Управление доменами в облачной Организации Яндекс 360 для бизнеса
Привет! Я Евгений Артемьев, работаю архитектором решений в Яндекс 360 около года. У меня типичная ИТ-карьера: от инженера технической поддержки в конечных заказчиках до архитектора решений в вендоре.
В этой и предстоящих статьях я сфокусируюсь на темах, полезных для администраторов и технических специалистов разного уровня, которые занимаются поддержкой, настройкой ИТ-инфраструктуры и планируют переход в облако. Также они будут любопытны всем, кто увлекается облачными технологиями.
Пару слов о Яндекс 360 для бизнеса. Это виртуальный офис, предназначенный для организаций и команд, который включает в себя корпоративную почту, календарь, облачное хранилище, редактор документов, мессенджер и сервисы для коммуникации. Подробнее можно прочитать на сайте.
Это современное облачное решение, которое позволяет отказаться от использования наземной инфраструктуры или минимизировать его. Для его работы не нужно ничего иметь «на земле», но есть компоненты, от которых сервис непосредственно зависит — например, домены DNS или наличие своего IdP. Также иногда требуется сосуществование с текущей наземной инфраструктурой или миграция пользовательских данных с неё.
В первой статье я раскрою базовую и в то же время ключевую тему — управление доменами. Тема DNS покрыта тайнами и заблуждениями, но на самом деле все действия здесь стандартны — всё уже украдено до нас уже было изобретено давным-давно.
Поговорим о том, как управлять доменами в Организации Яндекс 360 для бизнеса: как их добавлять, удалять, настраивать. Если вы планируете настраивать Яндекс 360 для бизнеса, то в этом материале найдёте ответы на большинство вопросов по управлению DNS.
Организация Яндекс 360 для бизнеса
Я ввёл первый термин — Организация Яндекс 360 для бизнеса (Организация). Это облачная платформа с набором сервисов, которая закрыта периметром безопасности. Внутри Организации есть владелец — царь и бог, который владеет всем. Владельцем считается тот, кто создал Организацию. Ещё в Организации могут быть администраторы и пользователи.
Владелец может:
- Быть только один в Организации
- Быть переназначен только владельцем
- Создавать сервисные приложения, которые будут иметь доступ к ресурсам пользователей (содержимое их почтовых ящиков и дисков)
- Управлять несколькими Организациями
Для управления остальными аспектами достаточно прав администратора.
Создать Организацию Яндекс 360 для бизнеса можно, обратившись к партнёру, или самостоятельно по инструкции.
Домены в Организации
Первое, что нужно сделать после создания Организации, — это добавить домен. Это действие доступно владельцу и администратору. Только после добавления домена можно создавать пользователей, группы рассылок и другие сущности, настраивать корпоративную Почту, Календарь, Диск и Мессенджер.
Какие свойства доменов в Организации нужно знать при управлении доменами:
- Домен может быть прикреплён только к одной Организации в один момент времени (следовательно, невозможно прикрепить домен к нескольким Организациям одновременно)
- К одной Организации можно прикрепить несколько доменов
- Один домен нужно назначить основным доменом в Организации (первый добавленный домен будет считаться основным)
- Домен используется для аутентификации пользователей
- Домен используется для формирования адресов электронной почты
Процедура добавления домена в Организацию
У всех провайдеров облачных услуг единый подход к этому вопросу. Яндекс не требует юридических документов, которые подтверждают, что вы владеете доменом или что он оформлен на ваше предприятие. Всё проще: нужно выполнить на выбор одно из трёх технических действий. Например, стандартное действие — добавить TXT-запись в зону. Как это сделать, подробно описано в Справке. Если Яндекс 360 со своей стороны видит, что требуемая TXT-запись есть, домен добавят в Организацию.
Какие могут быть сложности на этом этапе:
- Новый домен в новую Организацию. Важно время жизни TTL-зоны, особенно если закешировался отрицательный ответ.
Рекомендация: сначала добавить требуемую TXT-запись, потом проверить у DNS-сервера, отвечающего за зону, что запись резолвится. Пример команды:nslookup -q=txt имя_внешнего_DNS-сервера_отвечающего_за_вашу_зону.Если в ответе есть только что добавленная TXT-запись, следует проверить, как эта запись обнаруживается из интернета. Подробнее проверка описана в статье. - Организация, которая существует давно. Сервис Яндекс 360 для бизнеса вырос из Почты для домена и из базового B2C-продукта — Яндекс Почты. Если организация существует много лет, в неё когда-то добавили домен, затем удалили, а сейчас при попытке снова добавить этот домен не получается завершить мастер успешно, заведите обращение в поддержку. Специалисты поддержки помогут решить вопрос. Форма заявки доступна по ссылке.
Если добавить домен, но не подтвердить владение по любой причине, в списке доменов Организации он будет отображаться со статусом «Не подтверждён». Это значит, что он не настроен и его нельзя использовать. Кроме того, этот статус не мешает добавить домен в другие Организации. Именно поэтому не стоит оставлять домен в таком виде.
К чему приводит добавление домена?
Итак, вы добавили TXT-запись и тем самым закрепили домен за вашей Организацией. Ни к какой другой Организации его прикрепить не получится. Теперь можно создавать учётные записи пользователей, группы рассылок, настраивать SSO и так далее. А дальше — начинать использовать все сервисы.
Но тут возникает вопрос: нужно ли добавлять/менять другие записи, которые настойчиво предлагает мастер? А именно MX-, SPF- и DKIM-записи, которые влияют на маршрутизацию электронной почты. Из опыта общения с заказчиками скажу, что это частый вопрос: все переживают за основной домен Организации, избегают внесения изменений в зону. И это правильно. Любое изменение важно сначала обдумать и понять, к чему оно приведёт.
Добавление TXT-записи не оказывает влияния ни на какие сервисы в компании. Она нужна только в момент проверки мастером. Кстати, после того как домен добавился, запись можно удалить.
А что с остальными записями? Если вы не планируете сразу переключать почтовый поток на Организацию Яндекс 360 для бизнеса, добавлять эти записи нет необходимости. Достаточно остановиться на TXT-записи. Можно не обращать внимания на сообщение и красный восклицательный знак, которые говоря о том, что письма могут не приходить. Они действительно не будут приходить, так как MX-запись указывает на вашу текущую почтовую инфраструктуру.
Когда примете решение о том, что пора использовать почту в Организации Яндекс 360 для бизнеса, обязательно настройте все три типа записей. Сделайте это так, как подскажет мастер настройки и как указано в разделе Справки «Настройка вручную».
Если вы планируете отправку писем из Яндекс 360 в интернет, то SPF- и DKIM-записи можно добавлять без особых раздумий, так как они не влияют на маршрутизацию входящих писем. В SPF-записи вашей DNS-зоны обязательно укажите хост _spf.yandex.net как доверенный. Подробнее читайте в документации. Для корректной работы подписи отправителей обязательно добавьте DKIM-подпись (yandex.ru).
А если доменов больше, чем один?
В Организацию можно добавить несколько доменов. Чтобы добавить ещё один домен, надо повторить все те же действия. Отличий в процедуре нет.
Когда в Организации добавлено несколько доменов, один из них должен быть выбран в качестве основного. Его нельзя удалить, пока есть хотя бы один пользователь или одна группа в Организации.
Остальные домены будут доменами-алиасами. У пользователей, групп рассылок и подразделений автоматически появятся адреса из всех доменов-алиасов. Например, если добавлен домен example.com, у пользователя будет адрес user@example.com. Когда в Организацию добавится второй домен, у пользователя появится второй адрес user@example2.com. Так с каждым доменом будут добавляться дополнительные адреса.
Удаление доменов
Когда в Организацию добавлено несколько доменов, может потребоваться удалить любой из них. Причин может быть много: домен перестал быть актуальным, отделилось дочернее подразделение, и оно больше не принадлежит предприятию и так далее.
Удаление дополнительных доменов
Когда речь идёт о дополнительных доменах, их можно удалить в любой момент. Достаточно нажать «Удалить» возле многоточия на требуемом домене. Удаление происходит сразу же: у всех пользователей исчезнут почтовые адреса из этого домена.
Удаление основного домена
Удалить основной домен можно двумя способами:
- Сначала сделать основным любой другой домен в Организации. Тогда он перестанет быть основным, и его можно будет удалить как любой дополнительный.
- Если в Организации это последний и единственный домен, он является основным. В этом случае удалить его можно, только когда удалены все пользователи и группы из Организации.
- Удаление домена не приводит к удалению учётных записей пользователей, почтовых ящиков пользователей, файлов на Яндекс Диске.
Автоматизация управления доменами
В Организации Яндекс 360 для бизнеса есть возможность управлять доменами и всеми процессами, описанными выше, через API. Если у вас много доменов или вы являетесь партнёром-интегратором нескольких заказчиков, такой инструмент позволит автоматизировать рутинные шаги по добавлению доменов. Через API доступны методы GET, ADD, UPDATE и DELETE. Подробнее о синтаксисе команд читайте в статье.
Чтобы начать использовать REST API, следуйте инструкции. Будьте внимательны при использовании инструментов автоматизации, так как при их выполнении у вас не спросят «Вы действительно хотите удалить домен?». Домен просто будет удалён.
Делегирование своего домена на серверы Яндекс 360
Если делегировать управление доменом и хостинг на серверы Яндекса, все необходимые записи для работы Яндекс 360 для бизнеса будут добавляться автоматически. Это удобное решение для небольших организаций, которые не используют больше никаких сервисов.
В разделе «Делегирование на серверы Яндекса» есть полная информация о том, как делегировать на наши серверы управление зоной.
Когда нужно управлять дополнительными записями за рамками Яндекс 360, их приходится добавлять через API. Если вы администратор одной или нескольких небольших организаций и не боитесь использовать API, это не составит проблем. Как управлять дополнительными записями, — читайте в документации.
Заключение
Итак, мы разобрались со всеми инструментами по управлению доменами в Организации Яндекс 360 для бизнеса. Вы увидели, что в Яндекс 360 для бизнеса можно подобрать инструмент, наиболее подходящей для вашего типа предприятия, будь то малый, средний или крупный бизнес или если вы являетесь интегратором и предоставляете услуги конечным заказчикам.
В следующих статьях мы с коллегами расскажем о таких вещах, как маршрутизация почты, варианты интеграции с Active Directory или LDAP и настройка SSO при использовании вашего IdP. А пока буду рад ответить на ваши вопросы.
