Миграция почты и календарей

Назначение документа

В документе описана миграция почтовых данных и календарей пользователей:

• Архитектура электронной почты на базе Почты VK WorkSpace при интеграции старой корпоративной электронной почты и Почты VK WorkSpace.

• Подготовка и настройка интеграции старой электронной почты и Почты VK WorkSpace.

• Запуск и мониторинг миграции данных почтовых ящиков и календарей пользователей.

• Завершение миграции и перенаправление почтовых потоков.

• Вывод из эксплуатации серверов старой электронной почты.

Миграция — это копирование данных из старой корпоративной электронной почты в Почту VK WorkSpace. При миграции копируются следующие данные:

• Почтовые ящики пользователей.

• Почтовые сообщения с вложениями.

• Календари пользователей.

• События календаря.

Копирование данных выполняется при помощи процедур синхронизации, синхронизация выполняется в двунаправленном режиме. Таким образом, данные, создаваемые в любой из систем, копируются в смежную систему.

Время миграции рассчитывается индивидуально и зависит от объема почтовых данных.

При миграции НЕ копируются общие ящики — миграция общих почтовых ящиков настраивается в рамках отдельной проектной работы. Общих настроек и рекомендаций для миграции таких ящиков нет, каждый случай рассматривается индивидуально.

Рекомендуется исключить из миграции следующие данные:

• Контакты.
• Черновики.
• Задачи.

Документ предназначен для использования системными администраторами.

Дополнительная документация

Инструкции по установке Почты на одну виртуальную машину и кластерной инсталляции — в документах представлен перечень DNS-записей, необходимых для миграции почты и календарей.

Инструкция по настройке интеграции с Active Directory — в документе описана интеграция с контроллером домена Active Directory для переноса пользователей в Почту VK WorkSpace.

Инструкция по настройке и администрированию Почты, Диска и VK Teams — в документе описано добавление пользователей вручную.

Миграция календарей по протоколу EWS — Миграция календарей по протоколу EWS

Этапы процесса миграции

Рекомендованный процесс миграции включает в себя следующие этапы:

1. Подготовительный этап.

В процессе подготовки к миграции проводится развертывание серверов Почты, подготовка исходной инфраструктуры и первичная настройка интеграции Почты VK WorkSpace и старой электронной почты.

2. Пилотная миграция.

В процессе пилотной миграции проверяются и, в случае необходимости, дорабатываются процессы миграции:

• Проверяется стабильность функционирования внедряемого решения и производится дополнительная настройка компонентов Почты и исходной инфраструктуры, корректируются планы миграции.

• Формируется и утверждается порядок миграции и списки пользователей.

На данном этапе допустимо внесение изменений в архитектуру решения.

3. Промышленная миграция.

В процессе промышленной миграции используются наработки, полученные в процессе пилотной миграции. На данном этапе допускается вносить изменения в архитектуру решения и ключевые процессы только в случае крайней необходимости, например в случае аварии.

4. Перенаправление почтовых потоков.

Для перенаправления почтовых потоков назначается технологическое окно — период, при котором из маршрута прохождения почты исключаются исходные серверы, подлежащие выводу из эксплуатации.

5. Контроль стабильности Почты.

6. Вывод из эксплуатации исходных серверов.

После перенаправления почтовых потоков исходные серверы выводятся из эксплуатации при помощи штатных механизмов деинсталляции используемого программного обеспечения, после чего серверы/виртуальные машины выводятся из эксплуатации в соответствии с регламентами Заказчика.

Предварительные условия

Общие условия:

1. Доступ к веб-интерфейсу установщика Почты VK WorkSpace (http://<company_domain>:8888).
2. Доступ на сервер Почты и в панель администратора VK WorkSpace (https://biz.<company_domain>).
3. Навыки системного администрирования Linux, Microsoft Exchange Server и Microsoft Windows Server.
4. Пользователи из Microsoft Exchange Server должны быть предварительно созданы в Почте VK WorkSpace — вручную или при помощи интеграции с Active Directory. Если в процессе полномасштабной миграции в старой корпоративной электронной почте появились новые пользователи, создайте этих пользователей также в Почте VK WorkSpace и распределите по группам миграции. Если настроена интеграция с LDAP-каталогом, то пользователи будут созданы в Почте VK WorkSpace автоматически; создайте сборщики для ящиков таких пользователей и настройте синхронизацию календарей.

Для миграции календарей:

1. Адрес сервера Exchange Web Services (далее — EWS).

2. Если используются старые версии TLS на сервере EWS — готовые сборки RPM или DEB пакетов для использования утилиты socat (необходимо запросить у представителей VK).

Для миграции почты:

1. Адрес сервера(ов) Exchange Web Services.

2. Доступ к командной оболочке и средствам администрирования (для настройки ограничений на стороне Exchange Web Services).

Предварительные действия

1. Разработайте план миграции.

Планирование гарантирует, что во время миграции конечные пользователи смогут пользоваться ресурсами почтовой системы.

1. Определите пользователей и ресурсы, которые затронет миграция.
2. Разработайте план миграции почтовых ящиков и календарей пользователей.
3. Разработайте новые административные процедуры.

В процессе миграции почтовые серверы на базе Microsoft Exchange Server и Почты VK WorkSpace находятся в режиме сосуществования, поэтому вы сможете вернуться к исходной конфигурации в случае необходимости. Миграция проводится с помощью стандартных средств, предоставляемых Почтой.

2. Разработайте план восстановления.

Чтобы уменьшить риски прекращения обслуживания пользователей, разработайте план восстановления (возврата системы в исходное состояние). Проанализируйте потенциальные риски, оцените уровни влияния на конечных пользователей и определите время простоя, при котором следует остановить миграцию и вернуть систему в исходное состояние.

Такая необходимость может возникнуть в следующих случаях:

• После миграции пользователи не могут подключиться к своим почтовым ящикам.

• После миграции пользователи не могут получить доступ к элементам почтовой системы.

• После миграции почтовые сообщения не доходят до получателей.

• После миграции бизнес-системы, взаимодействующие с почтовой системой, не могут пересылать электронную почту.

Разработка плана восстановления включает в себя следующие действия:

1. Определите шаги, необходимые для восстановления.

2. Ознакомьте с планом восстановления всех членов проектной команды.

3. Подготовьте смежные системы.

Обеспечьте сетевую связность между компонентами, которые обеспечивают исходное и целевое состояние почтовой системы, а также создание необходимых принципалов безопасности для обеспечения аутентификации сервисной учётной записи и учетных записей пользователей. Для корректного функционирования компонентов Почты и доступа к ним со стороны пользователей выполните настройку DNS-записей.

Полный перечень DNS-записей представлен в инструкции по установке и настройке Почты.

4. Подготовьте почтовые клиенты.

Чтобы обеспечить максимально прозрачный переход на Почту VK WorkSpace, настройте используемые почтовые клиенты для работы по протоколам, которые поддерживает Почта, или разверните альтернативные почтовые клиенты. Основной рекомендуемый сценарий использования Почты — веб-интерфейс.

Для корректного функционирования веб-интерфейса обеспечьте доступность серверов Почты по протоколам HTTP и HTTPS, а также корректное разрешение имен компонентов Почты.

Для почтовых клиентов минимально необходимый набор портов и протоколов — SMTP (25/TCP, 465/TCP, 2525/TCP) и IMAP (143/TCP, 993/TCP). Для обеспечения дополнительного функционала, в том числе информационной безопасности, вы можете задействовать дополнительные порты.

5. Подготовьте сервера существующей корпоративной электронной почты.

На серверах Exchange создайте и/или сконфигурируйте соответствующие соединители отправки и получения. Вы можете задействовать дополнительные правила «условной» маршрутизации и создать дополнительные настройки пересылки, чтобы обеспечить режим сосуществования в режиме «общего пространства SMTP-имен». Поскольку Exchange Server плотно интегрирован со службами Microsoft Active Directory Domain Services (далее — ADDS), то при тестирования миграции возможно как создание дополнительных принципалов в ADDS, так и изменение атрибутов существующих.

В качестве целевого сервера для сообщений используется исходный сервер. После выполнения миграции данных всех пользователей выполняется перенаправление почтового потока на целевые серверы, расположенные в серверной подсети. Благодаря использованию механизмов синхронизации писем по протоколу IMAP входящие и отправленные письма располагаются в обеих почтовых системах и доступны для пользователей.

Если необходимо изменить маршрутизацию писем для конкретных пользователей («условная маршрутизация»), в процессе пилотной миграции выполните всестороннее тестирование данных механизмов и проверьте корректность функционирования маршрутизации в исходной почтовой системе. Для тестирования данной функциональности могут потребоваться технологические окна, так как изменения в маршрутизации почтовых потоков могут повлиять на общую работоспособность почтовой системы.

На всех серверах Exchange с почтовыми ящиками пользователей увеличьте лимиты следующих парамтеров:

• Maximum Allowed Service Sessions Per User
• objtFolder.
• objtFolderView.
• objtACLView.

Конкретные значения параметров согласуйте с администратором серверов Exchange. Подробно об управлении ограничениями Exchange Server.

6. Обеспечьте сетевой доступ.

Перед началом миграции почты обеспечьте сетевой доступ с серверов Почты VK WorkSpace до серверов MS Exchange по портам 993 и 1993. На стороне Microsoft Exchange обеспечьте сетевой доступ к почтовым ящикам пользователей по протоколу IMAP.

Перед началом синхронизации календарей на сервере EWS обеспечьте свободный порт для Почты. На сервере Почты — свободный порт для Exchange EWS.

7. Создайте тестовую учетную запись Active Directory для синхронизации почты.

Для отладки миграции Почты вам понадобится тестовый пользователь. Создайте в службе каталога учетную запись для тестового пользователя и настройте интеграцию с Active Directory, если она не была настроена ранее (см. инструкцию по настройке интеграции с Active Directory).

Если тестовый пользователь не появился в Почте, проверьте корректность настроек синхронизации с Active Directory с помощью консольной команды:

sudo journalctl -fu onpremise-container-adloader1.service

8. Создайте сервисную учетную запись Active Directory для синхронизации календарей.

Создайте в службе каталога сервисную учетную запись для синхронизации календарей, например, svc_vkmail_collector. Средствами EMS назначьте данной учетной записи роль ApplicationImpersonation. Командлет для назначения роли имеет следующий вид:

New-ManagementRoleAssignment -Role ApplicationImpersonation -User svc_vkmail_collector

9. Создайте сервисную учетную запись Active Directory для миграции почты.

Для миграции почты вам понадобится одна или несколько сервисных учетных записей Active Directory. Вы можете использовать одну запись для миграции пользователей в ролью ApplicationImpersonation или создать для каждого из пользователей отдельную запись.

Для сервисных учетных записей должен быть отключен троттлинг и ограничения на прием и отправку почтовых сообщений.

10. Настройте проксирование TLS для синхронизации календарей.

Так как Почта передает данные по TLS 1.3, а EWS 2013 поддерживает TLS версии 1.1 и 1.2, требуется настройка туннелирования TLS через socat:

1. На сервере Почты установите RPM- или DEB-пакеты, полученные у представителей VK (см. Предварительные условия):

   # RPM
   sudo rpm -Uvh socat-static-1.7.4.4_20230607_223844-x86_64.rpm
   
   # DEB
   sudo dpkg -i socat-static-1.7.4.4-20230607-223844-x86_64.deb
   

2. Создайте промежуточное соединение.

   В примере ниже будет использоваться порт 9443 на сервере Почты и порт 443 на сервере EWS:

   # Запустите настройку скрипта (exch1 — имя сервиса подключения)
   sudo /usr/local/bin/socat-static-tls-forwarder-install.sh \ 
   exch1 9443 <EWS domain>:443
   
   # Запустите socat TLS forwarder
   sudo systemctl daemon-reload
   sudo systemctl start socat-static-tls-forwarder-exch1 
   
   # Проверьте соединение
   openssl s_client -connect 127.0.0.1:9443
   

   Внимание

   Порты должны быть указаны явно. Первый адрес порта в скрипте принадлежит Почте, второй — Exchange EWS (порт должен быть открыт для Почты). Оба порта должны быть свободны.

Шаг 1. Настройте интеграцию старой корпоративной электронной почты и Почты VK WorkSpace

MS Exchange и Почта VK WorkSpace существуют параллельно до завершения миграции всего объема почтовых ящиков или вывода из эксплуатации серверов MS Exchange Server.

На начальном этапе миграции почтовых ящиков схема входящих почтовых потоков практически не изменяется: входящая почта направляется с сервера-ретранслятора, находящегося в сегменте DMZ, на сервер корпоративной электронной почты на базе MS Exchange Server. Далее почта направляется на почтовый сервер на базе Почты VK WorkSpace по отдельному соединителю отправки, если выполнено переключение почтовых ящиков (ящик пользователя полностью мигрирован на почтовый сервер Почты). Если почтовый ящик не переключен, сообщение попадает в почтовый ящик пользователя на сервере MS Exchange. Если для ящика включена «штатная» синхронизация по протоколу IMAP, то полученные сообщения синхронизируются между почтовыми системами, синхронизация работает в двустороннем режиме.

Исходящие сообщения для «внешних» адресатов направляются с сервера Почты на сервер антивирусной проверки (например, сервер KSMG) и далее через сервер предотвращения утечки информации в соответствии с правилами маршрутизации.

Обмен и отправка почтовых сообщений между исходной корпоративной электронной почтой и Почтой VK WorkSpace происходит через сервер антивирусной проверки.

Схема архитектуры сосуществования исходной электронной почты и Почты VK WorkSpace представлена на рисунке ниже:

Настройте интеграцию на сервере Почты

Чтобы настроить маршрутизацию писем для внутренних получателей через сервер Exchange:

1. Подключитесь к веб-интерфейсу установщика по адресу http://<company_domain>:8888.

2. Перейдите Настройки → Настройки компонентов → Почтовый транспорт.

3. Нажмите на кнопку Редактировать в строке настройки почтового транспорта.

4. Выберите опцию Перед почтовой системой есть почтовый шлюз и в поле Промежуточный МХ-сервер укажите адрес сервера, который указан в существующей MX-записи:

   

5. Выберите опцию Отправлять письма внутри системы через почтовый шлюз. В поле Список почтовых шлюзов для писем внутри почтового решения укажите IP-адрес или FQDN сервера Exchange.

6. Выберите опцию Отправлять письма за пределы системы через почтовый шлюз и в поле Список почтовых шлюзов для писем за пределы почтового решения укажите IP-адреса или FQDN серверов DLP.

7. Нажмите на кнопку Добавить в строке Список серверов, имеющих право отправлять почту без авторизации и укажите следующие IP-адреса:

   • IP-адреса серверов Exchange.

   • IP-адреса промежуточного шлюза.

   • IP-адреса балансировщиков сетевой нагрузки.

8. Нажмите на кнопку Сохранить и перейдите по ссылке К списку машин.

9. Нажмите на кнопку Play на странице прогресса установки и дождитесь, когда завершится настройка новой конфигурации. По завершении настройки появится уведомление «Установка завершена».

10. Перейдите в раздел Настройки → вкладка Интеграции → раздел Интеграции с другими инсталляциями VK WorkMail.

11. Нажмите на кнопку Редактировать и укажите IP-адрес сервера MS Exchange в поле Перенаправлять письма неизвестных получателей на сервер.

12. Перейдите на вкладку Переменные окружения, для контейнеров mpop* укажите переменную OUR_ADDRESS_VALIDATE=0, сохраните изменения.

13. Нажмите на кнопку Далее либо на кнопку К списку машин.

14. Нажмите на кнопку Play в строке с прогрессом установки и дождитесь завершения процесса применения новой конфигурации контейнеров. По завершении настройки появится уведомление «Установка завершена».

Настройте интеграцию на сервере Exchange

Чтобы настроить «обслуживаемые домены» на сервере Exchange:

1. Откройте Exchange Control Panel, перейдите Mailflow → Accepted domains.

2. Переведите существующие почтовые домены из режима Authoritative в режим Internal Relay:

   

Чтобы настроить соединители получения на сервере Exchange:

1. Откройте Exchange Control Panel, перейдите Mailflow → Receive connectors.
2. Нажмите на пиктограмму , укажите имя, например «VK_receiver».
3. Выберите роль Frontend Transport.
4. Укажите тип коннектора Internet, нажмите Next.
5. Нажмите на пиктограмму , чтобы удалить строку «All available IPv4».
6. Нажмите на пиктограмму .
7. В появившемся окне выберите селектор Specify an IPv4 address or …
8. В поле укажите IP-адрес сервера Почты.
9. Строку с указанным 25 портом оставьте без изменений, нажмите Save, затем Finish.

10. Проверьте функционирование, при необходимости устраните неполадки.

    

Чтобы настроить соединители отправки на сервере Exchange:

1. Откройте Exchange Control Panel, перейдите Mailflow → Send connectors.
2. Нажмите на пиктограмму , укажите имя, например, «VK_sender».
3. Укажите тип коннектора Custom, нажмите Next.
4. Выберите Route mail through smart hosts.
5. Нажмите на пиктограмму , укажите виртуальный IP-адрес серверов балансировки нагрузки, нажмите Save, затем Next.
6. На шаге настройки аутентификации оставьте селектор в положении None, нажмите Next.
7. Выберите опцию Scoped send connector, нажмите на пиктограмму .
8. В поле Full Qualified Domain Name (FQDN) укажите почтовые домены организации, нажмите Save, а затем Next.
9. На странице выбора исходного сервера (source server) нажмите на пиктограмму .
10. Выберите сервер с ролью Mailbox, на который будет распространяться действие данного соединителя отправки, нажмите на кнопку Add, затем OK.
11. Нажмите Finish, в меню с соединителями отправки выделите созданный соединитель и нажмите On в правой части экрана для включения логирования.
12. Нажмите на пиктограмму , в выпадающем меню Maximum send message size(MB): укажите unlimited, нажмите Save.

13. Средствами консоли Exchange Management Shell измените порт созданного соединителя отправки на 1025. Командлет для изменения порта соединителя отправки имеет следующий синтаксис:

    Set-SendConnector –Identity ‘VK_sender’ –Port 1025
    

Для маршрутизации писем с внешних доменов, почтовые ящики которых не существуют, либо планируются к отключению, на сервере MS Exchange создйте «контакт». Для пользователя, учетная запись которого существует в службе каталога, создайте контакт типа mail user, а для пользователя, отсутствующего в службе каталога — mail contact. Контакты рекомендуется хранить в специально созданном субконтейнере в службе каталога.

Чтобы создать контакт:

1. Перейдите в Exchange Admin Center.
2. Перейдите в раздел Recipients → Contacts.
3. Нажмите на пиктограмму и выберите необходимый тип контакта.
4. В появившемся окне заполните все необходимые поля и нажмите Save.

Настройте синхронизацию почты по протоколу IMAP

Чтобы настроить синхронизацию почты по протоколу IMAP:

1. Выполните настройку разрешений сетевого доступа:

   1. Подключитесь к веб-интерфейсу установщика по адресу http://<company_domain>:8888.

   2. Перейдите Настройки → Интеграции → Сборщик почты.

   3. Добавьте строку с FQDN сервера Exchange в раздел Белый список удаленных серверов.

   4. Рекомендуется исключить из синхронизации следующие папки — черновики, контакты и задачи. Для этого в поле Список папок, исключенных из синхронизации укажите — Черновики,draft,drafts,Drafts,Draft,Контакты,Contacts,Задачи,Tasks:

      

   5. Нажмите на кнопку Далее либо кнопку К списку машин.

   6. Нажмите на кнопку Play в строке с прогрессом установки и дождитесь, когда применится новая конфигурация контейнеров. По завершении настройки появится уведомление «Установка завершена».

2. Включите миграцию домена в панели администратора:

   1. Откройте веб-интерфейс администратора, расположенный по адресу https://biz.<company_domain>, и выберите мигрируемый почтовый домен:

      

   2. Перейдите Почта → Миграция, активируйте переключатель ВКЛ:

      

   3. Укажите настройки подключения к вашему почтовому серверу:

      • В поле Протокол доступа к почте выберите протокол IMAP.

      • В поле Сервер укажите FQDN сервера Exchange.

      • В поле Порт указажите 993.

      • Убедитесь в том, что включена опция Использовать шифрование SSL.

      • Нажмите на кнопку Сохранить:

        

3. Настройте миграцию для тестового пользователя:

   1. В появившемся списке пользователей выберите тестового пользователя (см. Предварительные действия) и нажмите на кнопку Включить.

   2. Укажите пароль от учетной записи тестового пользователя.

   3. Нажмите на кнопку Добавить сборщик.

   4. Зайдите в целевую почтовую систему под учетной записью тестового пользователя и убедитесь, что письма синхронизировались.

4. Установите настройки подключения к ящикам почтового домена на время сосуществования старой корпоративной электронной почты и Почты VK WorkSpace:

   Пока миграция не завершена и почтовый домен не переведен в Почту VK WorkSpace, могут наблюдаться ошибки в получении писем, так как сервер Exchange (или любой другой) будет отклонять письма, отправленные с незнакомого почтового сервера.

   Чтобы избежать этой проблемы и снизить нагрузку на сервер Exchange при миграции, установите настройки подключения к ящикам почтового домена:

   1. Перейдите Почта → Настройки → вкладка Сервера.

   2. Выберите протокол для подключения к почтовым ящикам домена.

   3. В поле Сервер IMAP укажите адрес сервера Exchange, укажите порт 993. Выберите опцию Использовать шифрованное соединение (SSL).

   4. В поле Сервер SMTP укажите адрес сервера Exchange, укажите порт 465. Выберите опцию Использовать шифрованное соединение (SSL).

      Внимание

      Адрес сервера Exchange указывается только на время сосуществования старой корпоративной электронной почты и Почты VK WorkSpace. После завершения миграции в полях Сервер IMAP и Сервер SMTP необходимо будет указать ваш домен.

   5. Нажмите на кнопку Сохранить:

      

   В таком случае почта будет отправляться через владельца почтового домена — сервер Exchange.

Чтобы проверить статус процесса синхронизации, в браузере откройте страницу https://biz.<fqdn>/rimap_explorer/?get_irina_user=<имя_пользователя>@<domain>.

На странице доступна следующая информация:

• LastOK — время последней удачной сборки писем.

• NumSuccessCollects — количество удачных попыток сбора.

• LastMsg — сообщение о последней сборке. В случае каких-либо проблем описание ошибки будет отображено здесь.

Полная синхронизация почтовых сообщений между серверами исходной корпоративной электронной почты и Почтой VK WorkSpace может занимать продолжительное время. Такое поведение является штатным. Данный механизм не предполагает моментальной синхронизации файлов между почтовыми серверами.

Настройте синхронизацию календарей

Ниже описана синхронизация календарей между Exchange EWS 2013 и Почтой VK WorkSpace, установленной на одну виртуальную машину. Если требуется синхронизация кластерной инсталляции Почты или миграция с Exchange EWS 2019, обратитесь к представителю VK.

Exchange Web Services (EWS) — протокол на основе SOAP API, разработанный для управления компонентами MS Exchange.

Почта VK WorkSpace поддерживает два типа синхронизации:

1. Синхронизация календарей — перенос событий из MS Exchange в Почту.
2. Подписка на события — двухсторонняя интеграция. События пользователей, созданные в любой из систем, будут отображаться как в Exchange, так и в Почте.

Синхронизация и подписка не исключают друг друга: вы можете провести синхронизацию для одних пользователей и подписку для других. Односторонний перенос событий из Почты в Exchange не поддерживается.

Внимание

Если у вас установлена Почта VK WorkSpace версии 1.22 и ниже, то приведите к нижнему регистру все email в Exchange перед миграцией.

Чтобы настроить синхронизацию календарей по протоколу EWS:

1. Выполните настройку интеграции в веб-интерфейсе установщика Почты:

   1. Подключитесь к веб-интерфейсу установщика Почты по адресу http://<company_domain>:8888.

   2. Чтобы в интерфейсе установщика Почты появилась вкладка с настройками EWS, в списке продуктов должен быть включен флаг Миграция календарей по протоколу EWS. Для включения опции нажмите на иконку и выпадающем меню нажмите на кнопку Продукты:

      

      В списке продуктов включите компонент Миграция календарей по протоколу EWS:

      

   3. Перейдите Настройки → Интеграции → Миграция календарей по протоколу EWS.

   4. Нажмите на кнопку Добавить и заполните поля:

      

      • Адрес сервера EWS (Exchange Web Services) — укажите адрес сервера Почты вместе с портом, заданным при настройке socat.

        Примечание

        Противоречие между названием поля в интерфейсе и реально вводимым адресом обусловлено разницей в версиях TLS. Установщик будет воспринимать введенные в поле IP-адрес и порт как адрес сервера EWS. После преобразование в TLS 1.1 c помощью socat соединение будет перенаправлено на реальный адрес EWS.

      • В полях Логин для подключения к серверу EWS и Пароль для подключения к серверу EWS — укажите данные сервисной учетной записи с ролью ApplicationImpersonation, созданной ранее.

      • Тип прав учётной записи в EWS — тип прав установлен по умолчанию.

      • Пропустить проверку SSL-сертификата сервера EWS — включите опцию, если нужно пропустить проверку SSL.

      • SSL-сертификат сервера (или корневой) — укажите в поле SSL-сертификат сервера Exchange EWS или корневой сертификат MS Exchange. Также доступно добавление сертификата в виде файла.

   5. Нажмите на кнопку Сохранить и перейдите по ссылке К списку машин.

   6. Нажмите на кнопку Play на странице прогресса установки и дождитесь, когда завершится настройка новой конфигурации. По завершении настройки появится уведомление «Установка завершена».

2. Настройте перенос событий из Почты в MS Exchange:

   1. В веб-интерфейсе установщика Почты перейдите в раздел Переменные окружения и найдите вкладку calendar-cexsy*.

   2. Нажмите на кнопку редактирования, а затем на кнопку Добавить. В выпадающем меню выберите переменную CEXSY_ACCESS_LIST_MODE (первая в списке):

      

      Если выставить значение black, будут синхронизироваться все почтовые ящики, если white — ни один из них.

   3. Сохраните изменения — нажмите на кнопку Play в общей строке состояния.

3. Перейдите в панель администратора (https://biz.<company_domain>) и добавьте домен EWS-сервера с помощью кнопки Подключить новый проект:

   

4. Выполните первоначальную синхронизацию календарей и активируйте подписку для календаря пользователя.

   Примечание

   Перед выполнением первоначальной синхронизации календаря и активацией подписки тестовый пользователь должен хотя бы один раз аутентифицироваться в веб-интерфейсе и перейти на страницу календаря.

   1. Подключитесь к гипервизору vkmail-02 средствами клиента SSH, перейдите в каталог /home/deployer (или в каталог, в котором был запущен установщик) и сохраните скрипты синхронизации календарей.

      Если Почта установлена на одну виртуальную машину:

      1. Сохраните скрипт с названием sync_all.sh:

         #!/bin/sh
         APITOKEN=$(awk '/^exodusApiCliToken/ {print $2}' /home/deployer/main.yaml)
         CALINTAPI=$(awk '/^calendarapi_internal_exoduscli_token/ {print $2}' /home/deployer/main.yaml)
         sudo docker exec -it calendar-exodus1 /usr/bin/subscriber -sync_api_url=127.0.0.1 -sync_api_insecure "-sync_api_acl_token=$APITOKEN" -internal_api_url=calendarapi-internal.qdit -internal_api_acl_header=x-calendarapi-grpc-token -internal_api_insecure "-internal_api_acl_token=$CALINTAPI" -internal_api_request_timeout=100s -sync_api_request_timeout=100s -operation=sync_all "$@"
         

      2. Сохраните скрипт с названием subscribe.sh:

         #!/bin/sh
         APITOKEN=$(awk '/^exodusApiCliToken/ {print $2}' /home/deployer/main.yaml)
         CALINTAPI=$(awk '/^calendarapi_internal_exoduscli_token/ {print $2}' /home/deployer/main.yaml)
         sudo docker exec -it calendar-exodus1 /usr/bin/subscriber -sync_api_url=127.0.0.1 -sync_api_insecure "-sync_api_acl_token=$APITOKEN" -internal_api_url=calendarapi-internal.qdit -internal_api_acl_header=x-calendarapi-grpc-token -internal_api_insecure "-internal_api_acl_token=$CALINTAPI" -internal_api_request_timeout=100s -sync_api_request_timeout=100s -operation=subscribe_to_all "$@"
         

      При распределенной инсталляции:

      1. На сервере, на котором запущен установщик, получите значение токена для подключения к gRPC серверу ExchangeSync:

         awk '/^exodusApiCliToken/ {print $2}' /home/deployer/main.yaml
         

         и токена для подключения к gRPC серверу Calendar-API:

         awk '/^calendarapi_internal_exoduscli_token/ {print $2}' /home/deployer/main.yaml
         

         где /home/deployer/ — каталог, в котором запущен установщик.

      2. Подключитесь к машине, на которой установлен контейнер exchange-sync-api1, и сохраните скрипт с названием sync_all.sh:

         #!/bin/sh
         APITOKEN=<токен для подключения к gRPC серверу ExchangeSync>
         CALINTAPI=<токен для подключения к gRPC серверу Calendar-API>
         sudo docker exec -it calendar-exodus1 /usr/bin/subscriber -sync_api_url=127.0.0.1 -sync_api_insecure "-sync_api_acl_token=$APITOKEN" -internal_api_url=calendarapi-internal.qdit -internal_api_acl_header=x-calendarapi-grpc-token -internal_api_insecure "-internal_api_acl_token=$CALINTAPI" -internal_api_request_timeout=100s -sync_api_request_timeout=100s -operation=sync_all "$@"
         

         Сохраните скрипт с названием subscribe.sh:

         #!/bin/sh
         APITOKEN=<токен для подключения к gRPC серверу ExchangeSync>
         CALINTAPI=<токен для подключения к gRPC серверу Calendar-API>
         sudo docker exec -it calendar-exodus1 /usr/bin/subscriber -sync_api_url=127.0.0.1 -sync_api_insecure "-sync_api_acl_token=$APITOKEN" -internal_api_url=calendarapi-internal.qdit -internal_api_acl_header=x-calendarapi-grpc-token -internal_api_insecure "-internal_api_acl_token=$CALINTAPI" -internal_api_request_timeout=100s -sync_api_request_timeout=100s -operation=subscribe_to_all "$@"
         

   2. Запустите скрипт первоначальной синхронизации календарей с указанием имени тестового пользователя в формате user@<your_domain>:

      sudo ./sync_all.sh user777@<your_domain>.ru
      

      Внимание

      При вводе имени тестового пользователя соблюдайте регистр.

      При успешном выполнении скрипта вывод не должен содержать сообщений об ошибках.

   3. Запустите скрипт активации подписки на календари с указанием имени тестового пользователя в формате user@<your_domain>:

      sudo ./subscribe.sh user777@<your_domain>.ru
      

      Внимание

      При вводе имени тестового пользователя соблюдайте регистр.

      При успешном выполнении скрипта вывод не должен содержать сообщений об ошибках. После успешного выполнения скрипта синхронизацию календарей можно считать завершенной.

Если миграция завершилась с ошибками, обратитесь к представителю VK.

Шаг 2. Выполните пилотную миграцию почтовых ящиков и календарей

При пилотной миграции почтовых ящиков:

• Выявляются проблемы функционирования выбранной архитектуры и механизмов миграции.

• Оперативно настраиваются те или иные компоненты.

• Выполняется документирование и стабилизация решения.

• Тестируются процедуры восстановления и отката изменений.

Пилотная миграция проходит в два этапа:

1. Выделение пилотной группы пользователей для миграции.

   После завершения миграции тестового пользователя и фиксации положительного результата выберите пилотную группу пользователей — наименее критичные почтовые ящики, на которых будет «закреплен» результат, полученный при миграции тестового пользователя.

   Пользователи из пилотной группы проходят инструктаж по работе с новой почтовой системой и работают преимущественно с ней, обращаясь к исходной системе только в случае необходимости и/или выявления проблем функционирования целевой почтовой системы.

   Таким образом, основная задача для пилотной группы пользователей — получение первичного опыта по работе с системой и выявление потенциальных проблем на ранних стадиях миграции.

2. Миграция выбранных почтовых ящиков пользователей из пилотной группы.

Выполните миграцию почты пилотной группы пользователей

Синхронизацию данных пилотной группы пользователей рекомендуется проводить по аналогии с разделом Настройка синхронизации почты по протоколу IMAP, но при помощи специальной «миграционной» учётной записи (см. Предварительные действия). Вы можете использовать одну сервисную учетную запись для миграции всех пользователей из пилотной группы или использовать для каждого из пользователей отдельную сервисную запись. Ниже описаны шаги миграции с использованием одной сервисной учетной записи.

Для миграции пилотной группы пользователей:

1. На сервере Exchange создайте для сервисной учетной записи почтовый ящик.

2. Выполните делегирование почтовых ящиков пользователей Exchange созданной учётной записи:

   1. Перейдите в Exchange Admin Center → раздел recepients.

   2. Перейдите в настройки почтового ящика пользователя из группы пилотной миграции.

   3. Нажмите на пиктограмму в графе Full Access:

      

   4. В появившемся меню локализуйте и выберите сервисную учетную запись, нажмите ОК, затем Save.

   Для массового делегирования почтовых ящиков пользователей используйте Exchange Management Shell и командлет Add-MailboxPermission. Примерный синтаксис командлета:

   Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
   

3. Для настройки сборщиков почты для пользователей из пилотной группы создайте в любой программе, работающей с таблицами, CSV-файл. Таблица должна иметь следующую структуру:

   Поле	Обязательное поле	Описание	Пример заполнения
   email:	✔	Email пользователя	belova@domain.ru
   password:		Пароль нового пользователя. Опциональное поле — пароль будет сгенерирован, если не указан. Минимальная длина пароля — 8 символов. Поле игнорируется для существующих пользователей. Не используйте это поле для обновления пароля. Для этих целей используйте поле password_up	+Pc0SyXhL1yi
   firstname:		Имя пользователя	Александра
   lastname:		Фамилия пользователя	Белова
   groups:		Группы рассылок, в которые будет входить пользователь. Группы нужно перечислить через пробел для каждого пользователя.	Kate's Birthday
   phone:		Номер телефона	+79999999999
   only_myteam:		Признак пользователя, которому доступен только мессенджер. Допустимые значения: true, false. Значение по умолчанию (пустое) — false.	true
   send_email:		Почта, на которую нужно отправить информацию для входа. Возможные значения: 1 — выслать информацию для входа на почту, указанную в поле email; 0 — не высылать информацию для входа.	1
   enabled_2fa:		Включение двухфакторной аутентификации пользователю. Значение true — включить. Значение false или пустое поле — выключить. При включении опции все активные сессии пользователя будут завершены.	true
   phone_2fa:		Номер телефона для двухфакторной аутентификации. Если телефон не указан, тогда будет использован телефон, указанный в панели администратора. Если в панели администратора телефон также не указан, пользователь должен будет указать номер при авторизации.	+79999999999
   collector_login	✔	Адрес почтового ящика, с которого надо мигрировать почту (логин от старого почтового сервиса). Если вы указали пароль от сервисной учетной записи, но не указали логин, для миграции будет использоваться логин вида <значение поля email>@<имя домена>.	a_belova@domain.ru
   collector_username	✔	Логин сервисной учетной записи	svc_vkmail_collector@domain.ru
   collector_password	✔	Пароль от сервисной учетной записи	password123

   Внимание

   В названии столбцов необходимо добавлять двоеточие после названия поля.

   Пример заполненной таблицы:

   

4. Измените настройки миграции и создайте сборщики для пользователей из пилотной группы:

   1. Откройте веб-интерфейс администратора, расположенный по адресу https://biz.<company_domain> и выберите мигрируемый почтовый домен.

   2. Перейдите Почта → Миграция, нажмите на ссылку Настроить:

      

      В настройках подключения к вашему почтовому серверу укажите порт 1993 в поле Порт и нажмите на кнопку Сохранить.

   3. Перейдите в раздел Пользователи и нажмите Загрузить пользователей из CSV:

      

   4. В открывшемся окне нажмите Выбрать файл, выберите подготовленный CSV-файл и нажмите Загрузить.

Дождитесь завершения процедуры создания пользователей и сборщиков. В открывшемся окне вы увидите информацию об успешном создании пользователей или сборщиков.

Настройка количества подключений по IMAP

В процессе пилотной миграции или позднее (в зависимости от размеров пилотной группы) миграция может быть затруднена политиками Exchange в части количества клиентских подключений по IMAP и количества подключений от компонентов IMAP к базе данных Exchange. Это может выражаться как в ошибках входа от имени пользователя, так и в замедлении процесса синхронизации по IMAP и/или других проблемах с подключениями синхронизации. Для настройки количества подключений по IMAP рекомендуется использовать командлет Set-ImapSettings.

Примерный синтаксис командлета:

Set-ImapSettings –ProtocolLogEnabled $true –MaxConnectionsPerUser 1000 –EnableGSSAPIAndNTLMAuth $false

После выполнения командлета в EMS выводится сообщение о необходимости выполнить перезапуск двух служб MS Exchange: IMAP и IMAP Backend.

Для смягчения лимитов по подключениям к БД Exchange на всех серверах с ролью Mailbox выполните настройку в системном реестре — примените reg-файл со следующим содержимым:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem\MaxObjsPerMapiSession]
"objtMessage"=dword:000003E8 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]
"Maximum Allowed Sessions Per User"=dword:000000FF 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]
"Maximum Allowed Service Sessions Per User"=dword:000000FF

Значения параметров реестра примерные и могут подбираться исходя из текущей ситуации. После применения настроек системного реестра перезапустите службы MSExchangeIS (InformationStore — банк данных Microsoft Exchange). Служба MSExchangeIS – один из ключевых компонентов MS Exchange, отвечающая за базы данных, поэтому для перезапуска данной службы рекомендуется запланировать технологическое окно и выполнить резервное копирование.

Выполните синхронизацию календарей пилотной группы пользователей

Перед выполнением синхронизации календарей пользователи из пилотной группы должны хотя бы один раз аутентифицироваться в веб-интерфейсе и перейти на страницу календаря.

Чтобы выполнить синхронизацию календарей пилотной группы пользователей:

1. Подключитесь к гипервизору vkmail-02 средствами клиента SSH и перейдите в каталог /home/deployer.

2. Запустите скрипт первоначальной синхронизации календарей с указанием имен пользователей из пилотной группы в формате user@<your_domain>:

   sudo ./sync_all.sh user111@<your_domain>.ru user222@<your_domain>.ru user333@<your_domain>.ru
   

   Внимание

   При вводе имен пользователей соблюдайте регистр.

   При успешном выполнении скрипта вывод не должен содержать сообщений об ошибках.

3. Запустите скрипт активации подписки на календари с указанием имен пользователей из пилотной группы в формате user@<your_domain>:

   sudo ./subscribe.sh user111@<your_domain>.ru user222@<your_domain>.ru user333@<your_domain>.ru
   

   Внимание

   При вводе имен пользователей соблюдайте регистр.

   При успешном выполнении скрипта вывод не должен содержать сообщений об ошибках. После успешного выполнения скрипта синхронизацию календарей можно считать завершенной.

Если миграция завершилась с ошибками, обратитесь к представителю VK.

Стабилизация и проверка параметров

Чтобы проверить работоспособности Почты пользователей из пилотной группы:

1. Получите доступ к почтовому ящику из внутренней сети с помощью веб-консоли по адресу «https://e.<fqdn>/». Удостоверьтесь, что все действия по проверке работоспособности сервисов Почты выполняются успешно (см. пункт 3).
2. Получите доступ к почтовому ящику из внутренней сети с помощью почтового клиента, проверьте состояние подключения и удостоверьтесь, что выполняются все действия по проверке работоспособности сервисов Почты (см. пункт 3).

3. Проверьте, что пользователи имеют возможность:

   • Отправлять/принимать почтовые сообщения как друг другу, так и пользователям существующей корпоративной электронной почты.

   • Отправлять/принимать почтовые сообщения внешним получателям.

   • Отправлять/принимать почтовые сообщения группам распространения.

   • Устанавливать параметры автоответа, и сообщения автоответа приходят получателям.

   • Просматривать календари в почтовых ящиках, размещенных на целевых серверах электронной почты.

Шаг 3. Выполните полномасштабную миграцию почтовых ящиков и календарей

Полномасштабная миграция начинается после завершения всех процедур пилотной миграции почтовых ящиков и фиксации положительного результата.

При полномасштабной миграции формируются расширенные группы пользователей и миграция данных пользователей в пакетном режиме. Группы мигрируют последовательно, после миграции каждой группы происходит стабилизация и проверка параметров, а также наблюдение за исходной системой с точки зрения нагрузки.

На данном этапе состояние корпоративной электронной почты должно быть фиксированным и максимально приближенным к целевой архитектуре. Внесение изменений в конфигурацию и/или архитектуру допускается только в экстренных случаях.

Сформируйте группы миграции почтовых ящиков

Сформируйте группы миграции почтовых ящиков по принципу критичности – наиболее критичные пользователи/ящики мигрируют в последнюю очередь.

Выполните миграцию почтовых ящиков текущей очереди

Миграция почтовых ящиков текущей очереди происходит в соответствии с процедурами, протестированными на этапе пилотной миграции почтовых ящиков.

Выполните синхронизацию календарей текущей очереди

Синхронизация календарей текущей очереди происходит в соответствии с процедурами, протестированными на этапе пилотной синхронизации календарей.

Стабилизация и проверка параметров

Чтобы проверить работоспособность Почты пользователей из текущей группы, выполните следующие действия:

1. Получите доступ к почтовому ящику из внутренней сети с помощью веб-консоли по адресу «https://e.<fqdn>/». Удостоверьтесь, что все действия по проверке работоспособности сервисов Почты выполняются успешно (см. пункт 3).
2. Получите доступ к почтовому ящику из внутренней сети с помощью почтового клиента, проверьте состояние подключения и удостоверьтесь, что выполняются все действия по проверке работоспособности сервисов Почты (см. пункт 3).

3. Проверьте, что пользователи имеют возможность:

   • Отправлять/принимать почтовые сообщения как друг другу, так и пользователям существующей корпоративной электронной почты.

   • Отправлять/принимать почтовые сообщения внешним получателям.

   • Отправлять/принимать почтовые сообщения группам распространения.

   • Устанавливать параметры автоответа, и сообщения автоответа приходят получателям.

   • Просматривать календари в почтовых ящиках, размещенных на целевых серверах электронной почты.

4. Выключите синхронизацию содержимого почтового ящика пользователя (сборщик почты).

5. Отключите почтовый ящик пользователя на сервере MS Exchange.
6. Создайте почтовый контакт типа «Mail User» пользователя на сервере MS Exchange.
7. Удостоверьтесь, что все действия по проверке работоспособности сервисов Почты выполняются успешно (см. пункт 3).

Шаг 4. Перенаправьте почтовые потоки

Перенаправление почтового трафика выполняется после завершения миграции всех почтовых ящиков.

Перенаправление почтовых потоков может критически сказаться на успешности доставки почтовых сообщений. Для выполнения всех операций перенаправления согласуйте технологическое окно и выполняйте перенастройку в момент наименьшей нагрузки на почтовую систему во избежание потери большого количества писем. После каждой операции перенастройки/переключения выполняйте проверку успешности доставки почтовых сообщений в ту или иную сторону.

Перенаправьте входящий почтовый трафик на Почту VK WorkSpace

Весь входящий почтовый трафик направляется от внешнего почтового шлюза в DMZ-сегменте через шлюз сервера антивирусной проверки на сервер Почты.

Примечание

Цепочка транспортных шлюзов может включать в себя шлюз антивирусной проверки и DLP-сервер.

Чтобы привести конфигурацию к целевой схеме:

1. Перенаправьте входящий почтовый трафик от внешнего почтового шлюза на сервер антивирусной проверки.
2. Перенаправьте входящий почтовый трафик от сервера антивирусной проверки на сервер Почты.

Внимание

Данные действия прерывают работу почтовых сервисов и требуют согласования технологического окна.

Перенаправьте внутренний трафик

Внутренний почтовый трафик направляется через сервер антивирусной проверки, сервер Exchange из конфигурации исключается.

Для почтовых серверов технологических/смежных систем изменяются целевые точки доставки SMTP-трафика. Трафик перенаправляется на серверы Почты после создания «целевых» почтовых ящиков. При необходимости использования доставки почты от клиентов без аутентификации:

1. Подключитесь к веб-интерфейсу установщика по адресу http://<company_domain>:8888.
2. Перейдите Настройки → Настройки компонентов → Почтовый транспорт.
3. Нажмите на кнопку Редактировать и укажите IP-адреса клиентов в поле Список серверов, имеющих право отправлять почту без авторизации.
4. Нажмите на кнопку Сохранить и перейдите по ссылке К списку машин.
5. Нажмите на кнопку Play на странице прогресса установки и дождитесь завершения применения настроек к ряду контейнеров. По завершении настройки появится уведомление «Установка завершена».

Настройте исходящий почтовый трафик

Исходящий трафик маршрутизируется от сервера Почты к DLP-серверу, серверу антивирусной проверки, далее к внешнему почтовому шлюзу и далее на ферму серверов mailrelay. Перенаправление исходящего почтового трафика производится по аналогии с разделом про настройку интеграции на сервере Почты. Настройку исходящего почтового трафика рекомендуется выполнять сразу после успешного перенаправления входящего трафика.

Чтобы привести конфигурацию к целевой схеме:

1. Перенаправьте исходящий почтовый трафик от DLP-сервера на сервер антивирусной проверки.
2. Перенаправьте исходящий почтовый трафик от сервера антивирусной проверки на внешний почтовый шлюз.
3. Перенаправьте исходящий почтовый трафик от сервера Почты на DLP-сервер.

Внимание

Данные действия прерывают работу почтовых сервисов и требуют согласования технологического окна.

Для перенаправления почтового трафика с сервера Почты:

1. Подключитесь к веб-интерфейсу установщика на сервере Почты по адресу http://<company_domain>:8888.
2. Перейдите Настройки → Почтовый транспорт.
3. Нажмите на кнопку Редактировать в строке настройки почтового транспорта.
4. Выберите опцию Отправлять письма за пределы системы через почтовый шлюз и в появившейся графе Список почтовых шлюзов для писем за пределы почтового решения укажите IP-адреса или FQDN серверов DLP.
5. Нажмите на кнопку Добавить в строке Список серверов, имеющих право отправлять почту без авторизации и укажите IP-адрес сервера антивирусной проверки.
6. Нажмите на кнопку Сохранить и перейдите по ссылке К списку машин.
7. Нажмите на кнопку Play в строке с прогрессом установки и дождитесь завершения применения настроек к ряду контейнеров. По завершении настройки появится уведомление «Установка завершена».

Когда перенаправление почтовых потоков завершится, протестируйте, что все потовые потоки функционируют корректно. В случае обнаружения неполадок выполните их диагностику и, при необходимости, приведите все настройки в исходное состояние.

Далее установите настройки подключения к ящикам почтового домена:

1. Перейдите Почта → Настройки → вкладка Сервера.

2. В полях Сервер IMAP и Сервер SMTP укажите ваш домен.

3. Нажмите на кнопку Сохранить:

   

Шаг 5. Выведите из эксплуатации сервера старой корпоративной электронной почты

После перенаправления почтовых потоков серверы MS Exchange можно отключить, предварительно сделав полную резервную копию, которую следует хранить в соответствии с регламентами/политиками хранения архивных данных.

На рисунке ниже представлена схема целевой корпоративной электронной почты:

Если возникли ошибки при миграции

Сбором писем занимаются контейнеры mpop и rimap. Чтобы посмотреть логи контейнеров, выполните в консоли команды:

# посмотреть логи запуска сборщиков писем:
sudo journalctl -fu onpremise-container-mpop* 

# посмотреть логи работы сборщиков писем:
sudo journalctl -fu onpremise-container-rimap*

Если миграция завершилась с ошибками, обратитесь к представителю VK.