Exchange Online混合部署环境搭建及手动混合部署

本文的主要内容摘自世纪互联蓝云公司最新出版的《精通Office 365云计算管理Exchange Online篇》图书,共计三部分内容。

从Exchange 5.5到Exchange 2016 CU11,微软的邮件服务器软件的功能越发强大,同时对服务器软硬件的要求也是越来越高。公司如果建立数据中心,将是亿级的人力物力的投入。

如何灵活地将私有云与公有云相结合,节省企业的运营成本,同时将集成公有云的优势,是未来公司IT发展的趋势。

Office 365拥有和本地Exchange服务器相集成的最好的兼容性。Office 365中国版支持高达99.9%的服务级别协议(SLA),Exchange Online Plan 2许可证提供高达100GB的邮箱空间,以及支持无限存储、丰富的邮件投递报告、邮箱审计功能及与eDiscovery机制的应用、DLP数据外泄防护等。

具有弹性的混合部署方式,也是Office 365的一大特色,企业可同时应用自建的Exchange,并让管理者在单一接口中管理。

第一部分:混合部署的先决条件

请访问以下微软官方网址了解Exchange Online 混合部署的先决条件 https://docs.microsoft.com/zh-cn/exchange/hybrid-deployment-prerequisites?redirectedfrom=MSDN

1. 混合部署组件

在使用“混合部署”向导HCW创建和配置混合部署之前,现有的内部Exchange 组织必须满足特定的要求。

(1) 部署 Windows Azure Active Directory 同步工具,会将本地AD信息同步至Office 365。选中图所示界面中的“Exchange hybrid deployment”复选框,如果不选中,将不能把本地邮箱同步至Office 365,变为邮件用户。

AAD Connect 启用支持Exchange Online混合部署选项

(2) 配置自动发现公用 DNS 记录以指向内部部署 Exchange 2013/2016 客户端访问服务器。

用户如果将AutoDiscover记录由指向本地的Exchange服务器改为autodiscover.partner. outlook.cn,那么将不能配置MAPI形式的本地邮箱的Outlook账号,所以不要更改,如图所示。

AutoDiscover记录指向本地Exchange服务器

(3) 必须具有受信任的第三方证书(不可以使用内部CA颁发的证书)。

用户必须使用和配置从受信任的第三方 CA机构购买的证书。必须在所有内部部署邮箱(Exchange 2013及更高版本)、邮箱和客户端访问(Exchange 2013及更高版本)服务器上安装用于混合安全邮件传输的证书。

(4) 如果申请了abc.com域,需要申请至少一张包含abc.com域的证书;如果还有ADFS环境,建议申请一张通配符的公网证书,如图所示。

建议申请证书的信息

对于Exchange 2007或者Exchange 2010组织,必须在本地组织中至少安装一台 Exchange 2013 CU 20或者Exchange2016 CU 10及以上(客户端访问服务器和邮箱服务器角色)才能运行“混合配置”向导和支持基于Exchange 2013/2016的混合部署功能。需要特别注意的是,Office 365从2018年10月31日废止TLS1.0、1.1,同时启用TLS1.2。做Exchange Online混合部署的Exchange 2013服务器或者Exchange 2016服务器,建议在做Exchange Online混合部署前,至少升级至Exchange 2013 CU20或者Exchange 2016 CU10以便支持TLS1.2,如图所示,运行混合部署向导HCW时会有关于支持版本的提示信息。

最新HCW运行提示信息

可以看到图2-342中的1367.3,安装的Exchange 2013 CU20,如图所示。

获得本地Exchange版本信息

Exchange 2013 CU20的版本信

2. 开放的端口和协议

需要Exchange 2013作为Exchange Online混合部署的服务器,有固定的公网IP地址,同时开启25端口和443端口,如图所示,是关于开放的端口和协议的描述。

开放的端口和协议

3. Exchange 2013 CU20混合部署的前期准备

(1)在Office 365中先验证域名,使得域名出现在Exchange Online的可接受域中:

首先,在Office 365管理中心选择“添加域”选项,输入要绑定的域名“Office365tech.cn”,如图所示。

输入自定义域名信息

系统返回了随机值“MS=ms53262190”,需要在域名的DNS管理中心添加这条TXT记录,证明我们拥有这个域,如图所示。

Office 365自动生成TXT记录

添加TXT记录

TXT记录验证通过,单击“下一步”按钮。建议选中“我将管理自己的DNS记录”单选按钮,这样才能自己手动管理DNS记录。

设置为“我将管理自己的DNS记录”

根据自己的需求,可以选择Exchange和Skype for Business功能,如图所示。

选择在线服务

显示需要添加的DNS记录,值得注意的是,目前只做TXT记录,忽略提示的错误,选中“跳过此步骤”复选框,如图所示。

选择“跳过此步骤”

(5) 单击“完成”按钮,如图所示。

DNS设置完成

在Office 365的EAC中,检查接受域已有“Office365tech.cn”域名。

检查接受域

(2)本地Exchange 2013环境的准备

按照https://technet.microsoft.com/zh-cn/library/bb691354(v=exchg.150) 文档部署本地Exchange 2013 CU20。

目前在AD中部署了hero.com内部发布的域名,需要添加新的公网UPN地址后缀Office365tech.cn。在AD域和信任工具中选择属性,如图所示。

在AD中添加新域名地址后缀

填写新增域名“Office365tech.cn”并单击“OK”按钮保存,如图所示。

输入Office365tech.cn

跳过部署目录同步工具的步骤,同时将Auto Discover的A记录和MX指向本地的邮件服务器,如图所示。

DNS记录截图

创建发送连接器“send”,以便可以发送邮件至Internet,如图所示。

新建发送连接器

选择“与收件人关联的MX记录”

域填入“*”

选择Exchange服务器

创建接受的域Office365tech.cn并使其成为默认域,如图所示。

新建Office365tech.cn接受域

新建电子邮件地址策略并启用,如图所示。

新建Office365tech.cn电子邮件地址策略

应用Office365tech.cn电子邮件地址策略

发布OWA的外部地址,如图所示。

外部URL截图

发布EWS地址和认证方式(一定要选中“基本身份验证”复选框),如图所示。

选中“基本身份验证”

填写EWS外部URL地址,并选中“启用MRS代理终结点”复选框,如图所示。

EWS外部URL截图

打开Outlook Anywhere设置,填入外部主机名为“Office365tech.cn”,身份认证选择为“基本”,单击“保存”按钮,如图所示。

Outlook Anywhere设置

证书申请(注意,建议用户使用付费的第三方公网证书,免费的公网证书仅可用于实验环境)。请将证书分别安装Exchange 2013 CU20本地计算机——个人和受信任根证书目录中,如图所示。

证书信息

在本地Exchange 2013服务器EAC中导入证书,如图所示,选择“导入Exchange证书”。

选择“导入Exchange证书”

将Exchange 2013服务器本地文件夹share,共享文件夹后导入证书,必须指定证书绑定了SMTP和IIS服务,如图所示。

导入Exchange证书

选择Exchange服务器主机

将证书绑定IIS和SMTP服务

在https://testconnectivity.microsoft.com/进行Outlook Autodiscover测试通过,这样就完成了Exchange Online混合部署的前期准备工作,如图所示。

测试Outlook Autodiscover

第二部分: 混合部署向导

请访问以下微软官方网址了解“混合配置”向导:

https://docs.microsoft.com/zh-cn/exchange/hybrid-configuration-wizard

  1. 开始运行HCW

HCW是Microsoft Office 365 Hybrid Configuration Wizard的缩写,如果用户部署的是Exchange 2013 CU20作为混合部署的服务器,建议在Exchange 2013 CU20务器上(https://aka.ms/hcwcn)下载和运行HCW,不要在Windows 7,Windows 10等客户端计算机上下载。 混合部署配置过程如下。

(1) “验证先决条件并执行拓扑检查”。管理“混合配置”向导会验证内部组织和Exchange Online组织是否可以支持混合部署。向导在内部部署与Exchange Online组织中验证与检查的部分项目如下。

① 内部部署Exchange服务器版本。 ② Exchange Online版本。 ③ Active Directory同步状态和配置(Microsoft Azure Active Directory Connect)。 ④ 联盟与接受域。 ⑤ 现有联合身份验证信任和组织的关系。 ⑥ Web服务虚拟目录。 ⑦ Exchange 证书。

(2) 测试账户凭据。指定的内部部署和Office 365混合管理账户会访问内部部署组织和Exchange Online组织,以收集先决条件验证信息并更改组织参数配置来启用混合部署功能。

(3) 进行混合部署配置更改。在测试混合管理账户、执行验证和拓扑检查,以及收集在向导过程中定义的配置信息之后,“混合配置”向导会更改配置以创建和启用混合部署。

(4) 如果遇到412错误,调整IE使得接受Cookie,如图所示。

HCW的412错误

调整IE隐私设置

(5)如果遇到HCW向导长时间没有响应,需查看默认程序,更改默认程序APPLICATION File为IE,路径为Control Panel\Programs\Default Programs\Set Associations,如图所示。

更改默认程序APPLICATION File为IE

HCW混合部署向导开始运行截图

(6)HCW会自动选择检测到的Exchange 2013服务器,如果是负载均衡NLB环境(即有两台Exchange 2013服务器需要混合部署),只显示一台服务器也是正常的,在选择了“Office 365 China”后,直接单击“next”按钮。在此之前,需单击“license this server now”链接,激活Exchange 2013服务器的许可证,如图所示。

激活EXO混合部署的Exchange服务器

(7)输入Exchange 2013 服务器管理员账号和Office 365全局管理员账号,如图所示。

输入管理员账号

(8)本地Exchange和Office 365的管理员账号都验证成功了,如图2-376所示。

账号验证成功

(9)选择完全的混合部署,不要选择最小混合部署(Minimal混合部署不对本地和Office 365做设置,例如,安全的邮件流及忙闲共享等,只是为了分批次迁移邮箱),如图所示。

完全混合部署选项

(10)配置客户端访问和邮箱服务器的安全邮件流(没有边缘服务器时选择该选项),如图所示,同时,可以看到“Enable centralized mail transport”集中式邮件流选项,默认是没有启用的。

配置CAS 和Mailbox服务器的安全邮件传输

配置CAS服务器的默认接收连接器,如图所示。

接收连接器配置

HCW将配置发送连接器,如图所示。

发送连接器配置

设置检测到的公网证书,需要确认检测到的证书指纹和发布的FQDN是否正确,如图所示。

自动检测公网证书

设置组织的FQDN,一般指内部做混合部署Exchange服务器的FQDN,如所示。

输入内部组织的FQDN

最后单击“update”按钮,完成混合部署的所有设置工作,如图所示。

更新HCW

更新HCW界面

HCW成功完成

  1. HCW的日志和基本排错

检查HCW是否成功完成方法如下。

(1) 查看HCW 日志%appdata%\Microsoft\Exchange Hybrid Configuration。 (2) 测试基本的邮件流和验证邮件是TLS加密的(本地发送连接器的SMTP日志)。 (3) 测试本地邮箱和Office 365邮箱收发邮件正常。 (4) 测试在本地EAC中直接创建Office 365邮箱是否成功。 (5) 测试本地和Office邮箱日历的忙闲信息是否共享。 (6) 测试邮箱的双向迁移是否成功。 (7) 在Outlook 2016中配置本地邮箱和Office 365邮箱是否成功。

第三部分: 手动混合部署

  1. 运行手动混合部署

以下13个步骤均在本地Exchange 2013的PowerShell中运行。

(1) 运行Get-OrganizationConfig | select guid命令获得Exchange组织的Guid,如图所示。

获得Exchange组织的Guid

(2) 新增远程域“21v999.partner.mail.onmschina.cn”。

New-RemoteDomain -Name 'Hybrid Domain - 21v999.partner.mail.onmschina.cn' -DomainName '21v999.partner.mail.onmschina.cn'

(3) 设置远程域可以投递:

Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - 21v999.partner.mail.onmschina.cn'

(4) 新建接受域“21v999.partner.mail.onmschina.cn”。

New-AcceptedDomain -DomainName '21v999.partner.mail.onmschina.cn' -Name '21v999.partner.mail.onmschina.cn'

(5) 设置电子邮件地址策略,包含新创建的远程域的邮件地址%m@21v999.partner. mail.onmschina.cn。

Set-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies, CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC= hero,DC=com' -ForceUpgrade: $true -EnabledEmailAddressTemplates SMTP:@21vlab.com,smtp:%m@21v999.partner.mail.onmschina.cn

(6) 更新本地组织内的电子邮件地址,只更新第二电子邮件地址。

Update-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies, CN=First Organization,CN=Microsoft Exchange,CN=Services,CN= Configuration, DC=hero,DC=com'  -UpdateSecondaryAddressesOnly: $true 
Enable-OrganizationCustomization

(7) 新建组织关系。

New-OrganizationRelationship -Name 'On-premises to Office 365 - 441634d7- d086-4b50-8725-e32d649fd100' -TargetApplicationUri $null -TargetAutodiscoverEpr $null -Enabled: $true -DomainNames {21v999.partner.mail.onmschina.cn}

(8) 设置组织关系。

Set-OrganizationRelationship -MailboxMoveEnabled: $true -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -ArchiveAccessEnabled: $true -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -PhotosEnabled: $true -TargetOwaURL 'http://partner.outlook.cn/owa/21vlab.com' -Identity 'On-premises to Office 365 - 441634d7-d086-4b50-8725 -e32d649fd100'

(9) 配置可用地址空间。

Add-AvailabilityAddressSpace -ForestName '21v999.partner.mail.onmschina. cn' -AccessMethod 'InternalProxy' -UseServiceAccount: $true -ProxyUrl 'https:// ex13.hero.com/EWS/Exchange.asmx' 

(10) 创建至Office 365的发送连接器。

New-SendConnector -Name 'Outbound to Office 365' -AddressSpaces {smtp:21v999.partner.mail.onmschina.cn;1} -SourceTransportServers {ex13} -DNSRoutingEnabled: $true -TLSDomain 'mail.mail.protection.partner. outlook.cn' -RequireTLS: $true -TLSAuthLevel 'DomainValidation' -ErrorPolicies 'Default' -TLSCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -CloudServicesMailEnabled: $true -Fqdn $null

(11) 设置本地默认的“Default Frontend”接收连接器。

Set-ReceiveConnector -Identity 'EX13\Default Frontend EX13' -TLSCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -TLSDomainCapabilities '<I>CN=CNNIC SSL, O=CNNIC SSL, C=CN<S>CN=*.mail.protection.partner.outlook.cn, OU=Office 365, O=Shanghai Blue Cloud Technology Co. Ltd, L=Shanghai, S=Shanghai, C=CN:AcceptCloudServicesMail'

(11) 设置EWS虚拟目录。

Set-WebServicesVirtualDirectory -Identity 'EX13\EWS (Default Web Site)' -MRSProxyEnabled: $true

(13) 创建本地到Office 365的IntraOrganizationConnector。

New-IntraOrganizationConnector -Name 'HybridIOC - 441634d7-d086-4b50-8725- e32d649fd100' -DiscoveryEndpoint 'https://autodiscover-s.partner.outlook.cn/ autodiscover/autodiscover.svc' -TargetAddressDomains {21v999.partner.mail. onmschina.cn} -Enabled: $true 

以下6个步骤均在Office 365 Exchange Online PowerShell中运行。 建议首先运行以下命令:

Enable-OrganizationCustomization

(1) 新建组织关系。

New-OrganizationRelationship -Name 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100' -TargetApplicationUri $null -TargetAutodiscoverEpr $null -Enabled: $true -DomainNames {21vlab.com}

(2) 设置组织关系。

Set-OrganizationRelationship -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -PhotosEnabled: $true -Identity 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100'

(3) 新建Office 365入站连接器。

New-InboundConnector -Name 'Inbound from 441634d7-d086-4b50-8725- e32d649fd100' -ConnectorType 'OnPremises' -RequireTLS: $true -SenderDomains {smtp:*;1} -TLSSenderCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -CloudServicesMailEnabled: $true 

(4) 新建Office 365出站连接器。

New-OutboundConnector -Name 'Outbound to 441634d7-d086-4b50-8725 -e32d649fd100' -RecipientDomains {21vlab.com} -SmartHosts {mail.21vlab.com} -ConnectorType 'OnPremises' -TLSSettings 'DomainValidation' -TLSDomain 'mail.21vlab.com' -CloudServicesMailEnabled: $true –RouteAllMessages ViaOnPremises: $false -UseMxRecord: $false 

(5) 新建内部组织:

New-OnPremisesOrganization -HybridDomains {21vlab.com} -InboundConnector 'Inbound from 441634d7-d086-4b50-8725-e32d649fd100' -OutboundConnector 'Outbound to 441634d7-d086-4b50-8725-e32d649fd100' -OrganizationRelationship 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100' -OrganizationName 'First Organization' -Name '441634d7-d086-4b50-8725- e32d649fd100' -OrganizationGuid '441634d7-d086-4b50-8725-e32d649fd100' 

(6) 创建Office 365到本地的IntraOrganizationConnector:

New-IntraOrganizationConnector -Name 'HybridIOC - 98708a68-da2b-4ed0- 849b-d9e90e50369e' -DiscoveryEndpoint 'https://mail.21vcts.com/autodiscover/ autodiscover.svc' -TargetAddressDomains {21vcts.com} -Enabled: $true 
  • 发表于:
  • 本文为 InfoQ 中文站特供稿件
  • 首发地址https://www.infoq.cn/article/tY7sxUGAgMQWlZwCAwlk
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券