La nube a su medida (2.ª parte): Administración híbrida
Artículo original publicado el viernes, 21 de septiembre de 2012
Breve historia de la administración híbrida
El lanzamiento de Exchange Server 2010 venía acompañado de un servicio nuevo y revolucionario basado en la nube que hoy en día conocemos como Exchange Online para Office 365. En los primeros días de uso de la nube, se invirtió mucho tiempo y esfuerzo para lograr una migración rápida de los datos de usuarios y organizativos. Se dedicó especial atención a la implementación y la compatibilidad de la coexistencia de una empresa de Exchange local y un inquilino basado en web. Sin embargo, en el caso de las grandes empresas, de los abundantes comentarios se concluía que, además de la eficacia de la migración de datos, existe la apremiante necesidad de ofrecer una compatibilidad sólida que permita la coexistencia a largo plazo de las plataformas locales y la nube. Las grandes empresas han hablado y han pedido una experiencia de administración de fidelidad total y sin concesiones para los correos basados localmente y en la nube.
Exchange Server 2010 fue la primera versión en ofrecer una solución de coexistencia entre locales de local más Exchange Online ampliando las funciones existentes en la Consola de administración de Exchange (EMC). EMC es un cliente de Windows basado en MMC originalmente adaptado para administrar implementaciones a gran escala de servidores de empresa que, más tarde, se convirtió en la Consola de administración de Exchange de hecho que ahora conocemos simplemente como “híbrido”. EMC facilitaba una migración eficaz de los datos a la nube (Office 365), proporcionaba una administración de destinatarios entre locales, incluida la edición en masa, y permitía administrar la mayoría de los objetos y las directivas de nivel de la organización.
EMC se suele usar en servidores x64 individuales que hospedan roles de Exchange Server o, de forma independiente, en estaciones de trabajo a través de la instalación “Solo herramientas de administración”. Es una herramienta de solo administración de Windows, lo que significa que depende de servicios locales, como WinRM, para comunicarse con servidores remotos a través del protocolo de PowerShell.
Ilustración 1: Administración híbrida con Exchange Server 2010
En la administración híbrida, EMC permite a los administradores agregar un segundo "árbol" al panel de la consola para ver a todos los destinatarios, hacer migraciones de buzones y administrar objetos organizativos relacionados con el inquilino de Exchange Online. Una implementación exclusiva de Exchange Online no necesita aplicar EMC para la administración, ya que se usa la consola simplificada “Panel de control de Exchange” (ECP), que también era una novedad en Exchange Server 2010.
Pero ¿qué significa "híbrido"?
El método híbrido no se debe ver como una oferta única de un servidor Exchange, sino más bien como un estado de coexistencia donde un servidor local y un servicio basado en Internet interactúan. El concepto de hibridez no es exclusivo de la línea de productos de Exchange y también se puede encontrar en la familia más amplia de servidores de Microsoft Office, como SharePoint y Lync.
En el caso de Exchange híbrido, suele implicar la distribución de un conjunto de buzones y directivas entre locales y en Office 365 para que actúen como una organización "virtual". En anteriores entradas del blog dedicadas a la instalación y la implementación híbridas, explicamos que, desde la perspectiva de ambas plataformas, este estado de coexistencia se ve como una implementación interna. Por ejemplo, los certificados se agregan automáticamente durante el flujo de correo entre locales que sale de inquilinos de Office 365 y se envía a destinatarios locales: de esta forma, se considera que el correo enviado parte de la misma organización, aunque en realidad llega por Internet a través de conectores de correo híbrido independientes.
Existen muchas posibilidades y alternativas para organizar los destinatarios entre locales y en el servicio Office 365 de forma que la disposición se adapte a las necesidades de la organización. Por ejemplo, una organización puede planear mover el 100 % de los destinatarios locales al inquilino en un plazo de dos años, otra puede preferir agregar todos los buzones de salas de recursos al inquilino de Office 365 inmediatamente, mientras que otra usará el inquilino en línea para hospedar los buzones de los archivos en línea de forma segura. El objetivo es ofrecer flexibilidad en la hibridez para cubrir las necesidades de su negocio.
La administración híbrida en el nuevo Exchange
Esta publicación del blog es la continuación de “La nube a su medida (1.ª parte)”. Aquí nos centraremos principalmente en el “estado fijo” de la administración híbrida, especialmente en los escenarios más comunes.
En esta publicación, consideraremos que se cumplen los requisitos previos:
- Se han instalado por lo menos un rol de servidor Acceso de clientes (CAS15) y un rol de servidor Buzón de correo (MBX15) de Exchange Server 2013, uno de cada tipo por separado o ambos en un solo servidor, por ejemplo, en un entorno de interoperabilidad que tenga una edición anterior de Exchange Server.
- La versión del inquilino de Office 365 debe ser 15.0.000.0 o posterior para configurar una implementación híbrida con Exchange Server 2013. Visite el sitio de Office 365 para consultar los últimos detalles sobre las licencias y los planes de precios.
- Ha habilitado la coexistencia en el Portal de administración de Office 365 y ha seguido todos los pasos de los otros requisitos previoscomo se indica, incluida la comprobación de que es el propietario del dominio de coexistencia.
- Tiene acceso a las credenciales de la cuenta “administrador de inquilinos” de Microsoft que se necesitan para obtener acceso al inquilino de Office 365.
- Todas las dependencias locales están dispuestas, por ej., se ha instalado la sincronización de Active Directory.
- El Asistente para configuración híbrida se ha ejecutado correctamente. Puede que haya sido necesario actualizar las opciones de configuración híbrida anteriores si ya estaba usando el modo híbrido con Exchange 2010 y Office 365.
- No está usando la cuenta de destinatario integrada "administrador". Siga leyendo para averiguar por qué la cuenta no es compatible con la administración híbrida.
Ilustración 2: Asistente para configuración híbrida para el nuevo Exchange según se revisó en una publicación anterior de Ben Appleby
La nueva consola híbrida del Centro de administración de Exchange
Para empezar, presentamos una guía con anotaciones de la nueva consola de administración híbrida del Centro de administración de Exchange (EAC) del nuevo Exchange:
A) Títulos “Empresa” y “Office 365”: úselos para alternar entre la implementación local y el inquilino en línea de Office 365
B) Lista central única y consolidada donde aparecerán todas las notificaciones independientemente de dónde se hayan originado y del título en que se encuentre, por ejemplo, para seguir las migraciones de los buzones de local a Office 365
C) Vista de lista única que contiene todos los destinatarios de ambas plataformas
D) Panel de detalles de los buzones hospedados remotamente (en Office 365)
E) Punto de entrada de la migración de buzones a través de la pestaña de navegación
Novedades de la administración híbrida en Exchange
La filosofía híbrida del nuevo Exchange es muy simple: ofrecerle al administrador una consola única y conocida que pueda usar desde casi cualquier lugar para administrar la organización entre locales inclusiva.
Esta es una breve lista de las novedades:
1) Sacamos partido de una nueva consola basada en el explorador para administradores de Exchange que incluye todas las características. Esto significa que se reducen los costos de mantenimiento para que las instalaciones híbridas "Herramientas de administración" estén actualizadas. Con solo actualizar los servidores Buzón de correo de Exchange Server 2013, todos los administradores del EAC estarán al día.
2) Dependiendo de la configuración de seguridad del directorio virtual IIS del ECP (el nombre de protocolo del EAC) definida en los servidores Buzón de correo, puede elegir permitir el acceso a administradores externos e internos o únicamente a los internos para máquinas unidas a dominios.
3) Desde una pestaña del explorador puede controlar todos los destinatarios y objetos organizativos (como listas de direcciones y directivas).
4) Un único conjunto consolidado de notificaciones de Exchange en todas las plataformas.
5) Compatibilidad para el inicio de sesión único a través de ADFS 2.0 (próximamente se publicarán más temas sobre la implementación y administración del inicio de sesión único). Hay disponible más información sobre cómo prepararse para usar el inicio de sesión único en Office 365.
Ilustración 4: Módulo de inicio de sesión único de ADFS del modo híbrido
6) Administre “Otro usuario…” entre locales: para llevar a cabo un escenario del servicio de asistencia, como establecer el mensaje de Fuera de la oficina en nombre de otro usuario que esté de vacaciones, solo tiene que usar la opción “Otro usuario…” que verá junto al nombre para mostrar, en la esquina superior derecha de la consola, para ver una lista completa de destinarios de todas las plataformas.
Ilustración 5: Administrar vista Destinatarios combinada de "Otro usuario..."
Empezar a usar el modo de administración híbrida para Exchange Server 2013
Si ya ha ejecutado el Asistente para configuración híbrida (HCW) o el cmdlet Update-HybridConfiguration directamente en PowerShell, ya está usando el modo híbrido del EAC. De hecho, al hacer clic en "habilitar" en la pestaña “Híbrido” del EAC, se le pedirán las credenciales de la cuenta Microsoft y, cuando se encuentre su inquilino, se le redirigirá al EAC, pero esta vez en el modo híbrido.
No hay que hacer nada especial para entrar en el modo híbrido después de ejecutar el HCW correctamente porque, además de habilitar escenarios clave, como los servicios de flujo de correo y de uso compartido de datos (es decir, de información de disponibilidad) entre locales, el asistente crea artefactos locales que, cuando están presentes, habilitan automáticamente el modo híbrido para el EAC. En concreto, Update-HybridConfiguration (a través del HCW) crea el objeto especial Dominio remoto que, cuando el EAC detecta un propiedad –TargetDeliveryDomain (TDD), inicia el modo híbrido del EAC de forma automática.
Una de las principales diferencias que verá al usar el modo híbrido es que, al hacer clic en la pestaña "Office 365", se le pedirá que inicie sesión en el inquilino en línea usando las credenciales de la cuenta Microsoft o de ADFS. Recuerde que, por motivos de rendimiento, el EAC almacena en caché si se debe o no usar el modo híbrido para evitar las comprobaciones cada vez que se inicie sesión (el estado de caché se actualiza automáticamente cada 30 minutos). Si ha creado manualmente un Dominio remoto con un TDD y necesita empezar a usar el modo híbrido inmediatamente, debe reiniciar IIS en los servidores Buzón de correo de Exchange Server 2013.
Ilustración 6: Punto de entrada del Asistente para configuración híbrida
Administración híbrida en una implementación de interoperabilidad local
Al llevar a cabo una administración híbrida en un entorno de interoperabilidad local donde existen servidores de Exchange 2010 o Exchange 2007, hay que tener en cuenta algunas cosas.
En una implementación de interoperabilidad, existen funciones agregadas que debe usar con el URI con el que obtiene acceso a la implementación cuando inicia sesión si su buzón de administrador no está en el nuevo Exchange. Estas claves de URI no se agregarán de forma predeterminada en la mayoría de los casos, pero deberá informarse cuando salgan nuevas versiones, ya que estas podrían incluir vínculos predefinidos. Recomendamos incluir en marcadores los URI con emparejamientos clave-valor para que se puedan consultar fácilmente.
Característica de interoperabilidad | Notas |
---|---|
Si su buzón de administrador no se ha migrado todavía al nuevo Exchange, debe usar el par clave-valor “ExchClientVer=15” para asegurarse de que se le redirige a un servidor Buzón de correo de Exchange Server 2013 y no al servidor donde reside su almacén de buzones.
Esto se aplica a las cuentas "Usuario de correo" que no tienen almacenes.
Por ejemplo: https://contoso.com /ecp?ExchClientVer=15 |
Esto se aplica únicamente a la administración local. Los servidores Acceso de clientes de Exchange Server 2013 redirigirán de forma predeterminada a un servidor Buzón de correo basado en la misma versión del buzón asociado a las credenciales. Esto también se aplica a las cuentas "Usuario de correo" porque, aunque no tienen un almacén de buzones, contienen una referencia al buzón del sistema donde se crearon, a menos que se haya migrado anteriormente. Cuando instale Exchange Server 2013 localmente, en la última fase del instalador verá un vínculo que agrega “ExchClientVer=15” automáticamente para ayudarle a navegar fácilmente hasta el EAC. |
Use la sugerencia “cross=1” para emplear el modo de autenticación ADFS en el inicio de sesión único
Por ejemplo: https://contoso.com /ecp?ExchClientVer=15&cross=1 |
Los módulos compartidos de autenticación del protocolo ECP y OWA necesitan una sugerencia para usar el modo ADFS. El directorio virtual de Outlook Web App no es compatible con el método de autenticación ADFS. |
Un aviso de que la cuenta “administrador” integrada de Exchange Server no se debería usar con la administración híbrida:
Si intenta usar la cuenta “administrador” en un inicio de sesión único (SSO) a través de ADFS, no podrá administrar el lado “Office 365” de una implementación híbrida |
Este procedimiento recomendado se aplica a entornos de interoperabilidad y de no interoperabilidad.
La cuenta “administrador” integrada de Exchange no se sincroniza entre local y el inquilino de Office 365 a través de la sincronización de directorios de Microsoft Online (“DirSync”)
Si intenta usar “administrador” para administrar el lado inquilino híbrido, verá un error de ADFS porque no existe una cuenta “Usuario de correo” correspondiente en Office 365.
El usuario “administrador” no se sincroniza siguiendo las reglas de sincronización de directorios; usa las notas isCriticalSystemObject = TRUE en las propiedades de objeto. |
Administrar los destinatarios en el modo híbrido
En la pestaña "buzones" del título “Empresa” existe una lista completa de todos los destinatarios. Debe tener en cuenta algunas cuestiones al crear y administrar destinatarios en el modo híbrido.
Una regla sencilla que se debe seguir al aprovisionar o modificar cualquier destinatario en el modo híbrido es usar siempre el lado "Empresa" local. Se debe hacer así por la naturaleza mayoritariamente unidireccional de la sincronización de los servicios de sincronización de directorios de MSO. Además, garantiza que el local y el inquilino tengan las mismas copias de los detalles de todos los destinatarios de Active Directory.
Ilustración 7: Buzones locales designados como Usuarios de correo en un inquilino de Office 365
Tipo de destinatario | Notas |
---|---|
Buzones de usuarios locales | Crear como normal desde el título "Empresa". Estos se sincronizarán con el inquilino y mientras se sincronizan se pueden comprobar en la pestaña “contactos”, en “Office 365” (ilustración superior), donde se pueden crear como “Usuarios de correo” dentro del inquilino. Al reflejar a los usuarios en línea como “Usuarios de correo”, se puede compilar una Lista global de direcciones (GAL) completa. |
Usuario con buzón principal local y buzón de archivo en el inquilino de Office 365 | Los buzones de archivo para los buzones principales locales pueden crearse en el inquilino (ilustración superior) o se pueden migrar desde la plataforma local. |
Usuario con buzón principal de Office 365 | Reflejado como buzón “Office 365” en el lado “Empresa”. Los objetos remotos que corresponden al resultado “RecipientTypeDetails” del cmdlet Get-Mailbox cuando se ven en PowerShell son iguales a Usuarios de correo con un parámetro especial agregado (en particular, RemoteRoutingAddress) que da instrucciones al servicio de sincronización de directorios de Microsoft Online para que sincronice este Usuario de correo con el inquilino de Office 365. |
Contactos de correo y grupos de distribución | Estos tipos de objetos se sincronizan automáticamente con el lado Office 365 y residen en la misma ubicación en ambos lados. Actualmente, el servicio de sincronización de directorios filtra y excluye (no sincroniza) los grupos locales de más de 15.000 miembros. |
Aprovisionar buzones nuevos en Office 365
Para aprovisionar un buzón nuevo de Office 365 en el modo híbrido, empiece en la pestaña "buzón" local y luego seleccione el tipo de buzón "Office 365" en la lista desplegable del icono nuevo. Crear un buzón en el inquilino puede afectar a las licencias disponibles de los clientes. Vea las licencias disponibles y los planes en el Portal de Office 365 usando las credenciales de la cuenta Microsoft.
Ilustración 8: Crear un buzón de Office 365
Verá que en el lado servicio de “Office 365” no hay ninguna opción para crear un buzón desde el EAC en el modo híbrido. Esto garantiza que todos los buzones nuevos se aprovisionen desde el lado local con copias completas de los destinatarios. Puede aprovisionar un buzón nuevo de Office 365 directamente desde el Portal de Office 365, pero esto no se debe usar en implementaciones híbridas porque el buzón no se sincronizará de Office 365 a local y pueden surgir problemas en el flujo de correo.
Tampoco se recomienda ni está permitido modificar destinatarios en el modo híbrido desde el lado “Office 365”, ya que el destinatario quedaría desactualizado en un lado de la implementación entre locales. De hecho, las reglas de validación de tiempo de ejecución del control de acceso basado en roles (RBAC) bloquean esta operación para impedir que haya divergencias entre las copias (vea el mensaje de error de abajo).
Ilustración 9: La edición de destinatarios en el lado servicio se bloquea para evitar divergencias
¡Mucho más próximamente!
Esperamos que esté tan emocionado como nosotros con el nuevo modo híbrido del Centro de administración de Exchange. Próximamente publicaremos más artículos sobre la migración, el inicio de sesión único a través de ADFS y la depuración en el modo híbrido.
Warren Johnson
Esta publicación del blog es una traducción. Puede leer el artículo original en The Cloud On Your Terms (PART II): Managing Hybrid