Llegamos a ustedes gracias a:



Reportajes y análisis

Guía de supervivencia para la migración de Microsoft Exchange a Google Apps

El cambio de Microsoft Exchange a Google Apps puede tener muchos beneficios, pero el viaje definitivamente no es la recompensa.

[30/05/2011] Pocos recursos de TI tienen una mayor visibilidad dentro de una organización que el correo electrónico. Es un servicio que es crucial para todos los usuarios, y los cortes de éste causan que los usuarios entren en pánico. La migración de un sistema de correo electrónico a otro es siempre un asunto difícil, y el paso de un sistema interno de correo como Microsoft Exchange a un sistema basado en la nube como Google Apps es aún más difícil. Lidiar con los problemas inevitables post inmigración puede poner a las personas con el alma en vilo.

La migración de Exchange a Google Apps se basa en dos herramientas: Google Apps Directyory Sync y Google Apps Migration para Microsoft Exchange. La primera es necesaria para sincronizar las cuentas de usuario, grupos, contactos compartidos, y los perfiles de usuario en un dominio de Active Directory con Google Apps, y la segunda hace el trabajo sucio de copiar el correo electrónico, calendario y datos de contactos de Microsoft Exchange hacia el servicio de Google.
La primera orden del día (una vez que ha configurado su cuenta de negocios con Google) es comenzar la construcción de su configuración de Google Apps Directory Sync. Esto requiere un conocimiento profundo de la estructura de Active Directory, así como el conocimiento general de LDAP y sus estructuras de consulta.
Google Apps Directory Sync
La herramienta Google Apps Directory Sync se divide en dos aplicaciones principales: el gestor de configuración y sync-cmd.exe. El administrador de configuración es una herramienta que puede leer y escribir archivos de configuración XML de Google Apps Dyrectory Sync y ejecutar las simulaciones de la tarea de sincronización para comprobar la viabilidad de la configuración. sync-cmd.exe es una herramienta de línea de comandos que ejecuta el proceso de sincronización real.
 
Trabajar con el administrador de configuración de Google Apps Directory Sync es una espada de doble filo. Hace que algunas cosas sean sencillas de configurar, tales como la configuración básica de la cuenta de Google para poder utilizar la sincronización, el servidor LDAP para consultar los datos, la base DN, y así sucesivamente. Pero puede ser molesto en lugares en los que está obligado a incluir o excluir un número importante de elementos individuales - tales como una lista de usuarios que no tienen elementos comunes y deben ser excluidos de la sincronización. La incorporación de estos largos elementos de configuración línea por línea -a través de la herramienta de interfase gráfica de usuario- envejece rápidamente.
Sin embargo, el archivo de configuración es XML, por lo que hemos encontrado que escribir un poco de código que arroje XML válido y pegarlo en el archivo de configuración, acelera el proceso de manera significativa. A medida que avanza a través de la interfase casi-asistente de la herramienta, se le presentará una serie de parámetros de configuración necesarios. Los mencionaremos aquí en el orden en que se presentaron.
Configuración de LDAP. No hay nada preestablecido para trabajar con Microsoft Active Directory. Es tratada como cualquier otra fuente de datos LDAP y requiere configuración manual. Para un dominio Windows Server 2003, utilizando el puerto por defecto de 389 y la comunicación simple no SSL, funciona bien. Para la mayoría (pero no para todas) las implementaciones de Active Directory, la base DN deberá ser ou = usuarios, dc =empresa, dc = com. Deseará que la base DN sea lo más específica posible, al mismo tiempo que sigue incorporando los objetos LDAP que necesitan ser sincronizados, incluyendo todos los usuarios y grupos.
Unidades de la organización. Nos encontramos con problemas con las reglas de inclusión/exclusión de unidades de la organización. No importa cómo estructure esos elementos, Google App Directory Sync aún evaluará las unidades organizativas especificadas en la lista de exclusión. No he tenido ninguna respuesta de Google cuando pregunté acerca de este problema. Su kilometraje puede variar.
Usuarios. Este es, obviamente, un elemento clave para el proceso de sincronización. Los atributos de la dirección de correo electrónico y el alias son establecidos generalmente por defecto para una red de Microsoft Active Directory, por lo que estos elementos pueden quedarse como están. Los atributos extendidos son generalmente givenName y sn para los nombres y apellidos, respectivamente. Si hay un atributo de cuota de buzón en juego, se pueden agregar aquí, pero no es necesario.
Es importante tener en cuenta que los usuarios pueden ser sincronizados fácilmente desde Active Directory hacia Google Apps, pero las contraseñas no. Hay un método para sincronizar las contraseñas que implica el uso de sha1hexfltr, un archivo DLL personalizado que se debe instalar en cada controlador de dominio en la organización. Esta DLL intercepta los eventos de cambio de usuario y contraseña, y coloca un hash SHA1 de la nueva contraseña en el atributo de división (generalmente) no utilizado.
Utilizar el método sha1hexfltr puede ser un gran riesgo de seguridad para algunos, ya que almacena el hash de la contraseña SHA1 en el objeto de usuario. También es bastante inadecuada. Sin embargo, también es la única forma práctica para lograr la sincronización de contraseñas en este momento.
Grupos. La sincronización de grupos tiene los mismos requisitos básicos que la sincronización de usuario, con reglas de inclusión y exclusión. Para incluir a grupos específicos, es probablemente más fácil seleccionarlos con una consulta LDAP haciendo referencia al atributo de correo, de esta manera:
(&(&(objetclass=grupo)(objectcategory=grupo))(mail=contabilidad@example.com)))
También puede usar comodines, por ejemplo:
(&(&( objectclass = grupo) (objectCategory=grupo) (mail =*todos*)))
Querrá llenar otros atributos de directorio de Google Apps tales como Group Name, Group Display name, y Group Description. Para que esos datos sean llevados a lo largo de Active Directory, lleve el correo, nombre de usuario y los atributos de descripción de Active Directory a estos campos. En términos generales, verá el atributo de miembro en el ámbito de miembros del atributo de referencia, aunque esto puede cambiar dependiendo de su configuración de Active Directory.
Es importante señalar que las diferencias fundamentales en la manera en que Google Apps Directory Syncs tranza con los grupos, pueden obligarlo a ejecutar dos fases de sincronización por separado: una para grupos y otra para usuarios.
El problema es que a menos que Google Apps Directory Sync pueda evaluar un objeto LDAP de la exploración de los usuarios, el objeto no se sincronizará correctamente, incluso si se especifica en la exploración de grupo. Esto significa que, si bien es posible que tenga una configuración de sincronización de usuario perfectamente funcional, puede que no sea lo suficientemente amplia como para evaluar los objetos del grupo, y no se puede ampliar la consulta LDAP sin arrastrar un montón de otras cosas sin sentido.
Esta dependencia es especialmente molesta porque no se sabe inmediatamente por qué los objetos de grupo no se sincronizan. Los archivos de registro se limitan a afirmar que el grupo especificado no tiene una dirección de correo electrónico asociada, por lo que lo omiten.
La creación de dos configuraciones separadas de Google Apps Directory Sync, una para usuarios y otra para grupos, evita este problema. La configuración de los grupos contiene las consultas LDAP que especifican la inclusión de una amplia gama de objetos, pero con la sincronización de usuarios apagada. Esto permite que la inclusión de consultas del grupo funcione normalmente, ya que la consulta del usuario (dentro de la configuración de grupos) evalúa los objetos de grupo correctamente, pero no trata de sincronizar todas las cuentas de usuario. Una vez más, es un método indirecto, pero es funcional.
Sin embargo, he tenido extraños problemas con los grupos. Sin un cambio de archivo de configuración, los grupos que se utilizaban para evaluar los grupos anidados dentro de otros, se convertirán simplemente en direcciones de correo electrónico. Hemose estado pidiendo información sobre este cambio repentino de Google durante semanas sin respuesta, y como resultado hemos tenido que suspender la sincronización del grupo. Obtener información de Google -aunque solo sea una lista completa de opciones de configuración- en los problemas de Google Apps Directory Sync ha demostrado ser extremadamente difícil.
Los perfiles de usuario y contactos compartidos. Estos elementos de sincronización son similares a la configuración de usuarios y grupos, pero con una gran cantidad de atributos que tienen que ser introducidos. Este es un buen momento para descargar un visor de LDAP como Active Directory Explorer, y hurgar en su directorio para asegurarse de que obtendrá los atributos correctos. Obviamente, esto tomará algún tiempo, pero si necesita sincronizar los perfiles de usuario y contactos compartidos, es un mal necesario.
Ejecutando la sincronización
La herramienta de configuración de Google Apps Directory Sync solo ejecutará simulaciones, que son útiles para probar las configuraciones. La simulación hace todo, pero en realidad modifica los datos, y vuelca un archivo de registro y un archivo de resultados.
Pruebe y ajuste su configuración de Google Apps Directory Sync hasta que esté seguro que es la correcta, y luego haga una ejecución real con la herramienta de sincronización de cmd.exe. Suponiendo que sync-cmd.exe y el archivo de configuración de Google Apps Directory Sync, prodsync-users.xml, compartan el mismo directorio, una invocación normal podría tener este aspecto:
C: \ Archivos de programa\Google Apps Directory Sync \sync-cmd.exe-a-c prodsync-users.xml
Esto ejecutará una verdadera sincronización de Google Apps Directory Sync. Una vez que se ha hecho y que ha chequeado los resultados en la página de administración de Google Apps, se puede configurar para que se ejecute como una tarea programada.
Con el fin de mantener la coherencia entre Google Apps y Active Directory, tendrá que ejecutar la sincronización de usuarios y grupos por lo menos una vez al día, probablemente un par de veces. De lo contrario, los nuevos usuarios no serán visibles para Google Apps, y los cambios de contraseña no se producirán en el momento oportuno. Generalmente es una buena idea ejecutar la sincronización por lo menos dos veces al día.
También es una idea muy, muy buena, permitir las notificaciones de correo electrónico de Google Apps Directory Sync. Google Apps Directory Sync es una pieza inquietante y frágil de software que se puede volver contra usted como una serpiente. Hemos tenido sincronizaciones back-to-back que han producido resultados muy diferentes, y hemos visto errores inexplicables que surgen de la nada, solo para desaparecer a los pocos minutos, sin ningún cambio de configuración -por no hablar de otros asuntos muy preocupantes con esta herramienta. Google Apps Directory Sync es la única manera de mantener la sincronización entre Active Directory y Google Apps, pero no se puede confiar siempre en ella.
Google Apps Directory Sync es la única faceta problemática de una migración a Google Apps.
Moviendo el correo
Una vez que ya tiene a todos sus usuarios y grupos sincronizándose con Google, es el momento de pasar todo ese correo. La herramienta de migración de Google Apps a Microsoft Exchange es bastante sencilla, ofreciendo una interfase relativamente simple para migrar correo electrónico, contactos y datos de calendario de Microsoft Exchange a Google Apps. No es un proceso rápido por cierto, pero funciona. Naturalmente, hay algunos puntos a considerar.
En primer lugar, esta herramienta no se puede ejecutar desde el servidor de Exchange. Elija una caja relativamente fornida para que se ejecute, porque consume bastante CPU y recursos significativos de RAM.
En segundo lugar, es importante señalar que mientras puede iniciar y detener la sincronización de correo siempre que lo desee sin causar problemas, no se puede detener e iniciar la sincronización de contactos y calendario sin crear objetos duplicados. Por lo tanto, debe concentrarse en conseguir una sólida sincronización de contactos y calendario en el último momento posible antes del traslado. Por otro lado, la sincronización del correo electrónico es fácil y se puede ejecutar en un período de varios días si es necesario.
En tercer lugar, la herramienta Google Apps Migration también puede migrar archivos Outlook.pst a Google Apps, por lo que puede sacar todos los archivos personales del baúl y agregarlos a los buzones Gmail de sus usuarios.
Por último, es posible que se sorprenda al descubrir cuánto tiempo se necesita para migrar un montón de correo de Exchange. Puede ser del orden de semanas antes de que el trabajo esté terminado, dependiendo del tamaño del almacén de mensajes de Exchange. Asegúrese de asignar el tiempo suficiente para la mudanza.
Corte y cambio
Asumiendo que tiene todo lo anterior en orden y el correo se sincroniza correctamente, puede apretar el gatillo y cortar su dominio hacia Google Apps. Un enfoque ideal es bajar el TTL (Time To Live) de los registros MX para el dominio cinco o diez minutos, varios días antes de la conversión al sistema previsto. Luego, cuando finalmente modifica los registros MX para que apunten al correo electrónico de los servidores de Google, habrá un pequeño retraso en los registros que son reconocidos por otros servidores DNS. La información de su nuevo registro MX, proporcionado por Google, será accesible a través de la consola de administrador de Google Apps.
Tenga en cuenta que si va a utilizar el servicio de filtrado de Postini, estará trabajando con registros MX diferentes a los que ofrece Google. Esto se explica en las páginas de configuración de Postini que son accesibles a través de la consola de administración de Google Apps.
Una vez que haya cortado los registros MX externos, el correo debe fluir en los buzones de correo de Google Apps. Verifique esto con pruebas simples en las cuentas de correo electrónico.
Sería bueno probar su nueva cuenta de Gmail antes del corte, pero Google entregará correo electrónico dirigido a una cuenta válida y dominio, a menos que los registros MX para ese dominio sean los correctos. Puede probar con el dominio de prueba de Google, que es example.com.test-google-a.com, pero haciendo una conexión directa con el servicio SMTP de Google, y enviando un mensaje a validuser@example.com dará lugar a que el correo simplemente desaparezca. Solo tiene que hacer el cambio de MX y cruzar los dedos. No es exactamente una situación reconfortante.
Consecuencias
Después de cortar el dominio, estará corriendo sobre Google Apps. Sus usuarios probablemente estarán desordenados, y tendrán que preocuparse por conseguir las aplicaciones de correo para trabajar con el nuevo sistema de correo, aunque puede empujar las directivas de grupo para hacer algunos de esos cambios. La integración con Outlook es generalmente uno de los temas más calientes después de esta migración. Un buen plan es obligarlos a que todos utilicen la interfase web por la primera semana o dos, dándole a usted y a los usuarios el tiempo para establecerse en el nuevo sistema de correo.
A medida que avance con la sincronización de correo, que aún se estará ejecutando, comenzará a retirarse de Exchange. Es importante darse cuenta que al eliminar los buzones de Exchange, se elimine el atributo de correo para cada usuario. Esto a su vez hará que Google Apps Directory Sync suspenda o elimine a todos esos usuarios. A pesar de que Google Apps Directory Sync tiene una garantía que supuestamente detiene la sincronización si se modifican más de un x por ciento de las cuentas de usuario, esta característica no parece funcionar, al menos para las suspensiones.
Por lo tanto, cuando se eliminan los antiguos buzones de correo y finalmente saca a Exchange de Active Directory, tendrá que reemplazar el atributo de correo en todos los objetos de usuario, a fin de que funcione correctamente con Google Apps. Puede utilizar ADSI Edit para hacerlo manualmente o escribir un script. Sea cual sea el camino que elija, se trata de un paso obligatorio y debe ser planificado coordinadamente.
Hay un montón de cosas buenas de Google Apps, pero también hay algunos baches enormes en el camino de una migración exitosa. Para una compañía que se enorgullece de tener un software sin problemas, sin fisuras, la herramienta Google Apps Directory Sync es una absoluta abominación. Es poco confiable y propensa a un comportamiento extraño que puede tener un enorme impacto en su organización. No es confiable y debe ser vigilada cuidadosamente.
Además, no hay que esperar un nivel razonable de apoyo de Google. Encontrará que llevará días obtener una simple cuenta de portal de apoyo; y semanas, posiblemente, para que otros administradores aprueben el portal. Los correos electrónicos a su especialista de migración se quedan sin respuesta, las preguntas de soporte técnico no se abordarán de manera oportuna, y obtendrá respuestas a algunas consultas, que incluirá la información que no existe en ningún otro lugar, como opciones de validación de Google Apps Directory Sync, que no tienen referencia ni resultados en una búsqueda en Google.
Es sorprendente que las migraciones a Google Apps estén de mal en peor. Uno espera que Google revierta esa situación en un futuro cercano. Por ahora, es una ruta de migración funcional, pero plagada de problemas inesperados e inexplicables. Es una tarea que querrá derivar a contratistas con experiencia. Si planea hacerlo solo, se ciñe a una curva frustrante de aprendizaje.
Una migración de Google Apps ofrece muchos beneficios convincentes, pero la migración en sí misma no es ciertamente uno de ellos.
Paul Venezia, InfoWorld (US)