы перенесли все почтовые ящики и общедоступные папки в Exchange Online (без локальных получателей Exchange).
  • Вы используете AD для управления получателями и облачной синхронизации или Microsoft Entra Connect для синхронизации.
  • Вы не используете или не требуете локальный центр администрирования Exchange или управление доступом на основе ролей Exchange (RBAC).
  • Вам удобно использовать Windows PowerShell только для управления получателями.
  • Аудит или ведение журнала действий управления получателями не требуется.
  • Вы используете только один локальный сервер Exchange Server и только для управления получателями.
  • Вы хотите управлять получателями без запуска каких-либо серверов Exchange.

Используйте программу установки Exchange в Exchange 2019 с накопительным обновлением 12 или более поздней версии, чтобы установить последнюю версию средств управления на любом присоединенном к домену компьютере (клиенте или сервере). Инструкции см. в разделе Установка средств управления Exchange.

Предупреждение

НЕ удаляйте последний сервер. Вы можете завершить работу сервера и использовать скрипт для очистки, но НЕ удалять. При удалении сервера из Active Directory удаляются критически важные сведения, что нарушает способность пакета средств управления управлять атрибутами Exchange. Дополнительные сведения см. здесь : Важно. Будьте в курсе

С помощью обновленных средств управления Exchange администраторы домена и члены группы EMT управления получателями (созданной на шаге 6 ниже) могут использовать Windows PowerShell для выполнения следующих командлетов без запуска сервера Exchange Server:

  • Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser и Enable-MailUser.
  • Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact и Enable-MailContact.
  • Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox и Enable-RemoteMailbox.
  • Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup и Enable-DistributionGroup (за исключением Upgrade-DistributionGroup).
  • Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember и Update-DistributionGroupMember.
  • Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy и Update-EmailAddressPolicy.
  • Set-User и Get-User.

Примечание.

Вы не можете изменять локальных получателей непосредственно в Microsoft Entra id или Exchange Online.

Убедитесь, что средства управления могут работать без Exchange Server

Если в вашей среде есть один сервер Exchange Server, работающий исключительно для управления облачными получателями, выполните действия, описанные в этом разделе, чтобы протестировать обновление средств управления.

Подготовка среды Exchange

  1. Убедитесь, что все почтовые ящики находятся в облаке, выполнив следующие команды в командной консоли Exchange:

    Set-AdServerSettings -ViewEntireForest $true
Get-Mailbox

    Примечание.

    По умолчанию встроенные почтовые ящики администратора не синхронизируются с облаком путем облачной синхронизации или Microsoft Entra Connect. Прежде чем продолжить, отключите эти почтовые ящики с помощью Disable-Mailbox.

  2. Убедитесь, что домен сосуществования клиента Exchange Online (обычно что-то вроде "contoso.mail.onmicrosoft.com") настроен в качестве целевого домена доставки, выполнив следующую команду:

    Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain

    Если домен сосуществования не добавлен в качестве удаленного домена, его можно добавить с помощью команды New-RemoteDomain. Например:

    New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'

    Если он не задан в качестве целевого домена доставки, его можно задать с помощью Set-RemoteDomain. Например:

    Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'

    Примечание.

    Если вы уже удалили последний сервер Exchange Server или у вас его не было, вы можете получить доступ к Set-RemoteDomain и New-RemoteDomain командлетам с помощью оснастки Exchange. Установите средства управления Exchange из последнего накопительного обновления для Exchange Server 2019 на любом компьютере, присоединенном к домену, и выполните следующую команду в Windows PowerShell:

    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn

    Этот метод включения оснастки Exchange вручную поддерживается только для этого конкретного случая.

    Установка средств управления Exchange в среде, в которой никогда не было Exchange Server, создаст новую организацию Exchange и подготовит Active Directory для Exchange. Если у вас есть большое развертывание AD или отдельная команда управляет AD, выполните действия, описанные здесь: Подготовка Active Directory и доменов для Exchange Server подготовки AD.

  3. Установите роль Средств управления Exchange с помощью установки накопительных обновлений Exchange Server 2019 за апрель 2022 г. Обновленные средства можно установить на любом присоединенном к домену компьютере в организации Exchange 2013 или более поздней версии.

    Примечание.

    Установка обновленных средств управления Exchange в среде только с Exchange 2013 и (или) Exchange 2016 приведет к обновлению организации Exchange до Exchange Server 2019 года и выполнит обновление схемы AD. Если у вас есть большое развертывание AD или отдельная команда управляет AD, выполните действия, описанные здесь: Подготовка Active Directory и доменов для Exchange Server для обновления схемы.

  4. Установите средства удаленного администрирования Windows Server, выполнив действия, описанные в этой статье: Установка, удаление и отключение и включение средств RSAT.

  5. Если агент скриптов включен, скопируйте ScriptingAgentConfig.xml из папки $env:ExchangeInstallPath\Bin\CmdletExtensionAgents на Exchange Server в папку $env:ExchangeInstallPath\Bin\CmdletExtensionAgents на компьютере с установленным обновлением средств управления.

  6. Запустите предоставленный скрипт, чтобы создать группу безопасности EMT Управления получателями, которая предоставляет пользователям без прав администратора домена управление получателями.

    1. Войдите на компьютер с обновлением средств управления в качестве Администратор домена и откройте Windows PowerShell.

    2. Загрузите оснастку "Управление получателями", выполнив следующую команду:

      Add-PSSnapin *RecipientManagement

    3. Запустите Add-PermissionForEMT.ps1 из папки $env:ExchangeInstallPath\Scripts. Скрипт создает группу безопасности с именем Recipient Management EMT. Члены этой группы имеют разрешения на управление получателями. Все администраторы, не имеющие прав администратора домена, должны выполнять управление получателями, должны быть добавлены в эту группу безопасности.

  7. Войдите на компьютер с помощью обновления средств управления с соответствующими разрешениями (администратор домена или член EMT управления получателями) и загрузите оснастку "Управление получателями", выполнив следующую команду:

    Add-PSSnapin *RecipientManagement

    Этот шаг необходимо выполнять каждый раз, когда вы управляете получателями.

  8. Протестируйте все командлеты управления получателями и убедитесь, что отображаются ожидаемые результаты.

Примечание.

Командлеты при доступе с помощью PowerShell Snapin, например, RecipientManagement будут иметь разницу в типах выходных данных по сравнению с при выполнении с помощью New-PSSession. Это ожидаемо, и все скрипты, использующие типы данных командлетов, должны быть изменены соответствующим образом.

Например, (Get-Mailbox User).EmailAddresses.GetType() при использовании через RecipientManagement SnapIn возвращает тип данных как ProxyAddressCollection, где в качестве того же командлета при выполнении в PSSession будет возвращать тип данных как ArrayList.

  1. Завершите работу последнего сервера Exchange Server и убедитесь, что все командлеты управления получателями по-прежнему работают должным образом.

Окончательное завершение последнего Exchange Server

Если вы планируете окончательно завершить работу последней Exchange Server, рекомендуется выполнить следующие действия для очистки и улучшения состояния безопасности среды.

Важно!

Если вы используете последний сервер Exchange Server для каких-либо целей, кроме управления получателями (для exmaple, smtp-ретранслятора), не выключайте его.

  1. Включите последний сервер Exchange Server.

  2. Очистите гибридную конфигурацию, выполнив шаги 1–8 для сценария 2 в разделе Как и когда следует выводить из эксплуатации локальные серверы Exchange в гибридном развертывании.

  3. Удалите доверие федерации, выполнив следующую команду в командной консоли Exchange:

    Remove-FederationTrust "Microsoft Federation Gateway"

  4. Удалите сертификат федерации. Чтобы найти отпечаток сертификата, выполните следующую команду:

    $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint

    Чтобы удалить отпечаток сертификата, выполните следующую команду:

    Remove-ExchangeCertificate -Thumbprint $fedThumbprint

  5. Удалите учетные данные субъекта-службы, созданные для OAuth. Для этого необходимо определить, какой keyId соответствует значению ключа сертификата OAuth. Чтобы найти соответствующий KeyId, выполните следующие действия.

    1. Выполните следующие команды в командной консоли Exchange, чтобы получить OAuth credValue:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$credValue = [System.Convert]::ToBase64String($certBytes)

    2. Найдите идентификатор KeyId, аналогичный приведенному выше $credValue, выполните следующие команды от имени администратора клиента с помощью Microsoft Graph PowerShell.

      Import-Module Microsoft.Graph.Applications
Connect-MgGraph -Scopes "Application.Read.All"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MgServicePrincipalByAppId -AppId $ServiceName
$keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId

      При этом возвращается keyId ключа, значение которого соответствует $credValue, найденному выше.

    3. Чтобы удалить учетные данные субъекта-службы, выполните следующую команду:

      Import-Module Microsoft.Graph.Applications
$params = @{
KeyId = $keyId
}
Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params

  6. Удалите гибридный агент. Если ваша среда имеет современную гибридную конфигурацию, выполните следующие действия, чтобы удалить ее.

    1. На компьютере, где установлен гибридный агент, откройте командную консоль Exchange и измените каталог на расположение скрипта C:\Program Files\Microsoft Hybrid Service\HybridManagement.psm1 , а затем импортируйте модуль PowerShell гибридного агента.

      Import-Module .\HybridManagement.psm1

    2. Чтобы удалить приложение, требуется идентификатор AppId. Используйте любой из следующих командлетов в Exchange Online PowerShell, чтобы найти AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr

      Результат выглядит следующим образом:

      TargetSharingEpr
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx

      Или выполните следующую команду:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer

      Результат выглядит следующим образом:

      RemoteServer
------------
6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net

      В этом примере 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 является идентификатором AppId, который будет использоваться на следующем шаге.

    3. Удалите приложение, выполнив следующую команду:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)

      Примечание.

      AppId — 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 только в этом примере; значение будет другим.

    4. Удалите гибридный агент, выполнив действия, описанные здесь: Удаление гибридного агента.

  7. Если вы еще этого не сделали, укажите записи DNS MX и автообнаружения на Exchange Online. Этот шаг важен для обеспечения того, чтобы поток обработки почты не пострадал. Дополнительные сведения см. в статье Записи системы внешних доменных имен для Office 365.

  8. Завершите работу последнего сервера Exchange Server.

Очистка Active Directory

Если вы планируете больше не запускать локальный сервер Exchange Server, рекомендуется очистить Active Directory, удалив ненужные объекты Exchange.

Предупреждение

Этот шаг нельзя отменить. Продолжайте, только если вы никогда не хотите запускать Exchange Server снова.

Очистку AD можно выполнить, запустив скрипт CleanupActiveDirectoryEMT, поставляемый со средствами управления. Скрипт удаляет системные почтовые ящики, ненужные контейнеры Exchange, разрешения для групп безопасности Exchange в доменах и разделах конфигурации, а также группы безопасности Exchange. Этот скрипт необходимо запустить с учетными данными администратора домена.

Этот скрипт доступен по адресу: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Важно! Будьте в курсе

Предупреждение

После завершения работы последнего сервера Exchange RBAC больше не будет работать. Пользователи, которые входили в группы получателей Exchange или имели настраиваемые роли Exchange, разрешающие управление получателями, больше не будут иметь разрешения. Управлять получателями смогут только администраторы домена и пользователи, которым назначены разрешения с помощью Add-PermissionForEMT.ps1 скрипта.

После завершения работы последнего сервера Exchange Server и выполнения действий по очистке гибридной среды Exchange и Active Directory, как описано ранее, следует стереть и переформатировать последний сервер Exchange Server. Не удаляйте Exchange Server.

Обновите роль только средств управления Exchange Server (без запуска Exchange Server) до более новой накопительной версии или обновления для системы безопасности.

Вы выполнили действия, описанные в этой статье, чтобы удалить последнюю Exchange Server и используете только роль средств управления для управления гибридными объектами.

Обновление средств управления до более новых накопительных обновлений (CU)

В таких средах при обновлении сервера ролей только средств управления до более новой cu-версии может возникнуть сбой со следующей ошибкой:

Снимок экрана: средства управления обновлением до более новых накопительных обновлений.

Active Directory необходимо подготовить с помощью параметра Setup /PrepareAD, прежде чем Exchange Server средства управления можно будет обновить до более новой версии CU.

Чтобы обновить средства управления до более нового cu, выполните следующие действия.

  1. Используйте следующую команду, чтобы выполнить PrepareAD:

    .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  2. Используйте следующую команду, чтобы обновить роль только средства управления:

    .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  3. Если вы ранее выполняли .\CleanupActiveDirectoryEMT.ps1 выполнение в среде в разделе Управление получателями в гибридных средах Exchange с помощью средств управления, запустите .\CleanupActiveDirectoryEMT.ps1 скрипт еще раз (так как /PrepareAD повторно создал некоторые объекты, которые CleanupActiveDirectoryEMT.ps1 удаляются).

Предупреждение

Убедитесь, что скрипт выполняется CleanupActiveDirectoryEMT.ps1 только в среде, в которой вы уже выполнили управление получателями в гибридных средах Exchange с помощью средств управления , и скрипт уже был запущен ранее (и серверы Exchange Server не запущены). Это действие невозможно отменить.

Обновление средств управления до более нового обновления системы безопасности (SU)

Скачайте пакет обновления для системы безопасности и запустите его для роли средств управления обновлением в более новый su.