Статья Гибридный Exchange 2016 – Настройка локальной инфраструктуры завершает цикл гайдов по созданию гибридной инфраструктуры Exchange. В предыдущих частях я занимался настройкой Azure AD Connect, а также подготовкой Office365 для подключения “земли”. И вот сейчас настал последний момент – объединение Exchange 2016 и Exchange Online.
Если вам интересна тематика облачных технологий, рекомендую обратиться к тегу Cloud на моем блоге.
Содержание
Настройка локальной инфраструктуры
Описанные ниже шаги предполагают, что вы уже располагаете необходимой инфраструктурой DNS и имеете основные внешние записи у вашего DNS-провайдера. Идеальный вариант – миграция на гибридную инфраструктуру с полностью настроенной и работающей локальной.
Настройка домена внешнего доступа
Чтобы облачные службы Exchange могли взаимодействовать с локальными, необходимо настроить внешнее полное доменное имя (FQDN) для нескольких виртуальных каталогов. Сделать это удобнее всего через центр администрирования Exchange в разделе Серверы – Виртуальные каталоги – Настроить домен внешнего доступа, как на скриншоте ниже:
Конфигурацию виртуальных каталогов можно изменить также и через Powershell, но это займет значительно больше времени.
Для получения более подробной информации читайте документацию 1 или статью на моем блоге – Внутренние и внешние URL Exchange 2013.
Мастер гибридной конфигурации
Разработчики Exchange позаботились о том, чтобы администраторы гибридной инфраструктуры затрачивали минимум усилий на конфигурирование и траблшутинг и это действительно так – мастер гибридной конфигурации практически все сделает за вас.
Подготовка и запуск мастера
Перед запуском мастера нужно залогиниться в Office365 из центра администрирования Exchange. Зайдите в ECP и выберите раздел меню гибридное развертывание. Далее нажмите настроить:
Вам будет предложено войти в Office365:
Это необходимо сделать под учетной записью глобального администратора Office365, которую вы должны были создать ранее (Подготовка Azure Active Directory).
Разрешив всплывающие окна для открывшейся страницы, вам будет предложено скачать мастер гибридной конфигурации (файл HybridSetup.exe):
Всегда скачивайте мастера именно отсюда, поскольку только так можно быть уверенным, что вы получили самую последнюю версию мастера.
После окончания скачивания запустите мастера с правами администратора и обязательно на сервере Exchange (что логично):
Нажмите Установить. После этого пойдет процесс скачивания необходимых файлов:
Дождитесь его окончания и подтвердите запуск приложения:
Далее вас ждет основная часть процесса – конфигурирование сервисов.
Работа мастера гибридного развертывания
При появлении приветственного окна мастера гибридной конфигурации нажмите далее:
На следующем этапе мастер должен самостоятельно обнаружить оптимальный сервер Exchange в вашей организации. Как только это произошло, нажимаем далее:
На открывшейся странице вам нужно будет ввести учетные данные администратора предприятия локальной и облачной организации:
На следующей странице будет проверка подключений к локальной и облачной организации и если все пройдет успешно, вы увидите статус Выполнено успешно:
Далее вам нужно будет выбрать гибридные функции, которые будут доступны в последующем. В большинстве случаев советую выбрать Полную гибридную конфигурацию, это же написано и в официальной документации:
На следующей странице необходимо включить доверие федерации. Смело нажимайте включить:
На деле все обстоит несколько иначе. Под “федерацией” в данном случае понимается уровень отношений доверия между облачной и локальной инфраструктурой Exchange (другими словами – отношение проверки подлинности с облаком 2). Вот что пишут в документации по этому поводу 3:
“Информационным работникам часто необходимо взаимодействовать с внешними получателями, поставщиками, партнерами и клиентами, а также обмениваться с ними сведениями о доступности (доступности в календаре). Наличие федерации в системе Microsoft Exchange Server 2013 способствует этому взаимодействию. Под федерацией подразумевается базовая инфраструктура отношений доверия, поддерживающая федеративный общий доступ, — простой способ обмена данными календаря с получателями во внешних федеративных организациях.”
Если на следующем шаге вы увидели ошибку:
То она означает, что в облаке и локальной организации вы должны иметь хотя бы один идентичный обслуживаемый домен. Для моей локальной организации было достаточно добавить домен bissquit.ru в обслуживаемый.
Следующий этап будет вам уже знаком – это подтверждение владения доменом. Видимо мастеру гибридной конфигурации не достаточно, что факт владения доменом вы подтвердили в Office365. Тем не менее, этап этот обязательный, а потому создаем необходимую DNS-запись и дожидаемся её распространения.
Периодически нажимаем подтвердить право владения доменом. При успешном подтверждении вы перейдете на страницу:
Если у вас в организации присутствуют пограничные транспортные серверы Edge (подробнее читайте в статье Настройка Exchange 2013 Edge), то выберите второй пункт, в противном случае оставьте все как есть 4.
Можно нажать ссылку Дополнительно… и поинтересоваться что там будет. А там будет включение опции централизованного транспорта 5. Эта функция необходима организациям, в которых внедрены жесткие политики безопасности, требующие, чтобы весь почтовый трафик проходил через локальные серверы организации. Большинству эта опция не нужна.
В конфигурации Соединителя получения выберите необходимый сервер:
Аналогичное действие проделайте при выборе соединителя отправки:
Далее выбор сертификата (сертификат должен быть от доверенного ЦС).
На следующем этапе нужно ввести адрес локальной организации Exchange для маршрутизации почты из Exchange Online Protection (EOP). Разумеется это должно быть внешнее публичное имя DNS:
На последнем шаге не предлагается никаких опций, нажимайте обновить:
Дождитесь завершения настройки:
Если все пройдет успешно, то вы увидите страницу:
Если же нет, то как раз для вас чуть ниже есть глава по диагностике и устранению неполадок.
Troubleshooting
Далеко не всегда все может пойти гладко и развертывание технически сложной гибридной конфигурации не исключение.
У меня возникло несколько ошибок.
HCW8057 – Office 365 не удается связаться с локальной конечной точкой автообнаружения
Первая:
|
1 |
HCW8057 - Office 365 не удается связаться с локальной конечной точкой автообнаружения. Обычно это происходит из-за неправильной конфигурации DNS или брандмауэра. Сейчас клиент Office 365 настроен так, чтобы использовать следующий URL-адрес для запросов автообнаружения, отправляемых из клиента Office 365 в локальную организацию: https://autodiscover.bissquit.ru/autodiscover/autodiscover.svc/WSSecurity. |
В этом случае вам как минимум нужно попробовать пройти по адресу, указанному в ошибке. Если откроется окно авторизации, значит все хорошо. В противном случае смотрите что у вас с адресом автообнаружения:
[PS] C:\Windows\system32>Get-ClientAccessService exch01 | fl AutoDiscoverServiceInternalUri
А также проверяйте существует ли вообще домен, указанный в ошибке (может быть вы забыли создать домен autodiscover.domain.ru у вашего регистратора):
В некоторых ситуациях советуют 8 просто подождать или запустить мастера гибридной конфигурации заново.
HCW8078 – Не удалось создать конечную точку миграции.
Вторая ошибка:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
HCW8078 - Не удалось создать конечную точку миграции. Microsoft.Exchange.Migration.MigrationServerConnectionFailedException Не удалось установить соединение с сервером "mail.bissquit.ru". Microsoft.Exchange.MailboxReplicationService.RemotePermanentException The Mailbox Replication Service could not connect to the remote server because the certificate is invalid. Сбой при вызове "https://mail.bissquit.ru/EWS/mrsproxy.svc". Сведения об ошибке: Could not establish trust relationship for the SSL/TLS secure channel with authority 'mail.bissquit.ru'. --> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. --> The remote certificate is invalid according to the validation procedure.. --> Could not establish trust relationship for the SSL/TLS secure channel with authority 'mail.bissquit.ru'. --> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. --> The remote certificate is invalid according to the validation procedure. Microsoft.Exchange.MailboxReplicationService.RemotePermanentException Сбой при вызове "https://mail.bissquit.ru/EWS/mrsproxy.svc". Сведения об ошибке: Could not establish trust relationship for the SSL/TLS secure channel with authority 'mail.bissquit.ru'. --> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. --> The remote certificate is invalid according to the validation procedure.. Microsoft.Exchange.MailboxReplicationService.RemotePermanentException Could not establish trust relationship for the SSL/TLS secure channel with authority 'mail.bissquit.ru'. Microsoft.Exchange.MailboxReplicationService.RemotePermanentException The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. Microsoft.Exchange.MailboxReplicationService.RemotePermanentException The remote certificate is invalid according to the validation procedure. |
Строка Could not establish trust relationship for the SSL/TLS в ошибке явно указывает на проблемы с сертификатом 9.
Сертификат Exchange
Часто бывают вопросы о том какой же сертификат можно использовать для гибридного Exchange. Пока что ответ такой: можно использовать только сертификаты от публичных доверенных центров сертификации.
Это требование сразу исключает возможность развертывания “гибрида” с использование самозаверенных или любых других локальных сертификатов. Тем не менее, хоть и многие сертификаты от доверенных ЦС стоят денег, есть вариант получить и бесплатные сертификаты, да ещё и с десятком имен внутри (Бесплатный SSL-сертификат от startssl.com).
Кстати, при попытке использовать самозаверенный сертификат при развертывании гибридной конфигурации, у вас непременно посыплются ошибки в логах на подобии этой:
|
1 2 |
TestMigrationServerAvailabilityOutcome {ErrorDetail='Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: Не удалось установить соединение с сервером "mail.bissquit.ru". ---> Microsoft.Exchange.MailboxReplicationService.RemotePermanentException: The Mailbox Replication Service could not connect to the remote server because the certificate is invalid. Сбой при вызове "https://mail.bissquit.ru/EWS/mrsproxy.svc". Сведения об ошибке: Could not establish trust relationship for the SSL/TLS secure channel with authority 'mail.bissquit.ru'. --> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. --> The remote certificate is invalid according to the validation procedure.. --> Could not establish trust relationship for the SSL/TLS secure channel with authority 'mail.bissquit.ru'. --> The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. --> The remote certifi cate is invalid according to the validation procedure. |
Потому не остается ничего кроме как пойти и получить сертификат, о чем подробно расписано у меня на блоге в основной статье по сертификатам (Цифровые сертификаты).
Notes:
- Внутренние и внешние URL Exchange 2013 ↩
- Общий доступ ↩
- Федерация ↩
- Дополнительные сведения о путях гибридного транспорта ↩
- Дополнительные сведения о централизованном транспорте в гибридном развертывании ↩
- Lists of available trusted root certificates in iOS ↩
- Mozilla и Apple забанят удостоверяющие центры WoSign и StartCom ↩
- Гибридное развёртывание Exchange Server 2013. Часть 3. Запуск мастера гибридного развертывания. ↩
- Exchange Server 2013 SSL Certificates ↩
