在混合环境中停用 Exchange 资源林

两年前，我从 Exchange 资源林和 Office 365 第 I 部分开始撰写了许多关于 Exchange 资源林模型和 Office 365 的博文。共有四篇文章，在每篇文章的末尾，您都会找到下一篇文章的链接。

多年来，我收到了一些关于当所有邮箱都迁移到 Office 365 时如何停用 Exchange 资源林的请求。这是一个有效的问题，为什么要保留仅包含 Exchange 服务器的空林，包括通过远程配置进行复杂的配置邮箱。实现起来并不太难，只需将Exchange服务器从资源林移至帐户林即可。不幸的是，没有提及此类迁移的可支持性，但它是 Microsoft 用于崩溃森林或 Active Directory 迁移的一种方法。

要停用资源林，需要执行以下步骤：

• 在帐户林中安装 Exchange
• 将 Exchange 资源移至帐户林
• 重新配置 Azure AD Connect
• 重新配置 Exchange 混合配置（可选）
• 资源林退役

我将在本系列的最后一篇文章中完成这些步骤。

步骤0.现有情况

本系列从资源林中的 Exchange 2010 开始，并在混合环境中进行配置。 Exchange 2010升级到Exchange 2016，现在所有邮箱都迁移到Office 365。现有情况如下图所示：

Exchange 2016 在混合环境中配置，有一个 Exchange 2016 边缘传输服务器，并且 MX 记录指向该环境。出站电子邮件直接从 Exchange Online 发送，但在我的环境中 MX 从未改变（因为公用文件夹在 Exchange 2016 中已经存在很长时间）。 Azure AD Connect 在帐户林中运行，并组合来自帐户和资源林的信息，并将其发送到 Azure AD。

步骤 1. 在帐户林中安装 Exchange

第一步是在帐户林中安装 Exchange 2016。这将对 Active Directory 架构、配置和域分区进行更改，但此时现有的用户帐户不会受到影响。因此，Azure AD Connect 不会注意到任何事情，并且不会将任何更改发送到 Azure Active Directory。

警告！服务连接点！ 在帐户林中安装 Exchange 2016 时，您必须注意安装期间会创建服务连接点 (SCP)。根据所使用的 Outlook 客户端，他们可以在几分钟内在 AD 中获取此 SCP，如果配置不正确，Outlook 客户端最终可能会得到损坏的配置文件（不幸的是，确实如此）。要解决此问题，您可以使用在 Exchange 服务器设置博客期间或之后的 SSL 证书警告中提到的 Tony Murrays 脚本。确保您使用与资源林中使用的相同的 AutodiscoverURL（或者当然将 SCP 的众所周知的 GUID 设置为 NULL）。

除此之外，我不会详细介绍安装 Exchange 2016 服务器，并且我假设虚拟目录、SSL 证书、内部和外部 URL 是相同的。这是一个新的且很可能是全新的部署，因此您必须配置所有内容，从脱机通讯簿到 OWA 和 ActiveSync 策略以及其间的所有内容。哦，不要忘记接受域和电子邮件地址策略等内容，以便在创建新的远程邮箱时设置正确的电子邮件地址。我是否还提到了路由基础设施和 SMTP 中继选项？看起来很简单，但在开始移动资源之前需要做很多工作……

步骤 2. 将 Exchange 资源移至帐户林

第二步是将资源从资源林移动到帐户林，首先是通讯组，然后是邮箱。

移动通讯组

您可以使用 ADMT 克隆通讯组，但使用 PowerShell 导出通讯组也可以正常工作，例如使用以下命令。

获取分发组 |选择 SamAccountName、别名、显示名称、PrimarySmtpAddress | Export-Csv -Path C:\install\distributiongroups.csv -nti

将 CSV 文件导入帐户林中的 Exchange 2016 中，就可以了。当然，您可以在使用时导出和导入 HiddenFromAddressListEnabled、MemberJoinRestriction、MemberDepartRestriction 和 ManagedBy 等选项。
只要新通讯组的 PrimarySmtpAddress 属性与资源林中的通讯组相同，Azure AD 就不会抱怨Office 365 中的一切将继续按预期运行。

与此类似，您可以使用 Get-ADGroupMember PowerShell 命令导出通讯组的成员，并使用 Add-ADGroupMember 导入帐户林中通讯组的成员。

移动邮箱

将邮箱从资源林移动到帐户林并不是什么大事。请记住，Azure AD Connect 组合了帐户林中的用户帐户和资源林中的邮箱帐户，并将其发送到 Azure AD。因此，您可以安全地向帐户林中的用户帐户添加属性，而不会造成任何破坏。

可以对帐户林中的用户帐户使用 Enable-RemoteMailbox 命令，而不会破坏 Azure AD Connect 中的内容。这也意味着在测试过程中，您可以在帐户林中使用Disable-RemoteMailbox命令，并且Azure AD Connect也不会抱怨。

要将邮箱从资源林移动到帐户林，我使用 PowerShell 将邮箱及其属性列表导出到包含以下属性的 CSV 文件：

• 主 SMTP 地址。
• 远程路由地址。
• 交换指南。
• 别名。
• 显示名称。
• EmailAddresses（请注意，这是一个多值属性）。
• 已启用隐藏地址列表。

要导出这些属性，您可以在资源林中的 Exchange 服务器上使用以下命令来获取 CSV 文件中的所有信息：

$Mailboxes=Get-RemoteMailbox

$邮箱| %{$p=$_.PrimarySmtpAddress; $r=$_.RemoteRoutingAddress; $g=$_.ExchangeGuid; $a=$_.别名； $d=$_.DisplayName; $h=$_.HiddenFromAddressListsEnabled; $_.电子邮件地址 | %{[psCustomObject] @{PrimarySmtpAddress=$p;RemoteRoutingAddress=$r; ExchangeGuid=$g;别名=$a； DisplayName=$d;HiddenFromAddressListEnabled=$h;电子邮件地址=$_}}} |导出 CSV -路径 c:\scripts\remote.csv -nti

在我的混合资源林中，我有几个房间邮箱。这些帐户在资源林中有一个已禁用的帐户，但在帐户林中没有帐户。这些必须转换为链接邮箱。为了执行此操作并避免 Office 365 中断，我将会议室邮箱移回 Exchange 2016，并使用以下命令将此会议室邮箱转换为链接邮箱：

禁用邮箱-身份室

$Cred=获取凭据帐户\管理员

Connect-Mailbox -Identity room -Database “Mailbox Database” -LinkedDomainController AccountsDC01 -LinkedMasterAccount [email protected] -User room -LinkedCredential $cred

然后将房间邮箱移回 Exchange Online，继续将邮箱移至帐户林的过程。

Quad Erat Demonstrandum，在帐户林中启用远程邮箱并导入所有其他属性后，Azure AD Connect 继续按预期运行，Azure AD 中没有记录任何错误，Exchange Online 中也没有发生任何奇怪的情况。

步骤 3. 重新配置 Azure AD Connect

将所有邮箱和通讯组移至帐户林后，可以重新配置 Azure AD Connect。这没什么大不了的。
在资源林环境中，Azure AD Connect 从帐户林中获取用户帐户详细信息，并根据 MasterAccountSID 将其与资源林中的邮箱信息相结合。但现在所有数据都可以从帐户林中读取，资源林只需从 Azure AD Connect 中删除即可。

在 Azure AD Connect 服务器上启动 Azure AD Connect 时，单击配置并从“其他任务”菜单中选择自定义同步选项只有一种方法可以添加额外的森林，而不能选择删除它。

要从 Azure AD 中删除资源林，应从配置中删除连接到该林的连接器。这可以使用 Azure AD Connect 服务器上的 MIISClient 来实现（可以在 C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe 中找到）。我的桌面上通常有这个有用的应用程序的快捷方式。

在开始使用以下 PowerShell 命令停止同步之前：

Set-ADSyncScheduler -SyncCycleEnabled $False

打开同步服务管理器 (MIISClient.exe)，然后单击连接器。选择资源林的连接器，右键单击并选择删除。

在弹出窗口中选择删除连接器和连接器空间选项，这将删除连接器和所有配置数据。单击“是”进行确认，林将从 Azure AD Connect 中删除。

重新配置 Azure AD Connect 的第二步是刷新架构，以便 Azure AD Connect“知道”所有属性现在都来自帐户林。在 Azure AD Connect 中，单击刷新目录架构，输入帐户林凭据即可。

再次启用同步并使用以下 PowerShell 命令启动完全同步：

Set-ADSyncScheduler -SyncCycleEnabled $True

Start-ADSyncSyncCycle -PolicyType Initial

至此，我们已成功将所有 Exchange 资源从资源林移动到帐户林，并从 Azure AD Connect 中删除资源林。资源林中的 Exchange 2016 不再使用，可以完全停用。执行此操作之前，请确保将内容从旧管理员邮箱（在资源林中）复制到新管理员邮箱（在帐户林中）。

很酷：由于边缘传输服务器和旧的 Exchange 2016 服务器（此时仍具有远程邮箱）之间仍然存在边缘订阅，因此邮件流不受影响，并且仍会传递到 Exchange Online 中的正确邮箱。

在这种情况下，重新路由入站邮件流很容易。在现有边缘传输服务器和新的 Exchange 2016 服务器之间创建新的边缘订阅就可以了。确保还有从 Exchange 2016 到 Exchange Online Protection 的发送连接器。

注意。不要忘记重新配置内部邮件流，如 SMTP 中继、应用程序、（多功能）设备等。

步骤 4. 重新配置混合配置

您需要重新配置混合配置吗？理论上不会，Active Directory 和 Exchange 信息将使用 Azure AD Connect 发送到 Azure Active Directory，无需混合配置。但是，我还使用混合配置进行 SMTP 中继（我知道有不同的解决方案），并且我希望可以选择将邮箱移回本地 Exchange，以防万一。

此处运行混合配置向导与任何其他 HCW 部署没有什么不同，因此我不会详细介绍这一点。

步骤 5. 停用资源林

此时，我们已经拥有一个完全操作的帐户林，安装了 Exchange 2016 并且 Azure AD Connect 已启动并运行。 “旧”资源林不再运行，可以退役。删除帐户林和资源林之间的林信任并删除。这可以像关闭虚拟机并销毁它们一样简单（从来没有想过我会在这里写下来?）。

概括

Exchange 资源林已经使用了相当长一段时间，但随着迁移到 Office 365，我有几个客户停用了他们的资源林。尽管维护资源林可能相当复杂，但退役却并非如此。

在帐户林中安装 Exchange 2016，将 Exchange 资源移至帐户林并重新配置 Azure AD Connect。这些是最重要的步骤，尽管配置、SMTP 中继和相应的基础设施也很重要，而且恐怕会花费最多的时间。

但是，当资源林最终停用时，它不再是常规的单林、单域 Exchange 混合配置。