交换资源林和 Office 365 – 第四部分

在过去的三篇博文中，我向您展示了资源林中链接邮箱的基础知识、如何在此环境中实施 Azure AD Connect 以及如何在资源林模型中设置 Exchange 混合。

另一个挑战是如何在资源林设置中配置用户，尤其是直接在 Office 365 中配置邮箱时。

在正常的单林环境中，您将在 Active Directory 中创建一个新用户，并在 Exchange PowerShell 中执行 Enable-RemoteMailbox 命令以直接在 Office 365 中创建邮箱。在资源林模型中，您会遇到一些问题......

在这篇博文中，我将向您展示如何手动创建链接邮箱和随附的用户帐户，以及如何直接在 Office 365 中创建链接邮箱。我将向您展示使用 ADSI 编辑（用于教育目的）和支持的方式来实现这一点。

配置链接邮箱

要配置链接邮箱，需要在帐户林中创建一个新用户帐户，并需要在资源林中创建一个（有些）相同但已禁用的用户帐户。

执行此操作的最基本选项是在资源林中的域控制器上的 PowerShell 中执行以下命令：

Import-Module ActiveDirectory
$AccountsCred = Get-Credential Accounts\administrator
$Password = ConvertTo-SecureString -String "P@ss1w0rd!" -AsPlainText -Force

New-ADUser -Name "C.Smith" -Server ACCDC01.accounts.local -Credential $AccountsCred -UserPrincipalName [email protected] -GivenName Clyde -Surname Smith -DisplayName "Clyde Smith" -Path "OU=Users,OU=NL,DC=Accounts,DC=Local" -AccountPassword $Password -Enabled:$TRUE

这将在帐户林中创建一个新的用户帐户。接下来是通过执行以下命令在资源林中创建一个类似但禁用的用户帐户：

New-ADUser -Name "C.Smith" -Server RESDC01.resources.local -UserPrincipalName [email protected] -GivenName Clyde -Surname Smith -DisplayName "Clyde Smith" -Path "OU=Users,OU=NL,DC=Resources,DC=Local" -AccountPassword $Password -Enabled:$FALSE

要为此用户帐户创建新的链接邮箱，我们可以针对资源林中的新用户帐户执行带有 -LinkedDomainController 和 -LinkedMasterAccount 选项的启用邮箱。这应该在 Exchange 命令行管理程序中执行，但您也可以使用以下命令在当前常规 PowerShell 窗口中启动远程 PowerShell 会话：

$AdminCred = Get-Credential resources\administrator
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://RESEXCH01/PowerShell/ -Authentication Kerberos -Credential $AdminCred
Import-PSSession $Session

注意。您还可以在 Exchange 服务器上的 Exchange 命令行管理程序窗口中执行 Import-Module ActiveDirectory，但我的 Exchange 2010 服务器在 Windows 2012 上运行。这是 PowerShell 2.0，在导入 Active Directory 模块时会生成错误。

因此，创建链接邮箱并使用我们刚刚在帐户林中创建的用户帐户的命令应该是：

Get-User C.smith | Enable-Mailbox -LinkedCredential $AccountsCred -LinkedDomainController ACCDC01.accounts.local -LinkedMasterAccount "C.Smith"

使用上一篇关于链接邮箱的博客中显示的命令，我们可以检查 objectSID 和 MsExchMasterAccountSID：

Azure AD Connect 将根据 objectSID 和 MsExchMasterAccountSID 确保（就像之前的博客文章中一样）新用户帐户和邮箱信息将与 Azure Active Directory 同步，并将显示在 Office 365 通讯簿中。

现在我们可以将此邮箱移动到 Office 365，但这不是创建新邮箱的最有效方法，特别是当新邮箱应在 Azure Active Directory 中创建时。

使用 ADSI 编辑在资源林中启用 RemoteMailbox（不支持）

Enable-RemoteMailbox PowerShell 命令似乎是在 Office 365 中配置邮箱的更有效方法。然而，问题是将帐户林中的用户帐户与资源林中禁用的帐户连接起来。试一试吧…

创建两个用户，一个在帐户林中的常规帐户，一个在资源林中的禁用帐户（充当占位符）。当 Azure AD Connect 启动时，您将看到 Office 365 中出现该用户的两个用户帐户。

未授权帐户源自帐户林，被封锁帐户源自资源林。这被视为两个单独的帐户，因为 Azure AD Connect 无法像使用常规链接邮箱那样创建联接标识，因为 MsExchMasterAccountSid 属性上没有标记 objectSID 值。因为没有链接邮箱，所以根本没有 MsExchMasterAccountSid，而且我们目前也不打算创建链接邮箱，叹息......

解决此问题的一个选项（但完全不受支持）是在 Azure AD Connect 的下一个同步周期之前，在已禁用帐户的 MSExchMasterAccountSid 属性上标记常规用户帐户的 objectSID 值。正确设置后，Azure AD Connect 将连接两个帐户，并仅将常规用户帐户与 Azure AD Connect 同步，并且只有此用户帐户才会出现在 Azure Active Directory 中。

您可以通过使用 ADSI Edit 复制并粘贴此值来尝试此操作，它很乐意接受十六进制值，如下图所示：

使用 PowerShell 编写脚本很容易，但需要更多的工作。创建两个用户帐户后，您必须使用以下命令在帐户林中检索用户帐户的 objectSID 值：

$objectSID = Get-ADUser -Filter {SAMAccountName -eq "j.doe"} -properties * -server accdc01.accounts.local -Credential $AccountsCred | Select SID

命令$objectSID.SID.Value将显示objectSID的值：

使用 Set-ADUser 在 MsExchMasterAccountSid 上设置 objectSID 与 -replace 选项配合使用。使用前面的命令检索用户帐户，并使用管道命令将其解析为Set-ADUser命令（此处仅显示Set-ADUser命令）：

Set-ADUser  -replace @{msExchMasterAccountSid = $objectSID.SID.Value

现在，这两个帐户已绑定在一起（当涉及到 Azure AD Connect 时），您可以执行 Enable-RemoteMailbox 命令：

Get-User -Identity j.doe | Enable-RemoteMailbox -RemoteRoutingAddress [email protected]

同样，这工作正常，但不受支持。我主要解释这一点是为了展示幕后发生的事情。

Enable-RemoteMailbox 支持的方式

更好且最可能受支持的方法（感谢 MVP Mike Crowley）是创建一个远程邮箱，并使用 Set-User 命令（使用 -LinkedMasterAccount）将资源林中禁用的用户帐户连接到帐户林中的用户帐户选项），然后再运行 Azure AD Connect 并将信息同步到 Azure Active Directory。

所有步骤都是：

1. 在帐户林中创建用户帐户
2. 在资源林中创建禁用的用户帐户
3. Enable-RemoteMailbox 此禁用的用户帐户
4. 设置 LinkedMasterAccount 属性

在 PowerShell 中，这将是：

Import-Module ActiveDirectory
$AccountsCred = Get-Credential Accounts\administrator
$ResourceCred = Get-Credential resources\administrator

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://RESEXCH01/PowerShell/ -Authentication Kerberos -Credential $ResourceCred
Import-PSSession $Session

$Password = ConvertTo-SecureString -String "P@ss1w0rd!" -AsPlainText -Force

# Create the user account in the Account Forest
New-ADUser -Name "Clyde Smith" -SAMAccountName C.Smith -Server ACCDC01.accounts.local -Credential $AccountsCred -UserPrincipalName [email protected] -GivenName Clyde -Surname Smith -DisplayName "Clyde Smith" -Path "OU=Users,OU=NL,DC=Accounts,DC=Local" -AccountPassword $Password -Enabled:$TRUE

# Create the disabled account in the Resource Forest
New-ADUser -Name "Clyde Smith" -Server RESDC01.resources.local -SAMAccountName C.Smith -UserPrincipalName [email protected] -GivenName Clyde -Surname Smith -DisplayName "Clyde Smith" -Path "OU=Users,OU=NL,DC=Resources,DC=Local" -AccountPassword $Password -Enabled:$FALSE

# Create a Remote Mailbox for this user (in the Resource Forest)
Get-User "C.Smith" | Enable-RemoteMailbox -RemoteRoutingAddress [email protected]

# Set the LinkedMasterAccount properties
Get-User "C.Smith" | Set-User -LinkedCredential $AccountsCred -LinkedDomainController ACCDC01.accounts.local -LinkedMasterAccount "Clyde Smith"

现在已经设置了两个用户帐户，Office 365 中的远程邮箱已创建，资源林中的帐户已链接到帐户林中的帐户。一切就绪并全力支持！

概括

当使用具有链接邮箱的 Exchange 资源林并且您想要在 Office 365 中配置新邮箱时，最常见的方法是创建链接邮箱并将空邮箱直接移动到 Office 365。虽然这种方法有效，但并不是最有效的即使邮箱是空的，移动邮箱也会很耗时。

另一种方法是创建两个用户帐户并使用 ADSI Edit 并在 Office 365 中创建远程邮箱。这在实验室环境中很有趣，但不受支持。

实现此目的的最佳方法是创建两个用户帐户，并在资源林中禁用的帐户上创建远程邮箱。创建后，使用带有 -LinkedMasterAccount 选项的 Set-User 命令将远程邮箱链接到帐户林中的用户帐户。这里唯一的问题是在 Azure AD Connect 启动之前运行所有命令，否则您将得到意外结果（即 Azure Active Directory 中的多个帐户）。

在本系列的第五部分中，我将讨论如何将此资源林从 Exchange 2010 升级到 Exchange 2016。如果您不想升级但已将所有内容移至 Office 365，您可以转到本系列的第六部分，我将在其中解释如何在这种环境下退役资源林。