磨刀不误砍柴工,经过前期的充分准备,接下来我们开始混合部署,再次强调实战项目中一定要充分准备,信息收集完整,往往一上来就开搞的,后期遇到的问题会非常多,失败的概率也会非常大
好了,不废话了,当前阶段使用到的服务器:
<col>
ServerName
IP
Roles
DCS01.contoso.com
10.16.65.21
DC
EXS01.contoso.com
10.16.65.22
Exchange Server 2016
FSS01.contoso.com
10.16.65.23
Authentication\AAD
备注:HCW(混合部署向导)会在EXS01上执行, FSS01后面会用来搭建ADFS(联合身份认证)服务器,本章节将会用来安装和配置AAD连接同步。
在混合部署配置之前,应在所有 Exchange 客户端访问服务器上配置MRS 代理终结点。
1. 在 Exchange 服务器上打开Exchange 管理中心(“EAC”)
2. 导航到服务器 > 虚拟目录
3.选择EWS虚拟目录,点击编辑
4. 选中启用 MRS 代理复选框并单击保存
5. 对每个邮箱服务器重复步骤 3 和4
建议在配置混合关系之前执行这些步骤。
因为我们当前测试环境是Exchange2016,在安装ExchangeServer之前已安装.NET Framework 4.8,所以HCW我将会在EXS01服务器上来执行,如果实际环境是Exchange2010则不建议在Exchange Server上运行HCW,虽然 Exchange 2010 包含用于部署 Exchange 混合关系的实用程序,但建议从 Exchange Online 下载最新版本的HCW 并安装在包含 HCW 的所有先决条件的服务器上。
HCW 需要 .NET Framework 4.6.2,Exchange
2010 不支持。因此,需要不同的服务器来执行 Exchange 混合配置。
在运行 HCW 之前,准备一个满足HCW 先决条件的服务器。 此服务器必须运行 .NET Framework 4.6.2 或更高版本,并且必须加入与 Exchange 组织相同的域。
1. 下载AAD Connect,目前该工具已升级到2.0版本,只支持Windows Server2016及以后的版本,如果要安装在2012R2服务器上,需要下载1.6版本,下载连接:
DownloadMicrosoft Azure Active Directory Connect from Official Microsoft Download
Center
2. 运行 AAD Connect 配置向导
自定义安装时服务账号可以使用创建好的普通AD账号,密码永不过期。
这里我们使用直通(Pass-through)身份认证,会自动在这台服务器上安装一个Agent,用户登陆时Office365应用时,会通过这个Agent来完成身份认证。当然,也可以使用ADFS来认证,这个我们后面单独再列一章讲ADFS。
继续下一步
选择要同步的OU和对象:
3. 在 AAD Connect 向导中启用Exchange 混合部署
配置完成
查看同步状态,确定AAD连接成功。
将用于迁移的帐户需要执行迁移的权限。 可以将域管理员帐户用作迁移帐户,也可以向帐户授予更具体的委派权限。有关所需权限的详细信息,请参阅 Microsoft
此处
配置 AAD Connect 后,可以在Exchange Online 和本地 Exchange 组织之间建立混合关系。
Microsoft 可在
此处获取有关此过程的完整详细信息。
1. 作为具有组织管理角色的用户,访问 Exchange Online 管理中心并导航到混合选项卡
2. 单击配置以启动 HCW
注意:必须允许 Internet Explorer 连接到 Microsoft 365 身份验证弹出窗口才能继续
3.安装并运行HCW
4. 指定 Exchange Server 与 Microsoft 365 连接
注意:可以指定 Exchange 服务器,或者向导可以检测担任角色的最佳服务器
5. 在 Microsoft 365 Exchange Online 帐户下,选择登录并输入全局管理员的凭据
6. 点击下一步开始配置
7. 在混合功能下,选择以下选项并单击下一步:
前面我们已经说过完全混合配置和最小混合部署的区别,这里我们选择完全混合。
8. 在混合拓扑页面上,选择首选混合拓扑(经典或现代),两者差异前面两章也有解释,这里直接选经典混合拓扑。
9. 如果出现提示,请指定用于迁移的具有适当权限的本地帐户
10.在同一屏幕上,单击高级并选中启用集中邮件传输
11. 在“接收连接器配置”屏幕上,选择托管接收连接器的服务器,以使用Exchange Online 进行安全邮件传输
12. 在“发送连接器配置”屏幕上,选择托管发送连接器以使用Exchange Online 进行安全邮件传输的服务器
13. 在传输证书页面上,选择一个服务器,该服务器加载了用于加密混合流量的证书,并指定要使用的证书
14. 在组织 FQDN 页面上,输入面向Internet 的本地 Exchange 服务器的 FQDN
15.点击Update完成混合配置向导完成混合配置
配置完成。
如果是生产环境,第四步可先省略不做,等待邮箱全部迁移完成之后,再来切换入站和出站邮件流。
Microsoft 建议的入站邮件路由配置是将所有入站邮件的入口点设为Exchange Online。 这允许 Exchange Online Protection 处理和对入站邮件执行垃圾邮件筛选。 来自 Microsoft 的其他详细信息在
此处。
入站邮件路由由组织公共 DNS 中的MX 记录控制。 有些公司会购买第三方商业防垃圾邮件,并且出于安全原因需将所有邮件路由到本地 Exchange
服务器以进行邮件处理,入站邮件将通过第三方邮件安全服务商路由到本地 Exchange 服务器,然后使用安全连接最后再转发到 Exchange Online。实际项目中按需选择。
测试项目中,我们将修改入站邮件路由配置到ExchangeOnline Protection。
我们登陆到https://admin.microsoft.com进入到:设置-->域-选择我们需要的域名,完成之前第三章中验证域名后未完成的配置,添加以下配置:
Microsoft 推荐的邮件路由配置是将邮件直接路由到Internet,而不是首先发送到本地 Exchange 服务器,除非有特定原因首先路由本地邮件。在传递之前将邮件路由到本地
Exchange 服务器会消耗带宽、增加本地 Exchange 服务器的利用率并创建额外的依赖以传递
Exchange Online 邮件。其他详细信息在
这里。
出站邮件路由由混合关系初始设置期间指定的混合配置中的集中邮件传输功能控制。要通过本地Exchange 服务器路由所有出站流量,请在设置混合关系时在混合配置向导中选择启用集中邮件传输。此外,要通过边缘传输服务器路由邮件,请在
HCW 的混合配置页面上选择为安全邮件传输配置我的边缘传输服务器。可以在
此处找到来自 Microsoft 的其他详细信息,包括预期邮件流的细分和相关图表。
在典型的混合部署项目中,为了降低对生产环境的影响,提升用户体验,配置初期会使用集中式邮件传输,等所有邮箱迁移完成之后,再切换邮件流到EOP,后面在优先部分我们再详细介绍如何进行邮件流的切换。
本地组织和 Microsoft 365 之间的完全混合关系的配置应在 Exchange Online 中创建默认迁移终结点。如果需要创建替代端点,可以使用以下步骤。
1. 在 Microsoft 365 中,登录Exchange 管理中心
2. 导航到收件人 > 迁移
3. 选择 ... > 迁移端点
4. 选择 Exchange Remote 作为迁移端点类型
5. 指定以下信息:
·
电子邮件地址 - 输入将要迁移的本地组织中用户的电子邮件地址
具有权限的帐户 - 以域\用户名格式键入具有迁移帐户所需权限的帐户的用户名
具有权限的帐户密码 - 键入指定管理帐户的密码
6. 确认邮箱服务器被检测为远程 MRS 代理服务器
7. 指定以下详细信息:
迁移端点名称
最大并发迁移数
最大并发增量同步
8. 从 Exchange Online 运行以下命令以确认与终结点的连接:
在迁移之前,每个邮箱的 AD 帐户应从本地目录同步到Azure Active Directory (“AAD”)。 这包括:
• 用户邮箱
• 共享邮箱
• 资源邮箱
除此之外,应该在迁移用户之前同步通讯组。 这确保它们可供在Exchange Online 中托管的邮箱的用户使用。
同步完成之后,下一章节,我们将开始正式将邮箱迁移到ExchangeOnline上。