AIM Consulting SA Via Monte Brè 10 6900 Lugano Tel: +41 (0)91 9249590 Fax: +41 (0)91 9249591 www.aimconsulting.ch
Agenda Introduzione Exchange 2010 Goals Novità in Exchange 2010 Novità ruolo Mailbox Novità ruolo CAS Novità ruolo HUB Migliorie architettura ESE Novità High Availability Novità Backup & Restore Protezione conformità e controllo Nuovo modello delle autorizzazioni RBAC Federation Transport rules Classificazione dei messaggi IRM Message Records Management Multi-Mailbox search e Legal Hold Personal Archive
Exchange 2010 Goals Migliore affidabilità Amministrazione semplificata Accesso alla mail ovunque Protezione e compliance Semplificazione licensing Gestione permessi piu semplice e potente
Exchange 2010 Goals Server Licenses: Client Access Licenses: Standard Edition: disegnata per small organization. Ottima per exchange roles diversi da mailbox in grandi organizzazioni Standard CAL: per un uso tradizionale della mail senza features quali voice mail, retention tag personalizzati etc Enterprise Edition: disegnata per grandi organizzazioni che necessitano di molti mbx db (6-100) Enterprise CAL: grandi organizzazioni con necessità paricolari quali UM, per user journaling, legal holds e molto altro!
Exchange 2010 Goals Standad vs Enterprise server licenses Feature Standard Ed Enterprise Ed Mailbox databases 1-5 6-100 RBAC Model Yes Yes Transport Resiliency Yes Yes Remote Power Shell Yes Yes Online move mailbox Yes Yes Web-based Admin Yes Yes Mailbox resiliency Yes Yes
Exchange 2010 Goals Scenari possibili: Exchange Server Edition Scenario Standard No mailbox resiliency Standard Enterprise No mailbox resiliency Standard Windows Server Edition Standard Mailbox resiliency Enterprise/Datacenter Enterprise Mailbox resiliency Enterprise/Datacenter
Exchange 2010 Goals Standard vs Enterprise CALs Feature STD CAL STD + ENT CAL Information protection & control No Yes Integration of IM,SMS,RSS Yes Yes Federated calendar sharing Yes Yes ActiveSync Mobile Management policies Std Journaling Per DB All Voicemail with UM No Yes Retention policies Default All Integrated personal archive No Yes Multi-Mailbox search / Legal hold No Yes Std e Advanced
Exchange 2010 Goals Requisiti di infrastruttura: Schema master & global catalog: Windows 2003 SP2 Livelli funzionali di foresta e dominio: >= 2003 native Not supported: Exchange 2000 o precedenti HW richiesto: x64 bit, Windows 2008 SP2 o R2, 2Gb di RAM (piu 2-6Mb per mailbox), 1,2Gb sul disco di installazione e 200Mb di spazio libero sul disco di sistema
Novità ruolo Mailbox Exchange management shell 2.0 basata su Powershell 2.0 Esecuzione remota dei comandi sui server Exchange 2010 Powershell command log Adesione al nuovo modello di autorizzazioni RBAC Migliorie del journaling: per db, per lista di distribuzione, per utente. Attivabile anche grazie alle transport rules Nuove retention policies basata su tag: servono per marcare le singole mail per la cancellazione o il mantenimento per un certo periodo di tempo Multi-Mailbox search (utilizzabile da ECP) Legal hold Funzionalità di Calendar Repair SingleItemsRecovery (Dumpster 2.0)
Novità ruolo CAS 2 versioni di OWA: Premium & Light Qualunque client si collega tramite CAS, se un database esegue un failover su un altro server il CAS è avvisato e redireziona in pochi secondi al nuovo server Permette il Move-Mailbox online Uso dei Mail Tips Policy di sicurezza per dispositivi mobili Possibilità di remote wipe dei dispositivi mobili
Owa new features Novità ruolo CAS Multi browser support (safari e firefox) Ordinamento mail per conversazione Integrazione con Office Communicator Spedizione e ricezione SMS Visualizzazione contatti condivisi, public folders e archivio personale Visualizza Mail Tips Permette di aprire mailbox shared e di accedere a ECP Web-ready Document Viewing (anche Exchange e OWA 2007)
Novità ruolo HUB Nuovi predicati e azioni nelle transport rules Rindondanza shadow Trasporto moderato EdgeSync incrementale Integrazione delle regole di trasporto con AD RMS Miglioramenti del dumpster di trasporto Miglioramenti del database di trasporto
Migliorie architettura ESE Nuova architettura dei DB Rimossi gli storage group, ogni DB ha il proprio logging I database non sono piu associati a specifici server, pertanto devono avere nomi univoci all interno dell organizzazione Exchange Si gestiscono a livello Organizzazione in EMC Sono completamente portabili Riduzione del 70% delle operazioni di I/O sui dischi tramite un migliore utilizzo della cache (70% rispetto a exchange 2007)
Novità Backup & Restore Sono supportati solo backup basati su VSS Grazie a DAG e opportune retention policy si puo pensare a soluzioni senza backup (con circular logging) Si puo utilizzare DPM2010 o soluzioni di terze parti basate su VSS Non si puo mai eseguire un restore su copia passiva Recupero delle mailbox entro 30 giorni (o piu ) Restore sulla stessa locazione del db con successivo replay dei log Per il recover del server esiste un solo comando: setup.com /recover
Protezione Conformità e Controllo Sicurezza: insieme di tecnologia e procedure organizzative Novità di Exchange 2010: Nuovo modello delle autorizzazioni RBAC Federation Transport rules Classificazione dei messaggi IRM Message Records Management Multi-Mailbox search e Legal Hold Personal Archive
Nuovo modello delle autorizzazioni RBAC Nuovo modello di permission slegato dalle «vecchie» ACL Permette di definire con maggior dettaglio chi puo fare - che cosa dove Who (Role Group) Assignment Where (Scope) What (Role Entries)
Nuovo modello delle autorizzazioni RBAC Management Role Group: USG in AD, popolati con gli utenti ai quali devono essere assegnate determinate permission Management Roles: collezione di cmdlet e parameters (management role entries), nel loro insieme definiscono tutte le azioni che possono essere eseguite Scope: Oggetti sui quali le azioni definite dal Management Role hanno effetto (OU, un recipient, tutta l organizzazione etc ) Role Assignment: rappresenta il cuore di RBAC, permette di fare in modo che le permission siano utilizzabili
Nuovo modello delle autorizzazioni RBAC - Piu Management Role Entries vengono raggruppate in un Management Role, il quale viene associato a uno o piu Management Group definiti in AD con uno Scope implicito o esplicito. - In AD vi sono 11 Management Role Group, 65 built in Management Roles e 160 Assignments. - Ciascuna Role Assignment è una relazione 1:1 che lega un Management Role, uno Scope e un Role Group. - Tutti questi sono oggetti in AD. - A differenza delle ACL non vi è una negazione che ha la precedenza sulle permission date, cio che un utente puo fare è il merge di tutti i comandi che gli sono stati assegnati tramite i vari management roles.
Nuovo modello delle autorizzazioni RBAC Tutto in Exchange 2010 si basa su RBAC Al login in ECP, EMC, EMS vengono lette tutte le permission da assegnare all utente e vengono visualizzate solo le opzioni/oggetti ai quali si ha accesso All atto della installazione l amministratore viene inserito nei USG Organization Management e Recipient Management Ad ogni utente con una mailbox viene assegnata una «Default Assignment Policy» la quale definisce i permessi che si hanno sull oggetto mailbox Default Assignment Policy: collezione di uno o piu Management Roles di tipo End User Un utente puo avere solo 1 Default Assignment Policy, 1 o piu Management Role Assignment
Federation Con le vecchi versioni di Exchange avevamo a disposizione strumenti quali GalSync e AD Trusts Federation permette di condividere contatti, Free/Busy informations e Calendars senza compromettere la sicurezza (AD Trusts non piu necessarie) Permette di inviare e-mail sicure (IRM) Si usano Federation Trust e Microsoft Federation Gateway Come funziona: 1 - aziende si registrano al MFG 2 - Si crea una federation trust, specificando le informazioni da condividere e tra chi
Federation Attachments nei meeting request nel proprio calendar (in sharing) non sono accessibili dall utente federato Federation non si puo fare con organizzazioni che possiedono sistemi di mailling di terze parti (Lotus Notes etc ) Non si possono federare organizzazioni Exchange 2010 con organizzazioni 2007 R2 o precedenti Certificati interni (CA aziendale) non sono supportati Sono utilizzabili solo certificati commerciali accettati dal MFG Federation non necessita di alcun account specifico Spesso si usa in acquisizioni di società che comunque si vogliono matenere separate
Transport rules Sono state aggiunte molte condizioni/azioni rispetto alla versione 2007 La struttura rimane invariata: Condizione-Azione-Esclusioni Servono principalmente per l applicazione automatica delle politiche aziendali di protezione/compliance al flusso mail Sono replicate in automatico su tutti gli HUB dell infrastruttura (non gli Edge servers) Alcune novità: Maggior granularità: si possono creare transport rules sulla base anche del contenuto di attachent supportati (quali doc, xls etc ) e i filtri ora includono anche AD user attributes (department, country, manager ) Transport protection rules: possono applicare le policy definite in RMS (Information Right Management) dopo la spedizione del messaggio
Transport rules Dynamic signatures: aggiungono dinamicamente le signatures alla fine di un messaggio basandosi sugli attributi AD del sender. Inoltre possono anche includere logo aziendali, fonts specifici e altro. Moderation: Prima di recapitare la posta al/ai destinatari reindirizzano il messaggio ad un moderatore perché autorizzi la spedizione. Questa funzionalità è anche selezionabile a livello di singola mailbox e gruppo di distribuzione.
Classificazione dei messaggi La classificazione dei messaggi puo essere fatta dall utente finale o da transport rules in maniera automatica Sulla base della classificazione possono essere eseguite azioni quali: non spedire il messaggio all esterno, applica la protezione IRM, spedisci ad un moderatore etc I flag al contrario della classificazione non sono utilizzabili dalle transport rules, sono solo informativi E possibile creare molteplici classificazioni custom, ma se queste diventano numerose e vengono utilizzate in transport rules occorre documentare adeguatamente il tutto
IRM
IRM Uso di IRM nel caso di organizzazioni federate
IRM Alcuni tipi di protezione offerta dai Rights Policy Template: Nega il salvataggio del messaggio / attachments Nega la stampa del messaggio / attachments Nega la possibilità di effettuare il forward del messaggio Blocca la possibilità di fare screenshots Nega il reply / reply all Blocca qualisasi macro Si estende anche agli attachments supportati (docx, xlsx, etc ) Per estensioni non supportate c è la possibilità di importare (occorre operare a livello di chiavi di registro) Possibilità di impostare una scadenza al messaggio (es dopo 1 giorno, o a partire dal 1 aprile 2010)
Message Records Management Prima le retention policies erano applicate ai folder (Managed Folder Policy). Tutti i messaggi in un folder ereditavano indistintamente la policy del folder Exchange 2010 introduce un nuovo sistema di retention, attraverso l uso di Retention Tag I Retention Policy Tag e le Retention Policy si gestiscono solo attraverso EMS Le retention policy si applicano ora a specifici messaggi, conversazioni, o folder in una mailbox. Sono supportati due tipi di policy: Policy di archiviazione Policy di retention Entrambi le policy possono essere applicate contemporaneamente
Message Records Management Solo le retention policy possono essere utilizzate in caso di Personal Archive attivo sulla mailbox Quando si abilita un Personal Archive la policy di archiviazione di default viene agganciata alla mailbox dell utente Come funziona: L amminsitratore crea diversi Tags che vengono raggruppati in una Retention policy, uno di questi è il default Il Tag si puo applicare a un folder (di default o custom), a tutto il contenuto della mailbox, o a un tipo di messagio (calendar etc..) Ogni Tag specifica un tempo di retention al cui termine viene eseguita una azione (MoveToArchive, DeleteAndAllowRecovery etc ) Se non specificato diversamente (dall utente) viene applicato il tag di default ai messaggi La scelta dell utente finale è sempre rispettata, ovunque si trovi il messaggio, anche se questo viene spostato
Multi-Mailbox Search Solo i membri dello USG «Discovery Management» possono effettuare il multi-mailbox search Si possono effettuare ricerche trasversali su tutte le mailbox, o si possono selezionare solo alcune mailbox Si possono cercare anche informazioni protette tramite IRM Le ricerche si estendono anche al contenuto degli attachment, tasks, appuntamenti in calendario, contatti Le ricerche si estendono anche al Personal Archive e al contenuto del dumpster 2.0 non piu accessibile all utente finale
Legal Hold
Personal Archive