Exchange Online混合部署环境搭建及手动混合部署

本文的主要内容摘自世纪互联蓝云公司最新出版的《精通Office 365云计算管理Exchange Online篇》图书，共计三部分内容。

从Exchange 5.5到Exchange 2016 CU11，微软的邮件服务器软件的功能越发强大，同时对服务器软硬件的要求也是越来越高。公司如果建立数据中心，将是亿级的人力物力的投入。

如何灵活地将私有云与公有云相结合，节省企业的运营成本，同时将集成公有云的优势，是未来公司IT发展的趋势。

Office 365拥有和本地Exchange服务器相集成的最好的兼容性。Office 365中国版支持高达99.9%的服务级别协议（SLA），Exchange Online Plan 2许可证提供高达100GB的邮箱空间，以及支持无限存储、丰富的邮件投递报告、邮箱审计功能及与eDiscovery机制的应用、DLP数据外泄防护等。

具有弹性的混合部署方式，也是Office 365的一大特色，企业可同时应用自建的Exchange，并让管理者在单一接口中管理。

第一部分：混合部署的先决条件

请访问以下微软官方网址了解Exchange Online 混合部署的先决条件 https://docs.microsoft.com/zh-cn/exchange/hybrid-deployment-prerequisites?redirectedfrom=MSDN

1. 混合部署组件

在使用“混合部署”向导HCW创建和配置混合部署之前，现有的内部Exchange 组织必须满足特定的要求。

（1） 部署 Windows Azure Active Directory 同步工具，会将本地AD信息同步至Office 365。选中图所示界面中的“Exchange hybrid deployment”复选框，如果不选中，将不能把本地邮箱同步至Office 365，变为邮件用户。

AAD Connect 启用支持Exchange Online混合部署选项

（2） 配置自动发现公用 DNS 记录以指向内部部署 Exchange 2013/2016 客户端访问服务器。

用户如果将AutoDiscover记录由指向本地的Exchange服务器改为autodiscover.partner. outlook.cn，那么将不能配置MAPI形式的本地邮箱的Outlook账号，所以不要更改，如图所示。

AutoDiscover记录指向本地Exchange服务器

（3） 必须具有受信任的第三方证书（不可以使用内部CA颁发的证书）。

用户必须使用和配置从受信任的第三方 CA机构购买的证书。必须在所有内部部署邮箱（Exchange 2013及更高版本）、邮箱和客户端访问（Exchange 2013及更高版本）服务器上安装用于混合安全邮件传输的证书。

（4） 如果申请了abc.com域，需要申请至少一张包含abc.com域的证书；如果还有ADFS环境，建议申请一张通配符的公网证书，如图所示。

建议申请证书的信息

对于Exchange 2007或者Exchange 2010组织，必须在本地组织中至少安装一台 Exchange 2013 CU 20或者Exchange2016 CU 10及以上（客户端访问服务器和邮箱服务器角色）才能运行“混合配置”向导和支持基于Exchange 2013/2016的混合部署功能。需要特别注意的是，Office 365从2018年10月31日废止TLS1.0、1.1，同时启用TLS1.2。做Exchange Online混合部署的Exchange 2013服务器或者Exchange 2016服务器，建议在做Exchange Online混合部署前，至少升级至Exchange 2013 CU20或者Exchange 2016 CU10以便支持TLS1.2，如图所示，运行混合部署向导HCW时会有关于支持版本的提示信息。

最新HCW运行提示信息

可以看到图2-342中的1367.3，安装的Exchange 2013 CU20，如图所示。

获得本地Exchange版本信息

Exchange 2013 CU20的版本信

2. 开放的端口和协议

需要Exchange 2013作为Exchange Online混合部署的服务器，有固定的公网IP地址，同时开启25端口和443端口，如图所示，是关于开放的端口和协议的描述。

开放的端口和协议

3. Exchange 2013 CU20混合部署的前期准备

（1）在Office 365中先验证域名，使得域名出现在Exchange Online的可接受域中：

首先，在Office 365管理中心选择“添加域”选项，输入要绑定的域名“Office365tech.cn”，如图所示。

输入自定义域名信息

系统返回了随机值“MS=ms53262190”，需要在域名的DNS管理中心添加这条TXT记录，证明我们拥有这个域，如图所示。

Office 365自动生成TXT记录

添加TXT记录

TXT记录验证通过，单击“下一步”按钮。建议选中“我将管理自己的DNS记录”单选按钮，这样才能自己手动管理DNS记录。

设置为“我将管理自己的DNS记录”

根据自己的需求，可以选择Exchange和Skype for Business功能，如图所示。

选择在线服务

显示需要添加的DNS记录，值得注意的是，目前只做TXT记录，忽略提示的错误，选中“跳过此步骤”复选框，如图所示。

选择“跳过此步骤”

（5） 单击“完成”按钮，如图所示。

DNS设置完成

在Office 365的EAC中，检查接受域已有“Office365tech.cn”域名。

检查接受域

（2）本地Exchange 2013环境的准备

按照https://technet.microsoft.com/zh-cn/library/bb691354(v=exchg.150) 文档部署本地Exchange 2013 CU20。

目前在AD中部署了hero.com内部发布的域名，需要添加新的公网UPN地址后缀Office365tech.cn。在AD域和信任工具中选择属性，如图所示。

在AD中添加新域名地址后缀

填写新增域名“Office365tech.cn”并单击“OK”按钮保存，如图所示。

输入Office365tech.cn

跳过部署目录同步工具的步骤，同时将Auto Discover的A记录和MX指向本地的邮件服务器，如图所示。

DNS记录截图

创建发送连接器“send”，以便可以发送邮件至Internet，如图所示。

新建发送连接器

选择“与收件人关联的MX记录”

域填入“*”

选择Exchange服务器

创建接受的域Office365tech.cn并使其成为默认域，如图所示。

新建Office365tech.cn接受域

新建电子邮件地址策略并启用，如图所示。

新建Office365tech.cn电子邮件地址策略

应用Office365tech.cn电子邮件地址策略

发布OWA的外部地址，如图所示。

外部URL截图

发布EWS地址和认证方式（一定要选中“基本身份验证”复选框），如图所示。

选中“基本身份验证”

填写EWS外部URL地址，并选中“启用MRS代理终结点”复选框，如图所示。

EWS外部URL截图

打开Outlook Anywhere设置，填入外部主机名为“Office365tech.cn”，身份认证选择为“基本”，单击“保存”按钮，如图所示。

Outlook Anywhere设置

证书申请（注意，建议用户使用付费的第三方公网证书，免费的公网证书仅可用于实验环境）。请将证书分别安装Exchange 2013 CU20本地计算机——个人和受信任根证书目录中，如图所示。

证书信息

在本地Exchange 2013服务器EAC中导入证书，如图所示，选择“导入Exchange证书”。

选择“导入Exchange证书”

将Exchange 2013服务器本地文件夹share，共享文件夹后导入证书，必须指定证书绑定了SMTP和IIS服务，如图所示。

导入Exchange证书

选择Exchange服务器主机

将证书绑定IIS和SMTP服务

在https://testconnectivity.microsoft.com/进行Outlook Autodiscover测试通过，这样就完成了Exchange Online混合部署的前期准备工作，如图所示。

测试Outlook Autodiscover

第二部分： 混合部署向导

请访问以下微软官方网址了解“混合配置”向导:

https://docs.microsoft.com/zh-cn/exchange/hybrid-configuration-wizard

1. 开始运行HCW

HCW是Microsoft Office 365 Hybrid Configuration Wizard的缩写，如果用户部署的是Exchange 2013 CU20作为混合部署的服务器，建议在Exchange 2013 CU20务器上（https://aka.ms/hcwcn）下载和运行HCW，不要在Windows 7，Windows 10等客户端计算机上下载。 混合部署配置过程如下。

（1） “验证先决条件并执行拓扑检查”。管理“混合配置”向导会验证内部组织和Exchange Online组织是否可以支持混合部署。向导在内部部署与Exchange Online组织中验证与检查的部分项目如下。

① 内部部署Exchange服务器版本。 ② Exchange Online版本。 ③ Active Directory同步状态和配置（Microsoft Azure Active Directory Connect）。 ④ 联盟与接受域。 ⑤ 现有联合身份验证信任和组织的关系。 ⑥ Web服务虚拟目录。 ⑦ Exchange 证书。

（2） 测试账户凭据。指定的内部部署和Office 365混合管理账户会访问内部部署组织和Exchange Online组织，以收集先决条件验证信息并更改组织参数配置来启用混合部署功能。

（3） 进行混合部署配置更改。在测试混合管理账户、执行验证和拓扑检查，以及收集在向导过程中定义的配置信息之后，“混合配置”向导会更改配置以创建和启用混合部署。

（4） 如果遇到412错误，调整IE使得接受Cookie，如图所示。

HCW的412错误

调整IE隐私设置

（5）如果遇到HCW向导长时间没有响应，需查看默认程序，更改默认程序APPLICATION File为IE，路径为Control Panel\Programs\Default Programs\Set Associations，如图所示。

更改默认程序APPLICATION File为IE

HCW混合部署向导开始运行截图

（6）HCW会自动选择检测到的Exchange 2013服务器，如果是负载均衡NLB环境（即有两台Exchange 2013服务器需要混合部署），只显示一台服务器也是正常的，在选择了“Office 365 China”后，直接单击“next”按钮。在此之前，需单击“license this server now”链接，激活Exchange 2013服务器的许可证，如图所示。

激活EXO混合部署的Exchange服务器

（7）输入Exchange 2013 服务器管理员账号和Office 365全局管理员账号，如图所示。

输入管理员账号

（8）本地Exchange和Office 365的管理员账号都验证成功了，如图2-376所示。

账号验证成功

（9）选择完全的混合部署，不要选择最小混合部署（Minimal混合部署不对本地和Office 365做设置，例如，安全的邮件流及忙闲共享等，只是为了分批次迁移邮箱），如图所示。

完全混合部署选项

（10）配置客户端访问和邮箱服务器的安全邮件流（没有边缘服务器时选择该选项），如图所示，同时，可以看到“Enable centralized mail transport”集中式邮件流选项，默认是没有启用的。

配置CAS 和Mailbox服务器的安全邮件传输

配置CAS服务器的默认接收连接器，如图所示。

接收连接器配置

HCW将配置发送连接器，如图所示。

发送连接器配置

设置检测到的公网证书，需要确认检测到的证书指纹和发布的FQDN是否正确，如图所示。

自动检测公网证书

设置组织的FQDN，一般指内部做混合部署Exchange服务器的FQDN，如所示。

输入内部组织的FQDN

最后单击“update”按钮，完成混合部署的所有设置工作，如图所示。

更新HCW

更新HCW界面

HCW成功完成

1. HCW的日志和基本排错

检查HCW是否成功完成方法如下。

（1） 查看HCW 日志%appdata%\Microsoft\Exchange Hybrid Configuration。 （2） 测试基本的邮件流和验证邮件是TLS加密的（本地发送连接器的SMTP日志）。 （3） 测试本地邮箱和Office 365邮箱收发邮件正常。 （4） 测试在本地EAC中直接创建Office 365邮箱是否成功。 （5） 测试本地和Office邮箱日历的忙闲信息是否共享。 （6） 测试邮箱的双向迁移是否成功。 （7） 在Outlook 2016中配置本地邮箱和Office 365邮箱是否成功。

第三部分： 手动混合部署

1. 运行手动混合部署

以下13个步骤均在本地Exchange 2013的PowerShell中运行。

（1） 运行Get-OrganizationConfig | select guid命令获得Exchange组织的Guid，如图所示。

获得Exchange组织的Guid

（2） 新增远程域“21v999.partner.mail.onmschina.cn”。

New-RemoteDomain -Name 'Hybrid Domain - 21v999.partner.mail.onmschina.cn' -DomainName '21v999.partner.mail.onmschina.cn'

（3） 设置远程域可以投递：

Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - 21v999.partner.mail.onmschina.cn'

（4） 新建接受域“21v999.partner.mail.onmschina.cn”。

New-AcceptedDomain -DomainName '21v999.partner.mail.onmschina.cn' -Name '21v999.partner.mail.onmschina.cn'

（5） 设置电子邮件地址策略，包含新创建的远程域的邮件地址%m@21v999.partner. mail.onmschina.cn。

Set-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies, CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC= hero,DC=com' -ForceUpgrade: $true -EnabledEmailAddressTemplates SMTP:@21vlab.com,smtp:%m@21v999.partner.mail.onmschina.cn

（6） 更新本地组织内的电子邮件地址，只更新第二电子邮件地址。

Update-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies, CN=First Organization,CN=Microsoft Exchange,CN=Services,CN= Configuration, DC=hero,DC=com'  -UpdateSecondaryAddressesOnly: $true 
Enable-OrganizationCustomization

（7） 新建组织关系。

New-OrganizationRelationship -Name 'On-premises to Office 365 - 441634d7- d086-4b50-8725-e32d649fd100' -TargetApplicationUri $null -TargetAutodiscoverEpr $null -Enabled: $true -DomainNames {21v999.partner.mail.onmschina.cn}

（8） 设置组织关系。

Set-OrganizationRelationship -MailboxMoveEnabled: $true -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -ArchiveAccessEnabled: $true -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -PhotosEnabled: $true -TargetOwaURL 'http://partner.outlook.cn/owa/21vlab.com' -Identity 'On-premises to Office 365 - 441634d7-d086-4b50-8725 -e32d649fd100'

（9） 配置可用地址空间。

Add-AvailabilityAddressSpace -ForestName '21v999.partner.mail.onmschina. cn' -AccessMethod 'InternalProxy' -UseServiceAccount: $true -ProxyUrl 'https:// ex13.hero.com/EWS/Exchange.asmx' 

（10） 创建至Office 365的发送连接器。

New-SendConnector -Name 'Outbound to Office 365' -AddressSpaces {smtp:21v999.partner.mail.onmschina.cn;1} -SourceTransportServers {ex13} -DNSRoutingEnabled: $true -TLSDomain 'mail.mail.protection.partner. outlook.cn' -RequireTLS: $true -TLSAuthLevel 'DomainValidation' -ErrorPolicies 'Default' -TLSCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -CloudServicesMailEnabled: $true -Fqdn $null

（11） 设置本地默认的“Default Frontend”接收连接器。

Set-ReceiveConnector -Identity 'EX13\Default Frontend EX13' -TLSCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -TLSDomainCapabilities '<I>CN=CNNIC SSL, O=CNNIC SSL, C=CN<S>CN=*.mail.protection.partner.outlook.cn, OU=Office 365, O=Shanghai Blue Cloud Technology Co. Ltd, L=Shanghai, S=Shanghai, C=CN:AcceptCloudServicesMail'

（11） 设置EWS虚拟目录。

Set-WebServicesVirtualDirectory -Identity 'EX13\EWS (Default Web Site)' -MRSProxyEnabled: $true

（13） 创建本地到Office 365的IntraOrganizationConnector。

New-IntraOrganizationConnector -Name 'HybridIOC - 441634d7-d086-4b50-8725- e32d649fd100' -DiscoveryEndpoint 'https://autodiscover-s.partner.outlook.cn/ autodiscover/autodiscover.svc' -TargetAddressDomains {21v999.partner.mail. onmschina.cn} -Enabled: $true 

以下6个步骤均在Office 365 Exchange Online PowerShell中运行。 建议首先运行以下命令：

Enable-OrganizationCustomization

（1） 新建组织关系。

New-OrganizationRelationship -Name 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100' -TargetApplicationUri $null -TargetAutodiscoverEpr $null -Enabled: $true -DomainNames {21vlab.com}

（2） 设置组织关系。

Set-OrganizationRelationship -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -PhotosEnabled: $true -Identity 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100'

（3） 新建Office 365入站连接器。

New-InboundConnector -Name 'Inbound from 441634d7-d086-4b50-8725- e32d649fd100' -ConnectorType 'OnPremises' -RequireTLS: $true -SenderDomains {smtp:*;1} -TLSSenderCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -CloudServicesMailEnabled: $true 

（4） 新建Office 365出站连接器。

New-OutboundConnector -Name 'Outbound to 441634d7-d086-4b50-8725 -e32d649fd100' -RecipientDomains {21vlab.com} -SmartHosts {mail.21vlab.com} -ConnectorType 'OnPremises' -TLSSettings 'DomainValidation' -TLSDomain 'mail.21vlab.com' -CloudServicesMailEnabled: $true –RouteAllMessages ViaOnPremises: $false -UseMxRecord: $false 

（5） 新建内部组织：

New-OnPremisesOrganization -HybridDomains {21vlab.com} -InboundConnector 'Inbound from 441634d7-d086-4b50-8725-e32d649fd100' -OutboundConnector 'Outbound to 441634d7-d086-4b50-8725-e32d649fd100' -OrganizationRelationship 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100' -OrganizationName 'First Organization' -Name '441634d7-d086-4b50-8725- e32d649fd100' -OrganizationGuid '441634d7-d086-4b50-8725-e32d649fd100' 

（6） 创建Office 365到本地的IntraOrganizationConnector：

New-IntraOrganizationConnector -Name 'HybridIOC - 98708a68-da2b-4ed0- 849b-d9e90e50369e' -DiscoveryEndpoint 'https://mail.21vcts.com/autodiscover/ autodiscover.svc' -TargetAddressDomains {21vcts.com} -Enabled: $true