Exchange2013 CU9和Office365混合部署

本文涉及的产品
.cn 域名,1个 12个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介:

说到Office365相信很多童鞋都已经了解很多了,我们前面的文章中也有介绍过office365的相关配置,今天呢,主要介绍Exchange2013 CU9和Office365的混合部署,我们首先说说为什么是Exchange2013 CU9,原因是由于世纪互联的Office365做混合部署的时候对exchange的版本要求最低是CU6,所以我们为了体验更好的功能我们直接打cu9的补丁,对于更多的配置具体见下,在此我们大概说说原理,其实Office365和Exchange的混合部署意义对于企业方来说不一样,原因是由于混合部署有两种指定方式,1.将office365的Mx记录指向本地网络域,这样部署后,不管是本地还是online邮箱用户,投递邮件都会经过本地,如果将Mx记录指向online,用户投递邮件首先会经过online才会继续往本地投递;混合部署前需要office365添加本地域,添加后,可以将本地的用户迁移到office365上,然后通过配置指定路由投递邮件,具体就不多说了,具体见下面介绍:

环境介绍:

Hostname:Ixm-dc

IP:192.168.6.10

Role:DC、CA

Domain:Ixmsoft.com

Hostname:Ixm-ex01

IP:192.168.6.11

Role:Exchange2013 CU9

Hostname:Ixm-Sync

IP:192.168.6.12

Role:dirsync

Hostname:Ixm-adfs

IP:192.168.6.13

Role:ADFS

邮件路由原理:

通过内部部署组织路由入站Internet邮件

以下步骤和图表举例说明了在决定保持指向您的内部部署组织的 MX 记录的情况下,混合部署中将出现的入站 Internet 邮件路径。

入站邮件从 Internet 发件人发送给收件人 chris@contoso.com 和 david@contoso.com。Chris 的邮箱位于内部部署组织中的 Exchange 2013 邮箱服务器上。David 的邮箱位于 Exchange Online 中。

因为这两个收件人都有 contoso.com 电子邮件地址,并且 contoso.com 的 MX 记录指向内部部署组织,所以邮件会传递到 Exchange 2013 客户端访问服务器。

Exchange 2013 客户端访问服务器使用内部部署全局编录服务器对每个收件人执行查找。通过全局目录查找,确定 Chris 的邮箱位于 Exchange 2013 邮箱服务器,而 David 的邮箱位于 Exchange Online 组织,同时具有 david@contoso.mail.onmicrosoft.com 的混合路由地址。在本例中,客户端访问和邮箱服务器角色被安装在同一 Exchange 2013 服务器上。

Exchange 2013 客户端访问服务器将邮件拆分为两个副本。邮件的一个副本会发送给 Exchange 2013 邮箱服务器,在该服务器中它会传递给 Chris 的邮箱。

邮件的第二个副本被 Exchange 2013 客户端访问服务器发送到 EOP,这将使用配置为使用 TLS 的发送连接器接收发送到 Exchange Online 组织的邮件。

EOP 将邮件发送到 Exchange Online 组织,在该组织中对邮件进行病毒扫描并将其传递到 David 的邮箱。

image

当集中邮件传输被“禁用”(默认配置)时,混合部署中的入站 Internet 邮件按以下路由:

入站邮件从 Internet 发件人发送给收件人 chris@contoso.com 和 david@contoso.com。Chris 的邮箱位于内部部署组织中的 Exchange 2013 邮箱服务器上。David 的邮箱位于 Exchange Online 中。

因为这两个收件人都有 contoso.com 电子邮件地址,并且 contoso.com 的 MX 记录指向 EOP,所以邮件会传递到 EOP。

EOP 将两个收件人的邮件都路由到 Exchange Online。

Exchange Online 对邮件进行病毒扫描并对每个收件人执行查找。通过查找,确定 Chris 的邮箱位于内部部署组织中,而 David 的邮箱位于 Exchange Online 组织中。

Exchange Online 将邮件拆分为两个副本。将邮件的一个副本传递到 David 的邮箱。

将第二个副本从 Exchange Online 发送回 EOP。

EOP 发送邮件到内部部署组织中的 Exchange 2013 客户端访问服务器。

Exchange 2013 客户端访问服务器将邮件发送给 Exchange 2013 邮箱服务器,并在该服务器中传递到 Chris 的邮箱。在此示例中,客户端访问和邮箱服务器角色安装在同一 Exchange 2013 服务器上。

通过Exchange Online组织路由入站Internet邮件

image

当集中邮件传输被“启用”时,混合部署中的入站 Internet 邮件按以下路由:

入站邮件从 Internet 发件人发送给收件人 chris@contoso.com 和 david@contoso.com。Chris 的邮箱位于内部部署组织中的 Exchange 2013 邮箱服务器上。David 的邮箱位于 Exchange Online 中。

因为这两个收件人都有 contoso.com 电子邮件地址,并且 contoso.com 的 MX 记录指向 EOP,所以邮件会传递到 EOP 并扫描病毒。

由于启用了集中邮件传输,EOP 会将这两个收件人的邮件路由到内部部署 Exchange 2013 客户端访问服务器。

Exchange 2013 客户端访问服务器为每个收件人执行查找。通过查找,确定 Chris 的邮箱位于内部部署组织中,而 David 的邮箱位于 Exchange Online 组织中。

Exchange 2013 客户端访问服务器将邮件拆分为两个副本。邮件的一个副本被发送给 Chris 在内部部署 Exchange 2013 邮箱服务器中的邮箱。

第二个副本从 Exchange 2013 客户端访问服务器发送回 EOP。

EOP 将邮件发送到 Exchange Online。

Exchange 将邮件发送到 David 的邮箱。在此示例中,客户端访问和邮箱服务器角色安装在同一 Exchange 2013 服务器上。

通过 Exchange Online 组织为内部部署组织和 Exchange Online 组织路由邮件,同时启用集中邮件传输

image

发送到Internet的出站邮件

除了选择如何对发送给组织中的收件人的入站邮件进行路由之外,还可以选择如何对从 Exchange Online 收件人发送的出站邮件进行路由。运行“混合配置”向导时,可以选择两个选项之一:

“启用集中邮件控制” 选择此选项将路由从 Exchange Online 组织发送的出站邮件通过内部部署组织。除了向同一个 Exchange Online 组织中的其他收件人发送的邮件之外,从 Exchange Online 组织中的收件人发送的所有邮件都会通过内部部署组织发送。这使您可以将合规性规则应用于这些邮件以及必须应用于所有收件人(无论这些收件人是处于 Exchange Online 组织中还是处于内部部署组织中)的任何其他过程或要求。

注意:

仅对具有与符合性相关的特定传输需求的组织推荐使用集中式邮件传输。我们建议典型的 Exchange 组织不要启用集中式邮件传输。

不启用集中邮件传输 该选项在混合配置向导中默认选择,可直接将从 Exchange Online 组织发送的出站邮件路由到 Internet。如果无需将任何内部部署合规性策略或其他处理规则应用于从 Exchange Online 组织中的收件人发送的邮件,请使用此选项。

从内部部署收件人发送的邮件会始终使用 DNS 直接发送到 Internet 收件人(无论在“混合配置”向导中选择了以上哪个选项)。

以下步骤和图表说明从内部部署收件人发送的邮件的出站邮件路径。

在内部部署 Exchange 2013 邮箱服务器上拥有一个邮箱的 Chris 将一封邮件发送给外部 Internet 收件人 erin@cpandl.com。

同时安装了客户端访问和邮箱服务器角色的 Exchange 2013 服务器查找 cpandl.com 的 MX 记录,然后将邮件发送到位于 Internet 上的 cpandl.com 邮件服务器。

从内部部署发件人发送给 Internet 收件人的邮件

image

使用DNS(禁用集中式邮件传递)发送Exchange Online的Internet邮件

以下步骤和图表举例说明了在混合配置向导中未选择“启用集中邮件传输”(这是默认配置)的情况下,从 Exchange Online 收件人发送给 Internet 收件人邮件会出现的出站邮件路径。

在内部部署 Exchange Online 组织中拥有一个邮箱的 David 将一封邮件发送给外部 Internet 收件人 erin@cpandl.com。

Exchange Online 对邮件进行病毒扫描并将邮件发送给 Exchange Online EOP 公司。

EOP 会在 MX 记录中查找 cpandl.com,并将邮件发送给位于 Internet 上的 cpandl.com 邮件服务器。

来自 Exchange Online 发件人的邮件将直接路由到 Internet,同时禁用集中邮件传输(默认配置)

image

通过内部部署组织(启用集中邮件传输)路由从Exchange Online发送到Internet的邮件

以下步骤和图表举例说明了在混合配置向导中选择“启用集中邮件传输”的情况下,从 Exchange Online 收件人发送给 Internet 收件人邮件会出现的出站邮件路径。

在内部部署 Exchange Online 组织中拥有一个邮箱的 David 将一封邮件发送给外部 Internet 收件人 erin@cpandl.com。

Exchange Online 对邮件进行病毒扫描并将邮件发送给 EOP。

EOP 配置为将所有 Internet 出站邮件发送给内部部署服务器,因此邮件会路由到 Exchange 2013 客户端访问服务器。邮件使用 TLS 发送。

Exchange 2013 客户端访问服务器对 David 的邮件执行遵从性、防病毒以及管理员配置的任何其他过程。

Exchange 2013 客户端访问服务器会在 MX 记录中查找 cpandl.com,并将邮件发送给位于 Internet 上的 cpandl.com 邮件服务器。

通过内部部署组织路由的来自 Exchange Online 发件人的邮件(启用集中邮件传输)

image

原理搞清楚后,我们先介绍本地环境

我的本地域信息

image

Exchange部署的角色;

所有的角色在同一台服务器上

image

升级exchange2013 CU9补丁

image

image

配置完成后,我们可以通过ecp进行exchange管理

image

环境准备好后我们确认的是 本地的exchange服务是可以正常工作的

首先是创建两个用户

image

同时为两个用户启用邮箱

image

启用后我们需要确认User01和user02之间是可以互相投递邮件的

image

邮件正常投递后,我们需要为exchange申请一张证书

image

为exchange指定外部访问域信息

image

image

开始通过内部CA申请证书

image

证书搁置

image

分配证书服务

image

本地环境准备好后,我们就是申请office365账户了

接下来我们验证国内部版本office365注册机功能验证

http://www.microsoft.com/china/office365/

image

image

Office365申请完成之后,首先我们需要添加本地域

image

添加本地域名

image

根据提示需要在本地的域名dns下添加txt记录

image

image

根据提示操作

image

我们在此只测试exchange,所以勾选对应的功能即可

image

根据提示添加域名解析

image

记录添加完成

image

本地域添加完成

image

添加域后,我们接下来就是配置dirsync

该功能主要是为了将本地的用户信息同步到office365服务的online上

image

单击活用用户---启用AD同步   
image

image

激活AD同步

image

image

下载安装dirsync同步工具   
image

开始配置   
image

输入office365 online登录用户信息

image

输入本地的AD账户信息;该账户信息为AD的domain admins成员

image

勾选启用混合配置部署

image

启用密码同步

image

配置完成

image

立即同步

image

同步后我们就可以将本地的用户同步到了online上

image

我们为了同步指定的ou下的用户,我们需要配置同步选项

首选我们进入Dirsync安装目录

1
2
Open Identity Manager by double-clicking miisclient.exe that is located  in  the following folder:
%ProgramFiles%\Microsoft Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

image

双击或者右击属性---Active directory

image

image

我们只勾选同步指定的ou

image

修改后确认即可

image

我们最后通过log确认,dirsync默认的同步时间为3小时一次。

所以我们需要使用powershell强制同步,使配置立刻生效

image

接下来我们再查看同步的用户

image

现在可以将本地的AD用户同步到了online上,接下来我们配置一下adfs,方便登录

首先我们需要为ADFS服务申请一张证书,在此使用iis

我们先准备为adfs准备一张证书,所以需要在ADFS服务器上安装iis

image

使用iis申请证书

image

定义证书名称

image

使用内部的CA申请证书

image

证书申请完成

image

导出一张带有私钥的证书

image

image

接下来就是安装联合身份验证服务

接下来我们安装联合身份验证服务

1
Install-windowsfeature adfs-federation –IncludeManagementTools

image

安装后,单击配置服务

image

开始配置

image

配置完成

image

image

接下来定义ADFS域office365的信任关系

接下来我们需要给Office365域自定义域信任关系,如果不自定义信任关系的话,我们目前还是无法通过本地用户登录office365的portal页面

首先是需要安装用于 Windows PowerShell 的 Windows Azure Active Directory 模块

下载软件

http://go.microsoft.com/fwlink/p/?linkid=236297

image

image

image

image

1
2
connect-msolservice 
输入office365管理员账户

image

image

1
Convert-MsolDomainToFederated -DomainName ixmsoft.com

image

在此ADFS服务配置完成

image

准备好所有环境后就是接下来启用混合部署

image

根据提示我们需要登录office365管理中心

image

根据自己的环境勾选配置;如果是office365世纪互联的需要勾选

image

登录office365

image

设置混合部署;根据提示我们需要修改exchange ewa的虚拟目录

image

1
2
3
4
Set-WebServicesVirtualDirectory -Identity edwardex9\EWS(Default Web Site) -ExternalUrl 
https: //mail .ixmsoft.com /EWS/exchange .asmx
  -BasicAuthentication $ true  -InternalUrl 
https: //mail .ixmsoft.com /EWS/Exchange .asmx

image

添加外部解析

image

添加外部域名访问后,单击保存   
imageimage

添加完成

image

根据想到,我们选择默认即可

根据当前环境来选择

image

选择CAS服务器

image

选择发送邮件服务器

image

定义证书,因为我们前面已经申请了证书,所以选择默认即可

image

定义外部访问域名服务:该域名为CAS服务器的发布名称;

image

验证服务器;该账户为本地AD的domain admins成员

image

输入office365的登陆账户

image

开始部署混合配置

image

配置中

image

混合部署配置完成

image

https://configure.partner.microsoftonline.cn/scenario.aspx?sid=2

配置office365信息

image

根据想到来下载运行服务

image

提示下载所需插件

image

配置中

image

该过程不会太长时间

image

验证混合配置

image

混合配置即将完成

image

混合配置已完成

image

配置完成会跳入exchange ecp管理界面;其实该页面为online的管理页面中

image

单击组织---启用联合身份验证

image

默认配置即可

image

接下来我们在ecp下创建一个office365用户

image

默认新建office365的时候无法新建的用户做选项:

选择本地已存在的用户

无法新建用户做AD目录选择

image

Office365账户创建完成

image

接下来我们在office365上查看用户

image

我们在office365上没看见邮箱用户

image

原因是因为本地创建所以需要使用syncdir同步到office365上

同步的时间默认是3小时

所以我们需要命令同步

1
2
import -module dirsync
start-onlinecoexistencesync

image

同步完成后,我们发现刚才新建的用户已同步到online上

image

同步的用户如果需要登录的话,我们需要为该用户分配许可

image

同步过来我们的用户是不能直接使用的,我们需要激活用户及分配许可证

image

这样user20就可以登录online邮箱了

image

因为我们部署了ADFS,所以会跳转到ADFS登录页面

image

登录成功

image



本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1717117,如需转载请自行联系原作者

相关文章
|
7月前
|
安全 Linux 网络安全
如何在群晖中本地部署WPS Office并实现公网远程访问
如何在群晖中本地部署WPS Office并实现公网远程访问
548 0
|
1月前
|
C#
【Azure App Service】使用Microsoft.Office.Interop.Word来操作Word文档,部署到App Service后报错COMException
System.Runtime.InteropServices.COMException (0x80040154): Retrieving the COM class factory for component with CLSID {000209FF-0000-0000-C000-000000000046} failed due to the following error: 80040154 Class not registered (0x80040154 (REGDB_E_CLASSNOTREG)).
|
7月前
|
JavaScript Java 测试技术
基于SpringBoot+Vue+uniapp的计算机office课程平台的详细设计和实现(源码+lw+部署文档+讲解等)
基于SpringBoot+Vue+uniapp的计算机office课程平台的详细设计和实现(源码+lw+部署文档+讲解等)
|
6月前
|
Docker 容器
如何使用Docker部署WPS Office服务并实现无公网IP远程处理文档表格(二)
使用Docker部署的WPS Office服务可以通过内网穿透工具Cpolar实现远程访问。首先,创建一个名为“wps office”的隧道,选择HTTP协议和3000端口,分配免费的随机域名,并指定中国地区。然后,通过Cpolar的管理界面获取HTTP公网地址,用以远程访问WPS Office。由于随机域名会变化,可以升级Cpolar套餐并保留一个二级子域名,确保长期稳定的远程访问。配置子域名后,更新隧道设置,完成固定公网地址的绑定,从而实现随时随地通过固定地址访问WPS Office。
|
6月前
|
安全 Linux 网络安全
如何使用Docker部署WPS Office服务并实现无公网IP远程处理文档表格(一)
在群晖NAS上使用Docker部署WPS Office并结合Cpolar内网穿透的步骤包括: 1. 通过SSH命令行拉取`linuxserver/wps-office`镜像。 2. 在群晖容器管理界面运行镜像,设置启动选项和端口映射。 3. 本地访问群晖IP:3000端口以使用WPS Office。 4. 安装Cpolar套件,手动添加并安装到群晖,通过9200端口访问其Web管理界面。 5. 使用Cpolar配置内网穿透,实现远程访问WPS Office。 这一过程允许用户即使在没有公网IP的情况下,也能通过Cpolar将内网的WPS Office服务暴露到公网,便于远程办公和文档处理。
|
存储 数据安全/隐私保护 对象存储
接入OnlyOffice,支持协同编辑Office文档,可私有化部署的企业知识库 zyplayer-doc 2.2.1 发布啦
zyplayer-doc是一款适合企业和个人私有化部署使用的WIKI知识库管理系统,提供在线化的知识库管理功能,专为私有化部署而设计,最大程度上保证企业或个人的数据安全,您可以完全以内网的方式来部署使用它。
520 0