MS365 混合部署过程

---

目录：

1. 什么是混合部署？
2. 混合工作原理
3. AAD 连接配置
4. 混合配置向导
5. 在 EAC 中迁移邮箱
6. 在 PowerShell 中迁移邮箱

---

混合部署

 

什么是混合部署？

• 它使组织能够将现有本地交换组织的丰富功能体验和管理控制扩展到云。
• 它在本地 Exchange 组织和 Microsoft Office 365 中的 Exchange Online 之间提供单个 Exchange 组织的无缝外观。

 

为何选择混合部署？

• 灵活性
• 可管理性
• 本地自定义
• 促进实时协作
• 可扩展性

 

混合功能和优势

•  内部部署组织和 Exchange Online 组织之间的安全邮件路由。
•  使用共享域命名空间的邮件路由。例如，内部部署组织和 Exchange Online 组织都使用 @contoso.com SMTP 域。
•  统一的全局地址列表 （GAL），也称为“共享通讯簿”。
•  内部部署和 Exchange Online 组织之间的忙/闲和日历共享。
•  集中控制入站和出站邮件流。您可以将所有入站和出站 Exchange Online 邮件配置为通过本地 Exchange 组织路由。
•  适用于内部部署组织和 Exchange Online 组织的单个 Outlook 网页版 URL。
•  能够将现有本地邮箱移动到 Exchange Online 组织。如果需要，还可以将 Exchange Online 邮箱移回内部部署组织。
•  使用本地 Exchange 管理中心 （EAC） 进行集中式邮箱管理。
•  内部部署组织和 Exchange Online 组织之间的邮件跟踪、邮件提示和多邮箱搜索。
•  本地 Exchange 邮箱的基于云的邮件存档。Exchange Online Archiving 可与混合部署一起使用。有关 Exchange Online Archiving 的详细信息，请参阅 Exchange Online Archiving 中的存档功能。

 

返回页首

---

混合工作原理

使用混合连接器的入站和出站邮件流之间的线性路径。

混合邮件流：

1. MX 记录指向具有已禁用集中式邮件流的内部部署。

   

2. MX 记录指向已禁用集中式邮件流的 Exchange Online。

   

3. MX 记录指向具有集中邮件流的 Exchange Online。

   

 

混合 Exchange 部署的阶段：

• 在 Office 365 中添加域。
• 使用 AAD 连接工具将用户添加到 Office 365。
• 检查并满足混合前提条件。
• 混合配置向导部署。
• 迁移测试邮箱。
• 邮件流检测。
• 忙/闲检测。

  

 

混合迁移范围：

• 在继续混合 Exchange 设置之前， 组织或管理员必须完成 混合 Exchange 部署的先决条件。
• 支持 仅指导 客户，但不会对客户的任何本地配置 执行任何更改 。
• 完成混合配置设置协助。
• 运行完混合配置向导后，支持人员会将测试邮箱迁移到 Office 365。支持测试本地和异地 Office 365 的邮件流和连接。
• 确认测试邮箱的所有功能都按预期工作后，支持人员将提供有关创建迁移批处理的演练。

 

混合部署的前提条件

下文概述了在部署 Exchange 混合环境之前需要满足的要求。如果缺少一个要求，预计会发生技术问题。在部署混合后，在邮箱迁移期间，甚至在邮件流中，运行混合配置向导时可能会出现错误。

 

1. 本地 Exchange Server- Exchange Server 内部版本号和发布日期。
   • Exchange 2010
     • 必须在 Service Pack 3 和汇总 29 或 30 上。
     • 至少一台安装了邮箱、集线器传输和客户端访问服务器角色的服务器。
     • 虽然可以在单独的服务器上安装邮箱、集线器传输和客户端访问角色，但建议在每台服务器上安装所有角色。这提供了额外的可靠性和更高的性能。
       • Get-Command Ex-Setup |ForEach {$_.FileVersionInfo}
   • Exchange 2013
     • 必须位于 CU 22 或 23 上。
     • 至少一台安装了邮箱和客户端访问服务器角色的服务器。
       • 虽然可以在单独的服务器上安装邮箱、集线器传输和客户端访问角色，但建议在每台服务器上安装所有角色。这提供了额外的可靠性和更高的性能。
         • Get-ExchangeServer |Format-List Name、Edition、AdminDisplayVersion
   • Exchange 2016
     • 必须位于 CU 18 或 19 上。
     • 至少一台安装了邮箱服务器角色的服务器。
       • Get-ExchangeServer |Format-List Name、Edition、AdminDisplayVersion
   • Exchange 2019
     • 必须在 CU 7 或 8 上。
     • 至少一台安装了邮箱服务器角色的服务器。
       • Get-ExchangeServer |Format-List Name、Edition、AdminDisplayVersion
2. 要使用的自定义域和虚域应已在 O365 中验证并添加。- 向 Microsoft 365 添加域
3. 为混合迁移安装和配置了 Azure AD Connect。
   • 确保用户与 AD 同步。

     

4. 获取第三方 SSL 证书（混合部署的证书要求）。
   • 它不能是自签名的。
   • 配置混合部署时，必须使用和配置从受信任的第三方 CA 购买的证书。
   • 证书必须安装在所有本地邮箱（Exchange 2016 及更高版本）以及邮箱和客户端访问（Exchange 2013 及更早版本）服务器上。
   • 在具有部署在多个 Active Directory 林中的 Exchange 服务器的组织中进行混合部署时，必须为每个 Active Directory 林使用单独的第三方 CA 证书。
   • 支持通配符证书。
   • 对于非通配符，它必须在证书的主题备用名称 （SAN） 中包含三个主要服务：
     • Exchange FQDN - mail.company.com
     • 自动发现 - autodiscover.company.com
     • 主共享 SMTP 域 - companydomain.com

       

   • 要验证是否满足证书要求，请询问其 Web 邮件的 URL。
5. 已发布的自动发现 DNS 记录。
   • 它必须指向本地 Exchange 服务器：
     • 对于 Exchange 2010 和 2013 — 必须指向客户端访问服务器。
     • 对于 Exchange 2016 和 2019 — 邮箱服务器。
6. 若要测试自动发现是否已发布，请转到 Microsoft Remote Connectivity AnalyzerOutlook 连接。

   

7. OWA 必须可从外部访问。
   • 确保 OWA 已发布并在网络外部可访问，以避免任何问题。
   • 部署后，本地邮箱服务器将 Outlook Web 请求重定向到本地 Exchange 2016 邮箱服务器，或提供用于登录到 Office 365 的链接。
   • 询问其 OWA URL，并尝试检查您的浏览器中是否可访问它。如果提示您登录，则可以访问其 OWA。您无需登录，因为您只是在测试 OWA 是否可以在外部网络上访问。
8. 允许在防火墙端口（443、25 和 80）上使用 Office 365/Exchange Online IP 地址。
   • 管理员必须在其防火墙中创建规则，以允许或允许将 Exchange Online IP 地址添加到端口 443、25 和 80。本文提供了允许或允许列入 Office 365 URL 和 IP 地址范围所需的 Exchange Online IP 地址和端口列表。
9. 确保服务器上安装了所有 Windows 修补程序。
   • 本地 Exchange Server 所在的 Windows Server 必须采用最新更新。
   • 不得有待处理的 Windows Server 更新，并确保已安装所有必要的更新。混合配置向导仅在 Internet Explorer 浏览器中运行。
10. 在Exchange Server中启用MRS代理服务器。
    • 在运行混合配置向导 （HCW） 之前，必须启用 MRS 代理。
      • 要确认它是否已启用，请执行以下操作：
        • Get-WebservicesVirtualDirectory |FL 服务器，mrs
      • 要启用 MRS 代理，请执行以下操作：
        • Get-WebServicesVirtualDirectory |FL Identity，MRSProxyEnabled 或 Set-WebServicesVirtualDirectory -Identity “EWS （默认网站）” -MRSProxyEnabled $true

 

返回页首

---

AAD 连接配置

1.  创建专用于 Azure AD Connect 的本地 AD 帐户。
   • 选择一个可以轻松区分它用于 Azure AD Connect 的名称，即 AADConnectuser@domain.com
   • 请勿将帐户或密码设置为过期。
   • 此帐户必须是域用户和管理员安全组的成员。
   • 此帐户不能是 Enterprise 和 Doman 管理员的成员。
   • 必须在 AD 中为该帐户分配“Replicating Directory Changes”和“Replicating Directory Changes All”权限。
   • 参考：
     • 如何授予“复制目录更改”权限
     • Azure AD Connect：帐户和权限

       

2. 安装和配置用于混合迁移的 AAD Connect。在此处下载 AAD：
   • 下载 Microsoft Azure Active Directory Connect        
3. 选择“我同意许可条款和隐私声明”复选框，然后点按 “继续”。

   

4. 在“快速设置”选项卡上，如果环境只有一个 Active Directory 林，请单击“使用快速设置”，否则单击“自定义”。

   

5. 选择适合您环境的所需组件，然后单击“Install”。

   

6. 选择所需的用户登录属性，然后单击“Next”。

   

7. 若要连接到 Azure AD，请输入全局管理员凭据，然后单击“Next”。

   

8. 选择目录类型，然后单击添加目录来添加林目录。

   

9. 在 AD 林帐户弹出屏幕中，输入域凭据，然后单击“Ok”。

   

10. 定义目录和林后，单击“Next”。

    

11. 在“Azure AD 登录”选项卡上，选择“继续，而不将所有 UPN 后缀与已验证的域匹配”。

    

12. 单击“下一步”。

    

13. 选择“Sync all domain and ous”，然后单击“Next”。

    

14. 选择如何识别您的用户，然后单击“Next”。

    

15. 在“筛选用户和设备”中，选择“同步所有用户和设备”，然后单击“下一步”。

    

16. 选择所需的可选功能，然后单击“Next”。

    

17. 在“启用单点登录”选项卡上，选择“输入凭据”。

    

18. 单击“下一步”。

    

19. 如果需要，请选择其他条件，然后单击“安装”。

    

20. 此时将显示配置进度。

    

21. 配置完成后，单击“Exit”。

    

 

返回页首

---

混合配置向导 （HCW）

1. 远程访问本地 Exchange 服务器。
2. 打开浏览器并登录到 Office 365 Exchange 管理中心 > 混合。在“Exchange 混合部署”下，可以连接和管理内部部署组织和 Exchange Online 组织。单击“Configure”。

   

3.  下载并运行下载的 HCW exe 文件。
4.  按照向导中的步骤操作：
   1. 在初始页面上，单击“Next”。

      

   2. HCW 会自动检测 Exchange 服务器，除非您要指定服务器。单击“Next”。

      

   3. 使用“更改” 按钮登录到 Exchange 本地和 Office 365 的相应帐户和全局帐户。

      

   4. 收集配置信息后，单击“Next”。

      

   5. 选择“Full Hybrid Configuration”，然后单击“Next”。

      

   6. 选择“Use ExchangeHybrid Topology”，然后单击“Next”。

      

   7. 输入本地管理员帐户，然后单击“Next”。

      

   8. 混合代理完成设置后，单击“Next ”。

      

   9. 选择典型的邮件流方向。单击“下一步”。

      

   10. 接收连接器也是在同一服务器上创建的。单击“下一步”。

       

   11. 与接收连接器类似，单击“Next”。

       

   12. 选择第三方 SSL 证书。如果有多个证书可用，请确保选择 Exchange Server 的证书。单击“下一步”。

       

   13. 输入本地 Exchange FQDN。这必须与第三方 SSL 证书的 SAN（即 Mail.companydomain.com）中显示的 FQDN 相同。单击“下一步”。

       

   14. 单击“Update”，让它运行直至完成。

       

   15. 您已成功部署混合环境。您可以开始迁移邮箱！

       

 

返回页首

---

在 EAC 中迁移邮箱

有两种方法可以迁移本地 Exchange 邮箱：

1. 通过 Exchange 管理中心中的远程邮箱移动工具使用界面。
2. 使用 PowerShell 脚本。

远程邮箱移动

• https://docs.microsoft.com/en-us/exchange/hybrid-deployment/move-mailboxes
• https://docs.microsoft.com/en-us/exchange/mailbox-migration/manage-migration-batches

 

成功安装 HCW 而没有错误后，您现在可以开始将邮箱从本地 Exchange 移动或迁移到 Office 365。通过 Exchange 管理中心中提供的远程邮箱移动工具实现此目的。

1. 登录到 Microsoft 365 管理门户并转到 Exchange 管理中心。

   

2. 在左侧窗格中，单击“Recipients”， 然后单击顶部的“migration”转到“Migration”选项卡。单击添加按钮（加号），然后选择“迁移到 Exchange Online”。

   

3. 在 “选择迁移类型 ”页面上，选择“Remote move migration” ，然后单击“Next”。

   

4. 在“选择用户”页上，单击“添加”图标，然后选择要移动到 Microsoft 365 或 Office 365 的本地用户。依次单击“Add”、“OK”和“Next”。

   

5. 在 “确认迁移终结点”页上，验证在向导确认迁移终结点时是否列出了本地 Exchange Server 的 FQDN。

   

6. 在 “Move configuration”页面上的“New migration batch name”字段中输入名称，然后单击“Next”。（坏项目限制适用于损坏的项目）。

   

7. 在 “启动批处理”页上，至少选择一个收件人以接收批处理完成报告。验证是否选择了 自动启动批处理 选项。您可以选择手动或自动完成迁移批处理。
   在此示例中，选择了 手动完成批处理 。单击“New”。

   

8. 此时将显示迁移进度。

   

 

返回页首

---

在 PowerShell 中迁移邮箱

在使用 Windows PowerShell 迁移邮箱之前，请确保它可以连接到 Exchange Online，并且安装了所有必需的 PowerShell 模块。

• 为确保可以运行脚本，请仅运行以下一次性运行：
  • Set-ExecutionPolicy Unrestricted -Force
• 安装模块：
  • 安装模块 AzureAD
  • 安装模块 MSOnline
• 确保您的 Windows PowerShell 为最新版本。截至目前，支持的最新版本为 5.1
• 下载并安装 Windows PowerShell 5.1

   

一旦 Windows PowerShell 准备就绪，您就可以开始使用 PowerShell 脚本迁移邮箱。

1. 在管理员模式下运行 Windows PowerShell 。
2. 运行以下脚本以连接到 Exchange Online 和本地 Exchange。
   • $UserCredential = Get-Credential
   • $ONPREMCREDS = Get-Credential
   • $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
   • Import-PSSession $SESSION -AllowClobber
   • Connect-MsolService -Credential $UserCredential
3. 移动或迁移邮箱。
   • New-MoveRequest -Identity “INSERT_USER_ALIAS_HERE” -Remote -RemoteHostName hybridserver.domainname.com -TargetDeliveryDomain domainname.mail.onmicrosoft.com -RemoteCredential $ONPREMCREDS -BadItemLimit 1000
4. 通过以下脚本监视迁移。您可以选择以下哪一项适合您。
   • Get-MigrationUserStatistics -Identity ex@corp.contoso.com -IncludeReport |格式化列表状态、错误、报告
   • Get-MigrationUserStatistics -Identity davidp@corp.contoso.com |Format-ListSkippedItemCount，SkippedItems
   • Get-MigrationUserStatistics -Identity davidp@corp.contoso.com -LimitSkippedItemsTo 20 |Format-ListSkippedItemCount，SkippedItems
   • Get-MigrationUser -BatchId StagedBatch1 |Get-MigrationUserStatistics
   • Get-MigrationUser |Get-MigrationUserStatistics
   • Get-MoveRequest |Get-MoveRequestStatistics
5. 若要删除迁移批处理，请运行以下命令：
   • Get-MoveRequest |Remove-MoveRequest

 

---

参考资料：

• 通过 PowerShell 将单个邮箱移动到 Office 365
• 使用 PowerShell 将邮箱移动到 Exchange Online
• 混合部署前提条件
• Microsoft 助手
• 混合部署 – 委派的邮箱权限
• Exchange 传输路由
• 忙/闲问题
• 停用 — 本地更换

 

演示视频 — 配置 Exchange 混合部署 - 简介

 

监视迁移 - 管理员可以通过 Exchange 管理中心界面或 PowerShell 监视迁移。

 

M365 Exchange 管理中心

• 迁移用户状态报告
• 管理迁移批处理

 

Windows PowerShell

• 适用于 Microsoft 365 的 PowerShell 脚本
• Get-MigrationUserStatistics
• Get-MoveRequestStatistics
• Get-MigrationBatch
• 使用 PowerShell 完成迁移批处理
• PowerShell One-Liner：邮箱移动请求状态摘要

 

迁移后要点

• 客户使用其现有的 Outlook 配置文件。
• 未对其当前邮件流（MX 记录等）进行任何更改。
• 邮箱仅驻留在一个位置。
• 若要验证源设置是否在混合上，请登录到 EAC > 邮件流 > 连接器。

  

 

---

混合部署过程

 

返回页首