混合部署必要條件
摘要:您的 Exchange 環境在您可以設定混合式部署之前需要的項目。
在您使用混合組態精靈建立與設定混合式部署之前,您現有的內部部署 Exchange 組織需要符合特定需求。 如果您未符合這些需求,將無法完成混合組態精靈內的步驟,而且也無法在內部部署 Exchange 組織與 Exchange Online 之間設定混合式部署。
混合式部署的必要條件
下列為設定混合式部署時須具備的必要條件:
- 內部部署 Exchange 組織:您已在內部部署組織中安裝的 Exchange 版本會決定您可以安裝的混合式部署版本。 您通常應該設定組織中支援的最新混合式部署版本,如下表所述:
| 內部部署環境 | Exchange 2019 型混合式部署 | 以 Exchange 2016 為基礎的混合部署 | 以 Exchange 2013 為基礎的混合部署 | 以 Exchange 2010 為基礎的混合部署 |
|---|---|---|---|---|
| Exchange 2019 | 支援 | 不支援 | 不支援 | 不支援 |
| Exchange 2016 | 支援 | 支援 | 不支援 | 不支援 |
| Exchange 2013 | 支援 | 支援 | 支援 | 不支援 |
| Exchange 2010 | 不支援 | 支援 | 支援 | 支援 |
Exchange 伺服器版本:混合式部署需要最新的累積更新 (CU) 或更新匯總 (RU) 可供您的 Exchange 版本使用。 如果您無法安裝最新的更新,也支援緊接在先前的版本。
Exchange CUS 每季發行一次,因此,如果您定期需要額外的時間來完成升級,讓 Exchange 伺服器保持在最新狀態,可提供額外的彈性。
Exchange 伺服器角色:您需要在內部部署組織中安裝的伺服器角色取決於您已安裝的 Exchange 版本。
Exchange 2016 和更新版本:至少一部信箱伺服器。
Exchange 2013:至少一個信箱和用戶端存取伺服器角色實例分別安裝 (或安裝在一部伺服器上;強烈建議您使用一個伺服器) 。
Exchange 2010:至少一個信箱、中樞傳輸和用戶端存取伺服器角色實例分別安裝 (或一部伺服器上;強烈建議您使用一個伺服器) 。
混合部署也支援執行 Edge Transport Server role 的 Exchange 伺服器。 Edge Transport Server 也需要更新為最新的 CU 或 RU。 我們強烈建議您在周邊網路部署 Edge Transport Server。 您無法在周邊網路中部署信箱或用戶端存取伺服器。
注意事項
如果您已開始使用 Exchange 2010 混合式端點的移轉程式,且不打算保留內部部署信箱,請依原樣繼續移轉。 如果您打算保留一些內部部署信箱,強烈建議您將 Exchange 2016 混合式端點導入 (,因為 Exchange 2010 已達到其終止支援生命週期) 。 繼續將 Exchange 2010 信箱移轉至 Office 365,然後將保留在內部部署的信箱移至 Exchange 2016 伺服器。 拿掉所有 Exchange 2010 伺服器之後,您接著可以將 Exchange 2019 伺服器導入為新的混合式端點,並將剩餘的內部部署信箱移至 Exchange 2019 伺服器。
Microsoft 365 或 Office 365:所有支援 Microsoft Entra 同步處理的 Microsoft 365 和 Office 365 方案都支援混合式部署。 所有 Microsoft 365 商務標準版、商務基本版、企業版、政府版、學術版和中型方案都支援混合式部署。 Microsoft 365 Apps 商務版和首頁方案不支援混合式部署。
深入瞭解 Microsoft 365。
自定義網域:向 Microsoft 365 或 Office 365 註冊您想要在混合式部署中使用的任何自定義網域。 您可以使用 Microsoft 365 入口網站,或選擇性地在內部部署組織中設定 Active Directory 同盟服務 (AD FS) 來執行此動作。
Active Directory 同步處理:部署 Microsoft Entra Connect 或雲端同步處理工具,以啟用與內部部署組織的 Active Directory 同步處理。
若要深入瞭解,請參閱 Microsoft Entra 連線使用者登入選項和什麼是雲端同步 Microsoft Entra?。
自動探索 DNS 記錄:設定公用 DNS 中現有 SMTP 網域的自動探索記錄,以指向內部部署 Exchange 伺服器 (Exchange 2010/2013 用戶端存取伺服器或 Exchange 2016/2019 信箱伺服器) 。
憑證:將 Exchange 服務指派給您從受信任的公開證書頒發機構單位購買的有效數位證書, (CA) 。 雖然您應該將自我簽署憑證用於內部部署同盟信任與 Microsoft 同盟閘道,但您無法在混合式部署中使用 Exchange 服務的自我簽署憑證。
在混合式部署中設定的 Exchange 伺服器上,Internet Information Services (IIS) 實例需要從受信任 CA 購買的有效數位證書。
您在公用 DNS 中指定的 EWS 外部 URL 和自動探索端點必須列在憑證的 [主體別名] (SAN) 字段中。 您在混合式部署中針對郵件流程安裝在 Exchange 伺服器上的憑證,必須全部由相同的證書頒發機構單位發行,並具有相同的主體。
若要深入了解,請參閱 混合部署的憑證需求。
EdgeSync:如果您已在內部部署組織中部署Edge Transport Server,而且想要設定混合式安全郵件傳輸的Edge Transport Server,則需要先設定 EdgeSync,再使用混合式設定精靈。 您也需要在每次將新的 CU 套用至 Edge Transport Server 時執行 EdgeSync。
重要事項
雖然EdgeSync是Edge Transport Server部署中的需求,但是當您設定Edge Transport Server進行混合式安全郵件傳輸時,需要額外的組態設定。
若要深入了解,請參閱 Edge Transport server 與混合式部署。
Microsoft .NET Framework:若要驗證可與特定 Exchange 版本搭配使用的版本,請參閱 Exchange Server 支援性矩陣 - Microsoft .NET Framework。
已啟用整合通訊功能的 (UM) 信箱:如果您有啟用 UM 的信箱,而且想要將信箱移至 Microsoft 365 或 Office 365,則在移動信箱之前,必須先符合下列需求:
Lync Server 2010、Lync Server 2013 或 商務用 Skype Server 2015 或更新版本與內部部署電話語音系統整合。
或
商務用 Skype Online 與您的內部部署電話語音系統整合。
或
傳統的內部部署 PBX 或 IP-PBX 解決方案。
如需詳細資訊,請參閱 Exchange Online 中的電話系統與UM整合、規劃 商務用 Skype Server和 Exchange Server 移轉,以及設定 雲端語音信箱。
混合式部署通訊協定、連接埠和端點
您必須在防火牆中設定下列通訊協定、埠和聯機端點,以保護您的內部部署組織,如下表所述。
重要事項
相關的 Microsoft 365 和 Office 365 端點是大量、不斷變更,而且不會列在此處。 請改為參閱 Microsoft 365 中 Exchange Online 和 Microsoft 365 Common 和 Office Online 章節,Office 365 URL 和 IP 位址範圍來識別此處所列每個埠的端點。
注意事項
與混合式組態無關的內部部署 Exchange 組織中的郵件流程和用戶端連線所需的埠,會在 Exchange 中的用戶端和郵件流程的網路埠中說明。
| 來源 | 通訊協定/埠 | Target | Comments |
|---|---|---|---|
| Exchange Online 端點 | TCP/25 (SMTP/TLS) | Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
設定為裝載接收連接器的內部部署 Exchange Server,可使用混合式設定精靈中的 Exchange Online 進行安全郵件傳輸 |
| Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
TCP/25 (SMTP/TLS) | Exchange Online 端點 | 在混合式設定精靈中設定為裝載傳送連接器以使用 Exchange Online 進行安全郵件傳輸的內部部署 Exchange Server |
| Exchange Online 端點 | TCP/443 (HTTPS) | Exchange 2019/2016 信箱 Exchange 2013/2010 CAS |
用來將 Exchange Web 服務和自動探索發佈至因特網的內部部署 Exchange Server |
| Exchange 2019/2016 信箱 Exchange 2013/2010 CAS |
TCP/443 (HTTPS) | Exchange Online 端點 | 用來將 Exchange Web 服務和自動探索發佈至因特網的內部部署 Exchange Server |
| Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
80 | ctldl.windowsupdate.com/* | 針對混合式功能,Exchange Server 需要各種證書吊銷清單的輸出連線 (CRL) 這裡所述的端點。 強烈建議讓 Windows 在您的電腦上維護 憑證信任清單 (CTL) 。 否則,必須定期手動維護。 若要允許 Windows 維護 CTL,必須從安裝 Exchange Server 的電腦連線到 URL。 |
下表提供有關相關內部部署端點的詳細資訊:
| 說明 | 埠和通訊協定 | 內部部署端點 | 驗證提供者 | 授權方法 | 是否支援預先驗證? |
|---|---|---|---|---|---|
| Microsoft 365 或 Office 365 與內部部署 Exchange 之間的 SMTP 郵件流程 | TCP 25 (SMTP/TLS) | Exchange 2019/2016 Mailbox/Edge Exchange 2013 CAS/EDGE Exchange 2010 Hub/Edge |
不適用 | 憑證型 | 否 |
| 自動探索 | TCP 443 (HTTPS) | Exchange 2019/2016 信箱伺服器:/autodiscover/autodiscover.svc/wssecurity Exchange 2013/2010 CAS:/autodiscover/autodiscover.svc |
Microsoft Entra 驗證系統 | WS-Security 驗證 | 否 |
| EWS) (空閒/忙碌、郵件提示和郵件追蹤 | TCP 443 (HTTPS) | Exchange 2019/2016 信箱 或 Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity |
Microsoft Entra 驗證系統 | WS-Security 驗證 | 否 |
| EWS) (多信箱搜尋 | TCP 443 (HTTPS) | Exchange 2019/2016 信箱 或 Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
驗證伺服器 | WS-Security 驗證 | 否 |
| 信箱移轉 (EWS) | TCP 443 (HTTPS) | Exchange 2019/2016 信箱 或 Exchange 2013/2010 CAS: /ews/mrsproxy.svc |
NTLM | Basic | 否 |
| OAuth (自動探索和 EWS) | TCP 443 (HTTPS) | Exchange 2019/2016 信箱 或 Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
驗證伺服器 | WS-Security 驗證 | 否 |
| AD FS (Windows Server) | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server: /adfs/* | Microsoft Entra 驗證系統 | 會依每個組態而不同 | 雙因素 |
| Microsoft Entra Connect | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server (AD FS) : /adfs/* | Microsoft Entra 驗證系統 | 會依每個組態而不同 | 雙因素 |
如需這項資訊的詳細資訊,請參閱深入探討:混合式驗證的實際運作方式、解密混合式郵件流程並進行疑難解答:郵件為內部郵件的時機?、Exchange 混合式部署中的傳輸路由、使用連接器設定郵件流程,以及使用多個位置的信箱管理郵件流程 (Exchange Online 和內部部署) 。
建議的工具與服務
當您使用混合式設定精靈設定混合式部署時,下列工具和服務會很實用:
郵件移轉建議程式:提供您在內部部署組織與 Microsoft 365 或 Office 365 之間設定混合式部署的逐步指引,或完全移轉至 Microsoft 365 或 Office 365。
若要深入瞭解 ,請參閱使用郵件移轉建議程式。
遠端連線分析器工具:Microsoft 遠端連線分析器工具會檢查內部部署 Exchange 組織的外部連線能力,並確定您已準備好設定混合式部署。 我們強烈建議您在使用混合組態精靈設定混合式部署前,先使用 Remote Connectivity Analyzer 工具來檢查您的內部部署組織。
若要深入了解,請參閱:Microsoft Remote Connectivity Analyzer。
單一登錄:單一登錄可讓使用者使用單一使用者名稱和密碼存取內部部署和 Exchange Online 組織。 還可提供使用者熟悉的單一登入體驗,並讓系統管理員能輕鬆地透過內部部署 Active Directory 管理工具來控制 Exchange Online 組織信箱的帳戶原則。
部署單一登入時,您會有兩個選項:密碼同步處理和 Active Directory 同盟服務。 這兩個選項都由 Microsoft Entra Connect 提供。 密碼同步化可讓幾乎任何組織 (不論大小) 輕鬆地實作單一登入。 基於這個理由,而且由於啟用單一登錄后,混合式部署中的用戶體驗明顯更好,因此強烈建議您加以實作。 對於超大型組織,例如有多個 Active Directory 樹系需要加入混合式部署的組織,需要 Active Directory 聯盟服務。
若要深入了解,請參閱 單一登入與混合式部署。