Cloud-Migration zu Office 365: Warum lohnt sich ein Wechsel? – Teil 2

12. Februar 2014Dirk Schäfer

Nachdem ich im ersten Teil des Leitfadens „Cloud-Migration zu Office 365: Warum lohnt sich ein Wechsel?“ auf die Komponenten und Lizenzmodelle sowie das Thema Sicherheit und Datenschutz eingegangen bin, gebe ich Ihnen nun einen Einblick in die Bereiche Releases, Verfügbarkeit sowie On-/Offline-Möglichkeiten und stelle Ihnen ein ausführliches Beispiel für die Konfiguration und den Go-Live einer Hybridlösung vor.

Kostengünstig und effizient bei Lizenzierung, Wartung und Support

Microsoft Office 365 vereinfacht  sowohl die Verwaltung von Lizenzbeständen als die Wartung von Arbeitsplätzen, da alle Sicherheits-Updates und die Upgrades der Backup-Systeme vollautomatisch im Hintergrund durchgeführt werden. Sollte es dennoch eine Störung geben, steht der Office-365-IT-Support rund um die Uhr zur Seite.

Rundumschutz für den E-Mail-Verkehr

Mit Exchange Online können E-Mails, Dokumente, Kontakte und der Kalender jederzeit und auf jedem Endgerät online abgerufen werden. Jedem Nutzer steht dafür eine Mailbox mit 25 GB zur Verfügung. Die eingebaute Microsoft Forefront Online Protection for Exchange umfasst mehrere Filter- und Virenscanmodule und prüft alle ein- und ausgehenden E-Mails auf Spam, Viren und Phishing-Angriffen sowie sonstiger Malware.

Verfügbarkeit

Microsoft Office 365 nutzt ein weltweites Netz von regional organisierten Rechenzentren. Diese sind auf möglichst hohe Sicherheit ausgelegt und sowohl gegen Naturkatastrophen als auch gegen Angriffe von außen geschützt. Rund-um-die-Uhr-Überwachung und regelmäßige Updates sorgen dafür, dass die Daten sicher verwahrt und die Systeme immer auf dem neuesten Stand sind. Damit profitieren Nutzer von einer sehr hohen Zuverlässigkeit und einer kontinuierlichen Verfügbarkeit.

Internetanbindung/Off- und Online-Möglichkeiten

Mit den Desktop-Versionen von Office 365 ist es möglich, offline zu arbeiten; alle Daten werden synchronisiert und alle Anwendungen aktualisiert, sobald eine Internetanbindung verfügbar ist. Da durch den Online-Betrieb eine erhöhte Datentransferrate zu erwarten ist, empfiehlt Microsoft, vor dem Deployment die Bandbreite zu testen und stellt auch entsprechende Tools zur Verfügung.

Beispiel Konfiguration und Go-Live einer Hybridlösung

Dieser Abschnitt beschreibt die Migration von MS Exchange 2010 SP2+RU1 zu Office 365 in einer Hybrid-Lösung, also den parallelen Betrieb von Exchange Online und MS Exchange auf lokalen Servern („On Premise“). Natürlich ist es auch möglich, die eigenen On-Premise-Server vollständig durch Office 365 zu ersetzen. Zahlreiche Unternehmen bevorzugen derzeit jedoch den parallelen Betrieb, da sich dadurch der weitere Migrationsverlauf dynamisch an die Gegebenheiten des Unternehmens sowie an wandelnde Anforderungen anpassen lässt.

Ein weiterer Vorteil der hybriden Bereitstellung ist die Nutzung der Exchange-Online-Version als reines Archiv. Postfächer bleiben also im Unternehmen, die Archivierung erfolgt allerdings über die Cloud. Unternehmen, die sowohl zahlreiche Außendienstler als auch Mitarbeiter beschäftigen, die im Büro vor Ort arbeiten, können dank des parallelen Betriebs die internen Server entlasten: Interne User arbeiten in diesem Szenario wie gewohnt mit dem On Premise Exchange, während externe Anwender auf die Cloud-Lösung zugreifen und ihre Arbeit auf den Servern direkt bei Microsoft verrichten. Office 365 wird in diesem Fall als Erweiterung des Netzwerks begriffen. Diese Hybridversion kann temporär als Übergangslösung oder auch ohne Zeitbegrenzung genutzt werden.

Für die Migration wird ein einwandfrei funktionierender interner DNS-Server benötigt. Im Zuge der Hybridbereitstellung wird dann das interne und externe DNS entsprechend konfiguriert, Active Directory Federation Services (ADFS) sowie DirSync werden eingerichtet und, falls nötig (wenn kein TMG bereits im Einsatz ist), der ADFS-Proxy installiert und konfiguriert.

adesso_Cloud-Migration

Darüber hinaus müssen für Office 365 bestimmte Betriebssysteme (Windows XP mit SP3 und Windows Vista (beide bis 2014), Windows 7, Windows 8, Mac OS X 10.5 (Leopard), 10.6 (Snow Leopard), 10.7 (Lion)) sowie Office- und Browser-Voraussetzungen zwingend erfüllt werden. Zudem wird bei einer Hybridbereitstellung mit ADFS + DirSync ein Active Directory (AD) benötigt. Kleine Unternehmen ohne AD können Office 365 / Exchange online ebenfalls nutzen. Es ist zu beachten, dass Office 365 optimal nur mit Exchange 2010 SP1 und späteren Versionen zusammenarbeitet. Bei der Nutzung älterer Versionen oder einer Migration von einem anderen Server-System aus kann die Migration nur über eine IMAP-Migration oder über Tools von Drittanbietern erfolgen.

Bei der Wahl des Migrationszeitpunktes sollte ein Datum gewählt werden, an dem möglichst wenig Last auf der Anlage und der WAN-Anbindung steht. Die tatsächliche Dauer der Synchronisierung wird maßgeblich durch die verfügbare Bandbreite der Internetverbindung des Unternehmens beeinflusst.

Im ersten Schritt wird die eigene Domäne mit Office 365 verbunden. Diese Überprüfung ist notwendig, da sichergestellt werden muss, dass man auch wirklich der Besitzer der Domäne ist, die mit Office 365 verbunden werden soll. Üblicherweise wird von Office 365 verlangt, beim Hoster der eigenen Domain in der Domainverwaltung einen speziellen TXT-Eintrag zu hinterlegen. Dieser wird von Microsoft dann bei der oben beschriebenen Überprüfung kontrolliert. Ist der Schritt erfolgreich abgeschlossen, kann die Domäne mit den Office-365-Diensten verbunden werden. Für jeden einzelnen Dienst sind individuelle DNS-Einstellungen notwendig, um einen reibungslosen Betrieb mit Office 365 zu gewährleisten. Diese Konfigurationen werden wieder beim Hoster der Domain vorgenommen (analog zum TXT-Eintrag).

Neben der schon registrierten Domain wird eine weitere URL benötigt, über die der Zugriff auf ADFS erfolgt. Es empfiehlt sich der bereits vorhandenen Domain einen weiteren Host-Namen voranzustellen. Für diese neue URL wird ein Host-Eintrag benötigt (Subdomain). Dieser zeigt bei der internen Konfiguration auf die ADFS-Serverfarm  bzw. auf den ADFS-Server und bei der externen Konfiguration auf den ADFS-Proxy  bzw. auf den TMG(Threat Management Gateway)-Server. Bei der SSL-Zertifikatsplanung werden zwei Zertifikate benötigt: ein öffentlich signiertes SSL-Zertifikat zur sicheren Kommunikation zwischen ADFS-Server, Client und TMG sowie ein selbst signiertes Token-Signaturzertifikat.

Die Nutzung von ADFS, für die eine lokale Domäne benötigt wird, vereinfacht die Anmeldung durch Anwender und verhindert, dass Kennworte in der Cloud abgelegt und verwaltet werden müssen. Anwender können sich also mit ihren lokalen Zugangsdaten in einem „Single-Sign-On“-Verfahren an der Cloud anmelden.

Sobald die eigene Domäne mit Office 365 „verknüpft“ wurde (Federation), läuft die gesamte Userverwaltung über den eigenen Active-Directory-Verzeichnisdienst. Neben dem erwähnten Single Sign On hat dieses Verfahren weitere Vorteile: So verbleibt beispielsweise die Konfiguration der Kennwortrichtlinie in der eigenen lokalen Umgebung. Wird die Möglichkeit einer Zugriffssteuerung wahrgenommen kann konfiguriert werden, ob Anwender sich von unterwegs einloggen dürfen oder ob auf Office 365 nur aus dem lokalen Netz zugegriffen werden darf. Darüber hinaus kann mit ADFS eine zweistufige Authentifizierung eingeführt werden.

Die Installation von ADFS benötigt mindestens einen Server 2008. Auch wenn der Server bereits ADFS als Rolle zur Verfügung stellen kann, ist diese Funktion für den Office 365 Identitätsverbund nicht ausreichend. Daher ist es zwingend notwendig, ADFS 2.0 zu installieren. Die Konfiguration von ADFS selbst erfolgt nach der Konfiguration der IIS (Internet Information Services). Sollte der IIS nicht aktiv sein, wird dieser automatisch zusammen mit der ADFS-Installation installiert.

Am IIS des ADFS-Servers sind zwei Konfigurationen vorzunehmen. Das SSL-Zertifikat und das HTTPS-Binding, müssen zur Standardwebsite hinzugefügt werden. Der nächste Schritt besteht aus der Konfiguration der ADFS-Serverfarm. Nach dem Start des Konfigurationsassistenten für den ADFS-Verbund-Server wird im nächsten Schritt ein neuer Verbunddienst gestartet. Nach der Wahl der Verbund-Serverfarm muss beim Dienstkonto ein zuvor angelegtes AD-Benutzerkonto mit dem dazugehörigen Kennwort angegeben werden, das für ADFS zum Einsatz kommen soll. Die folgende Installation übernimmt der Assistent. Die nun aufkommende Nachricht, dass die Installation noch nicht vollständig abgeschlossen ist, ist von der noch fehlenden Vertrauensstellung zwischen Office 365 und dem ADFS-Server abhängig. Diese erfolgt nach der Konfiguration des ADFS-Proxy bzw. des TMG.

Standardmäßig ist beim Einsatz von ADFS ein ADFS-Proxyserver vorgesehen. Der Einsatz eines bereits vorhandenen TMG ist allerdings ebenfalls möglich.

Die Aktivierung der Domäne für den Identitätsverbund erfolgt über die PowerShell an einem beliebigen PC in der Domäne. Dafür benötigt der Client zum einen den Microsoft-Online-Services-Anmeldeassistenten und zum anderen die Office-365-PowerShell-Erweiterung. Im letzten Schritt wird die Active-Directory-Synchronisierung auf dem Office-365-Portal aktiviert und das dazu gehörende Tool DirSync auf einem Server installiert.

Exchange Online muss in die EMC (Exchange Management Console) eingebunden werden. Es wird eine neue Hybridkonfiguration erstellt, die im Konfigurationsassistenten verwaltet werden kann. Für die Exchange 2010 Hybridbereitstellung müssen Outlook Anywhere aktiviert, ein SSL-Zertifikat eingerichtet und die externen URLs (Autodiscover, ECP, OWA, Offlineadressbuch und Exchange-Webdienste) bereits aktiviert sein. An dieser Stelle werden die Benutzerdaten eingegeben und die Domäne für die Hybridbereitstellung ausgewählt. Zudem muss erneut ein Nachweis erfolgen, dass der Anwender der Besitzer der Domäne ist. Auch die Wahl der CAS- und HUB-Server, die Eingabe der öffentlichen IP-Adresse des Hub-Transport-Servers sowie die Wahl des öffentlichen Transportzertifikats werden vorgenommen.

Mit dem Abschluss des Assistenten müssen noch einige Konfigurationsschritte durchgeführt werden: Zunächst werden der Exchange-Verbund konfiguriert und eine Hybrid-Domäne für den E-Mail-Fluss angelegt. Nach Aktivierung der Postfachreplikationsdienst-Proxys (MRS) auf dem lokalen CAS-Server müssen nur noch der lokale HUB-Transport-Server und FOPE für den hybriden E-Mail-Fluss eingerichtet werden.

Der letzte Schritt besteht aus dem Onboarding, dem Verschieben von Postfächern in die Cloud. Wichtig ist hierbei, dass der User den korrekten UPN gesetzt hat und keine weiteren E-Mailadressen bei ihm hinterlegt sind. Der Vorgang des Verschiebens selbst kann mit der EMC überwacht werden.

Fazit

Microsoft stellt mit Office 365 eine sehr leistungsfähige Basis zur Verfügung, die in Verbindung mit On-Premise-Servern als Hybridlösung zahlreiche Vorteile für Unternehmen jeglicher Größe bietet. Auch ein komplexes Setup kann durch temporäre, aber gezielte Unterstützung eines erfahrenen Dienstleisters mit überschaubarem Aufwand realisiert werden. Habe ich Sie neugierig gemacht und überlegen Sie, ob der Wechsel zu Office 365 Ihrem Unternehmen Vorteile bringen würde? Ich gebe Ihnen gerne weitere Informationen und freue mich auf Ihre Kommentare.

 

Dirk Schäfer Dirk Schäfer koordiniert als Head of Mobile Activities, Strategy & Portfolio die Enterprise-Mobility-Aktivitäten von adesso.
Artikel bewerten:
1 Star2 Stars3 Stars4 Stars5 Stars
Loading...

Kommentar hinzufügen:

Ihr Kommentar: