Предварительные условия для гибридного развертывания
Сводка. Что необходимо среде Exchange для настройки гибридного развертывания.
Перед созданием и настройкой гибридного развертывания с помощью мастера гибридной конфигурации необходимо, чтобы ваша существующая локальная организация Exchange соответствовала определенным требованиям. В противном случае вы не сможете выполнить шаги в мастере гибридной конфигурации и настроить гибридное развертывание между локальной организацией Exchange и организацией Exchange Online.
Необходимые условия для гибридного развертывания
Ниже приведены необходимые условия для настройки гибридного развертывания:
- Локальная организация Exchange. Версия Exchange, установленная в локальной организации, определяет версию гибридного развертывания, которую можно установить. Как правило, следует настроить последнюю версию гибридного развертывания, поддерживаемую в вашей организации, как описано в следующей таблице.
Локальная среда | Гибридное развертывание на основе Exchange 2019 | гибридное развертывание на основе Exchange 2016 | гибридное развертывание на основе Exchange 2013 | гибридное развертывание на основе Exchange 2010 |
---|---|---|---|---|
Exchange 2019 | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Exchange 2016 | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
Exchange 2013 | Поддерживается | Поддерживается | Поддерживается | Не поддерживается |
Exchange 2010 | Не поддерживается | Поддерживается | Поддерживается | Поддерживается |
Выпуски Exchange Server. Для гибридных развертываний требуется последняя версия накопительного обновления (CU) или накопительный пакет обновления (RU), доступный для вашей версии Exchange. Если не удается установить последнее обновление, также поддерживается предыдущий выпуск.
Exchange CU выпускаются ежеквартально, поэтому поддержание актуальности серверов Exchange обеспечивает дополнительную гибкость, если вам периодически требуется дополнительное время для завершения обновлений.
Роли сервера Exchange. Роли сервера, которые необходимо установить в локальной организации, зависят от установленной версии Exchange.
Exchange 2016 и более поздней версии: по крайней мере один сервер почтовых ящиков.
Exchange 2013: установлен по крайней мере один экземпляр ролей сервера почтового ящика и сервера клиентского доступа (отдельно или на одном сервере; настоятельно рекомендуется на одном сервере).
Exchange 2010: по крайней мере один экземпляр ролей сервера почтового ящика, транспорта концентратора и сервера клиентского доступа (отдельно или на одном сервере; настоятельно рекомендуется на одном сервере).
Гибридное развертывание также поддерживает серверы Exchange с активной ролью пограничного транспортного сервера. Пограничные транспортные серверы также должны быть обновлены до последней версии CU или RU. Мы настоятельно рекомендуем развертывать пограничные транспортные серверы в сети периметра. Вы не можете развернуть серверы почтовых ящиков или клиентского доступа в сети периметра.
Примечание.
Если вы уже начали процесс миграции с гибридными конечными точками Exchange 2010 и не планируете хранить локальные почтовые ящики, продолжайте миграцию как есть. Если вы планируете сохранить некоторые почтовые ящики в локальной среде, настоятельно рекомендуется внедрить гибридные конечные точки Exchange 2016 (так как жизненный цикл поддержки Exchange 2010 истек). Продолжите миграцию почтовых ящиков Exchange 2010 в Office 365, а затем переместите почтовые ящики, которые останутся локальными, на серверы Exchange 2016. После удаления всех серверов Exchange 2010 вы можете представить серверы Exchange 2019 в качестве новых гибридных конечных точек, а также переместить оставшиеся локальные почтовые ящики на серверы Exchange 2019.
Microsoft 365 или Office 365: гибридные развертывания поддерживаются во всех планах Microsoft 365 и Office 365, поддерживающих синхронизацию Microsoft Entra. Все планы Microsoft 365 бизнес стандартный, бизнес базовый, корпоративный, для государственных организаций, академический и средний поддерживают гибридные развертывания. Приложения Microsoft 365 для бизнеса и для дома не поддерживают гибридные развертывания.
Дополнительные сведения см. в Microsoft 365.
Личные домены. Зарегистрируйте все личные домены, которые вы хотите использовать в гибридном развертывании в Microsoft 365 или Office 365. Это можно сделать с помощью портала Microsoft 365 или при необходимости настроив службы федерации Active Directory (AD FS) в локальной организации.
Дополнительные сведения см. в статье Добавление домена в Microsoft 365 или Office 365.
Синхронизация Active Directory. Разверните Microsoft Entra Connect или средство облачной синхронизации, чтобы включить синхронизацию Active Directory с локальной организацией.
Дополнительные сведения см. в статье Параметры входа пользователей Microsoft Entra Connect и Что такое Microsoft Entra Cloud Sync?.
Записи DNS автообнаружения. Настройте запись автообнаружения для существующих доменов SMTP в общедоступной службе DNS, чтобы она указывала на локальные серверы Exchange (сервер клиентского доступа Exchange 2010/2013 или сервер почтовых ящиков Exchange 2016/2019).
Сертификаты. Назначьте службы Exchange действительным цифровым сертификатом, приобретенным в доверенном общедоступном центре сертификации (ЦС). Хотя вы должны использовать самозаверяемые сертификаты для локального доверия федерации с шлюзом федерации Майкрософт, вы не можете использовать самозаверяемые сертификаты для служб Exchange в гибридном развертывании.
Экземпляру служб IIS на серверах Exchange, настроенных в гибридном развертывании, требуется действительный цифровой сертификат, приобретенный в доверенном ЦС.
Внешний URL-адрес EWS и конечная точка автообнаружения, указанные в общедоступной службе DNS, должны быть указаны в поле Альтернативное имя субъекта (SAN) сертификата. Сертификаты, устанавливаемые на серверах Exchange Server для потока обработки почты в гибридном развертывании, должны быть выданы тем же центром сертификации и иметь одинаковый субъект.
Дополнительные сведения см. в статье Требования к сертификатам для гибридных развертываний.
EdgeSync. Если вы развернули пограничные транспортные серверы в локальной организации и хотите настроить пограничные транспортные серверы для гибридной безопасной передачи почты, необходимо настроить EdgeSync перед использованием мастера гибридной конфигурации. Кроме того, необходимо запускать EdgeSync при каждом применении нового cu к пограничному транспортному серверу.
Важно!
Хотя EdgeSync является обязательным требованием в развертываниях с пограничными транспортными серверами, при настройке пограничных транспортных серверов для гибридной безопасной передачи почты требуются дополнительные параметры конфигурации.
Дополнительные сведения см. в разделе Пограничные транспортные серверы при гибридном развертывании.
Microsoft .NET Framework. Чтобы проверить версии, которые можно использовать с определенной версией Exchange, см. статью Матрица поддержки Exchange Server — Microsoft .NET Framework.
Почтовые ящики с поддержкой единой системы обмена сообщениями.Если у вас есть почтовые ящики с поддержкой единой системы обмена сообщениями и вы хотите переместить их в Microsoft 365 или Office 365, перед их перемещением необходимо выполнить следующие требования:
Lync Server 2010, Lync Server 2013 или Skype для бизнеса Server 2015 или более поздней версии, интегрированные с локальной телефонной системой.
или
Skype для бизнеса Online интегрирован с локальной системой телефонии.
или
Обычная локальная УАТС или IP-УАТС.
Дополнительные сведения см. в статье Интеграция телефонной системы с единой системой обмена сообщениями в Exchange Online, Планирование миграции Skype для бизнеса Server и Exchange Server и Настройка облачной голосовой почты.
Протоколы, порты и конечные точки гибридного развертывания
Необходимо настроить следующие протоколы, порты и конечные точки подключения в брандмауэре, который защищает локальную организацию, как описано в следующей таблице.
Важно!
Связанные конечные точки Microsoft 365 и Office 365 огромны, постоянно меняются и не перечислены здесь. Вместо этого ознакомьтесь с разделами Exchange Online и Microsoft 365 Common и Office Online в Microsoft 365 и Office 365 URL-адреса и диапазоны IP-адресов , чтобы определить конечные точки для каждого порта, указанного здесь.
Примечание.
Порты, необходимые для потока обработки почты и подключения клиентов в локальной организации Exchange, не связанные с гибридной конфигурацией, описаны в разделе Сетевые порты для клиентов и поток обработки почты в Exchange.
Source | Протокол или порт | Target | Comments |
---|---|---|---|
Конечные точки Exchange Online | TCP/25 (SMTP/TLS) | Почтовый ящик Exchange 2019/2016 или Edge Сервер клиентского доступа или пограничный сервер Exchange 2013 Exchange 2010 Hub/Edge |
Локальные серверы Exchange Server, настроенные для размещения соединителей получения для безопасной передачи почты с помощью Exchange Online в мастере гибридной конфигурации |
Почтовый ящик Exchange 2019/2016 или Edge Сервер клиентского доступа или пограничный сервер Exchange 2013 Exchange 2010 Hub/Edge |
TCP/25 (SMTP/TLS) | Конечные точки Exchange Online | Локальные серверы Exchange Server настроены для размещения соединителей отправки для безопасной передачи почты с помощью Exchange Online в мастере гибридной конфигурации |
Конечные точки Exchange Online | TCP/443 (HTTPS) | Почтовый ящик Exchange 2019/2016 Сервер клиентского доступа Exchange 2013/2010 |
Локальные серверы Exchange Server, используемые для публикации веб-служб Exchange и автообнаружения в Интернете |
Почтовый ящик Exchange 2019/2016 Сервер клиентского доступа Exchange 2013/2010 |
TCP/443 (HTTPS) | Конечные точки Exchange Online | Локальные серверы Exchange Server, используемые для публикации веб-служб Exchange и автообнаружения в Интернете |
Почтовый ящик Exchange 2019/2016 или Edge Сервер клиентского доступа или пограничный сервер Exchange 2013 Exchange 2010 Hub/Edge |
80 | ctldl.windowsupdate.com/* | Для гибридных функций серверам Exchange Server требуется исходящее подключение к различным конечным точкам списка отзыва сертификатов (CRL), упомянутым здесь. Настоятельно рекомендуется разрешить Windows поддерживать список доверия сертификатов (CTL) на компьютере. В противном случае это необходимо поддерживать вручную на регулярной основе. Чтобы разрешить Windows поддерживать CTL, URL-адрес должен быть доступен с компьютера, на котором установлен Exchange Server. |
В следующей таблице приведены более подробные сведения о задействованных локальных конечных точках.
Описание | Порт и протокол | Локальная конечная точка | Поставщик проверки подлинности | Метод авторизации | Поддерживается предварительная проверка подлинности? |
---|---|---|---|---|---|
Поток почты SMTP между Microsoft 365 или Office 365 и локальной службой Exchange | TCP 25 (SMTP/TLS) | Почтовый ящик Exchange 2019/2016 или Edge Сервер клиентского доступа или пограничный сервер Exchange 2013 Exchange 2010 Hub/Edge |
Н/Д | На основе сертификата | Нет |
Автообнаружение | TCP 443 (HTTPS) | Сервер почтовых ящиков Exchange 2019/2016: /autodiscover/autodiscover.svc/wssecurity Exchange 2013/2010 CAS: /autodiscover/autodiscover.svc |
Система проверки подлинности Microsoft Entra | Проверка подлинности WS-Security | Нет |
"Свободная/занятая", подсказки и отслеживание сообщений (EWS) | TCP 443 (HTTPS) | Почтовый ящик Exchange 2019/2016 или Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity |
Система проверки подлинности Microsoft Entra | Проверка подлинности WS-Security | Нет |
Поиск в нескольких почтовых ящиках (EWS) | TCP 443 (HTTPS) | Почтовый ящик Exchange 2019/2016 или Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Сервер проверки подлинности | Проверка подлинности WS-Security | Нет |
Миграция почтовых ящиков (EWS) | TCP 443 (HTTPS) | Почтовый ящик Exchange 2019/2016 или Exchange 2013/2010 CAS: /ews/mrsproxy.svc |
NTLM; | Обычный | Нет |
OAuth (автообнаружения и EWS) | TCP 443 (HTTPS) | Почтовый ящик Exchange 2019/2016 или Exchange 2013/2010 CAS: /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc |
Сервер проверки подлинности | Проверка подлинности WS-Security | Нет |
AD FS (Windows Server) | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server: /adfs/* | Система проверки подлинности Microsoft Entra | Зависит от конфигурации. | 2-факторная |
Microsoft Entra Connect | TCP 443 (HTTPS) | Windows 2012 R2/2016 Server (AD FS): /adfs/* | Система проверки подлинности Microsoft Entra | Зависит от конфигурации. | 2-факторная |
Дополнительные сведения об этой информации см. в разделах Подробное руководство. Как работает гибридная проверка подлинности, Демистификация и устранение неполадок с гибридным потоком почты: когда это внутреннее сообщение?, Маршрутизация транспорта в гибридных развертываниях Exchange, Настройка потока обработки почты с помощью соединителей и Управление потоком обработки почты с почтовыми ящиками в нескольких расположениях (Exchange Online и локально).
Рекомендуемые средства и службы
При настройке гибридных развертываний с помощью мастера гибридной конфигурации полезны следующие средства и службы:
Помощник по миграции почты. Предоставляет пошаговые инструкции по настройке гибридного развертывания между локальной организацией и Microsoft 365 или Office 365 или полностью выполнить миграцию на Microsoft 365 или Office 365.
Дополнительные сведения см . в этой странице.
Средство анализатора удаленного подключения. Средство анализатора удаленного подключения Майкрософт проверяет внешнее подключение локальной организации Exchange и гарантирует, что вы готовы к настройке гибридного развертывания. Перед настройкой гибридного развертывания с помощью мастера гибридной конфигурации мы настоятельно рекомендуем вам проверить свою локальную организацию с помощью анализатора удаленных подключений.
Дополнительные сведения см. в разделе Microsoft Remote Connectivity Analyzer.
Единый вход. Единый вход позволяет пользователям получать доступ к локальным организациям и организациям Exchange Online с одним именем пользователя и паролем. Он предоставляет пользователям знакомый интерфейс входа и позволяет администраторам легко управлять политиками учетных записей для почтовых ящиков организации Exchange Online с помощью локальных средств управления Active Directory.
При развертывании единого входа у вас есть несколько вариантов: синхронизация паролей и службы федерации Active Directory. Оба варианта предоставляются Microsoft Entra Connect. Синхронизация паролей позволяет легко реализовать единый вход практически для любой организации независимо от ее размера. По этой причине и из-за того, что пользовательский интерфейс в гибридном развертывании значительно улучшается при включенном едином входе, настоятельно рекомендуется реализовать его. Службы федерации Active Directory требуются для очень крупных организаций, например организаций с несколькими лесами Active Directory, которые необходимо присоединить к гибридной среде.
Дополнительные сведения см. в статье Единый вход в гибридные развертывания.