Exchange 2013 或更新版本的混合部署支援組織在多個 Active Directory 森林中的 Exchange 伺服器,以及單一的 Microsoft 365 組織。
提示
使用資源森林管理使用者帳號、單一獨立森林管理 Exchange 伺服器的組織,不被視為多森林。 這些組織被視為單一森林,用於混合部署。
你只能從單一 Active Directory 森林將 public 資料夾從本地環境遷移到 Microsoft 365。 同樣地,混合部署中僅支援當公開資料夾位於單一 Active Directory 森林時,才支援存取本地公用資料夾。
欲了解更多有關混合部署的資訊,請參見 Exchange Server 混合部署。
重要事項
使用 Exchange 2013 或更新版本的混合部署需要以下版本的 Exchange:
- Exchange 2013 累積更新 15 (CU15) 或更新版本。
- Exchange 2016 累積更新 8 (CU8) 或更新版本。
如需詳細資訊,請參閱《混合部署預設條件》。
多樹系混合式部署的必要條件
多森林混合部署的先決條件幾乎與單一森林組織的混合部署先決條件相同,但有以下例外:
自動發現:每個交易所森林必須對至少一個 SMTP 命名空間及對應的自動發現命名空間具權威。 如果多個 Exchange 森林中有共用網域,郵件路由和自動發現端點都必須在 Exchange 森林間設定並正常運作,才能在配置多森林混合部署前完成。 Microsoft 365 必須能夠查詢每個 Exchange 森林中的 Autodiscover 服務。
憑證:所有混合部署都需要由受信任的商業認證機構 (加州) 頒發的數位憑證。 對於多森林混合部署,你不能用單一數位憑證管理多個 Active Directory 森林。 每個樹系必須使用專用的 CA 發行憑證,Secure Mail Transport 才能在混合式部署中正常運作。 在下列屬性中,多樹系組織中各樹系之混合式部署功能所用的憑證必須至少有一項屬性不同:
通用名稱:數位證書的 CN) (通用名稱屬於證書的 主題 欄位。 此值必須與被認證的主機相符,通常是 Active Directory 森林中用戶端存取伺服器的外部主機名稱。 例如,mail.contoso.com。 我們建議使用 CN 作為區別多樹系混合式部署中所用 Active Directory 憑證的屬性。
發行人:驗證組織資訊並發出證書的商業 CA。 例如,VeriSign 或 Go Daddy。 以多森林混合部署為例,一個森林由 VeriSign 發行憑證,另一森林則由 Go Daddy 發出憑證。
重要事項
在混合部署 (與邊緣傳輸伺服器中,用於郵件傳輸的每個Active Directory 森林中安裝的信箱伺服器與用戶端存取伺服器上的憑證,若部署) 必須由同一CA簽發且名稱相同。
在邊緣傳輸伺服器上,如果憑證的共用名稱與發行者名稱不符,你可以在 Exchange Management Shell 中使用以下指令手動在接收連接器中設定:
$cert = Get-ExchangeCertificate -Thumbprint "<Thumbprint of the certificate>" $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)" Get-ReceiveConnector "<Name of the Receive connector>" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
Exchange 伺服器:每個設定為混合部署的 Active Directory 森林中,至少需有一台以下 Exchange 伺服器:
Exchange 2013 中,客戶端存取伺服器角色。
用戶端存取伺服器是 Microsoft 365 的入站安全郵件傳輸端點,並使混合組態精靈能在 Active Directory 森林中執行。 每個設定為混合部署的 Active Directory 森林中,至少需要一個 Mailbox 伺服器角色。 Exchange 2013 郵箱伺服器是發送給 Microsoft 365 及 Exchange Online 組織的郵件外發安全郵件傳輸端點。
Exchange 2016 或更新版本的伺服器,並具備 Mailbox 伺服器角色。
郵箱伺服器的角色負責處理您的本地組織與 Exchange Online 之間所有的入站與出站安全傳輸。
命名空間規劃:每個交換森林都需要其獨特的外部可發現命名空間。 你可以在每個森林中執行 Hybrid Configuration 精靈時,指定該森林的唯一命名空間。
Active Directory 同步:所有混合部署都需要與 Microsoft 365 同步 Active Directory。 如果您的組織已經透過 Forefront Identity Manager 在多森林組織與 Microsoft 365 之間設定了 Active Directory 同步,您可以使用 Microsoft Entra Connect。
單一登入 (可選) :管理員可選擇在每個 Active Directory 森林中設定單一 SSO 伺服器,或若在森林間設定雙向森林信任,則設定單一 SSO 伺服器。 您可以使用 AD FS 或密碼同步處理其中一個,以獲得順暢的使用者驗證體驗。
如需詳細資訊,請參閱 單一登入與混合式部署。
如需完整的混合式部署必要條件清單,請參閱混合部署必要條件
多樹系混合式部署案例
以下範例概述了典型的 Exchange 2013 多森林部署:
- 森林A包含 contoso.com 域。
- 森林B包含 sale.contoso.com 域。
- 每個 forest 包含網域控制器、一台 Exchange 2013 用戶端存取伺服器,以及一台 Exchange 2013 信箱伺服器。
- 遠端 Contoso 使用者使用 Outlook Web App 透過網際網路連接 Exchange 2013,以查看信箱並存取 Outlook 行事曆。
作為 Contoso 的管理員,您有興趣配置混合部署:
- 你在 Forest A 中部署並設定一台必要的 Active Directory 同步伺服器。
- 你決定部署一台Active Directory 同盟服務 (AD FS) 伺服器,以減少存取 Microsoft 365 服務時的憑證提示次數。
在您完成混合部署先決條件並使用混合組態精靈選取混合部署的選項之後,您的新拓撲組態如下:
使用者使用現有的網路帳號憑證登入 (「單一登入」) 。
使用者信箱會使用多個電子郵件地址網域。 例如:
- 森林A的信箱和Exchange Online的部分信箱使用 contoso.com 郵箱。
- 森林B的信箱和Exchange Online的部分信箱都使用 sales.contoso.com 電子郵件地址。
本地組織負責將所有訊息傳輸傳輸控制,並作為Exchange Online組織的中繼 (「集中郵件傳輸」) 。
內部部署和 Exchange Online 組織使用者可以彼此共用行事曆空閒/忙碌資訊。 為這兩個組織設定的組織關係,也會啟用跨部署郵件追蹤、郵件提示及訊息搜尋。
本地端與 Exchange Online 使用者使用相同的網址透過網際網路連接他們的信箱。
如果你比較前後的配置,你會發現配置混合部署時增加了伺服器和服務,支援更多通訊與本地與 Exchange Online 組織間共享的功能。 這些變動總結如下表格:
| 組態 | 混合部署前 | 混合部署後 |
|---|---|---|
| 信箱位置 | 僅有內部部署信箱。 | 位於內部部署與 Exchange Online 中的信箱。 |
| 訊息傳輸 | 內部部署用戶端存取伺服器負責處理所有內送及外寄郵件路由。 | 內部部署用戶端存取伺服器會處理在內部部署和 Exchange Online 組織之間的內部郵件路由。 |
| Outlook Web App | 內部部署用戶端存取伺服器會接收所有 Outlook Web App 要求並顯示信箱資訊。 | 本地用戶端存取伺服器會將 Outlook Web App 請求導向到本地的 Exchange 2013 郵箱伺服器,或提供登入 Exchange Online 組織的連結。 |
| 兩個組織都通用的統一 GAL | 不適用 | 內部部署 Active Directory 同步處理伺服器會將擁有郵件功能之物件的 Active Directory 資訊複寫至 Exchange Online 組織。 |
| 兩個組織都通用的單一登入 | 不適用 | 本地Active Directory 同盟服務 (AD FS) 伺服器支援對位於本地或 Microsoft 365 組織中的信箱使用單點登入憑證。 |
| 建立組織關係並與 Microsoft Entra 認證系統建立聯邦信任 | 可設定與 Microsoft Entra 認證系統的信任關係,以及與其他聯邦 Exchange 組織的組織關係。 | 與 Microsoft Entra 認證系統建立信任關係是必要的。 在內部部署與 Exchange Online 組織之間建立組織關係。 |
| 空閒/忙碌資訊共用 | 僅能在內部部署使用者之間進行空閒/忙碌資訊共用。 | 在內部部署使用者與 Exchange Online 使用者之間進行空閒/忙碌資訊共用。 |
在多樹系組織中設定混合式部署
要為多森林組織配置混合部署,您需要完成以下基本步驟:
確認你符合混合部署的先決條件。 請參閱本文前述列出的先決條件及 混合部署先決條件。 通常只有一個樹系需要安裝 Active Directory 同步伺服器。 欲了解更多資訊,請參閱 Microsoft Entra Connect 的拓撲。
請向商業 CA 取得符合本文前述要求的每個 Active Directory 森林的憑證。
在每個 Forest () Exchange 2013 用戶端存取與信箱伺服器上安裝憑證。
請完成「建立混合部署」中所述步驟, 並使用混合配置向導器 為主要森林設計。
重要事項
請務必在 [混合組態精靈] 中選取為主要樹系指定的憑證,並選取此樹系的主要 SMTP 網域。
完成「 使用混合組態精靈建立混合部署 」中所述的步驟,針對次級森林進行。
重要事項
請務必在 [混合組態精靈] 中選取為次要樹系指定的憑證,並選取此樹系的主要 SMTP 網域。