设置业务连续性

业务连续性是一个安全隔离的 Google Workspace 环境,领导层和关键团队可以在危机期间使用该环境进行沟通和协作。

准备工作

您必须与 Google 销售团队合作,才能购买 Google Workspace 业务连续性服务。

联系销售人员

前提条件

在设置业务连续性之前,您必须做出一些决定:

您将使用哪个网域?

Google 建议您使用顶级域名 (TLD) 的子域名,例如 workspace.your-company.com。不过,您也可以选择其他方案:

选项 推荐? 优点 缺点
顶级网域的子网域
  • 单独的 MX 记录可确保 Workspace 在服务中断期间不会受到收到的邮件的影响。
  • 在危机期间,一致的 TLD 有助于提高品牌认知度。
  • 用户在登录 Workspace 时必须记住子网域。
  • 子网域可能会引起收件人的疑虑。
主账号和 Workspace 账号使用同一网域
  • 通过 Workspace 发送的电子邮件的地址与主电子邮件地址相同。
  • 用户可以使用熟悉的电子邮件地址登录 Workspace。
  • 如果发生中断,在您更改 MX 记录并将其传播到互联网上的其他位置之前,传入的邮件将无法递送。
Workspace 的唯一 TLD
  • 在主服务器发生服务中断期间,收到的邮件不受影响。
  • 收件人不会识别这些电子邮件地址,可能会怀疑是垃圾邮件或其他恶意行为。

您是否会同步密码?

Google 建议您在 Workspace 和主要提供商之间同步密码。

选项 推荐? 优点 缺点
同步密码
  • 用户无需记住新密码。
  • 如果主账号的密码泄露,Workspace 账号的密码也会泄露。注意:您可以要求使用预注册的硬件安全密钥,并强制用户在首次登录时更改密码,从而降低风险。
不同步密码
  • 防止泄露的密码同步到 Workspace。
  • 因不常使用而忘记密码的风险。

您将如何与 Google Workspace 同步用户账号?

Google 提供 2 种目录同步工具:

特性对比

功能 GCDS Directory Sync
是否需要安装硬件和软件? 是,需要本地软件。 不需要,Directory Sync 是云端解决方案。
外部目录支持 支持所有符合 LDAP 标准的目录,包括 Active Directory 和 OpenLDAP。 支持 Microsoft Active Directory (AD) 和 Microsoft Azure Active Directory (Azure AD)。
连接到外部服务器的方式 通常与 LDAP 服务器位于同一网络上。
同步的数据类型 用户(包括管理员)、群组、日历资源、外部联系人、密码。

请参阅同步哪些内容?

 非管理员用户和群组。
是否能够从多个外部来源同步数据?
  • AD - 支持从多个目录同步。
  • Azure AD - 仅支持从一个目录进行同步。
设置的复杂程度 可能非常复杂,具体取决于组织的需求。 使用 Google 管理控制台简化了设置。
同步频率 可由管理员配置。需要使用第三方调度软件来自动同步。 完整同步将在前一项同步完成后一小时开始。此间隔无法更改。
问题排查和日志记录 可能需要编译来自多个服务器的日志文件。 在 Google 管理控制台中集中报告。您可以过滤、搜索和设置自定义提醒。
用户属性映射 您可以映射:
  • 最多 35 个系统属性。
  • 自定义属性。

您可以映射以下属性:

  • 名字。
  • 姓氏。
  • 电子邮件地址。
  • 辅助电话号码。
  • 辅助邮箱地址。
组织部门映射 自动将用户归入指定的组织部门。 用户可以映射到指定的组织部门。

当您返回到主要提供商时,Workspace 数据会怎么样?

中断结束后,您可以导出 Workspace 数据,然后返回到主要提供商。不过,您的用户创建的数据仍会保留在 Workspace 中。

Google 建议您在 Google Vault 中创建保留规则,以便在指定时间段过后删除所有数据。

选项 推荐? 优点 缺点
使用 Vault 删除数据
  • 降低了备份环境被用于法律诉讼的可能性。
  • 在备份环境遭到入侵这种极小概率的情况下,降低潜在的风险。
  • 在中断期间,Workspace 中无法访问超出保留期限的数据。
不删除数据
  • 降低了意外删除重要内容的可能性
  • Workspace 数据可用于法律诉讼。对强大的安全设置和监控的需求日益增长。

为 Workspace 准备域名

购买业务连续性服务后,您需要准备好网域,以便与 Google Workspace 搭配使用。

验证您的网域

订阅业务连续性服务时,您必须证明贵公司拥有您的网域。

从 Google 管理控制台复制 TXT 记录值

  1. 前往设置工具
  2. 点击开始使用,然后按照说明操作。
  3. 在“TXT 记录”部分,复制相应

将唯一的 TXT 记录值粘贴到您的域名注册商设置中

  1. 登录您管理域名的网站。
  2. 前往您网域的 DNS 设置。查找 DNS 记录域名管理域名服务器管理等字样。
  3. 找到 TXT 记录。
  4. 使用以下值添加新的 TXT 记录:
    类型 TXT
    名称 / 主机 / 别名 将此字段留空,或输入 @
    如果您使用的是子网域,请在此字段中输入子网域值。(示例:对于子域名“workspace.<您的公司>.com”,您应输入 workspace
    值 / 应答 / 目标 输入从 Google 管理控制台复制的唯一 ID。

    示例: google-site-verification=abcdef123_456wx789yz
  5. 保存新的 TXT 记录。

第 3 步:在 Google 管理控制台中验证所有权

  1. 前往设置工具
  2. 按照说明验证您的网域。然后,管理控制台会搜索您的唯一 TXT 记录,并检查该记录是否已与您要验证的域名相关联。

如果管理控制台找到了与预期域名关联的唯一 TXT 记录,您就完成了验证。如果系统找不到您的 TXT 记录,则会显示一条消息,告知您的域名无法验证。查看屏幕上的提示,并尝试按照本页所列的问题排查步骤操作。

问题排查步骤

  • 仔细检查您输入的内容:确保您输入的所有内容均正确无误,并采用域名注册商要求的格式。
  • 等待 72 小时:TXT 记录的更改可能需要一些时间才能在互联网上生效。
  • 与域名注册商的支持团队联系:他们可以帮助您排查 DNS 设置方面的任何问题。如果您不确定要联系哪个注册商,请参阅我们关于如何确定您的域名注册商的提示。

设置 MX 记录

我们建议您将子网域(例如 workspace.your-company.com)或唯一的顶级网域与 Google Workspace 搭配使用。执行此操作时,您必须在初始 Workspace 设置期间添加 MX 记录,以确保在服务中断期间,收到的邮件能够递送到 Gmail。

将 Google 的 MX 记录添加到您的网域

  1. 登录您管理域名的网站。
  2. 前往您网域的 DNS 设置。查找 DNS 记录域名管理域名服务器管理等字样。
  3. 找到 MX 记录。
  4. 使用以下值添加新的 MX 记录:
    类型 MX
    名称 / 主机 / 别名 将此字段留空,或输入 @
    如果您使用的是子网域,请在此字段中输入子网域值。(示例:对于子域名“workspace.<您的公司>.com”,您应输入 workspace
    TTL 使用网域注册商的默认值,或输入 1
    优先级 1
    值 / 应答 / 目标 smtp.google.com
    重要提示:请采用域名注册商要求的格式。例如,有些域名注册商要求在域名末尾添加一个英文句号 (smtp.google.com.)。而另一些域名注册商(例如 Squarespace 和 Wix)则提供预设选项供您选择,您无需输入任何内容。
  5. 保存新的 MX 记录。

在管理控制台中启用 Gmail

  1. 前往管理控制台中的网域管理页面

    提示:如果您是近期注册的 Google Workspace,则可以使用设置工具

  2. 针对要更新的域名,点击启用 Gmail。然后,按照屏幕上的步骤操作。

    注意:系统最长可能需要 72 小时才能识别新的 MX 记录。

问题排查步骤

  • 确保已验证域名所有权:在设置 Gmail 之前,您需要验证域名或子域名的所有权
  • 仔细检查输入的内容:确保输入的所有内容均正确无误,并采用域名注册机构要求的格式。例如,有些域名注册商要求在域名末尾添加一个英文句号 (smtp.google.com.),有些则会在同一行中包含优先级和目的地 (1 smtp.google.com)。
  • 等待 72 小时:MX 记录更改可能需要一些时间才能在互联网上被识别。
  • 运行诊断工具:您可以使用管理员工具箱 Dig 工具查看为您的网域发布到互联网的 MX 记录是否与本文中的值一致。

后续步骤

现在,您可以开始设置业务连续性了。

选择目录同步方法并进行设置

可选:在 Google 保险柜中设置保留规则

中断结束后,您将导出 Workspace 数据并返回到主要提供商。不过,用户创建的数据仍会保留在 Workspace 中。

Google 建议您在 Google 保险柜中创建保留规则,以在设定的时间段过后删除所有数据。