Microsoft Hybrid Agent
Hybrid Agent устраняет некоторые трудности, с которыми вы можете столкнуться при настройке гибридной среды Exchange. Агент, основанный на той же технологии, что и прокси приложения Microsoft Entra, удаляет некоторые требования к конфигурации для гибридной среды. Например:
- Внешние записи DNS.
- Обновления сертификатов.
- Входящие сетевые подключения через брандмауэр для включения гибридных функций Exchange.
Гибридный агент поддерживает совместное использование и перенос почтовых ящиков, синхронизацию каталогов и другие гибридные функции.
Важно!
Публикация Outlook Web App (OWA) и панели управления Exchange (ECP) через прокси приложения Microsoft Entra не поддерживается.
Расположение агента и требования
Установка агента и гибридной конфигурации с помощью мастера гибридной конфигурации (HCW) поддерживается в любом из следующих расположений:
- На автономном компьютере (спроектированном как "сервер агента").
- На сервере Exchange Server:
- Exchange 2016 или более поздней версии: роль почтового ящика.
- Exchange 2013: роль клиентского доступа (CAS).
Требования к системе
Гибридный агент имеет несколько методов установки с разными требованиями. Во всех случаях требования к основному компьютеру совпадают, как описано в следующем списке:
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 или Windows Server 2022
- .NET Framework 4.7.2 или более поздней версии.
- Протокол TLS 1.2 включен.
- Прокси приложения в Идентификаторе Microsoft Entra
- Возможность установки исходящих HTTPS-подключений к Интернету.
- Возможность установки HTTPS-подключений к Exchange Server, выбранному для гибридной конфигурации.
HCW может скачать и установить MSI агента автоматически при условии выполнения следующих требований:
Компьютер является членом домена Active Directory.
Компьютер может устанавливать удаленные подключения PowerShell к Exchange Server, выбранному для гибридной конфигурации.
Компьютер использует браузер, поддерживающий технологию ClickOnce (например, Microsoft Edge).
Используемая локальная учетная запись Active Directory должна соответствовать следующим требованиям:
- Членство в группе ролей "Управление организацией" в локальной организации Exchange.
- Членство в локальной группе администраторов на компьютере, на котором устанавливается гибридный агент.
Автоматическое скачивание и установка MSI агента HCW идеально подходит для установки агента непосредственно на сервере CAS.
Требования к портам и протоколам
Исходящие порты HTTPS (TCP) 443 и 80 должны быть открыты между компьютером, на котором установлен гибридный агент, и Интернетом, как показано здесь.
Порты TCP 443, 80, 5985 и 5986 должны быть открыты между компьютером, на котором установлен гибридный агент, и cas-сервером, выбранным в мастере гибридной конфигурации.
Важно!
Запросы доступности от локальных пользователей к пользователям Exchange Online не проходят через гибридный агент. Все серверы почтовых ящиков Exchange (включая серверы почтовых ящиков Exchange 2013) должны иметь возможность взаимодействовать с конечными точками Microsoft 365 или Office 365 по протоколу HTTPS (TCP-порт 443). Здесь описаны необходимые URL-адреса, IP-адреса и порты.
Рекомендации по прокси-серверу
Если в сетевой среде используются исходящие прокси-серверы, необходимо выполнить дополнительную настройку, как описано в этом разделе. Возможно, этот список не является исчерпывающим.
Агент
Агент поддерживает исходящие прокси-серверы без проверки подлинности, но после установки необходимо выполнить дополнительную настройку. Запустите скрипт, ConfigureOutBoundProxy.ps1
расположенный \Program Files\Microsoft Hybrid Service\
на компьютере, где установлен агент. Например:
PS C:\Program Files\Microsoft Hybrid Service\>.\ConfigureOutBoundProxy.ps1 -ProxyAddress http://proxyserver:8080
При запуске скрипта следующий раздел будет добавлен в файл, расположенный Microsoft.Online.EME.Hybrid.Agent.Service.exe.config
в той же папке:
<system.net>
<defaultProxy>
<proxy proxyaddress="http://proxyserver:8080" bypassonlocal="True" usesystemdefault="True" />
</defaultProxy>
</system.net>
Важно!
Прокси-сервер, который предотвращает регистрацию, приведет к сбою следующих элементов:
- Установка соединителя.
- Проверка подключения после установки.
Рекомендуется разрешить соединителям обходить прокси-сервер, пока не удастся внести изменения в конфигурацию приложения.
Exchange Server
HCW устанавливает подключения с сервера Exchange Server к domains.live.com для обмена метаданными и установления доверия. Так как подключения исходят от сервера cas-сервера, параметры прокси-сервера на этом сервере (с Get-ExchangeServer | Format-List internetWebProxy
) должны быть заданы правильно, в противном случае может возникнуть сбой для исходящего трафика. В дополнение к сбоям подключения HCW не сможет настроить делегированную проверку подлинности, если параметр прокси-сервера неправильный.
Требования к доступности и доступности
Мастер гибридной работы автоматически обрабатывает сведения о доступности, необходимые в локальной среде Exchange и Exchange Online.
Если вам нужно настроить общий доступ к занятости со сторонним поставщиком, перейдите на вкладку Организация в Центре администрирования Exchange и настройте общий доступ для отдельных пользователей или организации между двумя системами (Exchange Online и Exchange on-premises или Exchange on-premises).
Если у вас возникли проблемы, см . статью Устранение проблем с доступностью и доступностью в гибридном развертывании.
Ограничения
Прежде чем устанавливать гибридный агент, помните о следующих проблемах.
Гибридная современная проверка подлинности не поддерживается гибридным агентом. Для работы с различными клиентами Outlook необходимо использовать классическую гибридную топологию Exchange и опубликовать конечные точки автообнаружения, EWS, ActiveSync, MAPI и OAB.
Для функций календаря Teams, которым требуется доступ к локальным почтовым ящикам, мы рекомендуем использовать полную классическую гибридную топологию Exchange. Дополнительные сведения см. в статье Взаимодействие Microsoft Teams и Exchange.
Отслеживание сообщений и поиск в нескольких почтовых ящиках не проходят через гибридный агент. Для этих гибридных функций требуется классическая модель подключения, в которой веб-службы Exchange (EWS) и автообнаружения публикуются локально и доступны для Exchange Online извне.
Гибридный агент регистрирует внутреннее полное доменное имя сервера CAS, выбранного при запуске мастера гибридной конфигурации в инфраструктуре гибридных прокси-серверов Entra. Если зарегистрированный сервер CAS находится в автономном режиме, поиск по доступности из Exchange Online в локальную среду и миграция почтовых ящиков в Exchange Online и из нее не будут работать. Если выбранный cas-сервер постоянно находится в автономном режиме, необходимо зарегистрировать новый сервер CAS, повторно запустив мастер гибридной конфигурации.
Гибридный агент поддерживает одну конечную точку миграции с ограничениями службы по умолчанию. Несколько конечных точек миграции с использованием пользовательских конечных точек или URL-адресов не поддерживаются.
Гибридный агент поддерживает одну организацию Exchange. Несколько организаций Exchange не поддерживаются.
Примечание.
SMTP не проходит через гибридный агент и по-прежнему требует общедоступного сертификата для потока обработки почты между Exchange Online и локальной организацией. Трафик SMTP выходит за рамки гибридного агента.
Запуск программы установки
Необходимо запустить HCW на компьютере, на котором требуется установить агент. После установки и настройки агента HCW найдет предпочтительный сервер для подключения и выполнения стандартных шагов гибридной конфигурации. Вам не нужно запускать HCW непосредственно с сервера Exchange Server. Но компьютер, на котором выполняется HCW, должен иметь возможность подключения к Exchange Server через порты, указанные в разделе Порты и протоколы .
Предварительные требования для установки
Необязательно. Проверьте подключение.
На сервере, где будет запущен мастер гибридной конфигурации (установка гибридного агента и последующие шаги гибридной конфигурации), скачайте следующий пример скрипта и сохраните его в любом каталоге: https://aka.ms/hybridconnectivity.
Откройте командную консоль Exchange и измените каталог на расположение скрипта.
Импортируйте командлеты, выполнив следующую команду:
Import-Module .\HybridManagement.psm1
Выполните следующую команду, чтобы убедиться, что компьютер, на котором выполняется установка, может связаться со всеми необходимыми конечными точками для установки гибридного агента и мастера гибридной конфигурации.
Test-HybridConnectivity -TestO365Endpoints
Выходные данные команды выглядят так:
Чтобы разрешить установку гибридного агента и выполнить миграцию почтовых ящиков в организацию Microsoft 365 или Office 365 и из нее, включите прокси-сервер службы репликации почтовых ящиков (MRS) в виртуальном каталоге EWS, выполнив следующую команду:
Set-WebServicesVirtualDirectory -Identity "EWS (Default Web Site)" -MRSProxyEnabled $true
Примечание.
Если вы не выполните этот шаг перед запуском HCW, HCW включает прокси-сервер MRS. Однако мы рекомендуем выполнить этот шаг перед запуском HCW, чтобы убедиться, что кэш IIS успеет очистить, прежде чем HCW проверит конечную точку.
Перейдите в раздел Программы и компоненты на панели управления и убедитесь, что предыдущая версия мастера гибридной конфигурации еще не установлена. Если это так, удалите его.
Установите .NET Framework версии 4.6.2 на компьютере, где выполняется HCW. В зависимости от установленной версии Exchange может потребоваться установить более позднюю версию .NET Framework. Кроме того, если эта версия не установлена, HCW предложит установить ее или обновить версию, уже установленную на компьютере.
Этапы установки
Войдите в локальный центр администрирования Exchange (EAC), перейдите к узлу Гибридное развертывание и нажмите кнопку Настроить.
Выберите сервер Exchange Server, на котором требуется запустить традиционную гибридную установку. Выберите сервер по умолчанию, предоставленный HCW, или укажите конкретный сервер во втором переключателе. Нажмите кнопку Далее.
Введите локальные учетные данные Exchange и учетные данные глобального администратора Microsoft 365 или Office 365. Нажмите кнопку Далее.
Подождите, пока HCW соберет сведения и конфигурацию о ваших средах. По завершении нажмите кнопку Далее.
Выберите Минимальная или Полная гибридная конфигурация. Вы также можете выбрать Пункт Передача конфигурации организации. Дополнительные сведения см. в статье Передача конфигурации гибридной организации версии 2. Нажмите кнопку Далее.
Выполните действия, чтобы включить федерацию. Нажмите кнопку Далее.
Выберите Использовать современную гибридную топологию Exchange.
Нажмите кнопку Далее.
HCW устанавливает гибридный агент. Существует четыре основных этапа:
Скачайте пакет установки агента.
Установка агента на локальном компьютере (примечание. При этом снова запрашивается учетные данные глобального администратора Microsoft 365 или Office 365).
Регистрация агента в Entra, включая создание URL-адреса, используемого для прокси-запросов. URL-адрес имеет формат:
uniqueGUID.resource.mailboxmigration.his.msappproxy.net
.Тестирование жизнеспособности миграции из организации Microsoft 365 или Office 365 в локальную организацию Exchange с помощью агента.
Примечание.
Процесс установки гибридного агента может занять до 10 минут.
Остальные входные данные и действия HCW совпадают с классическим гибридным развертыванием.
На этапе обновления HCW создает конечную точку миграции с пользовательским URL-адресом, созданным на шаге 8.3 выше. Он также установит TargetSharingEPR
это значение для объекта Organization Relationship и (или) IntraOrganization Connector на стороне Microsoft 365 или Office 365. Новый URL-адрес используется для отправки запросов из организации Microsoft 365 или Office 365 в локальную организацию Exchange для получения доступности и миграции.
Конкретные значения можно просмотреть, запустив Get-MigrationEndpoint и Get-OrganizationRelationship из подключения Exchange Online PowerShell к вашей организации Microsoft 365 или Office 365.
В следующем примере показаны выходные данные, которые могут отображаться при выполнении командлетов Get-MigrationEndpoint и Get-OrganizationRelationship :
Get-MigrationEndpoint | Format-List Identity,RemoteServer
Identity : Hybrid Migration Endpoint - EWS (Default Web Site)
RemoteServer : 087f1c2e-8711-4176-ab4f-4b1c1777a350.resource.mailboxmigration.his.msappproxy.net
Get-OrganizationRelationship | Format-List Name,TargetSharingEpr
Name : O365 to On-premises - c6d22e11-2340-4432-9122-19097bacf0c1
TargetSharingEpr : https://087f1c2e-8711-4176-ab4f-4b1c1777a350.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
Модуль PowerShell гибридного агента
Модуль PowerShell гибридного управления устанавливается мастером гибридной конфигурации по адресу *\Program Files\Microsoft Hybrid Service* на компьютере, где установлен гибридный агент. Этот модуль предоставляет следующие командлеты, которые теперь можно использовать с учетной записью администратора с поддержкой многофакторной проверки подлинности или без нее.
Командлеты | Назначение |
---|---|
Get-HybridAgent | Просмотр установленных гибридных агентов. |
Update-HybridApplication | Изменение параметров, таких как целевой универсальный код ресурса (URI) гибридного приложения. |
Get-HybridApplication | Просмотр всех гибридных приложений в организации. |
Remove-HybridApplication | Удаление определенного гибридного приложения. |
Использование командлетов гибридного агента с учетными записями с поддержкой многофакторной проверки подлинности или без нее
Чтобы использовать эти командлеты, необходимо импортировать последнюю версию HybridManagement.psm1, доступную по адресу **\Program Files\Microsoft Hybrid Service**. Его также можно скачать непосредственно по адресу https://aka.ms/HybridAgentPSM.
Чтобы импортировать модуль гибридного управления, выполните следующую команду из командной строки Windows PowerShell от имени администратора:
Import-module .\HybridManagement.psm1
Чтобы выполнить эти командлеты с учетными данными администратора с поддержкой многофакторной проверки подлинности, необходимо указать параметр userPrincipalName . Если учетная запись не является учетной записью администратора с поддержкой многофакторной проверки подлинности, можно также использовать параметр Credential вместо параметра userPrincipalName , что приведет к использованию обычной проверки подлинности.
В следующей таблице показано, чем отличается использование в этих двух режимах:
Администратор с учетной записью с поддержкой многофакторной проверки подлинности | Администратор с обычной проверкой подлинности | |
---|---|---|
1 | имя участника-пользователя администратора клиента Get-HybridAgent UserPrincipalName <> | Get-HybridAgent -Credential (Get-Credential) |
2 | Get-HybridApplication -UserPrincipalName<, имя участника-пользователя> администратора клиента -ИДЕНТИФИКАТОР AppId <> | Get-HybridApplication -Credential (Get-Credential) -AppId <GUID> |
3 | Remove-HybridApplication -UserPrincipalName<, имя участника-пользователя> администратора клиента -ИДЕНТИФИКАТОР AppId <> | Remove-HybridApplication -Credential (Get-Credential) -AppId <GUID> |
4 | New-HybridApplication -UserPrincipalName <имя участника-пользователя> администратора клиента -TargetUri "Полное доменное имя сервера" | New-HybridApplication -Credential (Get-Credential) -TargetUri "Полное доменное имя сервера" |
5 | Update-HybridApplication -AppId <GUID> -TargetUri "Полное доменное имя сервера" -UserPrincipalName <, имя участника-пользователя администратора клиента> | Update-HybridApplication -AppId <GUID> -TargetUri "Полное доменное имя сервера" -Credential (Get-Credential) |
Развертывание с несколькими агентами
Вариант 1. Установка дополнительных агентов с помощью мастера гибридной конфигурации
Для обеспечения избыточности можно установить дополнительные гибридные агенты. Просто скачайте последнюю версию HCW и откройте приложение на компьютере, где вы хотите установить дополнительный гибридный агент.
Как и при предыдущих установках HCW, запустите приложение и нажмите кнопку Далее.
Выберите нужный сервер для выполнения, нажмите кнопку Далее.
Укажите учетные данные для входа в организацию Microsoft 365 или Office 365, а затем нажмите кнопку Далее.
HCW соберет сведения о конфигурации. По завершении нажмите кнопку Далее .
Выберите параметр по умолчанию, указанный для параметра Полный или Минимальный, нажмите кнопку Далее.
Выберите Современная гибридная топология Exchange, Далее.
Отобразится страница с состоянием существующих или ранее установленных агентов. Прежде чем переходить к следующему шагу, убедитесь, что состояние существующего агента является точным. Выберите Установить дополнительный агент и нажмите кнопку Далее.
Пример:
HCW установит дополнительный гибридный агент. После завершения установки можно открыть консоль служб Microsoft Windows с компьютера и убедиться, что служба или агент установлены и запущены (найдите гибридную службу Майкрософт — mshybridsvc). На этом этапе можно повторно запустить HCW, если вы хотите внести дополнительные изменения в гибридную конфигурацию, или просто отменить мастер.
Этот шаг можно повторить на каждом компьютере, где требуется установить дополнительный гибридный агент.
Вариант 2. Скачивание и установка дополнительных агентов вручную
Второй вариант установки дополнительных агентов находится за пределами самого HCW и выполняется путем скачивания и установки агента вручную на нужном компьютере.
Перейдите по адресу https://aka.ms/hybridagentinstaller.
Сохраните MSHybridService.msi в расположении на компьютере.
На этом компьютере откройте командную консоль Windows с правами администратора и выполните следующую команду, чтобы установить гибридный агент:
Msiexec /i MSHybridService.msi
Вам будет предложено ввести учетные данные глобального администратора клиента.
После завершения установки можно открыть консоль служб Microsoft Windows с компьютера и убедиться, что служба или агент установлены и запущены.
Этот шаг можно повторить на каждом компьютере, где требуется установить дополнительный гибридный агент.
Проверка состояния гибридных агентов
Вариант 1. Получение состояния с помощью мастера гибридной конфигурации
Запустите приложение HCW и нажмите кнопку Далее.
Выберите сервер в организации Exchange и нажмите кнопку Далее.
Укажите учетные данные для входа в организацию Microsoft 365 или Office 365, а затем нажмите кнопку Далее.
HCW будет собирать сведения о конфигурации. По завершении нажмите кнопку Далее .
Выберите параметр по умолчанию, указанный для полного или минимального , и нажмите кнопку Далее.
Выберите Exchange Modern Hybrid Topology (Современная гибридная топология Exchange ) и нажмите кнопку Далее.
Отобразится страница с состоянием существующих установленных агентов.
По завершении нажмите кнопку Отмена .
Вариант 2. Получение состояния с помощью модуля PowerShell гибридного управления
При каждой установке гибридного агента HCW устанавливает модуль PowerShell гибридного управления в папке \Program Files\Microsoft Hybrid Service\ на компьютере, где установлен агент. По умолчанию этот модуль не импортирован, поэтому его необходимо импортировать, прежде чем использовать. Для этого модуля также требуется модуль Azure для PowerShell, если он еще не установлен. Сначала установите модули PackageManagement , а затем ознакомьтесь с инструкциями по установке модуля Azure PowerShell в этом разделе .
Чтобы импортировать модуль гибридного управления, выполните следующую команду из командной строки Windows PowerShell от имени администратора:
Import-module .\HybridManagement.psm1
После этого можно выполнить следующую команду, чтобы просмотреть состояние агента:
Get-HybridAgent -Credential (Get-Credential)
Выходные данные команды выглядят так:
Примечание.
Значение идентификатора в результатах — это удостоверение агента, а не уникальный guid клиента, назначенный маршруту.
Перенаправьте гибридные агенты к подсистеме балансировки нагрузки вместо определенного сервера.
Вы можете использовать модуль PowerShell для гибридного управления, чтобы настроить гибридные агенты для направления запросов к подсистеме балансировки нагрузки вместо определенного Exchange Server. Гибридный агент поддерживает маршрутизацию запросов к подсистеме балансировки нагрузки для серверов клиентского доступа Exchange Server 2013 и Exchange Server 2016 или более поздних версий.
Выполните действия из предыдущего раздела, чтобы импортировать модуль гибридного управления для PowerShell.
Используйте параметр targetUri в командлете Update-HybridApplication , чтобы изменить значение internalURL с определенного сервера на конечную точку подсистемы балансировки нагрузки.
Используйте уникальное значение GUID конечной точки для клиента для параметра appId (например, 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7). Обратите внимание, что это значение GUID не является идентификатором агента. Чтобы найти значение GUID конечной точки, используйте один из следующих процедур:
TargetSharingEPR
Из значения:Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
Результат выглядит следующим образом:
TargetSharingepr
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmxИз конфигурации MRS:
Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
Результат выглядит следующим образом:
RemoteServer
------------
6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
Получив значение GUID конечной точки для клиента, выполните следующую команду:
targetUri:
https://myloadbalancer.com
в этом примере (значение будет отличаться).appId: 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 в этом примере (значение будет другим).
Update-HybridApplication -targetUri "https://myloadbalancer.com" -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
Пример:
Дополнительные сведения
Сведения об установке гибридного агента можно просмотреть в следующих расположениях на сервере, где он установлен.
В консоли служб выполните следующие действия.
В реестре по адресу
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Hybrid Service
:На жестком диске:
В разделе Программы и компоненты на панели управления:
Тестирование и проверка гибридного агента
После успешного развертывания гибридного агента и гибридной конфигурации можно выполнить следующие действия для проверки доступности и потока миграции почтовых ящиков с помощью агента.
На сервере, где установлен гибридный агент, откройте монитор производительности.
Добавьте объект Microsoft AD App Proxy Connector и счетчик #requests в представление.
Миграция
Откройте подключение Exchange Online PowerShell к организации Microsoft 365 или Office 365.
Замените <customguid> уникальным значением GUID конечной точки, как описано в разделе Перенаправление гибридных агентов к подсистеме балансировки нагрузки вместо определенного сервера и выполните следующую команду:
Test-MigrationServerAvailability -ExchangeRemoteMove:$true -RemoteServer '<your customguid>.resource.mailboxmigration.his.msappproxy.net' -Credentials (Get-Credential)
Введите локальные учетные данные в появившемся диалоговом окне.
После того как тест вернет результат успешного выполнения, переключитесь на монитор производительности и убедитесь, что количество запросов увеличилось.
Выполнение тестового перемещения почтового ящика из локальной организации Exchange в организацию Microsoft 365 или Office 365 также является вариантом.
Примечание.
Если этот тест завершается неудачно, попробуйте запустить Update-HybridApplication и наведите его на один сервер Exchange Server вместо подсистемы балансировки нагрузки.
Свободное/занятое
Чтобы выполнить ту же проверку для сведений о доступности, войдите в почтовый ящик Microsoft 365 или Office 365 в клиенте, создайте тестовое приглашение на собрание и отправьте его в локальный почтовый ящик.
Удаление гибридного агента
Чтобы удалить гибридный агент, повторно запустите мастер гибридной конфигурации с того же компьютера, на который была запущена установка, и выберите Классическое подключение. Выбор классического подключения приведет к удалению и отмене регистрации гибридного агента с компьютера и Entra. После отмены регистрации гибридного агента можно возобновить настройку и настроить гибридную среду в классическом режиме.
Переключение режимов с классического на современный
Вы можете переключиться на современный гибридный (гибридный агент) после успешной настройки классического гибридного развертывания (публикация пространства имен EWS и разрешение входящего трафика). Но мы рекомендуем переключаться только в том случае, если после завершения этой настройки вы заблокировали перенос почтовых ящиков в облако. Если вы решили вернуться к использованию современной гибридной среды, см. предыдущий раздел Ограничения , так как в гибридном агенте поддерживаются не все гибридные функции и возможности.
Если вы взвесили все за и против перехода с классической модели на современную, удалите существующие пакеты миграции и конечную точку миграции в Exchange Online, повторно запустив мастер гибридной конфигурации и выбрав Современный гибрид.