Napomena
Ovaj se članak odnosi samo na Microsoft 365 kojim upravlja 21Vianet u Kini i lokalne tvrtke ili ustanove sustava Exchange koje ne mogu ažurirati na Exchange 2013 CU5 ili noviju verziju.
Sada su podržane hibridne implementacije sa svim značajkama između lokalnih organizacija sustava Exchange 2013 CU5 i servisa sustava Microsoft 365. No ako ne možete nadograditi na Exchange 2013 CU5 ili ga instalirati u lokalnoj organizaciji, i dalje možete konfigurirati zajedničko korištenje kalendara između lokalnih organizacija sustava Exchange i Exchange Online.
Slijedite korake za hibridnu implementaciju u nastavku da biste omogućili značajku hibridne implementacije za lokalnu organizaciju i Exchange Online.
1. korak: stvaranje objekata poslužitelja za autorizaciju za organizaciju sustava Exchange Online
Za ovaj postupak morate navesti provjerenu domenu za tvrtku ili ustanovu sustava Exchange Online. Ta bi domena trebala biti ista kao primarna SMTP domena koja se koristi za račune e-pošte u oblaku. Ta se domena u sljedećem postupku naziva <vaša potvrđena domena> .
Pokrenite sljedeću naredbu u komponenti Exchange Management Shell (Exchange PowerShell) u lokalnoj tvrtki ili ustanovi sustava Exchange.
New-AuthServer -Name "MicrosoftAzureACS" -AuthMetadataUrl https://accounts.accesscontrol.chinacloudapi.cn/<your tenant initial domain>/metadata/json/1
New-AuthServer -Name "EvoSTS" -Type AzureAD -AuthMetadataUrl "https://login.chinacloudapi.cn/<your tenant initial domain>/federationmetadata/2007-06/federationmetadata.xml"
2. korak: omogućivanje partnerske aplikacije za Exchange Online u tvrtki ili ustanovi
Pokrenite sljedeću naredbu u ljusci Exchange PowerShell u lokalnom sustavu Exchange tvrtke ili ustanove.
Get-PartnerApplication | Where-Object {$_.ApplicationIdentifier -eq "00000002-0000-0ff1-ce00-000000000000"-and $_.Realm -eq ""} | Set-PartnerApplication -Enabled $true
3. korak: izvoz lokalne potvrde o autorizaciji
U ovom ćete koraku morati pokrenuti skriptu komponente PowerShell da biste izvezli lokalni certifikat za autorizaciju, koji se u sljedećem koraku zatim uvozi u organizaciju sustava Exchange Online.
Spremite sljedeći tekst u datoteku skripte PowerShell pod nazivom, primjerice, ExportAuthCert.ps1.
$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((Test-Path $env:SYSTEMDRIVE\OAuthConfig) -eq $false)
{
New-Item -Path $env:SYSTEMDRIVE\OAuthConfig -Type Directory
}
Set-Location -Path $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | Where-Object {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)
U ljusci PowerShell sustava Exchange u lokalnoj tvrtki ili ustanovi sustava Exchange pokrenite skriptu komponente PowerShell koju ste stvorili u prethodnom koraku. Na primjer:
.\ExportAuthCert.ps1
4. korak: Prijenos lokalnog certifikata za autorizaciju na Microsoft Entra Access Control Server (ACS)
Oprez
Postupci navedeni u ovom koraku zastarjeli su i uskoro će zastarjeti. Preskočite ovaj korak i umjesto toga konfigurirajte namjensku hibridnu aplikaciju sustava Exchange nakon što slijedite korake navedene u ovom članku za podršku. Ako ste potvrdu o provjeri autentičnosti već prenijeli prema uputama u ovom odjeljku, preporučujemo da je uklonite. To možete učiniti slijedeći korake navedene u dokumentaciji za implementaciju namjenske hibridne aplikacije sustava Exchange.
Nakon toga morate pomoću komponente Windows PowerShell prenijeti lokalni certifikat za autorizaciju koji ste izvezli u prethodnom koraku u servise Microsoft Azure Active Directory Access Control Services (ACS). Da biste to učinili, morate instalirati modul Microsoft Azure Active Directory (AD) za cmdlete komponente Windows PowerShell. Ako nije instaliran, idite na https://aka.ms/aadposh da biste instalirali Microsoft Azure AD modul. Dovršite sljedeće korake nakon instalacije modula Microsoft Azure AD.
Kliknite prečac na modul Microsoft Azure Active Directory za Windows PowerShell da biste otvorili radni prostor komponente Windows PowerShell na kojem su instalirani cmdleti za Microsoft Azure AD. Sve naredbe u ovom koraku pokrenut će se pomoću komponente Windows PowerShell za konzolu Microsoft Azure Active Directory.
Spremite sljedeći tekst u datoteku skripte PowerShell pod nazivom, primjerice, UploadAuthCert.ps1.
Connect-MsolService
Import-Module msonlineextended
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
$objFSO = New-Object -ComObject Scripting.FileSystemObject
$CertFile = $objFSO.GetAbsolutePathName($CertFile)
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate$cer.Import($CertFile)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert)
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceNameNew-MsolServicePrincipalCredential -AppPrincipalId $p.AppPrincipalId -Type asymmetric -Usage Verify -Value $credValue
Pokrenite skriptu komponente PowerShell koju ste stvorili u prethodnom koraku. Na primjer:
.\UploadAuthCert.ps1
Nakon pokretanja skripte prikazat će se dijaloški okvir za unos vjerodajnica. Unesite vjerodajnice za administratorski račun klijenta u tvrtki ili ustanovi za Microsoft Online Microsoft Azure AD. Nakon pokretanja skripte ostavite sesiju Windows PowerShell za Microsoft Azure Active Directory otvorenu. To ćete upotrijebiti za pokretanje skripte PowerShell u sljedećem koraku.
5. korak: Registrirajte sve izvore naziva hosta za vanjske HTTP krajnje točke sustava Exchange pomoću Microsoft Entra ID-a
Skriptu u tom području morate pokrenuti za svaku krajnju točku u lokalnom sustavu Exchange tvrtke ili ustanove koja je javno dostupna. Ako je moguće, preporučujemo korištenje zamjenskih znakova. Pretpostavimo, primjerice, da je Exchange izvana dostupan na https://mail.contoso.com/ews/exchange.asmx. U ovom se slučaju može koristiti jedan zamjenski znak: *.contoso.com. To bi obuhvaćalo krajnje točke autodiscover.contoso.com i mail.contoso.com. No ne obuhvaća domenu najviše razine, contoso.com. U slučajevima kada su poslužitelji za klijentski pristup sustava Exchange 2013 izvana dostupni putem najvišeg organa za naziv glavnog računala, i taj autoritet za naziv glavnog računala mora biti registriran kao contoso.com. Nema ograničenja za registraciju dodatnih vanjskih izvora naziva glavnog računala.
Ako niste sigurni koje su vanjske krajnje točke sustava Exchange u vašoj lokalnoj tvrtki ili ustanovi sustava Exchange, popis vanjskih konfiguriranih krajnjih točaka web-servisa možete dohvatiti pokretanjem sljedeće naredbe u ljusci PowerShell sustava Exchange u lokalnoj tvrtki ili ustanovi sustava Exchange:
Get-WebServicesVirtualDirectory | FL ExternalUrl
Napomena
Za uspješno pokretanje sljedeće skripte potrebno je povezati Windows PowerShell za Microsoft Azure Active Directory s klijentom za Microsoft Online Microsoft Azure AD, kao što je objašnjeno u četvrtom koraku u prethodnom odjeljku.
Spremite sljedeći tekst u datoteku skripte PowerShell pod nazivom, primjerice, RegisterEndpoints.ps1. U ovom se primjeru koriste zamjenski znakovi za registriranje svih krajnjih točaka za contoso.com. Zamijenite contoso.com autoritetom naziva glavnog računala za lokalnu organizaciju sustava Exchange.
$externalAuthority="*.contoso.com"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal –ServicePrincipalName $ServiceName
$spn = [string]::Format("{0}/{1}", $ServiceName, $externalAuthority)
$p.ServicePrincipalNames.Add($spn)
Set-MsolServicePrincipal –ObjectID $p.ObjectId –ServicePrincipalNames $p.ServicePrincipalNames
U komponenti Windows PowerShell za Microsoft Azure Active Directory pokrenite skriptu PowerShell koju ste stvorili u prethodnom koraku. Na primjer:
.\RegisterEndpoints.ps1
Šesti korak: stvaranje poveznika IntraOrganizationConnector iz lokalne tvrtke ili ustanove na Microsoft 365
Morate definirati ciljnu adresu za poštanske sandučiće koji se hostiraju u sustavu Exchange Online. Ta se ciljna adresa automatski stvara prilikom stvaranja klijenta sustava Microsoft 365. Na primjer, ako je domena vaše tvrtke ili ustanove hostirana u klijentu okruženja Microsoft 365 "contoso.com", vaša ciljna adresa usluge bit će "contoso.partner.mail.onmschina.cn".
U lokalnoj tvrtki ili ustanovi pomoću komponente Exchange PowerShell pokrenite sljedeći cmdlet:
New-IntraOrganizationConnector -name ExchangeHybridOnPremisesToOnline -DiscoveryEndpoint https://partner.outlook.cn/autodiscover/autodiscover.svc -TargetAddressDomains <your service target address>
Sedmi korak: stvaranje poveznika IntraOrganizationConnector iz klijenta sustava Microsoft 365 u lokalnu organizaciju sustava Exchange
Morate definirati ciljnu adresu za poštanske sandučiće koji se hostiraju u lokalnoj tvrtki ili ustanovi. Ako je primarna SMTP adresa vaše tvrtke ili ustanove "contoso.com", to će biti "contoso.com".
Morate definirati i vanjsku krajnju točku za automatsko otkrivanje za lokalnu tvrtku ili ustanovu. Ako je vaša tvrtka "contoso.com", to je obično nešto od sljedećeg:
- https://autodiscover.<vaša primarna SMTP domena>/autodiscover/autodiscover.svc
- https://< primarna SMTP domena>/autodiscover/autodiscover.svc
Napomena
Cmdlet Get-IntraOrganizationConfiguration možete koristiti i u lokalnom klijentu i na klijentu okruženja Microsoft 365 da biste odredili vrijednosti krajnjih točaka koje zahtijeva cmdlet New-IntraOrganizationConnector .
Pomoću komponente Windows PowerShell pokrenite sljedeći cmdlet:
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential
Import-PSSession $Session
New-IntraOrganizationConnector -name ExchangeHybridOnlineToOnPremises -DiscoveryEndpoint <your on-premises-Autodiscover endpoint> -TargetAddressDomains <your on-premises target address>
Osmi korak: konfiguriranje polja AvailabilityAddressSpace za sve poslužitelje prije sustava Exchange 2013 SP1
Prilikom konfiguriranja hibridne implementacije u tvrtki ili ustanovi koja je starija sustavu Exchange 2013 morate instalirati najmanje jedan poslužitelj sustava Exchange 2013 SP1 ili noviji s ulogama poslužitelja za klijentski pristup i poštanski sandučić u postojećoj tvrtki ili ustanovi sustava Exchange. Poslužitelji za klijentski pristup i poštanski sandučić sustava Exchange 2013 služe kao pristupni poslužitelji i koordiniraju komunikaciju između postojeće lokalne organizacije sustava Exchange i organizacije sustava Exchange Online. Ta komunikacija obuhvaća značajke prijenosa poruka i razmjene poruka između lokalnih tvrtki ili ustanova i organizacije sustava Exchange Online. Preporučujemo da u lokalnoj tvrtki ili ustanovi instalirate više poslužitelja sustava Exchange 2013 da biste povećali pouzdanost i dostupnost značajki hibridne implementacije.
U mješovitoj implementaciji sa sustavom Exchange 2013/2010 ili Exchange 2013/2007 preporučuje se da svi pristupni poslužitelji za internet u lokalnoj tvrtki ili ustanovi budu poslužitelji za klijentski pristup sa sustavom Exchange 2013 SP1 ili novijim. Svi zahtjevi komponente Exchange Web Services (EWS) koji potječu iz sustava Microsoft 365 i Exchange Online moraju se povezati s poslužiteljima za klijentski pristup sustava Exchange 2013 u lokalnoj implementaciji. Uz to, svi zahtjevi za EWS za Exchange Online koji potječu iz lokalnih tvrtki ili ustanova sustava Exchange moraju se slati putem poslužitelja za klijentski pristup sa sustavom Exchange 2013 SP1 ili novijom verzijom. Budući da ti poslužitelji sustava Exchange 2013 za klijentski pristup moraju obraditi te dodatne dolazne i odlazne zahtjeve EWS-a, važno je imati dovoljan broj poslužitelja za klijentski pristup sustava Exchange 2013 koji mogu podnijeti opterećenje obrade i omogućiti redundantnost veze. Broj potrebnih poslužitelja za klijentski pristup ovisit će o prosječnoj količini zahtjeva EWS-a i ovisit će o tvrtki ili ustanovi.
Prije nego što dovršite sljedeći korak, provjerite sljedeće:
- Pristupni hibridni poslužitelji imaju Exchange 2013 SP1 ili noviji
- imate jedinstveni URL za vanjski EWS poslužitelje sustava Exchange 2013 Klijent sustava Microsoft 365 mora se povezati s tim poslužiteljima da bi zahtjevi u oblaku za hibridne značajke pravilno funkcionirali.
- Poslužitelji imaju uloge poslužitelja za poštanski sandučić i klijentski pristup
- Na postojeće poslužitelje za poštanske sandučiće i klijentski pristup sustava Exchange 2010/2007 primijenjeno je najnovije kumulativno ažuriranje (CU) ili servisni paket (SP).
Napomena
Postojeći poslužitelji poštanskih sandučića sustava Exchange 2010/2007 mogu nastaviti koristiti poslužitelje klijentskog pristupa sustava Exchange 2010/2007 za pristupne poslužitelje za nehibridne veze značajki. Samo zahtjevi za značajke hibridne implementacije iz klijenta okruženja Microsoft 365 moraju se povezati s poslužiteljima sustava Exchange 2013.
Konfiguriranje odlaznog proxy poslužitelja web-servisa Exchange Web Services za poslužitelje starije od sustava Exchange 2013
Potrebno je konfigurirati AvailabilityAddressSpace tako da upućuje na krajnju točku komponente Exchange Web Services vašeg lokalnog poslužitelja za klijentski pristup sustava Exchange 2013 SP1. Ta je krajnja točka ista kao što je prethodno navedeno u petom koraku ili se može odrediti pokretanjem sljedećeg cmdleta na lokalnom poslužitelju za klijentski pristup sustava Exchange 2013 SP1:
Get-WebServicesVirtualDirectory | FL AdminDisplayVersion,ExternalUrl
Napomena
Ako se podaci o virtualnom direktoriju vraćaju s više poslužitelja, provjerite koristite li krajnju točku vraćenu za poslužitelj za klijentski pristup sustava Exchange 2013 SP1. Prikazat će se 15.0 (međuverzija 847.32) ili novija za parametar AdminDisplayVersion.
Da biste konfigurirali AvailabilityAddressSpace, upotrijebite Exchange PowerShell i pokrenite sljedeći cmdlet u lokalnoj tvrtki ili ustanovi:
Add-AvailabilityAddressSpace -AccessMethod InternalProxy –ProxyUrl <your on-premises External Web Services URL> -ForestName <your Office 365 service target address> -UseServiceAccount $True
Kako znati je li brisanje uspjelo?
Pomoću cmdleta Test_OAuthConnectivity možete provjeriti je li konfiguracija OAuth ispravna. Cmdlet provjerava mogu li krajnje točke lokalnih sustava Exchange i Exchange Online uspješno potvrditi međusobne zahtjeve.
Važno
Prilikom povezivanja sa sustavom Exchange Online u tvrtki ili ustanovi pomoću udaljene ljuske PowerShell možda ćete morati koristiti parametar AllowClobber s cmdletom Import-PSSession da biste uvezli najnovije naredbe u lokalnu sesiju ljuske PowerShell.
Da biste provjerili može li se vaša lokalna organizacija sustava Exchange uspješno povezati sa sustavom Exchange Online, u lokalnoj tvrtki ili ustanovi pokrenite sljedeću naredbu u ljusci PowerShell sustava Exchange:
Test-OAuthConnectivity -Service EWS -TargetUri https://partner.outlook.cn/ews/exchange.asmx -Mailbox <On-Premises Mailbox> -Verbose | fl
Da biste provjerili može li se Exchange Online tvrtka ili ustanova uspješno povezati sa sustavom Exchange u lokalnoj tvrtki ili ustanovi, sa sustavom Exchange Online u tvrtki ili ustanovi upotrijebite udaljenu ljusku PowerShell pa pokrenite sljedeću naredbu:
Test-OAuthConnectivity -Service EWS -TargetUri <external hostname authority of your Exchange On-Premises deployment> -Mailbox <On-Premises Mailbox> -Verbose | fl
Važno
Možete zanemariti pogrešku "SMTP adresi nije pridružen poštanski sandučić". Važno je samo da parametar ResultTask vraća vrijednost uspjeha. Na primjer, zadnji odjeljak testnog izlaza trebao bi glasiti:
ResultType: Success
Identity: Microsoft.Exchange.Security.OAuth.ValidationResultNodeId
IsValid: True
ObjectState: New