从Exchange2010迁移Office365混合部署

背景：

某公司现有架构为Exchange2010，随着公司业务不断拓展，分公司也在日益增加，国外分支机构和销售人员对邮件系统的依赖和需求变得更加强烈。为了满足业务需求，需要较快的速度访问邮箱以提高工作效率，同样也需要大容量的邮箱来存放业务邮件，所以选择为部分用户提供Exchange Online的服务。

由于Office365的组件比较多，本系列重点讨论Exchange Online服务，规划的混合部署网络图如下：

Exchange Server 混合部署

摘要：规划 Exchange 混合部署需要了解的内容。

混合部署使组织可以将随其现有内部部署 Microsoft Exchange 组织提供的功能丰富的体验和管理控制扩展到云。混合部署在本地 Exchange 组织和 Exchange Online 之间提供单个 Exchange 组织的无缝外观和感觉。此外，混合部署可以充当完全迁移到 Exchange Online 组织的中间步骤。

Exchange 混合部署功能

混合部署支持以下功能：

内部部署组织与 Exchange Online 组织之间的安全邮件路由。
使用共享域命名空间的邮件路由。例如，内部部署与 Exchange Online 组织都使用 @contoso.com SMTP 域。
统一全局地址列表 (GAL)，也称为"共享地址簿"。
内部部署组织与 Exchange Online 组织之间的忙/闲状态共享和日历共享。
集中控制入站和出站邮件流。可以将所有入站和出站 Exchange Online 邮件配置为通过内部部署 Exchange 组织路由。
用于内部部署和 Exchange Online 组织的单个 Web 上的 Outlook URL
可以将现有内部部署邮箱移到 Exchange Online 组织。如果需要，还可以将 Exchange Online 邮箱移回内部部署组织。
使用内部部署 Exchange 管理中心 (EAC) 集中管理邮箱。
内部部署组织和 Exchange Online 组织之间的邮件跟踪、邮件提醒和多邮箱搜索。
内部部署 Exchange 邮箱基于云的邮件存档。 Exchange Online Archiving 可以与混合部署一起使用。

Exchange 混合部署的注意事项

在实施 Exchange 混合部署之前，请考虑以下事项：

混合部署要求：在配置混合部署之前，您需要确保您的内部部署组织满足成功部署所需的所有先决条件。
Exchange ActiveSync 客户端：将邮箱从内部部署 Exchange 组织移动到 Exchange online 时，访问该邮箱的所有客户端都需要更新以使用 Exchange online;这包括 Exchange ActiveSync 设备。大多数 Exchange ActiveSync 客户端现在都会在邮箱移到 Exchange Online 中时自动重新配置，但是，某些旧的设备可能不会正确升级。
邮箱权限迁移：内部部署邮箱权限（如 "代理发送"、"完全访问"、"代表发送" 和 "文件夹权限"）将迁移到 Exchange Online。不会迁移继承（非明确）邮箱权限和授予给 Exchange Online 中未启用邮件的对象的权限。在迁移之前，请务必明确授予所有权限，并确保所有对象都启用邮件。因此，如果适用于您的组织，则必须规划在 Exchange Online 中配置这些权限。在代理发送权限情况下，如果尝试代理发送的用户和资源没有同时移动，则需要使用 Add-RecipientPermission cmdlet 在 Exchange Online 中显式添加代理发送权限。
对跨界邮箱权限的支持： Exchange 混合部署支持使用完全访问权限，并在位于本地 exchange 组织中的邮箱和位于 Exchange Online 中的邮箱之间代表权限使用 "代理发送"。 "发送方式"权限需要其他步骤。此外，可能需要一些额外的配置来支持跨界邮箱权限，具体取决于在本地组织中安装的 Exchange 版本。
脱离：作为日常收件人管理的一部分，您可能必须将 Exchange Online 邮箱移回到您的本地环境中。

邮箱转发设置：可以将邮箱设置为自动将发送给它们的邮件转发到另一个邮箱。虽然 Exchange Online 支持邮箱转发，但转发配置未随邮箱迁移一起复制到 Exchange Online 中。将邮箱迁移到 Exchange Online 前，请务必先导出各个邮箱的转发配置。转发配置存储在 DeliverToMailboxAndForward ForwardingAddress 每个邮箱的、和 ForwardingSmtpAddress属性中。

Exchange 混合部署组件

混合部署涉及多个不同的服务和组件：

Exchange 服务器：如果要配置混合部署，必须在您的内部部署组织中配置至少一个 Exchange 服务器。如果您运行 Exchange 2013 或更低版本，您需要至少安装一台运行邮箱角色和客户端访问角色的服务器。如果您运行 Exchange 2016 或更新版本，至少必须安装一台运行邮箱角色的服务器。如果需要，还可以在外围网络中安装 Exchange 边缘传输服务器，并支持使用 Microsoft 365 或 Office 365 的安全邮件流。

Office 365 或 microsoft 365：多个 office 365 和 microsoft 365 服务订阅包括 Exchange Online 组织。配置混合部署的组织需要为迁移到 Exchange Online 组织或者在 Exchange Online 组织中创建的每个邮箱购买一个许可证。
"混合配置" 向导： Exchange 包括 "混合配置" 向导，该向导为您提供了在内部部署 Exchange 和 Exchange Online 组织之间配置混合部署的简化的过程。
AZURE AD 身份验证系统： Azure Active DIRECTORY （AD）身份验证系统是一项基于云的免费服务，充当本地 exchange 2016 组织与 Exchange Online 组织之间的信任代理。配置混合部署的本地组织必须具有与 Azure AD 身份验证系统之间的联合信任。可手动创建联合信任作为配置本地 Exchange 组织和其他联合 Exchange 组织之间的联合共享功能的一部分，或使用混合配置向导配置混合部署的一部分。当您激活 Microsoft 365 或 Office 365 服务帐户时，将自动配置与您的 Exchange Online 租户的 Azure AD 身份验证系统的联合身份验证信任。
Azure Active Directory 同步： azure ad 同步使用 Azure ad Connect 将已启用邮件的对象的本地 Active Directory 信息复制到云，以支持统一全局地址列表（GAL）和用户身份验证。配置混合部署的组织需要在单独的本地服务器上部署 Azure AD Connect，以便将内部部署 Active Directory 与 Microsoft 365 或 Office 365 同步。

混合部署示例

看一下下面的情况。这是一个拓扑示例，概述了典型的 Exchange 2016 部署。Contoso, Ltd. 是一个单林单域组织，安装了两台域控制器和一台 Exchange 2016 服务器。远程 Contoso 用户使用 Web 上的 Outlook 通过 Internet 连接到 Exchange 2016 以检查其邮箱和访问其 Outlook 日历。

配置在 Microsoft 365 或 Office 365 的混合部署之前的本地 Exchange 部署

假设您是 Contoso 的网络管理员，同时对配置混合部署感兴趣。您可以部署和配置所需的 Azure AD Connect 服务器，同时决定使用 Azure AD Connect 密码同步功能，让用户为其内部部署网络帐户及其 Microsoft 365 或 Office 365 帐户使用相同的凭据。完成混合部署先决条件，以及使用混合配置向导选择了混合部署的选项之后，新的拓扑具有以下配置：

用户将使用相同的用户名和密码登录到内部部署组织和 Exchange Online 组织（"单一登录"）。
位于内部部署组织和 Exchange Online 组织中的用户邮箱将使用相同的电子邮件地址域。例如，位于内部部署组织和 Exchange Online 组织中的邮箱都将在用户电子邮件地址中使用 @contoso.com。
所有出站邮件都将通过内部部署组织传递到 Internet。内部部署组织控制所有邮件传输，并充当 Exchange Online 组织的中继（"集中邮件传输"）。
内部部署组织用户和 Exchange Online 组织用户可以相互共享日历忙/闲信息。为这两个组织配置的组织关系还将启用跨内部部署邮件跟踪、邮件提示和邮件搜索。
内部部署用户和 Exchange Online 用户使用相同的 URL 通过 Internet 连接到其邮箱。

配置了使用 Microsoft 365 或 Office 365 的混合部署之后的本地 Exchange 部署

混合配置过程

以下是混合配置向导过程的快速概述。首先，向导在本地 Active Directory 中创建 HybridConfiguration 对象。此 Active Directory 对象存储混合部署的混合配置信息，并由 "混合配置" 向导更新。接下来，向导将收集现有的本地 Exchange 和 Active Directory 拓扑配置数据、Microsoft 365 或 Office 365 组织以及 Exchange Online 配置数据，定义了多个组织参数，然后在内部部署组织和 Exchange Online 组织中运行大量配置任务序列。

混合部署配置过程的一般阶段是：

验证先决条件并执行拓扑检查： "混合配置" 向导将验证您的内部部署组织和 Exchange Online 组织是否可以支持混合部署。向导在内部部署组织和 Exchange Online 组织中验证和检查的一些项目如下：
- 内部部署 Exchange 服务器版本
- Exchange Online 版本
- Active Directory 同步状态和配置
- 联盟与接受域
- 现有联合身份验证信任和组织的关系
- Web 服务虚拟目录
- Exchange 证书
测试帐户凭据：指定的内部部署和 Microsoft 365 或 Office 365 混合管理帐户可访问内部部署组织和 Exchange Online 组织，以收集先决条件验证信息，并进行组织参数配置更改以启用混合部署功能。 "混合配置" 向导将检查帐户是否具有适当的凭据，以及是否可以连接到内部部署组织和 Exchange Online 组织。内部部署组织的混合部署管理帐户必须是 "组织管理" 角色组的成员，并且必须是适用于 "混合配置" 向导的 Microsoft 365 或 Office 365 组织的全局管理员才能成功完成这些任务。
进行混合部署配置更改：测试混合管理帐户后，进行验证和拓扑检查，并收集在向导过程中定义的配置信息，混合配置向导将进行配置更改，以创建和启用混合部署。对混合配置进行的所有更改会自动记录在混合配置日志中。默认情况下，混合配置日志位于的内部部署邮箱服务器上 %UserProfile%\AppData\Roaming\Microsoft\Exchange Hybrid Configuration 。

混合配置功能

“混合配置”向导每次运行时，在默认情况下会自动启用所有混合部署功能。如果要禁用特定的混合配置功能，则需要使用 Exchange 命令行管理程序和 HybridConfiguration cmdlet。默认情况下，该向导会启用以下混合部署功能：

忙/闲共享：闲/忙共享功能允许在内部部署组织用户和 Exchange Online 组织用户之间共享日历信息。忙/闲共享会在针对内部部署组织和 Exchange Online 组织的联合共享和组织关系配置中启用。
邮件提示：邮件提示是在用户撰写邮件时向其显示的信息性消息。通过在混合部署中启用邮件提示，内部部署和 Exchange Onlline 的发件人可以调整所撰写的邮件，以避免组织之间出现不利情况或未送达报告 (NDR)。
在线存档：在线存档使 Exchange online 组织能够承载内部部署用户和 Exchange online 用户的用户电子邮件存档。
Web 上的 outlook 重定向： outlook on the web 重定向提供了访问本地和 Exchange Online 邮箱的单一、通用的 URL。客户端访问服务器会自动将 web 上的 Outlook 请求重定向到内部部署邮箱服务器，或为 Exchange Online 组织中的邮箱提供用户的链接。
Exchange ActiveSync 重定向：将邮箱从内部部署 exchange 组织移动到 Exchange online 时，需要更新访问该邮箱的所有客户端以使用 Exchange online;这包括 Exchange ActiveSync 设备。大多数 Exchange ActiveSync 客户端将在邮箱移动到 Exchange Online 时自动重新配置。
安全邮件：安全邮件通过传输层安全性 (TLS) 协议，在内部部署组织和 Exchange Online 组织之间实现安全邮件传递。内部部署组织和 Exchange Online 组织通过数字证书主题互相进行身份验证，电子邮件头和 RTF 邮件格式会在组织间保留。

解决方案