Titulek článku může být trochu zavádějící, ale vlastně mne nenapadlo, jak ho pojmenovat bez toho, aby měl nadpis tři řádky, a stejně byl stále nejasný. V první řadě tedy vysvětlím, čím bych se chtěl dnes zabývat. A to tím, co Vám a Vaší firmě může Exchange Hybrid přinést, proč ho nasadit a proč ho udržovat i po přesunu do Exchange Online.
Při práci pro zákazníky se často setkáváme s několika dotazy ohledně Exchange hybridu. A abychom nastolili nějaký řád, vezmu to netradičně ne v bodech, ale v otázkách.
„Takže už můžeme ty servery vypnout a smazat?“
Nejčastější je otázka po úspěšné migraci do prostředí Microsoft 365 / Exchange Online, na kterou je krátká odpověď „Ne“. Může být i delší odpověď a to „Nedělal bych to“. Proč? V Exchange Hybrid slouží poslední server pro správu identit. Vlastně všechny ostatní funkce můžete úspěšně přesunout do cloudu včetně anonymní SMTP relay pro tiskárny a servery, ale všechny identity jsou stále synchronizovány z on-premises Active Directory, což znamená, že synchronizované atributy není možné v Cloudu upravovat. Je, sice, vlastně možné všechny atributy upravovat přímo v Active Directory, ale pokud opravdu nevíte jak a co kde změnit, je poměrně velká možnost něco pokazit. Navíc spousta atributů je v nečitelných formátech, které vám Exchange server hezky přeloží do čitelné podoby. Vždy je jednodušší si v GUI, nebo i v Exchange Management Shellu vybrat u účtu, že je to Remote Mailbox, než si pamatovat že musíte v Active Directory nastavit atribut msExchRecipientDisplayType na hodnotu -2147481850. Už kvůli správě identit se tedy vyplatí si poslední server ponechat zapnutý a funkční. Druhým důvodem může být potřeba odesílání velkých počtů emailů (např. newslettery pro zákazníky). Exchange Online má velmi striktní pravidla a limity (více zde: https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits ) a může se stát, že vám odesílání zablokuje. Pak jsou možnosti dvě. Buďto použít nějakou službu třetí strany pro online marketing, a nebo pro odeslání použít schránku pro tento účel, která leží na on-premises Exchange Serveru a posílá přímo do internetu bez těchto omezení.
„Proč stavět Exchange Hybrid, když chceme schránky nechat na našich Exchange Serverech?“
Dnes už je poměrně dost firem, které pochopily výhody cloudu ve spoustě ohledů, ale stále si chtějí nechat své emaily na serverech, nad kterými mají plnou kontrolu. Pokud firma využívá pouze věci jako Endpoint Manager, Defender nebo licence na Office a Windows, pak se vlastně nic neděje. V dnešní době, ovšem, většina firem, které mají alespoň část služeb v Microsoft 365 jsou tři věci, kvůli kterým stojí za to Exchange Hybrid nastavit.
- Exchange Online Protection – první věc, která není 100% závislá na nastavení Exchange Hybridu, protože Exchange Online Protection lze využívat i bez nastavení Hybridu. S ním je to ale prostě veselejší a dává vám to poté možnost mít schránky ochráněné, ať už se nachází na on-premises Exchange Serverech nebo v Exchange Online.
- Microsoft Teams je tou druhou. Pro správnou, a hlavně plnou funkci Microsoft Teams, je třeba mít nastavený Exchange Hybrid a on-premises Exchange v požadované minimální verzi Exchange 2016 CU3. Plnou funkcionalitou se v tomto případě rozumí přístup do kalendáře on-premises schránky a možnost plánování schůzek přes Outlook i Teams. Pokud nemáte toto nastaveno, pak v Teams není vidět do kalendáře a schůzka, kterou v Teams naplánujete se do kalendáře schránky nepropíše. Jedinou prerekvizitou potom je, že synchronizovaný účet musí mít licenci na Exchange Online, která je dnes v podstatě ve všech plánech.
- Hybrid Modern Authentication je třetí funkcí, která rozhodně stojí za to (více zde: https://docs.microsoft.com/en-us/microsoft-365/enterprise/hybrid-modern-auth-overview?view=o365-worldwide ). Hybrid Modern Authentication totiž ve spojení se zapnutím Kerberos ověřování umožňuje autentizaci uživatelů on-premimses schránek pomocí Azure AD. To samo o sobě zvyšuje zabezpečení, protože potom můžete vypnout staré metody ověřování a navíc dává administrátorům do ruky další možnosti jako použít dvou-faktorové ověření (Azure Multi-Factor Authentication) pro on-premises schránky, včetně použití podmíněného přístupu (Conditional Access) a dalších věcí. Pomocí Azure App Proxy je možné takto publikovat i OWA do internetu a zpřístupnit tak lidem emaily všude při zachování stejné úrovně bezpečnosti.
- Online Archiv – pokud nemáte na svých Exchange Serverech neomezeně místa, je velikost schránek většinou problémem, který administrátoři neustále řeší. Uživatelé mají sklony všechny emaily „syslit“ a po letech provozu mohou schránky narůst do úctyhodných velikostí. Tradičním řešením je nastavit limit velikosti a lidi nutit emaily promazávat. To většinou nutně vede k tomu, že si uživatelé vytváří vlastní archivy v PST souborech. To ale vede ke dvěma nepříjemným důsledkům:
- Nemáte kontrolu nad tím, kam se poděla vaše firemní data.
- V případě nějaké havárie počítače uživatelé přijdou o svou historii.
Možnost řešení je právě online archiv – on-premises schránka má připojený archiv, který leží v Exchange Online a je přístupná stejně jako data z PST souboru. S rozdílem toho, že jsou přístupná všude včetně OWA a také nad nimi máte kontrolu kvůli úniku dat, můžete nad nimi tvořit eDiscovery vyhledávání atd. Uživatelé mají data zálohovaná a všichni jsou spokojení. Úložiště na on-premises serverech není třeba dále škálovat a archiv má podle zvoleného plánu 100 GB až nekonečno. A to už za nastavení Exchange Hybridu stojí, nemyslíte?
„Proč to vůbec potřebujeme?“
Poslední otázka – firma má tenant, který zbyl po nějakém pilotním projektu, vlastně ho nevyužívá a zatím nevidí důvod proč Exchange Hybrid nastavovat. A v tuhle chvíli, kdy máte ještě k dispozici konzultanta, nebo se projekt stále řeší, je vhodné si Exchange Hybrid nastavit korektně a správně. Proč? Protože může přijít rozhodnutí managementu, že se má začít Exchange Online využívat. A v tu chvíli máte vše připraveno a celý migrační projekt se skládá z přesunu schránek d Exchange Online.
Závěrem
Přestože Exchange Hybrid má spoustu pozitiv, je zde i několik věcí, na které je třeba pamatovat.
- Stále je třeba udržovat v běhu jeden Exchange server, což znamená licenci na Windows Server, nějaký výkon na virtualizační platformě, nebo samostatný hardware. Dobrou zprávou, ale je, že Exchange Mangement server ve verzi 2016 je licencován v rámci nastavení Exchange Hybridu. Nemusíte tedy kupovat licenci na Exchange Server 2016.
- Je třeba udržovat jeden certifikát od veřejné (důvěryhodné) certifikační autority, který je nastaven v rámci Exchange hybridu pro publikaci on-premises serveru. Při výměně certifikátu je třeba znovu spustit Hybrid Configuration Wizard – případně upravit konektory manuálně.
- Je třeba udržovat publikaci on-premises serveru na firewallu a pamatovat na případné změny v nastavení sítě kvůli NAT a DNS záznamům.
- Exchange Hybrid lehce komplikuje management identit – většina nastavení se provádí v on-premises prostředí, ale některé věci je třeba specificky nastavit v prostředí Exchange Online (např. delegáty sdílených schránek).
- Ve chvíli, kdy jsou emailové schránky na „obou stranách“ je třeba počítat dvojím nastavením pověření kvůli tzv. „cross-premises“ pověřením – je možné z online schránky přistupovat do schránky na on-premises serveru, ale je třeba manuální nastavení na obou stranách.
