Exchange Server 混合部署
摘要:规划 Exchange 混合部署需要了解的内容。
混合部署使组织可以将随其现有内部部署 Microsoft Exchange 组织提供的功能丰富的体验和管理控制扩展到云。 混合部署可在本地 Exchange 组织与 Exchange Online 之间提供单个 Exchange 组织的无缝外观。 此外,混合部署可以充当完全迁移到 Exchange Online 组织的中间步骤。
Exchange 混合部署功能
混合部署支持以下功能:
内部部署组织与 Exchange Online 组织之间的安全邮件路由。
使用共享域命名空间的邮件路由。 例如,本地和 Exchange Online 组织都使用 @contoso.com SMTP 域。
统一全局地址列表 (GAL),也称为"共享地址簿"。
内部部署组织与 Exchange Online 组织之间的忙/闲状态共享和日历共享。
集中控制入站和出站邮件流。 可以将所有入站和出站 Exchange Online 邮件配置为通过内部部署 Exchange 组织路由。
用于内部部署和 Exchange Online 组织的单个 Web 上的 Outlook URL
可以将现有内部部署邮箱移到 Exchange Online 组织。 如果需要,还可以将 Exchange Online 邮箱移回内部部署组织。
使用内部部署 Exchange 管理中心 (EAC) 集中管理邮箱。
内部部署组织和 Exchange Online 组织之间的邮件跟踪、邮件提醒和多邮箱搜索。
内部部署 Exchange 邮箱基于云的邮件存档。 Exchange Online Archiving 可以与混合部署一起使用。 有关 Exchange Online 存档的详细信息,请参阅 Exchange Online 存档服务说明。
Exchange 混合部署的注意事项
在实现 Exchange 混合部署之前,请考虑以下事项:
混合部署要求:在配置混合部署之前,需要确保本地组织满足成功部署所需的所有先决条件。 有关更多信息,请参阅 混合部署先决条件。
Exchange ActiveSync 客户端:将邮箱从本地 Exchange 组织移动到 Exchange Online 时,需要更新访问邮箱的所有客户端才能使用 Exchange Online;这包括 Exchange ActiveSync 设备。 大多数 Exchange ActiveSync 客户端现在都会在邮箱移到 Exchange Online 中时自动重新配置,但是,某些旧的设备可能不会正确升级。 有关详细信息,请参阅 使用 Exchange 混合部署的 Exchange ActiveSync 设备设置。
邮箱权限迁移:显式应用于邮箱的本地邮箱权限(如发送方式、完全访问权限、代表发送和文件夹权限)将迁移到 Exchange Online。 不会迁移继承(非明确)邮箱权限和授予给 Exchange Online 中未启用邮件的对象的权限。 在迁移之前,请务必明确授予所有权限,并确保所有对象都启用邮件。 因此,必须计划在 Exchange Online 中配置这些权限(如果适用于组织)。
支持跨界邮箱权限:Exchange 混合部署支持在本地 Exchange 组织中的邮箱与位于 Exchange Online 中的邮箱之间使用“完全访问”和“代表发送”权限。 "发送方式"权限需要其他步骤。 此外,可能需要一些额外的配置来支持跨界邮箱权限,具体取决于在本地组织中安装的 Exchange 版本。 有关详细信息,请参阅 Exchange 混合部署中的权限和配置 Exchange 以支持混合部署中的委派邮箱权限中的委派邮箱权限。
卸载:作为正在进行的收件人管理的一部分,可能需要将 Exchange Online 邮箱移回本地环境。
有关如何在基于 Exchange 2010 的混合部署中移动邮箱的详细信息,请参阅Move an Exchange Online mailbox to the on-premises organization。
有关如何在基于 Exchange 2013 或更新版本的混合部署中移动邮箱的详细信息,请参阅在混合部署的本地组织和 Exchange Online 组织之间移动邮箱。
-
邮箱转发设置:邮箱可以设置为自动转发发送给他们的邮件到另一个邮箱。 虽然 Exchange Online 支持邮箱转发,但转发配置未随邮箱迁移一起复制到 Exchange Online 中。 将邮箱迁移到 Exchange Online 前,请务必先导出各个邮箱的转发配置。 转发配置存储在每个邮箱的
DeliverToMailboxAndForward
、ForwardingAddress
和ForwardingSmtpAddress
属性中。
Exchange 混合部署组件
混合部署涉及多个不同的服务和组件:
Exchange 服务器:如果要配置混合部署,至少需要在本地组织中配置一台 Exchange 服务器。 如果您运行 Exchange 2013 或更低版本,您需要至少安装一台运行邮箱角色和客户端访问角色的服务器。 如果您运行 Exchange 2016 或更新版本,至少必须安装一台运行邮箱角色的服务器。 如果需要,还可以将 Exchange 边缘传输服务器安装在外围网络中,并支持使用 Microsoft 365 或 Office 365 的安全邮件流。
注意
我们不支持在外围网络中安装运行邮箱服务器角色或客户端访问服务器角色的 Exchange 服务器。
重要
混合部署需要适用于 Exchange 版本的最新累积更新 (CU) 或更新汇总 (RU) 。 建议使用具有最新 CU 和 SU 的 Exchange Server 来配置混合。 如果无法安装最新更新,则还支持上一个版本。
Office 365 或 Microsoft 365:多个 Office 365 和 Microsoft 365 服务订阅包括 Exchange Online 组织。 配置混合部署的组织需要为迁移到 Exchange Online 组织或者在 Exchange Online 组织中创建的每个邮箱购买一个许可证。
混合配置向导:Exchange 包括混合配置向导,该向导提供在本地 Exchange 和 Exchange Online 组织之间配置混合部署的简化过程。
有关详细信息,请参阅 "混合配置"向导。
Microsoft Entra 身份验证系统:Microsoft Entra 身份验证系统是基于云的免费服务,充当本地 Exchange 2016 组织和 Exchange Online 组织之间的信任代理。 配置混合部署的本地组织必须与 Microsoft Entra 身份验证系统建立联合信任。 可手动创建联合信任作为配置本地 Exchange 组织和其他联合 Exchange 组织之间的联合共享功能的一部分,或使用混合配置向导配置混合部署的一部分。 激活 Microsoft 365 或 Office 365 服务帐户时,将自动配置与 Exchange Online 租户的 Microsoft Entra 身份验证系统的联合信任。
有关详细信息,请参阅: 什么是与 Microsoft Entra ID 的联合?。
Microsoft Entra 同步:Microsoft Entra 同步使用 云同步 或 连接同步 将已启用邮件的对象的本地 Active Directory 信息复制到云,以支持统一的全局地址列表 (GAL) 和用户身份验证。 配置混合部署的组织需要在单独的本地服务器上部署云同步或连接同步,以便将本地 Active Directory 与 Microsoft 365 或 Office 365 同步。
有关详细信息,请参阅: Exchange 混合写回进行同步。
混合部署示例
看一下下面的情况。 它是一个示例拓扑,概述了典型的 Exchange 2016 部署。 Contoso, Ltd. 是一个单林、单域组织,安装了两个域控制器和一台 Exchange 2016 服务器。 远程 Contoso 用户使用 Outlook 网页版通过 Internet 连接到 Exchange 2016,以检查其邮箱并访问其 Outlook 日历。
假设您是 Contoso 的网络管理员,同时对配置混合部署感兴趣。 部署并配置所需的 Microsoft Entra Connect 服务器,并且还决定使用 Microsoft Entra Connect 密码同步功能,以允许用户对其本地网络帐户及其 Microsoft 365 或 Office 365 帐户使用相同的凭据。 完成混合部署先决条件,以及使用混合配置向导选择了混合部署的选项之后,新的拓扑具有以下配置:
用户将使用相同的用户名和密码登录到本地和 Exchange Online 组织, (“单一登录”) 。
位于内部部署组织和 Exchange Online 组织中的用户邮箱将使用相同的电子邮件地址域。 例如,位于本地的邮箱和位于 Exchange Online 组织中的邮箱都将在用户电子邮件地址中使用 @contoso.com 。
所有出站邮件都将通过内部部署组织传递到 Internet。 内部部署组织控制所有邮件传输,并充当 Exchange Online 组织的中继("集中邮件传输")。
内部部署组织用户和 Exchange Online 组织用户可以相互共享日历忙/闲信息。 为这两个组织配置的组织关系还将启用跨内部部署邮件跟踪、邮件提示和邮件搜索。
内部部署用户和 Exchange Online 用户使用相同的 URL 通过 Internet 连接到其邮箱。
如果将 Contoso 的现有组织配置与混合部署配置进行比较,可以看到通过配置混合部署,添加了支持其他通信和功能的服务器和服务,这些通信和功能在内部部署组织和 Exchange Online 组织之间共享。 下面概述了混合部署相对于初始内部部署 Exchange 组织所发生的变化。
配置 | 混合部署前 | 混合部署之后 |
---|---|---|
邮箱位置 | 邮箱仅位于内部部署组织中。 | 内部部署邮箱与 Exchang Online 中邮箱。 |
邮件传输 | 内部部署邮箱服务器处理所有入站和出站邮件路由。 | 本地邮箱服务器处理本地和 Exchange Online 组织之间的内部邮件路由。 |
Web 上的 Outlook | 内部部署邮箱服务器接收所有 Web 上的 Outlook 请求并显示邮箱信息。 | 本地邮箱服务器将 Outlook 网页版请求重定向到本地 Exchange 2016 邮箱服务器或提供登录 Exchange Online 的链接。 |
用于两个组织的统一 GAL | 不适用;仅限单个组织。 | 本地 Active Directory 同步服务器将已启用邮件的对象的 Active Directory 信息复制到 Exchange Online。 |
用于两个组织的单一登录 | 不适用;仅限单个组织。 | 本地 Active Directory 和 Exchange Online 对位于本地或 Exchange Online 中的邮箱使用相同的用户名和密码。 |
与 Microsoft Entra 身份验证系统建立的组织关系和联合信任 | 可以配置与 Microsoft Entra 身份验证系统的信任关系,以及与其他联合 Exchange 组织的组织关系。 | 需要与 Microsoft Entra 身份验证系统的信任关系。 在本地环境和云之间建立组织关系。 |
忙/闲共享 | 仅在内部部署用户之间共享忙/闲信息。 | 在内部部署用户之间和 Exchange Online 用户之间共享忙/闲信息。 |
配置混合部署之前要考虑的事项
现在,您已对什么是混合部署有了进一步的了解,该认真考虑一些重要的问题了。 配置混合部署可能会影响您当前网络和 Exchange 组织中的多个方面。
目录同步和单一登录
本地组织和云之间的 Active Directory 同步(由运行 Microsoft Entra Connect 的服务器每 30 分钟执行一次)是配置混合部署的一项要求。 目录同步使任一组织中的收件人可以在全局地址列表中看到彼此。 它还同步用户名和密码,使用户能够在本地组织和 Microsoft 365 或 Office 365 中使用相同的凭据登录。
注意
如果选择使用 AD FS 配置 Microsoft Entra Connect,则默认情况下,本地用户的用户名和密码仍会同步到云。 但是,用户将通过 AD FS 对内部部署 Active Directory 进行身份验证,作为其主要身份验证方法。 如果 AD FS 无法连接到本地 Active Directory,希望将 AD FS 配置为回退并针对已同步到云的用户名和密码进行身份验证,请参阅 教程:将密码哈希同步设置为 Azure 目录联合身份验证服务的备份。
Microsoft Entra ID 和 Microsoft 365 或 Office 365 的所有客户的默认限制为 50,000 个对象, (用户、启用邮件的联系人和组) ,这些对象可以确定可以在 Microsoft 365 或 Office 365 组织中创建多少个对象。 验证第一个域后,对于 Microsoft Entra ID Free,此限制会自动增加到 500,000 个对象,或者 Microsoft Entra Basic 或 Premium 的无限数量的对象。 有关详细信息,请参阅 Microsoft Entra 定价。
除了运行 Microsoft Entra Connect 的服务器之外,如果选择配置 AD FS,还需要部署 Web 应用程序代理服务器。 此服务器应放置在外围网络中,并将充当内部 ADFS 服务器与 Internet 之间的中介。 Web 应用程序代理服务器需要接受 Internet 上使用 TCP 端口 443 的客户端和服务器请求进行的连接。
混合部署管理
通过单个统一管理控制台,您可以管理 Exchange 2016 的混合部署,允许同时管理您的内部部署和 Office 365 Exchange Online 组织。 替换 Exchange 管理控制台和 Exchange 控制面板的 Exchange 管理中心 (EAC) 允许您连接和配置两个组织的 功能。 当首次运行混合配置向导时,将提示您连接 Exchange Online 组织。 需要使用组织管理角色组成员的帐户将 EAC 连接到 Exchange Online 组织。
证书
安全套接字层 (SSL) 数字证书对配置混合部署非常重要。 它们有助于保护本地邮箱或边缘服务器与 Exchange Online 组织之间的通信。 证书是配置几个服务类型的要求。 如果您的 Exchange 组织中已在使用数字证书,可能需要修改证书以包括其他域或者从受信任的证书颁发机构 (CA) 购买其他证书。 如果未使用证书,则需要从受信任的 CA 购买一个或多个证书。
可在以下位置了解详细信息:混合部署的证书要求
带宽
与 Internet 的网络连接将直接影响本地组织与 Microsoft 365 或 Office 365 组织之间的通信性能。 将邮箱从本地 Exchange 2016 服务器移动到 Microsoft 365 或 Office 365 组织时尤其如此。 可用网络带宽量、邮箱大小和并行移动的邮箱数量组合使得完成邮箱移动的时间有所不同。 此外,其他服务(如 SharePoint Server 2016 和 Skype for Business)也可能会影响消息传递服务的可用带宽。
在将邮箱移动到云之前,应:
确定要移动的邮箱的平均邮箱大小。
确定从内部部署组织连接到 Internet 的平均连接速度和吞吐速度。
计算预期的平均传输速度,然后相应地制定邮箱移动计划。
有关详细信息,请参阅: 网络。
统一消息
注意
统一消息在 Exchange 2019 中不可用。
本地与 Microsoft 365 或 Office 365 组织之间的混合部署支持统一消息 (UM) 。 本地电话解决方案必须能够与云通信。 这可能需要购买其他硬件和软件。
如果要将邮箱从本地组织移动到云,并且这些邮箱已针对 UM 进行配置,则应在移动这些邮箱之前在混合部署中配置 UM。 如果先移动邮箱,然后再在混合部署中配置 UM,则这些邮箱将无法再访问 UM 功能。
信息权限管理
通过信息权限管理 (IRM),用户可将 Active Directory 权限管理服务 (AD RMS) 模板应用于其发送的邮件。 AD RMS 模板可通过允许用户控制谁可打开受权限保护的邮件及其打开邮件后可对邮件执行什么操作,从而帮助防止信息泄漏。
混合部署中的 IRM 需要规划、手动配置 Microsoft 365 或 Office 365 组织,并了解客户端如何使用 AD RMS 服务器,具体取决于其邮箱是在本地组织还是 Exchange Online 组织中。
有关详细信息,请参阅: Exchange 混合部署中的 IRM
移动设备
混合部署中支持移动设备。 如果现有服务器已经启用 Exchange ActiveSync,它们会继续将来自移动设备的请求重定向到位于内部部署邮箱服务器的邮箱。 对于连接到从本地组织移动到云的现有邮箱的移动设备,Exchange ActiveSync 配置文件将自动更新,以连接到大多数手机上的云。 支持 Exchange ActiveSync 的所有移动设备都应该与混合部署兼容。
有关详细信息,请参阅: Exchange ActiveSync。
客户端要求
建议您的客户端使用 Outlook 2016 或 Outlook 2013,以便在混合部署中实现最佳体验和性能。 混合部署或 Microsoft 365 或 Office 365 不支持 Outlook 2010 之前的客户端。
Microsoft 365 和 Office 365 许可
若要在 Microsoft 365 或 Office 365 中创建邮箱或将邮箱移动到 Microsoft 365 或 Office 365,需要注册相应的订阅计划,必须具有可用的许可证。 注册时,将收到特定数量的许可证,可以分配给从本地组织移动的新邮箱或邮箱。 云中的每个邮箱都必须具有许可证。
防病毒和反垃圾邮件服务
Exchange Online Protection (EOP) (Microsoft 365 和 Office 365 提供的服务)自动为移动到云的邮箱提供防病毒和反垃圾邮件保护。 如果选择通过 EOP 服务路由所有传入的 Internet 邮件,则可能需要为您的内部部署用户购买其他 EOP 许可证。 建议仔细评估 Microsoft 365 或 Office 365 中的 EOP 保护是否也适合满足本地组织的防病毒和反垃圾邮件需求。 如果您已经实施了内部部署组织保护,则可能需要升级或配置您的内部部署防病毒和反垃圾邮件解决方案,以期在整个组织中实现最大程度的保护。
有关详细信息,请参阅: EOP 中的反垃圾邮件和反恶意软件保护。
公用文件夹
云中支持公用文件夹,本地公用文件夹可以迁移到云。 此外,云中的公用文件夹可以移动到本地 Exchange 组织。 本地和云用户都可以使用 Outlook 网页版、Outlook 2016、Outlook 2013 或 Outlook 2010 SP2 或更高版本访问位于任一组织中的公用文件夹。 配置混合部署时不会改变现有的内部部署公用文件夹配置和对内部部署邮箱的访问权限。
有关详细信息,请参阅: 公用文件夹。
辅助功能
有关可能适用于此清单中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心的键盘快捷方式。
关键术语
以下列表提供了与 Exchange 2013 中的混合部署关联的核心组件的定义。
集中邮件传输
混合配置选项,其中所有 Exchange Online 入站和出站 Internet 邮件都通过内部部署 Exchange 组织路由。 此路由选项在混合配置向导中配置。 有关详细信息,请参阅 Transport options in Exchange hybrid deployments。
共存域
添加到本地组织的接受域,用于混合邮件流和自动发现 Microsoft 365 或 Office 365 服务的请求。 此域作为辅助代理域添加到任何电子邮件地址策略,这些策略在混合配置向导中选择了 域的 PrimarySmtpAddress 模板。 默认情况下,此域是 <域>.mail.onmicrosoft.com。
HybridConfiguration Active Directory 对象
内部部署组织中的 Active Directory 对象,其中包含按混合配置向导中选择的内容定义的所需混合部署配置参数。 混合配置引擎在配置内部部署和 Exchange Online 设置时使用这些参数来启用混合功能。 每次运行混合配置向导时,都会重置 HybridConfiguration 对象的内容。
混合配置引擎
混合配置引擎 (HCE) 运行配置和更新混合部署所需的核心操作。 HCE 将 HybridConfiguration Active Directory 对象的状态与当前的本地 Exchange 和 Exchange Online 配置设置进行比较,然后执行任务以将部署配置设置与 HybridConfiguration Active Directory 对象中定义的参数相匹配。 有关详细信息,请参阅 混合配置引擎。
混合配置向导 (HCW)
Exchange 提供的一种自适应工具,可指导管理员完成内部部署组织和 Exchange Online 组织之间的混合部署配置。 该向导在 HybridConfiguration 对象中定义混合部署配置参数,并指示混合配置引擎运行必要的配置任务以启用定义的混合功能。 有关详细信息,请参阅 "混合配置"向导。
基于 Exchange 2010 的混合部署
使用 Service Pack 3 (SP3) 为 Exchange Server 2010 本地服务器配置的混合部署,作为 Microsoft 365 或 Office 365 和 Exchange Online 服务的连接终结点。 一种混合部署选项,适用于内部部署 Exchange 2010、Exchange Server 2007 和 Exchange Server 2003 组织。
基于 Exchange 2013 的混合部署
使用 Exchange 2013 本地服务器作为 Microsoft 365、Office 365 和 Exchange Online 服务的连接终结点配置的混合部署。 一种混合部署选项,适用于内部部署 Exchange 2013、Exchange 2010 和 Exchange 2007 组织。
基于 Exchange 2016 的混合部署
使用 Exchange 2016 本地服务器作为 Microsoft 365 或 Office 365 和 Exchange Online 服务的连接终结点配置的混合部署。 一种混合部署选项,适用于内部部署 Exchange 2016、Exchange 2013 和 Exchange 2010 组织。
安全邮件传输
一种自动配置的混合部署功能,可实现内部部署组织与 Exchange Online 组织之间的安全邮件传递。 邮件使用传输层安全性 (TLS) 进行加密和身份验证,采用混合部署向导中选择的证书。 Microsoft 365 或 Office 365 组织是源自本地组织的混合传输连接的终结点,也是从 Exchange Online 到本地组织的混合传输连接的源。
Exchange 混合部署文档
下表包含主题链接,这将帮助您学习和管理 Microsoft Exchange 的混合部署。
主题 | 说明 |
---|---|
混合配置向导 | 了解混合配置向导和混合配置引擎如何配置混合部署的信息。 |
混合部署先决条件 | 详细了解混合部署先决条件,包括兼容的 Exchange Server 组织、Microsoft 365 或 Office 365 要求以及其他本地配置要求。 |
混合部署的证书要求 | 了解有关混合部署数字证书要求的详细信息。 |
Exchange 混合部署的传输选项 | 了解有关混合部署中的入站和出站邮件传输选项的详细信息。 |
Exchange 混合部署中的传输路由 | 了解有关混合部署中的入站和出站邮件路由选项的详细信息。 |
Exchange 混合部署中的混合管理 | 了解有关使用 Exchange 管理中心和 Exchange 命令行管理程序管理混合部署的详细信息。 |
Exchange 混合部署中共享的忙/闲信息 | 了解有关混合部署中的内部部署和 Exchange Online 组织之间的日历闲/忙共享的详细信息。 |
Exchange 混合部署中的服务器角色 | 了解混合部署中的 Exchange 服务器角色如何运行的详细信息。 |
Exchange 混合部署中的 IRM | 了解有关混合部署中的信息权限管理如何运行的详细信息。 |
Exchange 混合部署中的权限 | 详细了解混合部署如何使用 Role-Based 访问控制 (RBAC) 来控制权限。 |
混合部署中的边缘传输服务器 | 了解 Exchange 边缘传输服务器以及如何在混合部署中部署和运营的详细信息。 |
混合部署中的单一登录 | 了解如何使用混合部署中的密码同步和 AD FS 功能进行单一登录的详细信息。 |
混合部署过程 | 探索创建和修改 Exchange 内部部署和 Exchange Online 组织的混合部署的程序。 |
Exchange 2013 和 Exchange 2010 的混合部署 | 了解有关针对 Exchange 2010 组织进行基于 Exchange 2013 的混合部署的详细信息。 |
Exchange 2013 和 Exchange 2007 的混合部署 | 了解有关针对 Exchange 2007 组织进行基于 Exchange 2013 的混合部署的详细信息。 |