多林混合部署

具有多个本地 Exchange 林和单个 Microsoft 365 或 Office 365 组织的组织支持 Exchange 2013 及更高版本的混合部署。 对于混合部署功能和注意事项,多林组织被定义为在多个林中部署 Exchange 服务器的组织。 对用户帐户使用资源林但在单个林中维护所有 Exchange 服务器的组织,在混合部署方案中不会被分类为多林组织。 这些类型的组织在规划和配置混合部署时应将其自身视为单林组织。

仅支持从单个 Active Directory 林将公用文件夹从本地环境迁移到 Microsoft 365 或 Office 365。 同样,仅当内部部署公用文件夹托管在单个 Active Directory 林中时,才支持访问混合状态的公用文件夹。

有关混合部署的详细信息,请参阅Exchange Server混合部署

重要

对于 Exchange 2013 及更高版本,混合部署需要最新的累积更新 (CU) 可用于本地组织中安装的 Exchange 版本。

如果无法安装最新更新,则还支持上一个版本。 不支持以前的 OU 和 RU。 有关更多信息,请参阅 混合部署先决条件

多林混合部署先决条件

多林混合部署先决条件与单林组织的混合部署先决条件几乎相同,但有以下例外:

  • 自动发现:对于至少一个 SMTP 命名空间和相应的自动发现命名空间,每个 Exchange 林必须具有权威性。 如果多个 Exchange 林中存在共享域,则在配置多林混合部署之前,必须先在 Exchange 林之间配置邮件路由和自动发现终结点,并确保其正常工作。 Office 365 服务必须能够查询每个 Exchange 林中的自动发现服务。

  • 证书:所有混合部署都需要由受信任的第三方证书颁发机构颁发的数字证书 (CA) 。 对于多林混合部署,单个数字证书不能用于多个 Active Directory 林。 每个林都必须使用由专门的 CA 颁发的证书,以确保安全邮件传输能够在混合部署中正常工作。 用于多林组织中每个林的混合部署功能的证书必须在以下至少一个属性方面存在不同:

    • 公用名:数字证书的公用名 (CN) 是证书使用者的一部分。 该名称必须匹配正在进行身份验证的主机,并且通常是 Active Directory 林中的客户端访问服务器的外部主机名。 例如,mail.contoso.com。 我们建议使用 CN 作为在多林混合部署中使用的 Active Directory 证书之间的区别属性。

    • 颁发者:验证组织信息并颁发证书的第三方 CA。 例如,VeriSign 或 Go Daddy。 例如,在多林混合部署中,一个林具有 VeriSign 颁发的证书,一个林具有 Go Daddy 颁发的证书。

    重要

    在邮箱和客户端访问 (和边缘传输上安装的证书(如果部署) 混合部署中用于邮件传输的每个 Active Directory 林中的服务器)必须全部由同一 CA 颁发,并且具有相同的公用名。

    在边缘传输服务器上,如果证书公用名称和颁发者名称不匹配,可以使用以下命令在接收连接器中手动设置它们:

    $cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate"
    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
    Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
    
  • Exchange 服务器:必须在为混合部署配置的每个 Active Directory 林中安装至少一台具有客户端访问服务器角色的 Exchange 2013 服务器,或者一台具有邮箱角色的 Exchange 2016 或更高版本服务器。

    在 Exchange 2013 中,客户端访问服务器是 Microsoft 365 或 Office 365 组织服务中包含的 Exchange Online Protection (EOP) 服务的入站安全邮件传输终结点,并使混合配置向导能够在 Active Directory 林中运行。 此外,在为混合部署配置的每个 Active Directory 林中,必须安装至少一个具有邮箱服务器角色的 Exchange 服务器。 Exchange 2013 邮箱服务器是发送到 EOP 服务和Exchange Online组织的邮件的出站安全邮件传输终结点。

    在 Exchange 2016 及更高版本中,邮箱服务器角色在您的本地组织和 Exchange Online 之间处理所有的入站和出站安全传输。

  • 命名空间规划:安装 Exchange 的每个林都需要其自己唯一的外部可发现命名空间。 在每个林中运行林时,会在混合配置向导中指定该林的唯一命名空间。

  • Active Directory 同步:所有混合部署都需要 Active Directory 与 Microsoft 365 或 Office 365 同步。 如果公司已使用 Forefront Identity Manager 在多林本地组织与 Microsoft 365 或 Office 365之间设置了 Active Directory 同步,则可以使用 Microsoft Entra Connect

  • 单一登录:虽然不需要使用单个 Active Directory 林进行混合部署,但管理员可以选择在每个 Active Directory 林中配置 SSO 服务器,或者在本地林之间配置双向林信任时配置单个 SSO 服务器。 使用 AD FS 或密码同步实现无缝的用户身份验证体验。

    有关详细信息,请参阅混合部署中的单一登录

有关混合部署先决条件的完整列表,请参阅混合部署先决条件

多林混合部署方案

看一下下面的情况。 它是一个示例拓扑,提供典型 Exchange 2013 部署的概述。 Contoso, Ltd. 是一个多林、多域组织,具有两个 Active Directory 林。 林 A 包含“contoso.com”域,林 B 包含“sale.contoso.com”域。 每个都包含每个林中的域控制器、一台安装了客户端访问角色的 Exchange 2013 服务器和一台安装了邮箱服务器角色的 Exchange 2013 服务器。 远程 Contoso 用户使用 Outlook Web App 通过 Internet 连接到 Exchange 2013,以检查邮箱并访问其 Outlook 日历。

使用多个林进行混合部署之前。

假设你是 Contoso 的网络管理员,并且有兴趣配置混合部署。 在林 A 中部署和配置所需的 Active Directory 同步服务器,还决定部署Active Directory 联合身份验证服务 (AD FS) 服务器作为选项,以尽量减少 Contoso 用户和管理员访问 Microsoft 365 或 Office 365林 A 中的服务。完成混合部署先决条件并使用混合配置向导选择混合部署的选项后,新拓扑具有以下配置:

  • 用户将使用其现有的网络帐户凭据登录到本地组织和 Exchange Online 组织("单一登录")。

  • 位于本地组织和 Exchange Online 组织中的用户邮箱将使用多个电子邮件地址域。 例如,位于本地林 A 中的邮箱和位于 Exchange Online 组织中的某些邮箱将在用户电子邮件地址和林 B 中的邮箱中使用@contoso.com,而位于 Exchange Online 组织中的某些邮箱将使用 @sales.contoso.com。

  • 所有邮件都将通过本地组织传递到 Internet。 本地组织控制所有邮件传输,并充当 Exchange Online 组织的中继("集中邮件传输")。

  • 内部部署组织用户和 Exchange Online 组织用户可以相互共享日历忙/闲信息。 为这两个组织配置的组织关系还将启用跨内部部署邮件跟踪、邮件提示和邮件搜索。

  • 内部部署用户和 Exchange Online 用户使用相同的 URL 通过 Internet 连接到其邮箱。

使用多个林进行混合部署后。

如果将 Contoso 的现有组织配置与混合部署配置进行比较,可以看到通过配置混合部署,添加了支持其他通信和功能的服务器和服务,这些通信和功能在内部部署组织和 Exchange Online 组织之间共享。 下面概述了混合部署相对于初始内部部署 Exchange 组织所发生的变化。

配置 混合部署前 混合部署之后
邮箱位置 邮箱仅位于内部部署组织中。 内部部署邮箱与 Exchang Online 中邮箱。
邮件传输 内部部署客户端访问服务器处理所有入站和出站邮件路由。 内部部署客户端访问服务器处理内部部署组织与 Exchange Online 组织之间的内部邮件路由。
Outlook Web App 本地客户端访问服务器接收所有 Outlook Web App 请求并显示邮箱信息。 内部部署"客户端访问"服务器将 Outlook Web App 请求重定向到内部部署 Exchange 2013 "邮箱"服务器,或提供一个链接,用于登录到 Exchange Online 组织。
用于两个组织的统一 GAL 不适用;仅限单个组织。 本地 Active Directory 同步服务器将启用了邮件功能的对象的 Active Directory 信息复制到 Exchange Online 组织。
用于两个组织的单一登录 不适用;仅限单个组织。 本地Active Directory 联合身份验证服务 (AD FS) 服务器支持对位于本地或 Microsoft 365 或 Office 365 组织中的邮箱使用单一登录凭据。
与Microsoft Entra身份验证系统建立组织关系和联合信任 可以配置与Microsoft Entra身份验证系统的信任关系,以及与其他联合 Exchange 组织的组织关系。 需要与Microsoft Entra身份验证系统建立信任关系。 内部部署组织与 Exchange Online 组织之间建立组织关系。
忙/闲共享 仅在内部部署用户之间共享忙/闲信息。 在本地用户之间和 Exchange Online 用户之间共享忙/闲信息。

在多林组织中配置混合部署

若要为多林组织配置混合部署,需要完成以下基本步骤:

  1. 验证是否满足混合部署先决条件。 请参阅本主题以及混合部署先决条件中列出的先决条件。 通常情况下,只有一个林需要安装 Active Directory 同步服务器。 有关详细信息,请参阅 Microsoft Entra Connect 的拓扑

  2. 为满足本主题之前列出的先决条件的每个 Active Directory 林获取第三方 CA 证书。

  3. 在每个林中所有的 Exchange 2013 客户端访问服务器和邮箱服务器或 Exchange 2016 邮箱服务器上安装证书。

  4. 针对主要林完成使用混合配置向导创建混合部署主题中概述的步骤。

    重要

    确保选择在混合配置向导中为主要林指定的证书,并为该林选择主 SMTP 域。

  5. 针对次要林完成使用混合配置向导创建混合部署主题中概述的步骤。

    重要

    确保选择在混合配置向导中为次要林指定的证书,并为该林选择主 SMTP 域。