A nuvem em seus termos (PARTE II): Gerenciamento híbrido
Artigo original publicado na sexta-feira, 21 de setembro de 2012
Uma breve história de gerenciamento híbrido
O lançamento do Exchange Server 2010 trouxe com ele um novo serviço baseado em nuvem revolucionário que todos conhecemos hoje como Exchange Online for Office 365. No início, a nuvem perdeu muito tempo e energia para a migração rápida de dados do usuário e organização com algum foco na implantação e suporte de coexistência entre a implantação do Exchange Enterprise local com um inquilino baseado na Web. No entanto, para organizações maiores (LORGs), o forte feedback foi que além de migrar dados com eficiência, há uma grande necessidade de suportar mais um estado mais longo de coexistência na nuvem e local. As LORGs falaram e solicitaram uma experiência de gerenciamento sem compromisso de alta fidelidade para caixas de correio baseadas localmente ou na nuvem.
O Exchange Server 2010 foi o primeiro a fornecer uma solução de coexistência cruzada do Exchange Online mais local estendendo a funcionalidade oferecida pelo Console de Gerenciamento do Exchange (EMC). O EMC é um cliente baseado em MMC do Windows originalmente criado para gerenciar implantações de grande escala para servidores empresariais que posteriormente evoluíram para o console do Exchange Server que chamamos hoje simplesmente de “híbrido”. O EMC facilitou a migração de dados eficaz para a nuvem (Office 365), sabendo que o gerenciamento de destinatário entre locais incluindo a edição em lote e o gerenciamento facilitado da maioria das políticas e objetos a nível organizacional.
O EMC é geralmente usado em servidores x64 individuais hospedando as funções do Exchange Server ou separadamente em estações de trabalho através da instalação "Apenas das ferramentas de gerenciamento". É uma ferramenta de gerenciamento apenas do Windows que significa que depende de serviços locais como o WinRM para se comunicar com servidores remotos através do protocolo PowerShell.
Figura 1: Gerenciamento híbrido com o Exchange Server 2010
Para gerenciamento híbrido, o EMC oferece aos administradores a capacidade de adicionar uma segunda "árvore" para o painel de console para poder exibir todos os destinatários, realizar migrações de caixas de correio e gerenciar objetos organizacionais relacionados ao inquilino do Exchange Online. Uma implantação apenas do Exchange Online não precisa aplicar o EMC para gerenciamento, ao invés disso, o console do “Painel de Controle do Exchange” (ECP) simplificado é usado que também é novo no Exchange Server 2010.
Portanto, o que é híbrido?
Híbrido não deve ser imaginado como uma oferta exclusiva do próprio um servidor do Exchange, mas, ao invés disso, como um estado de coexistência que implica em um servidor local interagindo em cooperação com um serviço baseado na Internet. O conceito de híbrido não é exclusivo para a linha de produto do Exchange e pode ser encontrado em uma ampla família dos servidores do Microsoft Office como o SharePoint e Lync.
Em caso de um Exchange híbrido, geralmente implica um conjunto de caixas de correio e políticas distribuído localmente e no Office 365 para agir como uma organização “virtual”. Nas entradas da publicação anteriores na implantação e configuração híbrida, você aprendeu que da perspectiva de duas premissas, este estado de coexistência é exibido como uma implantação interna, por exemplo, certificados adicionados automaticamente durante fluxo de email entre locais dos inquilinos do Office 365 para destinatários locais resultando no email entregue sendo confiado como originado dentro da própria organização embora chegue realmente pela Internet usando conectores de email híbridos exclusivos.
Existem várias possibilidades e formas de organizar destinatários entre o serviço do Office 365 e local para se adequar às necessidades da sua organização. Por exemplo, uma organização pode planejar mover 100% de seus destinatários locais para o inquilino dentro de dois anos, outro irá optar adicionar todas as suas caixas de correio de sala de recursos ao inquilino do Office 365 imediatamente enquanto outro escolhe usar seu inquilino online para hospedar com segurança suas caixas de correio de arquivo online. O ponto é que estamos oferecendo flexibilidade com híbrido projetado para atender às necessidades dos seus negócios.
Introduzindo o gerenciamento híbrido para o novo Exchange
Este blog continua onde “Nuvem em seus termos – Parte I” parou focalizando principalmente no "estado imutável" do gerenciamento híbrido particularmente sobre os cenários mais comuns.
Para fins desta publicação, assumimos que estes pré-requisitos já foram satisfeitos:
- Pelo menos uma função do Servidor de Acesso do Cliente do Exchange Server 2013 (CAS15) e Servidor de Caixa de Correio (MBX15) foi instalada. Um de cada tipo separadamente ou ambos residindo em um único servidor, por exemplo, em um ambiente de interoperabilidade com uma versão anterior da edição do Exchange Server.
- A versão do inquilino do Office 365 deve ser 15.0.000.0 ou superior para configurar uma implantação híbrida com o Exchange Server 2013. Consulte o site do Office 365 para obter mais detalhes sobre o licenciamento e preço dos planos.
- Você habilitou a coexistência através do portal de administração do Office 365 e realizado todas as outras etapas de pré-requisitoconforme observado incluindo a comprovação de propriedade de domínio de coexistência.
- Você terá acesso às credenciais da Conta da Microsoft “administrador do inquilino” que são necessárias para acessar o inquilino do Office 365.
- Todas as dependências locais estão no local, por exemplo, Sincronização do Active Directory instalada.
- O assistente de Configuração Híbrida foi executado com sucesso. Isto pode ter sido incluído atualizando suas definições de Configuração Híbrida anterior se você já estava usando o híbrido com o Exchange 2010 e Office 365.
- Você não está usando a conta de destinatário de "administrador" integrada. Leia para obter detalhes sobre por que isto não é suportado para gerenciamento híbrido.
Figura 2: Assistente de Configuração Híbrida para o novo Exchange como revisado em um publicação anterior de Ben Appleby
O novo console híbrido do Centro de Administração do Exchange
Para começar as coisas, aqui está um guia anotado para o novo console de gerenciamento híbrido através do Centro do Administrador do Exchange (EAC) para o novo Exchange:
A) Pivôs “ENTERPRISE” e “OFFICE 365” – use para trocar entre sua implantação local e seu inquilino do Office 365 online
B) Uma única lista central consolidada onde todas suas notificações aparecerão independente de onde elas originaram ou qual pivô você usou atualmente, por exemplo, para rastrear migrações de caixa de correio do local para Office 365.
C) Uma única exibição de lista contendo todos os destinatários para ambos os locais
D) “Painel detalhes” para caixas de correio (Office 365) hospedadas remotamente
E) Ponto de entrada de migração de caixa de correio através da guia de navegação
Novidades no gerenciamento híbrido para Exchange
A filosofia híbrida para o novo Exchange é muito simples: para fornecer à você, o administrador, um único console familiar que você pode usar basicamente de qualquer local para gerenciar todas suas organizações entre locais.
Aqui está uma breve lista das novidades:
1) Estamos obtendo vantagem de ter o novo console baseado na Web cheio de recursos para administradores do Exchange, o que significa menor custo de manutenção exigido para manter as instalações de "Ferramentas de Gerenciamento" híbridas atualizadas. Atualizar apenas seus servidores de Caixa de Correio do Exchange Server 2013 manterá todos seus administradores do EAC atualizados.
2) Dependendo da configuração de segurança do ECP (o nome do protocolo para EAC) no diretório virtual IIS nos servidores de Caixa de Correio, é possível escolher permitir o acesso de administrador interno e externo ou apenas interno para máquinas com domínio.
3) De uma guia do navegador, é possível controlar todos seus destinatários e objetos organizacionais (por exemplo, listas de endereço e políticas).
4) Um único conjunto consolidado de Notificações do Exchange entre todos os locais.
5) Suporte para o Single Sign-On através do ADFS 2.0 – haverão futuros tópicos apresentados assim que possível para implantar e gerenciar o Single Sign On. Para obter mais informações em preparar para usar o Single Sign-On está disponível no Office 365.
Figura 4: Módulo de Single Sign-On ADFS para modo híbrido
6) Gerenciar “Outro usuário…” entre locais – para realizar um cenário de help-desk como a configuração de mensagem de indisponibilidade em nome de outro usuário em férias, basta usar a opção “Outro usuário…” próximo ao seu Nome de Exibição no canto superior direito do console para exibir uma lista completa de destinatários em todos os locais.
Figura 5: Gerenciando "Outro usuário ..." mesclado na exibição de Destinatários
Comece a usar o modo de gerenciamento híbrido para o Exchange Server 2013
Se você já executou o assistente de Configuração Híbrida (HCW) ou cmdlet Update-HybridConfiguration diretamente no PowerShell, você já está pronto para usar o modo híbrido EAC. De fato, da guia “Híbrido” no EAC ao clicar em “habilitar”, você será solicitado pelas suas credenciais de Conta da Microsoft e após seu inquilino ser encontrado, você será enviado diretamente de volta para o EAC, mas desta vez executando no modo híbrido.
Posteriormente, não há nada especial que precisa ser realizado para entrar no modo híbrido após executar o HCW com sucesso. Isto ocorre porque além de habilitar os principais cenários como os serviços de fluxo de email e compartilhamento de dados (chamado disponibilidade), o assistente cria artefatos que, quando presentes, irão habilitar automaticamente o modo híbrido para EAC. Especificamente, Update-HybridConfiguration (via HCW) irá criar um objeto Remote-Domain especial que, quando o EAC detecta uma propriedade –TargetDeliveryDomain (TDD), irá iniciar o modo híbrido EAC automaticamente.
Uma das maiores diferenças que você irá observar ao usar o modo híbrido é que ao clicar na guia “Office 365”, irá solicitar o login em seu inquilino online através da sua Conta da Microsoft ou credenciais ADFS. Observe que por motivos de desempenho, o EAC armazena em cache se deve usar o modo híbrido para evitar a verificação em cada login (o estado de cache é atualizado automaticamente a cada 30 minutos). Se você criou manualmente um Domínio Remoto com um TDD e precisa imediatamente iniciar a usar o modo híbrido, você deve reiniciar o IIS em seus servidores de Caixa de Correio do Exchange Server 2013.
Figura 6: Ponto de entrada do assistente de Configuração Híbrida
Gerenciamento híbrido em uma implantação de interoperabilidade local
Há alguns pontos a considerar durante o gerenciamento Híbrido em um ambiente de interoperabilidade local onde os servidores do Exchange 2010 e/ou Exchange 2007 existem.
Em uma implantação de interoperabilidade, saiba que há uma funcionalidade adicionada que você deve usar com o URI utilizado para acessar sua implantação ao fazer o login, se sua caixa de correio de administrador não está no novo Exchange. Estas chaves de URI não serão adicionadas por padrão na maioria dos casos, mas permaneça atento para mais informações em futuros lançamentos que podem possuir links pré-integrados. Recomendamos marcar as URIs com qualquer emparelhamento de chave/valor necessário para fácil referência.
| Recurso de Interoperabilidade | Observações |
|---|---|
Se sua caixa de correio de administração ainda não foi migrada para o novo Exchange, você deve usar a chave/valor “ExchClientVer=15” para garantir que você foi roteado para um servidor de Caixa de Correio do Exchange Server 2013 e não para aquela onde seu repositório de caixa de correio reside.
Isto é aplicado às contas de “Usuário de Email” que não possui repositórios.
Por exemplo: https://contoso.com /ecp?ExchClientVer=15 |
Isto é aplicado apenas ao gerenciamento local. Os servidores de Acesso do Cliente do Exchange Server 2013 irão ser direcionados por padrão para um servidor de Caixa de Correio baseado na mesma versão da caixa de correio vinculada às credenciais. Isto também é aplicado aos “Usuários de Email”, pois embora eles não tenham um repositório de caixa de correio, eles contêm uma referência para a caixa de correio SYSTEM onde foram criados pela primeira vez, a não ser que tenham sido migrados anteriormente. Ao instalar o Exchange Server 2013 local na etapa final do instalador, você encontrará um link que adiciona “ExchClientVer=15” automaticamente para ajudar você a navegar facilmente para o EAC. |
Use “cross=1” como uma dica para usar o modo de autenticação ADFS para Single Sign-On
Por exemplo: https://contoso.com /ecp?ExchClientVer=15&cross=1 |
Os módulos de autenticação de protocolo OWA e ECP compartilhados exige uma dica para usar o modo ADFS. Observe que o diretório virtual do Outlook Web App atualmente não suporta o método de autenticação ADFS. |
Lembre-se de que o uso da conta “administrador” integrada no Exchange Server não deve ser usada com o gerenciamento híbrido:
Tentar usar a conta “administrador” para single sign-on (SSO) via ADFS não permitirá gerenciar o lado do “Office 365” de uma implantação híbrida |
Esta prática recomendada é aplicada aos ambientes de interoperabilidade e não interoperabilidade.
A conta do “administrador” integrada para Exchange não é sincronizada entre o inquilino local e seu Office 365 através da Sincronização de Diretório do Microsoft Online (“DirSync”)
Se você tentar usar “administrador” para gerenciar o lado do inquilino híbrido, você verá um erro do ADFS porque não há conta de “Usuário de Email” correspondente no Office 365.
O usuário “administrador” não está sincronizado após as regras de Sincronização de Diretório como observa-se: isCriticalSystemObject = TRUE em suas propriedades do objeto. |
Gerenciando seus destinatários no modo híbrido
Uma lista completa de todos os destinatários está disponível no pivô “ENTERPRISE” na guia “caixas de correio”. Existem alguns itens que devem ser verificados ao criar e gerenciar novos destinatários no modo híbrido.
A regra simples para seguir ao provisionar e modificar qualquer destinatário com híbrido é sempre usar o lado do “ENTERPRISE” local. Isto ocorre devido à principalmente a natureza de sincronização de uma via dos serviços de Sincronização de Diretório MSO e garante que o inquilino e local possuem as mesmas cópias de todos os detalhes do Active Directory do destinatário.
Figura 7: Caixas de correio locais observadas como Usuários de Email em um inquilino do Office 365
| Tipo de Destinatário | Observações |
|---|---|
| Caixas de correio do usuário local | Criar como normal do pivô “ENTERPRISE”. Elas serão sincronizadas para o inquilino e podem ser verificadas como sincronizadas exibindo a guia “contatos” no “Office 365” – veja a figura acima – onde foram criadas como "Usuários de Email" dentro do inquilino. Com estes usuários refletidos online como "Usuários de Email", uma Lista de Endereço Global (GAL) completa pode ser compilada. |
| Usuário com caixa de correio primária local e caixa de correio de arquivo no inquilino do Office 365 | Caixas de correio de arquivo para caixas de correio primárias locais podem ser criadas inicialmente no inquilino - veja figura abaixo - ou migrado do local. |
| Usuário com caixa de correio primária do Office 365 | Refletido como uma caixa de correio do “Office 365” no lado “ENTERPRISE”. Objetos remotos que correspondem ao resultado do cmdlet Get-Mailbox “RecipientTypeDetails” quando exibido no PowerShell, são semelhante aos Usuários de Email com um parâmetro especial adicionado (especialmente RemoteRoutingAddress) que instrui a Sincronização de Diretório do Microsoft Online a sincronizar este Usuário de Email para o inquilino do Office 365. |
| Contatos de Email e Grupos de Distribuição | Estes tipos de objeto irão sincronizar automaticamente para o lado do Office 365 e reside no mesmo local em ambos os lados. Atualmente, os grupos locais com mais de 15.000 membros são filtrados (não sincronizados) pelo serviço de sincronização de diretório. |
Provisionando novas caixas de correio no Office 365
Para provisionar uma nova caixa de correio do Office 365 no modo híbrido, comece na guia "caixa de correio" local e selecione o tipo de caixa de correio “Office 365” na lista suspensa do novo ícone. Criar uma nova caixa de correio em seu inquilino pode impactar suas licenças do cliente disponíveis – exibir licenças disponíveis e planos do portal do Office 365 usando suas credenciais de Conta da Microsoft.
Figura 8: Criando uma caixa de correio do Office 365
Você irá observar que no lado do serviço do “Office 365” não há opção para criar uma caixa de correio pelo EAC no modo híbrido. Isto garante que todas as novas caixas de correio sejam provisionadas do lado local para cópias de destinatário completa. Pode ser possível provisionar diretamente uma nova caixa de correio do Office 365 diretamente do Portal do Office 365, mas isto não deve ser usado em implantações Híbridas pois esta caixa de correio não serão "sincronizadas de volta" do Office 365 para local e podem ocorrer problemas de fluxo de email.
Modificar destinatários também não é recomendado ou permitido no modo híbrido do lado do “Office 365” pois isto resultaria no destinatário sendo desatualizado em um lado da implantação entre locais. De fato, esta operação é bloqueada pelas regras de validação de tempo de execução RBAC para evitar divergência de cópias (veja a mensagem de erro abaixo).
Figura 9: Editar para destinatário no lado do serviço bloqueado para evitar divergência
Muito mais em breve!
Esperamos que você esteja animado como nós sobre o novo modo híbrido para o Centro de Administração do Exchange! Procure por mais artigos abordando assuntos como Migração, Single Sign-On via ADFS e depuração para híbrido em breve.
Warren Johnson
Esta é uma publicação traduzida. Encontre o artigo original em A nuvem em seus termos (PARTE II): Gerenciamento híbrido