Перед началом работы

 

Развертывание гибридного сценария в организации дает множество преимуществ. Тем не менее для наиболее эффективного использования этих преимуществ требуется тщательное планирование. Прежде чем продолжать работу с помощником по развертыванию, рекомендуется внимательно ознакомиться с этим разделом, чтобы получить полное представление о последствиях развертывания гибридного сценария для существующей сети и организации Exchange.

ВажноВажно!
Чтобы успешно настроить организацию для гибридного развертывания, необходимо зарегистрироваться в Office 365, используя поддерживаемый план подписки. Инструкции по регистрации в Office 365 приведены в контрольном списке ниже.

В помощнике по развертыванию гибридным развертыванием называется подключение организации Exchange Online Office 365 к имеющейся организации Exchange с помощью мастера гибридной конфигурации. После настройки гибридного развертывания включаются следующие функции:

Защищенная маршрутизация почты между организациями.

Маршрутизация с общим доменным пространством имен. Например, локальная организация и организация Exchange Online используют домен SMTP @contoso.com.

Единый глобальный список адресов (GAL), или "общая адресная книга", где представлены полные сведения о получателях.

Обмен сведениями о доступности из календаря между организациями.

Централизованное управление исходящим и входящим потоком почты. Можно настроить маршрутизацию всех входящих и исходящих сообщений Exchange Online через локальную организацию Exchange.

Один URL-адрес Outlook в Интернете для обеих организаций.

Автоматическое перенаправление профилей Exchange ActiveSync при перемещении почтовых ящиков в Office 365 (в зависимости от поддерживаемых устройств).

Возможность перемещать локальные почтовые ящики в организацию Exchange Online и наоборот.

Централизованное управление почтовыми ящиками с помощью локального центра администрирования Exchange (EAC).

Отслеживание сообщений, внутренние подсказки и ответы "Нет на месте", а также поиск по нескольким почтовым ящикам между организациями.

Архивация сообщений в облаке для локальных почтовых ящиков Exchange. Архивация на базе Exchange Online может использоваться в гибридном развертывании. Дополнительные сведения об архивации на базе Exchange Online см. в разделе Дополнительные службы Microsoft Office 365.

Гибридное развертывание предполагает использование различных служб и компонентов.

  • Серверы Exchange 2016   В локальной организации Exchange должна быть установлена роль сервера почтовых ящиков Exchange 2016. На всех локальных серверах Exchange 2016 должен быть установлен последний выпуск Exchange 2016 или выпуск, непосредственно предшествующий текущему, для поддержки гибридных функций Office 365. Например, если текущим выпуском Exchange 2016 является накопительный пакет обновления 10 (CU10), то поддерживаются только этот выпуск и накопительный пакет обновления 9 (CU9).

  • Office 365   Гибридные развертывания поддерживаются в планах Office 365 корпоративный, Office 365 для государственных организаций и Office 365 академический. Планы Office 365 бизнес и Office 365 для дома не поддерживают гибридные развертывания.

  • Мастер настройки гибридной конфигурацииExchange 2016 включает мастер настройки гибридной конфигурации, который упрощает настройку гибридного развертывания для локальной организации Exchange и организации Exchange Online.

    Дополнительные сведения см. в разделе Мастер гибридной конфигурации

  • {#Text:E16ADFSAuth#}

    Система проверки подлинности Azure AD   Система проверки подлинности Azure Active Directory (AD) — это бесплатная облачная служба, которая выступает в качестве брокера доверия между локальной организацией Exchange 2016 и организацией Exchange Online. У локальных организаций, настраивающих гибридные развертывания, должны быть установлены отношения доверия федерации с системой проверки подлинности Azure AD. Доверие федерации создается мастером гибридной конфигурации во время настройки гибридного развертывания. Доверие федерации с системой проверки подлинности Azure AD для клиента Office 365 автоматически настраивается при активации учетной записи службы Office 365.

    Дополнительные сведения см. в статье, посвященной системе проверки подлинности Azure AD.

  • Синхронизация Azure Active Directory. Синхронизация Azure AD с помощью Azure AD Connect реплицирует локальные данные Active Directory объектов, поддерживающих почту, в организацию Office 365 для поддержки единого глобального списка адресов (GAL) и проверки подлинности пользователей. Организациям, которые настраивают гибридное развертывание, необходимо развернуть Azure AD Connect на отдельном локальном сервере для синхронизации локальной службы Active Directory с Office 365.

    Дополнительные сведения см. в обзоре Azure AD Connect

Обратите внимание на следующий сценарий. В нем приведен пример топологии типичного развертывания Exchange 2016. Contoso Ltd. — это организация с одним лесом, одним доменом, двумя контроллерами домена и одним установленным сервером Exchange 2016. Удаленные пользователи Contoso используют приложение Outlook в Интернете для подключения к Exchange 2016 через Интернет для проверки почты и работы с календарями Outlook.

Локальное развертывание Exchange перед настройкой гибридного развертывания с Office 365

Предположим, что вы сетевой администратор Contoso и заинтересованы в настройке гибридного развертывания. Вы развернули и настроили необходимый сервер Azure AD Connect, а также решили использовать функцию синхронизации паролей Azure AD Connect, чтобы пользователи могли использовать одни и те же учетные данные в учетной записи локальной сети и в учетной записи Office 365. После выполнения необходимых действий для гибридного развертывания и выбора параметров гибридного развертывания с помощью мастера гибридной конфигурации новая топология будет иметь следующую конфигурацию:

  • Пользователи будут использовать одни и те же имя пользователя и пароль для входа в локальную организацию и организацию Exchange Online ("единый вход").

  • Для почтовых ящиков пользователей, расположенных в локальной организации и организации Exchange Online, будет использоваться один и тот же домен адресов электронной почты. Например, для почтовых ящиков, расположенных как в локальной организации, так и в организации Exchange Online, в адресах электронной почты пользователей будет указан домен @contoso.com.

  • Локальная организация доставляет всю исходящую почту в Интернет. Управление транспортировкой всех сообщений осуществляется локальной организацией, которая выступает в качестве ретранслятора для организации Exchange Online ("централизованная транспортировка почты").

  • Пользователи локальной организации и организации Exchange Online могут обмениваться друг с другом сведениями о доступности. Связи организации, настроенные для обеих организаций, также предоставляют возможность отслеживания сообщений между организациями, включения подсказок и поиска сообщений.

  • Локальные пользователи и пользователи Exchange Online используют один и тот же URL-адрес для подключения к своим почтовым ящикам через Интернет.

Локальное развертывание Exchange после настройки гибридного развертывания с Office 365

Если сравнить существующую конфигурацию организации Contoso с конфигурацией гибридного развертывания, можно увидеть, что при настройке гибридного развертывания были добавлены серверы и службы, поддерживающие дополнительные функции и возможности подключения между локальной организацией и организацией Exchange Online. Далее приводится обзор изменений исходной локальной организации Exchange, которые были выполнены в результате развертывания гибридного сценария.

 

Конфигурация До гибридного развертывания После гибридного развертывания

Расположение почтового ящика

Только локальные почтовые ящики.

Локальные почтовые ящики и почтовые ящики в Office 365.

Транспортировка сообщений

Локальные серверы почтовых ящиков обрабатывают все запросы маршрутизации входящих и исходящих сообщений.

Локальные серверы почтовых ящиков обеспечивают внутреннюю маршрутизацию сообщений между локальной организацией и организацией Office 365.

Outlook в Интернете

Локальные серверы почтовых ящиков принимают все запросы Outlook в Интернете и отображают сведения о почтовых ящиках.

Локальные серверы почтовых ящиков перенаправляют запросы Outlook в Интернете на локальные серверы почтовых ящиков Exchange 2016 или предоставляют ссылку для входа в организацию Office 365.

Единый глобальный список адресов для обеих организаций

Не применимо; только для отдельных организаций.

Локальный сервер синхронизации Active Directory реплицирует данные Active Directory объектов, поддерживающих почту, в Office 365.

В обеих организациях используется компонент единого входа

Не применимо; только для отдельных организаций.

Для почтовых ящиков в локальной службе Active Directory и Office 365 используются одни и те же имя пользователя и пароль.

Установленная связь организации и доверие федерации с системой проверки подлинности Azure AD

Вы можете настроить отношение доверия с системой проверки подлинности Azure AD и связи организаций с другими федеративными организациями Exchange.

Требуется отношение доверия с системой проверки подлинности Azure AD. Установлены связи между локальной организацией и Office 365.

Обмен сведениями о доступности

Обмен сведениями о доступности только между локальными пользователями.

Обмен сведениями о доступности между пользователями локальной организации и Office 365.

После краткого знакомства с гибридным развертыванием можно более подробно рассмотреть некоторые важные вопросы. Развертывание гибридного сценария может затронуть разные аспекты функционирования текущей сети и организации Exchange.

Для настройки гибридного развертывания требуется синхронизация Active Directory между локальной организацией и организацией Office 365, которую каждые 30 минут выполняет сервер с Azure Active Directory Connect. Синхронизация службы каталогов позволяет получателям в обеих организациях видеть друг друга в глобальном списке адресов. Кроме того, синхронизируются имена и пароли пользователей, поэтому для входа в локальную организацию и Office 365 можно использовать одни и те же учетные данные. В приведенном ниже контрольном списке показано, как настроить Azure AD Connect.

{#Text:E16ADFSNote#}Несмотря на то что вы настроили Azure AD Connect с AD FS, имена и пароли локальных пользователей будут синхронизироваться с Office 365 по умолчанию. Тем не менее основным способом проверки подлинности будет проверка с помощью локальной службы Active Directory через AD FS. Если по какой-либо причине AD FS не удается подключиться к локальной службе Active Directory, клиенты попытаются выполнить проверку подлинности с использованием имен и паролей, синхронизированных с Office 365.

По умолчанию количество объектов (пользователей, контактов, поддерживающих почту, и групп) для всех клиентов Azure Active Directory и Office 365 ограничено до 50 000. Это ограничение определяет количество объектов, которые вы можете создать в организации Office 365. После проверки первого домена это ограничение автоматически увеличивается до 300 000 объектов. Если домен проверен и необходимо синхронизировать более 300 000 объектов или у вас нет доменов для проверки и необходимо синхронизировать более 50 000 объектов, отправьте запрос на увеличение квоты объектов в службу поддержки Azure Active Directory.

{#Text:E16ADFSWebProxy#} Помимо сервера с Azure AD Connect, также нужно развернуть прокси-сервер веб-приложений. Этот сервер необходимо разместить в сети периметра, где он будет выполнять роль посредника между внутренним сервером Azure AD Connect и Интернетом. Прокси-сервер веб-приложений должен принимать подключения от клиентов и серверов в Интернете через TCP-порт 443.

Управление гибридным развертыванием в Exchange 2016 осуществляется в единой консоли управления, в которой можно управлять как локальной организацией, так и организацией Exchange Online. В Центре администрирования Exchange (EAC), который заменил консоль управления Exchange и панель управления Exchange, можно подключать и настраивать функции для обеих организаций. При первом запуске мастера гибридной конфигурации вам будет предложено подключиться к организации Exchange Online. Для подключения EAC к организации Exchange Online нужно использовать учетную запись Office 365, которая является членом группы ролей управления организацией.

Цифровые сертификаты SSL играют важную роль в настройке гибридного развертывания. Они обеспечивают безопасную передачу данных между локальным гибридным сервером и организацией Exchange Online. Сертификаты необходимы для настройки служб нескольких типов, например AD FS (если она развертывается), Outlook в Интернете и Exchange ActiveSync, защищенного потока обработки почты и т. д. Возможно, вам потребуется приобрести дополнительные сертификаты, которые включают дополнительные домены, в доверенном стороннем центре сертификации (ЦС).

Дополнительные сведения см. в разделе Требования к сертификатам для гибридных развертываний

Сетевое подключение к Интернету непосредственно влияет на эффективность передачи данных между локальной организацией и организацией Office 365. Это особенно заметно при перемещении почтовых ящиков с локального сервера Exchange 2016 в организацию Office 365. Продолжительность перемещения почтовых ящиков определяется доступной пропускной способностью сети, а также количеством одновременно перемещаемых почтовых ящиков и их размерами. Кроме того, некоторые службы Office 365, например SharePoint Online и Skype для бизнеса Online, также могут влиять на пропускную способность сети для служб обмена сообщениями.

Прежде чем перемещать почтовые ящики в Office 365, необходимо выполнить указанные ниже действия.

  • Определить средний размер почтовых ящиков, перемещаемых в Office 365.

  • Определить среднюю пропускную способность и скорость подключения между локальной организацией и Интернетом.

  • Определить ожидаемую среднюю скорость передачи данных и соответствующим образом спланировать процесс перемещения почтовых ящиков.

Дополнительные сведения см. в разделе Сетевые подключения

ВажноВажно!
Не размещайте между локальными серверами Exchange и Office 365 серверы, службы или устройства, которые обрабатывают или изменяют SMTP-трафик. Безопасность потока обработки почты между локальной организацией Exchange и Office 365 зависит от информации, которая содержится в отправляемых сообщениях. Поддерживаются брандмауэры, пропускающие SMTP-трафик через TCP-порт 25 без изменений. Когда сервер, служба или устройство обрабатывает сообщение, отправленное из организации Exchange в Office 365 или наоборот, эта информация удаляется. В этом случае сообщение больше не считается внутренним, и на него распространяются правила фильтрации нежелательной почты, транспорта и журнала, а также другие политики.

Дополнительные сведения см. в статье Параметры транспорта при гибридных развертываниях Exchange.

Единая система обмена сообщениями (UM) поддерживается в гибридном развертывании между локальной организацией и организацией Office 365. Локальное приложение телефонии должно иметь возможность подключаться к Office 365. Для этого может потребоваться приобрести дополнительное оборудование и программное обеспечение.

Прежде чем перемещать почтовые ящики, настроенные для единой системы обмена сообщениями, из локальной организации в Office 365, необходимо настроить единую систему обмена сообщениями в гибридном развертывании. Если переместить их до настройки единой системы обмена сообщениями в гибридном развертывании, у них не будет доступа к ее функциям.

Дополнительные сведения см. в разделе Планировании совместной работы единой системы обмена сообщениями

Управление правами на доступ к данным (IRM) позволяет пользователям применять к отправляемым сообщениям шаблоны служб Active Directory Rights Management (AD RMS). Шаблоны AD RMS позволяют предотвратить утечку информации за счет настройки параметров доступа к защищенным правами сообщениям и работы с ними.

Для управления правами на доступ к данным в гибридном развертывании требуется планирование, ручная настройка конфигурации организации Office 365 и понимание того, как клиенты используют серверы AD RMS в зависимости от того, где расположен почтовый ящик — в локальной организации или организации Exchange Online.

Дополнительные сведения см. в разделе Управление правами доступа к данным при гибридных развертываниях Exchange

В гибридном развертывании поддерживаются мобильные устройства. Если Exchange ActiveSync уже включен на существующих серверах, они продолжат перенаправлять запросы с мобильных устройств в почтовые ящики на локальном сервере почтовых ящиков. На большинстве мобильных устройств, подключающихся к существующим почтовым ящикам, перемещенным из локальной организации в Office 365, профили Exchange ActiveSync автоматически обновятся для подключения к Office 365. Все мобильные устройства, поддерживающие службу Exchange ActiveSync, должны быть совместимы с гибридным развертыванием.

Дополнительные сведения см. в разделе Мобильные телефоны

В гибридном развертывании рекомендуем использовать клиенты Outlook 2016 или Outlook 2013. Клиенты более ранних версий, чем Outlook 2010, не поддерживаются в гибридных развертываниях и в Office 365.

Для создания почтовых ящиков в организации Office 365 или их перемещения в нее требуется регистрация в Office 365 для предприятий и наличие необходимого числа лицензий. После регистрации в Office 365 вы получите определенное количество лицензий, которые можно назначить новым почтовым ящикам или почтовым ящикам, перемещенным из локальной организации. Каждый почтовый ящик в Office 365 должен иметь лицензию.

В Office 365 предусмотрена автоматическая защита почтовых ящиков от вирусов и нежелательной почты с помощью службы Exchange Online Protection (EOP). Если вы решите направить всю входящую интернет-почту через службу EOP, может потребоваться приобрести дополнительные лицензии EOP для локальных пользователей. Рекомендуем тщательно оценить, соответствует ли защита EOP в Office 365 потребностям вашей локальной организации. При наличии защиты в локальной организации, может потребоваться обновить или настроить локальные решения для защиты от вирусов и нежелательной почты в организации для обеспечения максимальной безопасности.

Дополнительные сведения см. в разделе Защита от нежелательной почты и вредоносных программ

Общедоступные папки поддерживаются в Office 365, и в эту службу можно переносить локальные общедоступные папки. Как локальные пользователи, так и пользователи Office 365 могут получать доступ к общедоступным папкам в любой из организаций с помощью Outlook в Интернете, Outlook 2016, Outlook 2013 и Outlook 2010 с пакетом обновления 2 (SP2) или более поздней версии. Существующая конфигурация локальных общедоступных папок и доступ к локальным почтовым ящикам не изменяются при настройке гибридного развертывания.

Дополнительные сведения см. в разделе Общедоступные папки

Сведения о сочетаниях клавиш, которые могут применяться для процедур в этом контрольном списке, см. в статье Сочетания клавиш в Центре администрирования Exchange.

 
Показ: