Гибридные развертывания в нескольких лесах Active Directory
**Применимо к:**Exchange Online, Exchange Server, Exchange Server 2013
**Последнее изменение раздела:**2016-12-09
Для организаций с несколькими локальными лесами Active Directory и одним клиентом Office 365 поддерживаются гибридные развертывания Exchange 2010, Exchange 2013 и более поздних версий. Для описания возможностей гибридных развертываний организации с несколькими лесами определяются как организации с серверами Exchange, развернутыми в нескольких лесах Active Directory. Организации, использующие лес ресурсов для учетных записей пользователей, но содержащие все серверы Exchange в одном лесу, не являются организациями с несколькими лесами в сценариях гибридного развертывания. В процессе планирования и настройки гибридного развертывания такие типы организаций должны рассматриваться как организации с одним лесом.
Перенос общедоступных папок из локальной среды в Office 365 поддерживается только из одного леса Active Directory. Аналогично, доступ к общедоступным папкам в гибридном состоянии поддерживается, только когда локальные общедоступные папки размещаются в одном лесу Active Directory.
Важно!
Для гибридных развертываний требуется установка последнего накопительного пакета обновления для версии Exchange, установленной в вашей локальной организации. Если вам не удается установить последний накопительный пакет обновления, то выпуск, предшествующий последнему, также поддерживается. Более ранние накопительные пакеты обновления не поддерживаются. Дополнительные сведения см. в статье Предварительные условия для гибридного развертывания.
Дополнительные сведения о гибридных развертываниях см. в разделе Гибридные развертывания Exchange Server.
Необходимые условия для гибридных развертываний с несколькими лесами
Необходимые условия для гибридных развертываний с несколькими лесами практически не отличаются от условий для гибридных развертываний в организации с одним лесом. Исключение составляют такие моменты:
Автообнаружение. Каждый лес Exchange должен заслуживать доверие по крайней мере одного пространства имен SMTP и соответствующего пространства имен автообнаружения. Если в нескольких лесах Exchange имеются общие домены, конечные точки как маршрутизации, так и обнаружения должны быть правильно настроены для надлежащего взаимодействия лесов Exchange, прежде чем будет выполнена настройка гибридного развертывания с несколькими лесами. В службе Office 365 должна быть обеспечена возможность отправки запросов в службу автообнаружения в каждом лесу Exchange.
Сертификаты. Для всех гибридных развертываний требуется цифровой сертификат, подписанный доверенным сторонним центром сертификации. В гибридном развертывании с несколькими лесами нельзя использовать один цифровой сертификат для нескольких лесов Active Directory. Каждый лес должен иметь специальный сертификат центра сертификации, чтобы обеспечить надлежащую работу безопасного транспорта почты в гибридном развертывании. Сертификаты, используемые для обеспечения возможностей гибридного развертывания в каждом лесу организации, должны отличаться по крайней мере следующими свойствами:
Общее имя. Общее имя цифрового сертификата является частью субъекта сертификата. Оно должно соответствовать проверяемому узлу и обычно является внешним именем узла на сервере клиентского доступа в лесу Active Directory. Например, mail.contoso.com. Рекомендуется рассматривать общее имя как отличительный признак сертификатов Active Directory, используемых в гибридных развертываниях с несколькими лесами.
Издатель. Сторонний центр сертификации, проверивший информацию об организации и выдавший сертификат. Например, VeriSign или Go Daddy. Например, один лес может иметь сертификат, выданный VeriSign, а другой — сертификат, выданный Go Daddy.
Важно!
Серверы почтовых ящиков и клиентского доступа (а также пограничные транспортные серверы, если они развернуты) в каждом лесу Active Directory должны использовать для транспорта почты в гибридном развертывании один и тот же сертификат, выданный одним центром сертификации и имеющий одинаковое общее имя.
Серверы Exchange. В каждом лесу Active Directory, настроенном для гибридного развертывания, должен быть установлен по крайней мере один сервер Exchange 2010 или Exchange 2013 с установленной ролью сервера клиентского доступа или один сервер Exchange 2016 или более поздней версии с ролью сервера почтовых ящиков.
Сервер клиентского доступа Exchange 2010 или Exchange 2013 — это конечная точка безопасного транспорта входящей почты, поступающей в службу Exchange Online Protection (EOP), которая входит в состав клиентской службы Office 365 и запускает мастер гибридной конфигурации в лесу Active Directory. Кроме того, в каждом лесу Active Directory, настроенном для гибридного развертывания, должен быть по крайней мере один сервер Exchange с установленной ролью сервера почтовых ящиков. Сервер почтовых ящиков Exchange 2010 или Exchange 2013 — это конечная точка безопасного транспорта исходящей почты, отправляемой в службу EOP и организацию Exchange Online.
В Exchange 2016 и более поздних версиях роль сервера почтовых ящиков обрабатывает весь безопасный транспорт входящей и исходящей почты между локальной организацией и Exchange Online.
Планирование пространств имен. У каждого леса, в котором устанавливается Exchange, должно быть собственное уникальное пространство имен, которое можно обнаружить извне. Запуская мастер гибридной конфигурации в лесу, вы укажете в нем уникальное пространство имен.
Синхронизация Active Directory. Для всех гибридных развертываний требуется синхронизация Active Directory с Office 365. Если в вашей организации уже настроена синхронизация Active Directory между локальной организацией с несколькими лесами и Office 365 с использованием диспетчера удостоверений Forefront Identity Manager, вы можете использовать Azure Active Directory Connect.
Единый вход — необязательное условие для гибридного развертывания с одиночными лесами Active Directory, но администраторы могут настроить сервер единого входа (один, если между локальными лесами настроено двустороннее отношение доверия, или по одному в каждом лесу). Используйте службы федерации Active Directory или синхронизацию паролей, чтобы у пользователей не возникало проблем с проверкой подлинности.
Дополнительные сведения см. в разделе Единый вход в гибридных развертываниях.
Полный список необходимых условий для гибридного развертывания см. в разделе Предварительные условия для гибридного развертывания.
Сценарий гибридного развертывания с несколькими лесами
Рассмотрим следующий сценарий. В нем приведен пример топологии, представляющий обзор типового развертывания Exchange 2013. Компания Contoso, Ltd. является организацией с несколькими доменами и двумя лесами Active Directory. Лес А содержит домен contoso.com, а лес Б — домен sale.contoso.com. В каждом лесу домена содержатся контроллеры домена, один сервер Exchange 2013 с установленной ролью клиентского доступа и один сервер Exchange 2013 с установленной ролью сервера почтовых ящиков. Удаленные пользователи Contoso используют приложение Outlook Web App, чтобы подключиться к Exchange 2013 через Интернет для проверки почты и работы с календарями Outlook.
.png "До гибридного развертывания с несколькими лесами")
Предположим, что вы являетесь сетевым администратором Contoso и заинтересованы в настройке гибридного развертывания. Вы развертываете и настраиваете необходимый сервер синхронизации Active Directory в лесу А, а затем принимаете решение развернуть сервер служб федерации Active Directory, чтобы уменьшить количество запросов учетных данных, получаемых пользователями и администраторами Contoso в процессе доступа к службам Office 365 в лесу А. После выполнения необходимых условий для гибридного развертывания и использования мастера гибридной конфигурации для выбора параметров развертывания ваша новая топология приобретает следующую конфигурацию:
Пользователи будут указывать существующие сетевые учетные данные для входа в локальную организацию и организацию Exchange Online ("единый вход").
Для почтовых ящиков пользователей, расположенных в локальной организации и организации Exchange Online, будут использоваться несколько доменов адресов электронной почты. Например, почтовые ящики, расположенные в локальном лесу А, и некоторые почтовые ящики, расположенные в организации Exchange Online, для своих адресов электронной почты будут использовать домен @contoso.com, а почтовые ящики в лесу Б и некоторые почтовые ящики, расположенные в организации Exchange Online, — домен @sales.contoso.com.
Всю почту в Интернет доставляет локальная организация. Управление транспортом всех сообщений осуществляется локальной организацией, которая выступает в качестве ретранслятора для организации Exchange Online ("централизованный почтовый транспорт").
Пользователи локальной организации и организации Exchange Online могут обмениваться друг с другом сведениями о доступности. Связи организации, настроенные для обеих организаций, также предоставляют возможность отслеживания сообщений между организациями, включения подсказок и поиска сообщений.
Локальные пользователи и пользователи Exchange Online используют один и тот же URL-адрес для подключения к своим почтовым ящикам через Интернет.
.png "После гибридного развертывания с несколькими лесами")
Если сравнить существующую конфигурацию организации Contoso с конфигурацией гибридного развертывания, можно увидеть, что при настройке гибридного развертывания были добавлены серверы и службы, поддерживающие дополнительные функции и возможности подключения между локальной организацией и организацией Exchange Online. Далее приводится обзор изменений исходной локальной организации Exchange, которые были выполнены в результате развертывания гибридного сценария.
| Конфигурация | До гибридного развертывания | После гибридного развертывания |
|---|---|---|
Расположение почтового ящика |
Только локальные почтовые ящики. |
Локальные почтовые ящики и почтовые ящики в Exchange Online. |
Транспортировка сообщений |
Локальный сервер клиентского доступа обрабатывает все запросы маршрутизации входящих и исходящих сообщений. |
Локальный сервер клиентского доступа обеспечивает внутреннюю маршрутизацию сообщений между локальной организацией и организацией Exchange Online. |
Outlook Web App |
Локальный сервер клиентского доступа принимает все запросы Outlook Web App и отображает данные почтового ящика. |
Локальный сервер клиентского доступа перенаправляет запросы Outlook Web App на локальный сервер почтовых ящиков Exchange 2013 или предоставляет ссылку для входа в организацию Exchange Online. |
Единый глобальный список адресов для обеих организаций |
Не применимо; только для отдельных организаций. |
Локальный сервер синхронизации Active Directory реплицирует сведения Active Directory для объектов с включенной поддержкой почты в организацию Exchange Online. |
В обеих организациях используется компонент единого входа |
Не применимо; только для отдельных организаций. |
Локальный сервер служб федерации Active Directory поддерживает использование единого входа с указанием учетных данных для почтовых ящиков, расположенных в локальной организации или в организации Office 365. |
Установленная связь организации и доверие федерации с системой проверки подлинности Azure AD |
Вы можете настроить отношение доверия с системой проверки подлинности Azure AD и связи организаций с другими федеративными организациями Exchange. |
Необходимо отношение доверия с системой проверки подлинности Azure AD. Связь организации устанавливается между локальной организацией и организацией Exchange Online. |
Обмен сведениями о доступности |
Обмен сведениями о доступности только между локальными пользователями. |
Обмен сведениями о доступности между пользователями локальной организации и организации Exchange Online. |
Настройка гибридных развертываний в организациях с несколькими лесами
Чтобы настроить гибридное развертывание в организации с несколькими лесами, необходимо выполнить следующие обязательные действия:
Убедитесь, что удовлетворены все требования к гибридному развертыванию. Ознакомьтесь с предварительными условиями, перечисленными ранее в этом разделе, а также в разделе Предварительные условия для гибридного развертывания. Как правило, сервер синхронизации Active Directory необходимо установить только для одного леса. Сервер со средством Azure Active Directory Connect (Azure AD Connect) и службами федерации Active Directory (AD FS) необходимо установить в каждом лесу, чтобы включить единый вход, если между лесами не настроено двустороннее отношение доверия.
Получите сертификат стороннего центра сертификации для каждого леса Active Directory, удовлетворяющего требованиям, перечисленным выше в этом разделе.
Установите сертификат на все серверы клиентского доступа Exchange 2013 и на все серверы почтовых ящиков или серверы почтовых ящиков Exchange 2016 в каждом лесу.
Выполните действия, описанные в разделе Создание гибридного развертывания с помощью мастера гибридной конфигурации, в основном лесу.
Важно!
Обязательно выберите сертификат, предназначенный для основного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.
Выполните действия, описанные в разделе Создание гибридного развертывания с помощью мастера гибридной конфигурации, в дополнительном лесу.
Важно!
Обязательно выберите сертификат, предназначенный для дополнительного леса, в окне мастера гибридной конфигурации, а также выберите основной домен SMTP в лесу.