Вопросы миграции Office 365 (часть 3)

Эта статья завершает мое интервью по вопросам перехода на Office 365 с Келси Эппс, техническим консультантом Concepps Group и Microsoft MVP для Office365, которая ведет блог технической поддержки Office 365 по адресу http://office365support.ca.
Митч: Я понимаю, что вам нужно подтвердить свой домен DNS, прежде чем вы сможете использовать его с Office 365, почему это так?
Келси: Проверка домена — это небольшой шаг в этом процессе, но очень важный. Это механизм, который защищает вас и Microsoft, где вы фактически подтверждаете право собственности на домен. Процесс прост; когда вы добавляете свой домен в Office 365, они будут генерировать случайное значение. Вы добавляете это значение в качестве записи TXT в общедоступный DNS. Затем Microsoft проверит предоставленное значение и введенное вами значение. Если они совпадают, домен регистрируется для использования с Office 365. Учитывая огромный размер Office 365, такие процессы, как проверка домена, автоматизированы. Если это не было частью процесса, ничто не мешает мне добавить любой домен, который я хочу, в свою учетную запись арендатора. После добавления домена в учетную запись арендатора его нельзя добавить в другую, если только он не удален из первой. Если бы этому позволили случиться, это было бы полной болью для вас и Microsoft.
Я задокументировал процесс добавления домена в Office 365. Посмотрите мой пост в БЛОГЕ — Добавление и проверка домена для НОВОГО Office 365.
Митч: Я также понимаю, что вам необходимо ввести общедоступные записи DNS, прежде чем вы сможете использовать свой домен с Office 365. Почему это необходимо?
Келси: Записи DNS жизненно важны для работы Office 365. Они сообщают вашему клиентскому компьютеру, где находится служба и как получить к ней доступ. Эти записи DNS должны быть введены в ваш общедоступный DNS и в ваш частный DNS (если требуется). Microsoft использует записи MX, CNAME, TXT и SRV для служб Exchange и Lync. Когда вы добавляете свой домен в Office 365, вам предоставляется список записей DNS. Одно предупреждение. Будьте осторожны при вводе записей DNS. Если вы находитесь в производственной ситуации, убедитесь, что вы знаете, что такое каждое значение DNS и что оно делает. Слишком раннее изменение записи MX может привести к тому, что клиентам будут возвращены сообщения электронной почты и отчеты о недоставке. Изменение CNAME автообнаружения приведет к многочисленным проблемам с подключением к Exchange, если у вас уже установлен Exchange 2007, 2010 или 2013. Изменение записей Lync SRV и CNAME приведет к многочисленным проблемам с обслуживанием и подключением, если у вас развернуты Lync 2012, Lync 2013 или OCS 2007. Помните, что DNS является ключом к подключению службы и клиента.
Я задокументировал процесс добавления домена в Office 365, включая добавление записей DNS. Прочтите мой пост в БЛОГЕ — Добавление и проверка домена для НОВОГО Office 365.
Митч: Что такое единый вход и как он работает с Office 365?
Келси: Это сложный вопрос, потому что большинство людей считают, что единый вход означает, что вы входите один раз и все. Это не так, потому что в Office 365 вам все равно будет предложено ввести учетные данные для определенных служб. Единый вход позволяет вам использовать одну учетную запись и пароль для доступа ко всем службам. Эта учетная запись, в случае Office 365, является учетной записью вашего локального домена. Это достигается с помощью имени учетной записи Active Directory UPN ([email protected]). Единый вход — это базовая служба, работающая в IIS и использующая SSL-сертификаты. Сеть проста, поскольку она ограничена использованием SSL (порт 443) из Интернета в DMZ, а затем из DMZ во внутреннюю сеть. Когда SSO включен, в Office 365 вам необходимо установить три службы в локальный домен Active Directory.
- Сервер AD FS — сервер служб федерации Active Directory — это сервер в той же сети, что и ваш контроллер домена AD. Это связующее звено между вашим AD и федеративным партнером. На этом сервере вам потребуется сторонний SSL-сертификат. Эту службу можно сделать высокодоступной, если настроить ее в конфигурации фермы и сбалансировать сетевую нагрузку. Для целей Office 365 я всегда рекомендую два сервера AD FS (виртуальные), размещенные на отдельных серверах Hyper-V. Имейте в виду, что вы выполняете аутентификацию со своими локальными учетными данными для служб в Office 365. Если эта служба выйдет из строя, у вас не будет доступа к Office 365. Этот сервер присоединен к домену.
- Прокси-сервер AD FS — это сервер, который используется для прокси-трафика проверки подлинности клиента от удаленных пользователей (из Интернета) на ваш внутренний сервер AD FS. Этот сервер размещается в демилитаризованной зоне и должен быть общедоступным для имени в сертификате SSL. Рекомендуется использовать тот же сертификат SSL, что и на сервере AD FS. Эта роль является необязательной, но если вы ее не развернете, то все удаленные службы (мобильные устройства, OWA, Outlook Anywhere и т. д.) не будут иметь никакого механизма для аутентификации в службах в Office 365. Поскольку стандартный офис изменился очень и очень многие люди работают удаленно или с мобильного устройства; Я также рекомендую настроить эту службу так же, как внутренние серверы AD FS. Реализуйте как минимум два прокси-сервера AD FS (виртуальные) с балансировкой сетевой нагрузки на отдельных серверах Hyper-V. Этот сервер не присоединен к домену.
- Синхронизация каталогов. Синхронизация каталогов — это служба, которая реплицирует ваши объекты AD (учетные записи пользователей и группы) (до 50 000) или подмножество объектов в вашу учетную запись арендатора в Office 365. В облаке мы можем применить лицензию к учетной записи и услуга предоставляется на основании применяемой лицензии. Синхронизация каталогов устанавливается как отдельный сервер и не может быть высокодоступной, поскольку после первоначальной синхронизации она не является критически важной. Если сервер синхронизации каталогов выходит из строя в течение определенного периода времени, служба по-прежнему поддерживается, поскольку пароли не реплицируются. Единственный эффект отключения службы заключается в том, что новые объекты и удаленные объекты не реплицируются в Office 365.
На этой схеме показано стандартное решение единого входа для Office 365. AD FS и прокси-серверы AD FS являются избыточными и сбалансированными по сетевой нагрузке. Серверы AD FS находятся во внутренней сети, а прокси-серверы AD FS — в демилитаризованной зоне. Брандмауэр обрабатывает маршрутизацию между двумя зонами и позволяет трафику передаваться через порт 443. Интернет никогда не взаимодействует напрямую с серверами AD FS, они запрашивают ретрансляцию через прокси-серверы AD FS. Directory Sync — это отдельный сервер, находящийся в вашей внутренней сети.
Рис. 1. Стандартное решение единого входа для Office 365
Митч: Еще один вопрос, Келси, насколько я понимаю, вы недавно получили от Microsoft награду Microsoft Most Valuable Professional (MVP). Каково это быть отмеченным как один из 5000 человек во всем мире, которые в настоящее время являются обладателями этой награды?
Келси: Да, 1 апреля 2013 года я получил награду MVP. Это настоящая честь и награда, к которой я отношусь очень серьезно. Я провел бессчетное количество часов в своем БЛОГЕ, в сообществе пользователей Office 365 и с клиентами; распространяя доброе слово об Office 365. Мне очень нравится этот продукт, поскольку он позволяет таким маленьким ребятам, как я, получать корпоративные услуги по небольшой цене.
Митч: Спасибо, Келси!
Келси Эппс — технический консультант Concepps Group и Microsoft MVP для Office365, ведет блог под названием «Блог технической поддержки Office 365» по адресу http://office365support.ca.