Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)

Опубликовано: 13 Марта, 2023

  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 7)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 8)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 9)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)

Введение

В части 9 этой серии статей, посвященной миграции на основе гибридного развертывания Exchange в Office 365 или, точнее, в Exchange Online, мы импортировали и назначили сторонний сертификат для IIS и SMTP на гибридных серверах Exchange 2010. Кроме того, мы настроили разные URL-адреса Exchange на этих серверах так, чтобы они указывали на «hybrid.office365lab.dk», которое является полным доменным именем сосуществования гибридного развертывания, которое я выбрал для этой конкретной среды.

В этой части 10 мы продолжим с того места, на котором остановились в части 9. То есть мы рассмотрим существующие правила публикации Exchange в нашем автономном массиве TMG, а затем перенастроим их, чтобы локальный Exchange инфраструктура может правильно сосуществовать с Exchange Online. Более того, мы добавим нашу организацию Exchange Online в консоль управления Exchange (EMC) в качестве дополнительного леса Exchange. Наконец, мы подключимся к организации Exchange Online с помощью Windows PowerShell.

Давайте идти…

Перенастройте записи TMG и/или DNS

Итак, на данный момент мы настроили URL-адреса на гибридных серверах Exchange 2010, а также импортировали и назначили требуемый сторонний доверенный сертификат на каждом из них. Следующим шагом является повторная настройка правила автообнаружения Exchange и публикации веб-служб Exchange (EWS) в автономном массиве TMG 2010 или A-записи DNS, чтобы они указывали на гибридные серверы Exchange 2010 вместо Exchange 2007. Если TMG используется, в зависимости от того, как настроено правило публикации, вам также может потребоваться изменить метод проверки подлинности, используемый в настоящее время для этого правила.

Примечание:
Если вы не используете TMG для публикации Exchange в своей среде, вам просто нужно обновить записи автообнаружения и DNS EWS во внешнем DNS, чтобы они указывали на общедоступный IP-адрес, который транслирует NAT на виртуальный IP-адрес (VIP), который распределяет нагрузку по трафику через Гибридные серверы Exchange 2010.

Итак, в моей тестовой среде следующие службы Exchange 2007 в настоящее время публикуются в Интернете с помощью автономного массива TMG 2010:

Служба обмена

полное доменное имя

Описание

Автообнаружение

Autodiscover.office365lab.dk

TMG публикует автообнаружение Exchange 2007, используя стандартное правило публикации Outlook Anywhere.

Outlook Web Access 2007 (OWA 2007)

Веб-почта.office365lab.dk

TMG публикует Exchange 2007 OWA, используя это полное доменное имя. Правило публикации TMG использует предварительную аутентификацию на основе форм, что означает, что пользователи проходят аутентификацию в TMG до того, как получат доступ к своему почтовому ящику.

Биржа ActiveSync (EAS)

Веб-почта.office365lab.dk

TMG публикует Exchange 2007 ActiveSync, используя стандартное правило публикации EAS.

Мобильный Outlook (OA)

Веб-почта.office365lab.dk

TMG публикует автообнаружение Exchange 2007, используя стандартное правило публикации Outlook Anywhere (то же самое, что и для автообнаружения). Веб-службы Exchange (EWS) также публикуются с использованием этого правила.

SMTP

smtp.office365lab.dk (запись MX)

TMG публикует транспортные серверы-концентраторы Exchange 2007, используя правило доступа SMTP.

Таблица 1. URL-адреса Exchange 2007 до внедрения гибридной системы Exchange

Вот конфигурация «Пути» и «Прослушиватель» для Exchange 2007 — OWA, Exchange 2007 Autodiscover/Outlook Anywhere и правил публикации Exchange 2007 ActiveSync:

Изображение 3445
Рисунок 1:
Пути Exchange 2007 OWA и прослушиватель на TMG

Изображение 3446
Рисунок 2.
Пути Exchange 2007 Outlook Anywhere и прослушиватель на TMG

Изображение 3447
Рисунок 3:
Пути Exchange 2007 ActiveSync и прослушиватель на TMG

А вот правило входящего SMTP-доступа:

Изображение 3448
Рисунок 4:
Правило доступа Exchange 2007 для входящего SMTP на TMG

Для поддержки гибридной конфигурации нам нужно немного скорректировать существующие правила и создать два новых. Когда дело доходит до гибридного развертывания, такие функции, как сведения о доступности и перемещении почтовых ящиков между локальными Exchange и Exchange Online, используют определенные конечные точки автообнаружения и веб-служб Exchange (EWS). Для соответствующих функций требуется сквозная аутентификация в используемом правиле публикации TMG. Поскольку мы настроили правило Outlook Anywhere с предварительной проверкой подлинности, его нельзя использовать для сведений о доступности и перемещении почтовых ящиков между Exchange Online и локальным Exchange.

Чтобы обойти эту ситуацию, мы можем создать новое правило, которое публикует определенные конечные точки автообнаружения и EWS и имеет более высокий приоритет, чем существующее правило публикации, которое используется для публикации автообнаружения и EWS.

В следующей таблице перечислены службы Exchange 2007/2010 и связанные с ними полные доменные имена с кратким пояснением.

Служба обмена

полное доменное имя

Описание

Автообнаружение и веб-службы Exchange (EWS)

Autodiscover.office365lab.dk

TMG публикует автообнаружение Exchange 2010, используя стандартное правило публикации Outlook Anywhere.

Outlook Web Access 2007 (OWA 2007)

Веб-почта.office365lab.dk

TMG публикует Exchange 2007 OWA, используя это полное доменное имя. Публикация TMG использует предварительную аутентификацию на основе форм, что означает, что пользователи проходят аутентификацию в TMG до того, как получат доступ к своему почтовому ящику.

Outlook Web Access 2010 (OWA 2010)

Гибрид.office365lab.dk

TMG публикует Exchange 2010 OWA, используя это полное доменное имя. Правило публикации TMG использует предварительную аутентификацию на основе форм, что означает, что пользователи проходят аутентификацию в TMG до того, как получат доступ к своему почтовому ящику.

Гибрид Exchange (AutoD и EWS)

Autodiscover.office365lab.dk и веб-почта.office365lab.dk

TMG публикует конкретные конечные точки автообнаружения и EWS, используемые для гибридных функций, таких как сведения о доступности и перемещении почтовых ящиков.

Мобильный Outlook (OA)

Веб-почта.office365lab.dk

TMG публикует автообнаружение Exchange 2007, используя стандартное правило публикации Outlook Anywhere (то же самое, что и для автообнаружения). Веб-службы Exchange (EWS) также публикуются с использованием этого правила.

Биржа ActiveSync (EAS)

Веб-почта.office365lab.dk

TMG публикует Exchange 2007 ActiveSync, используя стандартное правило публикации EAS.

Входящий SMTP

smtp.office365lab.dk (запись MX)

TMG публикует транспортные серверы-концентраторы Exchange 2007, используя правило доступа SMTP.

Входящий SMTP

Гибрид.office365lab.dk

TMG публикует транспортные серверы-концентраторы Exchange 2010, используя правило доступа SMTP. Это правило будет использоваться для потока почты между Office 365 (FOPE) и локальной средой.

Таблица 2. URL-адреса Exchange 2007/2010, настроенные для поддержки гибридной среды Exchange

После перенастройки существующих правил публикации TMG и создания двух новых, список правил публикации в TMG должен выглядеть примерно так, как показано на рис. 5 ниже.

Изображение 3449
Рисунок 5:
Правила публикации Exchange 2007/2010 на TMG после повторной настройки, необходимой для гибридного Exchange

Настройка записи SPF

Чтобы предотвратить спуфинг и фишинг, многие организации используют так называемые записи SPF (структура политик отправителей). SPF — это текстовая (TXT) запись, которую мы можем создать в нашем внешнем DNS, на котором размещен наш SMTP-домен. Короче говоря, запись SPF проверяет доменное имя, с которого отправляются сообщения электронной почты. Это делается путем проверки происхождения сообщений электронной почты путем сверки IP-адреса отправителя с предполагаемым владельцем отправляющего домена.

При внедрении гибрида Exchange, в котором у нас есть почтовые ящики как в Exchange Online, так и в локальной среде обмена сообщениями на основе Exchange, исходящие сообщения электронной почты обычно направляются через локальную среду обмена сообщениями до достижения целевого сервера. В этом случае рекомендуется добавить IP-адрес локального сервера в запись TXT. Для этого мы можем использовать следующую TXT-запись:

Где 192.168.6.220 и 192.168.6.221 — это IP-адреса, настроенные для серверов исходящей почты, которые следует считать авторизованными для соответствующего домена SMTP.

Чтобы начать настройку записи SPF для своего домена, откройте портал Office 365 и щелкните > Домены, а затем откройте страницу свойств для соответствующего домена SMTP. В разделе «Управление DNS» вы можете найти информацию и соответствующие ссылки для создания вашей конкретной записи SPF.

Изображение 3450
Рисунок 6.
Запись SPF, необходимая для интеграции с Exchange Online

При создании записей SPF полезен мастер SPF Sender Framework от Microsoft.

Добавьте арендатора Office 365 в консоль управления Exchange.

Частью настройки гибридной конфигурации между Exchange Online и локальной средой Exchange является добавление арендатора Exchange Online в качестве дополнительного леса Exchange в консоли управления Exchange (EMC) на гибридных серверах на базе Exchange 2010. Это позволит вам перемещать почтовые ящики в Exchange Online, а также внешние почтовые ящики из Exchange Online с помощью самой EMC. Кроме того, мы можем настроить определенные параметры для почтовых ящиков, хранящихся в Exchange Online.

Чтобы добавить Exchange Online в качестве леса Exchange в консоли управления Exchange, щелкните правой кнопкой мыши « Microsoft Exchange » в левом верхнем углу, а затем выберите « Добавить лес Exchange » в контекстном меню, как показано ниже.

Изображение 3451
Рисунок 7.
Добавление организации Exchange Online в качестве дополнительного леса Exchange в EMC

В мастере « Добавить лес Exchange » введите понятное имя для леса Exchange (например, Exchange Online (Office 365), а затем убедитесь, что выбран « Exchange Online » (не отмечайте «Войти с учетными данными по умолчанию»), затем нажмите « ОК ».

Изображение 3452
Рисунок 8. Введите понятное имя и выберите «Exchange Online» в качестве URL-адреса.

Теперь введите учетные данные для « Глобального администратора » в Office 365. Также не забудьте отметить « Запомнить мои учетные данные » (чтобы они не запрашивались при каждом запуске EMC), а затем нажмите « ОК ».

Изображение 3453
Рисунок 9. Ввод учетных данных глобального администратора Office 365

Через некоторое время вы увидите, что арендатор Exchange Online добавлен в качестве дополнительного леса Exchange на панели навигации ( рис. 10 ).

Изображение 3454
Рисунок 10.
Теперь организация Exchange Online добавлена в качестве дополнительного леса Exchange в EMC.

Теперь вы можете развернуть узлы рабочего центра в клиенте Exchange Online и проверить различные параметры конфигурации на каждом уровне. Мы внимательно рассмотрим это по мере продвижения в этой серии статей.

Подключение к Exchange Online с помощью Windows PowerShell

Таким образом, хотя мы можем подключиться к Exchange Online с помощью EMC, графический интерфейс, конечно же, имеет ограничения на то, что вы можете делать, по сравнению с использованием Windows PowerShell.

Итак, давайте также посмотрим, как вы подключаетесь к Exchange Online с помощью Windows PowerShell. Во-первых, рекомендуется использовать Windows PowerShell, а не Exchange Management Shell (EMS), поскольку в противном случае вам потребуется использовать параметр «AllowClubber» при импорте сеанса PS. Это затенит существующие локальные командлеты, но при этом вы больше не сможете использовать эти командлеты против локальных серверов Exchange. По крайней мере, без префикса существительных импортированных команд.

Изображение 3455
Рисунок 11:
Не удалось создать теневые команды для локальных существительных

Так что лично я просто запускаю сеанс PS для Exchange Online в окне Windows PowerShell и использую Exchange Management Shell для локальных серверов Exchange, чтобы не создавать префиксы для существительных Exchange Online.

Итак, в открытом окне Windows PowerShell введите следующую команду, чтобы создать переменную, в которой хранятся учетные данные глобального администратора Office 365, с которым вы хотите пройти аутентификацию:

Изображение 3456
Рисунок 12: Ввод учетных данных для глобального администратора Office 365

Затем нам нужно подключиться к службе Exchange Online, используя учетные данные, хранящиеся в переменной. Мы можем сделать это с помощью следующей команды:

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $TenantCreds -Authentication Basic –AllowRedirection

Изображение 3457
Рисунок 13:
Подключение к службе Exchange Online с помощью Windows PowerShell

Теперь, когда мы подключились к службе Exchange Online, нам нужно импортировать сеанс. Мы можем сделать это с помощью командлета Import-PSSession:

Изображение 3458
Рисунок 14:
Импорт сеанса PowerShell

Теперь мы можем запускать командлеты непосредственно для Exchange Online в Office 365. Например, мы можем получить статистику для всех почтовых ящиков, существующих в нашем арендаторе:

Изображение 3459
Рисунок 15:
Статистика для почтовых ящиков в Exchange Online

Или, может быть, вы хотите получить список обслуживаемых доменов для вашего арендатора:

Изображение 3460
Рисунок 16: Список обслуживаемых доменов в Exchange Online

Когда вы закончите администрирование Exchange Online, хорошей привычкой будет удалить сеанс PS. Вы можете сделать это с помощью:

На этом завершается часть 10 этой статьи, состоящей из нескольких частей, в которой я объясняю, как настроить гибридное развертывание Exchange с последующим переходом на Office 365 (Exchange Online).

  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 7)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 8)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 9)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 11)
  • Настройка гибридного развертывания Exchange и переход на Office 365 (Exchange Online) (часть 13)