Exchange Online 混合部署环境搭建及手动混合部署

本文的主要内容摘自世纪互联蓝云公司最新出版的《精通 Office 365 云计算管理 Exchange Online 篇》图书，共计三部分内容。

从 Exchange 5.5 到 Exchange 2016 CU11，微软的邮件服务器软件的功能越发强大，同时对服务器软硬件的要求也是越来越高。公司如果建立数据中心，将是亿级的人力物力的投入。

如何灵活地将私有云与公有云相结合，节省企业的运营成本，同时将集成公有云的优势，是未来公司 IT 发展的趋势。

Office 365 拥有和本地 Exchange 服务器相集成的最好的兼容性。Office 365 中国版支持高达 99.9%的服务级别协议（SLA），Exchange Online Plan 2 许可证提供高达 100GB 的邮箱空间，以及支持无限存储、丰富的邮件投递报告、邮箱审计功能及与 eDiscovery 机制的应用、DLP 数据外泄防护等。

具有弹性的混合部署方式，也是 Office 365 的一大特色，企业可同时应用自建的 Exchange，并让管理者在单一接口中管理。

第一部分：混合部署的先决条件

请访问以下微软官方网址了解 Exchange Online 混合部署的先决条件

https://docs.microsoft.com/zh-cn/exchange/hybrid-deployment-prerequisites?redirectedfrom=MSDN

1. 混合部署组件

在使用“混合部署”向导 HCW 创建和配置混合部署之前，现有的内部 Exchange 组织必须满足特定的要求。

（1） 部署 Windows Azure Active Directory 同步工具，会将本地 AD 信息同步至 Office 365。选中图所示界面中的“Exchange hybrid deployment”复选框，如果不选中，将不能把本地邮箱同步至 Office 365，变为邮件用户。

AAD Connect 启用支持 Exchange Online 混合部署选项

（2） 配置自动发现公用 DNS 记录以指向内部部署 Exchange 2013/2016 客户端访问服务器。

用户如果将 AutoDiscover 记录由指向本地的 Exchange 服务器改为 autodiscover.partner. outlook.cn，那么将不能配置 MAPI 形式的本地邮箱的 Outlook 账号，所以不要更改，如图所示。

AutoDiscover 记录指向本地 Exchange 服务器

（3） 必须具有受信任的第三方证书（不可以使用内部 CA 颁发的证书）。

用户必须使用和配置从受信任的第三方 CA 机构购买的证书。必须在所有内部部署邮箱（Exchange 2013 及更高版本）、邮箱和客户端访问（Exchange 2013 及更高版本）服务器上安装用于混合安全邮件传输的证书。

（4） 如果申请了 abc.com 域，需要申请至少一张包含 abc.com 域的证书；如果还有 ADFS 环境，建议申请一张通配符的公网证书，如图所示。

建议申请证书的信息

对于 Exchange 2007 或者 Exchange 2010 组织，必须在本地组织中至少安装一台 Exchange 2013 CU 20 或者 Exchange2016 CU 10 及以上（客户端访问服务器和邮箱服务器角色）才能运行“混合配置”向导和支持基于 Exchange 2013/2016 的混合部署功能。需要特别注意的是，Office 365 从 2018 年 10 月 31 日废止 TLS1.0、1.1，同时启用 TLS1.2。做 Exchange Online 混合部署的 Exchange 2013 服务器或者 Exchange 2016 服务器，建议在做 Exchange Online 混合部署前，至少升级至 Exchange 2013 CU20 或者 Exchange 2016 CU10 以便支持 TLS1.2，如图所示，运行混合部署向导 HCW 时会有关于支持版本的提示信息。

最新 HCW 运行提示信息

可以看到图 2-342 中的 1367.3，安装的 Exchange 2013 CU20，如图所示。

获得本地 Exchange 版本信息

Exchange 2013 CU20 的版本信

2. 开放的端口和协议

需要 Exchange 2013 作为 Exchange Online 混合部署的服务器，有固定的公网 IP 地址，同时开启 25 端口和 443 端口，如图所示，是关于开放的端口和协议的描述。

开放的端口和协议

3. Exchange 2013 CU20 混合部署的前期准备

（1）在 Office 365 中先验证域名，使得域名出现在 Exchange Online 的可接受域中：

首先，在 Office 365 管理中心选择“添加域”选项，输入要绑定的域名“Office365tech.cn”，如图所示。

输入自定义域名信息

系统返回了随机值“MS=ms53262190”，需要在域名的 DNS 管理中心添加这条 TXT 记录，证明我们拥有这个域，如图所示。

Office 365 自动生成 TXT 记录

添加 TXT 记录

TXT 记录验证通过，单击“下一步”按钮。建议选中“我将管理自己的 DNS 记录”单选按钮，这样才能自己手动管理 DNS 记录。

设置为“我将管理自己的 DNS 记录”

根据自己的需求，可以选择 Exchange 和 Skype for Business 功能，如图所示。

选择在线服务

显示需要添加的 DNS 记录，值得注意的是，目前只做 TXT 记录，忽略提示的错误，选中“跳过此步骤”复选框，如图所示。

选择“跳过此步骤”

（5） 单击“完成”按钮，如图所示。

DNS 设置完成

在 Office 365 的 EAC 中，检查接受域已有“Office365tech.cn”域名。

检查接受域

（2）本地 Exchange 2013 环境的准备

按照https://technet.microsoft.com/zh-cn/library/bb691354(v=exchg.150) 文档部署本地 Exchange 2013 CU20。

目前在 AD 中部署了 hero.com 内部发布的域名，需要添加新的公网 UPN 地址后缀 Office365tech.cn。在 AD 域和信任工具中选择属性，如图所示。

在 AD 中添加新域名地址后缀

填写新增域名“Office365tech.cn”并单击“OK”按钮保存，如图所示。

输入 Office365tech.cn

跳过部署目录同步工具的步骤，同时将 Auto Discover 的 A 记录和 MX 指向本地的邮件服务器，如图所示。

DNS 记录截图

创建发送连接器“send”，以便可以发送邮件至 Internet，如图所示。

新建发送连接器

选择“与收件人关联的 MX 记录”

域填入“*”

选择 Exchange 服务器

创建接受的域 Office365tech.cn 并使其成为默认域，如图所示。

新建 Office365tech.cn 接受域

新建电子邮件地址策略并启用，如图所示。

新建 Office365tech.cn 电子邮件地址策略

应用 Office365tech.cn 电子邮件地址策略

发布 OWA 的外部地址，如图所示。

外部 URL 截图

发布 EWS 地址和认证方式（一定要选中“基本身份验证”复选框），如图所示。

选中“基本身份验证”

填写 EWS 外部 URL 地址，并选中“启用 MRS 代理终结点”复选框，如图所示。

EWS 外部 URL 截图

打开 Outlook Anywhere 设置，填入外部主机名为“Office365tech.cn”，身份认证选择为“基本”，单击“保存”按钮，如图所示。

Outlook Anywhere 设置

证书申请（注意，建议用户使用付费的第三方公网证书，免费的公网证书仅可用于实验环境）。请将证书分别安装 Exchange 2013 CU20 本地计算机——个人和受信任根证书目录中，如图所示。

证书信息

在本地 Exchange 2013 服务器 EAC 中导入证书，如图所示，选择“导入 Exchange 证书”。

选择“导入 Exchange 证书”

将 Exchange 2013 服务器本地文件夹 share，共享文件夹后导入证书，必须指定证书绑定了 SMTP 和 IIS 服务，如图所示。

导入 Exchange 证书

选择 Exchange 服务器主机

将证书绑定 IIS 和 SMTP 服务

在https://testconnectivity.microsoft.com/进行 Outlook Autodiscover 测试通过，这样就完成了 Exchange Online 混合部署的前期准备工作，如图所示。

测试 Outlook Autodiscover

第二部分： 混合部署向导

请访问以下微软官方网址了解“混合配置”向导:

https://docs.microsoft.com/zh-cn/exchange/hybrid-configuration-wizard

1. 开始运行 HCW

HCW 是 Microsoft Office 365 Hybrid Configuration Wizard 的缩写，如果用户部署的是 Exchange 2013 CU20 作为混合部署的服务器，建议在 Exchange 2013 CU20 务器上（https://aka.ms/hcwcn）下载和运行HCW，不要在Windows 7，Windows 10 等客户端计算机上下载。

混合部署配置过程如下。

（1） “验证先决条件并执行拓扑检查”。管理“混合配置”向导会验证内部组织和 Exchange Online 组织是否可以支持混合部署。向导在内部部署与 Exchange Online 组织中验证与检查的部分项目如下。

① 内部部署 Exchange 服务器版本。

② Exchange Online 版本。

③ Active Directory 同步状态和配置（Microsoft Azure Active Directory Connect）。

④ 联盟与接受域。

⑤ 现有联合身份验证信任和组织的关系。

⑥ Web 服务虚拟目录。

⑦ Exchange 证书。

（2） 测试账户凭据。指定的内部部署和 Office 365 混合管理账户会访问内部部署组织和 Exchange Online 组织，以收集先决条件验证信息并更改组织参数配置来启用混合部署功能。

（3） 进行混合部署配置更改。在测试混合管理账户、执行验证和拓扑检查，以及收集在向导过程中定义的配置信息之后，“混合配置”向导会更改配置以创建和启用混合部署。

（4） 如果遇到 412 错误，调整 IE 使得接受 Cookie，如图所示。

HCW 的 412 错误

调整 IE 隐私设置

（5）如果遇到 HCW 向导长时间没有响应，需查看默认程序，更改默认程序 APPLICATION File 为 IE，路径为 Control Panel\Programs\Default Programs\Set Associations，如图所示。

更改默认程序 APPLICATION File 为 IE

HCW 混合部署向导开始运行截图

（6）HCW 会自动选择检测到的 Exchange 2013 服务器，如果是负载均衡 NLB 环境（即有两台 Exchange 2013 服务器需要混合部署），只显示一台服务器也是正常的，在选择了“Office 365 China”后，直接单击“next”按钮。在此之前，需单击“license this server now”链接，激活 Exchange 2013 服务器的许可证，如图所示。

激活 EXO 混合部署的 Exchange 服务器

（7）输入 Exchange 2013 服务器管理员账号和 Office 365 全局管理员账号，如图所示。

输入管理员账号

（8）本地 Exchange 和 Office 365 的管理员账号都验证成功了，如图 2-376 所示。

账号验证成功

（9）选择完全的混合部署，不要选择最小混合部署（Minimal 混合部署不对本地和 Office 365 做设置，例如，安全的邮件流及忙闲共享等，只是为了分批次迁移邮箱），如图所示。

完全混合部署选项

（10）配置客户端访问和邮箱服务器的安全邮件流（没有边缘服务器时选择该选项），如图所示，同时，可以看到“Enable centralized mail transport”集中式邮件流选项，默认是没有启用的。

配置 CAS 和 Mailbox 服务器的安全邮件传输

配置 CAS 服务器的默认接收连接器，如图所示。

接收连接器配置

HCW 将配置发送连接器，如图所示。

发送连接器配置

设置检测到的公网证书，需要确认检测到的证书指纹和发布的 FQDN 是否正确，如图所示。

自动检测公网证书

设置组织的 FQDN，一般指内部做混合部署 Exchange 服务器的 FQDN，如所示。

输入内部组织的 FQDN

最后单击“update”按钮，完成混合部署的所有设置工作，如图所示。

更新 HCW

更新 HCW 界面

HCW 成功完成

2. HCW 的日志和基本排错

检查 HCW 是否成功完成方法如下。

（1） 查看 HCW 日志 %appdata%\Microsoft\Exchange Hybrid Configuration。

（2） 测试基本的邮件流和验证邮件是 TLS 加密的（本地发送连接器的 SMTP 日志）。

（3） 测试本地邮箱和 Office 365 邮箱收发邮件正常。

（4） 测试在本地 EAC 中直接创建 Office 365 邮箱是否成功。

（5） 测试本地和 Office 邮箱日历的忙闲信息是否共享。

（6） 测试邮箱的双向迁移是否成功。

（7） 在 Outlook 2016 中配置本地邮箱和 Office 365 邮箱是否成功。

第三部分： 手动混合部署

1. 运行手动混合部署

以下 13 个步骤均在本地 Exchange 2013 的 PowerShell 中运行。

（1） 运行 Get-OrganizationConfig | select guid 命令获得 Exchange 组织的 Guid，如图所示。

获得 Exchange 组织的 Guid

（2） 新增远程域“21v999.partner.mail.onmschina.cn”。

New-RemoteDomain -Name 'Hybrid Domain - 21v999.partner.mail.onmschina.cn' -DomainName '21v999.partner.mail.onmschina.cn'

（3） 设置远程域可以投递：

Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - 21v999.partner.mail.onmschina.cn'

（4） 新建接受域“21v999.partner.mail.onmschina.cn”。

New-AcceptedDomain -DomainName '21v999.partner.mail.onmschina.cn' -Name '21v999.partner.mail.onmschina.cn'

（5） 设置电子邮件地址策略，包含新创建的远程域的邮件地址 %m@21v999.partner. mail.onmschina.cn。

Set-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies, CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC= hero,DC=com' -ForceUpgrade: $true -EnabledEmailAddressTemplates SMTP:@21vlab.com,smtp:%m@21v999.partner.mail.onmschina.cn

（6） 更新本地组织内的电子邮件地址，只更新第二电子邮件地址。

Update-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies, CN=First Organization,CN=Microsoft Exchange,CN=Services,CN= Configuration, DC=hero,DC=com'  -UpdateSecondaryAddressesOnly: $true Enable-OrganizationCustomization

（7） 新建组织关系。

New-OrganizationRelationship -Name 'On-premises to Office 365 - 441634d7- d086-4b50-8725-e32d649fd100' -TargetApplicationUri $null -TargetAutodiscoverEpr $null -Enabled: $true -DomainNames {21v999.partner.mail.onmschina.cn}

（8） 设置组织关系。

Set-OrganizationRelationship -MailboxMoveEnabled: $true -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -ArchiveAccessEnabled: $true -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -PhotosEnabled: $true -TargetOwaURL 'http://partner.outlook.cn/owa/21vlab.com' -Identity 'On-premises to Office 365 - 441634d7-d086-4b50-8725 -e32d649fd100'

（9） 配置可用地址空间。

Add-AvailabilityAddressSpace -ForestName '21v999.partner.mail.onmschina. cn' -AccessMethod 'InternalProxy' -UseServiceAccount: $true -ProxyUrl 'https:// ex13.hero.com/EWS/Exchange.asmx' 

（10） 创建至 Office 365 的发送连接器。

New-SendConnector -Name 'Outbound to Office 365' -AddressSpaces {smtp:21v999.partner.mail.onmschina.cn;1} -SourceTransportServers {ex13} -DNSRoutingEnabled: $true -TLSDomain 'mail.mail.protection.partner. outlook.cn' -RequireTLS: $true -TLSAuthLevel 'DomainValidation' -ErrorPolicies 'Default' -TLSCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -CloudServicesMailEnabled: $true -Fqdn $null

（11） 设置本地默认的“Default Frontend”接收连接器。

Set-ReceiveConnector -Identity 'EX13\Default Frontend EX13' -TLSCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -TLSDomainCapabilities '<I>CN=CNNIC SSL, O=CNNIC SSL, C=CN<S>CN=*.mail.protection.partner.outlook.cn, OU=Office 365, O=Shanghai Blue Cloud Technology Co. Ltd, L=Shanghai, S=Shanghai, C=CN:AcceptCloudServicesMail'

（11） 设置 EWS 虚拟目录。

Set-WebServicesVirtualDirectory -Identity 'EX13\EWS (Default Web Site)' -MRSProxyEnabled: $true

（13） 创建本地到 Office 365 的 IntraOrganizationConnector。

New-IntraOrganizationConnector -Name 'HybridIOC - 441634d7-d086-4b50-8725- e32d649fd100' -DiscoveryEndpoint 'https://autodiscover-s.partner.outlook.cn/ autodiscover/autodiscover.svc' -TargetAddressDomains {21v999.partner.mail. onmschina.cn} -Enabled: $true 

以下 6 个步骤均在 Office 365 Exchange Online PowerShell 中运行。

建议首先运行以下命令：

Enable-OrganizationCustomization

（1） 新建组织关系。

New-OrganizationRelationship -Name 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100' -TargetApplicationUri $null -TargetAutodiscoverEpr $null -Enabled: $true -DomainNames {21vlab.com}

（2） 设置组织关系。

Set-OrganizationRelationship -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -PhotosEnabled: $true -Identity 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100'

（3） 新建 Office 365 入站连接器。

New-InboundConnector -Name 'Inbound from 441634d7-d086-4b50-8725- e32d649fd100' -ConnectorType 'OnPremises' -RequireTLS: $true -SenderDomains {smtp:*;1} -TLSSenderCertificateName '<I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=*.21vlab.com, OU=EssentialSSL Wildcard, OU=Domain Control Validated' -CloudServicesMailEnabled: $true 

（4） 新建 Office 365 出站连接器。

New-OutboundConnector -Name 'Outbound to 441634d7-d086-4b50-8725 -e32d649fd100' -RecipientDomains {21vlab.com} -SmartHosts {mail.21vlab.com} -ConnectorType 'OnPremises' -TLSSettings 'DomainValidation' -TLSDomain 'mail.21vlab.com' -CloudServicesMailEnabled: $true –RouteAllMessages ViaOnPremises: $false -UseMxRecord: $false 

（5） 新建内部组织：

New-OnPremisesOrganization -HybridDomains {21vlab.com} -InboundConnector 'Inbound from 441634d7-d086-4b50-8725-e32d649fd100' -OutboundConnector 'Outbound to 441634d7-d086-4b50-8725-e32d649fd100' -OrganizationRelationship 'Office 365 to On-premises  - 441634d7-d086-4b50-8725-e32d649fd100' -OrganizationName 'First Organization' -Name '441634d7-d086-4b50-8725- e32d649fd100' -OrganizationGuid '441634d7-d086-4b50-8725-e32d649fd100' 

（6） 创建 Office 365 到本地的 IntraOrganizationConnector：

New-IntraOrganizationConnector -Name 'HybridIOC - 98708a68-da2b-4ed0- 849b-d9e90e50369e' -DiscoveryEndpoint 'https://mail.21vcts.com/autodiscover/ autodiscover.svc' -TargetAddressDomains {21vcts.com} -Enabled: $true 

如果想了解本书的更多内容，可以通过京东和当当网购买本书，以便阅读其他章节。