如何及何時在混合式部署中解除委任您的內部部署 Exchange 伺服器
注意事項
目前,如果您讓 Exchange 伺服器只針對收件者管理而繼續執行,您或許能夠關閉最後一部 Exchange 伺服器,並使用 Windows PowerShell 來管理收件者。 如需詳細資訊,請 參閱使用管理工具管理 Exchange 混合式環境中的收件者。
如果您已準備好從 Exchange 混合式部署移至完整的雲端實作,請閱讀本文。
Exchange Server 混合式部署說明讓公司 Exchange Online 的最吸引人選項之一。 這個方法是唯一可讓您輕鬆上架和離線信箱的選項, (所有其他原生選項都僅) 上線。 除了脫機的能力之外,混合式組態還有下列主要選項。
本文可協助您瞭解解除委任 Exchange 混合式的選項,以及應該實作每個選項的時機。 有許多不同的時機和方式可以解除委任 Exchange 混合式伺服器。 花時間了解實作並適當地規劃完整或部分解除委任內部部署伺服器是很重要的。
跨單位可用性:可讓您在排程會議時查看使用者的空閒/忙碌資訊,而不論其信箱內部部署為何。
跨單位封存:允許客戶只將使用者的封存信箱移至雲端。 此移動通常是客戶試用 Microsoft 365 和 Office 365 的第一個步驟,更具體來說,是 Exchange Online。
跨單位探索搜尋:可讓客戶執行在兩個內部部署中編目信箱和封存的電子郵件探索搜尋 (這項功能需要您設定 OAuth 驗證) 。
Outlook Web App URL 重新導向:允許將使用者重新導向至適當的內部部署,以進行 Outlook Web App 存取。
移動之後沒有配置檔重新建立:不同於其他移轉選項,信箱 GUID 不會變更。 換句話說,您不需要在信箱移動之後重新建立配置檔或重載 OST。
根據您的組織需求,混合式部署會是提供最順暢的使用者與共存體驗的最佳選項。
移轉至 Exchange Online 的其他方法
混合式部署不適用於所有人;事實上,有更好的選項。 許多已選擇部署混合式組態的租用戶都低於50個基座。 雖然混合式部署的優點清單聽起來可能很吸引人,但其會隨附關於複雜性的昂貴價格。 某些較小的租使用者需要混合式部署的功能。 但大部分的租用戶都會使用完全移轉、分段或 IMAP 移轉選項。 有一個名為 FastTrack 的程式,您可以在決定要採取的移轉方法時使用。 如需FastTrack的資訊,請參閱 Microsoft 365 FastTrack 頁面。
使用下表來決定哪種類型的移轉適用於您的組織。 (如需詳細資訊,請參閱將多個電子郵件帳戶移轉至 Microsoft 365 或 Office 365.)
| 現有的組織 | 要移轉的信箱數目 | 是否要在內部部署組織中管理使用者帳戶? | 移轉類型 |
|---|---|---|---|
| Exchange 2003 或更新版本 | 少於 2,000 個信箱 | 否 | 完全 Exchange 移轉 |
| Exchange 2007 或 Exchange 2003 | 少於 2,000 個信箱 | 否 | 分段 Exchange 移轉 |
| Exchange 2007 或 Exchange 2003 | 超過 2,000 個信箱* | 是 | Exchange 混合式部署中的分段 Exchange 移轉或遠端移動移轉 |
| Exchange 2010 或更新版本 | 超過 2,000 個信箱* | 是 | Exchange 混合式部署中的遠端移動移轉 |
| Exchange 2000 Server 或更早版本 | 沒有上限 | 是 | IMAP 移轉 |
| 非 Exchange 內部部署郵件系統 | 沒有上限 | 是 | 網際網路訊息存取通訊協定 (IMAP) 移轉 |
*擁有少於 2000 個信箱的部分組織可以從只有混合式部署才能提供的特性和功能中獲益。 請務必藉由文中介紹的複雜性來仔細考慮混合式部署的優點。 強烈建議擁有少於 2000 個信箱的客戶在著手採用混合式部署之前,先考慮完全移轉或分段移轉。
為什麼您可能不想從內部部署解除委任 Exchange 伺服器
擁有混合式組態的客戶通常會在一段時間之後發現他們所有的信箱已移至 Exchange Online。 在這個時候,他們可能會決定從內部部署移除 Exchange 伺服器。 然而,他們會發現他們不能再管理他們的雲端信箱。
為租使用者啟用目錄同步處理,且使用者從內部部署同步處理時,您無法從 Exchange Online 管理大部分的屬性。 相反地,您必須從內部部署管理這些屬性。 此需求並非因為混合式組態,而是因為目錄同步處理而發生。 此外,即使您在未執行混合式設定精靈的情況下已備妥目錄同步處理,您仍然無法從雲端管理大部分的收件者工作。 如需詳細資訊,請參閱此 部落格文章。
可以使用協力廠商管理工具嗎?
是否可以使用協力廠商管理工具或 ADSIEDIT 是常見的。 答案是您可以使用它們,但不支持它們。 Exchange 管理主控台、Exchange 系統管理中心 (EAC) ,以及 Exchange 管理命令介面是唯一可用來管理 Exchange 收件者和物件的支援工具。 如果您決定要使用協力廠商管理工具,就要自行承擔風險。 第三方管理工具通常可以正常運作,但 Microsoft 不會驗證這些工具。
常見案例
從混合式組態移至雲端並不簡單。 進入混合式組態的程式是我們花費一些時間來取得正確的程式。 雖然有問題,但我們覺得我們已完成相當良好的工作,讓混合式工作成為相當簡單的精靈型程式,幾乎不可能完成。
不過,根據您的立即目標,從混合式設定到雲端只會是相當直接的程式,並提供一些指引。 以下是三個常見的混合案例,以及如何適當地達成客戶最終目標的建議。
由於混合式客戶群各式各樣,因此很難嘗試將所有客戶納入「常見」案例。 我們嘗試提供一些內部部署 Exchange Server 解除委任的高階案例,因此當您閱讀這些案例並制訂解除委任計劃時,您必須判斷最符合您需求的案例。
案例一
問題:我的組織一直以混合式組態執行,而且我的所有信箱都 Exchange Online。 我不需要從內部部署管理我的使用者,也不再需要目錄同步處理或密碼同步處理。
解決方案:由於所有用戶都會在 Microsoft 365 或 Office 365 中管理,而且沒有其他目錄同步處理需求,因此您可以安全地停用目錄同步處理,並從內部部署環境中移除 Exchange。
停用目錄同步作業和解除安裝 Exchange 混合
執行
Get-OrganizationConfig | Format-List PublicFoldersEnabled,並確定其未設定為 Remote。 如果設定為 [遠端],且公用資料夾是您想要繼續存取的內容,則必須將其移轉至 Exchange Online。 如需詳細資訊,請參閱使用批次移轉將舊版公用資料夾移轉至 Microsoft 365、Office 365 和 Exchange Online。假設您已經將所有信箱移至 Exchange Online,您可以將 MX 和自動探索 DNS 記錄指向 Exchange Online,而不是指向內部部署。 如需詳細資訊,請參閱 Office 365 的外部功能變數名稱系統記錄。
重要事項
請務必更新內部和外部 DNS,否則您可能會有不一致的用戶端連線行為。
接下來,您應該移除 Exchange 伺服器上的服務連線點 (SCP) 值。 此步驟可確保不會傳回任何 SCP,而用戶端會改用 DNS 方法進行自動探索。 以下顯示一些範例:
Exchange Server 2010 或 2013:
Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $NullExchange Server 2016 或更新版本:
Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $Null注意事項
如果您的環境中有 Exchange 2007 伺服器,您必須在 Exchange 2007 伺服器上執行類似的命令,才能變更這些設定。
混合式設定精靈所建立的輸入和輸出連接器是您想要刪除的連接器。 使用下列步驟來執行這項操作:
登入 Microsoft 365 系統管理中心,並以租用戶系統管理員身分登入。
選取選項管理 Exchange。
瀏覽至 [郵件流程 ->連接器]。
您現在可以停用或刪除輸入和輸出連接器。 HCW 會建立具有唯一命名空間 輸入自 <唯一識別項> 和 輸出自 <唯一識別項> 的連接器,如下圖所示。
移除混合式組態精靈所建立的組織關係。 使用下列步驟來執行這項操作:
登入 Microsoft 365 系統管理中心,並以租用戶系統管理員身分登入。
選取選項來管理 Exchange。
導覽至 [ 組織]。
在 組織共用下,移除名為 O365 到內部部署 - <唯一識別項> 的組織,如下圖所示。
如果針對 Exchange 混合式部署設定 OAuth,請從內部部署和 Microsoft 365 或 Office 365 停用設定。 在大部分的環境中,您可以略過這些步驟,因為只有少數客戶已設定 OAuth。
停用內部部署組態:
從 Exchange 伺服器開啟 Exchange 管理命令介面。
執行下列命令:
Get-IntraorganizationConnector -Identity ExchangeHybridOnPremisesToOnline | Set-IntraOrganizationConnector -Enabled $False
停用 Exchange Online 組態:
將 Windows PowerShell 連線到 Exchange Online。
執行下列命令:
Get-IntraorganizationConnector -Identity ExchangeHybridOnlineToOnPremises | Set-IntraOrganizationConnector -Enabled $False
注意:Identity 參數假設您已使用混合式設定精靈來設定 OAuth。 如果沒有,您可能需要調整為連接器身分識別指定的值。
停用租用戶的目錄同步作業。 完成此步驟時,所有使用者管理工作都會從 Microsoft 365 或 Office 365 管理工具完成。 換句話說,您將不再使用 Exchange 管理主控台 或 Exchange 系統管理中心 (EAC) 。 如需如何停用目錄同步處理的詳細資訊,請參閱關閉 Microsoft 365 或 Office 365 的目錄同步處理。
您可以現在安全地從內部部署解除安裝 Exchange。
案例二
問題:我的組織已在混合式設定中執行約一年,最後已將最後一個信箱移至雲端。 我打算保留 Active Directory 同盟服務 (ADFS) ,以供使用者驗證 Exchange Online 信箱。
重要事項
此案例適用於任何規劃保持目錄同步處理的客戶,以及讓 Exchange Server 內部部署使用 Exchange 管理員 Center (EAC) 來管理收件者。 如果您不需要使用 EAC 來管理混合式組織中的收件者,您可以移除內部部署的最後 Exchange Server,同時保持目錄同步處理。
如需詳細資訊,請 參閱使用管理工具管理混合式交換收件者。
解決方案:由於客戶計劃保留AD FS,因此也必須保留目錄同步處理,因為這是必要條件。 因此,它們無法從內部部署環境完全移除 Exchange 伺服器。 不過,他們可以解除委任大部分的 Exchange 伺服器,但仍需保留數個伺服器進行使用者管理。 請記住,因為工作負載會移至 Exchange Online,所以繼續執行的伺服器可以在虛擬機上執行。
下圖描述您想要的最終狀態:
下圖描述實際的最終狀態:
提示
如果您選擇從基礎結構移除ADFS,雲端同步處理或 Microsoft Entra Connect 會同步處理內部部署認證與雲端。 每個服務都會個別驗證使用者:
- Microsoft 365 身分識別服務 將會管理在線要求。
- Active Directory 會管理內部驗證。
如果您沒有任何內部部署信箱 (es) ,您可以安全地解除委任大部分的交換伺服器 () ,保留一或多個以供使用者管理之用,因為授權來源仍定義為內部部署。
保留 AD FS 與目錄同步作業和解除委任大部分的 Exchange 伺服器
執行
Get-OrganizationConfig |fl PublicFoldersEnabled並確定其未設定為遠端。 如果將其設為遠端,而您想要繼續存取公用資料夾,您就必須將公用資料夾移轉到 Exchange Online。 如需如何執行這項操作的詳細資訊,請參閱使用批次移轉將舊版公用資料夾移轉至 Microsoft 365、Office 365 和 Exchange Online。重要事項
如果將公用資料夾移轉至 Exchange Online 不是一個選項,而且您的使用者仍然需要這些資料夾,您就不應該繼續進行。
將所有信箱移至 Exchange Online 之後,解除委任大部分 Exchange 伺服器的第一個步驟是將 MX 和自動探索 DNS 記錄指向 Exchange Online,而不是內部部署電子郵件組織。 如需詳細資訊,請參閱 Office 365 的外部功能變數名稱系統記錄。
重要事項
請務必更新內部和外部 DNS,否則您可能會有不一致的用戶端連線和郵件流程行為。
接下來,您應該移除 Exchange 伺服器上的服務連線點 (SCP) 值。 此步驟可確保不會傳回任何 SCP,而用戶端會改用 DNS 方法進行自動探索。 範例如下所示:
Exchange Server 2010 或 2013:
Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $NullExchange Server 2016 或更新版本:
Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $Null注意事項
如果您的環境中有 Exchange 2007 伺服器,您必須在 Exchange 2007 伺服器上執行類似的命令,以將設定設為 Null
若要避免以後重新建立混合式組態物件,您應該從 Active Directory 移除混合式組態物件。 若要這麼做,請開啟 Exchange 管理命令介面並執行下列作業:
Remove-HybridConfiguration拿掉所有 Exchange 伺服器,但您保留供使用者管理和建立使用的伺服器除外。 雖然兩部伺服器應該已足夠供使用者管理工作使用,但您也可能只需要一部伺服器即可完成。 此外,不需要有資料庫可用性群組或任何其他高可用性選項。
如果針對 Exchange 混合式部署設定 OAuth,請從內部部署和 Microsoft 365 或 Office 365 停用設定。 在大部分的環境中,您可以略過這些步驟,因為只有少數客戶已設定 OAuth。
停用內部部署組態:
從 Exchange 伺服器開啟 Exchange 管理命令介面。
執行下列命令:
Get-IntraorganizationConnector -Identity ExchangeHybridOnPremisesToOnline | Set-IntraOrganizationConnector -Enabled $False
停用 Exchange Online 組態:
將 Windows PowerShell 連線到 Exchange Online。
執行下列命令:
Get-IntraorganizationConnector -Identity ExchangeHybridOnlineToOnPremises | Set-IntraOrganizationConnector -Enabled $False
注意:Identity 參數假設您已使用混合式設定精靈來設定 OAuth。 如果沒有,您可能需要調整為連接器身分識別指定的值。
混合式設定精靈會建立輸入和輸出連接器,您應該刪除這些連接器。 使用下列步驟來執行這項操作:
登入 Microsoft 365 系統管理中心,並以租用戶系統管理員身分登入。
選取選項管理 Exchange。
瀏覽至 [郵件流程 ->連接器]。
您現在可以停用或刪除輸入和輸出連接器。 HCW 會建立具有唯一命名空間 輸入自 <唯一識別項> 和 輸出自 <唯一識別項> 的連接器,如下圖所示。
移除混合式組態精靈所建立的組織關係。 使用下列步驟來執行這項操作:
登入 Microsoft 365 系統管理中心,並以租用戶系統管理員身分登入。
選取選項管理 Exchange。
導覽至 [ 組織]。
在 組織共用下,移除名為 O365 到內部部署 - <唯一識別項> 的組織,如下圖所示。
注意事項
建議您讓 Exchange 混合式部署功能保持在雲端同步或連線 Microsoft Entra 啟用。
案例三
問題:我想要在將所有信箱移至 Exchange Online 之後,移除內部部署的 Exchange 伺服器。 不過,我們發現他們使用 Exchange 做為其他用途,例如用於簡易郵件傳輸通訊協定 (SMTP) 轉送,或用於存取公用資料夾。 如果您需要使用內部部署的 Exchange 伺服器來滿足組織目前的需求,最好是不要移除這些內部部署伺服器。
解決方案:建議您不要在此時移除 Exchange 和混合式組態。 如果您甚至打算要將自動探索記錄指向 Exchange Online 以開始進行此程序,則您要立即中斷某些功能,例如混合式公用資料夾存取。 如果 MX 記錄還沒有,您可以將 MX 記錄變更為指向 Exchange Online Protection,甚至可以移除部分內部部署 Exchange 伺服器。 然而,您必須保留足夠的伺服器來處理剩餘的混合功能。 通常,此動作會導致小型的內部部署使用量。 僅限 Exchange 的服務和功能,例如公用資料夾,會要求您維護內部部署 Exchange 伺服器,或將這些服務移轉至 Exchange Online。 每個案例一和兩個案例,如果您從 Active Directory 維護身分識別同步處理,則必須繼續維護至少一部內部部署 Exchange 伺服器。