Il cloud alle vostre condizioni (PARTE II) - Gestione ibrida
Articolo originale pubblicato venerdì 21 settembre 2012
Breve storia della gestione ibrida
Con l'uscita di Exchange Server 2010 è stato introdotto un nuovo e rivoluzionario servizio basato sul cloud, oggi conosciuto da tutti come Exchange Online per Office 365. All'esordio del cloud sono stati dedicati molto tempo e molte energie alla migrazione rapida dei dati degli utenti e dell'organizzazione, con una certa all'attenzione alla distribuzione e al supporto della coesistenza tra una distribuzione aziendale di Exchange locale e un tenant basato sul Web. Per le grandi imprese (LORG), il feedback tuttavia ha riguardato, oltre l'efficienza nella migrazione dei dati, soprattutto la necessità di supportare in modo esteso uno stato prolungato di coesistenza tra l'ambiente locale e il cloud. Le grandi imprese hanno dato voce alle loro esigenze e hanno richiesto un'esperienza di gestione senza compromessi che garantisse una fedeltà completa per le cassette postali in locale e nel cloud.
Exchange Server 2010 è stata la prima versione a offrire una soluzione di coesistenza cross-premise tra un ambiente locale ed Exchange Online estendendo la funzionalità esistente fornita da Exchange Management Console (EMC). EMC è un client basato su Windows MMC originariamente incentrato sulla gestione di distribuzioni su vasta scala di server Enterprise che successivamente si è in pratica evoluto nella console di Exchange Server che attualmente viene indicata semplicemente come "ibrida". EMC ha contribuito alla migrazione efficiente dei dati nel cloud (Office 365), ha garantito la gestione dei destinatari cross-premise, inclusa la modifica in blocco, e ha facilitato la gestione della maggior parte dei criteri e degli oggetti a livello di organizzazione.
EMC in genere viene utilizzato nei singoli server x64 che ospitano ruoli di Exchange Server oppure separatamente nelle workstation mediante l'installazione "dei soli strumenti di gestione". Si tratta di uno strumento per la sola gestione di Windows, pertanto dipende dai servizi locali come WinRM per comunicare con i server remoti tramite il protocollo PowerShell.
Figura 1: gestione ibrida con Exchange Server 2010
Per la gestione ibrida, EMC offre agli amministratori la possibilità di aggiungere un secondo "albero" al riquadro della console per visualizzare tutti i destinatari, eseguire le migrazioni delle cassette postali e gestire gli oggetti dell'organizzazione correlati al tenant di Exchange Online. In una distribuzione solo con Exchange Online non è necessario applicare EMC per la gestione. Viene invece utilizzata la console semplificata "Pannello di controllo di Exchange" (ECP), che è stata un'altra novità di Exchange Server 2010.
Significato dell'aggettivo "ibrido"
L'aggettivo "ibrido" non si riferisce a un'offerta specifica di un server Exchange, ma piuttosto a uno stato di coesistenza che implica la presenza di un server locale che interagisce in cooperazione con un servizio Internet. Il concetto di ibrido non è proprio della linea di prodotti Exchange ed è implementato anche nella più ampia famiglia di server Microsoft Office, tra cui ad esempio SharePoint e Lync.
Nel caso di Exchange, l'aggettivo "ibrido" solitamente implica l'esistenza di un set di cassette postali e criteri distribuiti tra l'ambiente locale e Office 365 per operare come un'unica organizzazione "virtuale". Nei post precedenti del blog relativi all'impostazione e alla distribuzione ibride, avete appreso che, dal punto di vista dei due ambienti, questo stato di coesistenza viene considerato come una distribuzione interna, nel senso che i certificati vengono aggiunti automaticamente durante il flusso di posta elettronica cross-premise dai tenant di Office 365 ai destinatari locali. In questo modo, i messaggi di posta elettronica recapitati vengono considerati attendibili come se provenissero dall'interno dell'organizzazione, anche se praticamente arrivano tramite Internet mediante l'utilizzo di connettori di posta elettronica ibrida dedicati.
Sono disponibili numerose possibilità e permutazioni per organizzare i destinatari tra l'ambiente locale e il servizio Office 365 in base alle esigenze della propria organizzazione. Ad esempio, un'organizzazione può pianificare lo spostamento del 100% dei destinatari locali nel tenant nel giro di due anni, mentre un'altra può scegliere di aggiungere tutte le cassette postali delle risorse sala nel relativo tenant di Office 365 immediatamente e un'altra ancora può decidere di utilizzare il tenant online per ospitare le cassette postali di archiviazione online in modo sicuro. Il punto fondamentale è che offriamo flessibilità con funzionalità e ambienti ibridi sviluppati per soddisfare le necessità dell'azienda.
Introduzione alla gestione ibrida per il nuovo Exchange
Questo post riparte dal punto in cui è terminato il post "Il cloud alle vostre condizioni (PARTE I)", concentrandosi principalmente sullo "stato stabile" della gestione ibrida, con particolare riferimento agli scenari più comuni.
Ai fini di questo post, si presuppone che siano già stati soddisfatti i prerequisiti seguenti:
- Deve essere stato installato almeno un ruolo del server Accesso client (CAS15) e Cassette postali (MBX15) di Exchange Server 2013. Uno di ogni tipo deve risiedere separatamente oppure entrambi devono risiedere in un unico server, ad esempio in un ambiente di interoperabilità con una versione precedente di Exchange Server.
- La versione del tenant di Office 365 deve essere almeno la 15.0.000.0 per poter configurare una distribuzione ibrida con Exchange Server 2013. Visitare il sito Web Office 365 per avere informazioni aggiornate sulle licenze, i piani e i prezzi.
- Deve essere stata abilitata la coesistenza mediante il portale di amministrazione Office 365 e devono essere stati eseguiti tutti gli altri passaggi prerequisiti come descritto, fornendo anche la prova di essere proprietari del dominio di coesistenza.
- È necessario avere accesso alle credenziali dell'account Microsoft di "amministratore tenant", che sono necessarie per accedere al tenant di Office 365.
- Devono essere disponibili tutte le dipendenze locali, ad esempio deve essere installato il servizio di sincronizzazione di Active Directory.
- La procedura guidata per la configurazione ibrida (Set up Exchange Hybrid) deve essere stata eseguita correttamente. Questo può avere comportato l'aggiornamento delle impostazioni di configurazione ibrida precedenti se tale funzionalità era già stata utilizzata con Exchange 2010 e Office 365.
- Non deve essere utilizzato l'account destinatario predefinito "Administrator". Leggere più avanti per avere dettagli sui motivi per cui non è supportato per la gestione ibrida.
Figura 2: procedura guidata per la configurazione ibrida per il nuovo Exchange, descritta in un post precedente di Appleby
La nuova console ibrida dell'Interfaccia di amministrazione di Exchange
Per iniziare, ecco una guida con annotazioni sulla nuova console di gestione ibrida (Hybrid) a cui si accede tramite l'Interfaccia di amministrazione di Exchange (Exchange admin center) per il nuovo Exchange:
A) Aree "ORGANIZZAZIONE" (Enterprise) e "OFFICE 365" (Office 365): utilizzarle per passare dalla distribuzione locale al tenant di Office 365 online e viceversa.
B) Singolo elenco centrale consolidato in cui verranno visualizzate tutte le notifiche, indipendentemente dalla posizione da cui hanno origine o dall'area in cui ci si trova attualmente, ad esempio per tenere traccia delle migrazioni delle cassette postali dall'ambiente locale a Office 365.
C) Singola visualizzazione elenco contenente tutti i destinatari di entrambi gli ambienti.
D) "Riquadro dei dettagli" per le cassette postali ospitate (Office 365) remote.
E) Punto di ingresso alla migrazione delle cassette postali mediante la scheda di esplorazione.
Novità della gestione ibrida per Exchange
La filosofia della gestione ibrida per il nuovo Exchange è molto semplice, ovvero fornire all'amministratore un'unica console già familiare da poter utilizzare praticamente da qualsiasi posizione per gestire l'intera organizzazione cross-premise.
Di seguito è riportato un breve elenco delle novità:
1) La nuova console basata su browser con funzionalità complete può essere sfruttata dagli amministratori di Exchange, pertanto diminuiscono i costi di manutenzione necessari per mantenere aggiornate le installazioni "degli strumenti di gestione" ibride. Aggiornando solo i server delle cassette postali di Exchange Server 2013, verranno mantenuti aggiornati tutti gli amministratori dell'Interfaccia di amministrazione di Exchange.
2) A seconda della configurazione di sicurezza della directory virtuale IIS di ECP (nome di protocollo per l'Interfaccia di amministrazione di Exchange) nei server delle cassette postali, è possibile scegliere di consentire l'accesso sia esterno che interno degli amministratori oppure esclusivamente interno per i computer aggiunti al dominio.
3) Da una scheda del browser è possibile controllare tutti i destinatari e gli oggetti dell'organizzazione, ad esempio elenchi indirizzi e criteri.
4) È disponibile un singolo set consolidato di notifiche di Exchange fra tutti gli ambienti.
5) Il supporto di Single Sign-On è disponibile tramite ADFS 2.0. Presto verranno presentati argomenti dedicati alla distribuzione e alla gestione di Single Sign-On. Per ulteriori informazioni, vedere le istruzioni per la preparazione all'utilizzo di Single Sign-On disponibile in Office 365.
Figura 4: modulo Single Sign-On di ADFS per la modalità ibrida
6) È possibile gestire "un altro utente" cross-premise. Per implementare uno scenario di helpdesk, ad esempio impostare il messaggio Fuori sede per conto di un altro utente in ferie, è sufficiente utilizzare l'opzione "Un altro utente" (Another user) accanto al proprio Nome visualizzato (Display Name) nell'angolo in alto a destra della console per visualizzare un elenco completo dei destinatari di tutti gli ambienti.
Figura 5: visualizzazione unita dei destinatari per l'opzione di gestione "Un altro utente" (Another user)
Iniziare a utilizzare la modalità di gestione ibrida per Exchange Server 2013
Se si è già provveduto a eseguire la procedura guidata per la configurazione ibrida o a eseguire il cmdlet Update-HybridConfiguration direttamente in PowerShell, si è pronti per utilizzare la modalità ibrida (Hybrid) dell'Interfaccia di amministrazione di Exchange (Exchange admin center). Anzi, facendo clic su "abilita" (enable) dalla scheda "Ibrida" (Hybrid) dell'Interfaccia di amministrazione di Exchange, verranno richieste le proprie credenziali dell'account Microsoft e, dopo il rilevamento del tenant, si tornerà all'Interfaccia di amministrazione di Exchange, ma questa volta eseguita in modalità ibrida.
Successivamente non è necessario eseguire alcuna operazione particolare per accedere alla modalità ibrida dopo aver eseguito correttamente la procedura guidata per la configurazione ibrida. Questo è dovuto al fatto che, oltre ad abilitare gli scenari principali come i servizi di flusso di posta elettronica e di condivisione dati (informazioni sulla disponibilità) tra gli ambienti, la procedura guidata crea elementi in locale che, se presenti, abiliteranno automaticamente la modalità ibrida per l'Interfaccia di amministrazione di Exchange. Più specificamente, Update-HybridConfiguration (mediante la procedura guidata per la configurazione ibrida) creerà un oggetto Remote-Domain speciale che avvierà automaticamente la modalità ibrida dell'Interfaccia di amministrazione di Exchange quando quest'ultima rileva una proprietà –TargetDeliveryDomain (TDD).
Una delle maggiori differenze che si noterà utilizzando la modalità ibrida è rappresentata dal fatto che, facendo clic sulla scheda dell'area "Office 365", verrà richiesto di eseguire l'accesso al tenant online mediante le credenziali dell'account Microsoft o di ADFS. Per motivi di prestazioni, l'Interfaccia di amministrazione di Exchange memorizza nella cache se utilizzare o meno la modalità ibrida per evitare la verifica a ogni accesso. Lo stato della cache viene infatti aggiornato automaticamente ogni 30 minuti. Se è stato creato manualmente un dominio remoto con una proprietà TDD e si ha necessità di iniziare immediatamente a utilizzare la modalità ibrida, riavviare IIS nei server delle cassette postali di Exchange Server 2013.
Figura 6: punto di ingresso alla procedura guidata per la configurazione ibrida
Gestione ibrida in una distribuzione di interoperabilità locale
Quando si esegue la gestione ibrida in un ambiente di interoperabilità locale in cui sono presenti server Exchange 2010 e/o Exchange 2007, è utile considerare alcuni aspetti.
In una distribuzione di interoperabilità tenere presente che vi sono funzionalità aggiunte da utilizzare con l'URI utilizzato per accedere alla distribuzione quando si esegue l'accesso se la propria cassetta postale di amministratore non si trova nel nuovo Exchange. Queste chiavi URI non verranno aggiunte per impostazione predefinita nella maggior parte dei casi, ma non perdete i prossimi post per avere ulteriori informazioni su versioni future che potrebbero includere collegamenti predefiniti. È consigliabile inserire un segnalibro per gli URI con le coppie chiave/valore necessarie per farvi riferimento più facilmente.
| Funzionalità di interoperabilità | Note |
|---|---|
Se non è stata ancora eseguita la migrazione della propria cassetta postale di amministratore nel nuovo Exchange, è necessario utilizzare la coppia chiave/valore "ExchClientVer=15" per essere certi di essere instradati a un server delle cassette postali di Exchange Server 2013 anziché al server in cui risiede l'archivio della cassetta postale.
Si applica anche agli account "utente di posta elettronica" (Mail user) che non dispongono di archivi.
Ad esempio: https://contoso.com /ecp?ExchClientVer=15 |
Si applica anche alla pura gestione locale. I server Accesso client di Exchange Server 2013 instraderanno per impostazione predefinita a un server delle cassette postali basato sulla stessa versione della cassetta postale associata alle credenziali. Si applica inoltre agli "utenti di posta elettronica" (Mail user) perché, nonostante non dispongano di un archivio delle cassette postali, includono un riferimento alla cassetta postale di sistema (SYSTEM) in cui sono stati creati inizialmente, a meno che non ne sia stata in precedenza eseguita la migrazione. Quando si installa Exchange Server 2013 in locale nella fase finale del programma di installazione, è disponibile un collegamento che aggiunge automaticamente "ExchClientVer=15" per facilitare il passaggio all'Interfaccia di amministrazione di Exchange. |
Utilizzare "cross=1" come suggerimento per utilizzare la modalità di autenticazione ADFS per Single Sign-On.
Ad esempio: https://contoso.com /ecp?ExchClientVer=15&cross=1 |
I moduli di autenticazione condivisi del protocollo ECP e OWA richiedono un suggerimento per utilizzare la modalità ADFS. La directory virtuale di Outlook Web App attualmente non supporta il metodo di autenticazione ADFS. |
Ricordare che l'account predefinito "Administrator" in Exchange Server non deve essere utilizzato con la gestione ibrida:
Se si tenta di utilizzare l'account "Administrator" per Single Sign-On (SSO) tramite ADFS, non sarà possibile gestire il lato "Office 365" di una distribuzione ibrida. |
Questa procedura consigliata si applica ad ambienti di interoperabilità e di non interoperabilità.
L'account predefinito "Administrator" per Exchange non viene sincronizzato tra l'ambiente locale e il tenant di Office 365 mediante il servizio di sincronizzazione directory di Microsoft Online ("DirSync").
Se si tenta di utilizzare l'account "Administrator" per la gestione del lato tenant ibrido, ADFS visualizzerà un errore perché non vi è un account "utente di posta elettronica" (Mail user) corrispondente in Office 365.
L'utente "Administrator" non viene sincronizzato secondo le regole di sincronizzazione directory in quanto: isCriticalSystemObject = TRUE nelle proprietà dell'oggetto. |
Gestione dei destinatari in modalità ibrida
Nell'area "ORGANIZZAZIONE" (Enterprise) è disponibile un elenco completo di tutti i destinatari all'interno della scheda "cassette postali" (mailboxes). Quando si creano e gestiscono nuovi destinatari in modalità ibrida, vi sono alcuni elementi da tenere presenti.
La semplice regola da seguire quando si effettua il provisioning o si modifica un destinatario qualsiasi in modalità ibrida è quella di utilizzare sempre il lato "ORGANIZZAZIONE" (Enterprise) locale. Questo dipende dalla natura di sincronizzazione essenzialmente unidirezionale dei servizi di sincronizzazione directory di Microsoft Online e garantisce che sia l'ambiente locale che il tenant dispongano delle stesse copie di tutti i dettagli dei destinatari di Active Directory.
Figura 7: cassette postali locali contrassegnate come utenti di posta elettronica (Mail user) in un tenant di Office 365
| Tipo di destinatario | Note |
|---|---|
| Cassette postali degli utenti locali | Creare normalmente dall'area "ORGANIZZAZIONE" (Enterprise). Verranno sincronizzate con il tenant ed è possibile verificare se sono sincronizzate visualizzando la scheda "contatti" (contacts) in "Office 365". Vedere la figura precedente, in cui vengono create come utenti di posta elettronica (Mail user) all'interno del tenant. Se gli utenti risultano anche online come "utenti di posta elettronica" (Mail user), è possibile compilare un elenco indirizzi globale. |
| Utente con cassetta postale primaria locale e cassetta postale di archiviazione nel tenant di Office 365 | Le cassette postali di archiviazione per le cassette postali primarie locali possono essere create inizialmente nel tenant (vedere la figura seguente) oppure essere trasferite mediante migrazione dall'ambiente locale. |
| Utente con cassetta postale primaria di Office 365 | Considerato come una cassetta postale di "Office 365" sul lato "ORGANIZZAZIONE" (Enterprise). Gli oggetti remoti che corrispondono a "RecipientTypeDetails" nell'output del cmdlet Get-Mailbox, se visualizzati in PowerShell, sono simili agli utenti di posta elettronica (Mail user) con uno speciale parametro aggiunto (RemoteRoutingAddress) che indica al servizio di sincronizzazione directory di Microsoft Online di sincronizzare tale utente di posta elettronica con il tenant di Office 365. |
| Contatti e gruppi di distribuzione di posta elettronica | Questi tipi di oggetti verranno sincronizzati automaticamente con il lato Office 365 e risiederanno nella stessa posizione su entrambi i lati. I gruppi locali con oltre 15.000 membri attualmente vengono filtrati ed esclusi (non sincronizzati) dal servizio di sincronizzazione directory. |
Provisioning di nuove cassette postali in Office 365
Per effettuare il provisioning di una nuova cassetta postale di Office 365 in modalità ibrida, iniziare dalla scheda "cassette postali" (mailboxes) e quindi selezionare "Cassetta postale di Office 365" (Office 365 mailbox) come tipo nell'elenco a discesa dell'icona per l'aggiunta di nuove cassette postali. La creazione di una nuova cassetta postale nel tenant può influire sulle licenze client disponibili. Visualizzare i piani e le licenze disponibili nel portale Office 365 utilizzando le credenziali del proprio account Microsoft.
Figura 8: creazione di una cassetta postale di Office 365
Si noterà che sul lato del servizio "Office 365" non vi sono opzioni per creare una cassetta postale dall'Interfaccia di amministrazione di Exchange (Exchange admin center) in modalità ibrida. Questo assicura che per tutte le nuove cassette postali il provisioning venga effettuato dal lato locale per copie dei destinatari complete. È possibile effettuare il provisioning di una nuova cassetta postale di Office 365 direttamente dal portale Office 365, ma non è consigliabile utilizzare questa soluzione nelle distribuzioni ibride perché la cassetta postale non verrà sincronizzata da Office 365 all'ambiente locale e possono verificarsi problemi con il flusso di posta elettronica.
Anche la modifica dei destinatari non è consigliata o consentita in modalità ibrida dal lato "Office 365", in quanto il destinatario non sarebbe aggiornato su un lato della distribuzione cross-premise. Tale operazione anzi viene bloccata dalle regole di convalida del runtime del controllo di accesso basato sui ruoli (RBAC) per impedire la divergenza delle copie. Vedere il messaggio di errore riportato di seguito.
Figura 9: modifica del destinatario sul lato del servizio bloccata per evitare la divergenza
E presto altre notizie
Speriamo che siate entusiasti quanto noi della nuova modalità ibrida per l'Interfaccia di amministrazione di Exchange. Cercate ulteriori articoli relativi ad argomenti come la migrazione, Single Sign-On tramite ADFS e il debug per la modalità ibrida perché verranno pubblicati molto presto.
Warren Johnson
Questo è un post di blog localizzato. L'articolo originale è disponibile in The Cloud On Your Terms (PART II): Managing Hybrid.