O365勉強会 オンプレexchangeの共存とadfs導入の注意点 20121202

6,580 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,580
On SlideShare
0
From Embeds
0
Number of Embeds
1,133
Actions
Shares
0
Downloads
53
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

O365勉強会 オンプレexchangeの共存とadfs導入の注意点 20121202

  1. 1. Office365オンプレオンプレExchangeの共存 の共存とADFS導入の注意点 導入の注意点Office365 勉強会#3日本ヒューレット・パッカード株式会社2012/12/3© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  2. 2. Agenda1. ExchangeからOffice365へ移行 1. Exchange環境からOffice365へ移行プロジェクトにおける要件例 2. システム構成例2. オンプレExchangeとの共存の注意点 1. ディレクトリ同期ツール 2. msExchMailboxGuid削除の影響 3. Outlookプロファイル作成 4. MSOlineモジュール3. ADFS導入の注意点 1. 自己証明書の期間延長 2. Office365パスワードポリシー 3. その他• 免責事項 − 2012年11月現在の情報です。技術的な内容など変更されている可能性があります。 − 本資料に掲載されている情報について、その内容を保証するものではありません。2 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  3. 3. . からOffice365へ移行 から1.Exchangeから へ移行© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  4. 4. . からOffice365へ移行 から1.Exchangeから へ移行1.1. Exchange環境からOffice365へ移行プロジェクトにおける要件例 オンプレExchangeは残したい • オンプレ は残したい • 影響が少ないグループ会社から徐々に メールドメイン単位で移行 へ移行したい Office365へ移行したい へ移行 オンプレExchangeとOffice365両方のメール • オンプレ と 両方のメール オンプレExchangeとOffice365 オンプレ と ボックスをOutlookのプロファイル切り替え ボックスを のプロファイル切り替え 両方でメールボックス保持 で使い分けたい • オンプレとOffice365のグローバルアドレス オンプレと のグローバルアドレス オンプレExchangeとOffice365 オンプレ と 帳からお互いのメールアドレスを検索したい 帳からお互いのメールアドレスを検索したい 両方でメールボックス保持 両方でメールボックス保持 ユーザーに複雑なことをやらせたくない • ユーザーに複雑なことをやらせたくない ADFSによるパスワード一元管 によるパスワード一元管 によるパスワード一元 例:パスワードの複数管理 例:パスワードの複数管理 理4 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  5. 5. . からOffice365へ移行 から1.Exchangeから へ移行1.2. システム構成例 Intranet DMZ ADFS ADFS Proxy Active Directory ディレクトリ同期 Exchange Office365 Exchange ユーザー ユーザー5 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  6. 6. 2.オンプレExchangeとの共存の .オンプレ との共存の 注意点© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  7. 7. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点2.1.ディレクトリ同期ツールオンプレExchangeとOffice365両方でメールボックス保持オンプレ と 両方でメールボックス保持■問題• Office365から同一ユーザーがオンプレExchangeとOffice365両方にメールボックスを保持不可■解決策Solution MS社 自動化 運用 制限 Support 負荷 にオンプレExchangeメー にオンプレ Office365 GALにオンプレ メーディレクトリ同期ツールカスタマイズ※1 × ○ 低 ルアドレスが表示されないソフトマッチでメールボックス作成※2 ? × 高「電子メールの移行」機能を利用 ○ × 中 Outlook Anywareが有効• ※1:日々徒然 ~ExchangeからOffice365移行の際の注意点~ − http://genkiw.wordpress.com/2011/10/03/• ※2:日々徒然 ~ソフトマッチについて~ − http://genkiw.wordpress.com/2011/11/20/7 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  8. 8. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点msExchMailboxGuid削除の影響 オンプレ Office365 Exchange AD Mailbox A社ユーザー A社ユーザー × User ※BPOS時MailUserだったためGALに 表示されていた MailUser B社ユーザー B社ユーザー Mailbox Mailbox A社兼B社ユーザー A社兼B社ユーザー Mailboxグローバル グローバルアドレス帳 アドレス帳8 A社ユーザー 移行後メール送信不可(NDR) B社ユーザー × © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  9. 9. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点2.2.Outlookプロファイル作成メールボックス(Outlookプロファイル を切替えて運用メールボックス プロファイル)を切替えて運用 プロファイル■問題• Office365のプロファイル作成時、オンプレExchangeの認証が求められプロファイル作成不可■解決策• Outlookプロファイル作成時、初期入力されている「電子メールアドレス」など削除し再入力• Office365へ接続されるようレジストリの追加(本来不要) − HKEY_CURRENT_USER¥Software¥Microsoft¥Office¥12.0¥Outlook¥AutoDiscover − ExcludeHttpRedirect REG_DWORD:0 − ExcludeHttpsAutodiscoverDomain REG_DWORD:1 − ExcludeHttpsRootDomain REG_DWORD:1 − ExcludeScpLookup REG_DWORD:1 − ExcludeSrvRecord REG_DWORD:19 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  10. 10. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点2.3.MSOnlineモジュール 用PowerShell用 Microsoft Online Services モジュールのバージョン■問題• 同じバージョンのモジュールなのにオプションの有無が違う• バグが修正されたモジュールを再インストールしたはずが修正されていなかった• ダウンロードするリンクによりバージョンが異なる場合がある■解決策• 「C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥Modules¥MSOnline¥Microsoft.Online.Adm inistration.Automation.PSModule.dll 」ファイルのプロパティから確認 − ファイルパスは以下のコマンドで確認 • Get-Module MSOnline | fl10 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  11. 11. . 導入の注意点3.ADFS導入の注意点© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  12. 12. . 導入の注意点3.ADFS導入の注意点3.1.自己証明書の期間延長自己証明書の期間延長と自動ロールオーバー機能■問題• 自己証明書の期間延長すると自動ロールオーバー機能が動作し、Office365へアクセスできな くなる■解決策• 期間延長は最大で50年程度に設定 − 期間が長すぎるとなぜか自動ロールオーバー機能が動作し、日々証明書を更新してしまう• 自動ロールオーバーを無効に設定 ※2重防止策 − Set-ADFSProperties -AutoCertificateRollover $false• AD FS 2.0 トークン署名証明書のロールオーバーの結果、Office 365 のすべてのサービスにア クセスできなくなる − http://community.office365.com/ja-jp/wikis/sso/2301.aspx• 日々徒然 ~ADFSの自己証明書の期間延長~ − http://genkiw.wordpress.com/2012/07/03/12 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  13. 13. . 導入の注意点3.ADFS導入の注意点3.2.Office365パスワードポリシー のパスワードポリシーの期間を14日~ のパスワードポリシーの期間を 日~200日Office365のパスワードポリシーの期間を 日~ 日■問題• Office365のパスワードポリシーの期間を14日~200日の間に収まっていない場合、フェデレー ションできない − ”Convert-MsolDomainToFederated : Microsoft.Online.Administration.Automation.IdentityInternalServiceException”■解決策• パスワードポリシーの期間を14日~200日に収める − コマンド実行例 • Set-MsolPasswordPolicy -DomainName contoso.com -ValidityPeriod:200 =NotificationDays:1413 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  14. 14. . 導入の注意点3.ADFS導入の注意点3.3.その他項目 問題 解決策 ・恐らく時間帯によりOffice365へ Convert-MsolDomainToFederated後、コマンド 反映されるまで時間がかかる即座にフェデレーション環境 は正常終了するが即座にフェデレーション環 ・ユーザー影響の少ない時間帯をにならない場合がある 境にならず、AD/Office365どちらのパスワード 選ぶ でも認証できない ・夜間帯は混んでいる? ・パスワード管理・変更運用の検 共有メールボックスに紐づくアカウントは1つ共有メールボックス利用・運 討が必要 のため、フェデレーション後今まで通りの利用用方法の検討 ・WebブラウザのInPrivateモードの 方法が不可 利用を検討 ・フェデレーションドメインの構成を 複数のフェデレーションドメインのうち1つを 更新フェデレーションドメインから Convert-MsolDomainToStandardでスタンダー http://support.microsoft.com/kb/スタンダードドメインに戻す ドドメインに戻すと証明書信頼関係を失い全 2647048 ドメインフェデレーション不可 ・コマンドの不具合で現在修正中管理者アカウントのドメイン 管理者アカウントのドメインをフェデレーション 管理者アカウントは事前に変更 ドメインにすると、障害時ログイン不可 onmicrosoft.comドメインに変更14 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  15. 15. Thank you© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

×