Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам:
- Введение в Exchange Online - BPOS (часть 1)
- Введение в Exchange Online - BPOS (часть 2)
- Введение в Exchange Online - BPOS (часть 3)
Введение
В предыдущей части этого цикла статей мы рассмотрели шаги, необходимые для настройки сосуществования почты между местной средой и Exchange Online. Если говорить точнее, мы добавили наш домен SMTP в MSOL и убедились, что сообщения, передаваемые между средами, отправлялись по защищенному TLS соединению.
В этой части мы установим инструмент синхронизации Microsoft Directory Synchronization и реплицируем пользователей, группы и контакты AD с местной Active Directory на MSOL в качестве отключенных пользовательских учетных записей. Мы также рассмотрим инструмент Directory Synchronization, который основан на Identity Lifecycle Manager (ранее известном как MIIS).
Итак, продолжим!
Включение Microsoft Online Services для Directory Synchronization
Теперь, когда наши сообщения электронной почты, передаваемые между местной средой Exchange и MSOL, защищены с помощью TLS, мы можем перейти к включению односторонней синхронизации с нашей местной среды на MSOL. Это делается в закладке Directory Synchronization вкладки Migration (миграция) в центре администрирования MSOL Administration Center, как показано на рисунке 1. Здесь необходимо отметить флажком опцию Прочитать план для синхронизации директорий (Read Plan for Directory Synchronization) в шаге первом, а затем нажать кнопку Включить (Enable) в шаге 2.
В результате откроется окно, как показано на рисунке 2. Прочтите его и нажмите Включить (Enable).
Заметка: Как вы видите в окне, показанном на рисунке 2, включение синхронизации директорий просто готовит MSOL к односторонней синхронизации директорий. Ничего не реплицируется с вашей местной среды, когда вы нажимаете кнопку Включить. Также обратите внимание, что после включения синхронизации директорий свойствами пользователей с почтовыми ящиками и почтовых групп и контактов необходимо управлять из оснастки Active Directory Users and Computers MMC в консоли управления Exchange Management Console/Shell вашей местной среды.
Установка и настройка инструмента Directory Synchronization
Следующим шагом будет загрузка инструмента Microsoft Online Services Directory Synchronization Tool с ссылки, предоставленной в шаге третьем (рисунок 2).
Инструмент Microsoft Online Services Directory Synchronization Tool используется для односторонней репликации пользователей, групп и контактов с Active Directory вашей местной среды в MSOL. Это означает, что инструмент необходимо установить на сервер участник в вашей Active Directory. Однако следует учитывать, что нельзя установить его на контроллер домена. К тому же, на момент написания этой статьи доступны только x86 версии данного продукта. Наконец, этот инструмент можно установить только на сервер Windows 2000 или 2003. В настоящее время инструмент нельзя установить на Windows Server 2008.
После загрузки и копирования инструмента на сервер, являющийся членом домена, куда вы собираетесь его установить, необходимо запустить мастера MSOL DirSync Tool Setup двойным нажатием на dirsync.exe (рисунок 3).
Это вызовет приветственную страницу мастера, как показано на рисунке 4. Нажмите Далее.
Далее у вас откроется страница лицензионного соглашения (рисунок 5). Прочтите его и нажмите Далее.
На следующей странице указывается место установки (рисунок 6). Обычно нет никаких причин менять умолчание, нажмите Далее.
Мастер установки начнет установку инструмента Microsoft Online Services Directory Synchronization Tool (рисунок 7).
Когда установка завершена, нажмите Далее (рисунок 8).
На следующей странице мы можем выбрать запуск Мастера настройки (Configuration Wizard) после нажатия кнопки Завершить (рисунок 9). Если вы хотите настроить репликацию сейчас, отметьте эту опцию.
На приветственной странице мастера настройки нажмите Далее (рисунок 10).
Теперь нам нужно ввести мандаты учетной записи с разрешениями службы администратора в среде MSOL. Обычно это учетная запись [email protected]. Сделайте это и нажмите Далее (рисунок 11).
Затем нам нужно ввести мандаты учетной записи с разрешениями администратора предприятия (Enterprise Admin) в нашей местной Active Directory. Сделайте это и нажмите Далее (рисунок 12).
Когда конфигурация завершена, можно нажать Далее (рисунок 13).
На странице завершения мы можем форсировать немедленную одностороннюю синхронизацию каталогов, нажав Синхронизировать каталоги сейчас (Synchronize directories now) (рисунок 14). Если вы выбрали эту опцию, синхронизация будет выполнена через три часа, а затем будет осуществляться каждые три часа. Давайте выберем немедленную синхронизацию и нажмем Закончить.
Теперь у нас откроется диалоговое окно, как показано на рисунке 15. Нажимаем OK, а затем проверяем успешность завершения репликации.
Есть несколько способов проверки того, что репликация в Exchange Online завершена успешно. Во-первых, я рекомендую открыть Лог приложений (Application log) на сервере с инструментом Directory Synchronization и найти событие Event ID 4 (рисунок 16). Если событие Event ID 4 зарегистрировано в журнале, это означает, что экспорт объектов Active Directory был завершен.
Если это так, то есть большая вероятность того, что вы увидите объекты AD, представленные в виде отключенных пользователей в среде MSOL. Итак, давайте перейдем в центр администрирования MSOL. Здесь необходимо нажать на закладку Список пользователей (User List) во вкладке Пользователи (Users). Затем нажмите Отключить учетные записи пользователей (Disabled user accounts) в левой панели. Это вызовет список всех пользовательских объектов AD, реплицированных с вашей местной Active Directory (должно выглядеть примерно как на рисунке 17).
Заметка: Можно также проверить репликацию с помощью более удобного способа. О нем можно прочесть в последнем разделе этой статьи.
Теперь нажмите закладку Exchange Online во вкладке Настройки службы (Service Settings) (рисунок 18). Здесь вы должны проверить наличие всех контактов и групп AD, существующих в вашей местной AD.
Когда наши пользователи, группы и контакты реплицированы в MSOL, мы объединили список глобальных адресов в среде MSOL, что означает, что пользователи MSOL теперь смогут отправлять сообщения местным пользователям, группам и контактам с помощью поиска этих объектов в стандартном GAL (рисунок 19).
Для всех пользователей, групп и контактов, реплицированных в MSOL, были настроены их стандартные местные почтовые адреса в качестве целевых адресов. Это означает, что вся почта, отправляемая на эти реплицированные объекты AD, будет перенаправляться соответствующим пользователям, группам и контактам в местной среде.
Рассмотрение механизма синхронизации каталогов
Позвольте мне предупредить вас о том, что последний раздел статьи предназначен для действительно помешанных на деталях. Вам необязательно знать эту информацию, но если вы помешаны на деталях или вам приходится иметь дело с множеством сценариев синхронизации каталогов в различных директориях, я уверен, что эта информация будет вам интересна.
Вы знали, что инструмент Microsoft Online Services Directory Synchronization Tool представляет собой простой сервер Identity Lifecycle Manager (ранее известный как MIIS), работающий с расширением пользовательского правила в фоновом режиме?
На самом деле, можно перейти в папку, где установлен инструмент (C:\Program Files\Microsoft Online Directory Sync), открыть каталог SYNCBUS | UIShell и найти здесь приложение miisclient.exe (рисунок 20). Для тех, кто не имеет познаний в области ILM/MIIS, скажу, что это приложение используется для настройки и планирования агентов управления (Management Agents), проверки недавно импортированных и экспортированных элементов, поиска метастрок и т.д.
Давайте откроем приложение miisclient.exe и подробнее рассмотрим агентов управления, созданных мастером установки инструмента Directory Synchronization.
В закладке Операции (Operations) (рисунок 21) мы видим запланированный запуск профилей и недавнюю статистику для каждого из них. Можно посмотреть, сколько объектов было реплицировано и т.п. Это лучшее место для диагностирования проблем, если вы являетесь опытным консультантом или администратором ILM/MIIS.
На рисунках 21 и 22 показаны агенты управления, которые были запущены во время первого выполнения синхронизации директорий.
Здесь видно, сколько объектов было импортировано в метастроку (207) и сколько (38) – экспортировано в метастроку целевой директории, которой является MSOL.
На рисунке 23 видно, что мастер установки Directory Synchronization создает двух агентов управления (MAs), один под названием SourceAD, который импортирует объекты с местной AD в метастроку. Второй, – под названием TargetWebService, экспортирует объекты из метастроки в целевую директорию, которой является система предоставления Exchange Online provisioning system.
Если вы откроете свойства TargetWebService MA и нажмете «Настроить информацию соединения (Configure Connection Information)» в левой панели, вы увидите, что он указывает на https://provsioning.microsoftonline.com/service.asmx (рисунок 24), который является целевым адресом системы предоставления Microsoft Online Services.
Наконец, давайте нажмем Инструменты (Tools) | Опции (Options) в меню. Здесь видно, что пользовательское расширение правил было специально создано для синхронизации директорий между местной AD и MSOL (рисунок 25).
Если нажать на закладку Агенты управления, затем правой клавишей нажать на SourceADMA и выбрать опцию Настроить профили запуска (Configure Run Profiles) в контекстном меню, то становится видно, что этот MA был настроен только на импортирование объектов из местной AD (рисунок 26). Это означает, что инструмент Directory Synchronization ничего не будет записывать в вашей местной AD.
Если вы нажмете правой клавишей на TargetWebService MA и выберите Настроить профили запуска в контекстном меню, вы увидите, что этот агент был настроен на экспортирование объектов в систему предоставления Exchange Online (рисунок 27). Это означает, что инструмент Directory Synchronization будет записывать данные на целевую систему.
Итак, мы дошли до завершения четвертой части, однако пятая часть будет опубликована очень скоро. Надеюсь, вам нравится этот цикл статей.
Заключение
В этой части серии статей о Exchange Online, мы рассмотрели шаги, необходимые для синхронизации директорий между местной средой и MSOL. Если говорить точнее, мы установили инструмент Directory Synchronization и реплицировали AD пользователей, группы и контакты с местной Active Directory на Exchange Online в виде отключенных пользовательских учетных записей. Затем мы подробно рассмотрели скрытые механизмы инструмента Directory Synchronization, который построен на диспетчере Identity Lifecycle Manager (ранее известном как MIIS).
В следующей части мы включим отключенные пользовательские учетные записи, которые создали в среде MSOL с помощью инструмента Directory Synchronization. Затем мы установим инструмент миграции Exchange online Migration Tool и начнем перемещение содержимого почтовых ящиков с местных почтовых ящиков в MSOL.
Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам:
- Введение в Exchange Online - BPOS (часть 1)
- Введение в Exchange Online - BPOS (часть 2)
- Введение в Exchange Online - BPOS (часть 3)