混合部署必要條件

摘要:您的 Exchange 環境在您可以設定混合式部署之前需要的項目。

在您使用混合組態精靈建立與設定混合式部署之前,您現有的內部部署 Exchange 組織需要符合特定需求。如果您未符合這些需求,將無法完成混合組態精靈內的步驟,而且也無法在內部部署 Exchange 組織與 Exchange Online 之間設定混合式部署。

混合式部署的必要條件

下列為設定混合式部署時須具備的必要條件:

  • 內部部署 Exchange 組織:您已安裝在內部部署組織中的 Exchange 版本,會決定您可以安裝的混合部署版本。 您通常應該設定組織中所述的最新混合部署版本,如下表所述:


內部部署環境 以2019為基礎的混合部署 Exchange 以 Exchange 2016 為基礎的混合部署 以 Exchange 2013 為基礎的混合部署 以 Exchange 2010 為基礎的混合部署
Exchange 2019 支援 不支援 不支援 不支援
Exchange 2016 支援 支援 不支援 不支援
Exchange 2013 支援 支援 支援 不支援
Exchange 2010 不支援 支援 支援 支援
  • Exchange 伺服器版本:混合式部署需要最新的累計更新 (CU) 或更新彙總套件 (RU) ,可供您的 Exchange 版本使用。 如果您無法安裝最新的更新,也會同時支援先前的版本。

    Exchange cu 每季發行一次,讓 Exchange 伺服器保持在最新狀態,可在您定期需要額外的時間來完成升級時,提供額外的彈性。

  • Exchange 伺服器角色:您需要在內部部署組織中安裝的伺服器角色,取決於您已安裝的 Exchange 版本。

    • Exchange 2016 和更新版本:至少一部信箱伺服器。

    • Exchange 2013: (個別或一部伺服器上安裝至少一個信箱和用戶端存取伺服器角色的實例; 我們強烈建議您在一個伺服器) 上。

    • Exchange 2010:至少有一個信箱、Hub Transport 和 Client Access server role 的實例分別安裝 (或一部伺服器上,我們強烈建議您在一個伺服器) 上。

      混合部署也支援執行 Edge Transport Server role 的 Exchange 伺服器。 Edge Transport server 也需要更新為最新的 CU 或 RU。 我們強烈建議您在周邊網路部署 Edge Transport Server。 您無法在周邊網路中部署信箱或用戶端存取伺服器。

    注意

    如果您已使用 Exchange 2010 混合端點開始遷移程式,但不打算保留內部部署信箱,請依原樣繼續進行遷移。 如果您打算保留某些信箱內部部署,強烈建議您引進 Exchange 2016 混合端點 (因為 Exchange 2010 已達到其「支援生命週期」) 的結尾。 繼續將 Exchange 2010 信箱遷移至 Office 365,然後將保留內部部署的信箱移至 Exchange 2016 server。 移除所有的 Exchange 2010 伺服器後,您就可以將 Exchange 2019 伺服器引入新的混合端點,也可以將其餘的內部部署信箱移至 Exchange 2019 伺服器。

  • Microsoft 365 或 Office 365:支援 Azure Active Directory 同步處理的所有 Microsoft 365 和 Office 365 方案都支援混合式部署。 所有 Microsoft 365 商務標準版、商務基本版、Enterprise、政府、學術和中型計畫都支援混合式部署。 Microsoft 365 Apps 商務版和家用方案不支援混合式部署。

    若要深入瞭解,請參閱Microsoft 365

  • 自訂網域:在您的混合部署中,使用 Microsoft 365 或 Office 365 註冊您想要使用的任何自訂網域。 您可以使用 Microsoft 365 入口網站,或在您的內部部署組織中,設定 Active Directory Federation Services (AD FS) 。

    若要深入瞭解,請參閱將您的網域新增至 Microsoft 365 或 Office 365

  • Active Directory 同步 處理:部署 Azure Active Directory 連線工具,以啟用與內部部署組織的 Active Directory 同步處理。

    若要深入了解,請參閱 Azure AD Connect 使用者登入選項

  • 自動探索 DNS 記錄:針對您的公用 DNS 中現有的 SMTP 網域設定自動探索記錄,以指向內部部署 Exchange 伺服器 (Exchange 2010/2013 Client Access server 或 Exchange 2016/2019 信箱伺服器) 。

  • Microsoft 365 或 Office 365 組織中 Exchange 系統管理中心 (EAC):您的內部部署 EAC 中有 Microsoft 365 或 Office 365 組織節點可用,但您需要使用您的 Microsoft 365 或Office 365 系統管理員認證,將 EAC 連線到您的 Microsoft 365 或 Office 365 組織,您才能使用混合式設定向導。 這樣還能讓您從單一管理主控台,同時管理內部部署與 Exchange Online 組織。

    若要深入了解,請參閱 Exchange 混合式部署中的混合式管理

  • 憑證:將 Exchange 服務指派給您從信任的公用憑證授權單位單位 (CA) 所購買的有效數位憑證。 雖然您應該使用自我簽署憑證與 Microsoft 同盟閘道的內部部署同盟信任,但您無法在混合部署中使用自行簽署的憑證,以用於 Exchange 服務。

    在混合部署中設定之 Exchange 伺服器上的 Internet Information Services (IIS) 實例,需要從受信任的 CA 購買有效的數位憑證。

    您在公用 DNS 中指定的 EWS 外部 URL 和自動探索端點,必須列于憑證的主體替代名稱 (SAN) ] 欄位中。 在混合式部署中,您在郵件流程的 Exchange 伺服器上安裝的憑證全部都必須由相同的憑證授權單位單位和相同的主旨所發行。

    若要深入了解,請參閱 混合部署的憑證需求

  • EdgeSync:如果您已在內部部署組織中部署 edge transport server,而且想要設定 edge transport server 進行混合安全郵件傳輸,則必須先設定 EdgeSync,再使用混合式設定向導。 您也需要在每次套用新 CU 至 Edge Transport server 時執行 EdgeSync。

    重要

    雖然在使用 Edge transport server 的部署中需要 EdgeSync,但是當您設定 edge transport server 進行混合安全郵件傳輸時,需要進行其他設定設定。

    若要深入了解,請參閱 Edge Transport server 與混合式部署

  • Microsoft .NET Framework:若要驗證可以搭配特定版本 Exchange 使用的版本,請參閱 Exchange Server 支援性清單-Microsoft .NET Framework

  • 已啟用整合通訊的 (UM) 信箱:如果您有已啟用 UM 的信箱,且想要將它們移至 Microsoft 365 或 Office 365,您必須先符合下列需求,才能 加以移動:

混合式部署通訊協定、連接埠和端點

您必須在防火牆中設定下列通訊協定、埠和連線端點,以保護您的內部部署組織,如下表所述。

重要

相關的 Microsoft 365 和 Office 365 端點是大量、不斷變更,而且不會列在這裡。 相反地,請參閱 Exchange OnlineMicrosoft 365 通用和 Office 線上 Microsoft 365 的區段,並 Office 365 URLs 和 IP 位址範圍,識別這裡所列的每個埠的端點。

注意

內部部署 Exchange 組織中的郵件流程與用戶端連線所需的埠與混合式設定沒有關聯,請參閱用戶端和郵件流程的網路埠(Exchange中)。



來源 通訊協定/埠 目標 註解
Exchange Online 端點 TCP/25 (SMTP/TLS) Exchange 2019/2016 信箱/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

內部部署 Exchange 伺服器設定為主控接收連接器,以使用混合式設定向導中的 Exchange Online 進行安全的郵件傳輸
Exchange 2019/2016 信箱/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

TCP/25 (SMTP/TLS) Exchange Online 端點 內部部署 Exchange 伺服器設定為主控傳送連接器,以使用混合式設定向導中的 Exchange Online 進行安全的郵件傳輸
Exchange Online 端點 TCP/443 (HTTPS) Exchange 2019/2016 信箱

Exchange 2013/2010 CAS

用於發佈 Exchange Web 服務和自動探索至網際網路的內部部署 Exchange 伺服器
Exchange 2019/2016 信箱

Exchange 2013/2010 CAS

TCP/443 (HTTPS) Exchange Online 端點 用於發佈 Exchange Web 服務和自動探索至網際網路的內部部署 Exchange 伺服器

下表提供有關相關內部部署端點的更多詳細資訊:



描述 埠和通訊協定 內部部署端點 驗證提供者 授權方法 是否支援預先驗證?
Microsoft 365 或 Office 365 和內部部署 Exchange 之間的 SMTP 郵件流程 TCP 25 (SMTP/TLS) Exchange 2019/2016 信箱/Edge

Exchange 2013 CAS/EDGE

Exchange 2010 Hub/Edge

不適用 憑證型
自動探索 TCP 443 (HTTPS) Exchange 2019/2016 信箱伺服器:/autodiscover/autodiscover.svc/wssecurity

Exchange 2013/2010 CAS:/autodiscover/autodiscover.svc

Azure AD 驗證系統 WS-Security 驗證
空閒/忙碌、MailTips 和郵件追蹤 (EWS) TCP 443 (HTTPS) Exchange 2019/2016 信箱

Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

Azure AD 驗證系統 WS-Security 驗證
多信箱搜尋 (EWS) TCP 443 (HTTPS) Exchange 2019/2016 信箱

Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

驗證伺服器 WS-Security 驗證
信箱遷移 (EWS) TCP 443 (HTTPS) Exchange 2019/2016 信箱

Exchange 2013/2010 CAS:

/ews/mrsproxy.svc

NTLM 基本
OAuth (自動探索及 EWS) TCP 443 (HTTPS) Exchange 2019/2016 信箱

Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

驗證伺服器 WS-Security 驗證
AD FS (Windows 伺服器) TCP 443 (HTTPS) Windows 2012 R2/2016 伺服器:/adfs/* Azure AD 驗證系統 會依每個組態而不同 雙因素
AAD 連線 TCP 443 (HTTPS) Windows 2012 R2/2016 伺服器 (AD FS) :/adfs/* Azure AD 驗證系統 會依每個組態而不同 雙因素

如需更多關於此資訊的詳細資訊,請參閱深入瞭解混合式驗證的運作方式Demystifying 及疑難排解混合式郵件流程:郵件內部為內部郵件?在 Exchange 混合式部署中的傳輸路由使用連接器來設定郵件流程,以及使用多個位置 (Exchange Online 和內部部署) 來管理郵件流程

當您使用混合式設定向導設定混合式部署時,下列工具和服務是有益的:

  • 郵件遷移顧問:提供逐步指導,可在內部部署組織與 Microsoft 365 或 Office 365 之間設定混合式部署,或完全遷移至 Microsoft 365 或 Office 365。

    若要深入瞭解, 請參閱 mail 遷移顧問

  • Remote connectivity analyzer 工具: Microsoft Remote connectivity analyzer 工具會檢查內部部署 Exchange 組織的外部連線能力,並確保您已準備好設定混合部署。 我們強烈建議您在使用混合組態精靈設定混合式部署前,先使用 Remote Connectivity Analyzer 工具來檢查您的內部部署組織。

    若要深入了解,請參閱:Microsoft Remote Connectivity Analyzer

  • 單一登入:單一登入可讓使用者以單一使用者名稱和密碼存取內部部署和 Exchange Online 組織。 還可提供使用者熟悉的單一登入體驗,並讓系統管理員能輕鬆地透過內部部署 Active Directory 管理工具來控制 Exchange Online 組織信箱的帳戶原則。

    部署單一登入時,您會有兩個選項:密碼同步處理和 Active Directory 同盟服務。 這兩個選項皆由 Azure Active Directory Connect 提供。 密碼同步化可讓幾乎任何組織 (不論大小) 輕鬆地實作單一登入。 基於此原因,而且在啟用單一登入的情況下,混合式部署中的使用者經驗極佳,我們強烈建議您執行。 對於超大型組織,例如有多個 Active Directory 樹系需要加入混合式部署的組織,需要 Active Directory 聯盟服務。

    若要深入了解,請參閱 單一登入與混合式部署