开始之前
在组织中配置混合部署可带来许多好处。但是,若要利用这些好处,需要首先做一些细致的规划。在使用部署助理执行任何进一步的操作之前,强烈要求您查看此整个主题,确保完全理解配置混合部署会对现有网络及 Exchange 组织产生的影响。
.gif "重要说明") 重要说明: |
|---|
| 若要成功配置混合部署的组织,您需要使用支持的订阅计划注册 Office 365。我们稍后将在检查表中提供有关注册 Office 365 的说明。 |
什么是混合部署?
在部署助理中,“混合部署”是指使用“混合配置”向导将您的 Office 365 Exchange Online 组织连接到您的现有本地 Exchange 组织的情形。在配置混合部署之后,将启用以下功能:
-
本地组织之间的安全邮件路由。
-
使用共享域命名空间的邮件路由。例如,内部部署与 Exchange Online 组织都使用 @contoso.com SMTP 域。
-
统一全局地址列表 (GAL),也称为“共享通讯簿”,显示收件人的所有详细信息。
-
组织之间的忙/闲日历信息共享。
-
集中控制入站和出站邮件流。可以将所有入站和出站 Exchange Online 邮件配置为通过内部部署 Exchange 组织路由。
-
一个 Web 上的 Outlook URL 用于两个组织。
-
邮箱移到 Office 365 时,自动进行 Exchange ActiveSync 配置文件重定向(取决于设备支持)。
-
能够将本地邮箱移至 Exchange Online 组织,反之亦然。
-
使用内部部署 Exchange 管理中心 (EAC) 集中管理邮箱。
-
邮件跟踪、内部邮件提醒和外出答复,以及组织之间多邮箱搜索。
-
内部部署 Exchange 邮箱基于云的邮件存档。Exchange Online Archiving 可以与混合部署一起使用。有关 Exchange Online 存档的详细信息,请参阅 Microsoft Office 365 其他服务。
混合部署组件
混合部署涉及多个不同的服务和组件:
Exchange 2016 服务器 您的本地 Exchange 组织中需要 Exchange 2016 邮箱服务器角色。所有本地 Exchange 2016 服务器都需要安装最新版本的 Exchange 2016,或当前版本的上一版本,以支持 Office 365 的混合功能。例如,如果当前版本的 Exchange 2016 是累积更新 10,仅该版本和累积更新 9 受支持。
Office 365 Office 365 企业版、政府版和学院版计划支持混合部署。Office 365 商业版和 Office 365 家庭版计划不支持混合部署。
混合配置向导Exchange 2016 包括了混合配置向导;该向导提供了一个精简的流程,可以在内部部署 Exchange 与 Exchange Online 组织之间配置混合部署。
可在以下位置了解详细信息: “混合配置”向导
{#Text:E16ADFSAuth#}
Azure AD 身份验证系统 Azure Active Directory (AD) 身份验证系统是基于云的免费服务,该服务可充当本地 Exchange 2016 组织与 Exchange Online 组织之间的信任代理。配置混合部署的本地组织必须具有与 Azure AD 身份验证系统之间的联合信任。该联合信任由混合配置向导创建,作为配置混合部署的一部分。Office 365 租户的 Azure AD 身份验证系统联合信任是在激活 Office 365 服务帐户时自动配置的。
有关详细信息,请参阅 Azure AD 身份验证系统。
Active Directory 同步 Azure AD 同步使用 Azure AD Connect 将已启用邮件的对象的内部部署 Active Directory 信息复制到 Office 365 组织,以支持统一全局地址列表 (GAL) 和用户身份验证。配置混合部署的组织需要在单独的内部部署服务器上部署 Azure AD Connect 以将您的内部部署 Active Directory 与 Office 365 同步。
可在以下位置了解详细信息:Azure AD Connect - 概述
混合部署示例
看一下下面的情况。这是一个拓扑示例,概述了典型的 Exchange 2016 部署。Contoso, Ltd. 是一个单林单域组织,安装了两台域控制器和一台 Exchange 2016 服务器。远程 Contoso 用户使用 Web 上的 Outlook 通过 Internet 连接到 Exchange 2016 以检查其邮箱和访问其 Outlook 日历。
.png "在配置带有 Office 365 的混合部署之前所进行的本地 Exchange 部署")
假设您是 Contoso 的网络管理员,同时对配置混合部署感兴趣。您部署与配置符合要求的 Active Directory 同步服务器,同时还决定使用 Azure AD Connect 密码同步功能让用户对其内部部署网络帐户和其 Office 365 帐户使用相同的凭据。完成混合部署先决条件,以及使用混合配置向导选择了混合部署的选项之后,新的拓扑具有以下配置:
用户将使用其相同的用户名和密码登录到内部部署组织和 Exchange Online 组织(“单点登录”)。
位于内部部署组织和 Exchange Online 组织中的用户邮箱将使用相同的电子邮件地址域。例如,位于内部部署组织和 Exchange Online 组织中的邮箱都将在用户电子邮件地址中使用 @contoso.com。
所有出站邮件都将通过内部部署组织传递到 Internet。内部部署组织控制所有邮件传输,并充当 Exchange Online 组织的中继(“集中邮件传输”)。
内部部署组织用户和 Exchange Online 组织用户可以相互共享日历忙/闲信息。为这两个组织配置的组织关系还将启用跨内部部署邮件跟踪、邮件提示和邮件搜索。
内部部署用户和 Exchange Online 用户使用相同的 URL 通过 Internet 连接到其邮箱。
.png "在配置带有 Office 365 的混合部署之后所进行的本地 Exchange 部署")
如果将 Contoso 的现有组织配置与混合部署配置进行比较,可以看到通过配置混合部署,添加了支持其他通信和功能的服务器和服务,这些通信和功能在内部部署组织和 Exchange Online 组织之间共享。下面概述了混合部署相对于初始内部部署 Exchange 组织所发生的变化。
| 配置 | 混合部署前 | 混合部署之后 |
|---|---|---|
邮箱位置 |
邮箱仅位于内部部署组织中。 |
内部部署邮箱与 Office 365 中的邮箱。 |
邮件传输 |
内部部署邮箱服务器处理所有入站和出站邮件路由。 |
内部部署邮箱服务器处理内部部署组织与 Office 365 组织之间的内部邮件路由。 |
Web 上的 Outlook |
内部部署邮箱服务器接收所有 Web 上的 Outlook 请求并显示邮箱信息。 |
内部部署邮箱服务器将 Web 上的 Outlook 请求重定向到内部部署 Exchange 2016 邮箱服务器或提供登录 Office 365 的链接。 |
用于两个组织的统一 GAL |
不适用;仅限单个组织。 |
内部部署 Active Directory 同步服务器将已启用邮件的对象的 Active Directory 信息复制到 Office 365。 |
用于两个组织的单一登录 |
不适用;仅限单个组织。 |
内部部署 Active Directory 和 Office 365 对位于内部部署或 Office 365 中的邮箱使用相同的用户名和密码。 |
与 Azure AD 身份验证系统建立的组织关系和联合信任 |
可以配置与 Azure AD 身份验证系统的信任关系以及与其他联合 Exchange 组织的组织关系。 |
必须与 Azure AD 身份验证系统建立信任关系。内部部署与 Office 365 之间建立组织关系。 |
忙/闲共享 |
仅在内部部署用户之间共享忙/闲信息。 |
在内部部署用户之间和 Office 365 用户之间共享忙/闲信息。 |
配置混合部署之前要考虑的事项
现在,您已对什么是混合部署有了进一步的了解,该认真考虑一些重要的问题了。配置混合部署可能会影响您当前网络和 Exchange 组织中的多个方面。
目录同步和单一登录
本地组织和 Office 365 组织之间的 Active Directory 同步(由运行 Azure Active Directory Connect 的服务器每 30 分钟执行一次)是配置混合部署的一项要求。目录同步使任一组织中的收件人可以在全局地址列表中看到彼此。它还将同步用户名和密码,使用户可以在本地组织和 Office 365 组织中使用相同凭据登录。我们稍后将向你展示如何在检查表中设置 Azure AD Connect。
{#Text:E16ADFSNote#}即使您已选择使用 AD FS 配置 Azure AD Connect,默认情况下,本地用户的用户名和密码将仍会同步到 Office 365。但是,用户将通过 AD FS 对本地 Active Directory 进行身份验证,作为其主要身份验证方法。如果出于任何原因,AD FS 无法连接到您的本地 Active Directory,客户端将尝试回退并对同步到 Office 365 的用户名和密码进行身份验证。
默认情况下,所有 Azure Active Directory 和 Office 365 客户的对象限制为 50,000 个(用户、已启用邮件的联系人、组)。此限制确定可以在 Office 365 组织中创建的对象数。当您验证第一个域时,此对象限制会自动增加至 300,000 个对象。如果您已验证一个域并需要同步 300,000 个以上的对象,或者您没有任何域要验证并需要同步 50,000 个以上的对象,则需要与 Azure Active Directory 支持联系以请求提高对象配额限制。
{#Text:E16ADFSWebProxy#}除了运行 Azure AD Connect 的服务器,您还需要部署 Web 应用程序代理服务器。此服务器应置于外围网络中,并将充当内部 Azure AD Connect 服务器和 Internet 之间的中介。Web 应用程序代理服务器需要接受 Internet 上使用 TCP 端口 443 的客户端和服务器请求进行的连接。
混合部署管理
通过单个统一管理控制台,您可以管理 Exchange 2016 的混合部署,允许同时管理您的内部部署和 Office 365 Exchange Online 组织。替换 Exchange 管理控制台和 Exchange 控制面板的 Exchange 管理中心 (EAC) 允许您连接和配置两个组织的 功能。当首次运行混合配置向导时,将提示您连接 Exchange Online 组织。您需要使用作为组织管理角色组之一的 Office 365 帐户连接 EAC 到您的 Exchange Online 组织。
证书
安全套接字层 (SSL) 数字证书对配置混合部署非常重要。这些证书有助于保证本地混合服务器与 Exchange Online 组织之间的通信安全。证书是配置 AD FS(如果您正在部署它)、Web 上的 Outlook 和 Exchange ActiveSync安全邮件流等多种类型的服务的必要条件。您可能需要购买包含来自受信任第三方证书颁发机构 (CA) 的其他域的附加证书。
可在以下位置了解详细信息:混合部署的证书要求
带宽
与 Internet 的网络连接会直接影响本地组织与 Office 365 组织之间的通信性能。尤其是在将邮箱从本地 Exchange 2016 服务器移到 Office 365 组织时。可用的网络带宽量以及邮箱大小和同时移动的邮箱数会导致完成邮箱移动的时间有所不同。此外,其他 Office 365 服务(例如 SharePoint Online 和 Skype for Business Online)也可能会影响可用于邮件服务的带宽。
将邮箱移动到 Office 365 之前,您应该完成以下事项:
确定将移动到 Office 365 的邮箱的平均大小。
确定从内部部署组织连接到 Internet 的平均连接速度和吞吐速度。
计算预期的平均传输速度,然后相应地制定邮箱移动计划。
可在以下位置了解详细信息:联网
邮件流
| 重要说明: |
|---|
| 不要在处理或修改 SMTP 通信的内部部署 Exchange 服务器和 Office 365 之间放置任何服务器、服务或设备。内部部署 Exchange 组织和 Office 365 之间的安全邮件流取决于组织之间发送的邮件中包含的信息。支持允许 TCP 端口 25 上的 SMTP 通信通过而无需修改的防火墙。如果服务器、服务或设备处理内部部署 Exchange 组织和 Office 365 之间发送的邮件,此信息将被删除。如果发生这种情况,该邮件将不再被视为组织内部邮件,并且将会对其应用反垃圾邮件筛选、 传输和日记规则以及可能不适用于它的其他策略。 |
有关详细信息,请参阅 Exchange 混合部署的传输选项。
统一消息
内部部署组织与 Office 365 组织之间的混合部署中支持统一消息 (UM)。内部部署电话解决方案必须能与 Office 365 组织进行通信。这可能需要购买其他硬件和软件。
如果要将邮箱从内部部署组织移至 Office 365,并且为这些邮箱配置了 UM 功能,则应先在混合部署中配置 UM,然后再移动这些邮箱。如果先移动邮箱,然后再在混合部署中配置 UM,则这些邮箱将无法再访问 UM 功能。
可在以下位置了解详细信息:规划 UM 共存
信息权限管理
通过信息权限管理 (IRM),用户可将 Active Directory 权限管理服务 (AD RMS) 模板应用于其发送的邮件。AD RMS 模板可通过允许用户控制谁可打开受权限保护的邮件及其打开邮件后可对邮件执行什么操作,从而帮助防止信息泄漏。
混合部署中的 IRM 需要进行规划、手动配置 Office 365 组织,并要了解客户端应根据其邮箱是位于内部部署组织还是 Exchange Online 组织中而如何使用 AD RMS 服务器。
可在以下位置了解详细信息:Exchange 混合部署中的 IRM
移动设备
混合部署中支持移动设备。如果现有服务器已经启用 Exchange ActiveSync,它们会继续将来自移动设备的请求重定向到位于内部部署邮箱服务器的邮箱。对于连接到从内部部署组织移到 Office 365 的现有邮箱的设备,将会自动更新 Exchange ActiveSync 配置文件以连接至大多电话上的 Office 365。支持 Exchange ActiveSync 的所有移动设备应与混合部署兼容。
可在以下位置了解详细信息:移动电话
客户端要求
建议您的客户端使用 Outlook 2016 或 Outlook 2013,以便在混合部署中实现最佳体验和性能。Outlook 2010 之前的客户端在混合部署中或者 Office 365 中不受支持。
Office 365 的许可
若要在 Office 365 中创建邮箱或将邮箱移至 Office 365,需要注册用于企业的 Office 365 并且必须具有可用的许可证。注册 Office 365 后,您将会收到特定数量的许可证,可以将这些许可证分配给新邮箱或从内部部署组织移动的邮箱。Office 365 中的每个邮箱都必须有许可证。
防病毒和反垃圾邮件服务
对于移至 Office 365 的邮箱,系统会自动通过 Exchange Online Protection (EOP) 为其提供防病毒和反垃圾邮件保护,一种 Office 365 提供的服务。如果选择通过 EOP 服务路由所有传入的 Internet 邮件,则可能需要为您的内部部署用户购买其他 EOP 许可证。我们建议您仔细评估您的 Office 365 中的 EOP 保护是否也适合满足内部部署组织的防病毒和反垃圾邮件需要。如果您已经实施了内部部署组织保护,则可能需要升级或配置您的内部部署防病毒和反垃圾邮件解决方案,以期在整个组织中实现最大程度的保护。
可在以下位置了解详细信息:反垃圾邮件和反恶意软件保护
公用文件夹
Office 365 支持公用文件夹,同时本地公用文件夹可迁移到 Office 365。本地用户和 Office 365 用户均可以使用 Web 上的 OutlookOutlook 2016、Outlook 2013 或 Outlook 2010 SP2 或更新版本访问位于两个组织中的公用文件夹。配置混合部署时不会改变现有的本地公用文件夹配置和对本地邮箱的访问权限。
可在以下位置了解详细信息:公用文件夹
辅助功能
若要了解可能适用于此清单中过程的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。