混合部署先决条件
摘要:在设置混合部署之前,您的 Exchange 环境需要满足的要求。
在使用"混合配置"向导创建和配置混合部署之前,现有的内部部署 Exchange 组织必须满足特定的要求。 如果不满足这些要求,将无法完成"混合配置"向导中的步骤,且无法配置内部部署 Exchange 组织与 Exchange Online 之间的混合部署。
混合部署的先决条件
配置混合部署必须满足以下先决条件:
- 本地 Exchange 组织:在本地组织中安装的 Exchange 版本决定了可以安装的混合部署版本。 通常应配置组织中支持的最新混合部署版本,如下表所述:
内部部署环境 | 基于 Exchange 2019 的混合部署 | 基于 Exchange 2016 的混合部署 | 基于 Exchange 2013 的混合部署 | 基于 Exchange 2010 的混合部署 |
---|---|---|---|---|
Exchange 2019 | 支持 | 不支持 | 不支持 | 不支持 |
Exchange 2016 | 支持 | 支持 | 不支持 | 不支持 |
Exchange 2013 | 支持 | 支持 | 支持 | 不支持 |
Exchange 2010 | 不支持 | 支持 | 支持 | 支持 |
Exchange 服务器版本:混合部署需要适用于 Exchange 版本的最新累积更新 (CU) 或更新汇总 (RU) 。 如果无法安装最新更新,则还支持上一个版本。
Exchange 库每季度发布一次,因此,如果你定期需要额外的时间来完成升级,则使 Exchange 服务器保持最新状态可提供一些额外的灵活性。
Exchange 服务器角色:需要在本地组织中安装的服务器角色取决于已安装的 Exchange 版本。
Exchange 2016 及更新版本:至少一个邮箱服务器。
Exchange 2013:至少一个邮箱和客户端访问服务器角色实例 (单独安装或安装在一台服务器上;强烈建议在一台服务器上) 。
Exchange 2010:至少一个邮箱、中心传输和客户端访问服务器角色的实例 (单独安装或安装在一台服务器上;强烈建议在一台服务器上) 。
混合部署还支持运行边缘传输服务器角色的 Exchange 服务器。 边缘传输服务器还需要更新到最新的 CU 或 RU。 我们强烈建议您将边缘传输服务器部署在外围网络中。 无法在外围网络中部署邮箱或客户端访问服务器。
注意
如果已使用 Exchange 2010 混合终结点启动了迁移过程,并且不打算保留本地邮箱,请继续按原样迁移。 如果计划将某些邮箱保留在本地,我们强烈建议 (引入 Exchange 2016 混合终结点,因为 Exchange 2010 已) 支持生命周期结束。 继续将 Exchange 2010 邮箱迁移到 Office 365,然后将保留在本地的邮箱移动到 Exchange 2016 服务器。 删除所有 Exchange 2010 服务器后,可以引入 Exchange 2019 服务器作为新的混合终结点,并将剩余的本地邮箱移动到 Exchange 2019 服务器。
Microsoft 365 或 Office 365:支持 Microsoft Entra 同步的所有 Microsoft 365 和 Office 365 计划中都支持混合部署。 所有Microsoft 365 商业标准版、商业基本版、企业版、政府版、学术版和中型计划都支持混合部署。 Microsoft 365 商业应用和家庭版计划不支持混合部署。
有关详细信息,请参阅 Microsoft 365。
自定义域:使用 Microsoft 365 或 Office 365 注册要在混合部署中使用的任何自定义域。 为此,可以使用 Microsoft 365 门户,也可以选择在本地组织中配置 Active Directory 联合身份验证服务 (AD FS) 。
有关详细信息,请参阅 将域添加到 Microsoft 365 或 Office 365。
Active Directory 同步:部署 Microsoft Entra Connect 或云同步工具,以启用 Active Directory 与本地组织的同步。
有关详细信息,请参阅 Microsoft Entra Connect 用户登录选项 和 什么是 Microsoft Entra Cloud Sync?。
自动发现 DNS 记录:将公共 DNS 中现有 SMTP 域的自动发现记录配置为 (Exchange 2010/2013 客户端访问服务器或 Exchange 2016/2019 邮箱服务器) 指向本地 Exchange 服务器。
证书:将 Exchange 服务分配给从受信任的公共证书颁发机构购买的有效数字证书, (CA) 。 尽管应将自签名证书用于本地联合身份验证信任与 Microsoft 联合身份验证网关,但不能将自签名证书用于混合部署中的 Exchange 服务。
在混合部署中配置的 Exchange 服务器上,Internet Information Services (IIS) 实例需要从受信任的 CA 购买的有效数字证书。
必须在证书的“使用者可选名称 (SAN) 字段中列出在公共 DNS 中指定的 EWS 外部 URL 和自动发现终结点。 在混合部署中为邮件流在 Exchange 服务器上安装的证书必须全部由同一证书颁发机构颁发,并且具有相同的主题。
有关详细信息,请参阅 混合部署的证书要求。
EdgeSync:如果已在本地组织中部署边缘传输服务器,并且想要配置边缘传输服务器进行混合安全邮件传输,则需要在使用混合配置向导之前配置 EdgeSync。 每次将新的 CU 应用于边缘传输服务器时,还需要运行 EdgeSync。
重要
虽然使用边缘传输服务器的部署需要 EdgeSync,但在为混合安全邮件传输配置边缘传输服务器时,还需要其他配置设置。
有关详细信息,请参阅 混合部署中的边缘传输服务器。
Microsoft .NET Framework:若要验证可用于特定 Exchange 版本的版本,请参阅 Exchange Server 可支持性矩阵 - Microsoft .NET Framework。
已启用统一消息 (UM) 邮箱:如果邮箱已启用 UM,并且想要将其移动到 Microsoft 365 或 Office 365,则需要满足以下要求 才能 移动它们:
与本地电话系统集成的 Lync Server 2010、Lync Server 2013 或适用于 Business Server 2015 或更高版本的 Skype。
或
Skype for Business Online 与本地电话系统集成。
或
传统的本地 PBX 或 IP-PBX 解决方案。
有关详细信息,请参阅 在 Exchange Online 中与 UM 的电话系统集成、 为 Business Server 和 Exchange Server 迁移规划Skype以及 设置云语音邮件。
混合部署协议、端口和终结点
需要在防火墙中配置以下协议、端口和连接终结点,以保护本地组织,如下表所述。
重要
相关的Microsoft 365 和 Office 365 终结点庞大且不断变化,未在此处列出。 相反,请参阅 Microsoft 365 中的 Exchange Online 和 Microsoft 365 Common 和 Office Online部分,以及 Office 365 URL 和 IP 地址范围 ,以标识此处列出的每个端口的终结点。
注意
Exchange 中客户端的网络端口和邮件流中介绍了本地 Exchange 组织中与混合配置无关 的邮件流和客户端连接所需的端口。
源 | 协议/端口 | Target | Comments |
---|---|---|---|
Exchange Online 终结点 | TCP/25 (SMTP/TLS) | Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
配置为托管接收连接器的本地 Exchange 服务器,以便在混合配置向导中使用 Exchange Online 进行安全邮件传输 |
Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
TCP/25 (SMTP/TLS) | Exchange Online 终结点 | 配置为托管发送连接器的本地 Exchange 服务器,以便在混合配置向导中使用 Exchange Online 进行安全邮件传输 |
Exchange Online 终结点 | TCP/443 (HTTPS) | Exchange 2019/2016 邮箱 Exchange 2013/2010 CAS |
用于将 Exchange Web 服务和自动发现发布到 Internet 的本地 Exchange 服务器 |
Exchange 2019/2016 邮箱 Exchange 2013/2010 CAS |
TCP/443 (HTTPS) | Exchange Online 终结点 | 用于将 Exchange Web 服务和自动发现发布到 Internet 的本地 Exchange 服务器 |
Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
80 | ctldl.windowsupdate.com/* | 对于混合功能,Exchange Server 需要与 此处提到的各种证书吊销列表 (CRL) 终结点建立出站连接。 强烈建议让 Windows 在计算机上维护 证书信任列表 (CTL) 。 否则,必须定期手动维护。 若要允许 Windows 维护 CTL,必须可从安装 Exchange Server 的计算机访问该 URL。 |
下表提供了有关所涉及的本地终结点的更多详细信息:
说明 | 端口和协议 | 本地终结点 | 身份验证提供程序 | 授权方法 | 是否支持预身份验证? |
---|---|---|---|---|---|
Microsoft 365 或 Office 365 与本地 Exchange 之间的 SMTP 邮件流 | TCP 25 (SMTP/TLS) | Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
不适用 | 基于证书 | 否 |
自动发现 | TCP 443 (HTTPS) | Exchange 2019/2016 邮箱服务器:/autodiscover/autodiscover.svc/wssecurity Exchange 2013/2010 CAS:/autodiscover/autodiscover.svc |
Microsoft Entra 身份验证系统 | WS-Security 身份验证 | 否 |
忙/闲、邮件提示和邮件跟踪 (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016 邮箱 或 Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity |
Microsoft Entra 身份验证系统 | WS-Security 身份验证 | 否 |
多邮箱搜索 (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016 邮箱 或 Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
身份验证服务器 | WS-Security 身份验证 | 否 |
邮箱迁移 (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016 邮箱 或 Exchange 2013/2010 CAS: /ews/mrsproxy.svc |
NTLM | 基本 | 否 |
OAuth (自动发现和 EWS) | TCP 443 (HTTPS) | Exchange 2019/2016 邮箱 或 Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
身份验证服务器 | WS-Security 身份验证 | 否 |
AD FS (Windows Server) | TCP 443 (HTTPS) | Windows 2012 R2/2016 服务器:/adfs/* | Microsoft Entra 身份验证系统 | 根据配置而异。 | 双重 |
Microsoft Entra Connect | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server (AD FS) :/adfs/* | Microsoft Entra 身份验证系统 | 根据配置而异。 | 双重 |
有关此信息的更多详细信息,请参阅 深入探讨:混合身份验证实际工作原理、混合 邮件流揭秘和故障排除:邮件何时是内部邮件?、 Exchange 混合部署中的传输路由、 使用连接器配置邮件流以及 管理多个位置的邮箱 (Exchange Online 和本地) 的邮件流 。
推荐的工具和服务
使用混合配置向导配置混合部署时,以下工具和服务非常有用:
邮件迁移顾问:提供有关在本地组织与 Microsoft 365 或 Office 365 之间配置混合部署或完全迁移到 Microsoft 365 或 Office 365 的分步指南。
有关详细信息,请参阅 使用邮件迁移顾问。
远程连接分析器工具:Microsoft远程连接分析器工具检查本地 Exchange 组织的外部连接,并确保已准备好配置混合部署。 强烈建议在使用"混合配置"向导配置混合部署之前,使用远程连接分析工具检查内部部署组织。
可在以下位置了解详细信息:Microsoft Remote Connectivity Analyzer。
单一登录:单一登录使用户能够使用单个用户名和密码访问本地和 Exchange Online 组织。 它向用户提供了一种熟悉的登录体验,并允许管理员使用内部部署 Active Directory 管理工具轻松控制 Exchange Online 组织邮箱的帐户策略。
部署单一登录时有多个选项:密码同步和 Active Directory 联合身份验证服务。 这两个选项都由 Microsoft Entra Connect 提供。 密码同步使几乎任何组织(不论大小)都能轻松实现单一登录。 因此,由于启用单一登录后混合部署中的用户体验明显更好,因此我们强烈建议实现它。 对于超大型组织,例如具有多个需要加入混合部署的 Active Directory 林的组织,需要 Active Directory 联合身份验证服务。
有关详细信息,请参阅混合部署中的单一登录。