Implantações híbridas com várias florestas do Active Directory
**Aplica-se a:**Exchange Online, Exchange Server, Exchange Server 2013
**Tópico modificado em:**2016-12-09
O Exchange 2010, o Exchange 2013 e as implantações híbridas posteriores são compatíveis com organizações com várias florestas locais do Active Directory e um locatário único do Office 365. Para recursos e considerações sobre implantação híbrida, as organizações com várias florestas são definidas como organizações com servidores do Exchange implantados em várias florestas do Active Directory. Organizações que usam uma floresta de recursos de contas de usuário, mas mantêm todos os servidores do Exchange em uma única floresta, não são classificadas como uma organização de várias florestas em cenários de implantação híbrida. Esses tipos de organizações devem considerar a si próprias como uma organização de uma única floresta durante o planejamento e a configuração de uma implantação híbrida.
Apenas uma floresta do Active Directory dá suporte para a migração de pastas públicas de um ambiente local para o Office 365. Da mesma forma, só há suporte para acessar pastas públicas em um estado híbrido quando as pastas públicas locais são hospedadas em uma única floresta do Active Directory.
Importante
As implantações híbridas exigem a atualização cumulativa mais recente disponível para a versão do Exchange instalada em sua organização local. Se você não conseguir instalar a atualização cumulativa mais recente, use a versão anterior que também é compatível. As atualizações cumulativas mais antigas não são compatíveis. Para saber mais, confira Pré-requisitos de implantação híbrida.
Para obter mais informações sobre implantações híbridas, consulte Implantações Híbridas do Exchange Server
Pré-requisitos de implantação híbrida em várias florestas
Os pré-requisitos de implantação híbrida em várias florestas são praticamente idênticos aos pré-requisitos de implantação híbrida de uma organização de uma única floresta, com as seguintes exceções:
Descoberta automática Cada floresta do Exchange deve ser autoritativa para pelo menos um namespace SMTP e para o namespace de Descoberta automática correspondente. Se houver domínios compartilhados em várias florestas do Exchange, será necessário configurar os pontos finais de direcionamento de email e de Descoberta automática, de modo que funcionem apropriadamente entre as florestas do Exchange, antes de configurar sua implantação híbrida com várias florestas. O serviço do Office 365 deve ser capaz de consultar o serviço de Descoberta automática em cada floresta do Exchange.
Certificados Todas as implantações híbridas exigem um certificado digital emitido por uma autoridade de certificação (CA) de terceiros confiável. Para uma implantação híbrida em várias florestas, um único certificado digital não pode ser usado para várias florestas do Active Directory. Cada floresta deve usar um certificado emitido por uma CA dedicada para que o transporte de email seguro funcione corretamente em uma implantação híbrida. O certificado usado para os recursos de implantação híbrida de cada floresta em uma organização com várias florestas deve ser diferente em pelo menos uma das seguintes propriedades:
Nome Comum O nome comum (CN) do certificado digital faz parte da entidade do certificado. Isso deve corresponder ao host que está sendo autenticado e, normalmente, é o nome de host externo para o servidor de Acesso para Cliente na floresta do Active Directory. Por exemplo, mail.contoso.com. Recomendamos o uso do CN como a propriedade de diferenciação entre os certificados do Active Directory usados em implantações híbridas em várias florestas.
Emissor A CA de terceiros que verificou as informações sobre a organização e emitiu o certificado. Por exemplo, VeriSign ou Go Daddy. Por exemplo, uma floresta teria um certificado emitido pela VeriSign e a outra floresta teria o certificado emitido pela Go Daddy.
Importante
O certificado instalado nos servidores de Acesso para Cliente e de Caixa de Correio (e de Transporte de Borda, se tiver sido implantado) em cada floresta do Active Directory usada para transporte de emails na implantação híbrida deve ser emitido pela mesma CA e ter o mesmo nome comum.
Servidores do Exchange Pelo menos um servidor do Exchange 2010 ou Exchange 2013 com a função de servidor de Acesso para Cliente ou um servidor do Exchange 2016 ou posterior com a função de Caixa de Correio deve ser instalado em cada floresta do Active Directory configurada para a implantação híbrida.
No Exchange 2010 e Exchange 2013, o servidor de Acesso para Cliente é o ponto de extremidade de transporte de email seguro de entrada do serviço Exchange Online Protection (EOP) incluído com o serviço de locatário do Office 365 e permite que o assistente de Configuração Híbrida seja executado na floresta do Active Directory. Além disso, pelo menos um servidor com a função de Caixa de Correio deve ser instalado na floresta do Active Directory configurada para implantação híbrida. O servidor de Caixa de Correio do Exchange 2010 e Exchange 2013 é o ponto de extremidade de transporte de email seguro de saída para mensagens enviadas para o serviço EOP e a organização do Exchange Online.
No Exchange 2016 e posterior, a função de servidor de caixa de correio trata de todo o transporte seguro de mensagens de entrada e de saída entre a sua organização no local e o Exchange Online.
Planejamento de espaço Cada floresta em que você instalar o Exchange exige seu próprio namespace externamente detectável. Você deve especificar o namespace exclusivo de uma floresta no assistente de Configuração Híbrida quando ele for executado em cada floresta.
Sincronização do Active Directory Todas as implantações híbridas exigem a sincronização do Active Directory com o Office 365. Se sua empresa já configurou a sincronização do Active Directory entre sua organização local de várias florestas e o Office 365 usando o Forefront Identity Manager, você poderá usar o Azure Active Directory Connect.
Logon único Embora não seja um requisito para implantações híbridas com florestas únicas do Active Directory, os administradores podem optar por configurar um servidor SSO em cada floresta do Active Directory ou configurar um único servidor SSO se houver uma confiança de floresta bidirecional configurada entre as florestas locais. Use o AD FS ou a senha de sincronização para permitir uma experiência de autenticação de usuário simplificada.
Para mais informações, consulte Logon único com implantações híbridas.
Para obter uma lista completa de todos os pré-requisitos de implantação, consulte Pré-requisitos de implantação híbrida
Cenário de implantação híbrida em várias florestas
Examine o cenário a seguir. É um exemplo de topologia que oferece uma visão geral de uma implantação típica do Exchange 2013. Contoso, Ltd. é uma organização com várias florestas e vários domínios com duas florestas do Active Directory. A Floresta A contém o domínio contoso.com e a Floresta B contém o domínio sale.contoso.com. Cada uma delas contém controladores de domínio, um servidor do Exchange 2013 com a função de Acesso para Cliente instalada e um servidor do Exchange 2013 com a função de servidor de Caixa de Correio instalada. Os usuários remotos da Contoso utilizam o Outlook Web App para se conectar com o Exchange 2013 pela Internet, e assim verificar suas caixas de correio e o calendário do Outlook.
.png "Antes da implantação híbrida com várias florestas")
Digamos que você seja o administrador de rede para Contoso e que está interessado em configurar uma implantação híbrida. Você implanta e configura um servidor de Sincronização do Active Directory exigido na Floresta A e decide também pela implantação de um servidor AD FS (Serviços de Federação do Active Directory) como uma opção para reduzir a quantidade de solicitações de credenciais de conta para usuários e administradores da Contoso que estão acessando os serviços do Office 365 na Floresta A. Depois de concluir os pré-requisitos da implantação híbrida e usar o assistente de Configuração Híbrida para selecionar opções para a implantação híbrida, sua nova topologia tem a seguinte configuração:
Os usuários usarão suas credenciais de conta na rede existentes para fazer logon nas organizações local e do Exchange Online (“logon único”).
As caixas de correio do usuário situadas na organização local e no Exchange Online usarão vários domínios de endereço de email. Por exemplo, as caixas de correio localizadas na Floresta A local, e em algumas caixas de correio localizadas na organização do Exchange Online, usarão @contoso.com nos endereços de email, e caixas de correio na Floresta B, e algumas caixas de correio situadas na organização do Exchange Online, usarão @sales.contoso.com.
Todos os emails serão enviados à Internet pela organização local. A organização local controla todo o transporte de mensagens e funciona como um retransmissor para a organização do Exchange Online (“transporte de email centralizado”).
Os usuários das organizações local e do Exchange Online podem compartilhar informações de disponibilidade no calendário uns com os outros. Os relacionamentos de organização configurados para ambas as organizações viabilizam também o controle de mensagens entre locais, MailTips e pesquisa de mensagens.
Os usuários locais e do Exchange Online usam a mesma URL para se conectarem às suas caixas de correio pela Internet.
.png "Após a implantação híbrida com várias florestas")
Ao comparar a configuração atual de organização da Contoso com a configuração de implantação híbrida, observe que a configuração de implantação híbrida adicionou servidores e serviços que oferecem suporte a recursos e comunicação adicionais que são compartilhados entre as organizações local e do Exchange Online. Veja a seguir uma visão geral das alterações feitas pela implantação híbrida na organização local inicial do Exchange.
| Configuração | Antes da implantação híbrida | Após a implantação híbrida |
|---|---|---|
Local da caixa de correio |
Caixas de correio locais somente. |
Caixas de correio no local e no Exchange Online. |
Transporte de mensagens |
Os servidores de Acesso para Cliente locais controlam todo o roteamento de mensagens de entrada e saída. |
O servidor de Acesso para Cliente local trata todo direcionamento de mensagem interna entre a organização local e a do Exchange Online. |
Outlook Web App |
O servidor local de Acesso para Cliente recebe todas as solicitações do Outlook Web App e exibe informações das caixas de correio. |
O servidor de Acesso para Cliente local redireciona as solicitações do Outlook Web App para o servidor local de Caixas de Correio do Exchange 2013 ou disponibiliza um link para fazer logon na organização do Exchange Online. |
GAL unificada para ambas as organizações |
Não aplicável; organização única somente. |
O servidor de sincronização do Active Directory local replica as informações do Active Directory referentes a objetos habilitados para email para a organização do Exchange Online. |
Logon único usado em ambas as organizações |
Não aplicável; organização única somente. |
O servidor de Serviços de Federação do Active Directory (AD FS) suporta o uso de credenciais de logon único para caixas de correio localizadas na organização local ou do Office 365. |
Relacionamento de organização estabelecido e confiança de federação com o sistema de autenticação do AD do Azure |
É possível configurar um relacionamento de confiança com o sistema de autenticação do AD do Azure e relacionamentos de organização com outras organizações federadas do Exchange. |
O relacionamento de confiança com o sistema de autenticação do AD do Azure é obrigatório. Relacionamentos de organização são estabelecidos entre a organização local e a organização do Exchange Online. |
Compartilhamento de disponibilidade |
Compartilhamento de disponibilidade entre usuários locais somente. |
Compartilhamento de disponibilidade entre usuários locais e do Exchange Online. |
Configurar implantações híbridas em organizações com várias florestas
Para configurar uma implantação híbrida de uma organização com várias florestas, será necessário executar as etapas básicas abaixo:
Verifique se você atendeu aos pré-requisitos da implantação híbrida. Confira os pré-requisitos listados anteriormente neste tópico e Pré-requisitos de implantação híbrida. Normalmente, apenas uma floresta precisa de um servidor de sincronização do Active Directory instalado. Um servidor com o Azure Active Directory Connect (Azure AD Connect) com o Active Directory Federation Services (AD FS) deve ser instalado em cada floresta para habilitar o logon único se uma confiança de floresta bidirecional não estiver configurada entre as florestas.
Obtenha um certificado de CA de terceiro para cada floresta do Active Directory que atenda aos requisitos listados anteriormente neste tópico.
Instale o certificado em todos os servidores de Acesso para Cliente e de Caixa de Correio do Exchange 2013, ou servidores de caixa de correio do Exchange 2016, em cada floresta.
Para a floresta primária, complete as etapas descritas no tópico Criar uma implantação híbrida com o Assistente de Configuração Híbrida.
Importante
Lembre-se de selecionar o certificado designado para a floresta primária no assistente de Configuração Híbrida e selecione o domínio SMTP primário para a floresta.
Para a floresta secundária, complete as etapas descritas no tópico Criar uma implantação híbrida com o Assistente de Configuração Híbrida.
Importante
Lembre-se de selecionar o certificado designado para a floresta secundária no assistente de Configuração Híbrida e selecione o domínio SMTP primário para a floresta.