O365 Wave 15: Hybrid configuration wizard

Что ни говори, но при условии должной подготовки работа визарда по настройке гибридной конфигурации и organization relationships между on-prem и Облаком в Wave 15 выглядит гораздо более приятной и простой, чем в предыдущей версии. Предлагаю Вашему вниманию для ознакомления несколько скриншотов.

Для начала, чтобы работала консоль и установщик, необходимо поместить сервер подключения консоли в Trusted Sites или в Intranet sites, иначе вылезет такое сообщение:

image

Далее на вкладке “Гибридный режим” нажимаем заветную кнопку “Включить”:

image

Открывается дополнительное окошко визарда:

image

Сперва вы, как водится, подтверждаете владение доменом:

clip_image001

После определяете модель почтовых потоков:

clip_image002

Указываете системе имя сервера HT для коннектора получения:

clip_image003

clip_image004

clip_image005

И далее точно так же - имя сервера HT для коннектора отправки:

clip_image006

Публичный сертификат у Вас уже должен быть проимпортирован в систему на локальный сервер ES 2013:

clip_image007

Далее потребуется задать имя сервера куда направлять почту с FOPE:

clip_image008

Наконец, вводятся учётные данные обоих администраторов – on-prem и Облачного:

clip_image009

clip_image010

clip_image011

Процесс настройки длится каких-то пару минут:

clip_image012

В моём конкретном случае он завершился с ошибкой:

clip_image013

Это в чистом виде баг. Надеюсь, он будет поправлен к выходу Wave 15 в продуктив.

Но тем не менее основные фазы процесса прошли успешно, федерация и relationship были созданы. Поэтому в дальнейшем при попытке запустить визард заново девственная кнопочка “Включить гибридный режим” уже не будет доступна, вместо неё нужно будет использовать кнопочку “Изменить”:

image

В процессе повторной настройки федеративные трасты (если они уже созданы) проверяются на наличие и валидность, а вот настройки organization relationship удаляются и создаются заново.

Процедура изменения гибридного режима задаёт практически те же самые вопросы.

clip_image001[5]

clip_image002[5]

Запрашиваются имена серверов ES2013 для соединителей отправки и приёма, есть возможность указать сертификат PKI, указывается сервер для настройки коннектора со стороны FOPE, и задаются учётные данные администраторов on-prem и Облака.

clip_image003[5]

Процесс быстро завершается. И если всё ОК, появляется долгожданное “Готово”:

clip_image004[5]

 

Мне очень понравился подробный лог-файл, который ведёт система в процессе работы визарда. Из него можно почерпнуть сведения о том, какие система выполняет команды. Располагаются файлы журналирования установки по следующему пути: c:\Program Files\Microsoft\Exchange Server\V15\Logging\Update-HybridConfiguration.

Итак, какие стадии проходит установщик?

1. Подключение к клиенту

Производится удалённое подключение к тенанту

2. Проверка предварительных условий

Проверяется версия Exchange в Облаке, наличие или отсутствие организационных связей, т.п.

3. Настройка параметров получателей

Проверяется, настроены ли Remote Domain, Email Address Policy на стороне Облака

4. Настройка связи организации

Выполняются следующие командлеты (приведены здесь для примера, не являются эталоном):

(XXX = имя тенанта, apestr.info = мой федеративный домен, sts.apestr.info = мой почтовый сервер ES2013)

New-RemoteDomain -Name 'Hybrid Domain - XXX.mail.onmicrosoft.com' -DomainName 'XXX.mail.onmicrosoft.com
Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - XXX.mail.onmicrosoft.com

New-AcceptedDomain -DomainName 'XXX.mail.onmicrosoft.com' -Name 'XXX.mail.onmicrosoft.com'
Set-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies,CN=<имя почтовой организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<имя домена>' -ForceUpgrade: $true -EnabledEmailAddressTemplates {SMTP:@apestr.info,smtp:%m@XXX.mail.onmicrosoft.com}

Update-EmailAddressPolicy -Identity 'CN=Default Policy,CN=Recipient Policies,CN=<имя почтовой организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<имя домена>' -UpdateSecondaryAddressesOnly: $true

Enable-OrganizationCustomization

Set-Federationtrust -Identity 'Microsoft Federation Gateway' -RefreshMetadata: $false

Set-FederatedOrganizationIdentifier -AccountNamespace 'apestr.info' -DelegationFederationTrust 'Microsoft Federation Gateway' -Enabled: $true
Set-FederatedOrganizationIdentifier -DefaultDomain 'XXX.mail.onmicrosoft.com' -Enabled: $true

New-OrganizationRelationship -Name 'On Premises to Office 365 Organization Relationship' -TargetApplicationUri 'outlook.com' -TargetAutodiscoverEpr 'https://pod51031.outlook.com/autodiscover/autodiscover.svc/WSSecurity' -Enabled: $true -DomainNames {XXX.mail.onmicrosoft.com}

New-OrganizationRelationship -Name 'Office 365 to on premises Organization Relationship' -TargetApplicationUri 'FYDIBOHF36SPDLT.apestr.info' -TargetAutodiscoverEpr 'https://autodiscover.apestr.info/autodiscover/autodiscover.svc/WSSecurity' -Enabled: $true -DomainNames {apestr.info}

5. Настройка параметров сведений о доступности

Выполняются следующие командлеты:

Set-OrganizationRelationship -MailboxMoveEnabled: $true -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -ArchiveAccessEnabled: $true -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -TargetOwaURL 'https://outlook.com/owa/XXX.onmicrosoft.com' -Identity 'On Premises to Office 365 Organization Relationship'

Set-OrganizationRelationship -FreeBusyAccessEnabled: $true -FreeBusyAccessLevel 'LimitedDetails' -MailTipsAccessEnabled: $true -MailTipsAccessLevel 'All' -DeliveryReportEnabled: $true -Identity 'Office 365 to on premises Organization Relationship'

Add-AvailabilityAddressSpace -ForestName 'XXX.mail.onmicrosoft.com' -AccessMethod 'InternalProxy' -UseServiceAccount: $true -ProxyUrl 'https://sts.apestr.info/EWS/Exchange.asmx'

6. Настройка потока почты

Выполняются командлеты:

Set-SendConnector -Name 'Outbound to Office 365' -AddressSpaces {smtp:XXX.mail.onmicrosoft.com;1} -SourceTransportServers {STS} -DNSRoutingEnabled: $true -TLSDomain 'mail.protection.outlook.com' -RequireTLS: $true -TLSAuthLevel 'DomainValidation' -ErrorPolicies 'Default' -TLSCertificateName '<I>CN=Auth-CA, DC=certdomain, DC=com<S>CN=*.apestr.info' -CloudServicesMailEnabled: $true -Fqdn $null -Identity 'Outbound to Office 365'

Set-ReceiveConnector -Identity 'STS\Default Frontend STS' -TLSCertificateName '<I>CN=Auth-CA, DC=certdomain, DC=com<S>CN=*.apestr.info' -TLSDomainCapabilities '<I>CN=Auth CA, DC=redmond, DC=corp, DC=microsoft, DC=com<S>CN=mail.protection.outlook.com, OU=Forefront Online Protection for Exchange, O=Microsoft, L=Redmond, S=WA, C=US:AcceptCloudServicesMail'

Set-InboundConnector -Name 'Inbound from APESTR' -ConnectorType 'OnPremises' -ConnectorSource 'HybridWizard' -RequireTLS: $true -SenderDomains {smtp:*;1} -AntiSpamFilteringEnabled: $false -TLSSenderCertificateName '*.apestr.info' -CloudServicesMailEnabled: $true -Identity 'Inbound from APESTR'

Set-OutboundConnector -Name 'Outbound to APESTR' -RecipientDomains {apestr.info} -SmartHosts {sts.apestr.info} -ConnectorType 'OnPremises' -ConnectorSource 'HybridWizard' -TLSSettings 'DomainValidation' -TLSDomain '*.apestr.info' -CloudServicesMailEnabled: $true -RouteAllMessagesViaOnPremises: $false -UseMxRecord: $false -Identity 'Outbound to APESTR'
New-OnPremisesOrganization -HybridDomains {apestr.info} -InboundConnector 'Inbound from APESTR' -OutboundConnector 'Outbound to APESTR' -Name 'APESTR' -OrganizationGuid 'ce64e9e1-f35с-4d23-a658-eb6987315545'

 

Надеюсь, данная информация поможет Вам лучше понять, как работает установщик гибридных отношений, окажет помощь и в случае необходимости траблшутинга своих инсталляций.