Napomena
Ovaj članak se odnosi samo na Microsoft 365 kojim upravlja 21Vianet u Kini i lokalne Exchange organizacije koje ne mogu da ažuriraju na Exchange 2013 CU5 ili noviju verziju.
Sada su podržane hibridne primene sa svim funkcijama između lokalnih Exchange 2013 CU5 organizacija i Microsoft 365 usluga. Međutim, ako ne možete da nadogradite na ili instalirate Exchange 2013 CU5 u lokalnoj organizaciji, i dalje možete da konfigurišete deljenje kalendara i između lokalnih Exchange i Exchange Online organizacija.
Pratite dolenavedene korake da biste omogućili ovu funkciju hibridne primene za lokalne i Exchange Online organizacije.
1. korak: Pravljenje objekata servera autorizacije za Exchange Online organizaciju
Za ovu proceduru morate da navedete verifikovani domen za Exchange Online organizaciju. Ovaj domen bi trebalo da bude isti domen koji se koristi kao primarni SMTP domen koji se koristi za naloge e-pošte zasnovane na tehnologiji oblaka. Ovaj domen se u sledećoj proceduri naziva <verifikovani domen> .
Pokrenite sledeću komandu u programu Exchange Management Shell (Exchange PowerShell) u lokalnoj Exchange organizaciji.
New-AuthServer -Name "MicrosoftAzureACS" -AuthMetadataUrl https://accounts.accesscontrol.chinacloudapi.cn/<your tenant initial domain>/metadata/json/1
New-AuthServer -Name "EvoSTS" -Type AzureAD -AuthMetadataUrl "https://login.chinacloudapi.cn/<your tenant initial domain>/federationmetadata/2007-06/federationmetadata.xml"
2. korak: Omogućavanje aplikacije partnera za Exchange Online organizaciju
Pokrenite sledeću komandu u sistemu Exchange PowerShell u lokalnoj Exchange organizaciji.
Get-PartnerApplication | Where-Object {$_.ApplicationIdentifier -eq "00000002-0000-0ff1-ce00-000000000000"-and $_.Realm -eq ""} | Set-PartnerApplication -Enabled $true
3. korak: Izvoz certifikata za lokalnu autorizaciju
U ovom koraku morate da pokrenete PowerShell skriptu da biste izvezli lokalni certifikat za autorizaciju, koji se zatim uvozi u Exchange Online organizaciju u sledećem koraku.
Sačuvajte sledeći tekst u datoteci PowerShell skripte pod imenom, na primer, ExportAuthCert.ps1.
$thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
if((Test-Path $env:SYSTEMDRIVE\OAuthConfig) -eq $false)
{
New-Item -Path $env:SYSTEMDRIVE\OAuthConfig -Type Directory
}
Set-Location -Path $env:SYSTEMDRIVE\OAuthConfig
$oAuthCert = (dir Cert:\LocalMachine\My) | Where-Object {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
[System.IO.File]::WriteAllBytes($CertFile, $certBytes)
U programu Exchange PowerShell u lokalnoj Exchange organizaciji pokrenite PowerShell skriptu koju ste napravili u prethodnom koraku. Na primer:
.\ExportAuthCert.ps1
4. korak: Otpremanje certifikata za lokalnu autorizaciju na Microsoft Entra Access Control Server (ACS)
Oprez
Procedure navedene u ovom koraku su zastarele i uskoro će biti ukinute. Preskočite ovaj korak i umesto toga konfigurišite namensku Exchange hibridnu aplikaciju nakon što ispratite korake navedene u ovom članku podrške. Ako ste već otpremili certifikat o potvrdi identiteta pomoću uputstava u ovom odeljku, preporučujemo da ga uklonite. To možete da uradite tako što ćete pratiti korake navedene u dokumentaciji o primeni namenske Exchange hibridne aplikacije.
Zatim morate da koristite Windows PowerShell da biste otpremili lokalni certifikat za autorizaciju koji ste izvezli u prethodnom koraku u Microsoft Azure Active Directory Access Control Services (ACS). Da biste to uradili, morate da instalirate modul Microsoft Azure Active Directory (AD) za Windows PowerShell cmdlet komande. Ako nije instaliran, idite na https://aka.ms/aadposh da biste instalirali Microsoft Azure AD modul. Dovršite sledeće korake kada se modul Microsoft Azure AD instalira.
Kliknite na prečicu modula Microsoft AzureActive Directory za Windows PowerShell da biste otvorili Windows PowerShell radni prostor koji ima instalirane Microsoft Azure AD cmdlet komande. Sve komande u ovom koraku biće pokrenute pomoću programa Windows PowerShell za Microsoft Azure Active Directory konzolu.
Sačuvajte sledeći tekst u datoteci PowerShell skripte pod imenom, na primer, UploadAuthCert.ps1.
Connect-MsolService
Import-Module msonlineextended
$CertFile = "$env:SYSTEMDRIVE\OAuthConfig\OAuthCert.cer"
$objFSO = New-Object -ComObject Scripting.FileSystemObject
$CertFile = $objFSO.GetAbsolutePathName($CertFile)
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate$cer.Import($CertFile)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert)
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal -ServicePrincipalName $ServiceNameNew-MsolServicePrincipalCredential -AppPrincipalId $p.AppPrincipalId -Type asymmetric -Usage Verify -Value $credValue
Pokrenite PowerShell skriptu koju ste napravili u prethodnom koraku. Na primer:
.\UploadAuthCert.ps1
Kada pokrenete skriptu, prikazuje se dijalog "Akreditivi". Unesite akreditive za administratorski nalog zakupca u Microsoft Online Microsoft Azure AD organizaciji. Kada pokrenete skriptu, ostavite sesiju Windows PowerShell za Microsoft Azure Active Directory otvorenu. Ovo ćete koristiti za pokretanje PowerShell skripte u sledećem koraku.
5. korak: Registrujte sve autoritete za ime hosta za spoljne lokalne Exchange HTTP krajnje tačke pomoću Microsoft Entra ID-a
Morate da pokrenete skriptu u ovome za svaku krajnju tačku u lokalnoj Exchange organizaciji koja je javno dostupna. Preporučujemo da koristite džoker znakove ako je to moguće. Na primer, pretpostavimo da je Exchange eksterno dostupan na https://mail.contoso.com/ews/exchange.asmx. U ovom slučaju može da se koristi jedan džoker: *.contoso.com. To bi obuhvatilo autodiscover.contoso.com i mail.contoso.com krajnje tačke. Međutim, ne pokriva domen najvišeg nivoa, contoso.com. U slučajevima gde su Exchange 2013 serveri "Klijentski pristup" dostupni spolja pomoću autoriteta za ime hosta najvišeg nivoa, ovaj autoritet za ime hosta takođe mora da se registruje kao contoso.com. Ne postoji ograničenje za registrovanje dodatnih autoriteta za spoljno ime hosta.
Ako niste sigurni za spoljne Exchange krajnje tačke u lokalnoj Exchange organizaciji, možete da dobijete listu spoljnih konfigurisanih krajnjih tačaka veb usluga tako što ćete pokrenuti sledeću komandu u programu Exchange PowerShell u lokalnoj Exchange organizaciji:
Get-WebServicesVirtualDirectory | FL ExternalUrl
Napomena
Uspešno pokretanje sledeće skripte zahteva da Windows PowerShell za Microsoft Azure Active Directory bude povezan sa Microsoft Online Microsoft Azure AD zakupcem, kao što je objašnjeno u 4. koraku u prethodnom odeljku.
Sačuvajte sledeći tekst u datoteci PowerShell skripte pod imenom, na primer, RegisterEndpoints.ps1. Ovaj primer koristi džoker za registrovanje svih krajnjih tačaka za contoso.com. Zamenite contoso.com autoritetom za ime hosta za lokalnu Exchange organizaciju.
$externalAuthority="*.contoso.com"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MsolServicePrincipal –ServicePrincipalName $ServiceName
$spn = [string]::Format("{0}/{1}", $ServiceName, $externalAuthority)
$p.ServicePrincipalNames.Add($spn)
Set-MsolServicePrincipal –ObjectID $p.ObjectId –ServicePrincipalNames $p.ServicePrincipalNames
U programu Windows PowerShell za Microsoft Azure Active Directory pokrenite PowerShell skriptu koju ste napravili u prethodnom koraku. Na primer:
.\RegisterEndpoints.ps1
6. korak: Napravite IntraOrganizationConnector iz lokalne organizacije u Microsoft 365
Morate da definišete ciljnu adresu za poštanske sandučiće koji se hostuju u sistemu Exchange Online. Ova ciljna adresa se kreira automatski kada se kreira Microsoft 365 zakupac. Na primer, ako je domen vaše organizacije koji se hostuje u Microsoft 365 zakupcu "contoso.com", adresa ciljne usluge biće "contoso.partner.mail.onmschina.cn".
Koristeći Exchange PowerShell, pokrenite sledeću cmdlet komandu u lokalnoj organizaciji:
New-IntraOrganizationConnector -name ExchangeHybridOnPremisesToOnline -DiscoveryEndpoint https://partner.outlook.cn/autodiscover/autodiscover.svc -TargetAddressDomains <your service target address>
7. korak: Napravite IntraOrganizationConnector iz Microsoft 365 zakupca u lokalnu Exchange organizaciju
Morate da definišete ciljnu adresu za poštanske sandučiće koji se hostuju u lokalnoj organizaciji. Ako je primarna SMTP adresa vaše organizacije "contoso.com", to će biti "contoso.com".
Morate da definišete i spoljnu krajnju tačku automatskog otkrivanja za lokalnu organizaciju. Ako je preduzeće "contoso.com", to je obično nešto od sledećeg:
- https://autodiscover.<Vaš primarni SMTP domen>/autodiscover/autodiscover.svc
- https://< Vaš primarni SMTP domen>/autodiscover/autodiscover.svc
Napomena
Cmdlet Get-IntraOrganizationConfiguration možete da koristite u lokalnim i Microsoft 365 zakupcima da biste odredili vrednosti krajnjih tačaka koje su potrebne cmdlet komandi New-IntraOrganizationConnector .
Koristeći Windows PowerShell, pokrenite sledeću cmdlet komandu:
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential
Import-PSSession $Session
New-IntraOrganizationConnector -name ExchangeHybridOnlineToOnPremises -DiscoveryEndpoint <your on-premises-Autodiscover endpoint> -TargetAddressDomains <your on-premises target address>
8. korak: Konfigurisanje AvailabilityAddressSpace za sve servere pre Exchange 2013 SP1 servera
Kada konfigurišete hibridnu primenu u organizaciji staroj od Exchange 2013, morate da instalirate barem jedan server Exchange 2013 SP1 ili noviju verziju sa ulogama servera "Klijentski pristup" i "Poštansko sanduče" u postojećoj Exchange organizaciji. Exchange 2013 serveri klijentskog pristupa i poštanskog sandučeta služe kao izloženi serveri i koordiniraju komunikaciju između postojeće lokalne Exchange organizacije i Exchange Online organizacije. Ta komunikacija obuhvata funkcije prenosa poruka i razmene poruka između lokalne i Exchange Online organizacije. Preporučujemo da u lokalnoj organizaciji instalirate više od jednog Exchange 2013 servera kako biste povećali pouzdanost i dostupnost funkcija hibridne primene.
U mešovitoj primeni sa programom Exchange 2013/2010 ili Exchange 2013/2007, preporučuje se da svi izloženi serveri za lokalnu organizaciju budu serveri "Klijentski pristup" koji koriste Exchange 2013 SP1 ili noviju verziju. Svi zahtevi za Exchange Web Services (EWS) koji potiču iz usluga Microsoft 365 i Exchange Online moraju da se povežu sa Exchange 2013 serverima "Klijentski pristup" u lokalnoj primeni. Pored toga, svi EWS zahtevi koji potiču iz lokalnih Exchange organizacija za Exchange Online moraju da se proxy koriste putem servera "Klijentski pristup" koji koristi Exchange 2013 SP1 ili noviji. Pošto ovi Exchange 2013 serveri klijentskog pristupa moraju da rukuju ovim dodatnim dolaznim i odlaznim EWS zahtevima, važno je da imate dovoljan broj Exchange 2013 servera "Klijentski pristup" koji su dostupni za rukovanje opterećenjem obrade i obezbeđivanje redundantnosti veze. Broj potrebnih servera za klijentski pristup zavisiće od prosečne količine EWS zahteva i razlikovaće se u zavisnosti od organizacije.
Pre nego što dovršite sledeći korak, uverite se:
- Izloženi hibridni serveri su Exchange 2013 SP1 ili noviji
- Imate jedinstvenu spoljnu EWS URL adresu za Exchange 2013 servere. Microsoft 365 zakupac mora da se poveže sa ovim serverima da bi zahtevi zasnovani na oblaku za hibridnim funkcijama ispravno funkcionisali.
- Serveri imaju uloge servera "Poštansko sanduče" i "Klijentski pristup"
- Svi postojeći Exchange 2010/2007 serveri poštanskog sandučeta i klijentskog pristupa imaju primenjenu najnoviju kumulativnu ispravku (CU) ili servisni paket (SP).
Napomena
Postojeći Exchange 2010/2007 serveri poštanskog sandučeta mogu da nastave da koriste Exchange 2010/2007 servere "Klijentski pristup" za izložene servere za veze sa nehibridnim funkcijama. Samo zahtevi za funkcije hibridne primene od Microsoft 365 zakupca moraju da se povežu sa Exchange 2013 serverima.
Konfigurisanje proxy servera odlazne Exchange veb usluge za servere pre Exchange 2013
Mora da se konfiguriše AvailabilityAddressSpace koji upućuje na krajnju tačku veb usluga Exchange veb usluga lokalnog Exchange 2013 SP1 servera "Klijentski pristup". Ova krajnja tačka je ista kao prethodno navedena u 5. koraku ili se može utvrditi pokretanjem sledeće cmdlet komande na lokalnom Exchange 2013 SP1 serveru "Klijentski pristup":
Get-WebServicesVirtualDirectory | FL AdminDisplayVersion,ExternalUrl
Napomena
Ako se informacije virtuelnog direktorijuma vraćaju sa više servera, proverite da li koristite krajnju tačku vraćenu za Exchange 2013 SP1 server "Klijentski pristup". Prikazaće 15.0 (izdanje 847.32) ili noviju verziju za parametar AdminDisplayVersion.
Da biste konfigurisali AvailabilityAddressSpace, koristite Exchange PowerShell i pokrenite sledeću cmdlet komandu u lokalnoj organizaciji:
Add-AvailabilityAddressSpace -AccessMethod InternalProxy –ProxyUrl <your on-premises External Web Services URL> -ForestName <your Office 365 service target address> -UseServiceAccount $True
Kako da znate da li je to uspelo?
Možete da proverite da li je OAuth konfiguracija ispravna pomoću cmdlet komande Test_OAuthConnectivity . Ova cmdlet komanda potvrđuje da lokalne Exchange i Exchange Online krajnje tačke mogu uspešno da potvrde identitet zahteva jedna od druge.
Važno
Prilikom povezivanja sa Exchange Online organizacijom pomoću udaljenog modula PowerShell, možda ćete morati da koristite parametar AllowClobber sa cmdlet komandom Import-PSSession da biste uvezli najnovije komande u lokalnu PowerShell sesiju.
Da biste potvrdili da lokalna Exchange organizacija može uspešno da se poveže sa sistemom Exchange Online, pokrenite sledeću komandu u programu Exchange PowerShell u lokalnoj organizaciji:
Test-OAuthConnectivity -Service EWS -TargetUri https://partner.outlook.cn/ews/exchange.asmx -Mailbox <On-Premises Mailbox> -Verbose | fl
Da biste potvrdili da Exchange Online organizacija može uspešno da se poveže sa lokalnom Exchange organizacijom, koristite udaljeni program PowerShell da biste se povezali sa Exchange Online organizacijom i pokrenite sledeću komandu:
Test-OAuthConnectivity -Service EWS -TargetUri <external hostname authority of your Exchange On-Premises deployment> -Mailbox <On-Premises Mailbox> -Verbose | fl
Važno
Možete zanemariti grešku "SMTP adresa nema povezano poštansko sanduče sa njom." možete zanemariti. Važno je samo da parametar ResultTask vrati vrednost uspeha. Na primer, poslednji odeljak izlaza testa trebalo bi da glasi:
ResultType: Success
Identity: Microsoft.Exchange.Security.OAuth.ValidationResultNodeId
IsValid: True
ObjectState: New