依您想要的方式移至雲端 (第 II 部分)：管理混合式環境

Article
12/04/2012

英文原文已於 2012 年 9 月 21 日星期五發佈

混合式管理的歷史簡介

Exchange Server 2010 版本帶來革命性的新雲端服務，就是今日大眾所知適用於 Office 365 的 Exchange Online。在雲端技術推出的初期，投入的大量時間與精力致力於快速移轉使用者與組織資料，還有部分著重於部署和支援共存的內部部署 Exchange 企業部署與網頁租用戶。不過，較大型的組織 (LORG) 強烈反應除了資料移轉效率，亦十分需要更長久地全面支援內部部署與雲端共存狀態。LORG 已表明他們希望在信箱型的內部部署及雲端能有完整不失真、不妥協的管理經驗。

Exchange Server 2010 是最先提出內部部署加上 Exchange Online 跨單位部署共存解決方案，擴充 Exchange 管理主控台 (EMC) 提供的現有功能。EMC 是 Windows MMC 用戶端主要用來管理大規模部署的企業伺服器，之後演進為今日我們簡稱為「混合式管理」的 Exchange Server 主控台。EMC 可提升資料移轉至雲端 (Office 365) 的效率，提供跨單位部署收件者管理，包括大量編輯，還可以促進管理大部分組織層級的原則與物件。

EMC 一般用於主控 Exchange Server 角色的個別 x64 伺服器，或是另外透過「僅管理工具」安裝來用於工作站。這是限用 Windows 的管理工具，表示此工具依存於本機服務 (例如 WinRM)，以透過 PowerShell 通訊協定來與遠端伺服器通訊。

圖 1：使用 Exchange Server 2010 的混合式管理

For hybrid management, EMC 讓管理員能夠將第二個「樹狀結構」新增至主控台窗格，以檢視所有收件者、執行信箱移轉作業以及管理與 Exchange Online 租用戶相關的組織物件。純粹只有 Exchange Online 的部署不需要套用 EMC 以提供管理功能，可以改用簡化的「Exchange 控制台」(ECP) 主控台 (這也是 Exchange Server 2010 中的新功能)。

什麼是混合式管理？

不應該將混合式想像為 Exchange 伺服器本身提供的獨特功能，而要視為共存狀態，表示內部部署伺服器在公司與網際網路服務互動。混合式管理的概念並非 Exchange 產品線獨有，您也可以在產品更多樣的 Microsoft Office 伺服器系列中找到這個概念，例如 SharePoint 與 Lync。

以 Exchange 混合式管理來說，一般是指跨內部部署與 Office 365 發佈一組信箱與原則，當做一個「虛擬」組織。在先前有關混合式安裝與部署的部落格文章中，您了解到從兩種論述的觀點來看，這個共存狀態應視為內部部署，例如在跨單位部署郵件流程期間，自動將憑證從 Office 365 租用戶新增給內部部署收件者，以信任傳送的郵件，如同在組織自己的內部傳送，雖然實際上郵件是使用專用的混合式郵件連接器透過網際網路送達。

如何跨內部部署與 Office 365 服務組織收件者以符合貴組織的需求，有許多可能性與排列組合。例如，有個組織可能計劃在兩年內將 100% 的內部部署收件者移至租用戶，而另一個組織選擇立即將所有資源室信箱新增至其 Office 365 租用戶，同時還有另一個組織選擇使用線上租用戶以安全地主控線上封存信箱。重點是我們提供有彈性的混合式管理設計，可滿足您的企業需求。

新版 Exchange 的混合式管理簡介

本部落格文章接續＜依您想要的方式移至雲端 – 第 I 部分＞未完的討論，主要著重在混合式管理的「穩定狀態」，特別是最常見的案例。

基於本文之用途，我們假設已滿足下列的先決條件：

至少已安裝一個 Exchange Server 2013 用戶端存取伺服器 (CAS15) 與信箱伺服器 (MBX15) 角色。在單一伺服器上個別安裝每種類型，或是同時安裝兩者，例如在互通性環境安裝舊版 Exchange Server。
Office 365 租用戶版本必須是 15.0.000.0 或更高版本，才能使用 Exchange Server 2013 設定混合式部署。請參閱提供最新授權與價格計劃詳細資訊的 Office 365 網站。
您已經透過 Office 365 管理入口網站啟用共存狀態，並執行所有其他先決條件步驟，如文中所述，包括提供共存網域擁有權。
您有權存取「租用戶管理員」的 Microsoft 帳戶認證，此為存取 Office 365 租用戶的必要認證。
所有內部部署相依性均已就緒，例如已經安裝 Active Directory 同步處理。
已經成功執行混合式設定精靈。如果您已經使用 Exchange 2010 搭配 Office 365 的混合式管理，這可能包括升級舊版的混合式組態設定。
您並未使用內建的「管理員」收件者帳戶。請繼續閱讀有關混合式管理不支援此帳戶的詳細原因。

圖 2：新版 Exchange 的混合式設定精靈，如在 上一篇 Ben Appleby 所寫的文章 中所見。

新版 Exchange 系統管理中心混合式主控台

先來看下面透過新版 Exchange 的 Exchange 系統管理中心 (EAC) 提供的新混合式管理主控台註釋指引：

A) “ENTERPRISE” 與 “OFFICE 365” 樞紐 – 使用這些來在內部部署的部署與線上 Office 365 租用戶之間切換

B) 單一的合併集中式清單，上面將顯示您的所有通知，不論其源自何處或您目前使用的樞紐為何，例如追蹤從內部部署移轉至 Office 365 的信箱

C) 單一清單檢視，包含兩種論述的所有收件者

D) 遠端 (Office 365) 主控信箱的「詳細資料窗格」

E) 透過瀏覽索引標籤的信箱移轉進入點

適用於 Exchange 的混合式管理新功能

新版 Exchange 的混合式觀點十分簡單：就是提供您 (管理員) 一個類似的主控台，您幾乎可以從任何位置來管理所有的跨單位部署組織。

下列是新增功能的簡短清單：

1) 我們可充分利用功能完整且以瀏覽器為基礎的主控台 (適用於 Exchange 管理員)，表示讓混合式「管理工具」安裝維持在最新狀態所需的維護成本更低。只更新Exchange Server 2013 信箱伺服器，便可讓所有的 EAC 管理員維持在最新狀態。

2) 根據信箱伺服器上 ECP (EAC 的通訊協定名稱) IIS 虛擬目錄的安全性設定，對於已加入網域的電腦，您可以選擇讓外部與內部管理員存取，或是只允許內部管理員存取。

3) 您可以從一個瀏覽器索引標籤控制所有收件者與組織物件 (例如通訊清單與原則)。

4) 所有論述共用一組合併的 Exchange 通知。

5) 透過 ADFS 2.0 支援單一登入 – 敬請期待未來有關部署與管理單一登入的發表主題。如需詳細資訊，請參閱 Office 365 上提供的準備使用單一登入一文。

圖 4：混合式模式的單一登入模組

6) 管理 [其他使用者...] 跨單位部署 – 執行技術服務人員案例，例如，代表渡假中的其他使用者設定不在辦公室訊息，請只要使用主控台右上角 [顯示名稱] 旁邊的 [其他使用者...] 選項，即可檢視所有論述完整收件者清單。

圖 5：管理 [其他使用者 ...] 的合併收件者檢視

開始使用 Exchange Server 2013 的混合式管理模式

如果您已經執行混合式設定精靈 (HCW) 或是在 PowerShell 中直接執行 Update-HybridConfiguration Cmdlet，您便是在使用 EAC 的混合式模式。事實上，在 EAC 中，按一下 [混合式] 索引標籤中的 [啟用] 之後，將會要求您提供 Microsoft 帳戶認證，然後在找到您的租用戶後，將您送回 EAC，但這次則是在混合式模式中執行。

稍後，不需要您特別執行任何動作，便可在成功執行 HCW 後，進入混合式模式。這是因為除了啟用像是跨單位部署的郵件流程與資料共用 (也稱為空閒/忙碌) 服務等重要案例之外，精靈建立的內部部署成品也會在存在時自動為 EAC 啟用混合式模式。特別是 Update-HybridConfiguration (透過 HCW) 將建立特殊的 Remote-Domain 物件，當 EAC 偵測到 –TargetDeliveryDomain (TDD) 屬性時，就會自動啟動 EAC 混合式模式。

您在使用混合式模式時將注意到的其中一項最大差異是，按一下 [Office 365] 索引標籤時，將會提示您透過 Microsoft 帳戶或 ADFS 認證登入您的線上租用戶。請注意，基於效能考量，EAC 會快取是否要使用混合式模式，避免在每次登入時檢查 (快取狀態會每隔 30 分鐘重新整理一次)。如果您已經利用 TDD 手動建立遠端網域，而且需要立即開始使用混合式模式，您應該在 Exchange Server 2013 信箱伺服器上重新啟動 IIS。

圖 6：混合式設定精靈進入點

在內部部署互通性部署進行混合式管理

在有 Exchange 2010 及 (或) Exchange 2007 伺服器存在的內部部署互通性環境中進行混合式管理時，有下列幾個需要考量的細項。

在互通性部署中，請注意，如果您的管理員信箱不在新版 Exchange 上，有個新增功能應與您要在登入時用來存取部署的 URI 搭配使用。在大部分情況下，預設不會為您新增這些 URI 金鑰，但未來版本可能會預先建立連結，敬請期待其詳細資訊發表。強烈建議您對 URI 標記書籤，再加上任何必要的金鑰/值組，以利參照。

互通性功能	附註
如果尚未將您的管理員信箱移轉至新版 Exchange，您必須使用 “ExchClientVer=15” 金鑰/值以確保可路由至 Exchange Server 2013 信箱伺服器，而不是您的信箱存放區所在的伺服器。這也適用於沒有存放區的「郵件使用者」帳戶。例如： https://contoso.com /ecp?ExchClientVer=15	這也適用於單純的內部部署管理。Exchange Server 2013 用戶端存取伺服器預設會根據和繫結至認證的信箱相同的版本，路由至信箱伺服器。這也適用於「郵件使用者」，雖然他們沒有信箱存放區，但其確實包含最初建立 SYSTEM 信箱的位置參照，除非先前經過移轉。當您在安裝程式的最後階段安裝 Exchange Server 2013 內部部署時，您將發現自動加上 "ExchClientVer=15" 的連結，可以協助您輕鬆地瀏覽至 EAC。
使用 “cross=1”，提示單一登入使用 ADFS 驗證模式例如： https://contoso.com /ecp?ExchClientVer=15&cross=1	共用的 OWA 與 ECP 通訊協定驗證模組需要提示，以使用 ADFS 模式。請注意，Outlook Web App 虛擬目錄目前不支援 ADFS 驗證方法。

如果尚未將您的管理員信箱移轉至新版 Exchange，您必須使用 “ExchClientVer=15” 金鑰/值以確保可路由至 Exchange Server 2013 信箱伺服器，而不是您的信箱存放區所在的伺服器。

這也適用於沒有存放區的「郵件使用者」帳戶。

例如：

https://contoso.com /ecp?ExchClientVer=15

這也適用於單純的內部部署管理。Exchange Server 2013 用戶端存取伺服器預設會根據和繫結至認證的信箱相同的版本，路由至信箱伺服器。

這也適用於「郵件使用者」，雖然他們沒有信箱存放區，但其確實包含最初建立 SYSTEM 信箱的位置參照，除非先前經過移轉。

當您在安裝程式的最後階段安裝 Exchange Server 2013 內部部署時，您將發現自動加上 "ExchClientVer=15" 的連結，可以協助您輕鬆地瀏覽至 EAC。

使用 “cross=1”，提示單一登入使用 ADFS 驗證模式

例如：

https://contoso.com /ecp?ExchClientVer=15&cross=1

共用的 OWA 與 ECP 通訊協定驗證模組需要提示，以使用 ADFS 模式。

請注意，Outlook Web App 虛擬目錄目前不支援 ADFS 驗證方法。

請記住，使用 Exchange Server 的內建「管理員」帳戶，不應該搭配混合式管理使用：

嘗試透過 ADFS 讓單一登入 (SSO) 使用「管理員」帳戶，將使您無法管理混合式部署的 “Office 365” 端

最佳做法適用於互通性與非互通性環境。

無法透過 Microsoft Online 目錄同步處理 (“DirSync”) 讓內部部署與 Office 365 租用戶之間的 Exchange 內建「管理員」帳戶同步

如果您嘗試使用「管理員」來管理混合式租用戶端，因為 Office 365 中的「郵件使用者」帳戶沒有回應，所以您會看見 ADFS 發出的錯誤。

下列目錄同步作業規則不會同步「管理員」使用者，因為其物件屬性中註明：isCriticalSystemObject = TRUE。

在混合是模式中管理收件者

您可以在 [信箱] 索引標籤下的 “ENTERPRISE” 樞紐找到完整的所有收件者清單。在混合式模式中建立和管理新收件者時，應該注意幾個事項。

在混合式模式佈建或修改任何收件者時要遵循的簡單規則是，永遠使用內部部署 “ENTERPRISE” 端。這大部分是因為 MSO 目錄同步作業服務的單向同步處理本質，以及確保內部部署與宗用戶兩者的所有收件者 Active Directory 詳細資料均相同。

圖 7：在 Office 365 租用戶標註為郵件使用者的內部部署信箱

收件者類型	附註
內部部署使用者信箱	從 “ENTERPRISE” 樞紐中正常建立。這些將與租用戶同步，同步之後，請透過檢視 “Office 365” 中的 [連絡人] 索引標籤加以確認 – 請參閱上圖 – 其在租用戶內建立為「郵件使用者」。讓使用者在線上反映為郵件使用者，就可以編譯完整的全域通訊清單 (GAL)。
在 Office 365 租用戶有主要內部部署信箱與封存信箱的使用者	主要內部部署信箱的封存信箱初始可能建立在租用戶 – 請參閱下圖– 或是從內部部署中移轉。
有 Office 365 主要信箱的使用者	在 “ENTERPRISE” 端反應為 “Office 365” 信箱。以 PowerShell 檢視時，對應到 Get-Mailbox Cmdlet 輸出的 “RecipientTypeDetails” 的遠端物件類似於加上特殊參數的郵件使用者，該參數指示 Microsoft Online 目錄同步作業將此郵件使用者與 Office 365 租用戶同步。
郵件連絡人與通訊群組	這些物件類型將自動與 Office 365 端同步，而且都位在兩端的相同位置。目前目錄同步作業服務可以篩選出 (尚未同步) 有超過 15,000 位成員的內部部署群組。

在 Office 365 佈建新的信箱

若要在混合式模式中佈建新的 Office 365 信箱，請從內部部署 [信箱] 索引標籤開始，然後從新圖示的下拉式清單中，選取 “Office 365” 信箱類型。在租用戶建立新的信箱可能會影響可用的用戶端授權 – 請使用您的 Microsoft 帳戶認證在 Office 365 入口網站檢視可用的授權與計劃。

圖 8：建立 Office 365 信箱

您將注意到在 “Office 365” 服務端，沒有可在混合式模式中從 EAC 建立信箱的選項。如此可確保所有新信箱都是從內部部署端佈建以提供完整的收件者副本。您可以直接從 Office 365 入口網站直接佈建新的 Office 365 信箱，但因為此信箱無法從 Office 365 向後同步 (back-synced) 至內部部署，而可能會造成郵件流程問題，所以不應該用於混合式部署。

我們也不建議或允許在混合式模式中從 “Office 365” 端來修改收件者，因為這樣會導致跨單位部署某端的收件者過期。事實上，角色型存取控制 (RBAC) 執行階段驗證規則會封鎖此作業，以避免出現版本差異 (請參閱下列的錯誤訊息)。

圖 9：封鎖在服務端編輯收件者以避免出現差異

敬請期待更多新文章！

希望您和我們一樣，對於 Exchange 系統管理中心的新混合式模式感到興奮！敬請期待更多涵蓋移轉、透過 ADFS 單一登入以及混合式模式的偵錯功能等主題的文章。

Warren Johnson

這是翻譯後的部落格文章。英文原文請參閱 The Cloud On Your Terms (PART II): Managing Hybrid