具有多个 Active Directory 林的混合部署

**适用于：**Exchange Online, Exchange Server, Exchange Server 2013

**上一次修改主题：**2016-12-09

Exchange 2010、Exchange 2013 和更高版本的混合部署支持用于具有多个本地 Active Directory 林和单个 Office 365 租户的组织。对于混合部署功能和注意事项，多林组织被定义为将 Exchange 服务器部署在多个 Active Directory 林中的组织。对用户帐户使用资源林但在单个林中维护所有 Exchange 服务器的组织，在混合部署方案中不会被分类为多林组织。这些类型的组织在规划和配置混合部署时应将其自身视为单林组织。

仅支持通过单个 Active Directory 林将公用文件夹从内部部署环境迁移至 Office 365。同样，仅当内部部署公用文件夹托管在单个 Active Directory 林中时，才支持访问混合状态的公用文件夹。

重要说明：
混合部署需要最新的累积更新，以便用于已安装在您本地组织中的 Exchange 版本。如果您无法安装最新的累积更新，则也支持前一版本。不支持更早的累积更新。有关详细信息，请参阅混合部署先决条件。

有关混合部署的更多信息，请参阅 Exchange Server 混合部署。

多林混合部署先决条件

多林混合部署先决条件与单林组织的混合部署先决条件几乎相同，除了以下例外情况：

• 自动发现   每个 Exchange 林必须对至少一个 SMTP 命名空间以及相应的自动发现命名空间具有权威性。如果多个 Exchange 林中存在共享域，则在配置多林混合部署之前，必须先在 Exchange 林之间配置邮件路由和自动发现终结点，并确保其正常工作。Office 365 服务必须能够查询每个 Exchange 林中的自动发现服务。

• 证书   所有混合部署都需要由受信任的第三方证书颁发机构 (CA) 颁发的数字证书。对于多林混合部署，单个数字证书不能用于多个 Active Directory 林。每个林都必须使用由专门的 CA 颁发的证书，以确保安全邮件传输能够在混合部署中正常工作。用于多林组织中每个林的混合部署功能的证书必须在以下至少一个属性方面存在不同：

  1. 公用名   数字证书的公用名 (CN) 是证书主题的一部分。该名称必须匹配正在进行身份验证的主机，并且通常是 Active Directory 林中的客户端访问服务器的外部主机名。例如，mail.contoso.com。我们建议使用 CN 作为在多林混合部署中使用的 Active Directory 证书之间的区别属性。

  2. 颁发者   验证组织信息并颁发证书的第三方 CA。例如，VeriSign 或 Go Daddy。例如，两个林将分别具有由 VeriSign 和 Go Daddy 颁发的证书。

  重要说明：
  安装在每个 Active Directory 林中、用于混合部署中的邮件传输的邮箱和客户端访问（以及边缘传输，如果部署了）服务器上的证书必须由同一 CA 颁发并具有相同公用名。

• Exchange 服务器   在为混合部署配置的每个 Active Directory 林中，必须安装至少一个具有客户端访问服务器角色的 Exchange 2010 或 Exchange 2013 服务器，或安装至少一个具有邮箱角色的 Exchange 2016 或更高版本的服务器。

  在 Exchange 2010 和 Exchange 2013 中，客户端访问服务器是包括在 Office 365 租户服务中的 Exchange Online Protection (EOP) 服务的入站安全邮件传输终结点，并使混合配置向导能够在 Active Directory 林中运行。此外，在为混合部署配置的每个 Active Directory 林中，必须安装至少一个具有邮箱服务器角色的 Exchange 服务器。Exchange 2010 和 Exchange 2013 邮箱服务器是发送到 EOP 服务和 Exchange Online 组织的邮件的出站安全邮件传输终结点。

  在 Exchange 2016 及更高版本中，邮箱服务器角色在您的本地组织和 Exchange Online 之间处理所有的入站和出站安全传输。

• 名称空间规划 在其中安装 Exchange 的每个林都需要有自己唯一可从外部检测到的命名空间。在每个林中运行混合配置向导时，请在其中为林指定唯一的命名空间。

• Active Directory 同步   所有混合部署均需要与 Office 365 进行 Active Directory 同步。如果贵公司已使用 Forefront Identity Manager 在多林内部部署组织和 Office 365 之间设置 Active Directory 同步，您可以使用 Azure Active Directory 连接。

• 单一登录   尽管这不是具有单个 Active Directory 林的混合部署的要求，但是管理员也可以选择在每个 Active Directory 林中配置 SSO 服务器；如果在内部部署林之间配置了双向林信任，则可以选择配置单个 SSO 服务器。使用 AD FS 或密码同步实现无缝的用户身份验证体验。

  有关详细信息，请参阅混合部署中的单一登录。

有关混合部署先决条件的完整列表，请参阅混合部署先决条件

多林混合部署方案

看一下下面的情况。这是一个拓扑示例，概述了典型的 Exchange 2013 部署。Contoso, Ltd. 是一个具有两个 Active Directory 林的多林、多域组织。林 A 包含“contoso.com”域，林 B 包含“sale.contoso.com”域。每个林都包含域控制器：一台安装了客户端访问角色的 Exchange 2013 服务器，一台安装了邮箱服务器角色的 Exchange 2013 服务器。远程 Contoso 用户使用 Outlook Web App 通过 Internet 连接到 Exchange 2013 以检查其邮箱和访问其 Outlook 日历。

假设您是 Contoso 的网络管理员，同时对配置混合部署感兴趣。您在林 A 中部署和配置所需的 Active Directory 同步服务器，同时还决定部署 Active Directory 联合身份验证服务 (AD FS) 服务器作为一个选项，以便最大程度地减少用于 Contoso 用户和管理员在林 A 中访问 Office 365 服务的帐户凭据的提示数量。完成混合部署先决条件，以及使用混合配置向导选择了混合部署的选项之后，新的拓扑具有以下配置：

• 用户将使用其现有的网络帐户凭据登录到本地组织和 Exchange Online 组织（“单一登录”）。

• 位于本地组织和 Exchange Online 组织中的用户邮箱将使用多个电子邮件地址域。例如，位于本地林 A 中的邮箱和某些位于 Exchange Online 组织中的邮箱将在用户电子邮件地址中使用 @contoso.com；林 B 中的邮箱和某些位于 Exchange Online 组织中的邮箱将使用 @sales.contoso.com。

• 所有邮件都将通过本地组织传递到 Internet。本地组织控制所有邮件传输，并充当 Exchange Online 组织的中继（“集中邮件传输”）。

• 内部部署组织用户和 Exchange Online 组织用户可以相互共享日历忙/闲信息。为这两个组织配置的组织关系还将启用跨内部部署邮件跟踪、邮件提示和邮件搜索。

• 内部部署用户和 Exchange Online 用户使用相同的 URL 通过 Internet 连接到其邮箱。

如果将 Contoso 的现有组织配置与混合部署配置进行比较，可以看到通过配置混合部署，添加了支持其他通信和功能的服务器和服务，这些通信和功能在内部部署组织和 Exchange Online 组织之间共享。下面概述了混合部署相对于初始内部部署 Exchange 组织所发生的变化。

在多林组织中配置混合部署

若要为多林组织配置混合部署，需要完成以下基本步骤：

1. 验证是否满足混合部署先决条件。请参阅本主题以及混合部署先决条件中列出的先决条件。通常情况下，只有一个林需要安装 Active Directory 同步服务器。如果在林之间未配置双向林信任，则必须在每个林中安装包含 Azure Active Directory Connect (Azure AD Connect) 和 Active Directory 联合身份验证服务 (AD FS) 的服务器以启用单一登录。

2. 为满足本主题之前列出的先决条件的每个 Active Directory 林获取第三方 CA 证书。

3. 在每个林中所有的 Exchange 2013 客户端访问服务器和邮箱服务器或 Exchange 2016 邮箱服务器上安装证书。

4. 针对主要林完成使用混合配置向导创建混合部署主题中概述的步骤。

   重要说明：
   确保选择在混合配置向导中为主要林指定的证书，并为该林选择主 SMTP 域。

5. 针对次要林完成使用混合配置向导创建混合部署主题中概述的步骤。

   重要说明：
   确保选择在混合配置向导中为次要林指定的证书，并为该林选择主 SMTP 域。