Exchange Server混合部署

摘要:规划 Exchange 混合部署需要了解的内容。

混合部署使组织可以将随其现有内部部署 Microsoft Exchange 组织提供的功能丰富的体验和管理控制扩展到云。 混合部署可在本地 Exchange 组织与 Exchange Online 之间提供单个 Exchange 组织的无缝外观。 此外,混合部署可以充当完全迁移到 Exchange Online 组织的中间步骤。

Exchange 混合部署功能

混合部署支持以下功能:

  • 内部部署组织与 Exchange Online 组织之间的安全邮件路由。

  • 使用共享域命名空间的邮件路由。例如,内部部署与 Exchange Online 组织都使用 @contoso.com SMTP 域。

  • 统一全局地址列表 (GAL),也称为"共享地址簿"。

  • 内部部署组织与 Exchange Online 组织之间的忙/闲状态共享和日历共享。

  • 集中控制入站和出站邮件流。可以将所有入站和出站 Exchange Online 邮件配置为通过内部部署 Exchange 组织路由。

  • 用于内部部署和 Exchange Online 组织的单个 Web 上的 Outlook URL

  • 可以将现有内部部署邮箱移到 Exchange Online 组织。如果需要,还可以将 Exchange Online 邮箱移回内部部署组织。

  • 使用内部部署 Exchange 管理中心 (EAC) 集中管理邮箱。

  • 内部部署组织和 Exchange Online 组织之间的邮件跟踪、邮件提醒和多邮箱搜索。

  • 内部部署 Exchange 邮箱基于云的邮件存档。 Exchange Online Archiving 可以与混合部署一起使用。 有关详细信息,Exchange Online Archiving存档功能中的Exchange Online Archiving。

Exchange 混合部署的注意事项

在实施混合部署之前,请考虑Exchange以下事项:

  • 混合部署 要求:在配置混合部署之前,需要确保您的内部部署组织满足成功部署所需的所有先决条件。 有关更多信息,请参阅 混合部署先决条件

  • Exchange ActiveSync客户端:将邮箱从内部部署 Exchange 组织移动到 Exchange Online 时,需要更新访问邮箱的所有客户端以使用Exchange Online;这包括Exchange ActiveSync设备。 大多数 Exchange ActiveSync 客户端现在都会在邮箱移到 Exchange Online 中时自动重新配置,但是,某些旧的设备可能不会正确升级。 有关详细信息,请参阅Exchange ActiveSync混合部署Exchange设置

  • 邮箱权限迁移:显式应用于邮箱的邮箱权限(如代理发送、完全访问、代表发送和文件夹权限)将迁移到Exchange Online。 不会迁移继承(非明确)邮箱权限和授予给 Exchange Online 中未启用邮件的对象的权限。 在迁移之前,请务必明确授予所有权限,并确保所有对象都启用邮件。 因此,您必须规划在组织中配置这些Exchange Online(如果适用于您的组织)。 在代理发送权限情况下,如果尝试代理发送的用户和资源没有同时移动,则需要使用 Add-RecipientPermission cmdlet 在 Exchange Online 中显式添加代理发送权限。

  • 支持 跨界 邮箱权限:Exchange 混合部署支持在位于内部部署 Exchange 组织的邮箱和位于 Exchange Online 的邮箱之间使用"完全访问"和"代表发送"权限。 "发送方式"权限需要其他步骤。 此外,可能需要一些额外的配置来支持跨界邮箱权限,具体取决于在本地组织中安装的 Exchange 版本。 有关详细信息,请参阅 Exchange 混合部署中的权限配置 Exchange 以支持混合部署中的委派邮箱权限中的委派邮箱权限

  • 载出: 作为持续收件人管理的一部分,您可能必须Exchange Online邮箱移回本地环境。

有关如何在基于 Exchange 2010 的混合部署中移动邮箱的详细信息,请参阅Move an Exchange Online mailbox to the on-premises organization

若要详细了解如何在基于 Exchange 2013 或更高版本的混合部署中移动邮箱,请参阅在混合部署中的本地组织与Exchange Online 组织之间移动邮箱。

  • 邮箱转发设置:可以将邮箱设置为自动将发送给他们的邮件转发到另一个邮箱。 虽然 Exchange Online 支持邮箱转发,但转发配置未随邮箱迁移一起复制到 Exchange Online 中。 将邮箱迁移到 Exchange Online 前,请务必先导出各个邮箱的转发配置。 转发配置存储在每个邮箱的 、 DeliverToMailboxAndForward ForwardingAddressForwardingSmtpAddress 属性中。

Exchange 混合部署组件

混合部署涉及多个不同的服务和组件:

  • Exchange服务器:如果要配置混合Exchange,至少需要在内部部署组织中配置一台混合服务器。 如果您运行 Exchange 2013 或更低版本,您需要至少安装一台运行邮箱角色和客户端访问角色的服务器。 如果您运行 Exchange 2016 或更新版本,至少必须安装一台运行邮箱角色的服务器。 如果需要,Exchange边缘传输服务器也可以安装在外围网络中,并支持安全邮件流Microsoft 365或Office 365。

    备注

    我们不支持在外围网络中安装运行邮箱服务器角色或客户端访问服务器角色的 Exchange 服务器。

    重要

    我们建议将 Exchange Server CU 和 SU 一起用于配置混合。

  • Office 365或 Microsoft 365:Office 365 Microsoft 365订阅包括一个Exchange Online订阅。 配置混合部署的组织需要为迁移到 Exchange Online 组织或者在 Exchange Online 组织中创建的每个邮箱购买一个许可证。

  • 混合配置向导:Exchange混合配置向导,该向导提供了一个简化的流程,用于配置内部部署组织与 Exchange Exchange Online部署。

    有关详细信息,请参阅 "混合配置"向导

  • Azure AD 身份验证 系统:Azure Active Directory (AD) 身份验证系统是基于云的免费服务,可充当本地 Exchange 2016 组织与 Exchange Online 组织之间的信任代理。 配置混合部署的本地组织必须具有与 Azure AD 身份验证系统之间的联合信任。 可手动创建联合信任作为配置本地 Exchange 组织和其他联合 Exchange 组织之间的联合共享功能的一部分,或使用混合配置向导配置混合部署的一部分。 在激活 Exchange Online 或 Office 365 Microsoft 365 服务帐户时,将自动配置与 Exchange Online 租户的 Azure AD 身份验证系统的联合身份验证信任。

    有关详细信息,请通过:什么是 Azure AD 连接?。

  • Azure Active Directory 同步:Azure AD 同步使用 Azure AD 连接 将已启用邮件的对象本地 Active Directory 信息复制到云,以支持统一全局地址列表 (GAL) 和用户身份验证。 配置混合部署的组织需要将 Azure AD 连接部署在单独的本地服务器上,以将本地 Active Directory 与 Microsoft 365 或 Office 365 同步。

    有关详细信息,请通过:Prerequisites for Azure AD 连接

备注

Azure AD 连接云同步不支持混合迁移,因为无法处理混合Exchange回写。

混合部署示例

看一下下面的情况。这是一个拓扑示例,概述了典型的 Exchange 2016 部署。Contoso, Ltd. 是一个单林单域组织,安装了两台域控制器和一台 Exchange 2016 服务器。远程 Contoso 用户使用 Web 上的 Outlook 通过 Internet 连接到 Exchange 2016 以检查其邮箱和访问其 Outlook 日历。

本地部署Exchange配置混合部署Microsoft 365或Office 365部署。

假设您是 Contoso 的网络管理员,同时对配置混合部署感兴趣。 部署和配置所需的 Azure AD 连接 服务器,还决定使用 Azure AD 连接 密码同步功能,让用户同时使用其本地网络帐户及其 Microsoft 365 或 Office 365 帐户的相同凭据。 完成混合部署先决条件,以及使用混合配置向导选择了混合部署的选项之后,新的拓扑具有以下配置:

  • 用户将使用相同的用户名和密码登录到内部部署组织,Exchange Online组织 ("单一登录") 。

  • 位于内部部署组织和 Exchange Online 组织中的用户邮箱将使用相同的电子邮件地址域。例如,位于内部部署组织和 Exchange Online 组织中的邮箱都将在用户电子邮件地址中使用 @contoso.com。

  • 所有出站邮件都将通过内部部署组织传递到 Internet。内部部署组织控制所有邮件传输,并充当 Exchange Online 组织的中继("集中邮件传输")。

  • 内部部署组织用户和 Exchange Online 组织用户可以相互共享日历忙/闲信息。为这两个组织配置的组织关系还将启用跨内部部署邮件跟踪、邮件提示和邮件搜索。

  • 内部部署用户和 Exchange Online 用户使用相同的 URL 通过 Internet 连接到其邮箱。

在配置Exchange或部署混合部署后Microsoft 365本地Office 365部署。

如果将 Contoso 的现有组织配置与混合部署配置进行比较,可以看到通过配置混合部署,添加了支持其他通信和功能的服务器和服务,这些通信和功能在内部部署组织和 Exchange Online 组织之间共享。下面概述了混合部署相对于初始内部部署 Exchange 组织所发生的变化。

配置 混合部署前 混合部署之后
邮箱位置 邮箱仅位于内部部署组织中。 内部部署邮箱与 Exchang Online 中邮箱。
邮件传输 内部部署邮箱服务器处理所有入站和出站邮件路由。 内部部署邮箱服务器处理内部部署组织与内部部署组织Exchange Online路由。
Web 上的 Outlook 内部部署邮箱服务器接收所有 Web 上的 Outlook 请求并显示邮箱信息。 内部部署邮箱服务器将Outlook 网页版请求重定向到本地 Exchange 2016 邮箱服务器,或提供一个链接以登录到 Exchange Online。
用于两个组织的统一 GAL 不适用;仅限单个组织。 本地 Active Directory 同步服务器将启用邮件的对象的 Active Directory 信息复制到Exchange Online。
用于两个组织的单一登录 不适用;仅限单个组织。 本地 Active Directory 和 Exchange Online对位于本地或本地邮箱中的邮箱使用相同的用户名和密码Exchange Online。
建立组织关系,以及与 Azure AD 身份验证系统的联合身份验证信任 可以配置与 Azure AD 身份验证系统的信任关系以及与其他联合 Exchange 组织的组织关系。 必须与 Azure AD 身份验证系统建立信任关系。 组织关系在本地环境和云之间建立。
忙/闲共享 仅在内部部署用户之间共享忙/闲信息。 在内部部署用户之间和 Exchange Online 用户之间共享忙/闲信息。

配置混合部署之前要考虑的事项

现在,您已对什么是混合部署有了进一步的了解,该认真考虑一些重要的问题了。配置混合部署可能会影响您当前网络和 Exchange 组织中的多个方面。

目录同步和单一登录

内部部署组织和云之间的 Active Directory 同步(由运行 Azure Active Directory 连接 的服务器每 30 分钟执行一次)是配置混合部署的要求。 目录同步使任一组织中的收件人可以在全局地址列表中看到彼此。 它还同步用户名和密码,使用户能够使用相同凭据登录内部部署组织以及 Microsoft 365 或 Office 365。

备注

如果选择使用 AD FS 配置 Azure AD 连接,默认情况下,本地用户的用户名和密码仍将同步到云。 但是,用户将通过 AD FS 对内部部署 Active Directory 进行身份验证,作为其主要身份验证方法。 如果你希望将 AD FS 配置为回退,并针对在 AD FS 无法连接到本地 Active Directory 时同步到云的用户名和密码进行身份验证,请参阅在 Azure AD 连接 中将 PHS 设置为AD FS 的备份

Azure Active Directory 和 Microsoft 365 或 Office 365 的所有客户的默认限制为 50,000 个对象 (用户、启用邮件的联系人和组) ,这些对象确定可以在 Microsoft 365 或 Office 365 组织中创建的对象数。 验证第一个域后,对于 Azure Active Directory Free,此限制会自动增加到 500,000 个对象,或者 Azure Active Directory Basic 或 高级版。 有关详细信息,请参阅定价Azure Active Directory定价

如果选择配置 AD FS,除了运行 Azure AD Connect 的服务器,您还需要部署 Web 应用程序代理服务器。 此服务器应放置在外围网络中,并充当内部 ADFS 服务器和 Internet 之间的中介。 Web 应用程序代理服务器需要接受 Internet 上使用 TCP 端口 443 的客户端和服务器请求进行的连接。

混合部署管理

通过单个统一管理控制台,您可以管理 Exchange 2016 的混合部署,允许同时管理您的内部部署和 Office 365 Exchange Online 组织。 替换 Exchange 管理控制台和 Exchange 控制面板的 Exchange 管理中心 (EAC) 允许您连接和配置两个组织的 功能。 当首次运行混合配置向导时,将提示您连接 Exchange Online 组织。 您需要使用组织管理角色组的成员帐户将 EAC 连接到 Exchange Online 组织。

证书

安全套接字层 (SSL) 数字证书对配置混合部署非常重要。这些证书有助于保证内部部署混合服务器与 Exchange Online 组织之间的通信安全。证书是配置几个服务类型的要求。如果您的 Exchange 组织中已在使用数字证书,可能需要修改证书以包括其他域或者从受信任的证书颁发机构 (CA) 购买其他证书。如果未使用证书,则需要从受信任的 CA 购买一个或多个证书。

可在以下位置了解详细信息:混合部署的证书要求

带宽

与 Internet 的网络连接将直接影响内部部署组织与内部部署组织Microsoft 365或Office 365性能。 在将邮箱从内部部署 Exchange 2016 服务器移动到 Microsoft 365 或 Office 365 组织时尤其如此。 可用网络带宽量、邮箱大小和并行移动的邮箱数量组合使得完成邮箱移动的时间有所不同。 此外,其他服务(如 SharePoint Server 2016 和 Skype for Business)还可能会影响邮件服务的可用带宽。

在将邮箱移动到云之前,你应该:

  • 确定要移动的邮箱的平均邮箱大小。

  • 确定从内部部署组织连接到 Internet 的平均连接速度和吞吐速度。

  • 计算预期的平均传输速度,然后相应地制定邮箱移动计划。

有关详细信息,请通过 :Networking

统一消息

备注

统一消息在 Exchange 2019 中不可用。

内部部署 (或) 组织之间的混合部署支持统一消息Microsoft 365 UM Office 365。 您的本地电话解决方案必须能够与云进行通信。 这可能需要购买其他硬件和软件。

如果要将邮箱从内部部署组织移动到云,并且为这些邮箱配置了 UM,应在移动这些邮箱之前在混合部署中配置 UM。 如果先移动邮箱,然后再在混合部署中配置 UM,则这些邮箱将无法再访问 UM 功能。

信息权限管理

通过信息权限管理 (IRM),用户可将 Active Directory 权限管理服务 (AD RMS) 模板应用于其发送的邮件。AD RMS 模板可通过允许用户控制谁可打开受权限保护的邮件及其打开邮件后可对邮件执行什么操作,从而帮助防止信息泄漏。

混合部署中的 IRM 需要规划、手动配置 Microsoft 365 或 Office 365 组织,以及了解客户端如何使用 AD RMS 服务器,具体取决于其邮箱是位于内部部署组织还是 Exchange Online 组织中。

有关详细信息,请通过:混合Exchange中的 IRM

移动设备

混合部署中支持移动设备。 如果现有服务器已经启用 Exchange ActiveSync,它们会继续将来自移动设备的请求重定向到位于内部部署邮箱服务器的邮箱。 对于连接到从内部部署组织移动到云的现有邮箱的移动设备,Exchange ActiveSync 配置文件将自动更新为连接到大多数手机上的云。 支持 Exchange ActiveSync 的所有移动设备都应该与混合部署兼容。

有关详细信息,请Exchange ActiveSync

客户端要求

建议您的客户端使用 Outlook 2016 或 Outlook 2013,以便在混合部署中实现最佳体验和性能。 混合Outlook或 Microsoft 365 或 Office 365 不支持预部署 2010 Office 365。

Microsoft 365 和 Office 365

若要在邮箱创建邮箱或将邮箱移动到 Microsoft 365 或 Office 365,需要注册相应的订阅计划,必须具有可用的许可证。 注册时,您将收到特定数量的许可证,你可以将其分配给新邮箱或从内部部署组织移动的邮箱。 云中的每个邮箱都必须有许可证。

防病毒和反垃圾邮件服务

移动到云的邮箱会自动通过 EOP Exchange Online Protection (EOP) (由 Microsoft 365 和 Office 365 提供的服务)提供防病毒和反垃圾邮件保护。 如果选择通过 EOP 服务路由所有传入的 Internet 邮件,则可能需要为您的内部部署用户购买其他 EOP 许可证。 我们建议您仔细评估 Microsoft 365 或 Office 365 中的 EOP 保护是否也适合满足内部部署组织的防病毒和反垃圾邮件需求。 如果您已经实施了内部部署组织保护,则可能需要升级或配置您的内部部署防病毒和反垃圾邮件解决方案,以期在整个组织中实现最大程度的保护。

有关详细信息,请通过 EOP 了解反垃圾邮件 和反恶意软件保护

公用文件夹

公用文件夹在云中受支持,本地公用文件夹可以迁移到云中。 此外,云中的公用文件夹可以移动到本地Exchange组织。 本地用户和云用户都可以使用 Outlook 网页版、Outlook 2016、Outlook 2013 或 Outlook 2010 SP2 或更高版本访问位于任一组织的公用文件夹。 配置混合部署时不会改变现有的内部部署公用文件夹配置和对内部部署邮箱的访问权限。

有关详细信息,请通过: 公用文件夹

辅助功能

有关可能适用于此清单中的过程的键盘快捷方式的信息,请参阅适用于管理中心Exchange键盘快捷方式

关键术语

以下列表提供了与 Exchange 2013 中的混合部署关联的核心组件的定义。

集中邮件传输

混合配置选项,其中所有 Exchange Online 入站和出站 Internet 邮件都通过内部部署 Exchange 组织路由。 此路由选项在混合配置向导中配置。 有关详细信息,请参阅 Transport options in Exchange hybrid deployments

共存域

添加到内部部署组织的接受域,用于针对 Microsoft 365 或 Office 365 服务的混合邮件流和自动Office 365请求。 此域作为辅助代理域添加到在混合配置向导中选择了 域的 PrimarySmtpAddress 模板的任何电子邮件地址策略。 默认情况下,此域为 <domain> .mail.onmicrosoft.com。

HybridConfiguration Active Directory 对象

内部部署组织中的 Active Directory 对象,其中包含按混合配置向导中选择的内容定义的所需混合部署配置参数。 混合配置引擎在配置内部部署和 Exchange Online 设置时使用这些参数来启用混合功能。 每次运行混合配置向导时,将重置 HybridConfiguration 对象的内容。

混合配置引擎

混合配置引擎 (HCE) 运行配置和更新混合部署所需的核心操作。 HCE 将 HybridConfiguration Active Directory 对象的状态与当前的本地 Exchange 和 Exchange Online 配置设置进行比较,然后执行任务以将部署配置设置与 HybridConfiguration Active Directory 对象中定义的参数相匹配。 有关详细信息,请参阅 混合配置引擎

混合配置向导 (HCW)

Exchange 提供的一种自适应工具,可指导管理员完成内部部署组织和 Exchange Online 组织之间的混合部署配置。 向导定义 HybridConfiguration 对象中的混合部署配置参数,并指示混合配置引擎运行必要的配置任务以启用定义的混合功能。 有关详细信息,请参阅 "混合配置"向导

基于 Exchange 2010 的混合部署

使用 Exchange Server 2010 内部部署服务器的 Service Pack 3 (SP3) 配置为 Microsoft 365 或 Office 365 和 Exchange Online 服务连接终结点的混合部署。 一种混合部署选项,适用于内部部署 Exchange 2010、Exchange Server 2007 和 Exchange Server 2003 组织。

基于 Exchange 2013 的混合部署

一种混合部署,Exchange 2013 本地服务器作为 Microsoft 365、Office 365 和 Exchange Online 连接终结点。 一种混合部署选项,适用于内部部署 Exchange 2013、Exchange 2010 和 Exchange 2007 组织。

基于 Exchange 2016 的混合部署

使用 Exchange 2016 本地服务器作为 Microsoft 365 或 Office 365 和 Exchange Online 服务连接终结点的混合部署。 一种混合部署选项,适用于内部部署 Exchange 2016、Exchange 2013 和 Exchange 2010 组织。

安全邮件传输

一种自动配置的混合部署功能,可实现内部部署组织与 Exchange Online 组织之间的安全邮件传递。 邮件使用传输层安全性 (TLS) 进行加密和身份验证,采用混合部署向导中选择的证书。 Microsoft 365或 Office 365 组织是源于内部部署组织的混合传输连接的终结点,也是从内部部署组织到内部部署组织的混合传输Exchange Online。

Exchange 混合部署文档

下表包含主题链接,这将帮助您学习和管理 Microsoft Exchange 的混合部署。

主题 说明
"混合配置"向导 了解混合配置向导和混合配置引擎如何配置混合部署的信息。
混合部署先决条件 详细了解混合部署先决条件,包括Exchange Server组织Microsoft 365或Office 365要求以及其他本地配置要求。
混合部署的证书要求 了解有关混合部署数字证书要求的详细信息。
Exchange 混合部署的传输选项 了解有关混合部署中的入站和出站邮件传输选项的详细信息。
Exchange 混合部署中的传输路由 了解有关混合部署中的入站和出站邮件路由选项的详细信息。
Exchange 混合部署中的混合管理 了解有关使用 Exchange 管理中心和 Exchange 命令行管理程序管理混合部署的详细信息。
Exchange 混合部署中共享的忙/闲信息 了解有关混合部署中的内部部署和 Exchange Online 组织之间的日历闲/忙共享的详细信息。
Exchange 混合部署中的服务器角色 了解混合部署中的 Exchange 服务器角色如何运行的详细信息。
Exchange 混合部署中的 IRM 了解有关混合部署中的信息权限管理如何运行的详细信息。
Exchange 混合部署中的权限 详细了解混合部署如何使用 RBAC Role-Based访问控制 (RBAC) 控制权限。
混合部署中的边缘传输服务器 了解 Exchange 边缘传输服务器以及如何在混合部署中部署和运营的详细信息。
混合部署中的单一登录 了解如何使用混合部署中的密码同步和 AD FS 功能进行单一登录的详细信息。
混合部署过程 探索创建和修改 Exchange 内部部署和 Exchange Online 组织的混合部署的程序。
Exchange 2013 和 Exchange 2010 的混合部署 了解有关针对 Exchange 2010 组织进行基于 Exchange 2013 的混合部署的详细信息。
Exchange 2013 和 Exchange 2007 的混合部署 了解有关针对 Exchange 2007 组织进行基于 Exchange 2013 的混合部署的详细信息。