Exchange2013 CU9和Office365混合部署

Exchange2013 CU9和Office365混合部署

說到Office365相信不少童鞋都已經瞭解不少了，咱們前面的文章中也有介紹過office365的相關配置，今天呢，主要介紹Exchange2013 CU9和Office365的混合部署，咱們首先說說爲何是Exchange2013 CU9，緣由是因爲世紀互聯的Office365作混合部署的時候對exchange的版本要求最低是CU6,因此咱們爲了體驗更好的功能咱們直接打cu9的補丁，對於更多的配置具體見下，在此咱們大概說說原理，其實Office365和Exchange的混合部署意義對於企業方來講不同，緣由是因爲混合部署有兩種指定方式，1.將office365的Mx記錄指向本地網絡域，這樣部署後，不論是本地仍是online郵箱用戶，投遞郵件都會通過本地，若是將Mx記錄指向online，用戶投遞郵件首先會通過online纔會繼續往本地投遞；混合部署前須要office365添加本地域，添加後，能夠將本地的用戶遷移到office365上，而後經過配置指定路由投遞郵件，具體就很少說了，具體見下面介紹：

環境介紹:

Hostname：Ixm-dc

IP：192.168.6.10

Role:DC、CA

Domain：Ixmsoft.com

Hostname：Ixm-ex01

IP：192.168.6.11

Role：Exchange2013 CU9

Hostname：Ixm-Sync

IP：192.168.6.12

Role:dirsync

Hostname：Ixm-adfs

IP：192.168.6.13

Role:ADFS

郵件路由原理：

經過內部部署組織路由入站Internet郵件

如下步驟和圖表舉例說明了在決定保持指向您的內部部署組織的 MX 記錄的狀況下，混合部署中將出現的入站 Internet 郵件路徑。

入站郵件從 Internet 發件人發送給收件人 chris@contoso.com 和 david@contoso.com。Chris 的郵箱位於內部部署組織中的 Exchange 2013 郵箱服務器上。David 的郵箱位於 Exchange Online 中。

由於這兩個收件人都有 contoso.com 電子郵件地址，而且 contoso.com 的 MX 記錄指向內部部署組織，因此郵件會傳遞到 Exchange 2013 客戶端訪問服務器。

Exchange 2013 客戶端訪問服務器使用內部部署全局編錄服務器對每一個收件人執行查找。經過全局目錄查找，肯定 Chris 的郵箱位於 Exchange 2013 郵箱服務器，而 David 的郵箱位於 Exchange Online 組織，同時具備 david@contoso.mail.onmicrosoft.com 的混合路由地址。在本例中，客戶端訪問和郵箱服務器角色被安裝在同一 Exchange 2013 服務器上。

Exchange 2013 客戶端訪問服務器將郵件拆分爲兩個副本。郵件的一個副本會發送給 Exchange 2013 郵箱服務器，在該服務器中它會傳遞給 Chris 的郵箱。

郵件的第二個副本被 Exchange 2013 客戶端訪問服務器發送到 EOP，這將使用配置爲使用 TLS 的發送鏈接器接收發送到 Exchange Online 組織的郵件。

EOP 將郵件發送到 Exchange Online 組織，在該組織中對郵件進行病毒掃描並將其傳遞到 David 的郵箱。

當集中郵件傳輸被「禁用」（默認配置）時，混合部署中的入站 Internet 郵件按如下路由：

入站郵件從 Internet 發件人發送給收件人 chris@contoso.com 和 david@contoso.com。Chris 的郵箱位於內部部署組織中的 Exchange 2013 郵箱服務器上。David 的郵箱位於 Exchange Online 中。

由於這兩個收件人都有 contoso.com 電子郵件地址，而且 contoso.com 的 MX 記錄指向 EOP，因此郵件會傳遞到 EOP。

EOP 將兩個收件人的郵件都路由到 Exchange Online。

Exchange Online 對郵件進行病毒掃描並對每一個收件人執行查找。經過查找，肯定 Chris 的郵箱位於內部部署組織中，而 David 的郵箱位於 Exchange Online 組織中。

Exchange Online 將郵件拆分爲兩個副本。將郵件的一個副本傳遞到 David 的郵箱。

將第二個副本從 Exchange Online 發送回 EOP。

EOP 發送郵件到內部部署組織中的 Exchange 2013 客戶端訪問服務器。

Exchange 2013 客戶端訪問服務器將郵件發送給 Exchange 2013 郵箱服務器，並在該服務器中傳遞到 Chris 的郵箱。在此示例中，客戶端訪問和郵箱服務器角色安裝在同一 Exchange 2013 服務器上。

經過Exchange Online組織路由入站Internet郵件

當集中郵件傳輸被「啓用」時，混合部署中的入站 Internet 郵件按如下路由：

入站郵件從 Internet 發件人發送給收件人 chris@contoso.com 和 david@contoso.com。Chris 的郵箱位於內部部署組織中的 Exchange 2013 郵箱服務器上。David 的郵箱位於 Exchange Online 中。

由於這兩個收件人都有 contoso.com 電子郵件地址，而且 contoso.com 的 MX 記錄指向 EOP，因此郵件會傳遞到 EOP 並掃描病毒。

因爲啓用了集中郵件傳輸，EOP 會將這兩個收件人的郵件路由到內部部署 Exchange 2013 客戶端訪問服務器。

Exchange 2013 客戶端訪問服務器爲每一個收件人執行查找。經過查找，肯定 Chris 的郵箱位於內部部署組織中，而 David 的郵箱位於 Exchange Online 組織中。

Exchange 2013 客戶端訪問服務器將郵件拆分爲兩個副本。郵件的一個副本被髮送給 Chris 在內部部署 Exchange 2013 郵箱服務器中的郵箱。

第二個副本從 Exchange 2013 客戶端訪問服務器發送回 EOP。

EOP 將郵件發送到 Exchange Online。

Exchange 將郵件發送到 David 的郵箱。在此示例中，客戶端訪問和郵箱服務器角色安裝在同一 Exchange 2013 服務器上。

經過 Exchange Online 組織爲內部部署組織和 Exchange Online 組織路由郵件，同時啓用集中郵件傳輸

發送到Internet的出站郵件

除了選擇如何對發送給組織中的收件人的入站郵件進行路由以外，還能夠選擇如何對從 Exchange Online 收件人發送的出站郵件進行路由。運行「混合配置」嚮導時，能夠選擇兩個選項之一：

「啓用集中郵件控制」 選擇此選項將路由從 Exchange Online 組織發送的出站郵件經過內部部署組織。除了向同一個 Exchange Online 組織中的其餘收件人發送的郵件以外，從 Exchange Online 組織中的收件人發送的全部郵件都會經過內部部署組織發送。這使您能夠將合規性規則應用於這些郵件以及必須應用於全部收件人（不管這些收件人是處於 Exchange Online 組織中仍是處於內部部署組織中）的任何其餘過程或要求。

注意：

僅對具備與符合性相關的特定傳輸需求的組織推薦使用集中式郵件傳輸。咱們建議典型的 Exchange 組織不要啓用集中式郵件傳輸。

不啓用集中郵件傳輸 該選項在混合配置嚮導中默認選擇，可直接將從 Exchange Online 組織發送的出站郵件路由到 Internet。若是無需將任何內部部署合規性策略或其餘處理規則應用於從 Exchange Online 組織中的收件人發送的郵件，請使用此選項。

從內部部署收件人發送的郵件會始終使用 DNS 直接發送到 Internet 收件人（不管在「混合配置」嚮導中選擇了以上哪一個選項）。

如下步驟和圖表說明從內部部署收件人發送的郵件的出站郵件路徑。

在內部部署 Exchange 2013 郵箱服務器上擁有一個郵箱的 Chris 將一封郵件發送給外部 Internet 收件人 erin@cpandl.com。

同時安裝了客戶端訪問和郵箱服務器角色的 Exchange 2013 服務器查找 cpandl.com 的 MX 記錄，而後將郵件發送到位於 Internet 上的 cpandl.com 郵件服務器。

從內部部署發件人發送給 Internet 收件人的郵件

使用DNS(禁用集中式郵件傳遞)發送Exchange Online的Internet郵件

如下步驟和圖表舉例說明了在混合配置嚮導中未選擇「啓用集中郵件傳輸」（這是默認配置）的狀況下，從 Exchange Online 收件人發送給 Internet 收件人郵件會出現的出站郵件路徑。

在內部部署 Exchange Online 組織中擁有一個郵箱的 David 將一封郵件發送給外部 Internet 收件人 erin@cpandl.com。

Exchange Online 對郵件進行病毒掃描並將郵件發送給 Exchange Online EOP 公司。

EOP 會在 MX 記錄中查找 cpandl.com，並將郵件發送給位於 Internet 上的 cpandl.com 郵件服務器。

來自 Exchange Online 發件人的郵件將直接路由到 Internet，同時禁用集中郵件傳輸（默認配置）

經過內部部署組織（啓用集中郵件傳輸）路由從Exchange Online發送到Internet的郵件

如下步驟和圖表舉例說明了在混合配置嚮導中選擇「啓用集中郵件傳輸」的狀況下，從 Exchange Online 收件人發送給 Internet 收件人郵件會出現的出站郵件路徑。

在內部部署 Exchange Online 組織中擁有一個郵箱的 David 將一封郵件發送給外部 Internet 收件人 erin@cpandl.com。

Exchange Online 對郵件進行病毒掃描並將郵件發送給 EOP。

EOP 配置爲將全部 Internet 出站郵件發送給內部部署服務器，所以郵件會路由到 Exchange 2013 客戶端訪問服務器。郵件使用 TLS 發送。

Exchange 2013 客戶端訪問服務器對 David 的郵件執行聽從性、防病毒以及管理員配置的任何其餘過程。

Exchange 2013 客戶端訪問服務器會在 MX 記錄中查找 cpandl.com，並將郵件發送給位於 Internet 上的 cpandl.com 郵件服務器。

經過內部部署組織路由的來自 Exchange Online 發件人的郵件（啓用集中郵件傳輸）

原理搞清楚後，咱們先介紹本地環境

個人本地域信息

Exchange部署的角色；

全部的角色在同一臺服務器上

升級exchange2013 CU9補丁

配置完成後，咱們能夠經過ecp進行exchange管理

環境準備好後咱們確認的是 本地的exchange服務是能夠正常工做的

首先是建立兩個用戶

同時爲兩個用戶啓用郵箱

啓用後咱們須要確認User01和user02之間是能夠互相投遞郵件的

郵件正常投遞後，咱們須要爲exchange申請一張證書

爲exchange指定外部訪問域信息

開始經過內部CA申請證書

證書擱置

分配證書服務

本地環境準備好後，咱們就是申請office365帳戶了

接下來咱們驗證國內部版本office365註冊機功能驗證

http://www.microsoft.com/china/office365/

Office365申請完成以後，首先咱們須要添加本地域

添加本地域名

根據提示須要在本地的域名dns下添加txt記錄

根據提示操做

咱們在此只測試exchange，因此勾選對應的功能便可

根據提示添加域名解析

記錄添加完成

本地域添加完成

添加域後，咱們接下來就是配置dirsync

該功能主要是爲了將本地的用戶信息同步到office365服務的online上

單擊活用用戶---啓用AD同步  

激活AD同步

下載安裝dirsync同步工具  

開始配置  

輸入office365 online登陸用戶信息

輸入本地的AD帳戶信息；該帳戶信息爲AD的domain admins成員

勾選啓用混合配置部署

啓用密碼同步

配置完成

當即同步

同步後咱們就能夠將本地的用戶同步到了online上

咱們爲了同步指定的ou下的用戶，咱們須要配置同步選項

首選咱們進入Dirsync安裝目錄

Open Identity Manager by double-clicking miisclient.exe that is located in the following folder:
%ProgramFiles%\Microsoft Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

雙擊或者右擊屬性---Active directory

咱們只勾選同步指定的ou

修改後確認便可

咱們最後經過log確認，dirsync默認的同步時間爲3小時一次。

因此咱們須要使用powershell強制同步，使配置馬上生效

接下來咱們再查看同步的用戶

如今能夠將本地的AD用戶同步到了online上，接下來咱們配置一下adfs，方便登陸

首先咱們須要爲ADFS服務申請一張證書，在此使用iis

咱們先準備爲adfs準備一張證書，因此須要在ADFS服務器上安裝iis

使用iis申請證書

定義證書名稱

使用內部的CA申請證書

證書申請完成

導出一張帶有私鑰的證書

接下來就是安裝聯合身份驗證服務

接下來咱們安裝聯合身份驗證服務

Install-windowsfeature adfs-federation –IncludeManagementTools

安裝後，單擊配置服務

開始配置

配置完成

接下來定義ADFS域office365的信任關係

接下來咱們須要給Office365域自定義域信任關係，若是不自定義信任關係的話，咱們目前仍是沒法經過本地用戶登陸office365的portal頁面

首先是須要安裝用於 Windows PowerShell 的 Windows Azure Active Directory 模塊

下載軟件

http://go.microsoft.com/fwlink/p/?linkid=236297

connect-msolservice 
輸入office365管理員帳戶

Convert-MsolDomainToFederated -DomainName ixmsoft.com

在此ADFS服務配置完成

準備好全部環境後就是接下來啓用混合部署

根據提示咱們須要登陸office365管理中心

根據本身的環境勾選配置；若是是office365世紀互聯的須要勾選

登陸office365

設置混合部署；根據提示咱們須要修改exchange ewa的虛擬目錄

Set-WebServicesVirtualDirectory -Identity edwardex9\EWS(Default Web Site) -ExternalUrl 
https://mail.ixmsoft.com/EWS/exchange.asmx
 -BasicAuthentication $true -InternalUrl 
https://mail.ixmsoft.com/EWS/Exchange.asmx

添加外部解析

添加外部域名訪問後，單擊保存  

添加完成

根據想到，咱們選擇默認便可

根據當前環境來選擇

選擇CAS服務器

選擇發送郵件服務器

定義證書，由於咱們前面已經申請了證書，因此選擇默認便可

定義外部訪問域名服務：該域名爲CAS服務器的發佈名稱；

驗證服務器；該帳戶爲本地AD的domain admins成員

輸入office365的登錄帳戶

開始部署混合配置

配置中

混合部署配置完成

https://configure.partner.microsoftonline.cn/scenario.aspx?sid=2

配置office365信息

根據想到來下載運行服務

提示下載所需插件

配置中

該過程不會太長時間

驗證混合配置

混合配置即將完成

混合配置已完成

配置完成會跳入exchange ecp管理界面；其實該頁面爲online的管理頁面中

單擊組織---啓用聯合身份驗證

默認配置便可

接下來咱們在ecp下建立一個office365用戶

默認新建office365的時候沒法新建的用戶作選項：

選擇本地已存在的用戶

沒法新建用戶作AD目錄選擇

Office365帳戶建立完成

接下來咱們在office365上查看用戶

咱們在office365上沒看見郵箱用戶

緣由是由於本地建立因此須要使用syncdir同步到office365上

同步的時間默認是3小時

因此咱們須要命令同步

import-module dirsync
start-onlinecoexistencesync

同步完成後，咱們發現剛纔新建的用戶已同步到online上

同步的用戶若是須要登陸的話，咱們須要爲該用戶分配許可

同步過來咱們的用戶是不能直接使用的，咱們須要激活用戶及分配許可證

這樣user20就能夠登陸online郵箱了

由於咱們部署了ADFS，因此會跳轉到ADFS登陸頁面

登陸成功