Облако на ваших условиях (ЧАСТЬ II): управление гибридным развертыванием
Исходная статья опубликована в пятницу, 21 сентября 2012 г.
Краткая история управления гибридным развертыванием
Выпуск Exchange Server 2010 принес с собой революционно новую облачную службу, которую все сегодня знают как Exchange Online для Office 365. На ранних этапах развития облака массу времени и энергии занимала быстрая миграция данных пользователей и организации с акцентом на развертывании и поддержке сосуществования локального корпоративного развертывания Exchange и веб-клиента. Но для крупных организаций существенной проблемой было то, что кроме эффективности миграции данных необходимо было много сил уделять поддержке сосуществования локальной и облачной среды в долговременной перспективе. Крупные организации просили предоставить точный и всеобъемлющий интерфейс управления почтовыми ящиками, расположенными локально и в облаке.
Exchange Server 2010 впервые предоставил решение сосуществования локальных сред и Exchange Online, расширив существующую функциональность, предлагавшуюся в консоли управления Exchange (EMC). Консоль управления Exchange — это клиент, основанный на консоли MMC Windows, который изначально был направлен на управление крупномасштабными развертываниями корпоративных серверов и эволюционировавший позже в существующую сейчас консоль Exchange Server, которую мы сегодня называем просто "гибрид". Консоль управления Exchange способствовала эффективной миграции данных в облако (Office 365), предоставляла межсредовое управление получателями, включая пакетное редактирование, и помогала управлять большинством политик и объектов на уровне организации.
Консоль управления Exchange обычно использовалась на специальных серверах архитектуры x64, размещавших роли Exchange Server, или отдельно на рабочих станциях в виде установки "только средства управления". Это средство управления предназначалось только для Windows, что означает его зависимость от локальных служб, таких как WinRM, для связи с удаленными серверами через протокол PowerShell.
Рис. 1. Гибридное управление в Exchange Server 2010
Для гибридного управления консоль управления Exchange предоставляет администраторам возможность добавления в панель консоли второго "дерева", чтобы просматривать всех получателей, выполнять миграцию почтовых ящиков и управлять объектами организации, связанными с клиентом Exchange Online. Развертывание, содержащее только Exchange Online, не требует применения консоли управления Exchange для управления. Вместо этого используется упрощенная консоль — "Панель управления Exchange" (ECP), которая тоже была впервые представлена в Exchange Server 2010.
Итак, что же такое гибрид?
Гибрид следует рассматривать не как уникальное предложение самого сервера Exchange, а скорее как состояние сосуществования, предполагающее, что локальный сервер кооперативно взаимодействует со службой, размещенной в Интернете. Концепция гибридного развертывания не уникальна для линейки продуктов Exchange и может встречаться в более широкой категории серверов Microsoft Office, например в SharePoint и Lync.
В случае гибрида Exchange обычно подразумевается набор почтовых ящиков и политик, распределенных между локальной средой и Office 365, чтобы сформировать одну "виртуальную" организацию. Из предыдущих записей блога, посвященных гибридной установке и развертыванию, вы узнали, что с точки зрения двух сред это состояние сосуществования рассматривается как внутреннее развертывание. Т. е. сертификаты добавляются автоматически в потоке обработки почты во время передачи почты локальным получателям из клиентов Office 365, приводя к тому, что доставленная почта имеет такое же доверие, как если бы она исходила из самой организации, хотя в действительности она поступает через Интернет с использованием выделенных гибридных почтовых соединителей.
Имеется много возможностей и комбинаций для распределения получателей между локальной средой и службой Office 365, чтобы выполнить требования организации. Например, одна организация может планировать перенести в клиент 100% своих локальных получателей в течение двух лет, другая сразу добавит все свои почтовые ящики комнат в клиент Office 365, а третья предпочтет использовать облачный клиент для защищенного размещения почтовых ящиков веб-архива. Суть в том, что мы предоставляем гибкость гибридного развертывания, разработанного для удовлетворения требований предприятия.
Введение гибридного управления в новые выпуски Exchange
Данная запись блога продолжает обсуждение с того места, где завершилась статья "Облако на ваших условиях. Часть I", сосредотачиваясь в основном на проверенных методах гибридного управления, ориентируясь на наиболее распространенные сценарии.
Для целей данной статьи мы предположим, что уже выполнены следующие необходимые условия:
- Установлена минимум одна роль сервера клиентского доступа Exchange Server 2013 (CAS15) и одна роль сервера почтовых ящиков Exchange Server 2013 (MBX15). Роли могут размещаться отдельно или вместе на одном сервере, т. е. в среде взаимодействия, включающей предыдущий выпуск Exchange Server.
- Чтобы настроить гибридное развертывание с Exchange Server 2013, версия клиента Office 365 должна быть 15.0.000.0 или старше. См. сайт Office 365, чтобы узнать последние подробности о лицензировании и ценовые планы.
- Включено сосуществование через портал администрирования Office 365 и выполнены все другие необходимые условия, включая подтверждение владения доменом сосуществования.
- У вас есть доступ к учетным данным учетной записи Майкрософт "администратор клиента", которые необходимы для доступа к клиенту Office 365.
- Выполнены все необходимые условия для локальной среды, т. е. установлена синхронизация Active Directory.
- Мастер гибридной конфигурации успешно запущен. Это может включать обновление предыдущих параметров гибридной конфигурации, если вы уже используете гибрид с Exchange 2010 и Office 365.
- Вы не используете встроенную учетную запись получателя "администратор". Прочитайте подробности, почему этот вариант не поддерживается для гибридного управления.
Рис. 2. Мастер гибридной конфигурации для нового выпуска Exchange, описанный в предыдущей записи Бена Эплбай (Ben Appleby)
Новая гибридная консоль Центра администрирования Exchange
Для начала приведем обзор новой консоли гибридного управления, доступной через Центр администрирования Exchange в новом выпуске Exchange:
A) Вкладки "Enterprise (предприятие)" и "Office 365". Используйте эти вкладки для переключения между локальным развертыванием и облачным клиентом Office 365.
B) Объединенный центральный список, где будут отображаться все уведомления вне зависимости от того, каков их источник или какая вкладка используется в текущий момент. Это позволяет отслеживать миграции почтовых ящиков из локальной среды в Office 365.
C) Единое представление списка, содержащее всех получателей из обеих сред.
D) "Панель свойств" для удаленных размещаемых почтовых ящиков (Office 365).
E) Точка входа для миграции почтовых ящиков, доступная через вкладку навигации.
Новые возможности гибридного управления в Exchange
Философия гибридного развертывания в новом выпуске Exchange предельно проста: предоставить вам, администратору, единую знакомую консоль, которую можно использовать практически везде для управления всей организацией, размещенной в нескольких средах.
Краткий список новых возможностей:
1) Мы используем преимущество новой полнофункциональной консоли, работающей через браузер, для администраторов Exchange, что означает более низкие затраты на обслуживание, необходимое для поддержания гибридных установок "средств управления" в обновленном состоянии. Обновление только серверов почтовых ящиков Exchange Server 2013 обеспечит обновление всех средств администрирования Центра администрирования Exchange.
2) В зависимости от конфигурации безопасности протокола ECP (название протокола для Центра администрирования Exchange) в виртуальном каталоге IIS на серверах почтовых ящиков, можно разрешить внешним и внутренним администраторам доступ к компьютерам, присоединенным к домену, или только внутренним администраторам.
3) Из одной вкладки браузера можно управлять всеми получателями и объектами организации (т. е. списками адресов и политиками).
4) Объединенный набор уведомлений Exchange для всех сред.
5) Поддержка единого входа через службы федерации Active Directory 2.0. Скоро будут представлены статьи, посвященные развертыванию единого входа и управлению им. Дополнительные сведения о подготовке к использованию единого входа доступны в Office 365.
Рис. 4. Модуль единого входа служб федерации Active Directory для гибридного режима
6) Элемент управления "Другой пользователь …" для всех сред позволяет выполнять сценарии службы поддержки, такие как настройка сообщений "Нет на месте" от имени другого пользователя, находящегося в отпуске. Просто используйте параметр "Другой пользователь …" рядом с отображаемым именем в правом верхнем углу консоли, чтобы просмотреть полный список получателей во всех средах.
Рис. 5. Элемент управления "Другой пользователь ..." — объединенное представление "Получатели"
Начало использования режима гибридного управления для Exchange Server 2013
Если вы готовы запустить мастер гибридной конфигурации или командлет Update-HybridConfiguration прямо из PowerShell, то вы готовы использовать гибридный режим Центра управления Exchange. Если щелкнуть ссылку "включить" на вкладке "Hybrid (гибридное развертывание)" в Центре управления Exchange, будут запрошены учетные данные учетной записи Майкрософт, а после обнаружения клиента вы будете перенаправлены обратно в Центр управления Exchange, но уже работающий в гибридном режиме.
После успешного запуска мастера гибридной конфигурации не нужно делать ничего особенного, чтобы войти в гибридный режим. Это обусловлено тем, что кроме включения ключевых сценариев, таких как поток обработки почты и службы общего доступа к данным (к сведениям о доступности) для обеих сред, мастер создает локальные параметры, которые автоматически включают гибридный режим в Центре управления Exchange. В частности командлет Update-HybridConfiguration (через мастер гибридной конфигурации) создаст специальный объект Remote-Domain, который, когда Центр управления Exchange обнаруживает свойство –TargetDeliveryDomain (TDD), автоматически запускает гибридный режим Центра управления Exchange.
Одно из самых больших отличий, которое вы заметите при использовании гибридного режима, — это то, что после открытия вкладки "Office 365" будет выдан запрос на вход в облачный клиент либо с помощью учетной записи Майкрософт, либо с помощью учетных данных служб федерации Active Directory. Обратите внимание, что по причинам производительности Центр управления Exchange кэширует параметр использования гибридного режима, чтобы избежать проверки во время каждого входа (состояние кэша автоматически обновляется каждые 30 минут). Если вы вручную создали удаленный домен с применением параметра TDD и сразу хотите начать использование гибридного режима, необходимо перезапустить службы IIS на серверах почтовых ящиков Exchange Server 2013.
Рис. 6. Точка входа в мастер гибридной конфигурации
Гибридное управление в локальном развертывании в режиме взаимодействия
Имеется несколько тонких моментов, на которые стоит обратить внимание, управляя гибридным развертыванием в локальной среде в режиме взаимодействия, где существуют серверы Exchange 2010 и/или Exchange 2007.
При использовании развертывания в режиме взаимодействия имейте в виду, что есть добавленная функциональность, которую следует использовать с URI, применяемым для доступа к развертыванию во время входа, если ваш почтовый ящик администратора находится не в новом выпуске Exchange. Эти ключи URI не будут добавлены по умолчанию автоматически в большинстве случаев, но следите за информацией о будущих выпусках, в которых могут быть встроенные ссылки. Мы настоятельно рекомендуем сделать закладки для этих URI с необходимыми парами ключ-значение, чтобы было проще с ними работать.
| Режим взаимодействия | Примечания |
|---|---|
Если ваш почтовый ящик администратора еще не перенесен в новый выпуск Exchange, необходимо использовать пару ключ-значение "ExchClientVer=15", чтобы обеспечить перенаправление на сервер почтовых ящиков Exchange Server 2013, а не тот сервер, где размещается хранилище вашего почтового ящика.
Это применимо к учетным записям "Пользователь почты", которые тоже не имеют хранилищ.
Например: https://contoso.com /ecp?ExchClientVer=15 |
Это также применимо к управлению только локальной средой. Серверы клиентского доступа Exchange Server 2013 будут по умолчанию перенаправлять на сервер почтовых ящиков, основанный на версии почтового ящика, привязанного к учетным данным. Это также применимо к "Пользователям почты", так как, хотя они и не имеют хранилища почтовых ящиков, они содержат ссылку на СИСТЕМНЫЙ почтовый ящик, где они были изначально созданы, если этот почтовый ящик не был перенесен ранее. Если вы устанавливаете Exchange Server 2013 локально, на последнем этапе установки вы увидите ссылку, которая автоматически добавляет "ExchClientVer=15", чтобы упростить переход в Центр управления Exchange. |
Используйте параметр "cross=1" как указание на использование режима проверки подлинности служб федерации Active Directory для единого входа
Например: https://contoso.com /ecp?ExchClientVer=15&cross=1 |
Общие модули проверки подлинности OWA и панели управления Exchange требуют указания, чтобы использовать режим служб федерации Active Directory. Обратите внимание, что виртуальный каталог Outlook Web App в настоящее время не поддерживает метод проверки подлинности служб федерации Active Directory. |
Помните, что встроенная учетная запись "administrator" на сервере Exchange Server не должна применяться с гибридным управлением:
Попытка использования учетной записи "administrator" для единого входа через службы федерации Active Directory не позволит управлять частью "Office 365" гибридного развертывания. |
Эта рекомендация применяется как к средам в режиме взаимодействия (совместимости), так и к обычным средам.
Встроенная учетная запись "administrator" для Exchange не синхронизирована между локальной средой и клиентом Office 365 через службу синхронизации каталогов Microsoft Online Directory Synchronization ("DirSync")
Если вы пытаетесь использовать учетную запись "administrator" для управления гибридным клиентом, будет отображена ошибка служб федерации Active Directory, так как в Office 365 нет соответствующей учетной записи "Пользователь почты".
Пользователь "administrator" не синхронизирован в соответствии с правилами синхронизации каталогов, так как для него указан параметр "isCriticalSystemObject = TRUE" в свойствах объекта. |
Управление получателями в гибридном режиме
Полный список всех получателей доступен в разделе "Enterprise (предприятие)" на вкладке "mailboxes (почтовые ящики)". Имеется несколько элементов, о которых следует знать во время создания новых получателей в гибридном режиме и управления ими.
Простое правило, которое следует соблюдать во время подготовки или изменения любого получателя в гибридном режиме, заключается в том, чтобы всегда использовать локальный раздел "Enterprise (предприятие)". Это обусловлено преимущественно односторонней синхронизацией каталогов MSO и гарантирует наличие одинаковых копий как в локальной организации, так и в клиенте, для сведений Active Directory всех получателей.
Рис. 7. Локальные почтовые ящики обозначены как "Mail User (пользователь почты)" в клиенте Office 365
| Тип получателя | Примечания |
|---|---|
| Локальные почтовые ящики пользователей | Создавайте как обычно в разделе "Enterprise (предприятие). Они будут синхронизированы в клиент. Синхронизацию можно проверить, просмотрев вкладку "contacts (контакты)" в разделе "Office 365" (см. рисунок выше), где почтовые ящики будут созданы как "Mail User (пользователь почты)" в клиенте. После отображения пользователей в облаке с обозначением "Mail User (пользователь почты)" можно составить полный глобальный список адресов (GAL). |
| Пользователь с основным локальным почтовым ящиком и архивным почтовым ящиком в клиенте Office 365 | Архивные почтовые ящики для основных локальных почтовых ящиков могут либо изначально создаваться в клиенте (см. рисунок ниже), либо мигрировать из локальной среды. |
| Пользователь с основным почтовым ящиком Office 365 | Отображается как почтовый ящик "Office 365" в разделе "Enterprise (предприятие). Удаленные объекты, которые соответствуют параметру "RecipientTypeDetails", выводимому командлетом "Get-Mailbox" во время просмотра в PowerShell, аналогичны пользователям почты с добавленным специальным параметром (конкретно — RemoteRoutingAddress), инструктирующим службу синхронизации каталогов Microsoft Online Directory Synchronization синхронизировать этого пользователя почты с клиентом Office 365. |
| Почтовые контакты и группы рассылки | Объекты этих типов автоматически синхронизируются в раздел Office 365 и размещаются в одинаковом месте в обоих разделах. В настоящее время локальные группы с числом членов более 15 000 фильтруются (не синхронизируются) службой синхронизации каталогов. |
Подготовка новых почтовых ящиков в Office 365
Чтобы подготовить новый почтовый ящик Office 365 в гибридном режиме, начните с локальной вкладки "mailbox (почтовый ящик)", затем выберите тип почтового ящика "Office 365" в раскрывающемся списке, активируемом значком "Создать". Создание нового почтового ящика в клиенте может повлиять на количество доступных клиентских лицензий — просмотрите доступные лицензии и планы на портале Office 365, используя учетные данные учетной записи Майкрософт.
Рис. 8. Создание почтового ящика Office 365
Вы заметите, что в разделе "Office 365" нет параметра для создания почтового ящика с помощью Центра управления Exchange в гибридном режиме. Это гарантирует, что все новые почтовые ящики подготавливаются на локальной стороне, чтобы были полные копии получателей. Возможно вам удастся подготовить новый почтовый ящик Office 365 напрямую через портал Office 365, но это не следует делать в гибридных развертываниях, так как такой почтовый ящик не будет "обратно синхронизирован" из Office 365 в локальную среду, в результате чего могут возникнуть проблемы с потоком обработки почты.
Изменение получателей на стороне "Office 365" в гибридном режиме также не рекомендуется или запрещено, так как это может привести к наличию устаревших данных на одной стороне гибридного развертывания. В действительности эта операция блокируется правилами проверки RBAC среды выполнения, чтобы предотвратить расхождение копий (см. сообщение об ошибке ниже).
Рис. 9. Редактирование получателя на стороне службы заблокировано, чтобы избежать расхождений
Скоро появятся новые материалы!
Мы надеемся, что вы так же, как и мы, рады новому гибридному режиму в Центре администрирования Exchange! Ждите в ближайшее время другие статьи по таким темам, как миграция, единый вход через службы федерации Active Directory и отладка для гибридного развертывания.
Уоррен Джонсон (Warren Johnson)
Это локализованная запись блога. Исходная статья находится по адресу The Cloud On Your Terms (PART II): Managing Hybrid