Märkus.
See artikkel kehtib ainult Microsoft 365 kohta, mida käitab 21Vianet Hiinas, ja kohapealsete Exchange'i organisatsioonide kohta, mis ei saa värskendada Exchange 2013 CU5 või uuemale versioonile.
Nüüd toetatakse täielikke hübriidjuurutusi asutusesiseste Exchange 2013 CU5 ettevõtete ja Microsoft 365 teenuste vahel. Kui te ei saa aga kohapealses asutuses Exchange 2013 CU5-le üle minna või seda installida, saate siiski konfigureerida vaba/hõivatud aja kalendri ühiskasutuse ning kohapealse Exchange'i ja Exchange Online organisatsioonide vahel.
Selle hübriidjuurutuse funktsiooni lubamiseks asutusesiseste ja Exchange Online asutuste jaoks järgige alltoodud juhiseid.
1. toiming: Exchange Online organisatsiooni jaoks autoriseerimisserveriobjektide loomine
Selle toimingu jaoks peate oma Exchange Online organisatsiooni jaoks määrama kinnitatud domeeni. See domeen peaks olema sama domeen, mida kasutatakse pilvepõhiste meilikontode jaoks kasutatava esmase SMTP-domeeniga. Järgmises toimingus nimetatakse seda domeeni teie kinnitatud domeeniks<>.
Käivitage kohapealse Exchange'i organisatsiooni Exchange Management Shellis (Exchange PowerShellis) järgmine käsk.
New-AuthServer -Name "MicrosoftAzureACS" -AuthMetadataUrl https://accounts.accesscontrol.chinacloudapi.cn/<your tenant initial domain>/metadata/json/1
New-AuthServer -Name "EvoSTS" -Type AzureAD -AuthMetadataUrl "https://login.chinacloudapi.cn/<your tenant initial domain>/federationmetadata/2007-06/federationmetadata.xml"
2. toiming: partnerrakenduse lubamine oma Exchange Online organisatsiooni jaoks
Käivitage kohapealse Exchange'i organisatsiooni Exchange PowerShellis järgmine käsk.
Get-PartnerApplication | Where-Object {$_.ApplicationIdentifier -eq "00000002-0000-0ff1-ce00-000000000000"-and $_.Realm -eq ""} | Set-PartnerApplication -Enabled $true
3. juhis. Kohapealse autoriseerimisserdi eksportimine
Selles etapis peate kohapealse autoriseerimisserdi eksportimiseks käivitama PowerShelli skripti, mis imporditakse järgmises etapis teie Exchange Online organisatsiooni.
Salvestage järgmine tekst PowerShelli skriptifaili nimega (nt ExportAuthCert.ps1).
$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((Test-Path $env:SYSTEMDRIVE\OAuthConfig) -eq $false)
{
New-Item -Path $env:SYSTEMDRIVE\OAuthConfig -Type Directory
}
Set-Location -Path $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | Where-Object {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)
Käivitage kohapealse Exchange'i organisatsiooni Exchange PowerShellis eelmises etapis loodud PowerShelli skript. Siin on mõned näited.
.\ExportAuthCert.ps1
4. toiming: kohapealse autoriseerimisserdi üleslaadimine Microsoft Entra Access Control Serverisse (ACS)
Ettevaatust!
Selles etapis kirjeldatud toimingud on aegunud ja peagi kasutuselt kõrvaldatud. Jätke see toiming vahele ja konfigureerige sihtotstarbeline Exchange'i hübriidrakendus pärast selles tugiartiklis kirjeldatud juhiste järgimist. Kui olete autentimisserdi selles jaotises toodud juhiste järgi juba üles laadinud, soovitame selle kindlasti eemaldada. Selleks järgige sihtotstarbelise Exchange'i hübriidrakenduse juurutamise dokumentatsioonis toodud juhiseid.
Järgmiseks peate Windows PowerShell abil üles laadima eelmises etapis eksporditud kohapealse autoriseerimisserdi Microsoft Azure Active Directory Access Control Servicesi (ACS). Selleks tuleb installida Windows PowerShell cmdlet-käskude Microsoft Azure Active Directory (AD) moodul. Kui see pole installitud, minge Microsoft Azure AD mooduli installimiseks https://aka.ms/aadposh. Pärast Microsoft Azure AD mooduli installimist tehke järgmist.
Windows PowerShell otsetee Windows PowerShell avamiseks klõpsake microsoft Azure Active Directory moodulit, et avada Windows PowerShell tööruum, kuhu on installitud Microsoft Azure AD cmdlet-käsud. Kõik selle toimingu käsud käivitatakse Microsoft Azure Active Directory konsooli Windows PowerShell kasutades.
Salvestage järgmine tekst PowerShelli skriptifaili nimega (nt UploadAuthCert.ps1).
Connect-MsolService
Import-Module msonlineextended
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
$objFSO = New-Object -ComObject Scripting.FileSystemObject
$CertFile = $objFSO.GetAbsolutePathName($CertFile)
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate$cer.Import($CertFile)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert)
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceNameNew-MsolServicePrincipalCredential -AppPrincipalId $p.AppPrincipalId -Type asymmetric -Usage Verify -Value $credValue
Käivitage eelmise toiminguga loodud PowerShelli skript. Siin on mõned näited.
.\UploadAuthCert.ps1
Pärast skripti käivitamist kuvatakse identimisteabe dialoogiboks. Sisestage oma Microsoft Online'i Microsoft Azure AD organisatsiooni rentnikuadministraatori konto identimisteave. Pärast skripti käivitamist jätke Microsoft Azure Active Directory seansi Windows PowerShell avatuks. Seda kasutatakse PowerShelli skripti käivitamiseks järgmises toimingus.
5. toiming: registreerige kõik hostinimede ametiasutused oma kohapealsete Exchange HTTP lõpp-punktide jaoks Microsoft Entra ID
Skript tuleb käivitada iga kohapealse Exchange'i organisatsiooni lõpp-punkti jaoks, millele pääseb avalikult juurde. Võimaluse korral soovitame kasutada metakaarte. Oletagem näiteks, et Exchange on väliselt saadaval https://mail.contoso.com/ews/exchange.asmx. Sel juhul saab kasutada ühte metamärki: *.contoso.com. See hõlmaks autodiscover.contoso.com ja mail.contoso.com lõpp-punkte. Siiski ei hõlma see üladomeeni contoso.com. Kui teie Exchange 2013 kliendipääsuserveritele pääseb ülataseme hostinimede keskuse kaudu juurde väliselt, peab see hostinimede asutus olema registreeritud ka contoso.com. Täiendavate väliste hostinimede haldurite registreerimisel pole limiiti.
Kui te pole kohapealse Exchange'i organisatsiooni väliste Exchange'i lõpp-punktide osas kindel, saate väliste konfigureeritud veebiteenuste lõpp-punktide loendi, käivitades kohapealses Exchange'i organisatsioonis Exchange PowerShelli järgmise käsu:
Get-WebServicesVirtualDirectory | FL ExternalUrl
Märkus.
Järgmise skripti käitamiseks peab Microsoft Azure Active Directory Windows PowerShell olema ühendatud teie Microsoft Online'i Microsoft Azure AD rentnikuga, nagu on selgitatud eelmise jaotise 4. juhises.
Salvestage järgmine tekst PowerShelli skriptifaili nimega (nt RegisterEndpoints.ps1). Selles näites kasutatakse metamärki kõigi contoso.com lõpp-punktide registreerimiseks. Asendage contoso.com kohapealse Exchange'i organisatsiooni hostinimekeskusega.
$externalAuthority="*.contoso.com"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal –ServicePrincipalName $ServiceName
$spn = [string]::Format("{0}/{1}", $ServiceName, $externalAuthority)
$p.ServicePrincipalNames.Add($spn)
Set-MsolServicePrincipal –ObjectID $p.ObjectId –ServicePrincipalNames $p.ServicePrincipalNames
Käivitage Microsoft Azure Active Directory Windows PowerShell eelmises etapis loodud PowerShelli skript. Siin on mõned näited.
.\RegisterEndpoints.ps1
6. toiming. Siseorganiseerimise ühenduse loomine kohapealsest organisatsioonist Microsoft 365 keskkonda
Peate määratlema Exchange Online majutatavate postkastide sihtaadressi. See sihtaadress luuakse Microsoft 365 rentniku loomisel automaatselt. Näiteks kui teie microsoft 365 rentnikus majutatud ettevõtte domeen on "contoso.com", on teie sihtteenuse aadress "contoso.partner.mail.onmschina.cn".
Käivitage Kohapealses asutuses Exchange PowerShelli abil järgmine cmdlet-käsk:
New-IntraOrganizationConnector -name ExchangeHybridOnPremisesToOnline -DiscoveryEndpoint https://partner.outlook.cn/autodiscover/autodiscover.svc -TargetAddressDomains <your service target address>
7. juhis. Siseorganiseerimise ühenduse loomine Microsoft 365 rentnikust kohapealse Exchange'i organisatsioonini
Peate määratlema oma kohapealses organisatsioonis majutatavate postkastide sihtaadressi. Kui teie ettevõtte peamine SMTP-aadress on "contoso.com", on see "contoso.com".
Peate kohapealse asutuse jaoks määratlema ka välise automaattuvastuse lõpp-punkti. Kui teie ettevõte on "contoso.com", on see tavaliselt üks järgmistest.
- https://autodiscover.<teie esmane SMTP-domeen>/autodiscover/autodiscover.svc
- <https:// ühe esmane SMTP-domeen>/autodiscover/autodiscover.svc
Märkus.
Cmdlet-käsu Get-IntraOrganizationConfiguration abil saate nii kohapealsetes kui ka Microsoft 365 rentnikes määratleda cmdlet-käsu New-IntraOrganizationConnector nõutavad lõpp-punkti väärtused.
Käivitage Windows PowerShell abil järgmine cmdlet-käsk:
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential
Import-PSSession $Session
New-IntraOrganizationConnector -name ExchangeHybridOnlineToOnPremises -DiscoveryEndpoint <your on-premises-Autodiscover endpoint> -TargetAddressDomains <your on-premises target address>
8. juhis. AvailabilityAddressSpace'i konfigureerimine Exchange 2013 sp1-eelsete serverite jaoks
Hübriidjuurutuse konfigureerimisel Exchange 2013-eelses organisatsioonis peate installima vähemalt ühe Exchange 2013 SP1 või uuema serveri, millel on olemasolevas Exchange'i organisatsioonis kliendipääsu- ja postkastiserveri rollid. Exchange 2013 kliendipääsu- ja postkastiserverid toimivad eesserveritena ning koordineerivad olemasoleva Exchange'i kohapealse organisatsiooni ja Exchange Online organisatsiooni vahelist suhtlust. See suhtlus hõlmab sõnumite edastus- ja sõnumsidefunktsioone kohapealsete ja Exchange Online asutuste vahel. Hübriidjuurutuse funktsioonide töökindluse ja kättesaadavuse suurendamiseks soovitame asutusesisesesse organisatsiooni installida rohkem kui ühe Exchange 2013 serveri.
Exchange 2013/2010 või Exchange 2013/2007 segajuurutuse korral on soovitatav, et kõik kohapealse asutuse Interneti-suunalised eesserverid oleksid kliendipääsuserverid, kus töötab Exchange 2013 SP1 või uuem versioon. Kõik Microsoft 365 ja Exchange Online pärit Exchange'i veebiteenuste (EWS) taotlused peavad kohapealse juurutuse korral looma ühenduse Exchange 2013 kliendipääsuserveritega. Lisaks tuleb kõik kohapealsest Exchange'i organisatsioonist pärit Exchange Online EWS-i taotlused hankida klientpääsuserveri kaudu, kus töötab Exchange 2013 SP1 või uuem versioon. Kuna need Exchange 2013 kliendipääsuserverid peavad käsitlema seda sissetuleva ja väljamineva EWS-i lisapäringuid, on oluline, et töötlemise koormuse töötlemiseks ja ühenduse liiasuse pakkumiseks oleks saadaval piisavalt Exchange 2013 kliendipääsuservereid. Vajaminevate kliendipääsuserverite arv sõltub keskmisest EWS-päringute hulgast ja oleneb organisatsioonist.
Enne järgmise toimingu lõpuleviimist veenduge, et:
- Eesmised hübriidserverid on Exchange 2013 SP1 või selle suuremad versioonid
- Teil on Exchange 2013 serverite kordumatu väline EWS-i URL. Et hübriidfunktsioonide pilvepõhised taotlused töötaksid õigesti, peab Microsoft 365 rentnik nende serveritega ühenduse looma.
- Serveritel on nii postkasti kui ka kliendipääsu serverirollid
- Kõigis olemasolevates Exchange 2010/2007 postkasti- ja kliendipääsuserverites on rakendatud uusim koondvärskendus (CU) või hoolduspakett (SP).
Märkus.
Olemasolevad Exchange 2010/2007 postkastiserverid saavad jätkata Exchange 2010/2007 kliendipääsuserverite kasutamist eesserverites mittehübriidfunktsioonide ühenduste jaoks. Exchange 2013 serveritega peavad ühenduse looma ainult Microsoft 365 rentniku hübriidjuurutuse funktsioonitaotlused.
Väljamineva Exchange'i veebiteenuste puhverserveri konfigureerimine Exchange 2013-eelsete serverite jaoks
Peab olema konfigureeritud availabilityAddressSpace, mis osutab teie kohapealse Exchange 2013 SP1 kliendipääsuserveri Exchange'i veebiteenuste lõpp-punktile. See lõpp-punkt on sama lõpp-punkt, mida on kirjeldatud 5. juhises, või selle saab määratleda, käitades kohapealses Exchange 2013 SP1 kliendipääsuserveris järgmise cmdlet-käsu:
Get-WebServicesVirtualDirectory | FL AdminDisplayVersion,ExternalUrl
Märkus.
Kui virtuaalkataloogi teave tagastatakse mitmest serverist, veenduge, et kasutaksite Exchange 2013 SP1 kliendipääsuserveri jaoks tagastatud lõpp-punkti. Parameetri AdminDisplayVersion korral kuvatakse see 15.0 (järk 847.32) või uuem.
AvailabilityAddressSpace'i konfigureerimiseks kasutage Exchange PowerShelli ja käivitage kohapealses organisatsioonis järgmine cmdlet-käsk:
Add-AvailabilityAddressSpace -AccessMethod InternalProxy –ProxyUrl <your on-premises External Web Services URL> -ForestName <your Office 365 service target address> -UseServiceAccount $True
Kuidas veenduda, et see toimis?
Cmdlet-käsu Test_OAuthConnectivity abil saate kontrollida, kas OAuthi konfiguratsioon on õige. See cmdlet-käsk kontrollib, kas kohapealsed Exchange'i ja Exchange Online lõpp-punktid saavad üksteise taotlusi autentida.
NB!
Kui loote kaug-PowerShelli abil ühenduse oma Exchange Online ettevõttega, peate võib-olla kasutama cmdlet-käsuga Import-PSSession parameetrit AllowClobber, et importida uusimad käsud kohalikku PowerShelli seanssi.
Veendumaks, et teie asutusesisene Exchange'i organisatsioon saab Exchange Online ühenduse luua, käivitage kohapealses organisatsioonis Exchange PowerShellis järgmine käsk:
Test-OAuthConnectivity -Service EWS -TargetUri https://partner.outlook.cn/ews/exchange.asmx -Mailbox <On-Premises Mailbox> -Verbose | fl
Veendumaks, et teie Exchange Online organisatsioon saab teie kohapealse Exchange'i organisatsiooniga ühenduse luua, kasutage Exchange Online organisatsiooniga ühenduse loomiseks Remote PowerShelli ja käivitage järgmine käsk:
Test-OAuthConnectivity -Service EWS -TargetUri <external hostname authority of your Exchange On-Premises deployment> -Mailbox <On-Premises Mailbox> -Verbose | fl
NB!
Võite ignoreerida tõrget "SMTP-aadressiga pole postkasti seostatud". Oluline on ainult see, et parameeter ResultTask tagastaks väärtuse Success. Näiteks peaks testväljundi viimane osa olema järgmine:
ResultType: Success
Identity: Microsoft.Exchange.Security.OAuth.ValidationResultNodeId
IsValid: True
ObjectState: New