Modern Hybrid是混合架构上的一种新模式,虽然文章开头不该这么说,但是目前从生产环境的角度看不建议部署(因为还不完善,虽然已经GA了,感觉还是再等个半年比较好)。但是你看微软最近几年提出的词:
1.Modern Authentication
2.Modern Search
3.Modern Desktop
4.Modern Worksplace
5.Modern Hybrid
等等
什么都要摩登一下,LOL。单从Exchange 混合这个角度看,为什么Minimal Hybrid这么多劣势反而是推荐的?为什么Modern Hybrid在生产环境中还是不尽人意但是也在被推荐(当然也是有他的好处的)?
自从微软推出Office 365以来,也就不断地致力于把所有的客户都往云上去迁,所以当然想的是越快迁移上去越好,但是能特别快迁移上去的公司肯定都是中小型,要么是本地服务器架构非常简单的。大企业没个几年的工夫做不完,所以微软推荐的方式也是省事儿的,既然生省事儿,体验肯定就一般般了。OK,这个有点儿偏题,我们回到正题。
如果你的企业有以下几种情况那么是可以使用Modern Hybrid的。
1.迁移过程中的负载均衡/冗余需求
2.安全考虑,不希望有对外的网络流量,也不需要发布任何的DNS记录出去
3.没有第三方证书颁发机构的证书
MH(Modern Hybrid)借助了类似Azure App Proxy的技术,所以一不需要你把本地的Exchange服务器发布到公网上,二不会产生对外的流量。
可以看一下官网给的架构图:
这个agent装哪都行,内网,DMZ都可以,只要出站的443端口开着就行。
我们先看看这个不用发布DNS的好处:
往常做迁移(其实不管做不做迁移),你是需要开MRS Proxy而且发布公司的autodiscover到公网的,那有的公司邮箱只允许内网连咋整?你说迁到云上不安全,人家又想用云的好处,这些七七八八的商业原因啥的咱不考虑。
如果你运行
get-organizationrelationship | fl
你就能看到这么一条:
TargetSharingEpr
另外还有迁移终结点,看remoteserver这一栏
get-migrationendpoint
上面两个图是找的(偷懒10秒钟),OK我们来做个对比,现在用Modern Hybrid看到的变化:
发现了没有,我标记出来的地方,整个域名,也就是你DNS记录里最重要的部分被转换成了一串GUID。这两串GUID是除了你自己运行PowerShell或者到EAC里面自己去看以外,其他任何地方都找不到的,在你运行完Modern Hybrid后单独为你的Microsoft 365租户分配的GUID,理论上无法暴力破解。
而且这个新的终结点是放在Azure里,由Hybrid Proxy来维护的,本地这边你的Hybrid agent来跟它交流。
安装Hybrid的演示在另一篇中已经介绍,过程大致如下:
1.下载MSI版本的agent
2.基本安装工作
3.在Azure中注册agent
4.配置agent
因为提到选择Modern Hybrid是不需要自己提供证书的,agent会在Azure中有一张公共的证书,180天的有效期,过期前30天自动更新
5.验证agent
验证的过程很简单,就是测试迁移服务器是否可用(发送代理的终结点)
6.完成配置
创建本地和云的组织关系(上图中标出的两条记录,Targetsharingepr和Migrationendpoint)
每个Agent能承受的“压力”大约是20GB/小时,所以不管是迁移还是看忙闲状态都是没有问题的,而且上面提到了,你可以装好几个agent。
另外这个Agent是会自动跟新的,目前我们看到的功能还不完善,但是一旦微软有了新的功能,会自动安装进来,不需要管理员自己去下载安装打补丁(服务器联网状态就行)
这里提一个非常高大上的功能。之前我文章里,不止一篇提到权限问题,不管是共享文件夹,还是send as,send on behalf of,这些其实目前都没有太大问题,哪怕两个邮件的位置不同(本地和云端),但是我一直说最好放到一起迁移也是为了避免真的出啥问题,而且最重要的情况:
1.新创建的本地邮箱授予云端的send as/send on behalf of
2.在云端有send as/send on behalf of迁移回了本地
结果就是权限会瞬间丢失。
反之亦然,因为目前权限的同步无非就是靠AADC来同步这些属性,但是总有缺陷,这个就很头疼了吧,这个Hybrid Agent就能即时的把这个权限给同步过去。
这个涉及到具体功能不算是介绍,后面会专门写一篇。
835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
