Migracja Exchange Server z infrastruktury lokalnej do Microsoft 365 w modelu hybrydowym to najbezpieczniejsza i najbardziej elastyczna ścieżka przeniesienia firmowej poczty do chmury — umożliwia stopniowe przenoszenie skrzynek, współistnienie środowiska on-premise z Exchange Online oraz zachowanie pełnej kontroli nad przepływem poczty w trakcie całego procesu. W tym przewodniku wyjaśniamy każdy etap migracji hybrydowej: od wymagań wstępnych, przez uruchomienie kreatora HCW, aż po przenoszenie skrzynek i wycofanie lokalnych serwerów.
W skrócie
- Exchange 2016 i 2019 są poza wsparciem (out of support) — migracja do chmury lub na Exchange Server SE (Subscription Edition) jest koniecznością w 2026 roku
- Hybryda = współistnienie — część skrzynek zostaje na serwerze lokalnym, część w Exchange Online; poczta płynie między środowiskami jak wewnątrz jednej organizacji
- Kreator konfiguracji hybrydowej (HCW) automatyzuje większość zadań: tworzy łączniki, relacje organizacyjne, konfiguruje OAuth i routing poczty
- Remote move migration (zdalne przenoszenie skrzynek) pozwala przenosić skrzynki wsadowo z poziomu Exchange Admin Center — użytkownicy nie tracą dostępu do poczty
- Po zakończeniu migracji możesz wycofać lokalne serwery Exchange lub pozostawić jeden serwer do zarządzania atrybutami (tzw. last Exchange server)
- Proces wymaga: Exchange 2016 CU23+ lub 2019 CU14+, Microsoft Entra Connect, certyfikatu SSL od publicznego CA, domen zweryfikowanych w Microsoft 365
Dlaczego migracja hybrydowa, a nie inna?
Spośród dostępnych metod migracji do Exchange Online — cutover (przeniesienie wszystkich skrzynek naraz), staged (partiami, bez współistnienia), IMAP (tylko poczta) oraz third-party tools — wdrożenie hybrydowe daje największą kontrolę. Oto dlaczego:
| Cecha | Hybryda (Full Hybrid) | Cutover | Staged | IMAP |
|---|---|---|---|---|
| Współistnienie on-premise ↔ cloud | ✅ Tak | ❌ Nie | ❌ Nie | ❌ Nie |
| Przenoszenie kalendarzy, kontaktów, zadań | ✅ Tak | ✅ Tak | ✅ Tak | ❌ Tylko poczta |
| Routing poczty między środowiskami | ✅ Automatyczny | ❌ Ręczny | ❌ Ręczny | ❌ Brak |
| Free/busy między środowiskami | ✅ Tak | ❌ Nie | ❌ Nie | ❌ Nie |
| MailTips, śledzenie wiadomości | ✅ Tak | ❌ Nie | ❌ Nie | ❌ Nie |
| Archiwizacja w chmurze dla lokalnych skrzynek | ✅ Tak | ❌ Nie | ❌ Nie | ❌ Nie |
| Maksymalna liczba skrzynek | Bez limitu | Do 2000 | Bez limitu* | Bez limitu |
| Wymagany Exchange on-premise | Exchange 2016/2019 | Dowolny | Exchange 2007+ | Dowolny serwer IMAP |
| Delegowane uprawnienia do skrzynek | ✅ Zachowane | ⚠️ Ograniczone | ⚠️ Ograniczone | ❌ Nie |
Staged wymaga co najmniej Exchange 2010 SP2+ i działa partiami bez pełnej integracji.
Hybryda sprawdza się w organizacjach średnich i dużych (powyżej 150-200 skrzynek), gdzie nie można sobie pozwolić na wielogodzinną przerwę w działaniu poczty, a proces migracji musi być rozłożony na tygodnie lub miesiące.
Wymagania wstępne — co musisz przygotować
Zanim uruchomisz kreator HCW, musisz spełnić szereg wymagań technicznych. Poniższa tabela zbiera najważniejsze z nich:
| Obszar | Wymaganie |
|---|---|
| Wersja Exchange on-premise | Exchange 2016 CU23+ lub Exchange 2019 CU14+ z najnowszą poprawką zabezpieczającą (Security Update) |
| Licencje Microsoft 365 | Plan obsługujący synchronizację Entra: Business Standard/Premium, E3, E5; plany Home/Family nie obsługują hybrydy |
| Synchronizacja AD | Microsoft Entra Connect (Azure AD Connect) w wersji 2.x z włączoną synchronizacją haseł (PHS) lub federacją (AD FS) |
| Domeny | Wszystkie domeny SMTP używane w organizacji muszą być zweryfikowane w Microsoft 365 |
| Certyfikat SSL | Wystawiony przez publiczne CA (np. DigiCert, Sectigo); pole Subject Alternative Name musi zawierać nazwy: mail.twojadomena.pl, autodiscover.twojadomena.pl |
| Rekordy DNS | Autodiscover (CNAME) musi wskazywać na lokalny serwer Exchange przez cały czas trwania migracji |
| Firewall — porty inbound | TCP/25 (SMTP) z adresów Exchange Online, TCP/443 (HTTPS) z Exchange Online |
| Firewall — porty outbound | TCP/25 do Exchange Online, TCP/443 do Exchange Online + dostęp do list CRL (ctldl.windowsupdate.com) |
| Uprawnienia administratora | Global Administrator w Microsoft 365 + Organization Management w Exchange on-premise |
⚠️ Uwaga dotycząca Exchange 2016 i 2019: obie wersje są już poza wsparciem (out of support). Jeśli Twoja organizacja nie wykupiła programu Extended Security Updates (ESU), serwery nie otrzymują już aktualizacji zabezpieczeń. To dodatkowy argument za przyspieszeniem migracji. Dla organizacji, które muszą zachować serwer lokalny, Microsoft udostępnił Exchange Server SE (Subscription Edition) — wydany 1 lipca 2025 — jako następcę.
Krok 1: Przygotowanie środowiska i uruchomienie Entra Connect
Zacznij od synchronizacji Active Directory z Microsoft 365:
- Zainstaluj Microsoft Entra Connect na serwerze członkowskim domeny (nie na kontrolerze domeny, nie na Exchange).
- Wybierz opcję Password Hash Sync (PHS) — to najprostsza forma SSO do hybrydy. Użytkownicy logują się tym samym hasłem w chmurze i lokalnie.
- Skonfiguruj filtrowanie OU — zsynchronizuj tylko te jednostki organizacyjne, które zawierają użytkowników z mailboxami do migracji.
- Uruchom pierwszą pełną synchronizację (
Start-ADSyncSyncCycle -PolicyType Initial) i zweryfikuj, że użytkownicy pojawią się w Entra ID (portal.azure.com → Users).
Po poprawnej synchronizacji użytkownicy będą widoczni w Microsoft 365, a Ty możesz przypisać im licencje Exchange Online.
Krok 2: Weryfikacja domen i certyfikatów
Każda domena SMTP używana w organizacji (np. firma.pl, oddzial.firma.pl) musi być dodana i zweryfikowana w portalu Microsoft 365:
- Dodaj domenę w Microsoft 365 Admin Center → Ustawienia → Domeny → Dodaj domenę
- Potwierdź własność przez dodanie rekordu TXT do publicznego DNS
- Po weryfikacji nie zmieniaj jeszcze rekordu MX — poczta nadal ma trafiać na serwer lokalny
Równocześnie przygotuj certyfikat SSL: upewnij się, że jest zainstalowany na serwerze Exchange, a jego klucz prywatny jest dostępny. HCW automatycznie przypisze go do łącznika hybrydowego (send/receive connector). Do weryfikacji zewnętrznej łączności użyj narzędzia Microsoft Remote Connectivity Analyzer (testowa.microsoft.com → Exchange Server → Synchronizacja, powiadomienia itd.).
Krok 3: Uruchomienie Hybrid Configuration Wizard (HCW)
Kreator konfiguracji hybrydowej to aplikacja ClickOnce, którą pobierasz z https://aka.ms/hybridwizard. Uruchom ją bezpośrednio na serwerze Exchange (lub na komputerze domenowym z dostępem do Exchange PowerShell przez WinRM). Kreator poprowadzi Cię przez następujące decyzje:
- Wybór serwera Exchange — HCW automatycznie wykryje serwer; możesz wskazać ręcznie Exchange 2016/2019 Mailbox server.
- Logowanie — podaj dane administratora lokalnego Exchange i Global Admin Microsoft 365.
- Typ konfiguracji — wybierz Full Hybrid Configuration (nie Minimal Hybrid, chyba że migrujesz tylko kilkanaście skrzynek i nie potrzebujesz zaawansowanych funkcji). Zaznacz też Organization Configuration Transfer — przeniesie zasady zgodności, książki adresowe i reguły do Exchange Online.
- Domeny hybrydowe — wybierz domeny objęte hybrydą (wszystkie zweryfikowane).
- Topologia — zaznacz Exchange Classic Hybrid Topology (trzymasz część skrzynek lokalnie).
- Certyfikat — wskaż certyfikat SSL, który będzie używany do szyfrowania komunikacji SMTP między środowiskami.
- Organization FQDN — podaj zewnętrzną nazwę serwera (np.
mail.firma.pl).
HCW wykonuje następujące czynności automatycznie:
- Tworzy łączniki wysyłania/odbierania (send/receive connectors) między on-prem a Exchange Online
- Konfiguruje relację organizacyjną (organization relationship) dla współdzielenia kalendarzy, free/busy i MailTips
- Ustawia OAuth do uwierzytelniania między środowiskami
- Konfiguruje routing poczty — wiadomości między skrzynkami lokalnymi a chmurowymi są traktowane jako wewnętrzne
Po zakończeniu pracy kreatora (10-15 minut) zapisz plik logu z %ExchangeInstallPath%\Logging\Update-HybridConfiguration — przyda się do troubleshooting.
Krok 4: Testowanie połączenia hybrydowego
Zanim rozpoczniesz masową migrację, przetestuj hybrydę na docelowej skrzynce testowej:
- Utwórz skrzynkę testową on-premise i wykonaj remote move do Exchange Online:
New-MoveRequest -Identity testuser@firma.pl -Remote -RemoteHostName mail.firma.pl -TargetDeliveryDomain firma.mail.onmicrosoft.com - Sprawdź status:
Get-MoveRequest | Get-MoveRequestStatistics - Gdy status zmieni się na
Completed, wyślij wiadomość testową ze skrzynki w chmurze do skrzynki on-premise i odwrotnie. - Zweryfikuj działanie free/busy — sprawdź dostępność użytkownika testowego z poziomu Outlook/OWA w obu środowiskach.
Krok 5: Migracja skrzynek — partie migracyjne (migration batches)
Po pomyślnym teście możesz przejść do migracji właściwej przy użyciu partii migracyjnych (migration batches) w Exchange Admin Center (EAC):
- W EAC (Exchange Online) przejdź do Recipients → Migration → Add migration batch.
- Wybierz typ: Remote move migration.
- Wskaż użytkowników, których skrzynki chcesz przenieść — jako plik CSV lub wybierając z listy.
- Określ docelową bazę danych Exchange Online i domenę routingową (
.mail.onmicrosoft.com). - Ustaw opcję automatycznego rozpoczęcia partii (
AutoStart) i automatycznego zakończenia (AutoComplete), lub zdecyduj o ręcznym finalizowaniu każdej partii po jej zsynchronizowaniu.
Partia migracyjna działa w dwóch fazach:
- Synchronizacja wstępna — zawartość skrzynki jest kopiowana do Exchange Online; użytkownik normalnie pracuje na skrzynce lokalnej
- Finalizacja (completion) — ostatnia synchronizacja przyrostowa, skrzynka jest przełączana na Exchange Online, a Outlook automatycznie przekierowuje się do chmury (dzięki Autodiscover)
Kluczowa zasada: finalizuj partie poza godzinami pracy użytkowników — w trakcie finalnego przełączenia skrzynka jest niedostępna przez 5-30 minut w zależności od rozmiaru delty.
Krok 6: Przekierowanie rekordu MX i wycofanie serwera
Po przeniesieniu wszystkich skrzynek do Exchange Online:
- Przekieruj rekord MX — zmień w publicznym DNS, aby poczta z internetu trafiała bezpośrednio do Exchange Online (wartość docelowa:
twojadomena.mail.protection.outlook.com). - Odczekaj 48-72 godziny na propagację DNS — w tym czasie część poczty może nadal trafiać na serwer lokalny (przekieruje ją łącznik hybrydowy).
- Usuń łączniki hybrydowe — jeśli nie planujesz utrzymywać serwera lokalnego.
- Decyzja o serwerze Exchange on-premise: Microsoft zaleca pozostawienie jednego serwera Exchange (tzw. last Exchange server) do zarządzania atrybutami użytkowników, ale możesz skorzystać z Exchange Management Tools lub skryptów PowerShell bez pełnej instalacji Exchange Server. Od 2025 roku Microsoft rozważa oficjalne wsparcie dla scenariusza bez lokalnego Exchange — w 2026 roku trwają prace nad uproszczeniem zarządzania atrybutami bez konieczności utrzymywania serwera.
- Exchange Server SE — jeśli decydujesz się pozostać w hybrydzie długoterminowo, rozważ migrację z Exchange 2019 na Exchange Server Subscription Edition (SE), który otrzymuje regularne poprawki bezpieczeństwa.
Najczęstsze problemy i ich rozwiązania
"HCW nie może połączyć się z Exchange Online — błąd autoryzacji"
Sprawdź, czy konto Global Admin nie ma włączonego MFA (wieloskładnikowego uwierzytelniania) — starsze wersje HCW nie wspierają MFA. Od 2024 roku nowe wersje HCW obsługują Modern Authentication, ale zaleca się tymczasowe wyłączenie MFA na czas uruchomienia kreatora. Alternatywnie: użyj konta z przypisaną rolą Hybrid Identity Administrator.
"Skrzynki nie synchronizują się — Get-MoveRequest pokazuje błąd"
Najczęstsza przyczyna: problem z certyfikatem SSL na serwerze lokalnym. Uruchom Test-ExchangeServer i zweryfikuj, że certyfikat nie wygasł i zawiera prawidłowe SAN. Drugim częstym powodem jest brak dostępu do MRS Proxy — sprawdź, czy katalog wirtualny MRSProxy jest włączony:
Get-WebServicesVirtualDirectory | fl MRSProxyEnabled
Jeśli False, włącz: Set-WebServicesVirtualDirectory -Identity "Serwer\EWS (Default Web Site)" -MRSProxyEnabled $true
"Po przeniesieniu skrzynki Outlook prosi o nowy profil"
Użytkownik powinien zostać automatycznie przekierowany przez Autodiscover — jeśli tak się nie dzieje, sprawdź:
- Czy rekord Autodiscover w DNS nadal wskazuje na serwer on-premise? Tak ma być — dopóki istnieją lokalne skrzynki, Autodiscover wraca na on-prem, który następnie przekierowuje klienta do Exchange Online.
- Czy SCP (Service Connection Point) w Active Directory został zaktualizowany przez HCW?
"Wiadomości kierowane do użytkownika w chmurze nadal trafiają na serwer lokalny"
Najprawdopodobniej łącznik odbierający (inbound connector) został skonfigurowany, ale atrybut TargetAddress skrzynek nie został ustawiony prawidłowo. Sprawdź:
Get-MailUser <user> | fl TargetAddress, RemoteRoutingAddress
Atrybut RemoteRoutingAddress powinien zawierać adres w formacie alias@domena.mail.onmicrosoft.com.
"Public Folders nie są dostępne po migracji"
Foldery publiczne w hybrydzie wymagają osobnego procesu migracji. Jeśli korzystasz z Exchange 2016/2019, foldery publiczne muszą zostać zmigrowane partiami przy użyciu skryptów Migrate-PublicFolderMailboxes.ps1. Proces jest dwuetapowy: najpierw przenosisz hierarchię i dane do skrzynek folderów publicznych w Exchange Online, potem weryfikujesz dostęp klientów.
Częste pytania
Czy migracja hybrydowa jest obowiązkowa przy przejściu do Microsoft 365?
Nie. Hybryda to jedna z czterech dostępnych metod migracji. Jeśli Twoja organizacja ma mniej niż 150-200 skrzynek i możesz zaplanować weekendową migrację, rozważ cutover migration — przenosisz wszystkie skrzynki naraz, nie musisz konfigurować hybrydy. Hybryda jest zalecana, gdy potrzebujesz rozłożyć migrację w czasie lub zachować część infrastruktury lokalnej.
Jaka jest różnica między Full Hybrid a Minimal Hybrid?
Full Hybrid zapewnia pełną integrację: free/busy, MailTips, śledzenie wiadomości, archiwa w chmurze dla lokalnych skrzynek oraz transfer zasad organizacyjnych. Minimal Hybrid konfiguruje tylko podstawowy routing poczty i przenoszenie skrzynek — jest szybsza w konfiguracji, ale nie oferuje zaawansowanych funkcji współistnienia. Minimal Hybrid jest odpowiednia, gdy planujesz szybką migrację i nie potrzebujesz współdzielenia kalendarzy między środowiskami.
Czy mogę uruchomić hybrydę z Exchange 2010?
Exchange 2010 zakończył wsparcie w 2020 roku i oficjalnie nie jest wspierany w nowych wdrożeniach hybrydowych w 2026. Jeśli nadal korzystasz z Exchange 2010, Microsoft zaleca wprowadzenie serwera Exchange 2016 jako punktu końcowego hybrydy, migrację wszystkich skrzynek 2010 do Exchange Online, a następnie usunięcie Exchange 2010.
Jak długo trwa migracja skrzynki?
Czas migracji zależy od rozmiaru skrzynki i liczby elementów. Szacunkowo Exchange Online przetwarza około 5-10 GB na godzinę w początkowej synchronizacji. Skrzynka o rozmiarze 10 GB z kilkunastoma tysiącami elementów migruje około 2-4 godzin. Dla dużych skrzynek (>50 GB) Microsoft zaleca wcześniejsze włączenie archiwizacji lub oczyszczenie niepotrzebnych elementów.
Czy potrzebuję certyfikatu SSL od publicznego CA?
Tak — certyfikat self-signed nie zadziała w konfiguracji hybrydowej. Exchange Online musi ufać certyfikatowi używanemu do komunikacji z Twoją organizacją. Certyfikat musi być wystawiony przez publiczne centrum certyfikacji (DigiCert, Sectigo, GlobalSign) i zawierać w polu SAN nazwy serwera Exchange (np. mail.firma.pl, autodiscover.firma.pl).
Czy po migracji wszystkich skrzynek do chmury mogę całkowicie wyłączyć serwer Exchange?
Technicznie tak — możesz wyłączyć ostatni serwer Exchange. Jednak zarządzanie atrybutami użytkowników (takimi jak adresy proxy, aliasy SMTP, atrybuty mail i proxyAddresses) stanie się trudniejsze, ponieważ są zapisywane w lokalnym Active Directory i synchronizowane przez Entra Connect. Microsoft pracuje nad oficjalnym wsparciem dla scenariusza bez serwera Exchange, ale na połowę 2026 roku wciąż wymaga ręcznego zarządzania przez ADSI Edit lub PowerShell bez wsparcia GUI. Alternatywą jest wdrożenie Exchange Server SE w minimalnej roli zarządczej.
Jakie koszty wiążą się z utrzymaniem hybrydy?
Sama konfiguracja hybrydowa nie generuje dodatkowych kosztów po stronie Microsoft 365 — płacisz standardowo za licencje Exchange Online. Po stronie on-premise ponosisz koszty utrzymania serwera (sprzęt/wirtualizacja), certyfikatu SSL (~200-500 zł rocznie, w zależności od dostawcy) oraz ewentualnie licencji Windows Server. Jeśli przechodzisz na Exchange Server SE, potrzebujesz aktywnej subskrypcji — Microsoft nie udostępnił jeszcze szczegółowego cennika SE na małe i średnie organizacje, ale szacuje się model podobny do licencjonowania Windows Server (per-core).
Gotowy na migrację? Potrzebujesz tylko licencji Microsoft 365
Migracja hybrydowa Exchange Server do Microsoft 365 to sprawdzony proces, który przy odpowiednim przygotowaniu przebiega płynnie i bez utraty dostępu do poczty dla użytkowników. Kluczowe elementy sukcesu to spełnienie wymagań wstępnych, poprawne skonfigurowanie Entra Connect i certyfikatów oraz cierpliwość przy przenoszeniu skrzynek partiami.
Jeśli szukasz korzystnych cenowo licencji Microsoft 365 dla swojej organizacji, sprawdź ofertę legalnych kluczy Microsoft 365 Business Standard i Premium w sklepie KluczeSoft:
→ Microsoft 365 Business Standard — legalne licencje od ręki → Microsoft 365 Business Premium — z zaawansowaną ochroną i Intune
KluczeSoft oferuje licencje resale/second-hand, w pełni legalne na terenie Unii Europejskiej zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie UsedSoft (C-128/11). Aktywujesz je bezpośrednio w Microsoft 365 i przechodzisz przez proces migracji z pełnym wsparciem Microsoft.
KluczeSoft jest niezależnym sprzedawcą oprogramowania i nie jest powiązany z Microsoft Corporation. Microsoft, Exchange, Microsoft 365, Windows i Office są znakami towarowymi Microsoft Corporation.