SharePoint 2013: Soluciones

híbridas OnPremises–Online
(I)!
Posted by Juan Carlos González Martín

1
Hace unas semanas publicaba el post SharePoint 2013- Recursos sobre escenarios híbridos con Office 365! en
el que recopilaba una serie de enlaces y recursos de TechNet relativos a soluciones y escenarios híbridos
sobre SharePoint 2013 OnPremises y SharePoint Online en Office 365. En esta ocasión, y después de haber
participado en el evento de Soluciones Cloud de Microsoft realizado en Madrid el pasado mes de octubre de
2014, a partir de la información disponible en TechNet he decidido iniciar una serie de artículos relativos a
soluciones híbridas OnPremises-Online para SharePoint. Empecemos,
¿Qué es una solución híbrida?
Por un lado, una solución híbrida es aquella que permite mantener una infraestructura OnPremise para
servicios y datos críticos de una organización, a la vez que se compone de elementos y componentes
desplegados en la nube (en SharePoint Online en este caso) que “dialogan” con la infraestructura OnPremises
ya sea mediante conexiones entrantes, salientes o ambas a la vez. Por otro, las soluciones híbridas se pueden
ver como una etapa intermedia que facilite que una organización pueda pasar de OnPremises a Online sin
tener que realizarlo en un único salto.

Desde el punto de vista de arquitectura, y tecnología, las soluciones híbridas se apoyan sobre relaciones de
confianza que se establecen entre los ambientes OnPremises y SharePoint Online de forma que se habilite el
intercambio seguro de datos entre ambos.

Tipos de Soluciones Híbridas

Desde el punto de vista de plataforma SharePoint, tenemos tres tipos de soluciones híbridas:

Soluciones de búsqueda, a su vez se definen los siguientes tipos de soluciones:

 One-way outbound, es decir los servicios de búsqueda de  SharePoint Server 2013
(OnPremises) pueden consultar el índice de las búsquedas de SharePoint Online y devolver
resultados federados a las búsquedas de SharePoint Server 2013.
 One-way inbound, es decir, en este caso son los servicios de búsqueda de SharePoint
Online los que pueden consultar el ´índice de las búsquedas de SharePoint Server 2013 y
devolver resultados federados a la búsqueda de SharePoint Online.
 Two-way, como su nombre indica este tipo de solución combina las dos anteriores.
Soluciones de BCS (Business Connectivity Services), en este caso se definen dos tipos de soluciones:
  One-way inbound o Two-way, de forma que el servicio de BCS de SharePoint Online se
conecte por medio de una App a la granja OnPremise de SharePoint Server o bien se cree
una lista externa en un sitio de SharePoint Online. Por otro lado, el servicio de BCS en la
granja OnPremise dispone de endpoints OData y soporta tanto operaciones e lectura como
de escritura, lo que habilita escenarios con soporte completo de operaciones CRUD desde
SharePoint Online a SharePoint OnPremise.
Soluciones Duet Enterprise Online, de nuevo tenemos dos tipos de soluciones:

 One-way inbound  o Two-way, de forma que desde SharePoint Online se puedan realizar
operaciones de lectura/escritura contra un sistema SAP OnPremises. Las posibilidades para
estos escenarios pasan por o bien utilizar una App que opere con SAP o bien por habilitar
la característica de Duet Enterprise Online a nivel de colección de sitios.
Topologías híbridas soportadas
Hablar de soluciones híbridas implica hablar de topologías híbridas que son las que permiten establecer
conexiones de confianza entre ambientes. A nivel de soluciones híbridas de SharePoint, se definen tres tipos
de topologías híbridas:

 One-way outbound, que permite que una granja OnPremise de SharePoint Server 2013
pueda establecer conexiones autenticadas con SharePoint Online. Las conexiones,
denominadas salientes, siempre se originan en la granja OnPremise hacía SharePoint
Online.
 One-way inbound es decir, en este caso es SharePoint Online quien establece una conexión
autenticada con la granja de SharePoint 2013 OnPremise. En este caso, las conexiones,
denominadas entrantes, se originan desde SharePoint Online.

 Two-way, es decir, tenemos conexiones entrantes / salientes tanto para SharePoint Online
como para SharePoint 2013 OnPremises.
Architecture
Hay varias formas de diseñar la topología de la granja de servidores de SharePoint
en función de los requisitos. En SharePoint 2016, Microsoft agregó una
característica llamada MinRole que ayudó a simplificar la implementación, el
rendimiento y la fiabilidad de las granjas de SharePoint. Este enfoque se utiliza
para la plantilla AWS CloudFormation multiservidor proporcionada por este Inicio
rápido. (La opción de servidor único se implementa como un rol personalizado
para que pueda ejecutar más servicios por sí mismo). Las topologías de
multiservidor y las de servidor único se tratan en detalle en el Apéndice A.
La implementación de este inicio rápido con los parámetros personalizados crea
el siguiente entorno de SharePoint de alta disponibilidad basado en la topología
multiservidor en la nube de AWS.

Ilustración 1: Arquitectura de SharePoint de alta disponibilidad con dos zonas de

disponibilidad de AWS (topología multiservidor)

La plantilla de AWS CloudFormation proporcionada con este inicio rápido

implementa los servidores de SharePoint en este diagrama. Active Directory y SQL
Server se implementan a través de los correspondientes inicios rápidos. Consulte
la sección Pasos de implementación para obtener más detalles. La plantilla
implementa una arquitectura de alta disponibilidad que incluye servidores
redundantes para SharePoint Server 2019 en dos zonas de disponibilidad.

En las siguientes secciones se describen con más detalle estos componentes de

la arquitectura. Para obtener más información acerca de la arquitectura de roles de
servidor, incluida una descripción detallada de las topologías multiservidor y de
servidor único, consulte el Apéndice A.
Configuración de VPC
Cuando implemente una arquitectura basada en Windows en la nube de AWS, le
recomendamos que use una configuración de VPC que admita los siguientes
requisitos:

 Las cargas de trabajo críticas deben situarse en dos zonas de disponibilidad como
mínimo para poder ofrecer alta disponibilidad.
 Los servidores de aplicaciones internas y otros servidores no expuestos a Internet no
se deben colocar en subredes privadas para evitar el acceso directo a estas instancias
desde Internet.
 Las gateways de enlace de Escritorio remoto (RD Gateways) se deben implementar
en subredes públicas en cada zona de disponibilidad para la administración remota.
Si es necesario, en estas subredes públicas se pueden instalar también otros
componentes, como los servidores de proxy inverso.

Para obtener más información sobre el diseño de VPC; utilizado en esta referencia,
consulte la Guía de implementación de inicio rápido de Active Directory Domain
Services.

De acuerdo con estas prácticas recomendadas, el inicio rápido de VPC

implementa la siguiente estructura básica de VPC para admitir la infraestructura
de SharePoint Server 2019:
Ilustración 2: Arquitectura de VPC en la nube de AWS

Como se muestra en la figura 2, las gateways NAT, se implementan en las

subredes públicas. Las subredes públicas tienen una ruta a Internet directamente a
través de la gateway de Internet conectada a la VPC.

Las instancias que se implementen en las subredes privadas no tendrán una ruta
directa a Internet. En su lugar, las instancias de las subredes privadas utilizan rutas
privadas para enviar el tráfico de Internet a las gateways NAT en las subredes
públicas. Esta arquitectura aísla sus cargas de trabajo críticas del acceso directo a
Internet.

Active Directory Domain Services

Para proporcionar autenticación y autorización de usuarios, los servidores de
Microsoft SharePoint de esta arquitectura de referencia utilizan Active Directory
Domain Services (Active Directory DS). Cuando implemente su entorno, debe
colocar al menos un controlador de dominio en una subred privada en cada zona
de disponibilidad para proporcionar redundancia y alta disponibilidad.
Ilustración 3: Controladores de dominio en cada zona de disponibilidad

Observe que en la figura 3 hemos incluido ahora un controlador de dominio en la

capa de Active Directory de cada zona de disponibilidad.

Hay dos formas de usar Active Directory DS en la nube de AWS:

 Solo nube: es la arquitectura que se muestra en la figura 3. En este tipo de

arquitectura, todo el bosque de Active Directory existe únicamente dentro de la
nube de AWS. Con una arquitectura de Active Directory DS solo en la nube, no hay
controladores de dominio on-premises.
 Híbrida: la arquitectura híbrida aprovecha el entorno de Active Directory DS
existente. Puede extender su red privada on-premises a AWS para que los recursos
en la nube puedan utilizar su infraestructura de Active Directory existente. En una
arquitectura híbrida, le recomendamos que implemente también controladores de
dominio para su bosque de Active Directory existente en la nube de AWS.
Recomendamos esta configuración principalmente para ayudar a garantizar que los
servidores de aplicaciones implementados en AWS sigan estando operativos y
disponibles en caso de que se produzca una interrupción en las instalaciones.

El inicio rápido de Active Directory DS en AWS cubre nuestras prácticas

recomendadas y recomendaciones para la implementación de Active Directory DS
en AWS. El proceso descrito en este inicio rápido de SharePoint le pide que lance
el inicio rápido de Active Directory DS que implementa el entorno de Active
Directory basado en estas prácticas recomendadas.

Administración remota
Al igual que diseñamos la arquitectura para una granja de SharePoint de alta
disponibilidad, también debemos diseñarla para el acceso remoto seguro y
altamente disponible. Podemos hacerlo al implementar una gateway de escritorio
remoto en cada zona de disponibilidad. En el caso de que se produzca una
interrupción en una zona de disponibilidad, esta arquitectura permite el acceso a
los recursos que han producido un error en la otra zona de disponibilidad.

La gateway de escritorio remoto utiliza el Protocolo de escritorio remoto (RDP) a

través de HTTPS para establecer una conexión cifrada y segura entre los
administradores remotos en Internet y las instancias EC2 basadas en Windows, sin
necesidad de configurar una conexión de red privada virtual (VPN). Esto le permite
reducir la superficie de ataque en sus instancias basadas en Windows y
proporciona una solución de administración remota para los administradores.
Ilustración 5: Gateways NAT y puertas de enlace de Escritorio remoto en
subredes públicas

Las plantillas de AWS CloudFormation proporcionadas en este inicio rápido

implementan automáticamente la arquitectura descrita en Inicio rápido para
Gateway de Escritorio remoto en AWS. Una vez lanzada su infraestructura de
SharePoint mediante una opción de implementación de esta guía, se conectará
inicialmente a sus instancias a través de una conexión RDP estándar mediante el
puerto TCP 3389. A continuación, puede seguir los pasos que se indican en
el Inicio rápido de puerta de enlace de Escritorio remoto para proteger las
conexiones futuras a través de HTTPS.
 Hybrid for SharePoint Server 2016
   ARKANO
 
 22 FEBRUARY, 2017
NOTA EN ESPAÑOL

Motivation
Corporations nowadays have work teams that are located in different physical
locations, even outside the organization. This is a problem, since teams need to
access the information that the company generates remotely.

It also occurs that companies outsource to other companies to provide them with a
service, which requires access to customer information without the need to be
physically located in the client.

In both cases, what is needed is access to corporate information without being

connected to the corporate network.

Microsoft Solution

To resolve this problem Microsoft proposes using Hybrid SharePoint environments.

What are hybrid environments?

A company has a hybrid environment, if its information is distributed both in its

facilities and in the cloud simultaneously.
Using SharePoint as the base technology we can connect two major areas, the
Corporate Environment (On Premise) and the Cloud (Office 365).

With this type of solution it does not matter whether the information is generated in
the local environment or in the cloud because it can be accessed from anywhere.

In order to have a hybrid environment we need to have SharePoint Server 2013 or

SharePoint Server 2016 and an Office 365 license.

What is Office 365?

It is a subscription service that offers web tools that allow access to mail,
documents, contacts and calendars from anywhere and with any device.

How does it work?

Essentially, what you do is add Office 365 to the environment where SharePoint
Server is already running.

When you add Office 365 to an environment where SharePoint Server is already
used by default, there is no integration between them. You must configure the
hybrid SharePoint features, so you can easily link the two environments.

One characteristic of hybrids is that they use a technique called redirection. With
redirection, when users attempt to access a service on SharePoint Server with site
navigation, they will automatically be directed to the correspondent service in
Office 365.

For example, in a non-hybrid environment, when a user clicks OneDrive on a

SharePoint Server site, he is directed to the location of OneDrive for SharePoint
Server Enterprise. In a hybrid environment when a user clicks OneDrive, there is a
switch to OneDrive for Office 365 Enterprise.
Synchronization and active directory federation. (Information collected from the
book: “SharePoint 2016 de principio a fin”)

The first step in building a hybrid solution is to federate or synchronize the local
Active Directory with Office 365. In this stage you must determine which users and
groups will be synchronized in the Active Directory in Office 365 Azure.

This does not mean that synchronization is limited to the number of licenses
purchased by the organization, but that it should be planned which users will be
hybrids and which ones will not.

To implement this configuration, the following site is

recommended: https://docs.microsoft.com/en-us/azure/active-
directory/connect/active-directory-aadconnect
Hybrid environment
You need to configure the SharePoint platform within your organization to meet a
number of prerequisites to establish a hybrid environment. Therefore, the platform
that is connected to the synchronized domain must execute the following
SharePoint services:

 User Profiles Service

 Add-in Service
 Subscription configuration service
 Search service
SharePoint 2016 has a configuration section in the Central Administration that
allows configuration of hybrid scenarios.

The Configure OneDrive and Sites Hybrid Features option provides access to a

page that describes the necessary requirements to run the Hybrid configuration
wizard provided by Office 365.
Conclusion:
With this type of technology, companies can keep information safe and controlled
in the corporate environment, but in turn give the possibility of such information
being accessible from anywhere outside the organization.
Híbrido en SharePoint Server 2016
Motivación

Las corporaciones hoy en día cuentan con equipos de trabajo que están ubicados
en diferentes lugares físicos, incluso fuera de la organización. Esto es un problema
ya que los equipos necesitan acceder a la información que corporativamente se
genera de forma remota.

También sucede que las empresas tercerizan a otras empresas para que les
brinden un servicio, con lo cual necesitan acceder a la información del cliente sin
la necesidad de estar ubicados físicamente en el cliente.

En ambos casos lo que se necesita es acceder a la información corporativa sin

estar conectado a la red corporativa.

Solución Microsoft

Para solucionar esta problemática Microsoft propone utilizar Ambientes Híbridos

en SharePoint.

¿Pero qué son los ambientes híbridos?

Una empresa tiene un ambiente híbrido, si su información se distribuye tanto en

sus instalaciones como en la nube de forma simultánea.

Usando SharePoint como tecnología base podemos conectar dos grandes áreas,
el Ambiente Corporativo (On Premise) y la Nube (Office 365).

Con este tipo de solución no importa si la información se genera en el ambiente

local o en la nube porque la misma puede ser accedida desde cualquier punto.
Para poder tener un ambiente híbrido necesitamos contar con SharePoint Server
2013 o SharePoint Server 2016 y licencia de Office 365.

¿Qué es Office 365?

Es un servicio de suscripción que ofrece las herramientas web que permiten

acceso a correo, documentos, contactos y calendarios desde cualquier lugar y con
cualquier dispositivo.

¿Cómo Funciona?

Básicamente lo que se hace es agregar Office 365 al entorno donde ya está

corriendo SharePoint Server.

Cuando se agrega Office 365 a un entorno donde ya esté usando SharePoint

Server de forma predeterminada, no hay ninguna integración entre los dos. Se
deben configurar las características de SharePoint híbridas, permitiendo vincular
los dos entornos de forma sencilla.

Una de las características de los híbridos es que utilizan una técnica

llamada redirección. Con la redirección, cuando los usuarios intentan tener acceso
a un servicio en SharePoint Server con la navegación del sitio, se le dirigirá
automáticamente el servicio equivalente en Office 365.
Por ejemplo, en un entorno no híbrido, cuando un usuario hace clic
en OneDrive, en un sitio de SharePoint Server, procede a su ubicación de
OneDrive para Empresa de SharePoint Server. En un entorno híbrido cuando un
usuario hace clic en OneDrive, pasará al OneDrive para Empresa de Office 365.
Sincronización y federación de directorios activos. (Información recolectada
del libro: Sharepoint 2016 de principio a fin)
El primer paso para construir una solución hibrida es federar o sincronizar el
directorio activo local con office 365. En este paso se debe determinar que
usuarios y grupos serán sincronizados en el directorio activo en Azure de Office
365. Esto no quiere decir que la sincronización se limita a la cantidad de licencias
adquiridas por la organización, sino que se debe planificar que usuarios serán
híbridos y cuáles no. Para implementar esta configuración se recomienda ir al
sitio https://docs.microsoft.com/en-us/azure/active-directory/connect/active-
directory-aadconnect
Ambiente hibrido
En necesario configurar la plataforma SharePoint dentro de la organización para
que cumpla con una serie de requisitos previos para establecer un ambiente
hibrido. En tal sentido la plataforma que está unida al dominio sincronizado debe
ejecutar los siguientes servicios de SharePoint:

 Servicio de Perfiles de Usuario

 Servicio de Add-ins
 Servicio de configuración de suscripción
 Servicio de búsqueda
SharePoint 2016 cuenta con una sección de configuración en la Administración
Central que permite realizar la configuración de escenarios híbridos.

La opción Configurar características hibridas de OneDrive y sitios proporciona

acceso a una página que explica los requerimientos necesarios para ejecutar el
asistente de configuración hibrido provisto por Office 365.
Conclusión:
Con este tipo de tecnología las empresas pueden mantener controlada y segura la
información en el ambiente corporativo, pero a su vez dando la posibilidad de que
esa información sea accesible desde cualquier lugar fuera de la organización.