具有多個 Active Directory 樹系的混合部署

 

適用版本:Exchange Online, Exchange Server, Exchange Server 2013

上次修改主題的時間:2016-12-09

Exchange 2010、Exchange 2013 SP1 和更新版本的混合式部署,具有多個內部部署 Active Directory 樹系和單一 Office 365 租用戶的組織可支援此功能。針對混合式部署功能和考量,多樹系組織定義為已在多個 Active Directory 樹系中部署 Exchange 伺服器的組織。如果組織針對使用者帳戶利用資源樹系,但在單一樹系中維護所有 Exchange 伺服器,則在混合式部署案例中不會被分類為多樹系組織。規劃和設定混合式部署時,應該將這些類型的組織視為單一樹系組織。

從內部部署環境將公用資料夾移轉到 Office 365,僅支援透過單一 Active Directory 樹系。同樣地,存取混合狀態的公用資料夾則僅在內部部署公用資料夾位於單一 Active Directory 樹系時才支援。

重要事項重要事項:
混合式部署需要最新的累計更新,可供您已安裝在內部部署組織的 Exchange 版本使用。若您無法安裝最新的累計更新,亦支援前一版本。較舊的累計更新或更新彙總套件則無法提供支援。如需詳細資訊,請參閱混合部署必要條件

如需混合式部署的相關資訊,請參閱 Exchange Server 混合部署

多樹系混合式部署的必要條件幾乎與單一樹系組織的混合式部署必要條件相同,但有下列例外:

  • 自動探索   每個 Exchange 樹系必須已取得至少一個 SMTP 命名空間和對應自動探索命名空間的授權。如果多個 Exchange 樹系間有共用網域,則必須先設定郵件路由與自動探索端點並使其在 Exchange 樹系之間正常運作,才能設定多樹系混合式部署。Office 365 服務必須能夠查詢每個 Exchange 樹系中的自動探索服務。

  • 憑證   所有混合式部署都需要由信任的協力廠商憑證授權單位 (CA) 所發行的數位憑證。在多樹系混合式部署中,單一數位憑證不能用於多個 Active Directory 樹系。每個樹系必須使用專用的 CA 發行憑證,Secure Mail Transport 才能在混合式部署中正常運作。在下列屬性中,多樹系組織中各樹系之混合式部署功能所用的憑證必須至少有一項屬性不同:

    1. 一般名稱   數位憑證的一般名稱 (CN) 是憑證主體的一部分。此名稱必須與正在驗證的主機相符,而且通常是 Active Directory 樹系中 Client Access Server 的外部主機名稱。例如,mail.contoso.com。我們建議使用 CN 作為區別多樹系混合式部署中所用 Active Directory 憑證的屬性。

    2. 發行者   負責驗證組織資訊並發行憑證的協力廠商 CA。例如,VeriSign 或 Go Daddy。例如,某一個樹系會有 VeriSign 所發行的憑證,而另一個樹系會有 Go Daddy 所發行的憑證。

    重要事項重要事項:
    混合式部署中郵件傳輸所用的每個 Active Directory 樹系中的 Mailbox Server 和 Client Access Server (以及 Edge Transport Server,如有部署) 上所安裝的憑證全都必須由相同 CA 所發行並具有相同的名稱。
  • Exchange Server   必須在針對混合式部署設定的每個 Active Directory 樹系中安裝至少一個具有 Client Access server role 的 Exchange 2010 或 Exchange 2013 伺服器,或一個具有 Mailbox role 的 Exchange 2016 或更新版本伺服器。

    Exchange 2010 和 Exchange 2013 的 Client Access Server 為 Office 365 租用戶服務所隨附之 Exchange Online Protection (EOP) 服務的輸入 Secure Mail Transport 端點,能夠讓 [混合組態精靈] 在 Active Directory 樹系中執行。此外,必須在針對混合式部署設定的每個 Active Directory 樹系中安裝至少一個具有 Mailbox server role 的 Exchange 伺服器。Exchange 2010 和 Exchange 2013 Mailbox Server 為傳送至 EOP 服務和 Exchange Online 組織之郵件的輸出 Secure Mail Transport 端點。

    在 Exchange 2016 及更新版本中,Mailbox server role 會處理您的內部部署組織和 Exchange Online 之間的所有輸入和輸出安全傳輸。

  • 命名空間規劃 您安裝 Exchange 的每個樹系需要可由外部搜尋的唯一命名空間。在每個樹系中執行混合式組態精靈時,您要在其中指定樹系的唯一命名空間。

  • Active Directory 同步作業   所有混合式部署都需要 Active Directory 和 Office 365 的同步作業。如果貴公司已使用 Forefront Identity Manager 設定您的多樹系內部部署組織與 Office 365 之間的 Active Directory 同步處理,您可以使用 Azure Active Directory Connect

  • 單一登入   雖然不是單一 Active Directory 樹系混合式部署的必要條件,如果內部部署樹系之間已設定雙向樹系信任,則系統管理員可以選擇在每個 Active Directory 樹系中設定 SSO 伺服器,或設定單一 SSO 伺服器。您可以使用 AD FS 或密碼同步處理其中一個,以獲得順暢的使用者驗證體驗。

    如需詳細資訊,請參閱 單一登入與混合式部署

如需完整的混合式部署必要條件清單,請參閱混合部署必要條件

請參閱下列案例。這是一般 Exchange 2013 部署的範例拓撲。Contoso, Ltd. 是具有兩個 Active Directory 樹系的多樹系、多網域組織。樹系 A 包含 contoso.com 網域,而樹系 B 包含 sale.contoso.com 網域。每個樹系中的網域都包含網域控制站,其中一個是已安裝 Client Access server role 的 Exchange 2013 伺服器,而另一個是已安裝 Mailbox server role 的 Exchange 2013 伺服器。遠端 Contoso 使用者在網際網路上使用 Outlook Web App 連線至 Exchange 2013,以檢查信箱和存取 Outlook 行事曆。

在搭配多個樹系進行混合式部署之前

假設您是 Contoso 的網路系統管理員,您想要設定混合式部署。您在樹系 A 中部署和設定必要的 Active Directory 同步處理伺服器,並且決定部署 Active Directory Federation Services (AD FS) 伺服器作為盡量減少提示樹系 A 中存取 Office 365 服務的 Contoso 使用者和系統管理員提供帳戶認證之次數的選項。在您完成混合式部署必要條件並使用混合組態精靈選取混合式部署的選項之後,您的新拓撲組態如下:

  • 使用者將使用其現有網路帳戶認證來登入內部部署與 Exchange Online 組織 (「單一登入」)。

  • 位於內部部署及 Exchange Online 組織中的使用者信箱將使用多個電子郵件地址網域。例如,位於樹系 A 內部部署的信箱及位於 Exchange Online 組織中的某些信箱會使用使用者電子郵件地址中的 @contoso.com,而樹系 B 中的信箱及位於 Exchange Online 組織中的某些信箱會使用 @sales.contoso.com。

  • 所有郵件都由內部部署組織傳遞至網際網路。內部部署組織會控制所有郵件傳輸,並擔任 Exchange Online 組織的轉送站 (「集中式郵件傳輸」)。

  • 內部部署和 Exchange Online 組織使用者可以彼此共用行事曆空閒/忙碌資訊。為這兩個組織設定的組織關係,也會啟用跨部署郵件追蹤、郵件提示及訊息搜尋。

  • 內部部署和 Exchange Online 使用者在網際網路上會使用相同的 URL 來連線至信箱。

在搭配多個樹系進行混合式部署之後

如果您比較 Contoso 的現有組織組態與混合部署組態,則會看到設定混合部署時已新增伺服器及服務,以支援在內部部署組織與 Exchange Online 組織之間共用的其他通訊及功能。以下概述混合部署從初始內部部署 Exchange 組織進行的變更。

 

組態 混合部署前 混合部署後

信箱位置

僅有內部部署信箱。

位於內部部署與 Exchange Online 中的信箱。

訊息傳輸

內部部署用戶端存取伺服器負責處理所有內送及外寄郵件路由。

內部部署用戶端存取伺服器會處理在內部部署和 Exchange Online 組織之間的內部郵件路由。

Outlook Web App

內部部署用戶端存取伺服器會接收所有 Outlook Web App 要求並顯示信箱資訊。

內部部署用戶端存取伺服器會將 Outlook Web App 要求重新導向至內部部署 Exchange 2013 信箱伺服器,或提供登入 Exchange Online 組織的連結。

兩個組織都通用的統一 GAL

不適用;僅有單一組織。

內部部署 Active Directory 同步處理伺服器會將擁有郵件功能之物件的 Active Directory 資訊複寫至 Exchange Online 組織。

兩個組織都通用的單一登入

不適用;僅有單一組織。

內部部署 Active Directory Federation Services (AD FS) 伺服器支援對位於內部部署組織或 Office 365 組織中的信箱使用單一登入認證。

建立的組織關係以及對 Azure AD 驗證系統的同盟信任

您可以設定對 Azure AD 驗證系統的信任關係,以及與其他同盟 Exchange 組織之間的組織關係。

對 Azure AD 驗證系統的信任關係是必要的。在內部部署與 Exchange Online 組織之間建立組織關係。

空閒/忙碌資訊共用

僅能在內部部署使用者之間進行空閒/忙碌資訊共用。

在內部部署使用者與 Exchange Online 使用者之間進行空閒/忙碌資訊共用。

若要為多樹系組織設定混合式部署,您必須完成下列基本步驟:

  1. 確認您已符合混合式部署的必要條件。請參閱本主題先前所列的先決條件和混合部署必要條件。通常只有一個樹系需要安裝 Active Directory 同步伺服器。如果樹系之間並未設定雙向樹系信任,則必須在每個樹系中安裝具有 Azure Active Directory Connect (Azure AD Connect) 和 Active Directory Federation Services (AD FS) 的伺服器,才能啟用單一登入。

  2. 為每個符合本主題先前所列需求的 Active Directory 樹系取得協力廠商 CA 憑證。

  3. 在每個樹系中的所有 Exchange 2013 Client Access Server 和 Mailbox Server 或 Exchange 2016 信箱伺服器上安裝憑證。

  4. 為主要樹系完成使用混合組態精靈建立混合部署主題中所述的步驟。

    重要事項重要事項:
    請務必在 [混合組態精靈] 中選取為主要樹系指定的憑證,並選取此樹系的主要 SMTP 網域。
  5. 為次要樹系完成使用混合組態精靈建立混合部署主題中所述的步驟。

    重要事項重要事項:
    請務必在 [混合組態精靈] 中選取為次要樹系指定的憑證,並選取此樹系的主要 SMTP 網域。
 
顯示: