Гибридные развертывания в нескольких лесах

Exchange 2013 г. и более поздние гибридные развертывания поддерживаются для организаций с несколькими Exchange лесами и одной Microsoft 365 или Office 365 организацией. Для функций и соображений гибридного развертывания организации с несколькими лесами определяются как организации, Exchange серверы, развернутые в нескольких лесах. Организации, использующие лес ресурсов для учетных записей пользователей, но содержащие все серверы Exchange в одном лесу, не являются организациями с несколькими лесами в гибридном развертывании. При планировании и настройке гибридного развертывания эти типы организаций необходимо рассматривать как организации с одиночным лесом.

Перенос общедоступных папок из локальной среды в Microsoft 365 или Office 365 поддерживается только из одного леса Active Directory. Аналогично, доступ к общедоступным папкам в гибридном состоянии поддерживается, только когда локальные общедоступные папки размещаются в одном лесу Active Directory.

Дополнительные сведения о гибридных развертываниях см. в Exchange Server гибридных развертываниях.

Важно!

Для Exchange 2013 года и более позднего времени гибридные развертывания требуют последнего накопительного обновления (CU), доступного для версии Exchange, установленной в локальной организации.

Если вы не можете установить последнее обновление, поддерживается и предыдущий выпуск. Предыдущие CUs и RUs не поддерживаются. Дополнительную информацию см. в статье Предварительные условия для гибридного развертывания.

Необходимые условия для гибридных развертываний с несколькими лесами

Условия гибридного развертывания с несколькими лесами практически совпадают с условиями гибридного развертывания для одной лесной организации, за исключением следующих исключений:

  • Автонаружить. Каждый Exchange леса должен быть авторитетным по крайней мере для одного пространства имен SMTP и соответствующего пространства имен автооткрытия. Если в нескольких лесах Exchange имеются общие домены, конечные точки как маршрутизации, так и обнаружения должны быть правильно настроены для надлежащего взаимодействия лесов Exchange, прежде чем будет выполнена настройка гибридного развертывания с несколькими лесами. В службе Office 365 должна быть обеспечена возможность отправки запросов в службу автообнаружения в каждом лесу Exchange.

  • Сертификаты. Все гибридные развертывания требуют цифрового сертификата, выданного доверенным органом сторонних сертификатов (CA). Для гибридного развертывания с несколькими лесами нельзя использовать один цифровой сертификат для нескольких лесов Active Directory. Каждый лес должен иметь специальный сертификат центра сертификации, чтобы обеспечить надлежащую работу безопасного транспорта почты в гибридном развертывании. Сертификаты, используемые для обеспечения возможностей гибридного развертывания в каждом лесу организации, должны отличаться по крайней мере следующими свойствами:

    • Общее имя. Общее имя (CN) цифрового сертификата является частью субъекта сертификата. Оно должно соответствовать проверяемому узлу и обычно является внешним именем узла на сервере клиентского доступа в лесу Active Directory. Например, mail.contoso.com. Рекомендуется рассматривать общее имя как отличительный признак сертификатов Active Directory, используемых в гибридных развертываниях с несколькими лесами.

    • Эмитент. Сторонний ЦС, который проверил сведения организации и выдал сертификат. Например, VeriSign или Go Daddy. В качестве примера в гибридном развертывании с несколькими лесами один лес будет иметь сертификат, выданный VeriSign, а один лес — сертификат, выданный Go Daddy.

    Важно!

    Сертификат, установленный на серверах почтового ящика и клиентского доступа (и в случае развертывания) в каждом лесу Active Directory, используемом для транспорта почты в гибридном развертывании, должен быть выдан тем же ЦС и иметь одно и то же общее имя.

    На краевом транспортном сервере, если общее имя сертификата и имя эмитента не совпадают, вы можете вручную установить их в соединителю получения с помощью следующих команд:

    $cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate"
    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
    Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
    
  • Exchange серверов: по крайней мере один Exchange 2013 года с ролью сервера клиентского доступа или один сервер Exchange 2016 или более поздний с ролью почтовых ящиков должны быть установлены в каждом лесу Active Directory, настроенном для гибридного развертывания.

    В Exchange 2013 г. сервер клиентского доступа является конечной точкой безопасного почтового транспорта для службы Exchange Online Protection (EOP), включенной в службу организации Microsoft 365 или Office 365, и позволяет мастеру гибридной конфигурации работать в лесу Active Directory. Кроме того, в каждом лесу Active Directory, настроенном для гибридного развертывания, должен быть по крайней мере один сервер Exchange с установленной ролью сервера почтовых ящиков. Сервер Exchange почтовых ящиков 2013 г. является конечной точкой исходящие безопасные почтовые сообщения для сообщений, отправленных в службу EOP и Exchange Online организации.

    В Exchange 2016 и более поздних версиях роль сервера почтовых ящиков обрабатывает весь безопасный транспорт входящей и исходящей почты между локальной организацией и Exchange Online.

  • Планирование пространства имен. Каждый лес, в котором Exchange, требует своего уникального пространства имен, открываемого извне. При запуске в каждом лесу будет указано уникальное пространство имен леса в мастере гибридной конфигурации.

  • Синхронизация Active Directory. Все гибридные развертывания требуют синхронизации Active Directory с Microsoft 365 или Office 365. Если ваша компания уже установила синхронизацию Active Directory между локальной организацией с несколькими лесами и Microsoft 365 или Office 365 с помощью Forefront Identity Manager, вы можете использовать Azure Active Directory Подключение.

  • Один вход. Хотя и не является требованием для гибридного развертывания с одними лесами Active Directory, администраторы могут настроить SSO-сервер в каждом лесу Active Directory или настроить один сервер SSO, если между лесными лесами установлено двухстолевное доверие к лесу. Чтобы обеспечить бесшовную проверку подлинности пользователей, используется либо AD FS, либо синхронизация паролей.

    Дополнительные сведения см. в документе Single sign-on with hybrid deployments.

Полный список предварительных условий гибридного развертывания см. в тексте Условия гибридного развертывания

Сценарий гибридного развертывания с несколькими лесами

Рассмотрим следующий сценарий. Это пример топологии, которая предоставляет обзор типичного развертывания Exchange 2013 г. Contoso, Ltd. — это многолесная много доменная организация с двумя лесами Active Directory. Лес А содержит домен contoso.com, а лес Б — домен sale.contoso.com. Каждый из них содержит контроллеры домена в каждом лесу, один сервер Exchange 2013 года с установленной ролью клиентского доступа и один сервер Exchange 2013 года с установленной ролью сервера почтовых ящиков. Удаленные пользователи Contoso используют Outlook Web App для подключения к Exchange 2013 через Интернет, чтобы проверить свои почтовые ящики и получить доступ к Outlook календарю.

До гибридного развертывания с несколькими лесами

Предположим, что вы сетевой администратор contoso и вы заинтересованы в настройке гибридного развертывания. Развертывание и настройка требуемого сервера синхронизации active Directory в лесу A и развертывание сервера Active Directory Federation Services (AD FS) для минимизации количества подсказок для учетных данных пользователей и администраторов Contoso, которые имеют доступ к службам Microsoft 365 или Office 365 в лесу A. После завершения необходимых условий гибридного развертывания и использования мастера гибридной конфигурации для выбора параметров гибридного развертывания новая топология имеет следующую конфигурацию:

  • Пользователи будут использовать существующие учетные данные учетных записей сети для входа в локальное и Exchange Online организаций ("один вход").

  • Для почтовых ящиков пользователей, расположенных в локальной организации и организации Exchange Online, будут использоваться несколько доменов адресов электронной почты. Например, почтовые ящики, расположенные в локальном лесу А, и некоторые почтовые ящики, расположенные в организации Exchange Online, для своих адресов электронной почты будут использовать домен @contoso.com, а почтовые ящики в лесу Б и некоторые почтовые ящики, расположенные в организации Exchange Online, — домен @sales.contoso.com.

  • Всю почту в Интернет доставляет локальная организация. Управление транспортировкой всех сообщений осуществляется локальной организацией, которая выступает в качестве ретранслятора для организации Exchange Online ("централизованная транспортировка почты").

  • Пользователи локальной организации и организации Exchange Online могут обмениваться друг с другом сведениями о доступности. Связи организации, настроенные для обеих организаций, также предоставляют возможность отслеживания сообщений между организациями, включения подсказок и поиска сообщений.

  • Локальные пользователи и пользователи Exchange Online используют один и тот же URL-адрес для подключения к своим почтовым ящикам через Интернет.

После гибридного развертывания с несколькими лесами

Если сравнить существующую конфигурацию организации Contoso с конфигурацией гибридного развертывания, можно увидеть, что при настройке гибридного развертывания были добавлены серверы и службы, поддерживающие дополнительные функции и возможности подключения между локальной организацией и организацией Exchange Online. Далее приводится обзор изменений исходной локальной организации Exchange, которые были выполнены в результате развертывания гибридного сценария.

Конфигурация До гибридного развертывания После гибридного развертывания
Расположение почтового ящика Только локальные почтовые ящики. Локальные почтовые ящики и почтовые ящики в Exchange Online.
Транспортировка сообщений Локальный сервер клиентского доступа обрабатывает все запросы маршрутизации входящих и исходящих сообщений. Локальный сервер клиентского доступа обеспечивает внутреннюю маршрутизацию сообщений между локальной организацией и организацией Exchange Online.
Outlook Web App На локальном сервере клиентского доступа получаются все Outlook Web App запросы и отображаются сведения о почтовых ящиках. Локально сервер клиентского доступа перенаправляет Outlook Web App запросы на локальном сервере почтовых ящиков Exchange 2013 г. или предоставляет ссылку для входа в Exchange Online организации.
Единый глобальный список адресов для обеих организаций Не применимо; только для отдельных организаций. Локально сервер синхронизации Active Directory реплицирует сведения Active Directory для объектов с поддержкой почты в Exchange Online организации.
В обеих организациях используется компонент единого входа Неприменимо; только для одной организации. На локальном сервере Active Directory Federation Services (AD FS) поддерживается использование однорегистрных учетных данных для почтовых ящиков, расположенных в локальной или Microsoft 365 или Office 365 организации.
Установленная связь организации и доверие федерации с системой проверки подлинности Azure AD Можно настроить доверительные отношения с системой проверки подлинности Azure AD и отношениями организации с Exchange федерацией. Необходимо настроить отношение доверия с системой проверки подлинности Azure AD. Связи организации устанавливаются между локальной организацией и организацией Exchange Online.
Обмен сведениями о доступности Обмен сведениями о доступности только между локальными пользователями. Обмен сведениями о доступности между пользователями локальной организации и организации Exchange Online.

Настройка гибридных развертываний в организациях с несколькими лесами

Чтобы настроить гибридное развертывание для многолесной организации, необходимо выполнить основные действия ниже:

  1. Убедитесь, что вы выполнили условия гибридного развертывания. См. предварительные условия, перечисленные ранее в этой теме, и условия гибридного развертывания. Как правило, сервер синхронизации Active Directory необходимо установить только для одного леса. Сервер с Azure Active Directory Подключение (Azure AD Подключение) с службами Федерации Active Directory (AD FS) должен быть установлен в каждом лесу, чтобы включить один вход, если между лесами не настроено двухполосное доверие леса.

  2. Получите сертификат стороннего центра сертификации для каждого леса Active Directory, удовлетворяющего требованиям, перечисленным выше в этом разделе.

  3. Установите сертификат на все серверы клиентского доступа Exchange 2013 и на все серверы почтовых ящиков или серверы почтовых ящиков Exchange 2016 в каждом лесу.

  4. Выполните действия, описанные в разделе Создание гибридного развертывания с помощью темы мастера гибридной конфигурации для основного леса.

    Важно!

    Обязательно выберите сертификат, предназначенный для основного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.

  5. Выполните действия, описанные в разделе Создание гибридного развертывания с помощью темы мастера гибридной конфигурации для вторичного леса.

    Важно!

    Обязательно выберите сертификат, предназначенный для дополнительного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.