So führen Sie ein Multi-Forest-Hybrid-Exchange-Setup durch

Da Unternehmen weiterhin Interesse an der Cloud zeigen, ist es keine Überraschung, dass Hybridbereitstellungen zunehmen …

in der Popularität. Unternehmen verwenden Hybridbereitstellungen aus einer Reihe von Gründen, insbesondere um einige Funktionen der Cloud zu nutzen, ohne sich auf eine vollständige Migration festlegen zu müssen.
Eine mögliche Hybridbereitstellung ist eine sogenannte Multi-Forest-Hybrid-Exchange-Bereitstellung, die eine enthält Büro 365 Mandant und mehrere Active Directory (AD) -Umgebungen, in denen Exchange in jeder Umgebung installiert ist. Der Hybridteil tritt auf, wenn Exchange 2013 in jeder Gesamtstruktur in Upgrades oder “Bridges” zur Cloud installiert wird, sodass der Hybridkonfigurations-Assistent in jeder Gesamtstruktur einmal ausgeführt werden kann.
Wenn Sie wissen, wann Sie ein Multi-Forest-Hybrid-Exchange-Setup verwenden müssen und was für dessen Implementierung erforderlich ist, können Sie Office 365 benutzerdefinierte Domänen hinzufügen und anschließend Azure AD Sync Services so konfigurieren, dass alle AD-Domänen mit Office 365 verbunden werden Wir werden einige Tricks anwenden, um das Leben bei der Implementierung von Office 365 zu vereinfachen.

Verwenden Sie PowerShell, um mehrere benutzerdefinierte Domänen zu implementieren

Wenn Sie nur wenige benutzerdefinierte Domänen hinzufügen möchten Büro 365Es ist oft einfach, sie über die Portal-Weboberfläche hinzuzufügen. Die meisten Organisationen mit mehreren Gesamtstrukturen müssen eine größere Anzahl von benutzerdefinierten Domänen hinzufügen, sodass die Verwendung von PowerShell viel Zeit sparen kann.
Laden Sie die Windows Azure Active Directory Modul für PowerShell aus dem Office 365-Portal und verwenden Sie dann Connect-MSOLService, um eine neue Sitzung als globaler Administrator zu starten. Fügen Sie als Nächstes jede akzeptierte Domäne aus jeder Domäne hinzu, die Sie für das Multi-Forest-Hybrid-Setup konfigurieren möchten. Wie bei einem einzelnen hybriden Exchange-Setup müssen Administratoren jede akzeptierte verwendete Domäne zu Office 365 hinzufügen.
New-MsolDomain -Name goodmanindustries.com
New-MsolDomain -Name goodmanindustries.co.uk
New-MsolDomain -Name lisajanedesigns.co.uk


Wenn eine benutzerdefinierte Domain über das Webportal hinzugefügt wird, wird normalerweise auf einer Seite die angezeigt Domain Name System (DNS) -Textdatensatz zur Überprüfung der neuen Domain. Administratoren können alle diese Werte mit einem einzigen PowerShell-Snippet abrufen, sodass sie die Änderungen in großen Mengen einem externen DNS-Anbieter hinzufügen können:
Get-MsolDomain -Status Unverified | foreach {Get-MsolDomainVerificationDns -DomainName $ _. Name -Mode DnsTxtRecord | Wählen Sie Beschriftung, Text}

Die Ausgabe des Befehls enthält zwei Spalten: Label, das die benutzerdefinierte Domäne darstellt, und Text, das den hinzuzufügenden DNS-Eintrag anzeigt (Abbildung 1).

DNS-Validierungsdatensätze in PowerShell
Verwenden Sie PowerShell, um DNS-Validierungsdatensätze abzurufen.

Synchronisieren Sie vor dem Konfigurieren von Hybrid Exchange in jeder Gesamtstruktur jeden AD mit Office 365. Verwenden Sie zum Ausführen der Synchronisierung Azure Active Directory-Synchronisierungsdienste, die auf einem Server in der AD-Gesamtstruktur mit dem Namen GMI-Gesamtstruktur installiert sind.

Erstellen Sie Azure AD Sync Services-Konten

Wir müssen in jeder Gesamtstruktur ein Dienstkonto erstellen, das AD-Informationen liest und eine kleine Menge an Informationen zurückschreibt. Erstellen Sie in den Beispieldomänen ein Standard-AD-Konto mit dem Namen fügt hinzu (das Akronym für Azure AD Sync) und führen Sie dann das folgende PowerShell-Skript aus, um die Gewährung des zu automatisieren richtige Rechte Für ein hybrides Exchange-Setup und die Kennwort-Hash-Synchronisierung mit dem Befehl dsacls:
$ Account = "DOMAIN aads"
$ RootDSE = [ADSI]"LDAP: // RootDSE"
# Kontakt und Gruppenrückschreiben
dsacls.exe "$ ($ RootDSE.DefaultNamingContext)" / I: S / G "$ ($ Konto): WP; proxyAddresses; Kontakt" "$ ($ Konto): WP; proxyAddresses; Gruppe"
# User Write-Back
dsacls.exe "$ ($ RootDSE.DefaultNamingContext)" / I: S / G "$ ($ Account): WP; proxyAddresses; User" "$ ($ Account): WP; msExchArchiveStatus; User" "$ ($ Account) : WP; msExchUCVoiceMailSettings; Benutzer "" $ ($ Konto): WP; msExchSafeRecipientsHash; Benutzer "" $ ($ Konto): WP; msExchSafeSendersHash; Benutzer "
# Nur Exchange 2013
dsacls.exe "$ ($ RootDSE.DefaultNamingContext)" / I: S / G "$ ($ Account): WP; msExchUserHoldPolicies; User"
# Passwort Hash Sync
dsacls.exe "$ ($ RootDSE.DefaultNamingContext)" / G "$ ($ Account): CA; Verzeichnisänderungen replizieren" "$ ($ Account): CA; Verzeichnisänderungen alle replizieren"

Das Skript gewährt dem die richtigen Berechtigungen GMI fügt hinzu Konto (Abbildung 2). Wiederholen Sie den gleichen Vorgang in jeder Domäne.

PowerShell gewährt Azure AD Sync-Rückschreibberechtigungen
Gewähren Sie dem Azure AD Sync-Konto die richtigen Rückschreibberechtigungen.

Installieren Sie Azure AD und stellen Sie eine Verbindung zu Azure AD her

Die Kerninstallation von Azure AD Sync Services ist recht einfach. Laden Sie die MicrosoftAzureADConnectionTool.exe Führen Sie im Microsoft Download Center die heruntergeladene ausführbare Datei aus und wählen Sie Installieren auf der ersten Seite des Konfigurationsassistenten. Zu den zugrunde liegenden Komponenten gehören SQL Server Express und Azure AD Sync.
Diejenigen, die mit DirSync vertraut sind, werden sich an MIISClient.exe erinnern. Dieser Teil von Forefront Identity Manager (FIM) ist noch installiert, aber die neue Version trägt nicht mehr das FIM-Branding und ist ein Produkt der nächsten Generation unter Azure AD Sync.
Nach der Installation von Azure AD Sync Services werden Sie aufgefordert, eine Verbindung zum Office 365-Mandanten herzustellen und die Anmeldeinformationen für einen globalen Administrator einzugeben (Abbildung 3). Wir haben das Administratorkonto verwendet, aber ich empfehle die Verwendung eines dedizierten Azure AD Sync-Kontos in einer Produktionsumgebung mit einem komplexen Kennwort, das nicht abläuft.

Anmeldeseite für Azure AD Sync
Verbinden Sie Azure AD Sync mit Office 365.

Erstellen Sie Synchronisierungsbeziehungen und konfigurieren Sie die Kernfunktionen

Um Azure AD Sync Services mit jeder AD-Gesamtstruktur (GMI, GMIUK und LJD) zu verbinden, gehen Sie zu Stellen Sie eine Verbindung zu AD DS her Seite des Assistenten und geben Sie jeden Gesamtstrukturnamen mit den Kontodetails des Azure AD Sync-Diensts ein.
Geben Sie die Informationen für das Dienstkonto ein. Wählen Wald hinzufügen bis jede Exchange- und AD-Gesamtstruktur in der Liste aufgeführt ist Wald Abschnitt und wählen Sie dann Nächster (Figur 4).

Verbinden von Azure AD Sync Services mit jeder Active Directory-Gesamtstruktur
Stellen Sie eine Verbindung zu jeder AD- und Exchange-Gesamtstruktur her.

Im nächsten Schritt Eindeutige Identifizierung Ihrer Benutzermüssen Sie die Azure AD-Synchronisierungsdienste so konfigurieren, dass Konten und Kontakte in allen Gesamtstrukturen so abgeglichen werden, dass sie ein typisches Hybrid-Exchange-Setup für mehrere Gesamtstrukturen imitieren.
Beginnen Sie mit dem Über Wälder hinweg zusammenpassen Sektion; Die systemübergreifende eindeutige Kennung ist die im E-Mail-Attribut gespeicherte E-Mail-Adresse. Daher sollte ein Postfach in der GMI-Gesamtstruktur mit einem Kontakt in GMIUK- oder LJD-Gesamtstrukturen verknüpft werden, wenn die E-Mail-Adresse übereinstimmt.
In dem Abgleich mit Azure AD Abschnitt, der anzugebende Wert hängt von Ihrer Umgebung und den Plänen für die Zukunft ab. Für die sourceAnchorDie einfachste Übereinstimmung besteht darin, das Konto in AD 365 mit einem Konto in Office 365 zu verknüpfen objectGUID da es denselben Wert hat, den das DirSync-Tool für einzelne Gesamtstrukturen verwendet. Dies ist kein guter Wert, wenn Sie domänenübergreifende Verschiebungen planen, da sich die objectGUID ändert. Verwenden Sie also etwas, das sich nie ändert. Diese Umgebung wird nicht konsolidiert, daher verwenden wir objectGUID.
Das userPrincipalName Attribut ist der Wert, den Office 365 für die Anmelde-ID verwendet. Hierbei wird normalerweise das AD-Attribut userPrincipalName verwendet, obwohl in einigen einfachen Umgebungen, in denen keine hybriden Exchange-Setups erforderlich sind, möglicherweise “Mail” verwendet wird. Wir verwenden das userPrincipalName-Attribut, da wir dieselbe Anmelde-ID haben, um sowohl lokal – beim Zugriff auf AutoDiscover – als auch in Office 365 beim Zugriff auf das Postfach zu arbeiten (Abbildung 5).

Übereinstimmungen zwischen lokalen Exchange- und Office 365-Konten
Ordnen Sie lokale Konten Office 365-Konten zu.

Endlich auf dem Optionale Funktionen Wählen Sie auf dieser Seite den wichtigen Wert aus, mit dem Administratoren den Hybridkonfigurations-Assistenten in jeder Gesamtstruktur ausführen können. Exchange-Hybridbereitstellung. Wir verwenden auch Passwort-Hash-Synchronisierung eher für den Einsatz als für den Komplex Active Directory-Verbunddienste, also überprüfe Passwortsynchronisation (Abbildung 6).

Passwortsynchronisation
Wählen Sie hybride Exchange- und Kennwortsynchronisierungsoptionen aus.

Wechseln Sie nach Eingabe der Konfigurationsdetails zu Konfigurieren Seite, auf der die ausgewählte Konfiguration implementiert und gespeichert wird. Auf der letzten Seite des Assistenten können Sie die Verzeichnisse sofort synchronisieren.

Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden Microsoft Gold-Partner in Großbritannien. Goodman hat seit Version 5.5 intensiv mit Microsoft Exchange und seit seinen Anfängen in Exchange Labs und mit Office 365 zusammengearbeitet [email protected]

Similar Posts

Leave a Reply