Cấu hình Exchange Hybird và DirSync quản lý User AD bằng Azure
Tiếp nối bài trước,
Doanh nghiệp của bạn đang sử dụng Exchange On-premit. Nhưng cloud là xu thế của công nghệ, làm giảm thiểu gánh nặng cho người IT. Nhưng bạn đang lo lắng việc chuyển lên sử dụng nền tảng Cloud (Office 365) có vướng phải các vấn đề về bảo mật thông tin gì hay không? Chính vì thế mô hình hybird ra đời để giải quyết bài toán trên.
- Vừa tận dụng được sự linh hoạt của Cloud Computing.
- Không cần phải public ra quá nhiều thông tin.
- Vẫn giữ được các kết nối đến những app khác trong hệ thống của bạn.
Hôm nay mình sẽ hướng dẫn cho mọi người cách để cấu hình dịch vụ Hybird Exchange trên nền tảng Exchange 2013. Nội dung bài lab.
- Cài đặt
- Cấu hình cơ bản (ở đây không phải trọng tâm của bài lab nên mình sẽ không hướng dẫn kỹ vấn đề trên)
- Cấu hình Hybird Exchange kết hợp với DirSync để quản trị user AD trên Azure
- Migration Mailbox
- Mô hình tổng thể và phân hoặc IP
I. Cài đặt Excange 2013
Bước 1: Cài đặt các role và feature cần thiết cho Exchange 2013Bật Windows PowerShell và cài đặt feature RSAT-ADDS bằng câu lệnh: Install-WindowsFeature RSAT-ADDS. Nhấn Enter
Sau đó cài các feature khác bằng dòng lệnh
Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation
Sau đó restart lại server Exchange
Bước 2: Cấu hình DNS cho Exchange
Chuẩn bị MX và trỏ về địa chỉ mail.itforvn.vcode.ovh với priority là 10
Bước 3: Tải về phần mềm Unified Communications Managed API 4.0 Runtime và Microsoft Office 2010 Filter Pack 64 bit lưu trên server Exchange
Ta tiếp tục cài đặt Microsoft Office 2010 Filter Pack 64 bit.
Màn hình Welcome, bạn nhấn Next
Màn hình Microsoft Filter Pack 2.0, bạn nhấn Next
Khi bạn nhận được thông báo Microsoft Filter Pack 2.0 Setup has completed successfully nghĩa là quá trình cài đặt hoàn tất, bạn nhấn nút OK.
Tiếp theo , ta sẽ cài đặt Microsoft Office 2010 Filter Pack SP1 64 bit
Màn hình License Terms, bạn nhấn Continue.
Sau khi cài đặt xong, bạn nhấn OK.
Cài đặt Unified Communications Managed API 4.0 Runtime
Cài Microsoft Office 2010 Filter Pack 64 bit.
Bước 4: Install Exchange
Extract file Exchange
Chạy file setup
Màn hình checkupdate hiện ra, chọn Connect to the internet and check for update nếu muốn update phiên bản mới nhất. Ở đây, em chọn Don’t Check update
Màn hình Introduction, nhấn Next
Chấp nhận các thông tin bản quyền và nhấn Next
Cho phép kiểm tra sự cố online và gửi phản hồi cho Microsoft
Chọn 2 Role cần thiết là Mailbox role và Client access role. Sau đó nhấn Next
Chọn đường dẩn cài đặt
Name của tổ chức
Mặc định là chọn Yes để sử dụng chức năng Malware Protection (bảo vệ E-Mail bằng cách quét virus và spyware). Ở đây, em chọn No để không sử dụng. Nhấn NextChờ đợi quá trình kiểm tra và nhấn Install khi quá trình này hoàn tất
Giao diện Exchange 2013
II. Cấu hình cơ bản
Task 1. Cấu hình Connector
Mặc định Exchange có thể nhận mail nhưng không thể gửi ra ngoài internet. Phải cấu hình Send Conectors.
Các thông số như sau: “SMTP” “*” “1”
Chọn địa chỉ source
Kết quả:
2. Enable mailbox Exchange từ User AD
Bởi vì Exchange được cài đặt sau khi tạo User trong AD. Phải Enable mailbox trong địa chỉ accout của AD. Log on vào Active Directory User and Computer.
Mặc định Email và Exchange không có hiển thị trong AD. Phải Clic vào View/ And/Remove…
Add vào Exchange Alias và Email Address
Mặc định chỉ có User admin được cung cấp địa chỉ Email của Exchange
Những user khác sẽ không có Email nếu như chưa được Enable Mailbox
Dùng Powershell Script để enable mailbox cho tất cả user của OU ITFORVN
Script:
import-Module ActiveDirectory
$Users = Import-Csv -Path "C:\multiUser.csv"
foreach($User in $users)
{
$Displayname = $User.'Firstname' + " " + $User.'Lastname'
Enable-Mailbox -Identity "$Displayname"
}
File Excel tạo User ban đầu:
Vào user của AD để kiểm tra
Vào web Exchange Admin để kiểm tra
3. Tạo group trong Exchange 2013
Tạo group
Add user vào group
Kết quả sau khi tạo group
4. Policy và Rule trong Exchange 2013
Trong giao diện của Exchange 2013, chọn mail flow để có thể tạo rules
Cấu hình Exchange nhận Email replay từ bên ngoài
Tạo 1 rule khi user 10 gửi mail hệ thống sẽ forward 1 bản lại cho user hieu
Kết quả
Tạo DLP
Tạo rule khi có nội dung "financial" thì sẽ gửi 1 bản cho user hieu -> Save
5. Public dịch vụ cho Exchange
Đăng nhập vào Admin của Exchange, chọn Server, virtual domain.
Click vào các dịch vụ public tất cả các dịch vụ ra ngoài
Tương tự với các dịch truy cập các.
Sau khi public dịch vụ xong kiểm tra lại với https://testconnectivity.microsoft.com
Chọn Exchange ActiveSync
Thêm vào các thông số như hình, không được lấy user administrator để test.
Xong chạy Test, nếu xanh hết là tốt.
6. Cấu hình Certificate
Đây là một bước cực kỳ quan trọng đó là cấu hình Certificate cho Exchange, ở đây chúng ta cần chuẩn bị cho môi trường Hybrid, do đó bắt buộc chúng ta phải sử dụng 3rd party trust authority. Dưới đây là danh sách cách nhà cung cấp Certificate được khuyến cáo từ chính hãng Microsoft.
Mình đã mua SSL comodo và thực hiện cài đặt vào Exchange
Truy cập IIS, click chọn Certificates
Add SSL đã mua từ Comodo vào hệ thống
Kết quả sau khi đã thêm SSL vào
Thêm SSL vào trang Web, ở Default Web Site, chọn Bindings…
Cửa sổ Edit Site Binding, SSL chọn lab.itforvn.vcode.ovh
Kết quả sau khi cấu hình, nếu thành công thì sẽ không còn lổi đỏ trên thanh url
IV. Cấu hình Hybird Exchange kết hợp với DirSync để quản trị user AD trên Azure
Đây là bước rất quan trọng, để bảm bảo thực hiện thành công, chúng ta phải kiểm tra lại tất cả các bước đã thực hiện ở trên đảm bảo không bị sai sót hoặc lỗi. Chi tiết thực hiện như sau:
Cấu hình phải thực hiện trong mạng local, để xác thực ra được máy chủ cài Exchange.
Add domain ITFORVN.COM tới Office 365
Bước 1: Trước tiên phải enable cookie trên trình duyệt và allow những domain sau:
Bước 2: Đăng nhập vào EAC, vào mục Hybrid và chọn Enable
Bước 3: Sign in tới office 365
Bước 4: Đăng nhập tài và mật khẩu của office 365
Bước 5: Cấu hình sẽ tự động load
Bước 6: Microsoft Office 365 Hybirh Configuraution Winzard Download hiện ra, click here
Bước 7: Sau đó install ứng dụng hybird
Bước 8: Cấu hình hybird được load lên.
Bước 9: Quá trình detect tự động ra SVR EXC
Bước 10: chúng ta nhập Username/Password của account có quyền quản trị trên On-premise domain và Office 365
Bước 11: Chờ tới khi chương trình kết nối tới máy chủ CAS và Office 365 Successed, ta nhấn next để tiếp tục
Bước 12: Tiếp theo ở mục Uesr Provisioning, click chọn Synchronize my user and pass one time. Để thực hiện cấu hình DirSync. Trong các mô hình triển khai hệ thống Hybrid, DirSync đóng vai trò rất quan trọng trong việc đồng bộ thông tin người dùng giữa Active Directory trên máy chủ On-premises với Azure Active Directory.
Hình sau sẽ cho thấy cơ chế DirSync đồng bộ hóa thông tin người dùng đến Office 365, bao gồm thông tin tên tài khoản đăng nhập, mật khẩu.
Bước 13: Quá trình sẽ Install Microsoft Azure AD Connect
Ở màng hình Welcome to Azure AD Connect, click chọn Continue
Ở màng hình Express Settings, chọn Use express settings
Connect to Azure AD, nhập thông tin tài khoản Azure đã đăng ký.
Connect to AD DS, nhập thông tin user/pass Administrator của AD on-premit
Cuối cùng là Install
Quá trình cài đặt và cấu hình DirSync
Cuối cùng quá trình hoàn tất và nhấn Exit để thoát
Bước 15: Ở cửa sổ Office 365 Hybird Configuration, sau khi hoàn thành connect Azure Active Directory Connect, nhấn Next để quá trình tiếp túc được cấu hình
Bước 16: Tab Hybird Features chọn Full Hybird Configuration, click Next
Bước 17: Xác thực Domain Ownership, tạo 1 record TXT với giá trị Token trên tên miền itforvn.vcode.ovh và verify, sau khi verify domain thành công có thể click Next.
Bước 18: Quá trình verify domain ownership
Bước 19: Ở mục Hybird Conifguration,
Chọn kiểu transport route mail, cho phép toàn bộ email sẽ route qua Exchange Online hoặc toàn bộ Route qua Exchange On-Premise (Enable Centralized mail transport ) hoặc qua máy chủ Edge On-premise, tùy nhu cầu sử dụng ta có thể chọn, ở đây chúng ta chọn Configure my Client Access and Mailbox servers for secure
Bước 20: Lựa chọn máy chủ làm nhiệm vụ Rececive Connector từ Exchange online, máy chủ này bắt buộc phải là CAS Role, chọn EX01 và nhấn next để tiếp tục.
Bước 21: Chọn tiếp máy chủ làm nhiệm vụ gửi mail từ on-premise lên Exchange Online, server này bắt buộc phải có Mailbox Server Role, ta chọn EX01 và nhấn Next để tiếp tục.
Bước 22: Transport Certificate, chọn lab.itforvn.vcode.ovh
Bước 23: Nhập FQDN của on-premise domain để hệ thốn cấu hình outbound mail connector cho việc route mail từ Exchange Online Protection tới On-Premise.
Bước 24: Toàn bộ việc cấu hình đã hoàn tất, chúng ta nhấn Update để chương trình tự động apply cấu hình trên hệ thống On-premise và Office 365
Quá trình hoàn tất, nhấn Close
Sau khi cấu hình Hybird hoàn thành, có thể quản trị Office 365 trên giao diện của Exchange on-premit
Bước 25: Kiểm tra
Để kiểm tra việc cấu hình thành công hay không, chúng ta vào phần Organization / Sharing sẽ thấy các mục như bên dưới. Lưu ý là mục này tự động tạo, chúng ta không được cấu hình bằng tay.
Vào mục Mail flow / Accepted domain chúng ta thấy domain mới được tự động tạo
Vào mục Recipient / mailbox, bạn mở xem thông tin của một mailbox bất kỳ email address sẽ thấy có một smtp mới trỏ về địa chỉ itforvn.onmicrosoft.com
Tiếp tục vào phần Mail flow / Send connectors, chúng ta sẽ thấy có một Sendconnector mới tự động tạo với tên Outbound to Office 365
Nhấn edit để xem thông tin của Send connector này, chúng ta thấy email sẽ được route từ EX01 lên Exchange Online Protection của Microsoft
Bước 26: Enable DirSync trên Office 365
Tại màn hình Dashboard -> chọn “Active Users”
Tại mục “Active Directory synchronization” -> Chọn “Set up”
Màn hình Wizard sau mô tả quá trình 7 bước triển khai DirSync để bạn có thể tham khảo thêm -> Tại mục số “3 Activate Active Directory synchronization” -> Chọn “Active”
Chọn “Activate” tại màn hình xác nhận kích hoạt tính năng này
Kết quả trạng thái của mục 3 đã thay đổi như sau
Bước 27. Kiểm tra lại trạng thái Dir Sync
Đăng nhập vào Office 365 để kiểm tra.
Đăng nhập vào Azure để kiểm tra
V. Migration mailbox
Tiếp theo, ta sẽ tiến hành migrate thử email từ máy chủ Exchange on-premise lên Office 365.
Đăng nhập Exchange Admin Center của Office 365 để tiến hành Migration.
Ở đây chúng ta có hai tùy chọn migrate từ On-Premise lên Office 365 hoặc migrate từ Office 365 xuống On-Premise. Ta chọn option 1
Chương trình hỗ trợ rất nhiều kiểu Migration bao gồm:
Remote move migrations: tùy chọn này cho phép migrate on-premises Exchange mailboxes to Exchange Online trong môi trường Exchange hybrid deployment. Kiểu di trú này có khả năng như sau:
o User account được quản lý trên on-premises organization.
o Directory được đồng bộ giữa on-premises và Exchange Online organizations.
o Cho phép Single sign-on mailboxes trên on-premises hoặc Exchange Online organization.
o Secure mail routing giữa on-premises và Exchange Online organizations.
o Chia sẻ Free/busy và calendar sharing giữa on-premises và Exchange Online organizations.
Staged Exchange migrations: Với kiểu tùy chọn này, chúng ta có thể migrate mailboxes ở on-premises Exchange lên Exchange Online trong một batches. Tùy chọn này sử dụng trong trường hợp chúng ta có kể hoạch như bên:
o Chúng ta migrate vĩnh viễn account email On-premise lên Office 365.
o Chúng ta có kể hoạch migrate mailboxes to Exchange Online trong thời gian trên vài tuần hoặc vài tháng.
o Chúng ta có kể hoạch quản lý account ở on-premises và đồng bộ on-premises Active Directory với Exchange Online.
o Hệ thống hiện tại đang sử dụng Exchange 2003 hoặc Exchange 2007. Điều này có nghĩa Staged migration không hỗ trợ migrating Exchange 2010 hoặc Exchange 2013 mailboxes.
o On-premises Exchange organization sô lượng hơn 2,000 mailboxes.
Cutover Exchange migrations: trong tùy chọn này, tất cả mailbox trên on-premises Exchange organization sẽ migrate lên Exchange Online trong một migration batch. Global mail contacts và distribution group cũng sẽ được migratae. Cutover Exchange migration sẽ tốt trong trường hợp:
o Chúng ta có kế hoạch di trú toàn bộ email organization lên Office 365 và quản lý user account trên Office 365.
o Chúng ta có kế hoạch migrate mailboxes lên Exchange Online trong thời gian vài ngày.
o Phiên bản Exchange hiện tại phải từ Exchange 2003 trở lên
o On-premises Exchange organization ít hơn 2,000 mailboxes.
IMAP migrations: trong tùy chọn này, toàn bộ nội dung của mailbox trên hệ thống IMAP messaging system sẽ migrate sang Exchange Online mailboxes. Chúng ta sẽ sử dụng IMAP migration trong trường hợp:
o Exchange Online mailboxes bạn muốn migrate phải có sẵn, khi migrate từ IMAP system qua Office 365, các account này sẽ không tự động tạo.
o Chỉ có các items trong inbox hoặc mail folders được migrate. Contacts, calendar items, và tasks không được migrate.
o Các tổ chức vừa và nhỏ đang sử dụng IMAP hosted trên Service Provider.
Trong trường hợp này, chúng ta chọn Remote move migration
Chọn account muốn di trú, lưu ý đây là account on-premise
Nhập Username/Pasword có quyền quản trị trên On-premise domain
Nhập tên MRS proxy Server sẽ thực hiện việc di trú
Đặt tên cho migration batch và tùy chọn số lượng items bị lỗi tối đa có thể bỏ qua khi di trú
Chọn account email Office 365 sẽ nhận email report của việc Migrate này, các tùy chọn khác chọn Automatically
Chờ tới khi hệ thống báo như bên dưới là ta đã thực hiện thành công
Vậy là chúng ta đã hoàn thành cấu hình Hybird Exchange và quản trị User AD với Azure.
Tiếp theo mình sẽ có một bài lab hướng dẫn về phân hoạch OU, User, Group, Policy trên AD và các lab về Azure. Mong anh em đón nhận và ủng hộ.
Tác giả : Nguyễn Thành Hiếu ( Diễn đàn ITFORVN.COM ) Facebook https://www.facebook.com/profile.php?id=100004428936723
Các bạn có thắc mắc có thể liên hệ admin tại fanpage: https://www.facebook.com/groups/itforvn. Bên cạnh đó các bạn truy cập vào website: https://portal.itforvn.com/ để biết thêm chi tiết.
