msg205 – coexistence et migration vers exchange online 2 office 365: coexistence et migration...

MSG205 – Coexistence et Migration vers Exchange Online 2

Office 365: Coexistence et migration depuis Exchange 200x vers Exchange Online

Mercredi 9 Février 2011Guillaume Bordier, gbordier@microsoft.comArchitect Microsoft Services France / Consultinghttp://blogs.technet.com/frmcsuc

MSG205

Microsoft Services:Un accompagnement global de nos clients

Architecture & PlanningPlanification

Conseil et ProjetsDéploiement et adoption

SupportOptimisation et Opération

Evaluation

Planification

Développement

Déploiement

Stabilisation

Opérations

Support

Support Premier

Enterprise StrategyConsulting Services

Division Services France 2010

• 180 Consultants• 125 Technical Account Managers • 190 Ingénieurs Support• 17 Responsables de Mission• 41 Partenaires référencés

www.microsoft.fr/services

Division Services Monde 2010

• 82 pays couverts• 18 000 employés• 35 000 partenaires• 44 langues parlées par nos ingénieurs

Criticité du projet

Maturité de la technologie

Partenaires

Notre engagement auprès de nos partenaires est : • De leur assurer un transfert d’expertise,• De leur apporter notre support sur les

dernières technologies, • De leur donner accès aux meilleures

pratiques de mise en œuvre et de support.

Nos clients et partenaires sont particulièrement satisfaits par…

• Le niveau d’engagement des consultants : 94%• La gestion de l’équipe de projet : 92%• Les compétences techniques des consultants : 91%• La relation avec les équipes du client : 90%

Notre positionnement est d’intervenir sur les projets critiques et les technologies récentes

Agenda

• Fonctions de coexistence• La base : la fédération Exchange• Planning et déploiement de la coexistence• Migration vers Office 365

"Big Bang" ou Progressive?

• Migration de week-end : bascule d'enregistrement MX

• Migration de tout le monde d'un coup

• Aussi longtemps que l'on veut et même éternellement parfois

• Nécessité de déployer du matériel supplémentaire pour la coexistence

• Big Bang • Coexistence

Sujet du jour

Coexistenceriche ou simple?

Feature Simple Rich*

Mail routing between on-premises and cloud (recipients on either side)

Mail routing with shared namespace (if desired) - @company.com on both sides

Unified GAL

Free/Busy and calendar sharing cross-premises

Out of Office understands that cross-premises is “Internal” to the organization

Mailtips, messaging tracking, and mailbox search work cross-premises

OWA Redirection cross-premise (single OWA URL for both on-premises and cloud)

Preserve Auth header (ensure internal email is not marked as spam, resolve against GAL, etc.)

EMC GUI tool (on-premises ) used to manage cross-prem mailbox migrations

Mailbox moves support both onboarding and offboarding

No outlook reconfiguration or OST resync required after mailbox migration

Centralized mailflow control, ensures that all email routes inbound/outbound via On Premises

* Rich Coexistence feature-set requires Exchange 2010 SP1 Hub, CAS & Mbx on-prem and requires supplemental configuration steps (both on-premises and in the cloud)

Sujet du jour

Fonctions de coexistence richePlages libres/occupées et partage de calendrier

– Donne impression d'une seule organisation dans l'organisation des réunions et la getsion du calendrirer

– Fonctionne avec Outlook 2007+ le CAS 2010 et la MFG sont au coeur du dispositif

• MailTips inter-org– Donne l'impression d'une

seule org : les "externes" sont bien reconnus.

– Fonctionne avec Outlook 2010 et OWA et les listes de distribution….

Fonctions de coexistence richeMailtips

Fonctions de coexistence richeSuivi de message inter-org

• Le suivi de message entre l'entreprise et le Cloud fonctionne correctement dans les deux sens jusqu'à la sortie vers Internet

– Fidélité identique à l'interne suivant les versions d'Exchange

Fonctions de coexistence richeRecherche inter-org ('cross premises')

– Permet aux administrateurs ou délégués d'effectuer des recherches dans de multiples boites aux lettres y en interne et sur Office365

– On peut distinguer ou se trouve le message depuis l'interface graphique (ECP)

Fonctions de coexistence richeRedirection OWA

• Une seule URL pour toutes les connexions OWA– Le CAS détecte si la boite est

locale ou dans le Cloud

– Si la boite est online, le client clique sur l'URL et est redirigé

• Better Cloud log in experience– Si la fédération d'identité est

effective, l'authentification se fera vis à vis du serveur ADFS local

• La coexistence riche permet de conservers les headers entre les deux organisations, en particulier ceux concernant le SPAM et l'authentification

• De même les restrictions d'envoi positionnées continuent à être honorées

Fonctions de coexistence richeRoutage de messages

• Fonctions similaires entre avec online ou en local

• Fonctions non supportées :– Coexistence de délégation: les délégations sont

migrées mais utilisables qu'entre deux personnes de la même infrastructure

– Les permissions Full Mailbox et Send As ne sont pas migrées

– Multiforêt : uniquement une forêt source pour l'instant

Fonctions de coexistence richeRésumé

Retour sur les noms à connaître• ADFS Federation• Exchange Federation• Org relationship• Sharing policies• Federated Sharing

Planning

Fédération ?

D'identité : Sign-On Scenarios ADFSv2 -

Free/Busy, Calendriers partagésMailtipsSuivi de messagesRecherche multi-balDéplacement de boitesUne URL OWABal d'archive online

Connexion à la bal online avec les login/mot de passe locauxDisponible pour

tous les produits Office 365

“Federated Sharing”Permet aux utilisateurs de collaborer entre organisations via la MFGSpécifique aux

fonction de coexistence riche

d'Exchange Online

Coexistence Riche : l'architecture2 Roles obligatoire (pour la coex riche):• BPOS Directory Sync• Exchange 2010 SP1 CAS/Hub*

Exchange 2010 SP1 CAS/Hub

Unified Global Address ListBPOS Directory Sync

Exchange SharingAD FS

Single Sign On

1 Role optionnel• Active Directory Federation Services v2

Mailbox Move

Secure Transport

* Un rôle Mbx est nécessaire quand les plages libres/occupées sont stockées dans les dossiers publics

Shared Namespace – Core Concepts

On Premises AD Forest

Exchange 2003 FE/BE Server

MX for contoso.com = On Premises

External Recipient(joe@foo.com)

Internet

Email from joe@foo.com to ben@contoso.com

Shared Namespace – Core Concepts

MX for service.contoso.com = Exchange Online

MX for contoso.com = On Premises

Internet

Exchange OnlineEmail from joe@foo.com to ben@contoso.com Email is forwarded to ben@service.contoso.com

Planifier correctement ses "namespaces"• Federation d'identité

– Les suffixes d'upn need doivent être enregistrés (faire partie d'un domaine fédérés) et donc correspondre à un domaine DNS public

• Routage de messages et redirection Autodiscover– 1 domaine technique public nécessaire pour router les messages – peut être un sous domaine du domaine primaire– Le nom de domaine du locataire ne peut pas être utilisé (*.onmicrosoft.com)

• Partage Exchange Federé– Un domaine supplémentaire est recommandé pour établir la fédération Exchange entre l'org

local et la Microsoft Federation Gateway– Par exemple exchangesharing.contoso.com– Ce domaine est appelé dans les outils : “Account Namespace” – Pas besoin d'être dans aucune policy – Les autres domaines (online, onprem) sont ajoutés à la fédération ensuite

• Autodiscover : pour tous les domaines SMTP

Certificats

• Certificat de fédération exchange (Exchange Federated Trust)– N'importe quel certificat y compris auto-signé– Le wizard de création de la fédération gère la propagation vers tous

les CAS• Certificat Autodiscover

– Le certificat doit porter le nom autodiscover du domain SMTP primaire (en plus du point d'accès OWA, EWS, RPC/HTTP …)

– L'autodiscover DOIT pointer sur un CAS 2010SP1

Exemple

Nom Certif ? Usage

moi.com Non Nom SMTP primaire de mon organisation, et suffixe UPN de mes comptes fédérés

autodiscover.moi.com Oui (SAN), Public

Permet la localisation de mon organisation par Online

mail.moi.com Oui (SAN), Public

Point de connexion OWA, EWS …

exchangesharing.moi.com Non Nom de création de la délégation exchange

adfs.moi.com Oui (SAN), Public

Point de connexion à ADFS

moi.onmicrosoft.com Non Nom de mon "tenant" Online

autodiscover.office365.moi.com Non Pointe sur autodiscover.outlook.com, utilisé par les clients Outlook en itinérance et par le CAS local

office365.moi.com Non Nom SMTP de mon organisation

Migration & Management

Migration haute fidélitédéplacer effectivement les boites aux lettres• L'administrateur peut utiliser l'interface graphique

locale pour déplacer les boites• Dirsync s'occupe de conserver la cohérence des listes

d'adresses

Exchange 2007

Exchange

Exchange 2010 CAS

Exchange 2003

Mailbox migration

Migration haute fidélitéDéplacement de boites

• Comme en local– Utiliser l'option "remote

move" de l'EMC (locale)– Une fois la fédération

Exchange en place, aucune information d'identité n'est nécessaire.

• Un vrai déplacement "online" … avec une boite 2010– l'utilisateur reste connecté jusqu'à la fin du déplacement– Basculement vers la nouvelle boite en fin de migration

• Outlook utilise Autodiscover pour détecter le changement et reconfigurer le profil

• Pas de resynchronization d'OST• Les déplacements sont mis en queue et effectués en temps

utile• La conversion des objets locaux et online (MailUser et

Mailbox) est faite automatiquement en fin de déplacement (mais l'administrateur peut effectuer l'opération en deux temps) 29

Migration haute fidélitéDéplacement de boites

• Pourquoi?– Lors de scénario hybrides à long terme– Pour conserver les données de l'utilisateur après son départ

sans payer sa boite

• Comment?– Depuis l'EMC – Déplacement comme un autre (dans l'autre sens)– Si la coexistence riche n'est pas en place => PST via Outlook

ou outil tier.

Migration haute fidélitéRetour arrière

Administration durant la coexistenceExchange Management Console• Toute l'administration est faite via l'EMC 2010 SP1• Tous les object sont créés dans la partie "locale" de

l'EMC• Les policies doivent être appliquées via la partie

"online" de l'EMC

Administration durant la coexistenceQu'est ce qui change dans la gestion des objets durant la coexistence• Un nouveau type d'objet : “Remote Mailbox”

– Represente une bal Exchange Online– N'existe qu'en phase de coexistence– Dans une console d'une version précédente, se présente comme un "Mail User"– C'est l'objet qui sera restera après par le déplacement de boite via le MRS

• La target address de cet objet est positionné par rapport au paramètre "online" du remote domain

Administration durant la coexistencetable de correspondance entre les objets

On Premises Object Exchange Online Recipient

Details

Mail enabled contact ou AD contact (non mail enabled)

Mail enabled contact Les contacts simple ou activés sont synchronisé à l'identique vers online

Mail enabled group (distribution ou security group)

Mail enabled group Les groupes sont synchronisé vers Exchange Online à l'identique

Non mail enabled security group

Pas synchronisés Les groupes non-activés pour la messagerie, ne sont pas synchronisés

Rich Coexistence Recipient ManagementCross-premises object mapping – Users On Premises Object Exchange Online

RecipientDetails

Mailbox Mailuser If Exchange Online detects the presence of a mailbox then it creates a Mailuser in the cloud

Mailuser Mailuser Synchronized as is

Remote Mailbox Mailbox A mailbox is automatically provisioned with a 30 day license grace period

AD User (non mail enabled)

Not synchronized Non mail enabled users are not synchronized. A “placeholder” object may be visible via PowerShell

Note: Licensing a user that does not have a Mailbox will trigger Exchange Online to provision one. This is to support Simple Coexistence and not required for Rich Coexistence

Déploiement

Microsoft Confidential 35

Mise en place de la Coex richeEtape 1 : Infra

Etape Détails Recommandé ou Obligatoire

Configurer la fédération d'identité

Le serveur ADFS local va permettre l'authentification sur les boites aux lettres online

Recommandé

Synchro d'annuaire (DirSync)

Mini-ILM embarqué qui synchronise les objets de messagerie locaux vers online

Obligatoire pour les move-mailbox

Dirsync Writeback Permet l'écriture des legDN du cloud en X500 on locale pour les scénario de déplacement Cloud->Local

Recommandé

Etape Détails Recommandé ou Obligatoire

Instaler un serveur E2k10 SP1 server

Fournit les fonctions de coexistence riche Obligatoire

Configurer l'enregistrement DNS Autodiscover pour le Cloud

Permet la redirection des requêtes AutoD émise par un client Outlook local vers le cloud Obligatoire

Publier et activer le MRSProxy

Permet à Exchange Online de se connecter au CAS 2010 pour effectuer les déplacement de boite aux lettres.

Obligatoire

Policies online Créer les policies Online correspondantes aux policy localle (OWA, ActiveSync…) Recommandé

Configurer RBAC Configurer les stratégies RBAC sur le Cloud correspondantes aux stratégies locale. Recommandé

Configurer la fédération Exchange et les relations d'organisations

Permet les fonctions de partage de la coexistence Recommandé

Configurer le routage Permet la préservation des headers de sécurité entre les deux organisations Recommandé

Mise en place de la Coex richeEtape 2 : Exchange

Configuration AD FS v2

Exchange Online

Microsoft Online Directory Service

MSO ID

AD FSDC https://adfs.contoso.com/adfs/ls/

End User

Exchange Online

MSO ID

AD FSDC

On Premises AD Forest Company: contoso.onmicrosoft.com

Domains Statuscontoso.com activeservice.contoso.com active

Enregistre les namespace MSO

(1) Lancer les cmd-let PSH de config de Online:• “Add-MsolFederatedDomain –DomainName

“contoso.com”• “Add-MsolFederatedDomain –DomainName

“service.contoso.com”

Company: contoso.onmicrosoft.com

Domains Statuscontoso.com pendingservice.contoso.com pending

(2) Créer les enregistrements qui prouvent la propriété du domaine DNS

ms1234567.contoso.com > ps.microsoftonline.comms8901234.service.contoso.com > ps.microsoftonline.com

(3) Relancer les cmdlets pour ajouter les autres domaines

• “Add-MsolFederatedDomain –DomainName “contoso.com”

• “Add-MsolFederatedDomain –DomainName “service.contoso.com”

*Cela effectue aussi la vérification des domaines

(4) Les domaines se propagent vers MSO ID and Exchange Online

• MSO ID reserve le domaine comme “Féderaté”• MSO ID enregistre le point d'accès ADFS

“https://adfs.contoso.com/adfs/ls/”• Exchange Online crée les domaines en tant

qu'accepted domains Namespace Type Endpoint

contoso.com Federated https://adfs.contoso.com

service.contoso.com Federated https://adfs.contoso.com

Accepted Domain Type

contoso.com Authoritative

service.contoso.com Authoritative

Deploy BPOS Directory Sync

Exchange Online

MSO ID

AD FSDC Dirsync

(1) Installer Dirsync(2) Lancer l'assistant(3) Déclencher la première synchro

DirSync synchronise les objets suivants:

1. Users2. Contacts3. Groups

Seuls les utilisateurs ont un MSO ID

Si l'UPN a le même suffixe qu'un domaine fédéré alors ces utilisateurs se voient attribués un ID fédéré au nom de l'UPN.

Tous les logons avec ces utilisateurs se font en mode fédération

Users Only

All mail-enabled

objects

Tous les objets de messagerie sont synchronisés vers Exchange Online:

1. Mailuser2. Mailbox3. Mailcontact4. MaildistributionGroup (Inc. security)

Pour l'instant le routage…

Exchange Online

MX & AutoD for contoso.com =On PremisesMX & AutoD for service. contoso.com = Exchange Online

MailuserPrimary Smtp Address = ben@contoso.comExternalEmailAddress = ben@contoso.com

MailboxPrimary Smtp Address = ben@contoso.comSecondary Smtp Address = ben@contoso.com

Quand une bal local est synchronisées vers online, sa target address dans Exchange Online est positionnée vers le domaine SMTP primaire (ici contoso.com).

Tous les messages reçus par Online pour ce destinataire sont routés vers l'infra locale

Infra avant la coexistence

AD FSDC Dirsync

https://mail.contoso.com/exchange

https://mail.contoso.com/rpc

https://mail.contoso.com/Microsoft-Server-ActiveSync

External SMTP Recipient(mailto:joe@foo.com)

Certains services peuvent déjà être exposés sur Internet:

1. SMTP2. Outlook Web Access3. Outlook Anywhere4. Exchange ActiveSync

Infra pendant la coexistence

AD FSDC Dirsync

Exchange 2003 FE/BE

Server

Exchange 2010 CAS/HUB Server

https://mail.contoso.com/rpc

https://mail.outlook.com/ews/

https://autodiscover.contoso.com/autodiscover/autodiscover.xml

https://mail.contoso.com/exchangehttps://mail.contoso.com/owa

https://legacymail.contoso.com/exchange

https://mail.contoso.com/Microsoft-Server-ActiveSync

Une fois 2010 déployé les services suivants doivent être publiés:

1. Autodiscover2. Availability Web

Service3. Exchange Web

Services

Point de publication:1. mail.contoso.com2. autodiscover.contoso.com3. legacymail.contoso.com

Pour accéder à la redirection OWA vers Online la page de logon OWA doit être sur un CAS2010, cela peut réquérir un nouveau point de publication pour les versions précédente

Nouveau certif requis

Création de la fédération Exchange

Exchange Online

AD FSDC Dirsync

Exchange 2003 FE/BE

Server

Exchange 2010 CAS/HUB Server

MSO ID

Microsoft Federation Gateway (MFG)

(2) Créer la relation de confiance en local avec le domaine online: “service.contoso.com”

(3) Créer la relation de confiance avec le domaine local "contoso.com"

(1) Create la fédaration Exchange avec la “MFG” avec un nom unique par exemple exchangesharing.contoso.com La fédération de

Exchange Online avec la MFG est implicite

Remote MailboxPrimary Smtp Address = ben@contoso.comRemote Routing Address = ben@service.contoso.com

MailboxPrimary Smtp Address = ben@contoso.comSecondary Smtp Address = ben@service.contoso.com

MX & AutoD for contoso.com =On PremisesMX & AutoD for service. contoso.com = Exchange Online

Internet

Exchange Online

RoutageD'un domaine externe vers une bal online

(1) Where is my mailbox?

(2) Local Exchange passes a redirect to “service.contoso.com”

(3) Outlook attempts to discover endpoint through DNS record “autodiscover.service.contoso.com”

(4) Request Authentication

(6) Profile Builds(5) Authentication Success

AUTODISCOVERGénération du profil Outlook

Ajouter Online dans l'EMC

• Une fois que Exchange 2010 SP1 est installé et fédéré, on peut connecter l'organisation Online directement dans l'EMC

Rich Coexistence SetupFederated Sharing• Most of the cool Rich Coexistence features require federated

sharing be configured between on-premises and the cloud• EMC in Exchange 2010 SP1 has GUI for this.

Conclusion

• Une migration, même partielle vers Exchange 2010 en local permet une bien meilleure expérience de migration vers le Cloud

• Fédération : plusieurs signification

• La mise en place de la coexistence riche comprends un certain nombre d'étapes, mais tout est une histoire de planning et d'Url.

Quizzzzzzzzzz

Règles du jeu• Tout le monde debout• Chaque question a deux réponses:

– Mains en l'air– Bras croisés

• Ceux qui se sont trompés s'assoient• Le dernier debout gagne

ChoixA

ChoixB

Question 1

Office 365 contient 3 produits

Oui Non

Question 2

La fédération Exchange repose sur ADFS v2

Oui Non

Question 3

Le fichier OST ne sera pas re-synchronisé après une migration vers Exchange Online

Oui Non

Question 4

Le partage de Free/Busy entre Exchange 2003 et Exchange Online utilise:

EWS DAV

Question 5

Qu'est ce qui permet de voir le calendrier de l'autre org?

Org Relationship

Sharing policy

MSDN et TechNet : l’essentiel des ressources techniques à portée de clic

http://technet.com http://msdn.com

Portail administration et infrastructure pour informaticiens

Portail de ressources technique pour développeurs

msg205 – coexistence et migration vers exchange online 2 office 365: coexistence et migration...

et owa et

runions et

projets critiques et

comfrmcsuc msg205 page

mise en uvre et

message entre lentreprise

jour page

dispositif page

Documents

exchange 2013 coexistence and outlook infrastructure | part...

the importance of exchange 2013 cas in exchange 2013...

exchange 2013 migration & coexistence

owa client protocol connectivity flow in exchange 2013/2010...

client protocol flow in exchange 2013/2007 coexistence |...

autodiscover and outlook client protocol flow in exchange...

exchange 2013 · 2012-11-01 · exchange 2013 prerequisites...

microsoft exchange 2000 and novell groupwise coexistence and...

coexistence project

exl309-exchange server 2013 deployment & coexistence...

trademark coexistence agreements -...

1 coexistence with previous microsoft exchange server...

the importance of exchange 2013 cas in exchange 2013...

client protocol flow in exchange 2013/2010 coexistence |...

activesync and exchange web service client protocol flow in...

yfu south africa international exchange brochure vers...

client connectivity exchange 2016 with exchange 2013 ·...

exchange server 2013 upgrade and coexistence

dsrc coexistence

the checklist for preparing your exchange 2010...