ИЛЛЮСТРАЦИЯ РОЯ СКОТТА Компания Microsoft предлагает один из вариантов вычислительного облака — Software Plus Services (S+S). Основное различие между S+S и Software as a Service (SaaS) заключается в использовании в варианте S+S специализированных программ на клиентской стороне, таких как Microsoft Office, в сочетании с оперативными приложениями.

Комплекс Microsoft Business Productivity Online Suite (microsoft.com/online/business-productivity.mspx) — отличный пример службы, которая может иметь большое влияние на малые и средние компании. Пользователи, оформившие подписку на комплекс, получают доступ к Microsoft Exchange Online, Microsoft SharePoint Online и Microsoft Office Live Meeting за 15 долл. в месяц для одного пользователя. Например, предприятия малого и среднего бизнеса, которые никогда не разместили бы у себя сервер Exchange, могут с успехом применять функции Microsoft Office Outlook, доступные только при использовании Exchange (в том числе глобальный список адресов, расписание комнаты для совещаний, приглашения на встречи со встроенными возможностями получения согласия и отказа, календарь и прямая передача электронной почты в устройства Windows Mobile 6). Аналогичные функции доступны в SharePoint Online для совместной работы с документами и Live Meeting для коллективной работы в реальном времени. Давайте посмотрим на этот комплекс глазами профессионала по ИТ и пройдем по всем этапам установки служб.

Обзор служб

Комплекс поставляется в трех вариантах.

  • Standard. Это основная версия комплекса Business Productivity Online Suite. В центре обработки данных Microsoft стандартные службы развернуты с использованием архитектуры со многими арендаторами (multi-tenant architecture — один экземпляр программы выполняется на серверах поставщика облачных услуг, обслуживая несколько клиентских организаций, или арендаторов). Это очень полезный, доступный набор служб. В модели сочетаются масштаб и доступность: пользователь получает самые ценные базовые службы, но возможности что-то настраивать ограничены. При оценке и переходе на комплекс очень важно понимать границы настроек версии Standard.
  • Dedicated. Специализированные комплексы обычно предназначены для компаний, у которых по крайней мере 5000 рабочих мест. Как правило, это особые соглашения, в рамках которых компания Microsoft обеспечивает миграцию, поддержку и развертывание. Специализированная версия отличается более глубокими настройками на нескольких уровнях, в частности, для поддержки определенных типов федеративных удостоверений и параметров SharePoint.
  • Deskless Worker. Недорогая версия для рабочих в производственных цехах и других сотрудников, которым нужен доступ к почтовому ящику через Microsoft Outlook Web Access (OWA) и возможность только читать документы SharePoint.

Оформление подписки на оперативные службы Microsoft

Подписка на службы и при необходимости на дополнительное пространство для хранения данных оформляется на портале Microsoft Online Customer Portal (MOCP, mocp.microsoftonline.com). Заказать Business Productivity Online Suite можно так же, как и другие службы: достаточно ввести основную контактную информацию и сведения о компании и принять условия лицензирования и конфиденциальности. Ниже описано, как происходит процедура регистрации.

  1. Выберите действующий идентификатор Windows Live, который будет постоянно связан с учетной записью MOCP. Выбранный идентификатор Live ассоциируется с созданной подпиской. Его нельзя использовать более чем для одной подписки, как и невозможно изменить связь идентификатора с подпиской. MOCP используется для подписки на дополнительные службы или расширения хранилища, но не ежедневного администрирования. Обратите внимание, что идентификатор Live не может быть именем пользователя в системе, поэтому полезно создать особый, новый идентификатор Live для учетной записи MOCP.
  2. Назначьте квалифицированного технического специалиста для связи. Он будет получать сообщения об обновлениях служб и другие новости, относящиеся к службам. При необходимости сотрудники компании Microsoft смогут обратиться к нему по телефону или по электронной почте.
  3. Предоставьте базовое имя домена. Базовое имя домена добавляется к microsoftonline.com, чтобы сформировать уникальный входной домен для учетной записи потребителя. Например, если ввести contoso.com, учетная запись будет иметь примерно такой вид: contoso1.microsoftonline.com. Можно добавить уникальное имя домена, используемое для электронной почты и входа после того, как будет получена учетная запись. Ввод домена во время регистрации не влияет на DNS-сервер и маршрутизацию почты для указанного домена.
  4. Выберите партнера. После регистрации нужно выбрать партнера Microsoft, с которым будет связана учетная запись. Делать это не обязательно, но Microsoft рекомендует работать с партнером, который ответит на вопросы, поможет спланировать миграцию и интегрирует службы в существующий рабочий процесс.
  5. Получите административный пароль. По завершении подготовительных операций пользователю высылается приглашение вернуться в MOCP и получить пароль административной учетной записи. Здесь придется подождать, пока формируется учетная запись. Процесс может занять целый день, но даже при использовании предварительных бета-версий оперативных служб задержка не была столь длительной.

Имея пароль, можно перейти к административному центру Microsoft Online Administration Center (MOAC, admin.microsoftonline.com), показанному на экране 1, и приступить к настройке служб.

Экран 1. Портал Microsoft Online Administration Center

Советы новым подписчикам

Опытный администратор служб обязательно выполнит с новой учетной записью ряд действий. Приведенные ниже советы помогут избежать необходимости повторно настраивать параметры в будущем.

  • Добавьте пользовательские домены. Прежде чем создавать учетные записи новых пользователей, добавьте и проверьте основной пользовательский домен (щелкните на вкладке Users, затем выберите Add a New Domain из списка Action). Чтобы предотвратить мошенничество с именами доменов, необходимо проверить все домены, используемые со службой. Для проверки домена запустите мастер проверки, который предоставляет уникальную «строку», впоследствии помещаемую в запись CNAME заслуживающего доверия DNS-сервера для домена. Затем мастер проверки домена запрашивает DNS и анализирует содержимое записи CNAME. В случае совпадения считается, что домен прошел проверку. Предполагается, что контроль над DNS-сервером пользовательского домена фактически означает контроль над доменом. Хорошие объяснения даны в оперативной справке для данного процесса (www.microsoft.com/resources/Technet/en-us/MSOnline/bpos; выполните поиск со словами verify a domain).
  • Проверенный домен нужно назначить доменом по умолчанию. После этого можно приступать к созданию учетных записей пользователей. Новые пользователи будут автоматически включаться в пользовательский домен и выполнять регистрацию с именем username@customdomain.com вместо username@customdomain1.microsoftonline.com. Обратите внимание, что в настоящее время нельзя изменить домен регистрации для пользователя по умолчанию. Таким образом, если, прежде чем добавить пользовательский домен, было создано 100 пользователей, им всегда придется регистрироваться с именем username@customdomain1.microsoftonline.com, пока компания Microsoft не изменит этот механизм.
  • Создайте нового администратора, который использует службы. Администраторы, у которых есть опыт управления операционными системами, наделяют встроенную учетную запись Administrator особым значением. При использовании комплекса учетная запись Admin похожа на любую другую учетную запись пользователя, отмеченную в качестве администратора службы. Другими словами, ее нельзя удалить или отключить без последствий. Рекомендуется создать две учетные записи администратора, одну для использования всех служб (то есть одно из рабочих мест занято этой учетной записью) и «резервную» учетную запись, с помощью которой можно регистрироваться и управлять службами, но не используемую в качестве клиента службы. Благодаря резервной учетной записи второй администратор может получить доступ в случае отсутствия основного администратора.
  • Настройте параметры Live Meeting. После регистрации с учетной записью Admin (и без активного приложения Sign-in; подробнее об этом будет рассказано ниже) запустите Live Meeting из MOAC и настройте параметры по умолчанию для администратора Live Meeting. Затем настройте профиль Live Meeting для учетной записи Admin. Эти параметры будут использоваться по умолчанию для новых пользователей Live Meeting. Если параметры по умолчанию назначены после регистрации пользователей в Live Meeting, параметры пользователей не обновляются в соответствии с изменениями, так как профиль уже создан. Среди параметров, нуждающихся в обновлении, — максимальное число участников (15 в стандартной версии) и информация о вызовах и голосовой связи в ходе конференции.

Создание пользовательских учетных записей и управление ими

В рассматриваемом комплексе существует два типа пользователей: созданные в административном центре и созданные с помощью инструмента Directory Synchronization. Процесс создания учетных записей пользователей в MOAC прост. Достаточно запустить мастер New User Wizard из списка Actions на главной странице и послать пользователю новый пароль (который тот должен изменить при первой регистрации). Обратите внимание, что можно также импортировать множество учетных записей пользователей с помощью csv-файла.

Можно загрузить и установить инструмент Directory Synchronization в MOAC. У этого инструмента немного административных функций. Незаметно для пользователя программа установки добавляет Microsoft Identity Integration Server (MIIS), SQL Server 2005 Express Edition и службу Windows, которая периодически реплицирует новые учетные записи. Для установки необходимы учетные данные Enterprise Administrator, так как инструмент обходит все домены леса в поисках объектов user.

При создании и управлении учетными записями пользователей следует помнить о нескольких важных обстоятельствах.

  • В службе будет создана учетная запись для каждого пользователя в лесу Active Directory (AD). В текущей версии инструмента Directory Synchronization нельзя ограничить учетную запись конкретной организационной единицей (OU) или доменом.
  • Пароли не копируются.
  • Новые учетные записи, созданные в AD, будут реплицированы в комплекс, а учетные записи пользователей, созданные в службе, не реплицируются.
  • Реплицированным учетным записям в службе лицензии не назначаются автоматически; это необходимо сделать вручную. Процесс прост благодаря возможности одновременно выбрать и обработать всех пользователей без лицензий.
  • По умолчанию репликация повторяется через каждые 30 минут. Сообщения от программы просмотра событий указывают на начало и конец синхронизации.
  • Репликацию можно выполнить вручную, запустив инструмент Directory Synchronization.

Управление клиентами

Среди задач управления на клиентской стороне — развертывание приложения Sign-in, некоторые настройки профиля пользователя Outlook и перенос сообщений электронной почты с сервера Exchange, расположенного в офисе компании, в Exchange Online.

Развертывание приложения Sign-in. Приложение Sign-in комплекса предназначено для развертывания на настольных компьютерах компании-подписчика. Как показано на экране 2, приложение используется для запуска Outlook, OWA, SharePoint Online и Live Meeting. В большинстве случаев запуск из приложения Sign-in устраняет необходимость в ручной проверке подлинности при обращении к службам.

Экран 2. Приложение Microsoft Online Services Sign-in

Приложение Sign-in необходимо, так как учетные записи пользователя для службы существуют в центре обработки данных Microsoft и не являются частью локальной базы каталога AD компании или другой системы. В результате ID и пароль пользователя — уникальные сущности, у которых нет общего контекста безопасности с зарегистрированным на клиентской системе пользователем. Такой подход удобен для потребителей, так как локальные имена пользователей и пароли компании размещаются в центре обработки данных Microsoft. С другой стороны, было бы желательно иметь MIIS или другую службу для объединения удостоверений. Первоначальная версия Standard Suite не поддерживает федеративные удостоверения.

Как при любом развертывании, необходимо оценить минимальные требования к аппаратным средствам и программному обеспечению; влияние на работу пользователей; требования поддержки, обновления и установки. Для приложения Sign-in требуется Windows XP Professional SP2 или Windows Vista Premium, Ultimate или Enterprise. Необходимо установить Microsoft.NET Framework 2.0, так как инструмент использует Windows Communication Foundation (WCF) для связи со службой в целях проверки подлинности. Поддерживаемый клиент электронной почты — Microsoft Office Outlook 2007. Наконец, установить инструмент может только администратор. Средство доступно для загрузки из MOAC или home.microsoftonline.com.

Управление профилем. Приложение Sign-in создаст новый профиль пользователя Outlook, который соединяет Outlook с комплексом. В большинстве случаев обнаружение выполняется автоматически (небольшие настройки могут потребоваться в сценариях сосуществования; подробности даны в оперативной подсказке). Возможно, потребуется выполнить некоторые административные задачи, связанные с восстановлением записей автозаполнения или добавления локально сохраненной папки почтового ящика «Входящие» в новый профиль. Обе задачи просты и при необходимости могут быть автоматизированы. Дополнительные сведения о выполнении этих операций приведены в блоге blogs.technet.com/bpositive.

Перенос электронной почты. Инструмент миграции электронной почты перемещает почтовые сообщения и сопутствующие данные в комплекс Suite из Exchange. Он также поддерживает миграцию данных POP3 в ограниченной степени. Как и другие инструменты, его можно загрузить из MOAC и установить на компьютере, присоединенном к лесу AD. После ввода сведений о службах, на которые оформлена подписка, и административных учетных данных Exchange инструмент запрашивает сервер Exchange и отыскивает совпадающие оперативные учетные записи. Затем можно указать учетные записи пользователей и содержимое, которые предстоит перенести. Например, можно перенести электронную почту в определенном диапазоне дат, а также журналы, задачи и другие данные, связанные с почтовыми учетными записями пользователей.

После того как электронная почта перенесена в оперативную службу, формируется учетная запись AD пользователя с альтернативным адресом доставки, чтобы почтовые сообщения, которые доставлялись на локальный сервер Exchange, направлялись в службу. Пользователь новой оперативной службы будет видеть полный глобальный список адресов (GAL) (вследствие использования инструмента Directory Synchronization), будет получать все почтовые сообщения из всех источников и может отправлять сообщения любому пользователю без перерыва в облуживании. Учтите, что этот инструмент миграции не переносит содержимое серверов SharePoint.

SharePoint Online

Администраторы служб могут создавать сайты SharePoint в MOAC. При использовании автоматической процедуры администратор службы, создавший сайт, становится администратором сайта SharePoint. Его первая задача — зарегистрироваться на сайте SharePoint и добавить учетные записи пользователей SharePoint.

Использование SharePoint Online очень похоже на работу с SharePoint на территории компании; единственное отличие — некоторые ограничения оперативной версии из-за особенностей архитектуры службы с многочисленными клиентами-арендаторами. Служба SharePoint Online построена на основе Microsoft Office SharePoint Server, и небольшие компании получают преимущества интеграции от публикации документов, коллективной работы и Microsoft Office. Некоторые Web-службы SharePoint открыты для доступа, что позволяет строить пользовательские приложения на клиентской стороне и интегрировать вертикальные бизнес-приложения, как представлено в демонстрации Partner Solutions Showcase (www.microsoft.com/online/partner/solutions-showcase.mspx).

Планирование

Использование Business Productivity Online Suite — простая часть задачи. После того как решение развернуто, пользователи обучены и системы поддержки готовы, выполнять повседневные операции проще, чем делать то же самое на серверах внутри компании. Однако обязательное условие успеха — тщательное планирование. Необходимо учесть такие факторы, как влияние оперативных служб на пропускную способность каналов связи, надежность Internet-провайдера, альтернативные каналы доступа в Internet, планирование переноса электронной почты, обновления программного обеспечения, настройка мобильных устройств для доступа к электронной почте (комплекс поддерживает Windows Mobile 6 и более поздние версии), настройка DNS, идентификация администраторов служб и обновление систем поддержки и сетевых устройств по мере необходимости (например, фильтрация содержимого, маршрутизаторы, proxy-серверы).

Организационная задача: обучить пользователей запускать Outlook и другие службы с помощью приложения Sign-in. Например, если запустить Outlook с помощью пиктограммы рабочего стола вместо приборной панели Sign-in, появится запрос для выбора нужного профиля. Кроме того, если приложение Sign-in не активно, пользователь должен пройти проверку подлинности и предоставить клиентский сертификат. Поэтому нужно проинформировать пользователей об этих изменения перед развертыванием приложения Sign-in.

Чтобы упростить процесс планирования, выпущен обновленный набор инструментов Microsoft Assessment and Planning (MAP) (technet.microsoft.com/en-us/library/bb977556.aspx), который обеспечивает анализ пригодности систем компании для развертывания комплекса. Набор вопросов и средство сетевых запросов позволяют собрать полезные сведения о влиянии на пропускную способность канала связи и установленные в данное время версии операционных систем и Office. Уровень подготовленности можно оценить с помощью прилагаемых контрольных списков.

После развертывания комплекса повседневные задачи администрирования сервера берет на себя Microsoft, и у специалистов компании появится время заняться отложенными ИТ-проектами. Бесплатную пробную учетную запись для Microsoft Online Services можно получить по адресу mocp.microsoftonline.com. Уделите время чтению оперативной документации, загрузите набор инструментов MAP и познакомьтесь с работой комплекса. Его возможности и простота администрирования наверняка произведут на вас впечатление.

Бретт Хилл (brett@iisanswers.com) — технический менеджер по продуктам в Microsoft. Отвечает за техническую подготовку партнеров Microsoft к Microsoft Business Productivity Online Suite. Ведет блог по адресу brettblog.com