Albano LalaMicrosoft Exchange Hybrid Configuration Wizard – Configurazione di tenant multipli
In questo articolo parleremo di uno strumento molto familiare agli amministratori di Exchange Server ed Exchange online, l’Exchange Hybrid Configuration Wizard (HCW), di cui potete scaricare l’ultima release qui. In occasione del Microsoft Ignite 2020, l’evento dedicato ai professionisti dell’IT e agli sviluppatori enterprise Microsoft, è stata presentata la release 17.0.5378.0 dello strumento dedicato all’ibridazione dell’Organizzazione On-Premises di Exchange Server con Exchange Online. La novità più impattante è la possibilità di ibridare (in modalità full o minimal) una singola Organizzazione di Exchange On-Premises con più di un Tenant di Microsoft 365.
In questa release ci viene permesso di abilitare l’ibridazione con al massimo cinque Tenant contemporaneamente. Attualmente la configurazione multitenant non è compatibile con l’integrazione dell’Hybrid Modern Auth (HMA), il team di sviluppo di Exchange Server sta lavorando su questa problematica, prossimamente rilascerà una nuova release che permetterà la compatibilità con questo metodo di autenticazione in ambiente ibrido.
Il Free/Busy tra i vari tenant di default non è disponibile, la relationship tra i Tenant non è transitiva ovviamente. Per potere abilitare il free/busy anche tra un tenant e l’altro andranno eseguiti i seguenti step:
- Creazione nuova Organization Relationship tra le organizzazioni Online.
- Utilizzo di un’unico SMTP Namespace nella nuova Organization Relationship che andrete a creare.
Prerequisiti:
-
Le identità On-Premises devono essere sincronizzate solo su un tenant, su Azure AD Connect deve essere configurato il filtering per Organization Unit e per dominio in modo da filtrare gli utenti dalla Foresta di Active Directory On-Premises assicurandosi di avere le identità solo su un singolo Tenant di Exchange Online
-
La checkbox “Exchange Hybrid” deve essere selezionata tra le feature opzionali dell’Azure AD Connect di ognuno dei Tenant Interessati.
Figura 1 – Topologia Singola Organizzazione On-Premises con più Tenant
Andiamo ora a vedere più nel dettaglio lo scenario singola Organizzazione On-Premises ibridata con più di un Tenant.
In questa guida verranno utilizzati 3 tenant ed una singola Organizzazione di Exchange On-Premises, andremo quindi a dedicare 3 nuove macchine con a bordo Azure AD Connect ai nostri 3 Tenant:
Figura 2 – Azure AD Connect Tenant 1
Figura 3 – Azure AD Connect Tenant 2
Figura 4 – Azure AD Connect Tenant 3
Figura 5 – Suffissi UPN Foresta On-Premises
Come vedete per ogni Tenant siamo andati ad utilizzare macchina dedicata con a bordo Azure AD Connect con Domain e OU Filtering, ognuno dei 3 Tenant avrà un custom domain che dovrà essere aggiunto anche tra i suffissi UPN della foresta di Active Directory On-Premises. Il Domain e OU Filtering avrà quindi come logica quella di utilizzare i container con all’interno identità con UPN contenenti il dominio del Tenant di riferimento.
Una volta aggiunti i suffissi UPN e configurato correttamente le regole delle 3 macchine con a bordo Azure AD Connect andiamo ora ad aggiungere i 3 custom domain dei 3 Tenant come accepted domains sull’Exchange On-Premises.
Figura 6 – Accepted Domains Exchange On-Premises
Rimaniamo sempre sull Exchange Control Panel On-Premises per andare a configurare 3 E-mail Address Policy per Tenant/Ou di riferimento.
Figura 7 – E-mail Address Policy Tenant 1
L’address policy creata verrà applicata solo alle identità presenti nell’Organization Unit dedicata all’UPN con suffisso “modernlabs.online”
Figura 8 – Discriminante Email-Address Policy Tenant 1
Figura 9 – E-mail Address Policy Tenant 2
L’address policy creata verrà applicata solo alle identità presenti nell’Organization Unit dedicata all’UPN con suffisso “technical365.online”.
Figura 10 – Discriminante Email-Address Policy Tenant 2
Figura 11 – E-mail Address Policy Tenant 3
L’address policy creata verrà applicata solo alle identità presenti nell’Organization Unit dedicata all’UPN con suffisso “technical365.blog”.
Figura 12 – Discriminante Email-Address Policy Tenant 3
Come vedete ora le mailbox On-Premises delle identità delle Organization Unit Interessate, hanno primary SMTP Address con dominio presente come custom domain nel Tenant di riferimento.
Figura 13 – Mailbox con Tenant di riferimento T2
Figura 14 – Mailbox con Tenant di riferimento T2
Figura 15 – Mailbox con Tenant di riferimento T3
Per permettere all’Exchange On-Premises di eseguire l’ibridazione (tramite nuovo HCW) con ognuno dei 3 Tenant sarà necessario soddisfare i seguenti prerequisiti:
-
Sui CAS dell’organizzazione On-Premises andranno installati i certificati emessi da Root Ca Pubblica contenente Subject Alternative Name che copra i custom domain dei 3 Tenant
Figura 16 – Windows Personal Certificate Store
- Ai certificati dovrà essere assegnato il servizio SMTP su tutti i CAS dell’Organizzazione
Figura 17 – Esempio Certificato Exchange con assegnazione SMTP
Andiamo ora ad utilizzare il nuovo Hybrid Configuration Wizard (HCW).
Nella prima fase per ognuno dei 3 Tenant andremo ad inserire le credenziali di Global Admin di riferimento
Figura 18 – Credenziali Global Admin Tenant
Figura 19 – Raccolta Informazioni Configurazione
Possiamo scegliere se utilizzare una configurazione “Full Hybrid” o “Minimal Hybrid”
Figura 20 – Tipologia di configurazione ibrida
Decidiamo la topologia di ibridazione, topologia classica “Classic Hybrid Topology” oppure moderna “Modern Hybrid Topology”. Se volete sapere di più di quest’ultima topologia in questo articolo su ICTPOWER ci sono tutti i dettagli.
Figura 21 – Topologia di configurazione ibrida
In mancanza di macchine Edge in DMZ potete procedere a configurare il secure mail transport sui vostri CAS
Figura 22 – Configurazione CAS per Secure Mail Transport
Andiamo a scegliere il certificato di Transport che ci interessa, la discriminante in questo caso è il custom domain del Tenant che stiamo ibridando.
Figura 23 – Transport Certificate
Figura 24 – Configurazione finale HCW
Figura 25 – Configurazione terminata con successo
La procedura che avete visto andrà ripetuta per gli X Tenant che andremo ad ibridare con la nostra singola Organizzazione di Exchange Server. Ricordiamo che ad ora sono supportati al massimo 5 Tenant ibridati contemporaneamente.
Andiamo ora ad effettuare alcuni Test di Migrazione sui Tenat appena ibridati.
Figura 26 – Migrazione Spiderman Tenant “Technical365.online”
Figura 27 – Migrazione Spiderman completata
Figura 28 – Migrazione Optimus Prime Tenant “Technical365.blog”
Figura 29 – Migrazione Optimus Prime completata
Figura 30 – Esempio Migrazione Tenant “Modernlabs.online”
Figura 31 – Migrazione Tenant “Modernlabs.online” completata
Andiamo a vedere un esempio di FREE/BUSY tra Exchange Online, Exchange On-Premises e viceversa
Figura 33 – Albano Lala On-Premises, Bruce Wayne Online
Figura 34 – Bruce Wayne Online, Albano Lala On-Premises
Bug riconosciuti e Workaround
Ci sono due problematiche riconosciute:
-
Creazione di remote user tramite ECP, in questo caso viene preso come dominio routing “RemoteRoutingAddress” l’ultimo dominio (contoso.mail.onmicrosoft.com) che è stato fatto girare nell’HCW
-
Workaround: Utilizziamo powershell per la creazione delle remote mailbox andando ad esplicitare il dominio di routing tra On-Premises e Online
- New-RemoteMailbox -Name “Peter Parker” -FirstName “Peter” -LastName “Parker” -OnPremisesOrganizationUnit “contoso.com/T1” -UserPrincipalName [email protected] -Password $password -ResetPasswordOnNextLogon $False -RemoteRoutingAddress [email protected]
- New-RemoteMailbox -Name “Peter Parker” -FirstName “Peter” -LastName “Parker” -OnPremisesOrganizationUnit “contoso.com/T1” -UserPrincipalName [email protected] -Password $password -ResetPasswordOnNextLogon $False -RemoteRoutingAddress [email protected]
-
-
Quando andiamo a creare una nuova mailbox, e tentiamo di abilitare l’archivio remoto della mailbox On-Premises ci viene proposto l’ultimo Tenant (contoso.mail.onmicrosoft.com) con il quale abbiamo fatto girare nell’HCW.
-
Workaround: Utilizziamo powershell per abilitare l’archivio remoto della mailbox On-Premises
- Enable-Mailbox -Identity “p.parker” -RemoteArchive “True” -ArchiveDomain “technical365.mail.onmicrosoft.com”
- Enable-Mailbox -Identity “p.parker” -RemoteArchive “True” -ArchiveDomain “technical365.mail.onmicrosoft.com”
-
CONCLUSIONI
Questa nuova release dell’Hybrid Configuration Wizard di Microsoft ci permette di aprire scenari molto interessati in vista di MGMT di più Tenant tramite un unico Exchange On-Premises e altre ancora. Se vorrete testare questa nuova soluzione di ibridazione della casa di Redmond potrete scaricare l’HCW qui.
Per maggiori informazioni sull’agente ibrido vi rimando alla seguente pagina https://docs.microsoft.com/it-it/exchange/hybrid-deployment/hybrid-agent