Konfigurácia funkcií hybridného nasadenia systému Exchange so službami Office 365 prevádzkovanými spoločnosťou 21Vianet

Teraz sú podporované plnohodnotné hybridné nasadenia medzi organizáciami s lokálnym Exchange 2013 CU5 a službami Microsoft 365. Ak však nemôžete inovovať alebo nainštalovať Exchange 2013 CU5 vo vašej lokálnej organizácii, stále môžete nakonfigurovať zdieľanie kalendára s informáciami o voľnom čase a medzi organizáciami používajúcimi lokálny Exchange a Exchange Online.

Postupujte podľa krokov uvedených nižšie a zapnite túto funkciu hybridného nasadenia v lokálnych organizáciách a organizáciách používajúcich Exchange Online.

Krok 1: Vytvorenie objektov autorizačného servera pre organizáciu využívajúcu Exchange Online

Pri tomto postupe musíte zadať overenú doménu pre organizáciu Exchange Online. Táto doména by mala byť rovnaká ako primárna doména SMTP, ktorá sa používa pre cloudové e-mailové kontá. Táto doména sa v nasledujúcom postupe označuje ako <vaša overená doména> .

Vo vašej organizácii využívajúcej lokálny Exchange spustite v prostredí prostredie Exchange Management Shell (Exchange PowerShell) nasledujúci príkaz.

New-AuthServer -Name "MicrosoftAzureACS" -AuthMetadataUrl https://accounts.accesscontrol.chinacloudapi.cn/<your tenant initial domain>/metadata/json/1

New-AuthServer -Name "EvoSTS" -Type AzureAD -AuthMetadataUrl "https://login.chinacloudapi.cn/<your tenant initial domain>/federationmetadata/2007-06/federationmetadata.xml"

Krok 2: Povoľte partnerskú aplikáciu pre organizáciu využívajúcu službu Exchange Online

V organizácii využívajúcej lokálny Exchange Exchange spustite nasledujúci príkaz.

Get-PartnerApplication | Where-Object {$_.ApplicationIdentifier -eq "00000002-0000-0ff1-ce00-000000000000"-and $_.Realm -eq ""} | Set-PartnerApplication -Enabled $true

Krok 3: Export lokálneho certifikátu oprávnenia

V tomto kroku je potrebné spustiť skript prostredia PowerShell na export lokálneho certifikátu oprávnenia. Ten sa následne v ďalšom kroku importuje do organizácie využívajúcej Exchange Online.

Uložte nasledujúci text do súboru skriptu prostredia PowerShell s názvom napríkladExportAuthCert.ps1.

$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((Test-Path $env:SYSTEMDRIVE\OAuthConfig) -eq $false)
{
   New-Item -Path $env:SYSTEMDRIVE\OAuthConfig -Type Directory
}
Set-Location -Path $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | Where-Object {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)

V prostredí Exchange PowerShell vo vašej organizácii využívajúcej lokálny Exchange spustite skript prostredia PowerShell, ktorý ste vytvorili v predchádzajúcom kroku. Príklad:

.\ExportAuthCert.ps1

Krok 4: Nahrajte lokálny certifikát oprávnenia do Microsoft Entra Access Control Server (ACS)

V ďalšom kroku je potrebné použiť prostredie Windows PowerShell na nahratie lokálneho certifikátu oprávnenia, ktorý ste exportovali v predchádzajúcom kroku do služieb Microsoft Azure Active Directory Access Control Services (ACS). Na to je potrebné nainštalovať modul Microsoft Azure Active Directory (AD) pre rutiny typu cmdlet prostredia Windows PowerShell. Ak nie je nainštalovaný, prejdite na https://aka.ms/aadposh a nainštalujte Microsoft Azure AD Module. Po nainštalovaní modulu Microsoft Azure AD vykonajte nasledujúce kroky.

Kliknutím na odkaz modulu Microsoft Azure Active Directory pre Windows PowerShell otvorte pracovný priestor prostredia Windows PowerShell, v ktorom sú nainštalované rutiny typu cmdlet služby Microsoft Azure AD. Všetky príkazy v tomto kroku sa spustia pomocou prostredia Windows PowerShell pre konzolu Microsoft Azure Active Directory.

Uložte nasledujúci text do súboru skriptu prostredia PowerShell s názvom napríkladUploadAuthCert.ps1.

Connect-MsolService
Import-Module msonlineextended
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
$objFSO = New-Object -ComObject Scripting.FileSystemObject
$CertFile = $objFSO.GetAbsolutePathName($CertFile)
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate$cer.Import($CertFile)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert)
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceNameNew-MsolServicePrincipalCredential -AppPrincipalId $p.AppPrincipalId -Type asymmetric -Usage Verify -Value $credValue

Spustite skript prostredia PowerShell, ktorý ste vytvorili v predchádzajúcom kroku. Príklad:

.\UploadAuthCert.ps1

Po spustení skriptu sa zobrazí dialógové okno poverení. Zadajte poverenia pre konto správcu nájomníka vo svojej organizácii Microsoft Online Microsoft Azure AD. Po spustení skriptu nechajte reláciu Windows PowerShell pre Microsoft Azure Active Directory otvorenú. Toto použijete na spustenie skriptu prostredia PowerShell v ďalšom kroku.

Krok 5: Registrácia všetkých autorít názvov hostiteľa pre externé lokálne koncové body HTTP servera Exchange s Microsoft Entra ID

Skript v tomto skripte musíte spustiť pre každý verejne prístupný koncový bod vo vašej organizácii využívajúcej lokálny Exchange. Ak je to možné, odporúčame použiť zástupné znaky. Predpokladajme napríklad, že Exchange je externe k dispozícii v https://mail.contoso.com/ews/exchange.asmx. V tomto prípade by sa mohol použiť jeden zástupný znak: *.contoso.com. Toto by zahŕňalo autodiscover.contoso.com a mail.contoso.com koncových bodov. Nezahŕňa však doménu najvyššej úrovne, contoso.com. V prípadoch, keď sú vaše servery klientskeho prístupu k serveru Exchange 2013 externe prístupné prostredníctvom autority určujúcu názov hostiteľa najvyššej úrovne, táto autorita názvu hostiteľa musí byť tiež zaregistrovaná ako contoso.com. Neexistuje limit registrácie ďalších externých hostiteľských autorít.

Ak si nie ste istí externými koncovými bodmi servera Exchange v organizácii využívajúcej lokálny Exchange, zoznam externých nakonfigurovaných koncových bodov webových služieb môžete získať spustením nasledujúceho príkazu v prostredí Exchange PowerShell vo vašej organizácii s lokálnym Exchangeom:

Get-WebServicesVirtualDirectory | FL ExternalUrl

Uložte nasledujúci text do súboru skriptu prostredia PowerShell s názvom napríkladRegisterEndpoints.ps1. V tomto príklade je použitý zástupný znak na registráciu všetkých koncových bodov pre contoso.com. Nahraďte contoso.com autoritou názvu hostiteľa pre organizáciu s lokálnym Exchangeom.

$externalAuthority="*.contoso.com"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal –ServicePrincipalName $ServiceName
$spn = [string]::Format("{0}/{1}", $ServiceName, $externalAuthority)
$p.ServicePrincipalNames.Add($spn)
Set-MsolServicePrincipal –ObjectID $p.ObjectId –ServicePrincipalNames $p.ServicePrincipalNames

V prostredí Windows PowerShell pre Microsoft Azure Active Directory spustite skript prostredia PowerShell, ktorý ste vytvorili v predchádzajúcom kroku. Príklad:

.\RegisterEndpoints.ps1

Krok 6: Vytvorenie konektora v rámci organizácie z lokálnej organizácie do služby Microsoft 365

Pre poštové schránky hosťované v službe Exchange Online je potrebné definovať cieľovú adresu. Táto cieľová adresa sa vytvorí automaticky pri vytvorení vášho nájomníka služby Microsoft 365. Ak je napríklad doména vašej organizácie hosťovaná v nájomníkovi služieb Microsoft 365 contoso.com, adresa vašej cieľovej služby bude contoso.partner.mail.onmschina.cn.

Pomocou prostredia Exchange PowerShell spustite vo svojej lokálnej organizácii túto rutinu cmdlet:

New-IntraOrganizationConnector -name ExchangeHybridOnPremisesToOnline -DiscoveryEndpoint https://partner.outlook.cn/autodiscover/autodiscover.svc -TargetAddressDomains <your service target address>

Krok 7: Vytvorenie konektora v rámci organizácie z nájomníka služby Microsoft 365 do organizácie využívajúcej lokálny Exchange

Musíte definovať cieľovú adresu pre poštové schránky hosťované vo vašej lokálnej organizácii. Ak je primárna SMTP adresa vašej organizácie contoso.com, bude to contoso.com.

Musíte tiež definovať externý koncový bod automatickej konfigurácie pre svoju lokálnu organizáciu. Ak je vaša spoločnosť contoso.com, zvyčajne ide o niektorú z nasledujúcich služieb:

• https://autodiscover.<vaša primárna doména> SMTP/autodiscover/autodiscover.svc
• https://< vaša primárna doména> SMTP/autodiscover/autodiscover.svc

Pomocou prostredia Windows PowerShell spustite túto rutinu cmdlet:

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential

Import-PSSession $Session

New-IntraOrganizationConnector -name ExchangeHybridOnlineToOnPremises -DiscoveryEndpoint <your on-premises-Autodiscover endpoint> -TargetAddressDomains <your on-premises target address>

Krok 8: Konfigurácia hodnoty AvailabilityAddressSpace pre všetky servery staršej ako Exchange 2013 SP1

Pri konfigurácii hybridného nasadenia v organizácii staršej ako Exchange 2013 je potrebné v existujúcej organizácii Exchange nainštalovať aspoň jeden server Exchange 2013 SP1 alebo novší s rolami servera klientskeho prístupu a servera poštovej schránky. Servery klientskeho prístupu a poštovej schránky Exchangeu 2013 slúžia ako klientske servery a koordinujú komunikáciu medzi vašou existujúcou organizáciou používajúcou lokálny Exchange a organizáciou používajúcou Exchange Online. Táto komunikácia zahŕňa funkcie prenosu správ a správ medzi lokálnymi organizáciami a organizáciami využívajúcimi Exchange Online. Dôrazne odporúčame inštaláciu viacerých serverov Exchange 2013 v lokálnej organizácii, aby sa zvýšila spoľahlivosť a dostupnosť funkcií hybridného nasadenia.

V prípade zmiešaného nasadenia so serverom Exchange 2013/2010 alebo Exchange 2013/2007 sa odporúča, aby všetky klientske klientske servery vašej lokálnej organizácie orientované na internet boli servermi klientskeho prístupu s Exchange 2013 SP1 alebo novším. Všetky požiadavky webových služieb webové služby programu Exchange (EWS) pochádzajúce zo služieb Microsoft 365 a Exchange Online sa musia pripojiť k serverom klientskeho prístupu servera Exchange 2013 vo vašom lokálnom nasadení. Okrem toho všetky žiadosti EWS pochádzajúce z lokálnych Exchange organizácií pre Exchange Online musia byť odosielané prostredníctvom servera klientskeho prístupu s Exchange 2013 SP1 alebo novším. Keďže tieto servery klientskeho prístupu Exchangeu 2013 musia spracovávať tieto dodatočné prichádzajúce a odchádzajúce žiadosti EWS, je dôležité mať k dispozícii dostatočný počet serverov klientskeho prístupu servera Exchange 2013, ktoré zvládnu zaťaženie spracovania a zabezpečia redundanciu pripojenia. Počet potrebných serverov klientskeho prístupu bude závisieť od priemerného počtu žiadostí EWS a bude sa líšiť v závislosti od organizácie.

Pred vykonaním nasledujúceho kroku skontrolujte, či:

• Front-end hybridné servery sú Exchange 2013 SP1 alebo novší
• Máte jedinečnú externú URL adresu EWS servera (serverov) Exchange 2013. Nájomník služby Microsoft 365 sa musí pripojiť k týmto serverom, aby cloudové požiadavky na hybridné funkcie fungovali správne.
• Servery majú rolu servera poštovej schránky aj servera klientskeho prístupu
• Všetky existujúce servery poštovej schránky a servery klientskeho prístupu Exchange 2010 alebo 2007 majú nainštalovanú najnovšiu kumulatívnu aktualizáciu (CU) alebo balík Service Pack (SP).

Konfigurácia servera proxy odchádzajúcich webových služieb Exchange pre servery staršie ako Exchange 2013

Musí byť nakonfigurovaný priestor AvailabilityAddressSpace, ktorý smeruje na koncový bod webových služieb Exchange servera klientskeho prístupu k serveru Exchange 2013 SP1. Tento koncový bod je rovnaký ako predchádzajúci koncový bod ako v kroku 5, alebo ho možno určiť spustením nasledujúcej rutiny typu cmdlet na lokálnom serveri klientskeho prístupu k serveru Exchange 2013 SP1:

Get-WebServicesVirtualDirectory | FL AdminDisplayVersion,ExternalUrl

Ak chcete nakonfigurovať hodnotu AvailabilityAddressSpace, použite prostredie Exchange PowerShell a vo svojej lokálnej organizácii spustite túto rutinu typu cmdlet:

Add-AvailabilityAddressSpace -AccessMethod InternalProxy –ProxyUrl <your on-premises External Web Services URL> -ForestName <your Office 365 service target address> -UseServiceAccount $True

Ako zistíme, či to bolo úspešné?

Pomocou rutiny typu Test_OAuthConnectivity cmdlet môžete overiť správnosť konfigurácie OAuth. Táto rutina typu cmdlet overuje, či lokálne koncové body servera Exchange a služby Exchange Online dokážu úspešne overiť požiadavky od seba.

Ak chcete overiť, či sa vaša organizácia používajúca lokálny Exchange úspešne dokáže pripojiť k službe Exchange Online, spustite vo svojej lokálnej organizácii v prostredí Exchange PowerShell nasledujúci príkaz:

Test-OAuthConnectivity -Service EWS -TargetUri https://partner.outlook.cn/ews/exchange.asmx -Mailbox <On-Premises Mailbox> -Verbose | fl

Ak chcete overiť, či sa organizácia používajúca Exchange Online dokáže úspešne pripojiť k vašej organizácii využívajúcej lokálny Exchange, pripojte sa k organizácii používajúcej Exchange Online pomocou prostredia Remote PowerShell a spustite tento príkaz:

Test-OAuthConnectivity -Service EWS -TargetUri <external hostname authority of your Exchange On-Premises deployment> -Mailbox <On-Premises Mailbox> -Verbose | fl

ResultType: Success

Identity: Microsoft.Exchange.Security.OAuth.ValidationResultNodeId

IsValid: True

ObjectState: New