Microsoft 混合雲端
混合式代理程式可移除設定 Exchange 混合式環境時可能面臨的一些挑戰。 Agent 建置在與 Microsoft Entra 應用程式 Proxy 相同的技術之上,可移除 Hybrid 的一些設定需求。 例如:
- 外部 DNS 專案。
- 憑證更新。
- 透過防火牆的輸入網路連線,以啟用 Exchange 混合式功能。
混合式代理程式支持免費/忙碌共用和信箱移轉、郵件流程、目錄同步處理和其他混合式功能。
重要事項
不支援透過 Outlook Web App (Microsoft Entra 應用程式 Proxy 發佈 OWA) 和 Exchange 控制台 (ECP) 。
代理程式位置和需求
下列任一位置支援透過混合式設定精靈安裝代理程式和混合式設定 (HCW) :
- 在獨立電腦上 (設計為「代理程式伺服器」) 。
- 在 Exchange Server 上:
- Exchange 2016 或更新版本:信箱角色。
- Exchange 2013:CAS) (用戶端存取角色。
系統需求
混合式代理程式有多種不同需求的安裝方法。 在所有情況下,核心計算機需求都與下列清單所述相同:
Windows Server 2012 R2、Windows Server 2016 或 Windows Server 2019
- .NET Framework 4.7.2 或更新版本。
- 已啟用 TLS 1.2。
- Microsoft Entra ID中的 應用程式 Proxy
- 能夠建立因特網的輸出 HTTPS 連線。
- 能夠對針對混合式組態選擇的 Exchange Server 建立 HTTPS 連線。
只要符合下列需求,HCW 就可以自動下載並安裝 Agent MSI:
計算機是 Active Directory 網域的成員。
計算機能夠建立遠端 PowerShell 連線到針對混合式設定所選擇的 Exchange Server。
計算機使用支援 ClickOnce 技術 (的瀏覽器,例如 Microsoft Edge) 。
您使用的 內部部署的 Active Directory 帳戶必須符合下列需求:
- 內部部署 Exchange 組織中組織管理角色群組的成員資格。
- 在您要安裝混合式代理程序的計算機上,本機 Administrators 群組的成員資格。
如果您直接在 CAS 伺服器上安裝代理程式,則自動下載並安裝 Agent MSI 是理想的選擇。
連接埠與通訊協定需求
必須在安裝混合式代理程式的計算機與因特網之間開啟輸出埠 HTTPS (TCP) 443 和 80 ,如下所示。
必須在安裝混合式代理程式的計算機與混合式設定精靈中選取的 CAS 之間開啟埠 TCP 連接埠 443、80、5985 和 5986。
重要事項
從內部部署使用者到 Exchange Online 使用者的空閒/忙碌要求不會周遊混合式代理程式。 所有 Exchange 信箱伺服器 (包括 Exchange 2013 信箱伺服器) 必須能夠透過 HTTPS (TCP 連接埠 443) 與 Microsoft 365 或 Office 365 端點通訊。 如需必要的 URL、IP 位址和埠, 請參閱這裡。
Proxy 伺服器考慮
如果您的網路環境使用輸出 Proxy 伺服器,您需要執行一些額外的設定,如本節所述。 這份清單可能不詳盡。
代理程式
Agent 支援輸出未經驗證的 Proxy 伺服器,但您需要在安裝之後執行更多設定。 在 ConfigureOutBoundProxy.ps1 安裝 Agent 的電腦上執行 位於 \Program Files\Microsoft Hybrid Service\ 中的腳本。 例如:
PS C:\Program Files\Microsoft Hybrid Service\>.\ConfigureOutBoundProxy.ps1 -ProxyAddress http://proxyserver:8080
藉由執行文稿,下列區段會新增至 Microsoft.Online.EME.Hybrid.Agent.Service.exe.config 位於相同資料夾中的 檔案:
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True" />
</defaultProxy>
</system.net>
重要事項
防止註冊的 Proxy 伺服器會導致下列項目失敗:
- 連接器安裝。
- 安裝之後的Test-Connectivity 。
建議您允許連接器略過 Proxy,直到您可以進行應用程式設定變更為止。
Exchange Server
HCW 會從您的 Exchange Server 建立與 domains.live.com 的連線,以交換元數據並建立信任。 因為連線源自您的 CAS 伺服器,所以必須正確設定該伺服器 (來自 Get-ExchangeServer | Format-List internetWebProxy) 的 Proxy 設定,否則輸出空閒/忙碌可能會失敗。 除了連線失敗之外,如果 Proxy 設定不正確,HCW 將無法設定委派的驗證。
空閒/忙碌需求
混合式精靈會自動處理內部部署 Exchange 和 Exchange Online 中所需的空閒/忙碌資訊。
如果您需要設定與第三方的免費/忙碌共用,請移至 Exchange 系統管理中心的 [組織] 索引標籤,並設定兩個系統之間的個別或組織共用 (Exchange Online 和 Exchange 內部部署或 Exchange 內部部署與 Exchange 內部部署) 。
如果您遇到問題,請參閱 如何針對混合式部署中的空閒/忙碌問題進行疑難解答。
條件約束
安裝混合式代理程式之前,請記住下列問題:
混合式 代理程式不支援混合式新式驗證。 您必須使用傳統 Exchange 混合式拓撲,併發佈混合式新式驗證的自動探索、EWS、ActiveSync、MAPI 和 OAB 端點,才能與各種 Outlook 用戶端搭配運作。
針對需要存取內部部署信箱的Teams行事曆功能,我們建議使用完整的傳統Exchange混合式拓撲。 如需詳細資訊,請參閱 Exchange 和 Microsoft Teams 如何互動。
郵件追蹤和多信箱搜尋不會周遊混合式代理程式。 這些混合式功能需要傳統連線模型,其中 Exchange Web 服務 (EWS) 和自動探索會在內部部署發佈,並可在外部供 Exchange Online 使用。
混合式代理程式會註冊當您在 Entra Hybrid Proxy 基礎結構中執行混合式設定精靈時所選取 CAS 伺服器的內部 FQDN。 如果已註冊的 CAS 伺服器離線,則從 Exchange Online 到內部部署的空閒/忙碌查閱,以及從 Exchange Online 移轉的信箱將無法運作。 如果選取的 CAS 永久離線,您必須再次執行混合式設定精靈來註冊新的 CAS 伺服器。
混合式代理程式支援具有服務預設限制的單一移轉端點。 不支援使用自定義端點或 URL 的多個移轉端點。
混合式代理程式支援單一 Exchange 組織。 不支援多個 Exchange 組織。
注意事項
SMTP 不會周遊混合式代理程式,而且在 Exchange Online 與內部部署組織之間的郵件流程仍然需要公用憑證。 SMTP 流量超出混合式代理程序的範圍。
執行安裝程式
您必須在要安裝代理程式的電腦上執行 HCW。 安裝並設定代理程序之後,HCW 會找出慣用的伺服器來連線並執行標準混合式設定步驟。 您不需要直接從 Exchange 伺服器執行 HCW。 但是,您執行 HCW 的電腦必須能夠連線到埠和通訊協定區段中所指定埠上的 Exchange Server。
安裝必要條件
選擇性:確認連線能力。
在您將執行混合式設定精靈的伺服器上, (混合式代理程式安裝和後續的混合式設定步驟) ,請下載下列範例腳本,並將其儲存至任何目錄: https://aka.ms/hybridconnectivity。
開啟 Exchange 管理命令介面,並將目錄變更為腳本的位置。
執行下列命令以匯入 Cmdlet:
Import-Module .\HybridManagement.psm1執行下列命令,確認您要安裝的計算機可以連線到混合式代理程式安裝和混合式設定精靈設定的所有必要端點。
Test-HybridConnectivity -TestO365Endpoints此命令的輸出看起來像這樣:
若要允許安裝混合式代理程式,並在您的 Microsoft 365 或 Office 365 組織中執行信箱移轉,請執行下列命令,在 EWS 虛擬目錄上啟用 Mailbox Replication service (MRS) Proxy:
Set-WebServicesVirtualDirectory -Identity "EWS (Default Web Site)" -MRSProxyEnabled $true注意事項
如果您未在執行 HCW 之前完成此步驟,HCW 將會啟用 MRS Proxy。 不過,建議您在執行 HCW 之前先完成此步驟,以確保 IIS 快取有時間在 HCW 驗證端點之前清除。
移至 控制台 中的 [程式和功能],並確認尚未安裝舊版的混合式設定精靈。 如果是,請將它卸載。
在執行 HCW 的電腦上安裝 .NET Framework 4.6.2 版。 視您安裝的 Exchange 版本而定,您可能需要安裝更新版本的 .NET Framework。 或者,如果未安裝此版本,HCW 會提示您安裝或升級計算機上已安裝的版本。
安裝步驟
登入您的內部部署 Exchange 系統管理中心 (EAC) ,流覽至 混合式 節點,然後按兩下 [ 設定]。
選取您要在其中執行傳統混合式設定的 Exchange 伺服器。 請選取 HCW 提供的預設伺服器,或在第二個單選按鈕中指定特定伺服器。 選取 [下一步]。
輸入您的內部部署 Exchange 認證和您的 Microsoft 365 或 Office 365 全域管理員認證。 按一下[下一步]。
等候 HCW 收集有關您環境的信息和設定。 完成後,按 [ 下一步]。
選取 [ 最小 ] 或 [ 完整混合式組態]。 您也可以選擇 [組織設定傳輸]。 如需詳細資訊,請參閱 混合式組織設定傳輸 V2。 按一下[下一步]。
請遵循步驟來啟用同盟。 按一下[下一步]。
選 取 [使用 Exchange 新式混合式拓撲]
按一下[下一步]。
HCW 會安裝混合式代理程式。 有四個基本階段:
下載 Agent 安裝套件。
在本機計算機上安裝代理程式 (注意:這會再次提示您輸入 Microsoft 365 或 Office 365 全域管理員認證) 。
在 Entra 中註冊代理程式,包括建立用來 Proxy 要求的 URL。 URL 格式為:
uniqueGUID.resource.mailboxmigration.his.msappproxy.net。透過代理程序測試從 Microsoft 365 或 Office 365 組織移轉至內部部署 Exchange 組織的可行性。
注意事項
混合式代理程式安裝程式最多可能需要10分鐘才能完成。
其餘的 HCW 輸入和動作與傳統混合式部署相同。
在更新階段期間,HCW 會使用在上述步驟 8.3 中建立的自定義 URL 來建立移轉端點。 它也會在 Microsoft 365 或 Office 365 端的組織關聯性和/或 IntraOrganization Connector 物件上,將值設定TargetSharingEPR為此值。 新的 URL 可用來將來自 Microsoft 365 或 Office 365 組織的要求傳送至內部部署 Exchange 組織,以進行免費/忙碌和移轉。
您可以從與 Microsoft 365 或 Office 365 組織的 Exchange Online PowerShell 連線執行 Get-MigrationEndpoint 和 Get-OrganizationRelationship,以檢視特定值。
下列範例顯示當您執行 Get-MigrationEndpoint 和 Get-OrganizationRelationship Cmdlet 時可能會看到的輸出:
Get-MigrationEndpoint | Format-List Identity,RemoteServer
Identity : Hybrid Migration Endpoint - EWS (Default Web Site)
RemoteServer : 087f1c2e-8711-4176-ab4f-4b1c1777a350.resource.mailboxmigration.his.msappproxy.net
Get-OrganizationRelationship | Format-List Name,TargetSharingEpr
Name : O365 to On-premises - c6d22e11-2340-4432-9122-19097bacf0c1
TargetSharingEpr : https://087f1c2e-8711-4176-ab4f-4b1c1777a350.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
混合式代理程式 PowerShell 模組
混合式管理 PowerShell 模組是由混合式設定精靈在安裝混合式代理程式的電腦上的 *\Program Files\Microsoft Hybrid Service* 安裝。 此課程模組提供下列 Cmdlet,這些 Cmdlet 現在可以搭配或不搭配啟用多重要素驗證的系統管理員帳戶使用。
| Cmdlet | 用途 |
|---|---|
| Get-HybridAgent | 檢視已安裝的混合式代理程式。 |
| Update-HybridApplication | 編輯參數,例如混合式應用程式的目標URI。 |
| Get-HybridApplication | 若要檢視組織中的所有混合式應用程式。 |
| Remove-HybridApplication | 若要移除特定的混合式應用程式。 |
如何使用混合式代理程式 Cmdlet 搭配或不使用已啟用多重要素驗證的帳戶
若要使用這些 Cmdlet,您必須匯入 **\Program Files\Microsoft Hybrid Service** 提供的最新 HybridManagement.psm1。 您也可以直接從 https://aka.ms/HybridAgentPSM下載。
若要匯入混合式管理模組,請以系統管理員身分從 Windows PowerShell 提示字元執行下列命令:
Import-module .\HybridManagement.psm1
若要使用啟用多重要素驗證的系統管理員認證來執行這些 Cmdlet,您必須提供 userPrincipalName 參數。 如果您的帳戶不是啟用多重要素驗證的系統管理員帳戶,您也可以使用 Credential 參數來取代 userPrincipalName 參數,這會導致使用基本身份驗證。
下表顯示這兩種模式的使用方式差異:
| 管理員 啟用多重要素驗證的帳戶 | 使用基本身份驗證 管理員 | |
|---|---|---|
| 1 | Get-HybridAgent -UserPrincipalName <租用戶系統管理員 UPN> | Get-HybridAgent -Credential (Get-Credential) |
| 2 | Get-HybridApplication -UserPrincipalName <租用戶系統管理員 UPN> -AppId <GUID> | Get-HybridApplication -Credential (Get-Credential) -AppId <GUID> |
| 3 | Remove-HybridApplication -UserPrincipalName <租用戶系統管理員 UPN> -AppId <GUID> | Remove-HybridApplication -Credential (Get-Credential) -AppId <GUID> |
| 4 | New-HybridApplication -UserPrincipalName <租使用者系統管理員 UPN> -TargetUri “Server FQDN” | New-HybridApplication -Credential (Get-Credential) -TargetUri “Server FQDN” |
| 5 | Update-HybridApplication -AppId <GUID> -TargetUri “Server FQDN” -UserPrincipalName <租使用者系統管理員 UPN> | Update-HybridApplication -AppId <GUID> -TargetUri “Server FQDN” -Credential (Get-Credential) |
多代理程式部署
選項 1:使用混合式設定精靈安裝其他代理程式
您可以安裝其他混合式代理程式以進行備援。 只要下載最新版的 HCW,然後在您想要安裝其他混合式代理程式的電腦上開啟應用程式即可。
如同先前的 HCW 安裝,請啟動應用程式,選取 [ 下一步]。
選取要執行的所需伺服器,選取 [ 下一步]。
提供認證以登入您的 Microsoft 365 或 Office 365 組織,然後選取 [下一步]。
HCW 會收集組態資訊,完成時選取 [下一步 ]。
選取為 [完整 ] 或 [ 最小] 提供的預設選項,選取 [ 下一步]。
選取 [Exchange 新式混合式拓撲],[下一步]。
隨即會顯示一個頁面,為您提供現有或先前安裝之代理程序的狀態。 繼續進行下一個步驟之前,請確定現有 Agent 的狀態正確。 選 取 [安裝其他代理程式],然後按 [ 下一步]。
範例:
HCW 將會安裝其他混合式代理程式。 安裝完成時,您可以從計算機開啟 Microsoft Windows 服務控制台,並確認服務或代理程式已安裝並執行 (尋找 Microsoft Hybrid Service - mshybridsvc) 。 此時,如果您想要進一步變更混合式設定,您可以重新執行 HCW,或直接取消精靈。
您可以在每部想要安裝其他混合式代理程式的電腦上重複此步驟。
選項 2:手動下載並安裝其他代理程式
安裝其他代理程式的第二個選項是在 HCW 本身之外,並透過在所需的電腦上下載並手動安裝 Agent 來完成。
將 MSHybridService.msi 儲存至您電腦上的位置。
從該計算機,以系統管理員身分開啟 Windows 命令控制台,然後執行下列命令以安裝混合式代理程式:
Msiexec /i MSHybridService.msi系統會提示您輸入租用戶全域 管理員 認證。
安裝完成之後,您可以從計算機開啟 Microsoft Windows 服務控制台,並確認服務或代理程式已安裝並執行。
您可以在每部想要安裝其他混合式代理程式的電腦上重複此步驟。
檢查混合式代理程序的狀態
選項 1:透過混合式設定精靈取得狀態
啟動 HCW 應用程式,然後選取 [ 下一步]。
選取 Exchange 組織中的伺服器,然後選取 [ 下一步]。
提供認證以登入您的 Microsoft 365 或 Office 365 組織,然後選取 [下一步]。
HCW 會收集組態資訊。 完成時選取 [下一步 ]。
選取 [ 完整 ] 或 [ 最小 ] 提供的預設選項,然後選取 [ 下一步]。
選 取 [Exchange 新式混合式拓撲] ,然後選取 [ 下一步]。
隨即會顯示一個頁面,為您提供現有已安裝代理程序的狀態。
當您完成時,按兩下 [取消 ]。
選項 2:透過混合式管理 PowerShell 模組取得狀態
每次安裝混合式代理程式時,HCW 都會在安裝代理程式的計算機上,於 \Program Files\Microsoft Hybrid Service\ 中安裝混合式管理 PowerShell 模組。 根據預設,此模組不會匯入,因此您必須先匯入它,才能使用它。 如果尚未安裝,此模組也需要適用於PowerShell的 Azure 模組。 首先安裝 PackageManagement 模組,然後參閱本主題以取得 Azure PowerShell 模組安裝指示。
若要匯入混合式管理模組,請以系統管理員身分從 Windows PowerShell 提示字元執行下列命令:
Import-module .\HybridManagement.psm1
之後,您可以執行下列命令來檢視代理程序狀態:
Get-HybridAgent -Credential (Get-Credential)
此命令的輸出看起來像這樣:
注意事項
結果中的 標識碼 值是 Agent 身分識別,而不是指派給路由的唯一租使用者 GUID。
將混合式代理程式 (的) 導向至負載平衡器,而不是特定伺服器
您可以使用混合式管理 PowerShell 模組來設定混合式代理程式 (的) ,以將要求導向至負載平衡器,而不是特定 Exchange Server。 混合式代理程式支援針對 Exchange Server 2013 用戶端存取伺服器和 Exchange Server 2016 伺服器或更新版本,將要求路由傳送至負載平衡器。
請遵循上一節中的步驟,匯入 PowerShell 的混合式管理模組。
使用 Update-HybridApplication Cmdlet 上的 targetUri 參數,將 internalURL 的值從特定伺服器變更為負載平衡器端點。
針對 appId 參數使用租使用者的唯一端點 GUID 值 (例如,6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7) 。 請注意,此 GUID 值不是代理程式識別碼。 若要尋找端點 GUID 值,請使用下列其中一個程式:
從值
TargetSharingEPR:Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr輸出看起來像這樣:
TargetSharingEpr
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx從 MRS 設定:
Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer輸出看起來像這樣:
RemoteServer
------------
6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
在您擁有租使用者的端點 GUID 值之後,請執行下列命令:
targetUri:
https://myloadbalancer.com在此範例中 (您的值) 不同。appId:在此範例中,6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 (您的值) 不同。
Update-HybridApplication -targetUri "https://myloadbalancer.com" -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)範例:
其他資訊
您可以在安裝混合式代理程式的伺服器上的下列位置檢視其安裝詳細數據。
在 [服務] 控制台中:
在登入中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Hybrid Service:
在硬碟上:
在 [程式和功能] 中 控制台:
混合式代理程式的測試和驗證
成功部署混合式代理程式和混合式設定之後,您可以使用下列步驟來驗證透過代理程式的空閒/忙碌和信箱移轉流程。
在安裝混合式代理程式的伺服器上,開啟 效能監視器。
將物件 Microsoft AD App Proxy 連接器 和 # requests 計數器新增至您的檢視。
移轉
開啟與 Microsoft 365 或 Office 365 組織的 Exchange Online PowerShell 連線。
將您的 customguid 取代為唯一的端點 GUID 值,如將混合式代理程式 (的) 導向至負載平衡器而非特定伺服器中所述,然後執行下列命令:<>
Test-MigrationServerAvailability -ExchangeRemoteMove:$true -RemoteServer '<your customguid>.resource.mailboxmigration.his.msappproxy.net' -Credentials (Get-Credential)在出現的對話框中輸入您的內部部署認證。
測試傳回成功結果之後,切換回 效能監視器,並確認要求數目已增加。
執行測試信箱從內部部署 Exchange 組織移至您的 Microsoft 365 或 Office 365 組織也是一個選項。
注意事項
如果此測試失敗,請嘗試執行 Update-HybridApplication 並將它指向單一 Exchange Server,而不是負載平衡器。
空閒/忙碌
若要對空閒/忙碌資訊執行相同的驗證,請登入租使用者中的 Microsoft 365 或 Office 365 信箱、建立測試會議邀請,並將它傳送至內部部署信箱。
卸載混合式代理程式
若要卸載混合式代理程式,請從您執行安裝所在的相同計算機重新執行混合式設定精靈,然後選取 [ 傳統連線]。 選取傳統連線可卸載,並從計算機和 Entra 取消註冊混合式代理程式。 取消註冊混合式代理程序之後,您可以繼續安裝並設定傳統模式中的混合式。
從傳統模式切換到新式模式
成功設定傳統混合式 (發佈 EWS 命名空間並允許輸入) 之後,您可以切換至新式混合式 (混合式代理程式) 。 但是,只有當您在完成此設定之後遭到封鎖而無法將信箱移轉至雲端時,我們才建議您切換。 如果您選擇還原為新式混合式,請參閱先前 的條件約束 一節,因為混合式代理程式不支援所有混合式功能或體驗。
如果您已瞭解從傳統移轉到新式的優點,請繼續在 Exchange Online 中刪除現有的移轉批次和移轉端點,然後重新執行混合式設定精靈,然後選取 [新式混合式]。