Exchange Online: Coesistenza flusso SMTP con Exchange on-premises

Ultimamente ho seguito diverse migrazioni verso Exchange Online, alcune delle quali partendo da Exchange 2003 Sorriso.

In questo caso non è possibile ottenere una configurazione ibrida, ma è possibile configurare la coesistenza relativamente al flusso SMTP.

Nei casi in cui gli utenti AD locali vengano sincronizzati con Exchange Online, tramite “Windows Azure Active Directory Sync Tool (alias Dirsync), si dovrà eseguire la “Staged Migration”; per ulteriori dettagli consiglio la consultazione del “Microsoft Exchange Server Deployment Assistant”:

http://technet.microsoft.com/it-IT/exdeploy2013

In questo caso la procedura di migrazione esegue i seguenti step:

  1. Dirsync sincronizza gli utenti AD con Exchange Online. Su Exchange Online verrà creato un “mail user” relativo ad ogni mailbox Exchange Onprem. Inoltre verranno importati i Distribution Groups e eventuali contatti.
  2. Quando viene eseguito il Migraton Job di una mailbox, questo è ciò che accade:
    1. Il “mail user” su Exchange Online viene convertito in mailbox
    2. Nelle proprietà dell’oggetto AD relativo alla maibox migrata viene popolato l’attributo “TargetAddress” con l’email address associato al dominio “onmicrosoft.com”, impostato sul tenant Exchange Online, in modo che ogni nuova mail destinata alla mailbox migrata venga inoltrata alla mailbox Exchange Online
    3. Il job di migrazione copia il contenuto della mailbox onprem nella mailbox Exchange Online

Assumendo che il flusso SMTP in ingresso sia ancora attestato sull’infrastruttura onprem, in queste condizioni otteniamo che le mail destinate ad utenti migrati vengono inoltrate alla mailbox Exchange Online.

Al contrario, gli utenti già migrati su Exchange Online sono in grado di inviare mail solo ad utenti già migrati, non a utenti Onprem e nemmeno a utenti esterni all’organizzazione.

Per quanto riguarda l’ultima affermazione, è vera solo in parte. La possibilità di inviare ad utenti esterni all’organizzazione dipende dall’esistenza di eventuali record SPF. Se esiste il record SPF per il dominio SMTP in questione occorre includere la parte che autorizza l’invio tramite i server Exchange Online, questa è la parte da includere nel record SPF:

“include:spf.protection.outlook.com –all”

Per quanto riguarda invece l’invio verso l’infrastruttura Onprem, occorre eseguire quanto segue:

  1. Impostare il dominio SMTP configurato su Exchange Online come “Internal Relay”:

    • Set-AcceptedDomain –Identity “contoso.com” –DomainType InternalRelay
  2. Creare un Outbound Connector con le seguenti caratteristiche:
    • Tipo: on-premises
    • Delivery: impostare il nome o fqdn relativo al servizio SMTP del server Onprem
    • Scope: aggiungere il dominio che è stato definito come “internal relay” negli accepted domain

A questo punto il flusso SMTP tra l’ambiente Online e l’ambiente Onprem è correttamente configurato.

C’è un’ultima cosa da tenere presente: visto che l’Exchange Onprem produrrà un grande flusso di mail verso l’Exchange Online, EOP (Exchange Online Protection) il motore antispam di Exchange Online, potrebbe interpretare questo fenomeno come “fonte pericolosa” e bloccare il flusso proveniente dall’Exchange Onprem.

Per evitare questo effetto occorre definire l’IP pubblico dell’Exchange Onprem tra gli “IP allowed”, nella parte di “connection filter”, nella sezione “protection” di Exchange Online.

Qui nasce un problema, derivante da un bug nella gestione di Exchange Online, o meglio di EOP, tramite EAC (Exchange Administration Center). Quando si tenta di eseguire le operazioni che ho appena descritto, si riceverà il seguente errore:

“Sorry! We couldn’t update your organization settings. Please try again. Click here for help….”

012214_0223_EOPOffice367

La soluzione sta nell’utilizzo di powershell, in attesa che Microsoft corregga il bug.

Questo è il comando da utilizzare:

Set-HostedConnectionFilterPolicy “Default” -IPAllowList 192.168.1.10

A presto.

Roberto