Предварительные условия для гибридного развертыванияHybrid deployment prerequisites

Сводка. Что необходимо среде Exchange для настройки гибридного развертывания.Summary: What your Exchange environment needs before you can set up a hybrid deployment.

Перед созданием и настройкой гибридного развертывания с помощью мастера гибридной конфигурации необходимо, чтобы ваша существующая локальная организация Exchange соответствовала определенным требованиям. В противном случае вы не сможете выполнить шаги в мастере гибридной конфигурации и настроить гибридное развертывание между локальной организацией Exchange и организацией Exchange Online.Before you create and configure a hybrid deployment using the Hybrid Configuration wizard, your existing on-premises Exchange organization needs to meet certain requirements. If you don't meet these requirements, you won't be able to complete the steps within the Hybrid Configuration wizard and you won't be able to configure a hybrid deployment between your on-premises Exchange organization and Exchange Online.

Необходимые условия для гибридного развертыванияPrerequisites for hybrid deployment

Ниже приведены необходимые условия для настройки гибридного развертывания:The following prerequisites are required for configuring a hybrid deployment:

  • Локальная организация Exchange. Гибридные развертывания можно настроить для локальной организации на базе Exchange 2007 или более поздней версии.On-premises Exchange organization Hybrid deployments can be configured for on-premises Exchange 2007-based organizations or later.

    Версия Exchange, установленная в локальной организации, определяет версию, доступную для установки при гибридном развертывании. Как правило, необходимо настроить самую новую версию для гибридного развертывания, поддерживаемую в вашей организации. Например, если в локальной организации есть Exchange 2007, необходимо настроить гибридное развертывание с использованием Exchange 2013. Полные сведения о совместимости Exchange Server и Office 365 для предприятий в случае гибридного развертывания можно найти в приведенной ниже таблице.The version of Exchange you have installed in your on-premises organization determines the hybrid deployment version you can install. You should typically configure the newest hybrid deployment version that's supported in your organization. For example, if your on-premises organization is running Exchange 2007, you need to configure an Exchange 2013-based hybrid deployment. For a complete listing of Exchange Server and Office 365 for enterprises hybrid deployment compatibility, see following table.

Локальная средаOn-premises environment гибридное развертывание на основе Exchange 2016Exchange 2016-based hybrid deployment гибридное развертывание на основе Exchange 2013Exchange 2013-based hybrid deployment гибридное развертывание на основе Exchange 2010Exchange 2010-based hybrid deployment
Exchange 2016Exchange 2016
ПоддерживаетсяSupported
Не поддерживаетсяNot supported
Не поддерживаетсяNot supported
Exchange 2013Exchange 2013
ПоддерживаетсяSupported
ПоддерживаетсяSupported
Не поддерживаетсяNot supported
Exchange 2010Exchange 2010
ПоддерживаетсяSupported
ПоддерживаетсяSupported
ПоддерживаетсяSupported
Exchange 2007Exchange 2007
Не поддерживаетсяNot supported
ПоддерживаетсяSupported
ПоддерживаетсяSupported
  • Локальные выпуски Exchange. Для гибридных развертываний требуется установка последнего накопительного пакета обновления для версии Exchange, установленной в вашей локальной организации. Если вы не можете установить последний накопительный пакет обновления, выпуск, предшествующий последнему, также поддерживается. Более ранние накопительные пакеты обновления не поддерживаются.On-premises Exchange releases Hybrid deployments require the latest cumulative update or update rollup available for the version of Exchange you have installed in your on-premises organization. If you can't install the latest cumulative update or update rollup, the immediately previous release is also supported. Older cumulative updates or update rollups aren't supported.

    Например, предположим, что вы установили Exchange 2013 с накопительным пакет обновления 8 в вашей локальной организации, а самый новый доступный выпуск — Exchange 2013 с накопительным пакетом обновления 10. Чтобы оставаться в пределах поддерживаемой гибридной конфигурации, вам необходимо обновить серверы Exchange 2013 по крайней мере до накопительного пакета обновления 9. Тем не менее мы настоятельно рекомендуем обновиться до накопительного пакета обновления 10. For example, assume you've installed Exchange 2013 Cumulative Update 8 in your on-premises organization, and the latest available release of Exchange 2013 is Cumulative Update 10. To remain in a supported hybrid configuration, you need to upgrade your Exchange 2013 servers to at least Cumulative Update 9. However, we'd strongly recommend you upgrade to Cumulative Update 10.

    Накопительные пакеты обновления выходят с периодичностью раз в квартал, поэтому обновление серверов до последнего накопительного пакета обновления можно проводить с достаточной гибкостью, если вам периодически требуется дополнительное время, чтобы завершить обновления.Cumulative updates and update rollups are released on a quarterly cadence so keeping your servers on the latest cumulative update or update rollup gives you some additional flexibility if you periodically need extra time to complete upgrades.

  • Роли локального сервера Роли сервера, которые вам необходимо установить в локальной организации, зависят от установленной версии Exchange.On-premises server roles The server roles you need to install in your on-premises organization depend on the version of Exchange you have installed.

    • Exchange 2010 По крайней мере один сервер с установленными ролями почтового сервера, транспортного сервера-концентратора и сервера клиентского доступа. Несмотря на то что роли почтового сервера, транспортного сервера-концентратора и сервера клиентского доступа можно установить на различных серверах, мы настоятельно рекомендуем устанавливать все роли на каждом сервере для большей надежности и повышенной производительности.Exchange 2010 At least one server with the Mailbox, Hub Transport, and Client Access server roles installed. While it's possible to install the Mailbox, Hub Transport, and Client Access roles on separate servers, we strongly recommend that you install all of the roles on each server to provide additional reliability and improved performance.

    • Exchange 2013 По крайней мере один сервер с установленными ролями почтового сервера и сервера клиентского доступа. Несмотря на то что роли почтового сервера и сервера клиентского доступа можно установить на различных серверах, мы настоятельно рекомендуем устанавливать обе роли на каждом сервере для большей надежности и повышенной производительности.Exchange 2013 At least one server with the Mailbox and Client Access server roles installed. While it's possible to install the Mailbox and Client Access roles on separate servers, we strongly recommend that you install both roles on each server to provide additional reliability and improved performance.

    • Exchange 2016 и более новые версии. По меньшей мере один сервер с установленной ролью почтового сервера.Exchange 2016 and newer At least one server that has the Mailbox server role installed.

      Гибридное развертывание также поддерживает серверы Exchange с активной ролью пограничного транспортного сервера. Пограничные транспортные серверы также необходимо обновить до последнего накопительного пакета обновления, доступного для установленной версии Exchange. Мы настоятельно рекомендуем развертывать пограничные транспортные серверы в сети периметра. Почтовые серверы и серверы клиентского доступа невозможно развертывать в сети периметра.Hybrid deployments also support Exchange servers running the Edge Transport server role. Edge Transport servers also need to be updated to the latest cumulative update or update rollup available for the version of Exchange you've installed. We strongly recommend that you deploy Edge Transport servers in a perimeter network. Mailbox and Client Access servers can't be deployed in a perimeter network.

  • Office 365. Гибридное развертывание поддерживается во всех планах Office 365 с поддержкой Синхронизация Azure Active Directory. Все планы Office 365 корпоративный, Office 365 для государственных организаций, Office 365 для образовательных учреждений и Office 365 для среднего бизнеса поддерживают гибридные развертывания. Планы Office 365 бизнес и Office 365 для дома не поддерживают гибридные развертывания.Office 365 Hybrid deployments are supported in all Office 365 plans that support Azure Active Directory synchronization. All Office 365 Enterprise, Government, Academic and Midsize plans support hybrid deployments. Office 365 Business and Home plans don't support hybrid deployments.

    Дополнительные сведения см. в статье Регистрация в Office 365.Learn more at Sign up for Office 365.

  • Личные домены Зарегистрируйте любой личный домен, который необходимо использовать при гибридном развертывании Office 365. Это можно сделать на портале администрирования Office 365, а также с помощью дополнительной настройки служб федерации Active Directory (AD FS) в локальной организации.Custom domains Register any custom domains you want to use in your hybrid deployment with Office 365. You can do this by using the Office 365 Administrative portal, or by optionally configuring Active Directory Federation Services (AD FS) in your on-premises organization.

    Дополнительные сведения см. в статье Добавление домена в Office 365.Learn more at Add your domain to Office 365.

  • Синхронизация Active Directory. Разверните средство Azure Active Directory Connect, чтобы обеспечить синхронизацию Active Directory с локальной организацией.Active Directory synchronization Deploy the Azure Active Directory Connect tool to enable Active Directory synchronization with your on-premises organization.

    Дополнительные сведения см. в статье Параметры входа в Azure AD Connect.Learn more at Azure AD Connect User Sign-on options.

  • Автообнаружение DNS-записей Настройте автообнаружение общедоступных DNS-записей для существующих доменов SMTP, чтобы они указывали на локальный сервер клиентского доступа Exchange 2013.Autodiscover DNS records Configure the Autodiscover public DNS records for your existing SMTP domains to point to an on-premises Exchange 2013 Client Access server.

  • Организация Office 365 в Центре администрирования Exchange. Узел организации Office 365 по умолчанию включен в локальный Центр администрирования Exchange. Но прежде чем вы сможете использовать мастер гибридной конфигурации, Центр администрирования Exchange необходимо подключить к организации Office 365, используя учетные данные администратора Office 365. Это позволит вам управлять как локальными организациями, так и организациями Exchange Online с помощью одной консоли управления.Office 365 organization in the Exchange admin center (EAC) The Office 365 organization node is included by default in the on-premises EAC, but you must connect the EAC to your Office 365 organization using your Office 365 administrator credentials before you can use the Hybrid Configuration wizard. This also allows you to manage both the on-premises and Exchange Online organizations from a single management console.

    Дополнительные сведения см. в статье Управление в гибридных средах Exchange.Learn more at Hybrid management in Exchange hybrid deployments.

  • Сертификаты. Установите службы Exchange и назначьте для них допустимый цифровой сертификат, приобретенный в доверенном общедоступном центре сертификации (CA). Хотя самозаверяющие сертификаты нужно использовать для локального доверия федерации с Microsoft Federation Gateway, их невозможно применять для служб Exchange при гибридном развертывании. Для экземпляра служб IIS на серверах Exchange Server, настроенных при гибридном развертывании, должен быть допустимый цифровой сертификат от доверенного центра сертификации (CA). Кроме того, внешний URL-адрес веб-служб Exchange и конечная точка автообнаружения, указанная в общедоступной DNS, должны быть указаны в альтернативном имени субъекта (SAN) сертификата. В случае сертификатов, установленных на серверах Exchange Server, которые настроены для почтового транспорта в гибридной среде, должен применяться один и тот же сертификат (т. е. они выдаются одним и тем же центром сертификации, у них один субъект).Certificates Install and assign Exchange services to a valid digital certificate purchased from a trusted public certificate authority (CA). Although self-signed certificates should be used for the on-premises federation trust with the Microsoft Federation Gateway, self-signed certificates can't be used for Exchange services in a hybrid deployment. The Internet Information Services (IIS) instance on the Exchange servers configured in the hybrid deployment must have a valid digital certificate purchased from a trusted CA. Additionally, the EWS external URL and the Autodiscover endpoint specified in your public DNS must be listed in Subject Alternative Name (SAN) of the certificate. The certificate installed on the Exchange servers used for mail transport in the hybrid deployment must all use the same certificate (that is, they are issued by the same CA and have the same subject).

    Дополнительные сведения см. в разделе Требования к сертификатам для гибридных развертываний.Learn more at Certificate requirements for hybrid deployments.

  • EdgeSync. Если в локальной организации развернуты пограничные транспортные серверы и нужно настроить их для безопасного почтового транспорта в гибридной среде, перед использованием мастера гибридной конфигурации необходимо настроить EdgeSync. Кроме того, EdgeSync необходимо запускать при каждом применении нового накопительного пакета обновления к пограничному транспортному серверу.EdgeSync If you've deployed Edge Transport servers in your on-premises organization and want to configure the Edge Transport servers for hybrid secure mail transport, you must configure EdgeSync prior to using the Hybrid Configuration wizard. You also need to run EdgeSync each time you apply a new cumulative update or update rollup to an Edge Transport server.

    Важно!

    Хотя EdgeSync является необходимым условием в развертываниях с пограничными транспортными серверами, понадобится дополнительная ручная настройка конфигурации транспорта при настройке пограничных транспортных серверов для гибридной безопасной транспортировки почты.Although EdgeSync is a requirement in deployments with Edge Transport servers, additional manual transport configuration settings will be required when you configure Edge Transport servers for hybrid secure mail transport.

    Дополнительные сведения см. в статье Пограничные транспортные серверы при гибридном развертывании.Learn more at Edge Transport servers with hybrid deployments.

  • Почтовые ящики, поддерживающие единую систему обмена сообщениями (UM). Если у вас есть почтовые ящики, поддерживающие единую систему обмена сообщениями, и вы хотите перенести их в Office 365, помимо гибридного развертывания Exchange, нужно будет выполнить указанные ниже действия. Ниже приведены требования для переноса почтовых ящиков, поддерживающих единую систему обмена сообщениями, в Office 365.Unified Messaging-enabled (UM) mailboxes If you have UM-enabled mailboxes and you want to move them to Office 365, you need the following in addition to an Exchange hybrid deployment. These requirements need to be met before you move any UM-enabled mailboxes to Office 365.

    • Lync Server 2010, Lync Server 2013 или Skype для бизнеса Server 2015 или более поздней версии, интегрированный с локальной системой телефонии илиLync Server 2010, Lync Server 2013, or Skype for Business Server 2015 or later integrated with your on-premises telephony system or

    • Skype для бизнеса Online, интегрированный с локальной системой телефонии илиSkype for Business Online integrated with your on-premises telephony system or

    • Обычная локальная УАТС или IP-УАТС.A traditional on-premises PBX or IP-PBX solution.

    • Названия политик почтовых ящиков UM в Exchange Online и в локальной организации должны совпадать.UM mailbox policies created in Exchange Online that mirror the names of the UM mailbox policies in your on-premises organization.

      Примечание

      С одной политикой почтовых ящиков UM в Exchange Online можно сопоставить несколько локальных политик почтовых ящиков UM. Для этого необходимо использовать командную консоль Exchange, чтобы вручную сопоставить локальные политики почтовых ящиков UM с политиками Exchange Online.You can map multiple on-premises UM mailbox policies to one UM mailbox policy in Exchange Online. If you want to do this, you'll need to use the Exchange Management Shell to manually map each on-premises UM mailbox policy to an Exchange Online policy.

      Дополнительные сведения см. в статьях Telephone System Integration with UM, Telephony Advisor for Exchange 2013 и Настройка голосовой почты облачной УАТС.For more information, check out Telephone System Integration with UM, Telephony Advisor for Exchange 2013, and Set up Cloud PBX voicemail.

Протоколы, порты и конечные точки гибридного развертыванияHybrid deployment protocols, ports, and endpoints

Для корректной работы функций и компонентов гибридного развертывания определенные протоколы входящей почты, порты и конечные точки подключения должны быть доступны в Office 365. Перед настройкой гибридного развертывания убедитесь, что локальная сеть и конфигурация безопасности поддерживают функции и компоненты, указанные в приведенной ниже таблице. Кроме протоколов входящих сообщений, портов и конечных точек, компьютерам в сети также должны быть доступны IP-адреса, порты и URL-адреса, указанные в статье URL-адреса и диапазоны IP-адресов Office 365.Hybrid deployment features and components require certain incoming protocols, ports and connection endpoints to be accessible to Office 365 in order to work correctly. Before configuring your hybrid deployment, verify that your on-premises network and security configuration can support the features and components in the table below. In addition to allowing specific inbound protocols, ports, and endpoints, computers on your network also need to be able to access the IP addresses, ports, and URLs listed in Office 365 URLs and IP address ranges.

Транспортный протоколTransport Protocol Протокол более высокого уровняUpper Level Protocol Возможность или компонентFeature/Component Локальная конечная точкаOn-premises Endpoint Локальный путьOn-premises Path Поставщик проверки подлинностиAuthentication Provider Метод авторизацииAuthorization Method Поддерживается предварительная проверка подлинности?Pre-Auth Supported?
TCP 25 (SMTP)TCP 25 (SMTP)
SMTP/TLSSMTP/TLS
Поток почты между Office 365 и локальной средойMail flow between Office 365 and on-premises
Почтовый или пограничный сервер Exchange 2016Exchange 2016 Mailbox/Edge
Сервер клиентского доступа или пограничный сервер Exchange 2013Exchange 2013 CAS/Edge
Сервер-концентратор или пограничный сервер Exchange 2010Exchange 2010 HUB/Edge
НедоступноN/A
НедоступноN/A
На основе сертификатовCertificate-based
НетNo
TCP 443 (HTTPS)TCP 443 (HTTPS)
АвтообнаружениеAutodiscover
АвтообнаружениеAutodiscover
Почтовый сервер Exchange 2016Exchange 2016 Mailbox
Сервер клиентского доступа Exchange 2013/2010Exchange 2013/2010 CAS
/Autodiscover/Autodiscover.svc/wssecurity/autodiscover/autodiscover.svc/wssecurity
/Autodiscover/Autodiscover.svc/autodiscover/autodiscover.svc
Система проверки подлинности Azure ADAzure AD authentication system
Проверка подлинности WS-SecurityWS-Security Authentication
НетNo
TCP 443 (HTTPS)TCP 443 (HTTPS)
EWSEWS
Сведения о занятости, подсказки, отслеживание сообщенийFree/busy, MailTips, Message Tracking
Почтовый сервер Exchange 2016Exchange 2016 Mailbox
Сервер клиентского доступа Exchange 2013/2010Exchange 2013/2010 CAS
/EWS/Exchange.asmx/wssecurity/ews/exchange.asmx/wssecurity
Система проверки подлинности Azure ADAzure AD authentication system
Проверка подлинности WS-SecurityWS-Security Authentication
НетNo
TCP 443 (HTTPS)TCP 443 (HTTPS)
EWSEWS
Поиск по нескольким почтовым ящикамMulti-mailbox search
Почтовый сервер Exchange 2016Exchange 2016 Mailbox
Сервер клиентского доступа Exchange 2013/2010Exchange 2013/2010 CAS
/EWS/Exchange.asmx/wssecurity/ews/exchange.asmx/wssecurity
/Autodiscover/Autodiscover.svc/wssecurity/autodiscover/autodiscover.svc/wssecurity
/Autodiscover/Autodiscover.svc/autodiscover/autodiscover.svc
Сервер проверки подлинностиAuth Server
Проверка подлинности WS-SecurityWS-Security Authentication
НетNo
TCP 443 (HTTPS)TCP 443 (HTTPS)
EWSEWS
Перенос почтовых ящиковMailbox migrations
Почтовый сервер Exchange 2016Exchange 2016 Mailbox
Сервер клиентского доступа Exchange 2013/2010Exchange 2013/2010 CAS
/EWS/mrsproxy.svc/ews/mrsproxy.svc
NTLMNTLM
БазовыйBasic
ДаYes
TCP 443 (HTTPS)TCP 443 (HTTPS)
АвтообнаружениеAutodiscover
EWSEWS
OAuthOAuth
Почтовый сервер Exchange 2016Exchange 2016 Mailbox
Сервер клиентского доступа Exchange 2013/2010Exchange 2013/2010 CAS
/EWS/Exchange.asmx/wssecurity/ews/exchange.asmx/wssecurity
/Autodiscover/Autodiscover.svc/wssecurity/autodiscover/autodiscover.svc/wssecurity
/Autodiscover/Autodiscover.svc/autodiscover/autodiscover.svc
Сервер проверки подлинностиAuth Server
Проверка подлинности WS-SecurityWS-Security Authentication
НетNo
TCP 443 (HTTPS)TCP 443 (HTTPS)
НедоступноN/A
AD FS (входит в состав Windows)AD FS (included with Windows)
Windows 2008/2012 ServerWindows 2008/2012 Server
/adfs/*/adfs/*
Система проверки подлинности Azure ADAzure AD authentication system
Зависит от конфигурации.Varies per config.
Двухфакторная2-factor
TCP 443 (HTTPS)TCP 443 (HTTPS)
НедоступноN/A
Azure Active Directory Connect с AD FSAzure Active Directory Connect with AD FS
Windows 2012 R2 ServerWindows 2012 R2 Server
/adfs/*/adfs/*
Система проверки подлинности Azure ADAzure AD authentication system
Зависит от конфигурации.Varies per config.
Двухфакторная2-factor

Кроме описанных ранее необходимых условий, при настройке гибридных развертываний с помощью мастера гибридной конфигурации удобно использовать другие средства и службы:In addition to the required prerequisites described earlier, other tools and services are beneficial when you're configuring hybrid deployments with the Hybrid Configuration wizard:

  • Помощник по развертыванию Exchange Server. Это бесплатное веб-средство помогает развернуть Exchange в локальной организации, настроить гибридное развертывание между локальной организацией и Office 365 или выполнить полную миграцию в Office 365. Средство предлагает ответить на несколько вопросов и затем, в зависимости от ваших ответов, создает специальный контрольный список с инструкциями для развертывания или настройки Exchange Server. Помощник по развертыванию предоставляет именно те сведения, которые вам необходимы для настройки гибридного развертывания.Exchange Server Deployment Assistant Exchange Server Deployment Assistant is a free web-based tool that helps you deploy Exchange in your on-premises organization, configure a hybrid deployment between your on-premises organization and Office 365, or migrate completely to Office 365. The tool asks you a small set of simple questions and then, based on your answers, creates a customized checklist with instructions to deploy or configure Exchange Server. The Deployment Assistant gives you exactly the right information you need to configure your hybrid deployment.

    Дополнительные сведения см. в статье Помощник по развертыванию Exchange Server.Learn more at Exchange Server Deployment Assistant.

  • Анализатор удаленных подключений Средство анализатора удаленных подключений (Майкрософт) проверяет внешнее подключение локальной организации Exchange и подтверждает готовность к настройке гибридного развертывания. Перед настройкой гибридного развертывания с помощью мастера гибридной конфигурации мы настоятельно рекомендуем вам проверить свою локальную организацию с помощью анализатора удаленных подключений.Remote Connectivity Analyzer tool The Microsoft Remote Connectivity Analyzer tool checks the external connectivity of your on-premises Exchange organization and makes sure that you're ready to configure your hybrid deployment. We strongly recommend that you check your on-premises organization with the Remote Connectivity Analyzer tool prior to configuring your hybrid deployment with the Hybrid Configuration wizard.

    Дополнительные сведения см. на странице анализатора удаленного подключения (Майкрософт).Learn more at Microsoft Remote Connectivity Analyzer.

  • Единый вход. Единый вход позволяет пользователям с помощью одного имени пользователя и пароля получать доступ как к локальной организации, так и к организации Exchange Online. Эта функция пользователям дает возможность применять знакомый способ входа, а администраторам — с легкостью управлять политиками учетных записей для почтовых ящиков из организации Exchange Online с помощью средств управления в локальной среде Active Directory.Single sign-on Single sign-on enables users to access both the on-premises and Exchange Online organizations with a single user name and password. It provides users with a familiar sign-on experience and allows administrators to easily control account policies for Exchange Online organization mailboxes by using on-premises Active Directory management tools.

    При развертывании единого входа у вас есть несколько вариантов: синхронизация паролей и службы федерации Active Directory. Оба варианта обеспечивает Azure Active Directory Connect. Синхронизация паролей позволяет легко реализовать единый вход практически для любой организации независимо от ее размера. По этой причине, а также потому что работа пользователей в гибридной среде значительно эффективнее при включенной функции единого входа, мы настоятельно рекомендуем реализовать ее. Службы федерации Active Directory требуются для очень крупных организаций, например организаций с несколькими лесами Active Directory, которые необходимо присоединить к гибридной среде.You have a couple of options when deploying single sign-on: password synchronization and Active Directory Federation Services. Both options are provided by Azure Active Directory Connect. Password synchronization enables almost any organization, no matter the size, to easily implement single sign-on. For this reason, and because the user experience in a hybrid deployment is significantly better with single sign-on enabled, we strongly recommend implement it. For very large organizations, such as those with multiple Active Directory forests that need to join the hybrid deployment, Active Directory Federation Services is required.

    Дополнительные сведения об этом читайте в статье Единый вход в гибридных развертываниях.Learn more at Single sign-on with hybrid deployments.