Le nuage à vos conditions (PARTIE II) : Gestion hybride
Article original publié le vendredi 21 septembre 2012
Une brève histoire de la gestion hybride
La parution d’Exchange Server 2010 a mis à notre disposition un nouveau service en nuage révolutionnaire que nous connaissons tous aujourd’hui sous le nom de Exchange Online pour Office 365. Dans les premiers jours du nuage, beaucoup de temps et d’énergie était consacré à la migration rapide des données utilisateur et organisationnelles sans négliger le déploiement et la prise en charge de la coexistence entre un déploiement d’entreprise Exchange local et un client basé sur le web. Toutefois, pour les organisations de plus grande taille (LORG), le feedback des utilisateurs indiquait qu’en plus de l’efficacité de la migration des données, le besoin était également grand d’assurer une prise en charge de plus longue durée de la coexistence entre le local et le nuage. Les LORG ont parlé et ont exigé une expérience de gestion de haute fidélité sans compromis pour les boîtes aux lettres locales ou sur le nuage.
Exchange Server 2010 fut le premier à offrir une solution de coexistence intersite entre local et Exchange Online en étendant la fonctionnalité existante fournie par la console de gestion Exchange (EMC). EMC est un client basé sur Windows MMC orienté à l’origine vers le déploiement à grande échelle de serveurs d’entreprise qui ont ensuite évolué de fait en la console Exchange Server que nous connaissons aujourd’hui sous l’appellation d’« hybride ». EMC facilitait la migration de données efficace vers le nuage (Office 365), assurait la gestion des destinataires intersite y compris la modification en masse en facilitant la gestion de la plupart des stratégies et objets au niveau organisationnel.
La console EMC est généralement utilisée sur des serveurs x64 individuels qui hébergent des rôles Exchange Server ou séparément sur des stations de travail via l’installation « Outils de gestion uniquement ». Il s’agit d’un outil de gestion Windows uniquement ce qui signifie qu’il dépend de services locaux comme WinRM pour communiquer avec des serveurs distants via le protocole PowerShell.
Figure 1 : Gestion hybride avec Exchange Server 2010
Pour la gestion hybride, la console EMC permet aux administrateurs d’ajouter une deuxième « arborescence » au volet de la console pour voir tous les destinataires, effectuer des migrations de boîtes aux lettres et gérer des objets organisationnels liés au client Exchange Online. Un déploiement exclusivement Exchange Online n’a pas besoin d’appliquer la console EMC pour la gestion. À la place, c’est la console ECP (Panneau de configuration Exchange) simplifiée, qui était nouvelle dans Exchange Server 2010, qui est utilisée.
Hybride, c’est quoi ?
Hybride ne doit pas être considéré comme une offre unique d’un serveur Exchange, mais plutôt comme un état de coexistence qui implique qu’un serveur local interagit en coopération avec un service basé sur Internet. Le concept d’hybride n’est pas unique à la gamme de produits Exchange et peut se trouver également au sein de la famille plus vaste de serveurs Microsoft Office tels que SharePoint et Lync.
Dans le cas d’Exchange, hybride implique en règle générale un ensemble de boîtes aux lettres et de stratégies réparties entre localement et Office 365 agissant comme une organisation « virtuelle ». Dans des entrées de blog précédentes sur la configuration et le déploiement hybride, vous avez appris que du point de vue des deux sites, cet état de coexistence est vu comme un déploiement interne. Ainsi, les certificats sont ajoutés automatiquement dans le flux de messagerie intersite entre les clients Office 365 et les destinataires locaux de sorte que le courrier livré est considéré comme ayant son origine au sein de l’organisation bien qu’il provienne en réalité d’Internet via des connecteurs de messagerie hybrides dédiés.
Il existe de nombreuses possibilités et permutations de la manière d’organiser les destinataires entre les locaux et le service Office 365 en fonction des besoins de votre organisation. Par exemple, une organisation peut prévoir de déplacer 100% de ses destinataires locaux vers le client d’ici deux ans, une autre choisira d’ajouter immédiatement toutes ses boîtes aux lettres de salle de ressources dans son client Office 365 tandis qu’un troisième choisira d’utiliser son client en ligne pour héberger en sécurité ses archives de boîtes aux lettres en ligne. Comme vous le constatez, hybride offre la flexibilité nécessaire pour s’adapter à vos besoins.
Présentation de la gestion hybride pour le nouvel Exchange
Ce billet de blog reprend la conversation à l’endroit où « Le nuage à vos conditions (PARTIE I) : Déploiement hybride » l’avait laissée, en s’intéressant surtout à l’« état de stabilité » de la gestion hybride, notamment dans les scénarios les plus communs.
Pour les besoins de ce billet, nous allons partir du principe que ces pré-requis ont été satisfaits :
- Au moins un rôle de serveur d’accès au client Exchange Server 2013 (CAS15) et de serveur de boîtes aux lettres (MBX15) a été installé. Un de chaque type séparément ou les deux résidant sur le même serveur, par exemple dans un environnement d’interopérabilité avec une version antérieure d’Exchange Server.
- Le client Office 365 doit avoir la version 15.0.000.0 ou supérieure pour configurer un déploiement hybride avec Exchange Server 2013. Consultez le site Office 365 pour connaître les détails les plus récents sur les programmes de licences et de tarifs.
- Vous avez activé la coexistence via le portail d’administration Office 365 et effectué toutes les autres étapes pré-requises, y compris celle consistant à prouver que le domaine de coexistence vous appartient.
- Vous avez accès aux informations d’identification de compte Microsoft d’« administrateur de client » qui sont nécessaires pour accéder au client Office 365.
- Toutes les dépendances locales sont en place, par exemple, la synchronisation Active Directory est installée.
- L’Assistant de configuration hybride a été exécuté avec succès. Cela peut inclure de mettre à niveau vos paramètres de configuration hybride précédents si vous utilisiez déjà hybride avec Exchange 2010 et Office 365.
- Vous n’utilisez pas le compte de destinataire « administrateur » intégré. Poursuivez la lecture pour des détails expliquant pourquoi cela n’est pas autorisé pour la gestion hybride.
Figure 2 : Assistant de configuration hybride pour le nouvel Exchange tel que présenté dans un billet précédent de Ben Appleby
La nouvelle console hybride du Centre d’administration Exchange
Pour commencer, voici un guide annoté de la nouvelle console de gestion hybride via le Centre d’administration Exchange (EAC) pour le nouvel Exchange :
A) Pivots « Entreprise » et « Office 365 » – utilisez-les pour basculer entre votre déploiement local et votre client Office 365 en ligne
B) Liste centrale consolidée unique où toutes vos notifications apparaissent quelle que soit leur origine ou quel que soit le pivot actuellement utilisé par exemple pour suivre les migrations de boîtes aux lettres entre déploiement local et Office 365.
C) Liste unique contenant tous les destinataires des deux sites
D) « Volet Détails » pour boîtes aux lettres hébergées (Office 365) distantes
E) Point d’entrée de migration des boîtes aux lettres via l’onglet de navigation
Nouveautés dans la gestion hybride pour Exchange
La philosophie d’hybride pour le nouvel Exchange est extrêmement simple : vous fournir à vous, l’administrateur, une console familière que vous pouvez utiliser depuis presque n’importe où pour gérer votre organisation intersite.
Courte liste des nouveautés :
1) Nous profitons d’une nouvelle console basée sur navigateur pour administrateurs Exchange avec l’ensemble de ses fonctionnalités, pour réduire les coûts de maintenance nécessaires pour conserver les installations d’outils de gestion hybrides à jour. Mettre à jour vos serveurs de boîtes aux lettres Exchange Server 2013 suffit pour garder l’ensemble de vos administrateurs EAC à jour.
2) Suivant la configuration de la sécurité du répertoire virtuel IIS de l’ECP (le nom de protocole de l’EAC) sur les serveurs de boîtes aux lettres, vous pouvez choisir de permettre l’accès administrateur à la fois externe et interne ou uniquement interne pour les ordinateurs joints au domaine.
3) Depuis un onglet de navigateur vous pouvez contrôler l’ensemble de vos destinataires et objets organisationnels (par exemple, les listes d’adresses et les stratégies).
4) Un seul jeu consolidé de notifications Exchange pour tous les sites.
5) Prise en charge de l’authentification unique via ADFS 2.0 – de prochaines rubriques seront bientôt consacrées au déploiement et à la gestion de l’authentification unique. Vous trouverez des informations supplémentaires sur la préparation à l’utilisation de l’authentification unique sur Office 365.
Figure 4 : Module d’authentification unique ADFS pour mode Hybride
6) Gérer « Un autre utilisateur… » sur plusieurs sites – pour réaliser un scénario de support technique tel que paramétrer le message d’absence du bureau pour le compte d’un autre utilisateur en congé, il vous suffit d’utiliser l’option « Un autre utilisateur… » en regard de votre nom complet dans le coin supérieur droit de la console pour afficher la liste complète de tous les destinataires, sur tous les sites.
Figure 5 : Gérer la vue Destinataires fusionnée « Un autre utilisateur ... »
Commencer à utiliser le mode de gestion hybride pour Exchange Server 2013
Si vous avez déjà exécuté l’Assistant de configuration hybride (HCW) ou l’applet de commande Update-HybridConfiguration directement dans PowerShell, alors vous êtes en train d’utiliser le mode hybride d’EAC. En fait, dans l’onglet « Hybride » de l’EAC, dès que vous cliquez sur « activer », vous êtes invité à fournir vos informations d’identification de compte Microsoft et lorsque votre client est trouvé, vous êtes renvoyé à l’EAC mais cette fois-ci, vous êtes en mode hybride.
Ensuite, vous n’avez rien de spécial à faire pour accéder au mode hybride lorsque l’Assistant HCW s’est exécuté avec succès. La raison en est qu’en plus d’activer des scénarios clés tels que les services de flux de messagerie et de partage des données (de type libre/occupé) intersite, l’Assistant crée des artéfacts locaux qui, lorsqu’ils seront présents, activeront automatiquement le mode hybride pour l’EAC. Concrètement, Update-HybridConfiguration (via HCW) créera un objet Remote-Domain spécial qui, lorsque l’EAC détectera une propriété –TargetDeliveryDomain (TDD), démarrera automatiquement le mode hybride de l’EAC.
L’une des différentes les plus grandes que vous observerez en utilisant le mode hybride est que lorsque vous cliquerez sur l’onglet « Office 365 », vous serez invité à vous connecter à votre client en ligne soit via votre compte Microsoft, soit en fournissant vos informations d’identification ADFS. Notez que pour des raisons de performances, l’EAC met en cache l’opportunité d’utiliser ou non le mode hybride afin d’éviter de devoir le vérifier à chaque ouverture de session (l’état du cache est actualisé toutes les 30 minutes). Si vous avez créé manuellement un domaine distant avec une propriété TDD et devez immédiatement commencer à utiliser le mode hybride, vous devez redémarrer IIS sur vos serveurs de boîtes aux lettres Exchange Server 2013.
Figure 6 : Point d’entrée de l’Assistant de configuration hybride
Gestion hybride dans un déploiement d’interopérabilité local
Il y a quelques points à prendre en compte en matière de gestion hybride dans un environnement d’interopérabilité local où l’on trouve des serveurs Exchange 2010 et/ou Exchange 2007.
Dans un déploiement d’interopérabilité, sachez qu’il y a de la fonctionnalité ajoutée à utiliser avec l’URI que vous utilisez pour accéder à votre déploiement à l’ouverture de session si votre boîte aux lettres d’administrateur ne se trouve pas sur le nouvel Exchange. Ces clés d’URI ne seront pas ajoutées par défaut pour vous dans la plupart des cas, mais il n’est pas exclu que les prochaine éditions incluent des liens pré-intégrés. Nous vous recommandons vivement de marquer d’un signet les URI de paires de clé/valeur utile, pour y accéder facilement.
| Fonctionnalité d’interopérabilité | Notes |
|---|---|
Si votre boîte aux lettres d’administrateur n’a pas encore été migrée vers le nouvel Exchange, vous devez utiliser la paire clé/valeur « ExchClientVer=15 » pour être sûr d’être acheminé vers un serveur de boîtes aux lettres Exchange Server 2013 et pas celui où réside votre boîte aux lettres.
Cela s’applique aux comptes « Utilisateur de messagerie » qui ne possèdent pas non plus de banque de boîtes aux lettres.
Par exemple : https://contoso.com /ecp?ExchClientVer=15 |
Cela s’applique aussi à la gestion purement locale. Les serveurs d’accès au client Exchange Server 2013 achemineront par défaut vers un serveur de boîtes aux lettres en fonction de la version de la boîte aux lettres associée aux informations d’identification. Cela s’applique également aux « Utilisateurs de messagerie » puisque, bien qu’ils n’aient pas banque de boîtes aux lettres, ils contiennent une référence à la boîte aux lettres SYSTÈME où ils ont été créés, sauf si celle-ci a été migrée. Lorsque vous installez Exchange Server 2013 en local à l’étape finale du programme d’installation, vous trouverez un lien qui ajoute automatiquement « ExchClientVer=15 » pour vous permettre de naviguer plus facilement jusqu’à l’EAC. |
Utilisez « cross=1 » comme indice pour utiliser le mode d’authentification ADFS pour l’authentification unique
Par exemple : https://contoso.com /ecp?ExchClientVer=15&cross=1 |
Les modules d’authentification OWA et ECP partagés ont besoin d’un indice pour utiliser le mode ADFS. Notez que le répertoire virtuel Outlook Web App ne prend pas actuellement en charge le mode d’authentification ADFS. |
Rappel : l’utilisation du compte « administrateur » intégré dans Exchange Server ne doit pas être utilisé en mode de gestion hybride :
Essayer d’utiliser le compte « administrateur » pour l’authentification unique via ADFS ne vous permettra pas de gérer le côté « Office 365 » d’un déploiement hybride |
Cette pratique recommandée s’applique à la fois aux environnements d’interopérabilité et de non opérabilité.
Le compte « administrateur » intégré pour Exchange n’est pas synchronisé entre le déploiement local et votre client Office 365 via la synchronisation des annuaires de Microsoft Online (« DirSync »)
Si vous essayez d’utiliser « administrateur » pour gérer le côté du client hybride, vous verrez une erreur provenant d’ADFS car il n’y a pas de compte « Utilisateur de messagerie » dans Office 365.
L’utilisateur « administrateur » n’est pas synchronisé d’après les règles de synchronisation des annuaires puisqu’il est noté : isCriticalSystemObject = TRUE dans ses propriétés d’objet. |
Gestion de vos destinataires en mode hybride
Une liste complète de tous les destinataires est disponible dans le pivot « Entreprise » sous l’onglet « boîtes aux lettres ». Il y a quelques éléments dont vous devez être conscient lorsque vous créez et que vous gérez de nouveaux destinataires en mode hybride.
La règle simple à suivre lorsqu’on met en service ou qu’on modifie un destinataire avec hybride est de toujours utiliser le côté local d’« Entreprise ». Cela est dû à la nature de synchronisation essentiellement unidirectionnelle des services de synchronisation d’annuaire MSO et veille à ce que le local et le client aient les mêmes copies de tous les détails Active Directory des destinataires.
Figure 7 : Boîtes aux lettres locales notées comme Utilisateurs de messagerie dans un client Office 365
| Type de destinataire | Notes |
|---|---|
| Boîtes aux lettres utilisateur locales | Créées comme normales depuis le pivot « Entreprise ». Elles seront synchronisées avec le client et pourront être vérifiées comme synchronisées dans l’onglet « contacts » d’Office 365 – voir la figure ci-dessus – où elles sont créées en tant que « Utilisateurs de messagerie » dans le client. Une liste d’adresses globale (GAL) complète peut être compilée en ayant les utilisateurs reflétés en ligne en tant qu’utilisateurs de messagerie. |
| Utilisateur avec boîte aux lettres principale en local et boîte aux lettres archivée sur client Office 365 | Les boîtes aux lettres d’archivage pour les boîtes aux lettres principales locales peuvent être soit créées initialement sur le client – voir figure ci-dessous – ou migrées depuis l’environnement local. |
| Utilisateur avec boîte aux lettres principale Office 365 | Reflété comme boîte aux lettres « Office 365 » dans le côté « Entreprise ». Les objets distants qui correspondent à la valeur « RecipientTypeDetails » que produit l’applet de commande Get-Mailbox dans PowerShell, sont semblables aux Utilisateurs de messagerie doté d’un paramètre spécial ajouté (RemoteRoutingAddress, pour être précis) qui indique au service de synchronisation des annuaires de Microsoft Online de synchroniser cet utilisateur de messagerie avec le client Office 365. |
| Contacts de messagerie et Groupes de distribution | Ces types d’objet se synchroniseront automatiquement avec le côté Office 365 et résideront au même endroit dans les deux côtés. Actuellement, les groupes locaux de plus de 15 000 membres sont exclus (non synchronisés) par le service de synchronisation d’annuaire. |
Mise en service de nouvelles boîtes aux lettres dans Office 365
Pour mettre en service une nouvelle boîte aux lettres Office 365 en mode hybride, commencez dans l’onglet « boîte aux lettres » local, puis sélectionnez le type de boîte aux lettres « Office 365 » dans la liste déroulante de la nouvelle icône. Créer une nouvelle boîte aux lettres dans votre client peut affecter vos licences de client disponibles – consultez les licences et les plans disponibles dans le portail Office 365 à l’aide des informations d’identification de votre compte Microsoft.
Figure 8 : Créer une boîte aux lettres Office 365
Vous voyez que du côté du service « Office 365 », il n’y a aucune option de création d’une boîte aux lettres à partir du Centre d’administration Exchange en mode hybride. Cela garantit que toutes les nouvelles boîtes aux lettres sont mises en service depuis le côté local pour avoir des copies complètes des destinataires. Il peut être possible pour vous de mettre directement en service une nouvelle boîte aux lettres Office 365 depuis le portail Office 365 mais cette méthode ne doit pas être employée dans les déploiements hybrides car cette boîte aux lettres ne sera pas « rétro-synchronisées » localement depuis Office 365, rendant possibles des problèmes de flux de messagerie.
Modifier les destinataires n’est pas non plus recommandé ou autorisé en mode hybride depuis le côté « Office 365 » sous peine que le destinataire ne soit plus à jour d’un côté du déploiement intersite. En fait, cette opération est bloquée par les règles de validation du runtime RBAC (rôle de contrôle d’accès en fonction du rôle) pour empêcher la diverge des copies (voir le message d’erreur ci-dessous).
Figure 9 : Modification du destinataire bloquée du côté service pour éviter la divergence
Beaucoup d’autres informations à venir !
Nous espérons que vous êtes aussi enthousiasmé que nous à propos du nouveau mode hybride du Centre d’administration Exchange ! Soyez à l’affût des prochains articles sur des sujets tels que la migration, l’authentification unique via ADFS et le débogage pour le mode hybride.
Warren Johnson
Ceci est un billet de blog localisé. Vous trouverez la version originale sur The Cloud On Your Terms (PART II): Managing Hybrid