从 Exchange 2010 迁移到 Office 365

Internet 上有很多关于如何创建混合环境的文章，其中 Exchange 2016 连接到 Office 365。现在这很好，但是当您运行 Exchange 2016 时，您最希望不会随时迁移到 Office 365我猜很快。如果您运行的是 Exchange 2010，您很可能（很快）会迁移到 Office 365，但关于从 Exchange 2010 迁移到 Office 365 的文章并不多。而且很多可用的文章都没有正确的方法恐怕这会导致您（客户）不得不向您的系统集成商支付太多的钱。

在本文中，我将尝试概述在混合场景中从 Exchange 2010 迁移到 Office 365 时推荐的方法。使用 Azure AD Connect 进行同步。 Cliffhanger：我不会将 Exchange 2016 安装到现有的 Exchange 2010 环境中 ?

现有的 Exchange 环境

我们的组织称为 Inframan，他们有自己的本地 Exchange 2010 环境，该环境已经运行了 5 年，没有出现太多问题。有使用 Outlook 2010 及更高版本的内部 Outlook 客户端，也有使用 Outlook Anywhere 的外部客户端。还有一些移动客户端使用 ActiveSync 连接到其邮箱。当然还有Outlook Web Access，但是POP3和IMAP4没有使用。

图 1.Inframan Exchange 2010 环境概述。

在内部网络上还有通过 Exchange 2010 服务器中继 SMTP 消息的应用程序和多功能设备。这些邮件不仅发送给 Exchange 2010 服务器上的收件人，还通过 Exchange 2010 服务器上的专用接收连接器发送给外部收件人。

有趣的部分从这里开始。 NetBIOS 域名为 Inframan，但 Active Directory（单林、单域）的 FQDN 为 Inframan.local。因此，用户使用 Inframan\J.Brown 登录，Inframan 组织从未使用过 UPN，并且设置了默认值，即 [email protected]。

为了保证邮件卫生，使用来自 SpamHaus 的实时阻止列表 (RBL) 的 Exchange 2010 边缘传输服务器，配置了收件人筛选，并且在边缘传输服务器的内容筛选模块中使用了一些自定义字词。是的，这已经有效多年了。

为 Office 365 和混合 Exchange 做好准备

英夫拉曼大约有。 500 个邮箱，估计迁移到 Office 365 将需要 6 个多月的时间。在这 6 个月内，它们需要共存，并且用户帐户保留在本地 Active Directory 中，将实施 Exchange 2010 混合方案。

注意。用户名和密码将与 Office 365 同步，目前就足够了。目前 Inframan 环境中尚未实现通过 ADFS（Active Directory 联合服务）的单点登录。

目录同步

Azure AD Connect 将用于将用户帐户和密码从本地 Active Directory 同步到 Azure Active Directory（Office 365 和 Exchange Online 的基础目录）。

运行 ID修复

为了确保您的本地 Active Directory 已准备好进行 Azure AD 同步，Microsoft 有一个名为 IdFix 的工具，它可以分析您的 Active Directory 是否存在任何可能导致 Azure Active Directory 出现问题的不一致或问题。在这方面众所周知的是不可路由的 UPN 后缀、重复项目或不可路由的电子邮件地址。 IdFix DirSync 错误修复工具是正式名称，可以在此处下载：https://www.microsoft.com/en-us/download/details.aspx?id=36832

当您运行 IdFix 工具时，它会在控制台上显示 Active Directory 中的问题列表，但您也可以将其导出到 CSV 文件，以便在 Microsoft Excel 等中进行分析。

图 2. IdFix 工具发现的 Active Directory 中的问题

图 3。将相同的问题导出到 CSV 文件并导入到 Microsoft Excel。

在此环境中，有一些奇怪的（变音符号）字符需要修复，而且 UPN 配置不正确，并且存在一些带有 .local TLD 的电子邮件地址。

Azure AD 同步的先决条件是用户主体名称或 UPN 需要具有可路由的域名作为 UPN 后缀。因此，不能使用Inframan.local，需要使用Inframan.nl域名。强烈建议用户的主 SMTP 地址和 UPN 使用相同的名称。在这种情况下，用户的电子邮件地址将类似于 [email protected]，相应的 UPN 也将是 [email protected]。

图 4. 使用 Active Directory 域和信任添加可路由的 UPN 后缀

添加后，您可以使用 Active Directory 用户和计算机快速更改用户的 UPN 后缀。导航到正确的组织单位，选择所有用户并选择属性。

在“帐户”选项卡上，选中“UPN 后缀”复选框，然后使用下拉框选择正确的 UPN 后缀。

图 5. 为用户选择正确的 UPN 后缀

我们环境中的另一个问题是所有用户都有一个 @inframan.local SMTP 地址。这是由默认电子邮件地址策略引起的，该策略仍然保留 @inframan.local 条目，因此创建的所有用户仍然收到 @inframan.local 电子邮件地址。

删除这些额外电子邮件地址的最简单方法是使用简单的 PowerShell 脚本，例如：

$Mailboxes = Get-Mailbox -ResultSize Unlimited -OrganizationalUnit Accounts
ForEach($Mailbox in $Mailboxes) {
  $Mailbox.EmailAddresses |
  ?{$_.AddressString -like '*@inframan.local'} |
  %{Set-Mailbox $Mailbox -EmailAddresses @{remove=$_}
  }
}

这将创建一个包含 OU=Accounts 组织单位中所有邮箱的数组，并删除每个电子邮件地址以包含 @inframan.local 后缀。

再次运行 IdFix 工具时，只剩下两个问题，两个通讯组仍然包含 @inframan.local 电子邮件地址，但这可以使用 Exchange 管理控制台手动解决。

图 6。我们的 Inframan 环境中仅存在另外两个问题

一旦解决了最后两个问题，我们的本地 Active Directory 就可以与 Azure Active Directory 连接。

安装和配置 Azure AD Connect

Microsoft Azure AD Connect 是用于将本地 Active Directory 连接并同步到 Azure AD（Office 365 的基础目录）的工具。

Azure AD Connect 使用本地 Active Directory 和 Azure Active Directory 中的服务帐户。在本地 Active Directory 中，服务帐户需要是企业管理员安全组的成员，在 Azure Active Directory 中，服务帐户需要是全局管理员帐户。

注意。无需为服务帐户分配 Office 365 许可证。

您可以在专用服务器上安装 Azure AD connect（我的偏好和建议），但也可以将其安装在域控制器上。这样做的缺点（我认为）是您最终会得到具有不同配置的域控制器，这是我想避免的。

安装新的 Windows 2012 R2 服务器，安装 .NET Framework 4.5 并安装所有可用补丁。从 Microsoft 网站 (https://www.microsoft.com/en-us/download/details.aspx?id=47594) 下载 Azure AD Connect 软件后，您可以开始安装。

在安装和配置 Azure AD Connect 之前，需要为 Office 365 租户启用目录同步。使用租户管理员凭据登录到您的租户，然后单击“管理”磁贴。

在左侧导航菜单中，单击用户图标，然后在更多下拉菜单中选择目录同步。

图 7. 在下拉菜单中选择“目录同步”

目录同步向导启动，您只需按照向导操作即可。在部署准备情况检查期间，您可以启动 Azure AD Connect 设置应用程序，向导将指导您完成 Azure AD Connect 的设置。

图 8.使用服务帐户连接到 Azure Active Directory。

提示：Azure Active Directory 中的服务帐户的密码将每 90 天过期，并且不会通知您作为管理员。在 Azure Active Directory PowerShell 中使用 Set-MsolUser -UserPrincipalName @.onmicrosoft.com -PasswordNeverExpires $true 命令将密码设置为永不过期。有关更多详细信息，请参阅使用 PowerShell 管理 Office 365 中的用户一文。

图 9. inframan.nl 域已验证，inframan.local 域未使用（且无法添加）。

图 10. 确保选中 Exchange 混合部署 复选框。

安装 Azure AD Connect 后，您可以继续使用目录同步向导。一切设置完毕后，单击完成。

图 11.单击“完成”关闭部署准备工具。

Azure AD Connect 将自动启动并执行完全同步。当您检查 Office 365 管理中心时，您将看到本地 Active Directory 中的用户出现。请注意，他们目前尚未获得许可。

图 12.来自本地 Active Directory 的用户将显示在 Office 365 管理中心中。

您可以使用 Office 365 管理中心将许可证分配给本地 Active Directory 中的所有同步用户。筛选所有未经许可的用户，选择需要许可证的所有用户，然后在操作窗格中选择编辑产品许可证以分配适当的许可证。

此时，您的用户可以登录 Office 365 门户并查看所有可用的服务。 Office 365中有邮箱吗？还没有。本地 Exchange 2010 环境中的所有邮箱在 Office 365 中都有相应的启用邮件的用户。您可以在登录 Exchange 管理中心时轻松检查这一点：

图 13. 本地邮箱在 Office 365 中显示为启用邮件的用户

下一步是实施 Exchange 2010 和 Office 365 的混合配置。这将在我的下一篇博文中讨论。