Exchange2013 CU9和Office365混合部署

sofh7777

　　Exchange2013 CU9和Office365混合部署
　　说到Office365相信很多童鞋都已经了解很多了，我们前面的文章中也有介绍过office365的相关配置，今天呢，主要介绍Exchange2013 CU9和Office365的混合部署，我们首先说说为什么是Exchange2013 CU9，原因是由于世纪互联的Office365做混合部署的时候对exchange的版本要求最低是CU6,所以我们为了体验更好的功能我们直接打cu9的补丁，对于更多的配置具体见下，在此我们大概说说原理，其实Office365和Exchange的混合部署意义对于企业方来说不一样，原因是由于混合部署有两种指定方式，1.将office365的Mx记录指向本地网络域，这样部署后，不管是本地还是online邮箱用户，投递邮件都会经过本地，如果将Mx记录指向online，用户投递邮件首先会经过online才会继续往本地投递；混合部署前需要office365添加本地域，添加后，可以将本地的用户迁移到office365上，然后通过配置指定路由投递邮件，具体就不多说了，具体见下面介绍：
　　环境介绍:
　　Hostname：Ixm-dc
　　IP：192.168.6.10
　　Role:DC、CA
　　Domain：Ixmsoft.com
　　Hostname：Ixm-ex01
　　IP：192.168.6.11
　　Role：Exchange2013 CU9
　　Hostname：Ixm-Sync
　　IP：192.168.6.12
　　Role:dirsync
　　Hostname：Ixm-adfs
　　IP：192.168.6.13
　　Role:ADFS
　　邮件路由原理：
　　通过内部部署组织路由入站Internet邮件
　　以下步骤和图表举例说明了在决定保持指向您的内部部署组织的 MX 记录的情况下，混合部署中将出现的入站 Internet 邮件路径。
　　入站邮件从 Internet 发件人发送给收件人 chris@contoso.com 和 david@contoso.com。Chris 的邮箱位于内部部署组织中的 Exchange 2013 邮箱服务器上。David 的邮箱位于 Exchange Online 中。
　　因为这两个收件人都有 contoso.com 电子邮件地址，并且 contoso.com 的 MX 记录指向内部部署组织，所以邮件会传递到 Exchange 2013 客户端访问服务器。
　　Exchange 2013 客户端访问服务器使用内部部署全局编录服务器对每个收件人执行查找。通过全局目录查找，确定 Chris 的邮箱位于 Exchange 2013 邮箱服务器，而 David 的邮箱位于 Exchange Online 组织，同时具有 david@contoso.mail.onmicrosoft.com 的混合路由地址。在本例中，客户端访问和邮箱服务器角色被安装在同一 Exchange 2013 服务器上。
　　Exchange 2013 客户端访问服务器将邮件拆分为两个副本。邮件的一个副本会发送给 Exchange 2013 邮箱服务器，在该服务器中它会传递给 Chris 的邮箱。
　　邮件的第二个副本被 Exchange 2013 客户端访问服务器发送到 EOP，这将使用配置为使用 TLS 的发送连接器接收发送到 Exchange Online 组织的邮件。
　　EOP 将邮件发送到 Exchange Online 组织，在该组织中对邮件进行病毒扫描并将其传递到 David 的邮箱。

　　当集中邮件传输被“禁用”（默认配置）时，混合部署中的入站 Internet 邮件按以下路由：
　　入站邮件从 Internet 发件人发送给收件人 chris@contoso.com 和 david@contoso.com。Chris 的邮箱位于内部部署组织中的 Exchange 2013 邮箱服务器上。David 的邮箱位于 Exchange Online 中。
　　因为这两个收件人都有 contoso.com 电子邮件地址，并且 contoso.com 的 MX 记录指向 EOP，所以邮件会传递到 EOP。
　　EOP 将两个收件人的邮件都路由到 Exchange Online。
　　Exchange Online 对邮件进行病毒扫描并对每个收件人执行查找。通过查找，确定 Chris 的邮箱位于内部部署组织中，而 David 的邮箱位于 Exchange Online 组织中。
　　Exchange Online 将邮件拆分为两个副本。将邮件的一个副本传递到 David 的邮箱。
　　将第二个副本从 Exchange Online 发送回 EOP。
　　EOP 发送邮件到内部部署组织中的 Exchange 2013 客户端访问服务器。
　　Exchange 2013 客户端访问服务器将邮件发送给 Exchange 2013 邮箱服务器，并在该服务器中传递到 Chris 的邮箱。在此示例中，客户端访问和邮箱服务器角色安装在同一 Exchange 2013 服务器上。
　　通过Exchange Online组织路由入站Internet邮件

　　当集中邮件传输被“启用”时，混合部署中的入站 Internet 邮件按以下路由：
　　入站邮件从 Internet 发件人发送给收件人 chris@contoso.com 和 david@contoso.com。Chris 的邮箱位于内部部署组织中的 Exchange 2013 邮箱服务器上。David 的邮箱位于 Exchange Online 中。
　　因为这两个收件人都有 contoso.com 电子邮件地址，并且 contoso.com 的 MX 记录指向 EOP，所以邮件会传递到 EOP 并扫描病毒。
　　由于启用了集中邮件传输，EOP 会将这两个收件人的邮件路由到内部部署 Exchange 2013 客户端访问服务器。
　　Exchange 2013 客户端访问服务器为每个收件人执行查找。通过查找，确定 Chris 的邮箱位于内部部署组织中，而 David 的邮箱位于 Exchange Online 组织中。
　　Exchange 2013 客户端访问服务器将邮件拆分为两个副本。邮件的一个副本被发送给 Chris 在内部部署 Exchange 2013 邮箱服务器中的邮箱。
　　第二个副本从 Exchange 2013 客户端访问服务器发送回 EOP。
　　EOP 将邮件发送到 Exchange Online。
　　Exchange 将邮件发送到 David 的邮箱。在此示例中，客户端访问和邮箱服务器角色安装在同一 Exchange 2013 服务器上。
　　通过 Exchange Online 组织为内部部署组织和 Exchange Online 组织路由邮件，同时启用集中邮件传输

　　发送到Internet的出站邮件
　　除了选择如何对发送给组织中的收件人的入站邮件进行路由之外，还可以选择如何对从 Exchange Online 收件人发送的出站邮件进行路由。运行“混合配置”向导时，可以选择两个选项之一：
　　“启用集中邮件控制” 选择此选项将路由从 Exchange Online 组织发送的出站邮件通过内部部署组织。除了向同一个 Exchange Online 组织中的其他收件人发送的邮件之外，从 Exchange Online 组织中的收件人发送的所有邮件都会通过内部部署组织发送。这使您可以将合规性规则应用于这些邮件以及必须应用于所有收件人（无论这些收件人是处于 Exchange Online 组织中还是处于内部部署组织中）的任何其他过程或要求。
　　注意：
　　仅对具有与符合性相关的特定传输需求的组织推荐使用集中式邮件传输。我们建议典型的 Exchange 组织不要启用集中式邮件传输。
　　不启用集中邮件传输 该选项在混合配置向导中默认选择，可直接将从 Exchange Online 组织发送的出站邮件路由到 Internet。如果无需将任何内部部署合规性策略或其他处理规则应用于从 Exchange Online 组织中的收件人发送的邮件，请使用此选项。
　　从内部部署收件人发送的邮件会始终使用 DNS 直接发送到 Internet 收件人（无论在“混合配置”向导中选择了以上哪个选项）。
　　以下步骤和图表说明从内部部署收件人发送的邮件的出站邮件路径。
　　在内部部署 Exchange 2013 邮箱服务器上拥有一个邮箱的 Chris 将一封邮件发送给外部 Internet 收件人 erin@cpandl.com。
　　同时安装了客户端访问和邮箱服务器角色的 Exchange 2013 服务器查找 cpandl.com 的 MX 记录，然后将邮件发送到位于 Internet 上的 cpandl.com 邮件服务器。
　　从内部部署发件人发送给 Internet 收件人的邮件

　　使用DNS(禁用集中式邮件传递)发送Exchange Online的Internet邮件
　　以下步骤和图表举例说明了在混合配置向导中未选择“启用集中邮件传输”（这是默认配置）的情况下，从 Exchange Online 收件人发送给 Internet 收件人邮件会出现的出站邮件路径。
　　在内部部署 Exchange Online 组织中拥有一个邮箱的 David 将一封邮件发送给外部 Internet 收件人 erin@cpandl.com。
　　Exchange Online 对邮件进行病毒扫描并将邮件发送给 Exchange Online EOP 公司。
　　EOP 会在 MX 记录中查找 cpandl.com，并将邮件发送给位于 Internet 上的 cpandl.com 邮件服务器。
　　来自 Exchange Online 发件人的邮件将直接路由到 Internet，同时禁用集中邮件传输（默认配置）

　　通过内部部署组织（启用集中邮件传输）路由从Exchange Online发送到Internet的邮件
　　以下步骤和图表举例说明了在混合配置向导中选择“启用集中邮件传输”的情况下，从 Exchange Online 收件人发送给 Internet 收件人邮件会出现的出站邮件路径。
　　在内部部署 Exchange Online 组织中拥有一个邮箱的 David 将一封邮件发送给外部 Internet 收件人 erin@cpandl.com。
　　Exchange Online 对邮件进行病毒扫描并将邮件发送给 EOP。
　　EOP 配置为将所有 Internet 出站邮件发送给内部部署服务器，因此邮件会路由到 Exchange 2013 客户端访问服务器。邮件使用 TLS 发送。
　　Exchange 2013 客户端访问服务器对 David 的邮件执行遵从性、防病毒以及管理员配置的任何其他过程。
　　Exchange 2013 客户端访问服务器会在 MX 记录中查找 cpandl.com，并将邮件发送给位于 Internet 上的 cpandl.com 邮件服务器。
　　通过内部部署组织路由的来自 Exchange Online 发件人的邮件（启用集中邮件传输）

　　原理搞清楚后，我们先介绍本地环境
　　我的本地域信息

　　Exchange部署的角色；
　　所有的角色在同一台服务器上

　　升级exchange2013 CU9补丁

　　配置完成后，我们可以通过ecp进行exchange管理

　　环境准备好后我们确认的是 本地的exchange服务是可以正常工作的
　　首先是创建两个用户

　　同时为两个用户启用邮箱

　　启用后我们需要确认User01和user02之间是可以互相投递邮件的

　　邮件正常投递后，我们需要为exchange申请一张证书

　　为exchange指定外部访问域信息

　　开始通过内部CA申请证书

　　证书搁置

　　分配证书服务

　　本地环境准备好后，我们就是申请office365账户了
　　接下来我们验证国内部版本office365注册机功能验证
　　http://www.microsoft.com/china/office365/

　　Office365申请完成之后，首先我们需要添加本地域

　　添加本地域名

　　根据提示需要在本地的域名dns下添加txt记录

　　根据提示操作

　　我们在此只测试exchange，所以勾选对应的功能即可

　　根据提示添加域名解析

　　记录添加完成

　　本地域添加完成

　　添加域后，我们接下来就是配置dirsync
　　该功能主要是为了将本地的用户信息同步到office365服务的online上

　　单击活用用户---启用AD同步

　　激活AD同步

　　下载安装dirsync同步工具

　　开始配置

　　输入office365 online登录用户信息

　　输入本地的AD账户信息；该账户信息为AD的domain admins成员

　　勾选启用混合配置部署

　　启用密码同步

　　配置完成

　　立即同步

　　同步后我们就可以将本地的用户同步到了online上

　　我们为了同步指定的ou下的用户，我们需要配置同步选项
　　首选我们进入Dirsync安装目录
Open Identity Manager by double-clicking miisclient.exe that is located in the following folder:　　
%ProgramFiles%\Microsoft Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

　　双击或者右击属性---Active directory

　　我们只勾选同步指定的ou

　　修改后确认即可

　　我们最后通过log确认，dirsync默认的同步时间为3小时一次。
　　所以我们需要使用powershell强制同步，使配置立刻生效

　　接下来我们再查看同步的用户

　　现在可以将本地的AD用户同步到了online上，接下来我们配置一下adfs，方便登录
　　首先我们需要为ADFS服务申请一张证书，在此使用iis
　　我们先准备为adfs准备一张证书，所以需要在ADFS服务器上安装iis

　　使用iis申请证书

　　定义证书名称

　　使用内部的CA申请证书

　　证书申请完成

　　导出一张带有私钥的证书

　　接下来就是安装联合身份验证服务
　　接下来我们安装联合身份验证服务
Install-windowsfeature adfs-federation –IncludeManagementTools

　　安装后，单击配置服务

　　开始配置

　　配置完成

　　接下来定义ADFS域office365的信任关系
　　接下来我们需要给Office365域自定义域信任关系，如果不自定义信任关系的话，我们目前还是无法通过本地用户登录office365的portal页面
　　首先是需要安装用于 Windows PowerShell 的 Windows Azure Active Directory 模块
　　下载软件
　　http://go.microsoft.com/fwlink/p/?linkid=236297

connect-msolservice　　
输入office365管理员账户

Convert-MsolDomainToFederated -DomainName ixmsoft.com

　　在此ADFS服务配置完成

　　准备好所有环境后就是接下来启用混合部署

　　根据提示我们需要登录office365管理中心

　　根据自己的环境勾选配置；如果是office365世纪互联的需要勾选

　　登录office365

　　设置混合部署；根据提示我们需要修改exchange ewa的虚拟目录

Set-WebServicesVirtualDirectory -Identity edwardex9\EWS(Default Web Site) -ExternalUrl　　
https://mail.ixmsoft.com/EWS/exchange.asmx
　　
-BasicAuthentication $true -InternalUrl
　　
https://mail.ixmsoft.com/EWS/Exchange.asmx

　　添加外部解析

　　添加外部域名访问后，单击保存

　　添加完成

　　根据想到，我们选择默认即可
　　根据当前环境来选择

　　选择CAS服务器

　　选择发送邮件服务器

　　定义证书，因为我们前面已经申请了证书，所以选择默认即可

　　定义外部访问域名服务：该域名为CAS服务器的发布名称；

　　验证服务器；该账户为本地AD的domain admins成员

　　输入office365的登陆账户

　　开始部署混合配置

　　配置中

　　混合部署配置完成

　　https://configure.partner.microsoftonline.cn/scenario.aspx?sid=2
　　配置office365信息

　　根据想到来下载运行服务

　　提示下载所需插件

　　配置中

　　该过程不会太长时间

　　验证混合配置

　　混合配置即将完成

　　混合配置已完成

　　配置完成会跳入exchange ecp管理界面；其实该页面为online的管理页面中

　　单击组织---启用联合身份验证

　　默认配置即可

　　接下来我们在ecp下创建一个office365用户

　　默认新建office365的时候无法新建的用户做选项：
　　选择本地已存在的用户
　　无法新建用户做AD目录选择

　　Office365账户创建完成

　　接下来我们在office365上查看用户

　　我们在office365上没看见邮箱用户

　　原因是因为本地创建所以需要使用syncdir同步到office365上
　　同步的时间默认是3小时
　　所以我们需要命令同步
import-module dirsync　　
start-onlinecoexistencesync

　　同步完成后，我们发现刚才新建的用户已同步到online上

　　同步的用户如果需要登录的话，我们需要为该用户分配许可

　　同步过来我们的用户是不能直接使用的，我们需要激活用户及分配许可证

　　这样user20就可以登录online邮箱了

　　因为我们部署了ADFS，所以会跳转到ADFS登录页面

　　登录成功