Hướng dẫn chuẩn bị chứng chỉ, bản ghi DNS và firewall cho Exchange Hybrid, tập trung vào Autodiscover, EWS, SMTP/TLS, MRSProxy và các endpoint cần mở để HCW hoạt động ổn định.
Chứng chỉ là nền tảng của trust
Hybrid secure mail flow dựa vào TLS và chứng chỉ public để Exchange Online tin đúng danh tính endpoint on-premises. Chứng chỉ dùng cho hybrid cần được cấp bởi CA tin cậy, cài trên các server được chọn cho hybrid transport và chứa các FQDN cần thiết.
DNS phải nhất quán
Autodiscover public cho domain SMTP nên trỏ về Exchange on-premises trong giai đoạn hybrid để hỗ trợ discovery và các luồng cross-premises. EWS external URL phải khớp với tên trên chứng chỉ và có thể truy cập từ Exchange Online qua HTTPS.
Firewall không chỉ là mở port
TCP 25 phục vụ SMTP/TLS giữa Exchange Online và on-premises; TCP 443 phục vụ Autodiscover, EWS, MRSProxy, OAuth và các tính năng như free/busy. Thiết bị trung gian không nên sửa nội dung thư hoặc thay đổi TLS theo cách làm mất tín hiệu nội bộ của hybrid.
Bảng tóm tắt triển khai
| Hạng mục | Ý nghĩa trong Hybrid | Lỗi thường gặp |
|---|---|---|
| Danh tính | Đồng bộ người dùng, nhóm và thuộc tính mail lên Microsoft Entra ID. | UPN hoặc proxyAddresses không sạch trước migration. |
| Kết nối | TCP 25 cho SMTP/TLS và TCP 443 cho Autodiscover, EWS, OAuth, MRSProxy. | Firewall/proxy kiểm tra TLS quá sâu hoặc chặn CRL. |
| Quản trị | HCW, Exchange Admin Center, Exchange Management Shell và Exchange Online PowerShell. | Thiếu quyền Organization Management hoặc quyền cloud phù hợp. |
Checklist khuyến nghị
- SAN có autodiscover.domain và FQDN transport cần dùng.
- Không dùng self-signed certificate cho dịch vụ Exchange public trong hybrid.
- Cho phép kiểm tra CRL/CTL cần thiết.
- Kiểm tra /ews/mrsproxy.svc trước khi migrate mailbox.
Lưu ý sau triển khai
Không nên xem Hybrid là cấu hình “cài một lần rồi để đó”. Doanh nghiệp cần định kỳ kiểm tra chứng chỉ, connector, mail queue, trạng thái sync, free/busy, migration endpoint và CU/SU của Exchange. Mỗi lần thay đổi certificate, namespace, firewall hoặc mail gateway đều nên có bài test cross-premises trước khi đóng change.
Kết luận
Chứng chỉ, DNS và firewall cho Exchange Hybrid: những điểm dễ sai nhất là một phần trong chuỗi bài Exchange Hybrid dành cho đội IT cần triển khai thực tế. Cách tiếp cận an toàn là chuẩn hóa nền tảng, chạy wizard có kiểm soát, kiểm thử từng luồng dịch vụ và duy trì runbook vận hành sau go-live.
Nguồn tham khảo
- Microsoft Learn - Exchange Server hybrid deployments
- Microsoft Learn - Hybrid deployment prerequisites
- Microsoft Learn - Hybrid Configuration wizard
- Microsoft Learn - Transport options in Exchange hybrid deployments
- Microsoft Learn - Email routing in Exchange hybrid deployments
- Microsoft Learn - Certificate requirements for hybrid deployments
- Microsoft Learn - Shared free/busy in Exchange hybrid deployments
- Microsoft Learn - Permissions in Exchange hybrid deployments
- Microsoft Learn - Server roles in Exchange hybrid deployments
- Microsoft Learn - Edge Transport servers with hybrid deployments
- Microsoft Learn - IRM in Exchange hybrid deployments
