Multiple Tenant Hybrid 시리즈의 마지막인 Free/Busy 입니다.


지난포스팅

2020/05/23 - [Exchange] - Exchange Server. Multiple Tenant Hybrid (1) Migration

2020/05/24 - [Exchange] - Exchange Server. Multiple Tenant Hybrid (2) Mail Flow

2020/05/26 - [Exchange] - Exchange Server. Multiple Tenant Hybrid (3) Outlook Connectivity

2020/05/26 - [Exchange] - Exchange Server. Multiple Tenant Hybrid (4) New-RemoteMailbox


 

Free/Busy(프리앤비지) 작은 의미로는 약속 있음, 없음을 의미하고,

하이브리드에서의 Free/Busy 서로 다른 조직내의 구성원 일정을 확인했을 , 특정날짜 특정시간대에 스케쥴이 있는지를 조회해주는 기능입니다. - 엄밀히 말하면, Hybrid 하더라도 On-Prem EXO 다른 조직입니다.

 

 

Shared free/busy in Exchange hybrid deployments

https://docs.microsoft.com/ko-kr/exchange/shared-free-busy

Sharing free/busy (calendar availability) information between users located on-premises and in the Exchange Online organization is one of the primary benefits of a hybrid deployment. Users in both organizations can view each other's calendars just as if they were located in the same physical organization. This makes scheduling meetings and resources easy and efficient.

 

온-프레미스 및 Exchange Online 조직에 있는 사용자 간에 약속 있음 / 없음 (캘린더 가용성) 정보를 공유하는 것은 하이브리드 배포의 주요 이점 중 하나입니다. 두 조직의 사용자는 마치 동일한 실제 조직에 있는 것처럼 서로의 캘린더를 볼 수 있습니다. 이를 통해 회의 및 리소스를 쉽고 효율적으로 예약 할 수 있습니다.


Multiple Tenant Hybrid  기본 구성은 다음과 같습니다.

 


Multi Forest 달리 Multi Tenant 시나리오에서는 On-Prem 단의 Trust 고려하지 않아도 됩니다.

 

Hybrid deployments with multiple forests

https://docs.microsoft.com/en-us/exchange/hybrid-deployment/hybrid-with-multiple-forests


Federation Trust & Organization Relationships

 

Exchange Server 2010 Console


Exchange Server 2013 ~2019


 

Federation trust:

Both the on-premises and Office 365 service organizations need to have a federation trust established with the Azure AD authentication system. A federation trust is a one-to-one relationship with the Azure AD authentication system that defines parameters for your Exchange organization. The system uses these parameters when acting as a trust broker between your on-premises and Office 365 service organization to exchange free/busy information between on-premises and Exchange Online organization users.

 

A federation trust with the system is automatically configured for your Office 365 service organization when the account is created. The Hybrid Configuration wizard automatically checks to see if there is an existing federation trust with the Azure AD authentication system for the on-premises organization. If present, the existing federation trust is used to support the hybrid deployment. If not present, the wizard creates a federation trust for the on-premises organization with the Azure AD authentication system. The wizard also adds any domains selected within the Hybrid Configuration wizard to the on-premises organization federation trust.

 

온-프레미스 및 Office 365 서비스 조직 모두 Azure AD 인증 시스템으로 페더레이션 트러스트를 설정해야합니다. 페더레이션 트러스트는 Exchange 조직의 매개 변수를 정의하는 Azure AD 인증 시스템과 일대일 관계입니다. 시스템은 온-프레미스와 Exchange Online 조직 사용자간에 약속 있음 / 없음 정보를 교환하기 위해 온-프레미스와 Office 365 서비스 조직간에 트러스트 브로커 역할을 할 때 이러한 매개 변수를 사용합니다.

 

계정을 만들 때 시스템과의 페더레이션 트러스트가 Office 365 서비스 조직에 대해 자동으로 구성됩니다. 하이브리드 구성 마법사는 온-프레미스 조직의 Azure AD 인증 시스템에 기존 페더레이션 트러스트가 있는지 자동으로 확인합니다. 있는 경우 기존 페더레이션 트러스트를 사용하여 하이브리드 배포를 지원합니다. 없는 경우 마법사는 Azure AD 인증 시스템을 사용하여 온-프레미스 조직에 대한 페더레이션 트러스트를 만듭니다. 이 마법사는 하이브리드 구성 마법사에서 선택한 모든 도메인을 온-프레미스 조직 페더레이션 트러스트에 추가합니다.

 

Organization relationships: Organization relationships are needed for both the on-premises and Exchange Online organization and are configured automatically by the Hybrid Configuration wizard. An organization relationship defines the level of free/busy information shared for an organization.

 

By default, the free/busy data access sharing level is Free/busy access with time, plus subject and location for both the on-premises and Exchange Online organization relationships. If you want to modify the free/busy sharing access between your on-premises and Exchange Online organization users, you can manually configure the organization relationship access level after the Hybrid Configuration wizard has completed.

 

조직 관계는 온-프레미스 조직과 Exchange Online 조직 모두에 필요하며 하이브리드 구성 마법사에 의해 자동으로 구성됩니다. 조직 관계는 조직에 대해 공유 된 약속 있음 / 없음 정보의 수준을 정의합니다.

 

기본적으로 약속 있음 / 없음 데이터 액세스 공유 수준은 온-프레미스 및 Exchange Online 조직 관계에 대한 시간과 함께 약속 있음 / 없음 액세스와 제목 및 위치 입니다. 온-프레미스 및 Exchange Online 조직 사용자 간의 약속 있음 / 없음 공유 액세스를 수정하려는 경우 하이브리드 구성 마법사가 완료된 후 조직 관계 액세스 수준을 수동으로 구성 할 수 있습니다.

 

 

기존에 구성한 Hybrid 마법사가 Federation 인증서를 만들어주었기 때문에 추가 생성할 필요는 없습니다.


Get-Federationtrust 에서 ApplicationUri 체크하고 넘어갑니다. -이후에 나오는 OrganizationRelationship TargetApplicationUri 값입니다.


[Office 365 Exchange Tenant 구성]

 

반복적인 도메인 입력이 진행되므로 아래와 같이 변수 지정을 합니다.

$TenantName = "Tenantname.mail.onmicrosoft.com"

$DomainName = "SecondaryDomain.com"


Exchange Online Shell 접속하되, 명령어가 겹치기 때문에 Prefix Cloud 지정합니다. - 만약 MFA 사용하는 경우 Exchange Online Shell 별도 설치하여 접속합니다.

Ex) On-Premise: New-mailbox, Cloud: New-Cloudmailbox

$O365Credential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $O365Credential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking -Prefix Cloud


 

Enable-OrganizationCustomization

Microsoft 데이터 센터에서는 공간을 절약하기 위해 특정 개체가 통합됩니다. Exchange Online PowerShell 또는 Exchange 관리 센터를 사용하여 이러한 개체 중 하나를 처음 수정하면 Enable-OrganizationCustomization cmdlet을 실행하라는 오류 메시지가 표시 될 수 있습니다.

다음은이를 볼 수있는 몇 가지 예입니다.

  • 새 역할 그룹을 만들거나 새 관리 역할 할당을 만듭니다.
  • 새 역할 할당 정책을 만들거나 기본 제공 역할 할당 정책을 수정합니다.
  • 웹 사서함 정책에서 새 Outlook을 만들거나 웹 사서함 정책에서 기본 제공 Outlook을 수정합니다.
  • 새 공유 정책을 만들거나 내장 공유 정책을 수정합니다.
  • 새 보존 정책을 만들거나 기본 제공 보존 정책을 수정하십시오.

Exchange Online 조직에서 Enable-OrganizationCustomization cmdlet을 한 번만 실행하면됩니다. cmdlet을 다시 실행하려고하면 오류가 발생합니다.

 

Enable-CloudOrganizationCustomization 진행합니다. - 이미 적용되었다면, 아래와 같이 오류가 나타납니다.


사용자 지정을 활성화 하면 표준 tenant.onmicrosoft.com 주소 외에 tenant.mail.onmicrosoft.com 허용 도메인을 사용할 수 있습니다 . 하이브리드 스타일 라우팅 및 약속 있음 / 없음의 핵심입니다.

 

Get-FederatedDomainProof

Get-FederatedDomainProof cmdlet을 사용하면 Exchange 조직에서 페더레이션 공유에 사용되는 도메인에 대해 암호화 된 보안 문자열을 생성 할 수 있습니다.

Get-FederatedDomainProof -DomainName $DomainName


Proof 값을 External DNS TXT 레코드를 생성하여 입력합니다.


Console 상에서는 아래의 단계와 같습니다.


TXT 값이 DNS 전파가 완료되었다면 Add-FederatedDomain 진행합니다.

Add-FederatedDomain

Add-FederatedDomain cmdlet을 사용하면 Exchange 조직의 페더레이션 트러스트에 페더레이션 조직 식별자가 있는 보조 도메인을 구성 할 수 있습니다.

Add-FederatedDomain -DomainName SecondaryDomain.com


 

New-organizationrelationship

이 cmdlet은 온-프레미스 Exchange 및 클라우드 기반 서비스에서 사용할 수 있습니다. 일부 매개 변수 및 설정은 특정 환경에서만 사용할 수 있습니다.

 

New-OrganizationRelationship cmdlet을 사용하여 조직 관계를 만듭니다. 조직 관계는 외부 Exchange 조직에서 일정 약속 있음 / 없음 정보에 액세스하거나 하이브리드 배포의 일부로 온-프레미스 Exchange 서버와 Exchange Online간에 사서함을 이동하는 데 사용되는 설정을 정의합니다.

 

-TargetApplicationUri

The TargetApplicationUri parameter specifies the target Uniform Resource Identifier (URI) of the external organization. The TargetApplicationUri parameter is specified by Exchange when requesting a delegated token for the external organization to fetch free and busy information, for example, mail.contoso.com.

 

TargetApplicationUri 매개 변수는 외부 조직의 대상 URI (Uniform Resource Identifier)를 지정합니다. TargetApplicationUri 매개 변수는 외부 조직이 약속 있음 / 없음 정보 (예 : mail.contoso.com)를 가져 오도록 위임 된 토큰을 요청할 때 Exchange에서 지정합니다.

 

-TargetAutodiscoverEpr

The TargetAutodiscoverEpr parameter specifies the Autodiscover URL of Exchange Web Services for the external organization, for example, https://contoso.com/autodiscover/autodiscover.svc/wssecurity. Exchange uses the Autodiscover service to automatically detect the correct Exchange server endpoint to use for external requests.

 

TargetAutodiscoverEpr 매개 변수는 외부 조직에 대한 Exchange 웹 서비스의 자동 검색 URL (예 : https://contoso.com/autodiscover/autodiscover.svc/wssecurity) 을 지정 합니다. Exchange는 자동 검색 서비스를 사용하여 외부 요청에 사용할 올바른 Exchange 서버 끝점을 자동으로 검색합니다.

 

 

On-Premise OrganizationRelationship 생성

New-OrganizationRelationship -Name $TenantName -TargetApplicationUri 'outlook.com' -TargetAutodiscoverEpr "https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc/WSSecurity" -Enabled:$true -DomainNames $TenantName

Set-OrganizationRelationship -Identity $TenantName -MailboxMoveEnabled:$true -FreeBusyAccessEnabled:$true -FreeBusyAccessLevel 'LimitedDetails' -ArchiveAccessEnabled:$true -MailTipsAccessEnabled:$true -MailTipsAccessLevel 'All' -DeliveryReportEnabled:$true -TargetOwaURL "http://outlook.office365.com/owa/"


EXO OrganizationRelationship 생성

New-CloudOrganizationRelationship -Name "O365 to Hosted" -TargetApplicationUri "FYDIBOHF25SPDLT.adatum.kr" -TargetAutodiscoverEpr "https://mail.adatum.kr/autodiscover/autodiscover.svc/WSSecurity" -Enabled:$true -DomainNames $DomainName

Set-CloudOrganizationRelationship -Identity "O365 to Hosted" -FreeBusyAccessEnabled:$true -FreeBusyAccessLevel 'LimitedDetails' -MailTipsAccessEnabled:$true -MailTipsAccessLevel 'All' -DeliveryReportEnabled:$true -PhotosEnabled:$true

Set-CloudFederatedOrganizationIdentifier -DefaultDomain $TenantName -Enabled:$true


 

Set-FederatedOrganizationIdentifier

 

You must configure a federated organization identifier to create an account namespace for your Exchange organization with the Microsoft Federation Gateway and enable federation for the purpose of sharing calendars or contacts, accessing free/busy information across Exchange organizations and securing cross-premises email delivery using federated delivery. When you create a federation trust, a value for the AccountNamespace parameter is automatically created with the Microsoft Federation Gateway. The AccountNamespace parameter is a combination of a pre-defined string and the domain specified. For example, if you specify the federated domain contoso.com as the domain, "FYDIBOHF25SPDLT.contoso.com" is automatically created as the value for the AccountNamespace parameter. You can add and remove Additional domain names later by using the Add-FederatedDomain and Remove-FederatedDomain cmdlets.

 

You can temporarily disable federation by disabling the organization identifier.

 

Microsoft 페더레이션 게이트웨이를 사용하여 Exchange 조직의 계정 네임 스페이스를 만들고 페더레이션을 사용하여 약속 있음 / 없음 정보에 액세스하고 페더레이션을 사용하여 크로스-프레미스 전자 메일 배달을 보장하기 위해 페더레이션 조직 식별자를 구성해야 합니다. 배달. 페더레이션 트러스트를 만들면 AccountNamespace 매개 변수의 값이 Microsoft 페더레이션 게이트웨이를 사용하여 자동으로 만들어집니다. AccountNamespace 매개 변수는 사전 정의 된 문자열과 지정된 도메인의 조합입니다. 예를 들어 페더레이션 도메인 contoso.com을 도메인으로 지정하면 "FYDIBOHF25SPDLT.contoso.com"이 AccountNamespace 매개 변수의 값으로 자동 생성됩니다.

 

조직 식별자를 비활성화하여 페더레이션을 일시적으로 비활성화 할 수 있습니다.

 

On-premise 에서 Test-FederationTrust 명령어로 상태확인을 합니다.


Free/busy 올바르게 동작하는지 확인하기 위해서 계정에서 일정을 등록합니다.

 

002@fabrikam.kr (EXO)


003@fabrikam.kr (On-Prem)


각각의 계정에서 일정 열기를 진행합니다.


Address List 에서 추가


영문 버전에서는 아래와 같이 Busy 나타나며,


한글 버전에서는 약속 있음으로 표시됩니다.


서로의 EWS 정보에 액세스 할때, FreeBusyResponse 기록도 확인할 있습니다.




  1. 집돌이 2020.06.03 10:04

    잘보고 갑니다. 집에서 저도 공인아이피 주문하고 이런 테스트하려면 구성을 어떻게 해야 할까요?? 공유기와 hyper-v용 pc 정도만 있으면 될까요??

    • Pepuri 2020.06.04 16:28 신고

      공유기와 Hyper-V 용 PC 정도 있으면 됩니다.

      RAM 과 SSD의 디스크 용량은 많을 수록 좋습니다.

      기본적으로 대부분 자택에 공인IP가 들어오기때문에 주문할 필요는 없을 것으로 보이네요

+ Recent posts