Distribuzioni ibride con più insiemi di strutture di Active Directory
**Si applica a:**Exchange Online, Exchange Server, Exchange Server 2013
**Ultima modifica dell'argomento:**2016-12-09
Exchange 2010, Exchange 2013 e le distribuzioni ibride successive sono supportate per le organizzazioni con più foreste Active Directory locali e un solo tenant Office 365. Per le funzionalità e le considerazioni di distribuzione ibrida, le organizzazioni con più foreste vengono definite come organizzazioni che dispongono di server di Exchange distribuiti in più foreste di Active Directory. Le organizzazioni che utilizzano una foresta di risorse per gli account utente ma che mantengono tutti i server di Exchange in una foresta singola, non vengono classificate come organizzazioni a più foreste negli scenari di distribuzione ibrida. Questo tipo di organizzazioni devono considerarsi a foresta singola quando si pianifica e si configura una distribuzione ibrida.
La migrazione delle cartelle pubbliche da un ambiente locale a Office 365 è supportata solo da una singola foresta di Active Directory. Allo stesso modo, l'accesso alle cartelle pubbliche in uno stato ibrido è supportato solo quando le cartelle pubbliche locali sono ospitate in una singola foresta di Active Directory.
Importante
Le distribuzioni ibride richiedono l'aggiornamento cumulativo più recente per la versione di Exchange installata nell'organizzazione locale dell'utente. Se non è possibile installare l'aggiornamento cumulativo più recente, è supportata anche la versione immediatamente precedente. Gli aggiornamenti cumulativi meno recenti non sono supportati. Per ulteriori informazioni, vedere Prerequisiti per la distribuzione ibrida.
Per ulteriori informazioni sulle distribuzioni ibride, vedere Distribuzioni ibride di Exchange Server
Prerequisiti della distribuzione ibrida a più foreste
I prerequisiti relativi alla distribuzione ibrida a più foreste sono virtualmente identici a quelli della distribuzione ibrida per organizzazioni a foresta singola, con le seguenti eccezioni:
Individuazione automatica Tutte le foreste di Exchange devono essere autorevoli per almeno uno spazio dei nomi SMTP e per il corrispondente spazio dei nomi di individuazione automatica. Nel caso in cui siano presenti domini condivisi tra più foreste di Exchange, sia l'instradamento della posta che l'endpoint di individuazione automatica devono essere configurati e funzionare correttamente nelle foreste di Exchange, prima di configurare la distribuzione automatica a più foreste. Il servizio Office 365 deve essere in grado di eseguire query del servizio di individuazione automatica in ogni foresta di Exchange.
Certificati Tutte le distribuzioni ibride necessitano di un certificato digitale rilasciato da un'Autorità di certificazione (CA, Certification Authority) di terze parti affidabile. Per una distribuzione ibrida a più foreste, non è possibile utilizzare un certificato digitale singola per più foreste di Active Directory. Ogni foresta deve utilizzare un apposito certificato rilasciato da un'Autorità di certificazione affinché il trasporto sicuro della posta elettronica funzioni correttamente in una distribuzione ibrida. Il certificato utilizzato per le funzionalità di distribuzione ibrida per ogni foresta all'interno di un'organizzazione a più foreste deve essere differente in almeno una delle seguenti proprietà:
Nome comune Il nome comune del certificato digitale fa parte dell'oggetto del certificato. Tale nome deve corrispondere all'host autenticato e di solito rappresenta il nome host esterno per il server Accesso client nella foresta di Active Directory. Ad esempio, mail.contoso.com. Si consiglia di utilizzare il nome comune come la proprietà discriminante tra i certificati di Active Directory utilizzati nelle distribuzioni ibridi a più foreste.
Emittente L'Autorità di certificazione di terze parti che ha verificato le informazioni sull'organizzazione e ha rilasciato il certificato. Ad esempio, VeriSign o Go Daddy. Ad esempio, una foresta deve disporre di un certificato rilasciato da VeriSign e una foresta deve disporre di un certificato rilasciato da Go Daddy.
Importante
I certificati installati nei server Cassette postali e Accesso client (e Trasporto Edge, se distribuito) in ogni foresta di Active Directory utilizzata per il trasporto della posta nella distribuzione ibrida devono essere emessi dalla stessa Autorità di certificazione e avere lo stesso nome comune.
Server di Exchange È necessario installare almeno un server di Exchange 2010 o Exchange 2013 con il ruolo server Accesso client oppure un server di Exchange 2016 o versione successiva con il ruolo Cassette postali in ogni foresta di Active Directory configurata per la distribuzione ibrida.
Il server Accesso client di Exchange 2010 ed Exchange 2013 rappresenta l'endpoint per il trasporto sicuro della posta elettronica in ingresso per il servizio Exchange Online Protection (EOP) incluso nel servizio tenant di Office 365 e consente alla procedura guidata di configurazione ibrida di eseguire la foresta di Active Directory. Inoltre, almeno un server di Exchange con il ruolo server Cassette postali deve essere installato in ogni foresta di Active Directory configurata per la distribuzione ibrida. Il server Cassetta postale di Exchange 2010 ed Exchange 2013 rappresenta l'endpoint di trasporto sicuro della posta elettronica in uscita per i messaggi che vengono inviati al servizio EOP e all'organizzazione Exchange Online.
In Exchange 2016 e versioni successive, il ruolo server Cassetta postale gestisce tutto il trasporto sicuro in ingresso e in uscita tra l'organizzazione locale e ed Exchange Online.
Pianificazione dello spazio dei nomi Ogni foresta in cui è installato Exchange necessita di uno spazio dei nomi univoco e individuabile esternamente. L'utente specifica uno spazio dei nomi univoco per la foresta durante la procedura guidata di configurazione ibrida, quando la si esegue in ogni foresta.
Sincronizzazione di Active Directory Tutte le distribuzioni ibride richiedono la sincronizzazione di Active Directory con Office 365. Se l'azienda ha già configurato la sincronizzazione di Active Directory tra l'organizzazione locale a più foreste e Office 365 usando Forefront Identity Manager, è possibile utilizzare Azure Active Directory Connect.
Single Sign-on Anche se non è un requisito per le distribuzioni ibride con singole foreste di Active Directory, gli amministratori possono scegliere di configurare un server SSO in ogni foresta Active Directory oppure di configurare un singolo server SSO nel caso sia presente un trust tra foreste bidirezionale configurato tra le foreste locali. È possibile utilizzare la sincronizzazione AD FS o con password per consentire un'esperienza di autenticazione semplice.
Per ulteriori informazioni, vedere Accesso Single Sign-On con distribuzioni ibride.
Per un elenco completo dei prerequisiti della distribuzione ibrida, vedere Prerequisiti per la distribuzione ibrida
Scenario di distribuzione ibrida a più foreste
Nello scenario seguente. viene mostrata una topologia di esempio che fornisce una panoramica di una distribuzione tipica di Exchange 2013. Contoso, Ltd. rappresenta un'organizzazione a più foreste e più domini con due foreste di Active Directory. Nella foresta A è presente il dominio contoso.com e nella foresta B è contenuto il dominio sale.contoso.com. In ogni foresta sono presenti controller di dominio, un server di Exchange 2013 con il ruolo Accesso client installato e uno con il server di Exchange 2013 con il ruolo server di cassette postali installato. Gli utenti remoti Contoso utilizzano Outlook Web App per connettersi a Exchange 2013 tramite Internet allo scopo di controllare le cassette postali e accedere al calendario di Outlook.
.png "Prima della distribuzione ibrida con più foreste")
Si supponga che l'amministratore di rete di Contoso abbia deciso di configurare una distribuzione ibrida. È possibile distribuire e configurare un server di sincronizzazione di Active Directory nella foresta A ed è possibile decidere di distribuire un server AD FS come opzione per ridurre il numero di prompt delle credenziali di account per gli utenti e amministratori Contoso che accedono ai servizi Office 365 nella foresta A. Dopo aver eseguito i prerequisiti della distribuzione ibrida e utilizzato per procedura guidata di configurazione ibrida per selezionare le opzioni per la distribuzione ibrida, la nuova topologia dispone della seguente configurazione:
Gli utenti utilizzeranno le credenziali dell'account di rete esistente per accedere all'organizzazione locale e a quella di Exchange Online ("Single Sign-On").
Le cassette postali utente che risiedono nell'organizzazione locale e nell'organizzazione di Exchange Online utilizzeranno più domini per gli indirizzi di posta elettronica. Ad esempio, le cassette postali che si trovano nella foresta A locale e alcune cassette postali che si trovano nell'organizzazione di Exchange Online utilizzeranno @contoso.com negli indirizzi di posta elettronica degli utenti. Le cassette postali nella foresta B e alcune cassette postali che si trovano nell'organizzazione di Exchange Online utilizzeranno @sales.contoso.com.
Tutta la posta viene recapitata in Internet dall'organizzazione locale. Tale organizzazione controlla il trasporto di tutti i messaggi e costituisce un punto di inoltro per l'organizzazione di Exchange Online ("trasporto centralizzato della posta").
Gli utenti dell'organizzazione locale e dell'organizzazione di Exchange Online possono condividere le informazioni di disponibilità del calendario. Le relazioni dell'organizzazione configurate per entrambe le organizzazioni consentono inoltre la verifica dei messaggi cross-premise, Suggerimenti messaggio e la ricerca di messaggi.
Gli utenti dell'organizzazione locale e dell'organizzazione di Exchange Online utilizzano lo stesso URL per connettersi alle cassette postali via Internet.
.png "Dopo la distribuzione ibrida con più foreste")
Se si confronta la configurazione dell'attuale organizzazione di Contoso con la configurazione della distribuzione ibrida, è possibile notare che in quest'ultima sono stati aggiunti server e servizi che supportano una maggiore comunicazione e funzionalità condivise tra l'organizzazione locale e l'organizzazione di Exchange Online. Di seguito è illustrata una panoramica delle modifiche che la distribuzione ibrida ha apportato rispetto all'organizzazione Exchange locale iniziale.
| Configurazione | Prima della distribuzione ibrida | Dopo la distribuzione ibrida |
|---|---|---|
Posizione delle cassette postali |
Solo cassette postali locali. |
Cassette postali locali e in Exchange Online. |
Trasporto dei messaggi |
I server Accesso client locali gestiscono tutto il routing dei messaggi in entrata e in uscita. |
Il server Accesso client locale gestisce il routing dei messaggi interni fra l'organizzazione locale e l'organizzazione di Exchange Online. |
Outlook Web App |
Il server Accesso client locale riceve tutte le richieste di Outlook Web App e visualizza le informazioni della cassetta postale. |
Il server Accesso client locale reindirizza le richieste di Outlook Web App al server Cassette postali di Exchange 2013 locale oppure fornisce un collegamento per accedere all'organizzazione di Exchange Online. |
Elenco indirizzi globale unificato per entrambe le organizzazioni |
Non applicabile; solo organizzazione singola. |
Il server di sincronizzazione con Active Directory locale replica le informazioni di Active Directory per gli oggetti abilitati alla posta nell'organizzazione di Exchange Online. |
Single-Sign on utilizzato per entrambe le organizzazioni |
Non applicabile; solo organizzazione singola. |
Il server Active Directory Federation Services (ADFS) locale supporta l'utilizzo delle credenziali Single-Sign On per le cassette postali che risiedono nell'organizzazione locale o in quella di Office 365. |
Relazione organizzativa stabilita e trust federativo con il sistema di autenticazione Azure AD |
È possibile configurare una relazione di trust con il sistema di autenticazione Azure AD e le relazioni organizzative con altre organizzazioni Exchange federate. |
È richiesta una relazione di trust con il sistema di autenticazione Azure AD. Le relazioni organizzative vengono stabilite tra l'organizzazione locale e l'organizzazione di Exchange Online. |
Condivisione informazioni sulla disponibilità |
Condivisione delle informazioni sulla disponibilità solo tra gli utenti locali. |
Condivisione delle informazioni sulla disponibilità tra gli utenti locali e di Exchange Online. |
Configurazione delle distribuzioni ibride il organizzazioni a più foreste
Per configurare una distribuzione ibrida per un'organizzazione a più foreste, è necessario effettuare la procedura di base riportata di seguito:
Verificare che siano stati soddisfatti i prerequisiti della distribuzione ibrida. Vedere i prerequisiti elencati in precedenza in questo argomento e Prerequisiti per la distribuzione ibrida. In genere, una sola foresta richiede un server di sincronizzazione Active Directory installato. Un server con Azure Active Directory Connect (Azure AD Connect) con Active Directory Federation Services (AD FS) deve essere installato in ogni foresta per abilitare SSO se un trust tra foreste bidirezionale non è configurato tra le foreste.
Ottenere un certificato da un'Autorità di certificazione di terze parti per ogni foresta di Active Directory che soddisfa i requisiti elencati nella sezione precedente di questo argomento.
Installare il certificato su tutti i server Cassette postali e Accesso client di Exchange 2013 o su tutti i server Cassette postali di Exchange 2016 in ogni foresta.
Per la foresta principale, effettuare la procedura descritta nell'argomento Creare una distribuzione ibrida con la procedura guidata di configurazione ibrida.
Importante
Assicurarsi di selezionare il certificato designato per la foresta principale nella procedura guidata di configurazione ibrida e selezionare il dominio SMTP principale per la foresta.
Per la foresta secondaria, effettuare la procedura descritta nell'argomento Creare una distribuzione ibrida con la procedura guidata di configurazione ibrida.
Importante
Assicurarsi di selezionare il certificato designato per la foresta secondaria nella procedura guidata di configurazione ibrida e selezionare il dominio SMTP principale per la foresta.