Гибридные развертывания в нескольких лесах Active Directory

 

Применимо к:Exchange Online, Exchange Server, Exchange Server 2013

Последнее изменение раздела:2016-12-09

Для организаций с несколькими локальными лесами Active Directory и одним клиентом Office 365 поддерживаются гибридные развертывания Exchange 2010, Exchange 2013 и более поздних версий. Для описания возможностей гибридных развертываний организации с несколькими лесами определяются как организации с серверами Exchange, развернутыми в нескольких лесах Active Directory. Организации, использующие лес ресурсов для учетных записей пользователей, но содержащие все серверы Exchange в одном лесу, не являются организациями с несколькими лесами в сценариях гибридного развертывания. В процессе планирования и настройки гибридного развертывания такие типы организаций должны рассматриваться как организации с одним лесом.

Перенос общедоступных папок из локальной среды в Office 365 поддерживается только из одного леса Active Directory. Аналогично, доступ к общедоступным папкам в гибридном состоянии поддерживается, только когда локальные общедоступные папки размещаются в одном лесу Active Directory.

ВажноВажно!
Для гибридных развертываний требуется установка последнего накопительного пакета обновления для версии Exchange, установленной в вашей локальной организации. Если вам не удается установить последний накопительный пакет обновления, то выпуск, предшествующий последнему, также поддерживается. Более ранние накопительные пакеты обновления не поддерживаются. Дополнительные сведения см. в статье Предварительные условия для гибридного развертывания.

Дополнительные сведения о гибридных развертываниях см. в разделе Гибридные развертывания Exchange Server.

Необходимые условия для гибридных развертываний с несколькими лесами практически не отличаются от условий для гибридных развертываний в организации с одним лесом. Исключение составляют такие моменты:

  • Автообнаружение. Каждый лес Exchange должен заслуживать доверие по крайней мере одного пространства имен SMTP и соответствующего пространства имен автообнаружения. Если в нескольких лесах Exchange имеются общие домены, конечные точки как маршрутизации, так и обнаружения должны быть правильно настроены для надлежащего взаимодействия лесов Exchange, прежде чем будет выполнена настройка гибридного развертывания с несколькими лесами. В службе Office 365 должна быть обеспечена возможность отправки запросов в службу автообнаружения в каждом лесу Exchange.

  • Сертификаты. Для всех гибридных развертываний требуется цифровой сертификат, подписанный доверенным сторонним центром сертификации. В гибридном развертывании с несколькими лесами нельзя использовать один цифровой сертификат для нескольких лесов Active Directory. Каждый лес должен иметь специальный сертификат центра сертификации, чтобы обеспечить надлежащую работу безопасного транспорта почты в гибридном развертывании. Сертификаты, используемые для обеспечения возможностей гибридного развертывания в каждом лесу организации, должны отличаться по крайней мере следующими свойствами:

    1. Общее имя. Общее имя цифрового сертификата является частью субъекта сертификата. Оно должно соответствовать проверяемому узлу и обычно является внешним именем узла на сервере клиентского доступа в лесу Active Directory. Например, mail.contoso.com. Рекомендуется рассматривать общее имя как отличительный признак сертификатов Active Directory, используемых в гибридных развертываниях с несколькими лесами.

    2. Издатель. Сторонний центр сертификации, проверивший информацию об организации и выдавший сертификат. Например, VeriSign или Go Daddy. Например, один лес может иметь сертификат, выданный VeriSign, а другой — сертификат, выданный Go Daddy.

    ВажноВажно!
    Серверы почтовых ящиков и клиентского доступа (а также пограничные транспортные серверы, если они развернуты) в каждом лесу Active Directory должны использовать для транспорта почты в гибридном развертывании один и тот же сертификат, выданный одним центром сертификации и имеющий одинаковое общее имя.
  • Серверы Exchange. В каждом лесу Active Directory, настроенном для гибридного развертывания, должен быть установлен по крайней мере один сервер Exchange 2010 или Exchange 2013 с установленной ролью сервера клиентского доступа или один сервер Exchange 2016 или более поздней версии с ролью сервера почтовых ящиков.

    Сервер клиентского доступа Exchange 2010 или Exchange 2013 — это конечная точка безопасного транспорта входящей почты, поступающей в службу Exchange Online Protection (EOP), которая входит в состав клиентской службы Office 365 и запускает мастер гибридной конфигурации в лесу Active Directory. Кроме того, в каждом лесу Active Directory, настроенном для гибридного развертывания, должен быть по крайней мере один сервер Exchange с установленной ролью сервера почтовых ящиков. Сервер почтовых ящиков Exchange 2010 или Exchange 2013 — это конечная точка безопасного транспорта исходящей почты, отправляемой в службу EOP и организацию Exchange Online.

    В Exchange 2016 и более поздних версиях роль сервера почтовых ящиков обрабатывает весь безопасный транспорт входящей и исходящей почты между локальной организацией и Exchange Online.

  • Планирование пространств имен. У каждого леса, в котором устанавливается Exchange, должно быть собственное уникальное пространство имен, которое можно обнаружить извне. Запуская мастер гибридной конфигурации в лесу, вы укажете в нем уникальное пространство имен.

  • Синхронизация Active Directory. Для всех гибридных развертываний требуется синхронизация Active Directory с Office 365. Если в вашей организации уже настроена синхронизация Active Directory между локальной организацией с несколькими лесами и Office 365 с использованием диспетчера удостоверений Forefront Identity Manager, вы можете использовать Azure Active Directory Connect.

  • Единый вход — необязательное условие для гибридного развертывания с одиночными лесами Active Directory, но администраторы могут настроить сервер единого входа (один, если между локальными лесами настроено двустороннее отношение доверия, или по одному в каждом лесу). Используйте службы федерации Active Directory или синхронизацию паролей, чтобы у пользователей не возникало проблем с проверкой подлинности.

    Дополнительные сведения см. в разделе Единый вход в гибридных развертываниях.

Полный список необходимых условий для гибридного развертывания см. в разделе Предварительные условия для гибридного развертывания.

Рассмотрим следующий сценарий. В нем приведен пример топологии, представляющий обзор типового развертывания Exchange 2013. Компания Contoso, Ltd. является организацией с несколькими доменами и двумя лесами Active Directory. Лес А содержит домен contoso.com, а лес Б — домен sale.contoso.com. В каждом лесу домена содержатся контроллеры домена, один сервер Exchange 2013 с установленной ролью клиентского доступа и один сервер Exchange 2013 с установленной ролью сервера почтовых ящиков. Удаленные пользователи Contoso используют приложение Outlook Web App, чтобы подключиться к Exchange 2013 через Интернет для проверки почты и работы с календарями Outlook.

До гибридного развертывания с несколькими лесами

Предположим, что вы являетесь сетевым администратором Contoso и заинтересованы в настройке гибридного развертывания. Вы развертываете и настраиваете необходимый сервер синхронизации Active Directory в лесу А, а затем принимаете решение развернуть сервер служб федерации Active Directory, чтобы уменьшить количество запросов учетных данных, получаемых пользователями и администраторами Contoso в процессе доступа к службам Office 365 в лесу А. После выполнения необходимых условий для гибридного развертывания и использования мастера гибридной конфигурации для выбора параметров развертывания ваша новая топология приобретает следующую конфигурацию:

  • Пользователи будут указывать существующие сетевые учетные данные для входа в локальную организацию и организацию Exchange Online ("единый вход").

  • Для почтовых ящиков пользователей, расположенных в локальной организации и организации Exchange Online, будут использоваться несколько доменов адресов электронной почты. Например, почтовые ящики, расположенные в локальном лесу А, и некоторые почтовые ящики, расположенные в организации Exchange Online, для своих адресов электронной почты будут использовать домен @contoso.com, а почтовые ящики в лесу Б и некоторые почтовые ящики, расположенные в организации Exchange Online, — домен @sales.contoso.com.

  • Всю почту в Интернет доставляет локальная организация. Управление транспортом всех сообщений осуществляется локальной организацией, которая выступает в качестве ретранслятора для организации Exchange Online ("централизованный почтовый транспорт").

  • Пользователи локальной организации и организации Exchange Online могут обмениваться друг с другом сведениями о доступности. Связи организации, настроенные для обеих организаций, также предоставляют возможность отслеживания сообщений между организациями, включения подсказок и поиска сообщений.

  • Локальные пользователи и пользователи Exchange Online используют один и тот же URL-адрес для подключения к своим почтовым ящикам через Интернет.

После гибридного развертывания с несколькими лесами

Если сравнить существующую конфигурацию организации Contoso с конфигурацией гибридного развертывания, можно увидеть, что при настройке гибридного развертывания были добавлены серверы и службы, поддерживающие дополнительные функции и возможности подключения между локальной организацией и организацией Exchange Online. Далее приводится обзор изменений исходной локальной организации Exchange, которые были выполнены в результате развертывания гибридного сценария.

 

Конфигурация До гибридного развертывания После гибридного развертывания

Расположение почтового ящика

Только локальные почтовые ящики.

Локальные почтовые ящики и почтовые ящики в Exchange Online.

Транспортировка сообщений

Локальный сервер клиентского доступа обрабатывает все запросы маршрутизации входящих и исходящих сообщений.

Локальный сервер клиентского доступа обеспечивает внутреннюю маршрутизацию сообщений между локальной организацией и организацией Exchange Online.

Outlook Web App

Локальный сервер клиентского доступа принимает все запросы Outlook Web App и отображает данные почтового ящика.

Локальный сервер клиентского доступа перенаправляет запросы Outlook Web App на локальный сервер почтовых ящиков Exchange 2013 или предоставляет ссылку для входа в организацию Exchange Online.

Единый глобальный список адресов для обеих организаций

Не применимо; только для отдельных организаций.

Локальный сервер синхронизации Active Directory реплицирует сведения Active Directory для объектов с включенной поддержкой почты в организацию Exchange Online.

В обеих организациях используется компонент единого входа

Не применимо; только для отдельных организаций.

Локальный сервер служб федерации Active Directory поддерживает использование единого входа с указанием учетных данных для почтовых ящиков, расположенных в локальной организации или в организации Office 365.

Установленная связь организации и доверие федерации с системой проверки подлинности Azure AD

Вы можете настроить отношение доверия с системой проверки подлинности Azure AD и связи организаций с другими федеративными организациями Exchange.

Необходимо отношение доверия с системой проверки подлинности Azure AD. Связь организации устанавливается между локальной организацией и организацией Exchange Online.

Обмен сведениями о доступности

Обмен сведениями о доступности только между локальными пользователями.

Обмен сведениями о доступности между пользователями локальной организации и организации Exchange Online.

Чтобы настроить гибридное развертывание в организации с несколькими лесами, необходимо выполнить следующие обязательные действия:

  1. Убедитесь, что удовлетворены все требования к гибридному развертыванию. Ознакомьтесь с предварительными условиями, перечисленными ранее в этом разделе, а также в разделе Предварительные условия для гибридного развертывания. Как правило, сервер синхронизации Active Directory необходимо установить только для одного леса. Сервер со средством Azure Active Directory Connect (Azure AD Connect) и службами федерации Active Directory (AD FS) необходимо установить в каждом лесу, чтобы включить единый вход, если между лесами не настроено двустороннее отношение доверия.

  2. Получите сертификат стороннего центра сертификации для каждого леса Active Directory, удовлетворяющего требованиям, перечисленным выше в этом разделе.

  3. Установите сертификат на все серверы клиентского доступа Exchange 2013 и на все серверы почтовых ящиков или серверы почтовых ящиков Exchange 2016 в каждом лесу.

  4. Выполните действия, описанные в разделе Создание гибридного развертывания с помощью мастера гибридной конфигурации, в основном лесу.

    ВажноВажно!
    Обязательно выберите сертификат, предназначенный для основного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.
  5. Выполните действия, описанные в разделе Создание гибридного развертывания с помощью мастера гибридной конфигурации, в дополнительном лесу.

    ВажноВажно!
    Обязательно выберите сертификат, предназначенный для дополнительного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.
 
Показ: