採用多個樹系的混合式部署
具有多個內部部署 Exchange 樹系和單一 Microsoft 365 或 Office 365 組織的組織支援 Exchange 2013 和更新版本的混合式部署。 針對混合式部署功能和考慮,多樹系組織會定義為在多個樹系中部署 Exchange 伺服器的組織。 如果組織針對使用者帳戶利用資源樹系,但在單一樹系中維護所有 Exchange 伺服器,則在混合式部署案例中不會被分類為多樹系組織。 規劃和設定混合式部署時,應該將這些類型的組織視為單一樹系組織。
僅支援從單一 Active Directory 樹系將公用資料夾從內部部署環境移轉至 Microsoft 365 或 Office 365。 同樣地,存取混合狀態的公用資料夾則僅在內部部署公用資料夾位於單一 Active Directory 樹系時才支援。
如需混合式部署的詳細資訊,請參閱 Exchange Server 混合式部署。
重要事項
針對 Exchange 2013 和更新版本,混合式部署需要最新的累積更新 (CU) 適用於您已安裝在內部部署組織中的 Exchange 版本。
如果您無法安裝最新的更新,也支援緊接在先前的版本。 不支援先前的 RU 和 RU。 如需詳細資訊,請參閱《混合部署預設條件》。
多樹系混合式部署的必要條件
多樹系混合式部署必要條件與單一樹系組織的混合式部署必要條件幾乎完全相同,但下列例外狀況:
自動探索:每個 Exchange 樹系至少必須具有一個 SMTP 命名空間和對應的自動探索命名空間的授權。 如果多個 Exchange 樹系間有共用網域,則必須先設定郵件路由與自動探索端點並使其在 Exchange 樹系之間正常運作,才能設定多樹系混合式部署。 Office 365 服務必須能夠查詢每個 Exchange 樹系中的自動探索服務。
憑證:所有混合式部署都需要由受信任的第三方證書頒發機構單位 (CA) 所簽發的數字證書。 在多樹系混合式部署中,單一數位憑證不能用於多個 Active Directory 樹系。 每個樹系必須使用專用的 CA 發行憑證,Secure Mail Transport 才能在混合式部署中正常運作。 在下列屬性中,多樹系組織中各樹系之混合式部署功能所用的憑證必須至少有一項屬性不同:
一般名稱:數位證書 (CN) 的一般名稱是憑證主體的一部分。 此名稱必須與正在驗證的主機相符,而且通常是 Active Directory 樹系中 Client Access Server 的外部主機名稱。 例如,mail.contoso.com。 我們建議使用 CN 作為區別多樹系混合式部署中所用 Active Directory 憑證的屬性。
簽發者:驗證組織資訊並核發憑證的第三方 CA。 例如,VeriSign 或 Go Daddy。 作為多樹系混合式部署的範例,一個樹系會有 VeriSign 所簽發的憑證,而一個樹系會有 Go Factor 所簽發的憑證。
重要事項
安裝在信箱和用戶端存取 (和 Edge Transport 上的憑證,如果在混合式部署中用於郵件傳輸的每個 Active Directory 樹系中部署) 伺服器,則必須全部由相同的 CA 發出,並具有相同的通用名稱。
在 Edge Transport Server 上,如果憑證通用名稱和簽發者名稱不相符,您可以使用下列命令,在接收連接器中手動設定它們:
$cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate" $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)" Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
Exchange 伺服器:至少必須在針對混合式部署設定的每個 Active Directory 樹系中安裝一部具有用戶端存取伺服器角色的 Exchange 2013 伺服器,或一部具有信箱角色的 Exchange 2016 或更新版本伺服器。
在 Exchange 2013 中,用戶端存取伺服器是 Microsoft 365 或 Office 365 組織服務隨附之 Exchange Online Protection (EOP) 服務的輸入安全郵件傳輸端點,可讓混合式設定精靈在 Active Directory 樹系中執行。 此外,必須在針對混合式部署設定的每個 Active Directory 樹系中安裝至少一個具有 Mailbox server role 的 Exchange 伺服器。 Exchange 2013 信箱伺服器是傳送至 EOP 服務和 Exchange Online 組織之郵件的輸出安全郵件傳輸端點。
在 Exchange 2016 及更新版本中,Mailbox server role 會處理您的內部部署組織和 Exchange Online 之間的所有輸入和輸出安全傳輸。
命名空間規劃:您安裝 Exchange 的每個樹系都需要自己的唯一外部可探索命名空間。 當您在每個樹系中執行樹系時,您會在混合式設定精靈中指定樹系的唯一命名空間。
Active Directory 同步處理:所有混合式部署都需要與 Microsoft 365 或 Office 365 同步處理 Active Directory。 如果您的公司已經在您的多樹系內部部署組織與 Microsoft 365 之間設定 Active Directory 同步處理,或使用 Forefront Identity Manager Office 365,您可以使用 Microsoft Entra Connect。
單一登錄:雖然不需要使用單一 Active Directory 樹系進行混合式部署,但系統管理員可以選擇在每個 Active Directory 樹系中設定 SSO 伺服器,或在內部部署樹系之間設定雙向樹系信任時設定單一 SSO 伺服器。 您可以使用 AD FS 或密碼同步處理其中一個,以獲得順暢的使用者驗證體驗。
如需詳細資訊,請參閱 單一登入與混合式部署。
如需完整的混合式部署必要條件清單,請參閱混合部署必要條件
多樹系混合式部署案例
請參閱下列案例。 這是提供一般 Exchange 2013 部署概觀的範例拓撲。 Contoso, Ltd. 是具有兩個 Active Directory 樹系的多樹系多網域組織。 樹系 A 包含 contoso.com 網域,而樹系 B 包含 sale.contoso.com 網域。 每個樹系都包含域控制器、一部已安裝用戶端存取角色的 Exchange 2013 伺服器,以及一部已安裝信箱伺服器角色的 Exchange 2013 伺服器。 遠端 Contoso 使用者會使用 Outlook Web App 透過因特網連線到 Exchange 2013,以檢查其信箱並存取其 Outlook 行事曆。
假設您是 Contoso 的網路管理員,而且您有興趣設定混合式部署。 您會在樹系 A 中部署和設定必要的 Active Directory 同步處理伺服器,並決定部署 Active Directory 同盟服務 (AD FS) 伺服器作為選項,以將存取 Microsoft 365 或 Office 365 的 Contoso 使用者和系統管理員的帳戶認證提示數目降至最低樹系 A 中的服務。完成混合式部署必要條件並使用混合式設定精靈來選取混合式部署的選項之後,您的新拓撲會有下列設定:
使用者將使用其現有網路帳戶認證來登入內部部署與 Exchange Online 組織 (「單一登入」)。
位於內部部署及 Exchange Online 組織中的使用者信箱將使用多個電子郵件地址網域。 例如,位於樹系 A 內部部署的信箱,以及位於 Exchange Online 組織中的某些信箱,將會用於@contoso.com樹系 B 中的使用者電子郵件地址和信箱,而位於 Exchange Online 組織中的某些信箱將會使用 @sales.contoso.com。
所有郵件都由內部部署組織傳遞至網際網路。 內部部署組織會控制所有郵件傳輸,並擔任 Exchange Online 組織的轉送站 (「集中式郵件傳輸」)。
內部部署和 Exchange Online 組織使用者可以彼此共用行事曆空閒/忙碌資訊。 為這兩個組織設定的組織關係,也會啟用跨部署郵件追蹤、郵件提示及訊息搜尋。
內部部署和 Exchange Online 使用者在網際網路上會使用相同的 URL 來連線至信箱。
如果您比較 Contoso 的現有組織組態與混合部署組態,則會看到設定混合部署時已新增伺服器及服務,以支援在內部部署組織與 Exchange Online 組織之間共用的其他通訊及功能。 以下概述混合部署從初始內部部署 Exchange 組織進行的變更。
組態 | 混合部署前 | 混合部署後 |
---|---|---|
信箱位置 | 僅有內部部署信箱。 | 位於內部部署與 Exchange Online 中的信箱。 |
訊息傳輸 | 內部部署用戶端存取伺服器負責處理所有內送及外寄郵件路由。 | 內部部署用戶端存取伺服器會處理在內部部署和 Exchange Online 組織之間的內部郵件路由。 |
Outlook Web App | 內部部署用戶端存取伺服器會接收所有 Outlook Web App 要求並顯示信箱資訊。 | 內部部署用戶端存取伺服器會將 Outlook Web App 要求重新導向至內部部署 Exchange 2013 信箱伺服器,或提供登入 Exchange Online 組織的連結。 |
兩個組織都通用的統一 GAL | 不適用;僅有單一組織。 | 內部部署 Active Directory 同步處理伺服器會將擁有郵件功能之物件的 Active Directory 資訊複寫至 Exchange Online 組織。 |
兩個組織都通用的單一登入 | 不適用;僅有單一組織。 | 內部部署 Active Directory 同盟服務 (AD FS) 伺服器支援針對位於內部部署或 Microsoft 365 或 Office 365 組織中的信箱使用單一登錄認證。 |
已建立組織關係,並與 Microsoft Entra 驗證系統建立同盟信任 | 您可以設定與 Microsoft Entra 驗證系統的信任關係,以及與其他同盟 Exchange 組織的組織關係。 | 需要與 Microsoft Entra 驗證系統建立信任關係。 在內部部署與 Exchange Online 組織之間建立組織關係。 |
空閒/忙碌資訊共用 | 僅能在內部部署使用者之間進行空閒/忙碌資訊共用。 | 在內部部署使用者與 Exchange Online 使用者之間進行空閒/忙碌資訊共用。 |
在多樹系組織中設定混合式部署
若要為多樹系組織設定混合式部署,您必須完成下列基本步驟:
確認您已符合混合式部署的必要條件。 請參閱本主題先前所列的先決條件和混合部署必要條件。 通常只有一個樹系需要安裝 Active Directory 同步伺服器。 如需詳細資訊,請參閱 Microsoft Entra Connect 的拓撲。
為每個符合本主題先前所列需求的 Active Directory 樹系取得協力廠商 CA 憑證。
在每個樹系中的所有 Exchange 2013 Client Access Server 和 Mailbox Server 或 Exchange 2016 信箱伺服器上安裝憑證。
為主要樹系完成使用混合組態精靈建立混合部署主題中所述的步驟。
重要事項
請務必在 [混合組態精靈] 中選取為主要樹系指定的憑證,並選取此樹系的主要 SMTP 網域。
為次要樹系完成使用混合組態精靈建立混合部署主題中所述的步驟。
重要事項
請務必在 [混合組態精靈] 中選取為次要樹系指定的憑證,並選取此樹系的主要 SMTP 網域。