Гибридный Exchange 2016 — Настройка локальной инфраструктуры

Статья Гибридный Exchange 2016 — Настройка локальной инфраструктуры завершает цикл гайдов по созданию гибридной инфраструктуры Exchange. В предыдущих частях я занимался настройкой Azure AD Connect, а также подготовкой Office365 для подключения «земли». И вот сейчас настал последний момент — объединение Exchange 2016 и Exchange Online.


Если вам интересна тематика облачных технологий, рекомендую обратиться к тегу Cloud на моем блоге.


Настройка локальной инфраструктуры

Описанные ниже шаги предполагают, что вы уже располагаете необходимой инфраструктурой DNS и имеете основные внешние записи у вашего DNS-провайдера. Идеальный вариант — миграция на гибридную инфраструктуру с полностью настроенной и работающей локальной.

Настройка домена внешнего доступа

Чтобы облачные службы Exchange могли взаимодействовать с локальными, необходимо настроить внешнее полное доменное имя (FQDN) для нескольких виртуальных каталогов. Сделать это удобнее всего через центр администрирования Exchange в разделе Серверы — Виртуальные каталоги — Настроить домен внешнего доступа, как на скриншоте ниже:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-01

Конфигурацию виртуальных каталогов можно изменить также и через Powershell, но это займет значительно больше времени.

Для получения более подробной информации читайте документацию 1 или статью на моем блоге — Внутренние и внешние URL Exchange 2013.

Мастер гибридной конфигурации

Разработчики Exchange позаботились о том, чтобы администраторы гибридной инфраструктуры затрачивали минимум усилий на конфигурирование и траблшутинг и это действительно так — мастер гибридной конфигурации практически все сделает за вас.

Подготовка и запуск мастера

Перед запуском мастера нужно залогиниться в Office365 из центра администрирования Exchange. Зайдите в ECP и выберите раздел меню гибридное развертывание. Далее нажмите настроить:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-02

Вам будет предложено войти в Office365:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-03

Это необходимо сделать под учетной записью глобального администратора Office365, которую вы должны были создать ранее (Подготовка Azure Active Directory).

Примечание: на этом этапе нужно включить в параметрах браузера поддержку файлов cookie, если она отключена

Разрешив всплывающие окна для открывшейся страницы, вам будет предложено скачать мастер гибридной конфигурации (файл HybridSetup.exe):

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-04Всегда скачивайте мастера именно отсюда, поскольку только так можно быть уверенным, что вы получили самую последнюю версию мастера.

После окончания скачивания запустите мастера с правами администратора и обязательно на сервере Exchange (что логично):

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-05

Нажмите Установить. После этого пойдет процесс скачивания необходимых файлов:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-06

Дождитесь его окончания и подтвердите запуск приложения:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-07

Далее вас ждет основная часть процесса — конфигурирование сервисов.

Работа мастера гибридного развертывания

При появлении приветственного окна мастера гибридной конфигурации нажмите далее:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-08

На следующем этапе мастер должен самостоятельно обнаружить оптимальный сервер Exchange в вашей организации. Как только это произошло, нажимаем далее:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-09

На открывшейся странице вам нужно будет ввести учетные данные администратора предприятия локальной и облачной организации:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-10

Примечание: советую снять галочку «Используйте текущие учетные данные Windows» и прописать пароль вручную. На следующих этапах у меня почему-то были проблемы с подключением к локальной организации, если ранее галочка была активирована.

На следующей странице будет проверка подключений к локальной и облачной организации и если все пройдет успешно, вы увидите статус Выполнено успешно:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-11

Далее вам нужно будет выбрать гибридные функции, которые будут доступны в последующем. В большинстве случаев советую выбрать Полную гибридную конфигурацию, это же написано и в официальной документации:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-12

На следующей странице необходимо включить доверие федерации. Смело нажимайте включить:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-13

Примечание: если до этого вы настраивали Azure AD и выбирали синхронизацию паролей вместо доверия федераций, то страница «Доверие федерации» мастера гибридной конфигурации Exchange может вас сильно смутить. Можно подумать, что если речь идет о федерации, то нужно иметь отдельные серверы с AD FS, которые вы разворачивать никак не планировали.

На деле все обстоит несколько иначе. Под «федерацией» в данном случае понимается уровень отношений доверия между облачной и локальной инфраструктурой Exchange (другими словами — отношение проверки подлинности с облаком 2). Вот что пишут в документации по этому поводу 3

«Информационным работникам часто необходимо взаимодействовать с внешними получателями, поставщиками, партнерами и клиентами, а также обмениваться с ними сведениями о доступности (доступности в календаре). Наличие федерации в системе Microsoft Exchange Server 2013 способствует этому взаимодействию. Под федерацией подразумевается базовая инфраструктура отношений доверия, поддерживающая федеративный общий доступ, — простой способ обмена данными календаря с получателями во внешних федеративных организациях.»

Если на следующем шаге вы увидели ошибку:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-14

То она означает, что в облаке и локальной организации вы должны иметь хотя бы один идентичный обслуживаемый домен. Для моей локальной организации было достаточно добавить домен bissquit.ru в обслуживаемый.

Следующий этап будет вам уже знаком — это подтверждение владения доменом. Видимо мастеру гибридной конфигурации не достаточно, что факт владения доменом вы подтвердили в Office365. Тем не менее, этап этот обязательный, а потому создаем необходимую DNS-запись и дожидаемся её распространения.

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-15

Периодически нажимаем подтвердить право владения доменом. При успешном подтверждении вы перейдете на страницу:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-16

Если у вас в организации присутствуют пограничные транспортные серверы Edge (подробнее читайте в статье Настройка Exchange 2013 Edge), то выберите второй пункт, в противном случае оставьте все как есть 4.

Можно нажать ссылку Дополнительно… и поинтересоваться что там будет. А там будет включение опции централизованного транспорта 5. Эта функция необходима организациям, в которых внедрены жесткие политики безопасности, требующие, чтобы весь почтовый трафик проходил через локальные серверы организации. Большинству эта опция не нужна.

В конфигурации Соединителя получения выберите необходимый сервер:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-17

Аналогичное действие проделайте при выборе соединителя отправки:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-18

Далее выбор сертификата (сертификат должен быть от доверенного ЦС).

Примечание: Свой сертификат я получал в статье Бесплатный SSL-сертификат от startssl.com, но будьте внимательны, сертификаты от этого ЦА хорошо подойдут для тестирования, но для производственной среды их использовать не рекомендуется и на это есть ряд причин) 6 7.

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-19-1

На следующем этапе нужно ввести адрес локальной организации Exchange для маршрутизации почты из Exchange Online Protection (EOP). Разумеется это должно быть внешнее публичное имя DNS:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-20-1

На последнем шаге не предлагается никаких опций, нажимайте обновить:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-21

Дождитесь завершения настройки:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-22

Если все пройдет успешно, то вы увидите страницу:

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-23

Если же нет, то как раз для вас чуть ниже есть глава по диагностике и устранению неполадок.

Troubleshooting

Далеко не всегда все может пойти гладко и развертывание технически сложной гибридной конфигурации не исключение.

У меня возникло несколько ошибок.

HCW8057 — Office 365 не удается связаться с локальной конечной точкой автообнаружения

Первая:

HCW8057 — Office 365 не удается связаться с локальной конечной точкой автообнаружения. Обычно это происходит из-за неправильной конфигурации DNS или брандмауэра. Сейчас клиент Office 365 настроен так, чтобы использовать следующий URL-адрес для запросов автообнаружения, отправляемых из клиента Office 365 в локальную организацию: https://autodiscover.bissquit.ru/autodiscover/autodiscover.svc/WSSecurity.

В этом случае вам как минимум нужно попробовать пройти по адресу, указанному в ошибке. Если откроется окно авторизации, значит все хорошо. В противном случае смотрите что у вас с адресом автообнаружения:

[PS] C:\Windows\system32>Get-ClientAccessService exch01 | fl AutoDiscoverServiceInternalUri

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-24

А также проверяйте существует ли вообще домен, указанный в ошибке (может быть вы забыли создать домен autodiscover.domain.ru у вашего регистратора):

gibridnyj-exchange-2016-nastrojka-lokalnoj-infrastruktury-25

В некоторых ситуациях советуют 8 просто подождать или запустить мастера гибридной конфигурации заново.

HCW8078 — Не удалось создать конечную точку миграции.

Вторая ошибка:

HCW8078 — Не удалось создать конечную точку миграции.

Microsoft.Exchange.Migration.MigrationServerConnectionFailedException
Не удалось установить соединение с сервером «mail.bissquit.ru».

Microsoft.Exchange.MailboxReplicationService.RemotePermanentException
The Mailbox Replication Service could not connect to the remote server because the certificate is invalid. Сбой при вызове «https://mail.bissquit.ru/EWS/mrsproxy.svc». Сведения об ошибке: Could not establish trust relationship for the SSL/TLS secure channel with authority ‘mail.bissquit.ru’. —> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. —> The remote certificate is invalid according to the validation procedure.. —> Could not establish trust relationship for the SSL/TLS secure channel with authority ‘mail.bissquit.ru’. —> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. —> The remote certificate is invalid according to the validation procedure.

Microsoft.Exchange.MailboxReplicationService.RemotePermanentException
Сбой при вызове «https://mail.bissquit.ru/EWS/mrsproxy.svc». Сведения об ошибке: Could not establish trust relationship for the SSL/TLS secure channel with authority ‘mail.bissquit.ru’. —> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. —> The remote certificate is invalid according to the validation procedure..

Microsoft.Exchange.MailboxReplicationService.RemotePermanentException
Could not establish trust relationship for the SSL/TLS secure channel with authority ‘mail.bissquit.ru’.

Microsoft.Exchange.MailboxReplicationService.RemotePermanentException
The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Microsoft.Exchange.MailboxReplicationService.RemotePermanentException
The remote certificate is invalid according to the validation procedure.

Строка Could not establish trust relationship for the SSL/TLS в ошибке явно указывает на проблемы с сертификатом 9.

Сертификат Exchange

Часто бывают вопросы о том какой же сертификат можно использовать для гибридного Exchange. Пока что ответ такой: можно использовать только сертификаты от публичных доверенных центров сертификации.

Это требование сразу исключает возможность развертывания «гибрида» с использование самозаверенных или любых других локальных сертификатов. Тем не менее, хоть и многие сертификаты от доверенных ЦС стоят денег, есть вариант получить и бесплатные сертификаты, да ещё и с десятком имен внутри (Бесплатный SSL-сертификат от startssl.com).

Кстати, при попытке использовать самозаверенный сертификат при развертывании гибридной конфигурации, у вас непременно посыплются ошибки в логах на подобии этой:

TestMigrationServerAvailabilityOutcome {ErrorDetail=’Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: Не удалось установить соединение с сервером «mail.bissquit.ru». —> Microsoft.Exchange.MailboxReplicationService.RemotePermanentException: The Mailbox Replication Service could not connect to the remote server because the certificate is invalid. Сбой при вызове «https://mail.bissquit.ru/EWS/mrsproxy.svc». Сведения об ошибке: Could not establish trust relationship for the SSL/TLS secure channel with authority ‘mail.bissquit.ru’. —> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. —> The remote certificate is invalid according to the validation procedure.. —> Could not establish trust relationship for the SSL/TLS secure channel with authority ‘mail.bissquit.ru’. —> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. —> The remote certifi
cate is invalid according to the validation procedure.

Потому не остается ничего кроме как пойти и получить сертификат, о чем подробно расписано у меня на блоге в основной статье по сертификатам (Цифровые сертификаты).

comments powered by HyperComments