选择 Exchange 混合配置

概述

使用新版混合配置向导 (HCW) ,管理员可以显式选择应在 HCW 运行期间完成的混合配置。 这有助于管理员保留其自定义配置,并通过选择和取消选择配置来防止 HCW 重置这些配置。

我们修改了运行 HCW 所需的权限。 可在 混合配置向导 文档中找到运行 HCW 所需的权限。

新的“选择 Exchange 混合配置”功能的优势是什么

在重新运行 HCW 期间,管理员不需要许多 HCW 首次配置。 HCW 不允许跳过任何配置,这会重置在之前的 HCW 运行后完成的许多自定义配置。 此行为有时会导致混合配置状态Exchange Server不佳。 可以使用新引入 Choose Exchange Hybrid Configuration 的功能跳过现有混合配置不需要的许多步骤。

管理员有时需要为 Organization Configuration Transfer (OCT) 执行 HCW 重新运行,或者执行 TLS 证书更新,而 TLS 证书更新无法通过任何其他工具使用。 如果除了更新 OCT 和 TLS 证书之外,还执行了 HCW 重新运行,则 HCW 会重置所有混合配置 (,例如,连接器修改、迁移终结点等 ) 可能不需要这些配置。 这些更改会导致额外的配置开销,因为之后管理员必须再次调整配置。 现在可以使用新引入 Choose Exchange Hybrid Configuration 的功能来避免此行为。

精细配置选项

本部分介绍使用 Choose Exchange Hybrid Configuration 该功能时可用的配置选项。 可以从这些选项中进行选择,以根据需要配置混合部署。 本文的常见问题解答部分介绍了何时可以使用哪个选项的一些方案。

无论所选选项如何,HCW 都会执行指定的 cmdlet 和参数:

显示 cmdlet
New-OnPremisesOrganization or Set-OnPremisesOrganization
    [-Name '<guid>']
    [-HybridDomains <AcceptedTrustedDomains>]
    [-InboundConnector 'Inbound from <guid>']
    [-OutboundConnector 'Outbound to <guid>']
    [-OrganizationRelationship 'O365 to On-premises - <guid>']
    [-OrganizationName '<NameOfTheOrganization>']
    [-OrganizationGuid '<guid>']
    [-Comment '<ConfigurationHash>']
New-HybridConfiguration or Set-HybridConfiguration
    [-ClientAccessServers $null]
    [-ExternalIPAddresses $null]
    [-Domains <AcceptedTrustedDomains>]
    [-OnPremisesSmartHost <OnPremisesEntryPointDomain>]
    [-TLSCertificateName '<I>X.500Issuer<S>X.500Subject']
    [-SendingTransportServers <TransportServers>]
    [-ReceivingTransportServers <TransportServers>]
    [-EdgeTransportServers <EdgeTransportServers> or $null]
    [-Features FreeBusy,MoveMailbox,Mailtips,MessageTracking,OwaRedirection,OnlineArchive,SecureMail,Photos]

配置混合功能

部分 Configure Hybrid Features 包含一般可用于配置混合功能(如忙/闲、邮件提示或迁移终结点)的设置。 此外,本部分包括 Organization Configuration Transfer 功能。

Oauth、组织内部连接器和组织关系

选择此选项将配置 (或重新配置) Intra-Organization ConnectorsOrganization Relationships并在本地和Exchange Online之间Exchange Server创建 OAuth trust 。 忙/闲共享、邮件提示、联机存档等需要这些配置。

重要

在运行此配置之前,请确保本地Exchange Server使用的 OAuth 证书有效。 有关所需步骤的详细信息,请参阅维护Exchange Server OAuth 证书文档。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-OrganizationRelationship
    [-Name 'On-premises to O365 - <guid>']
    [-TargetApplicationUri $null]
    [-TargetAutodiscoverEpr $null]
    [-Enabled $true]
    [-DomainNames <domain>.mail.onmicrosoft.com]
New-OrganizationRelationship
    [-Name 'O365 to On-premises - <guid>']
    [-TargetApplicationUri $null]
    [-TargetAutodiscoverEpr $null]
    [-Enabled $true]
    [-DomainNames <OnPremisesEntryPointDomain>]
Set-OrganizationRelationship
    [-Identity 'On-premises to O365 - <guid>']
    [-MailboxMoveEnabled $true]
    [-FreeBusyAccessEnabled $true]
    [-FreeBusyAccessLevel LimitedDetails]
    [-ArchiveAccessEnabled $true]
    [-MailTipsAccessEnabled $true]
    [-MailTipsAccessLevel All]
    [-DeliveryReportEnabled $true]
    [-PhotosEnabled $true]
    [-TargetOwaURL 'https://outlook.office.com/mail']
Set-OrganizationRelationship
    [-Identity 'O365 to On-premises - <guid>']
    [-FreeBusyAccessEnabled $true]
    [-FreeBusyAccessLevel LimitedDetails]
    [-TargetSharingEpr $null]    
    [-MailTipsAccessEnabled $true]
    [-MailTipsAccessLevel All]
    [-DeliveryReportEnabled $true]
    [-PhotosEnabled $true]
    [-TargetOwaURL $null]
New-IntraOrganizationConnector or Set-IntraOrganizationConnector
    [-Name 'HybridIOC - <guid>']
    [-DiscoveryEndpoint 'https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc']
    [-TargetAddressDomains <domain>.mail.onmicrosoft.com]
    [-Enabled $true]
New-IntraOrganizationConnector or Set-IntraOrganizationConnector
    [-Name 'HybridIOC - <guid>']
    [-DiscoveryEndpoint 'https://<OnPremisesEntryPointDomain>/autodiscover/autodiscover.svc']
    [-TargetAddressDomains <OnPremisesEntryPointDomain>]
    [-Enabled $true]
Set-PartnerApplication
    [-Identity 'Exchange Online']
    [-Enabled $true]
New-AuthServer or Set-AuthServer
    [-Name 'ACS - <guid>']
    [-AuthMetadataUrl 'https://accounts.accesscontrol.windows.net/<guid>/metadata/json/1']
    [-DomainName '<AcceptedDomains>','<domain>.mail.onmicrosoft.com']
New-AuthServer or Set-AuthServer
    [-Name 'EvoSts - <guid>']
    [-AuthMetadataUrl 'https://login.windows.net/<domain>.onmicrosoft.com/federationmetadata/2007-06/federationmetadata.xml']
    [-Type AzureAD]
Add-AvailabilityAddressSpace
    [-ForestName <domain>.mail.onmicrosoft.com]
    [-AccessMethod InternalProxy]
    [-UseServiceAccount $true]
    [-ProxyUrl <OnPremisesEwsUrl>]

更新Exchange Server接受域和Email地址策略中的共存域

选择此选项会将Exchange Online并存域 (<domain>.mail.onmicrosoft.com) 作为接受域添加到本地Exchange Server混合邮件流和自动发现请求。 共存域用于辅助电子邮件地址 (也称为代理地址) 包含混合配置向导中指定的域的任何电子邮件地址策略中。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-RemoteDomain or Set-RemoteDomain
    [-Name 'Hybrid Domain - <domain>.mail.onmicrosoft.com']
    [-DomainName <domain>.mail.onmicrosoft.com]
    [-TargetDeliveryDomain $true]
New-RemoteDomain or Set-RemoteDomain
    [-Name 'Hybrid Domain - <domain>.onmicrosoft.com']
    [-DomainName <domain>.onmicrosoft.com]
    [-TrustedMailInboundEnabled $true]
New-AcceptedDomain or Set-AcceptedDomain
    [-Name <domain>.mail.onmicrosoft.com]
    [-DomainName <domain>.mail.onmicrosoft.com]
Set-EmailAddressPolicy
    [-Identity 'Default Policy']
    [-ForceUpgrade $true]
    [-EnabledEmailAddressTemplates 'smtp:@<domain>.onmicrosoft.com','smtp:@<AdditionalAcceptedDomains>','SMTP:@<DefaultAcceptedDomain>','smtp:%m@<domain>.mail.onmicrosoft.com']

迁移终结点

选择此选项会在Exchange Online租户中创建迁移终结点。 迁移终结点需要将 () 邮箱从本地Exchange Server迁移到Exchange Online。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-MigrationEndpoint or Set-MigrationEndpoint
    [-Name 'Hybrid Migration Endpoint - EWS (Default Web Site)']
    [-ExchangeRemoteMove $true]
    [-RemoteServer <OnPremisesEntryPointDomain>]
    [-Credentials (Get-Credential -UserName <ADDomain>\<Username>)]

组织配置传输

选择此选项会将组织策略对象和值从本地Exchange Server复制到Exchange Online。

有关从本地 Exchange 组织复制到Exchange Online的属性列表,请参阅组织配置传输属性

配置邮件流

部分Configure Mail Flow提供了可用于配置混合邮件流相关功能的设置,例如Microsoft 365 和本地Exchange Server连接器,以及集中邮件传输。 它还包括一个配置操作,该操作可用于替换用于保护本地和Exchange Online之间Exchange Server电子邮件流的证书。

M365 组织中的出站连接器

选择此选项将配置 Microsoft 365 组织中的新或修改现有 Outbound Connector 项。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-OutboundConnector or Set-OutboundConnector
    [-Name 'Outbound to <guid>']
    [-RecipientDomains <RecipientDomains>]
    [-SmartHosts <OnPremisesSmartHost>]
    [-ConnectorSource HybridWizard]
    [-ConnectorType OnPremises]
    [-TLSSettings DomainValidation]
    [-TLSDomain <TLSCertificateDomain>]
    [-CloudServicesMailEnabled $true]
    [-RouteAllMessagesViaOnPremises $false]
    [-UseMxRecord $false]
    [-IsTransportRuleScoped $false]

M365 组织中的入站连接器

选择此选项将配置 Microsoft 365 组织中新的或修改现有 Inbound Connector 项。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-InboundConnector or Set-InboundConnector
    [-Name 'Inbound from <guid>']
    [-CloudServicesMailEnabled $true]
    [-ConnectorSource HybridWizard]
    [-ConnectorType OnPremises]
    [-RequireTLS $true]
    [-SenderDomains '']
    [-SenderIPAddresses $null]
    [-RestrictDomainsToIPAddresses $false]
    [-TLSSenderCertificateName <TLSCertificateDomain>]
    [-AssociatedAcceptedDomains $null]

Exchange 混合服务器上的接收连接器

选择此选项将配置新的 和 ,或者修改Exchange Server本地组织中的现有Receive Connector项。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-ReceiveConnector or Set-ReceiveConnector
    [-Identity '<ServerName>\Default Frontend <ServerName>']
    [-AuthMechanism 'Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer']
    [-Bindings '[::]:25','0.0.0.0:25']
    [-Fqdn <ServerFqdn>]
    [-PermissionGroups 'AnonymousUsers, ExchangeServers, ExchangeLegacyServers']
    [-RemoteIPRanges '::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff','0.0.0.0-255.255.255.255']
    [-RequireTLS $false]
    [-TLSDomainCapabilities mail.protection.outlook.com:AcceptCloudServicesMail]
    [-TLSCertificateName '<I>X.500Issuer<S>X.500Subject']
    [-TransportRole FrontendTransport]

Exchange 混合服务器上的发送连接器

选择此选项将配置Exchange Server本地组织中的新或修改现有Send Connector组织。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-SendConnector or Set-SendConnector
    [-Name 'Outbound to Office 365 - <guid>']
    [-AddressSpaces 'smtp:<domain>.mail.onmicrosoft.com;1']
    [-DNSRoutingEnabled $true]
    [-ErrorPolicies Default]
    [-Fqdn <OnPremisesEntryPointDomain>]
    [-RequireTLS $true]
    [-IgnoreSTARTTLS $false]
    [-SourceTransportServers <TransportServers>]
    [-SmartHosts $null]
    [-TLSAuthLevel DomainValidation]
    [-DomainSecureEnabled $false]
    [-TLSDomain mail.protection.outlook.com]
    [-CloudServicesMailEnabled $true]
    [-TLSCertificateName '<I>X.500Issuer<S>X.500Subject']

启用集中邮件传输

选择此选项路由从Exchange Online组织通过本地组织发送的出站消息Exchange Server。 在集中邮件传输 (CMT) 配置中,实际更改在入站和出站连接器中完成。 因此,每当选择 CMT 时,都将自动选择“入站”和“出站连接器”。 取消选择入站或出站连接器会自动取消选择 Enable Centralized Mail Transport 选项。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
New-InboundConnector or Set-InboundConnector
    [-Name 'Inbound from <guid>']
    [-CloudServicesMailEnabled $true]
    [-ConnectorSource HybridWizard]
    [-ConnectorType OnPremises]
    [-RequireTLS $true]
    [-SenderDomains '']
    [-SenderIPAddresses $null]
    [-RestrictDomainsToIPAddresses $false]
    [-TLSSenderCertificateName <TLSCertificateDomain>]
    [-AssociatedAcceptedDomains $null]
New-OutboundConnector or Set-OutboundConnector
    [-Name 'Outbound to <guid>']
    [-RecipientDomains '*']
    [-SmartHosts <OnPremisesSmartHost>]
    [-ConnectorSource HybridWizard]
    [-ConnectorType OnPremises]
    [-TLSSettings DomainValidation]
    [-TLSDomain <TLSCertificateDomain>]
    [-CloudServicesMailEnabled $true]
    [-RouteAllMessagesViaOnPremises $true]
    [-UseMxRecord $false]
    [-IsTransportRuleScoped $false]

更新连接器的安全邮件证书

提示

配置 Update Secure Mail Certificate for connectors 是一个新选项,它用于简化混合方案中的重复传输证书续订过程。

如果只需要更新所有四个连接器使用的 TLS 证书,同时保持其他连接器配置相同,请选择此选项。

选择此选项时,如果想要保留现有连接器配置,则无需选择任何其他连接器配置。 如果还选择了任何其他连接器配置选项以及 TLS 证书更新,则连接器会发生其他配置更改。

如果选择此选项,HCW 将执行指定的 cmdlet 和参数:

显示 cmdlet
Set-InboundConnector
    [-Name 'Inbound from <guid>']
    [-TLSSenderCertificateName <TLSCertificateDomain>]
Set-OutboundConnector
    [-Name 'Outbound to <guid>']
    [-TLSDomain <TLSCertificateDomain>]
Set-ReceiveConnector
    [-Identity '<ServerName>\Default Frontend <ServerName>']
    [-TLSCertificateName '<I>X.500Issuer<S>X.500Subject']
Set-SendConnector
    [-Name 'Outbound to Office 365 - <guid>']
    [-TLSCertificateName '<I>X.500Issuer<S>X.500Subject']

如何使用新的“选择 Exchange 混合配置”功能

在最新版本的 HCW 中,管理员可以使用功能, Choose Exchange Hybrid Configuration 如下所示:

  1. Hybrid Topology页面上,根据要配置的拓扑,可以在 和 Modern Hybrid之间进行Classic Hybrid选择。 此页面也是你决定是否要使用新功能 Choose Exchange Hybrid Configuration 的点。 如果只想更新特定的混合配置而不更改任何其他配置,请选择 Choose Exchange Hybrid Configuration 并单击 Next

  2. 如果选择 Choose Exchange Hybrid Configuration 了 ,则会显示一个新 Choose what HCW configures 部分,管理员可以从以下混合配置中进行选择。 可以在本文的 “精细配置选项” 部分找到每个配置的说明。

    注意

    如果在上一页上选择了 Minimal Hybrid Configuration ,则不会显示该 Choose what HCW configures 部分。 这是因为 Choose Exchange Hybrid Configuration 在此方案中不受支持。

    根据你的选择,在单击 Next后会显示所需的配置部分。 例如,如果仅 Organization Configuration Transfer 选中,HCW 将仅显示下一步中的 OCT 配置页。

    管理员不应通过取消选择现有配置来更改默认混合配置,除非该配置是 HCW 重新运行,目的是保留现有混合配置,该配置将在上次运行后修改。 如果错误地选择了或取消选中了某些选项,请单击Reset Choices按钮,将所选内容还原回预选的默认值。

    可以随时返回到概述, Choose what HCW configures 并调整所选内容。 这在单击 Update 最后一页上之前是可能的。

  3. Next单击并像往常一样继续配置 (例如,选择传输证书) 。

  4. 单击 Update后,HCW 将执行所选操作。 在最后一页上,它显示了通过 Choose Exchange Hybrid Configuration 功能排除的所有混合配置。

对 HCW 所做的其他更改

引入该功能后 Choose Exchange Hybrid Configuration ,我们对混合配置向导进行了一些其他调整,以符合新功能。

集中邮件传输 (CMT) 配置已移至页面 Choose what HCW configures

旧体验:

新体验:

Hybrid Features 页面上,已删除用于 选择 Organization Config Transfer 的选项 Full Hybrid Configuration。 现在可以通过页面访问 Choose what HCW configures 此选项:

旧体验:

新体验:

常见问题解答

本部分讨论使用此新功能时可能出现的各种问题。

问:如果我是第一次设置Exchange Server混合,我是否应该使用Choose Exchange Hybrid Configuration此功能?

除非还想要执行 Organization Configuration Transfer (OCT) ,否则不需要执行此操作。 如果在第一次 HCW 运行中需要 OCT,请选择 ,Choose Exchange Hybrid Configuration然后在Choose what HCW configures页面上Organization Configuration Transfer选择所有预选配置。

问:我们运行 HCW 来配置 Exchange Hybrid 一次。 我们使用了该功能, Choose Exchange Hybrid Configuration 但忘记了选择 Migration Endpoint 进行配置。 我们现在该怎么做?

没问题。 可以重新运行 HCW,取消选择除之外 Migration Endpoint 的所有内容,然后完成运行。 HCW 会为你配置迁移终结点,而无需更新任何其他内容。

问:我们运行 HCW 来配置 Exchange Hybrid 一次。 目前,我们只需要更新所有连接器的 TLS 证书。 我们应该怎么做?

重新运行 HCW,选择 Choose Exchange Hybrid Configuration ,并在 Choose what HCW configures 页面上取消选择除 之外 Update Secure Mail Certificate for connectors的所有内容。

问:我们运行 HCW 来配置 Exchange Hybrid 一次。 现在,我们只需要执行 Organization Configuration Transfer。 我们应该怎么做?

重新运行 HCW,选择 Choose Exchange Hybrid Configuration ,并在 Choose what HCW configures 页面上取消选择除 之外 Organization Configuration Transfer的所有内容。

问:我们当前正在使用 Modern Hybrid ,但想要切换到 Classic Hybrid。 我们不希望更改与邮件流相关的任何内容,邮件流正常工作。 我们怎么能做到这一点?

重新运行 HCW 并选择 Classic Hybrid Topology。 在 Choose Exchange Hybrid Configuration 页面上,至少选择 Oauth, Intra Organization Connector and Organization RelationshipMigration Endpoint 配置。

问:我们运行 HCW 来配置 Exchange Hybrid 一次。 Exchange Server混合设置后,我们对这四个连接器中的任何一个进行了许多更改。 我们希望重新运行 HCW 并更新其他一些混合配置,但不希望更改与邮件流相关的任何内容,邮件流正常工作。 我们怎么能做到这一点?

重新运行 HCW,在页面上选择 Choose Exchange Hybrid ConfigurationChoose what HCW configures不要选择以下四种配置:Outbound ConnectorInbound ConnectorReceive ConnectorSend Connector

问:组织中有许多接受的域,在 HCW 重新运行期间,HCW 会尝试为每个接受域创建服务主体名称 (SPN) 集。 我们达到了 Entra ID 中的限制,但不确定限制是什么。 HCW 日志文件包含以下异常:
[Directory_ResourceSizeExceeded] The size of the object has exceeded its limit. Please reduce the number of values and retry your request.
什么是限制,我们如何避免它?

对于可添加的 SPN 数量,我们没有指定的限制,因为它取决于这些值的存储方式。 但是,属性可以包含的条目总数存在限制。 此限制被视为实际限制,这意味着每个条目的大小会影响总体限制。 我们的测试表明,如果添加的 SPN 超过 800 个,可能会达到此限制。 请记住,这是一个实际限制,因此可以使用少于或超过 800 个 SPN 达到此限制。

若要解决此问题,请重新运行 HCW,在页面上选择 Choose Exchange Hybrid ConfigurationChoose what HCW configures不要选择以下配置:Oauth, Intra Organization Connector and Organization Relationship。 取消选择此选项会阻止 HCW 为所有接受的域创建 SPN。