无需 Exchange 服务器的 Office 365 目录同步

我收到很多有关 Office 365、本地 Active Directory 的目录同步以及停用本地 Exchange 服务器的问题。许多客户需要本地 Active Directory，需要 Office 365 中的邮箱，并且不再需要本地 Exchange 服务器。

所以问题基本上是“迁移到 Office 365 后我们可以停用 Exchange 服务器吗？ ”

这是一个简单的问题，也有一个简单的答案，答案是“不，您不能停用最后一台本地 Exchange 服务器”。让我解释一下原因。

权威来源

在之前的一篇博文中，我已经讨论了三种类型的身份：

• 云身份。
• 同步身份。
• 联合身份。

有了目录同步（通过 Azure AD Connect），我们正在讨论同步身份或联合身份。需要注意的是，授权源（即管理身份的位置）是本地 Active Directory。帐户是在本地而不是在云中创建和管理的。对于帐户的属性也是如此。

假设我们有以下情况。有一个 Active Directory 环境，没有本地 Exchange 服务器，并且有一个用于复制到 Azure Active Directory 的 AADConnect 服务器，如下图所示。

图 1.Azure AD Connect 正在将用户帐户同步到 Office 365。

内部域是 Exchangelabs.local，外部域 Exchangelabs.nl 仅在 Office 365 中进行验证并设置为默认域。在本地 Active Directory 中，有一个 OU=帐户，其中对象位于各种 OU 中，例如 OU=组、OU=用户、OU=联系人等。

图 2. Active Directory 用户和计算机中的用户帐户。请注意“电子邮件地址”栏中的不同设置。

Azure AD Connect 的安装会自动检测到没有安装 Exchange 服务器（Active Directory 架构甚至还没有准备好，因此它确实是一个全新的 Active Directory），因此 Exchange 混合选项在安装应用程序中不可用：

图 3.Azure AD Connect 配置了密码哈希同步

唯一选择的选项是密码哈希同步。前面提到的组织单位 OU=帐户是唯一选择用于对象复制的 OU，因此在完成设置应用程序和初始同步后，用户帐户将显示在 Microsoft 在线门户中。

当 Office 365 (E3) 许可证分配给复制的用户帐户时，会看到一件奇怪的事情。用户帐户与预期完全一致，即 [email protected]，但主 SMTP 地址并未反映这一点，并且实际上基于租户名称，即 [email protected]，如以下屏幕截图所示。

图 4. 用户的电子邮件地址设置不正确。租户电子邮件地址设置为主 SMTP 地址。

当您想要将电子邮件地址从租户电子邮件地址更改为常规电子邮件地址时，您会看到以下警告：

图 5. 无法更改用户的主 SMTP 地址

设为主要按钮呈灰色，因此无法更改电子邮件地址。

当您在 Exchange 管理中心（在 Exchange Online 中）尝试此操作时，它也不起作用，并且您会收到以下错误消息：

对邮箱“Bram Wesselius”的操作失败，因为它超出了当前用户的写入范围。无法对对象“Bram Wesselius”执行“设置邮箱”、“电子邮件地址”操作，因为该对象正在从您的本地组织同步。应对本地组织中的对象执行此操作。

图 6. 当用户的电子邮件地址更改时，会显示有关“写入范围”的错误消息。

现在变得有趣了。仔细查看图 2。您将看到用户 BWesselius 没有在 Active Directory 中设置电子邮件地址，但用户 Ahaverkamp 却有电子邮件地址。这不是 Exchange 电子邮件地址（由于 Exchange 未在本地安装，因此 Active Directory 未应用 Exchange 架构更改，它确实是绿地 Active Directory），但电子邮件地址是在 Active Directory 用户和电脑。

图 7. 用户的电子邮件地址在 Active Directory 用户和计算机中设置。

使用 Active Directory 用户和计算机设置电子邮件地址时，它会正确同步到 Office 365 并在 Exchange Online 中用作用户的主电子邮件地址。

现在，我们知道在本地 Active Directory 中配置用户时如何设置主电子邮件地址。尽管用户现在拥有正确的主电子邮件地址，但仍然无法在 Office 365 门户或 Exchange（在线）管理中心中更改用户的电子邮件地址。

此行为是由于此场景中的帐户是同步帐户而导致的。权限来源是本地 Active Directory，所有更改都需要在此处进行。更改后，新设置将同步到 Office 365。

因此，要更改用户 BWesselius 的主电子邮件地址，只需将电子邮件地址添加到 Active Directory 用户和计算机的邮件属性中，然后等待同步发生（或强制目录同步）。如果您想要更改电子邮件地址（例如用户 AHaverkamp），您只需在 Active Directory 用户和计算机中更改该用户的邮件属性即可。

现在，我们知道如何在本地 Active Directory 中创建用户并正确设置 Exchange Online 主电子邮件地址。在我的下一篇博客中，我将详细讨论本地 Exchange 服务器。