Обновления?


Да, обновления. Опять.

Третьего дня связались товарищи, попросили посмотреть что стало с их почтовым сервером. Он потерял диск ReFS после установки срочных обновлений безопасности и перезагрузки и выпал в RAW статус.

Починили просто- откатили на резервную копию, но осадочек остался. А сегодня доброжелатели даже статьей кинули. Приятно.

https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-new-windows-server-updates-due-to-critical-bugs/amp/

Будьте осторожны с обновлениями.

OWA loop


Постучали тут из тайных газпромов. Проблема была сформулирована очень нечетко, и было только стойкое подозрение на негодный балансировщик. Меньше чем за 10 минут решение нашлось, и выяснилось что не балансировщик виноват конкретно в этом случае (хотя мог быть неправильно настроен), а просто серверы были разных версий.
Вот как это выглядит, если кто не видел, что такое этот ваш OWA loop:

Мораль: Обновляйте свои серверы правильно, целиком, полностью и до победного конца.

https://support.microsoft.com/en-gb/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae

PS. https://habr.com/ru/news/t/599031/

Экзамены


В прошлом марте тоже раздавали халяву, но тогда что-то вроде не стал про это новость публиковать- халяву раздавали не для РФ. Тут по прошествии времени я подумал что на сайт ходят граждане из союзных и не очень республик а также ближнего и даже дальнего зарубежья. И надо было дать. В общем, ссылка на бесплатные экзамены без регистрации и СМС, оставлю тут. Всем лучи добра.

Свежак


Я так понимаю все в отпусках, раз пошла вторая неделя и никто и словом не обмолвился в уютных мвпшных бложиках, что вот оно, пришло новое очередное обновление. Всем ставить, всем качать. Я тоже думал что последнее за июнь, но доброхоты ткнули палкой, и я решил оставить ссылку пацанам, а то они и не знали.

https://docs.microsoft.com/ru-ru/exchange/new-features/updates?view=exchserver-2019

Берегите себя, будьте внимательны и осторожны.

Красный октябрь


Пришло тут вот такое письмо. Слухи давно ходили что “будут повышать цены на всё, уже сто лет ничего не повышали”, так что мы были готовы.

Фотографии в О365


Фотографии как и прежде на земле, в облаке хранятся в разных местах– в Azure AD, в ящике пользователя и в SharePoint. Попросили тут заделегировать пользователя для этого важного дела, ибо чоткая программа от CodeTwo нагло требовала права глобального админа в облаке для загрузки фоток. Безумие, конечно сказал я, напилил роль, дал ей три командлета , Get-UserPhoto ,Set-UserPhoto и Remove-UserPhoto.

Написал пацанам в форму обратной связи, чтобы поумерили аппетиты, мол работает же вот так. Не знаю, дойдут ли руки у кого обновить FAQ там на страницу, но вот- никому не верьте, такая сегодня мораль.

TLS и все-все-все


Медленно, но верно таки отключают 1.0 и 1.1 в облаке. И предупреждают который год.

We originally paused the retirement of TLS 1.0 and 1.1 in Office 365 (MC186218 June ’20) due to these unprecedented times. As companies have pivoted their supply chains and countries have started to re-open, we have re-established a retirement date for TLS 1.0 and 1.1 in Office 365 to be October 15, 2020. As previously communicated (MC126199 in Dec 2017, MC128929 in Feb 2018 and MC186827 in July 2019), we are moving all of our online services to Transport Layer Security (TLS) 1.2+ to provide best-in-class encryption, and to ensure our service is more secure by default.

Наткнулся на вот такое у товарищей. Товарищи эвакуировались в О365 от трудностей и опасностей, перетащили как обычно мелкие ящики но осталось парочка больших чем 50 ГБ. Закурили, ибо канал был нереально тонкий и и гиговые-то ящики пролезли с трудом. В общем, было принято героическое решение делать экспорт в PST, забирать локально полученный архив и заливать в облако. Справились, получили архив, приехали к большому и толстому интернету, и запустили последние уже похудевшие ящики в облако.

И вот тут-то конечно, коварство МС и проявило себя.

RunspaceId : e7378572-8649-407f-bbe6-59bc76364637
Result : Failed
Message : The connection to the server ‘mail.c.mb.ca’ could not be completed.
SupportsCutover : False
ErrorDetail : Microsoft.Exchange.Migration.MigrationServerConnectionFailedException: The connection to the server ‘mail.c.mb.ca’
could not be completed. —> Microsoft.Exchange.MailboxReplicationService.MRSRemoteTransientException: The call to
https://mail.c.mb.ca/EWS/mrsproxy.svc’ failed. Error details: Could not establish secure channel for SSL/TLS with
authority ‘mail.c.mb.ca’. –> The request was aborted: Could not create SSL/TLS secure channel.. —>
Microsoft.Exchange.MailboxReplicationService.MRSRemotePermanentException: Could not establish secure channel for SSL/TLS with
authority ‘mail.c.mb.ca’. —> Microsoft.Exchange.MailboxReplicationService.MRSRemotePermanentException: The request
was aborted: Could not create SSL/TLS secure channel.
— End of inner exception stack trace —
— End of inner exception stack trace —

Выяснилось что сервер не был подготовлен к использованию TLS 1.2 и получился неприятный сюрприз. Понятно, что добавили ключики в реестре, перезагрузились и домигрировали, но осадочек остался.

Среда у товарища разумеется была ещё той наркоманской но другой то не было, и той уже не будет- эвакуация в облако прошла успешно. Мораль истории: не тяните с включением TLS , гайки уже давно закручивают и могут и пережать и вас, берегите себя. Наши парни думали что проскочат как обычно, а не проскочили. И сколько таких ещё было и будет- несть числа, пост в их поддержку.

Preparing for TLS 1.2 in Office 365 and Office 365 GCC – Microsoft 365 Compliance | Microsoft Docs

https://support.microsoft.com/en-us/help/4057306/preparing-for-tls-1-2-in-office-365

https://admin.microsoft.com/AdminPortal/home#/MessageCenter?id=MC218794

Про мартовские обновления


Хотелось написать короткую заметку для утреннего телеграм чатика, в котором я не имею честь состоять 🙂

Поскольку народ уже начал срочно (кто мог) и запланировано (на выходные или ночь. кто не смог себе позволить) устанавливать CU как требование для критического обновления, хотелось бы сказать пару слов пару слов.

  1. Обновление устанавливается долго. Планируйте час, а лучше два (с запасом).
  2. В трёх местах установщик CU 2016 почему-то не смог вывести сервер полностью в работу. Такое помнится, было новинкой в 2013 версии продукта, но мы уже привыкли такое видеть за долгие годы. Сейчас придётся не просто один компонент поднимать, а сервер целиком. Надо быть готовым, что такое после обновления CU случится. В интернетах обычно делают так:

Get-ServerComponentState # чтобы поглядеть все ли в порядке, а если нет, то

Set-ServerComponentState -Identity “EXvvney” -Component “ServerWideOffline” -State “Active” -Requester “Maintenance”

По ссылке с реддита народ тоже жалуется, так что получить это поведение можно достаточно легко.

UPDATE: If you think you may be been attacked or want to research if your system has been compromised, Microsoft has provided PowerShell scripts that can identify entries in your log files to understand if you were targeted by HAFNIUM.
Еще одно.

Про коварный Microsoft


MS с каждым годом становится все коварней. Сегодня например последний день работы TLS 1.1 и 1.0, не удивляйтесь, всех предупреждали годы назад ещё. Ну и не стесняемся, репостим и расшариваем ссылки на стать, авось это поднимет кредит доверия как к доставлятелю годных ссылок в интернете:

Final Notice for disabling of TLS1.0 and TLS 1.1 Support for Exchange Online Mail Flow

MC229914 · Published Dec 14, 2020 Message Summary

We will no longer support TLS 1.0 and TLS 1.1 from Exchange Online mail flow endpoints beginning January 11th 2021. As those versions of TLS are already retired (most recently communicated in MC218794, July ’20), Exchange Online customers and their partners should already be using TLS1.2 to protect SMTP connections between their email servers or devices and Exchange Online.

Key Points:

  • Major: Retirement
  • Timing: January 11th, 2021
  • Action: Review and assess impact for your organization

Не так давно выключали Outlook 2013, чтобы он не мог подключаться к Office 365. Про это тоже писали в оповещениях, но их мало кто читает. Советуют, кстати завести оповещения себе в Planner, чтобы лихо назначать оповещения. как скажем выше сразу на ответственных или не очень работников. Здорово придумано надо сказать. раньше для этого приходилось хитрить и автоматизировать при помощи палки и верёвки, а тут поди-ка, сделано из коробки, только учётную запись подключи.

Но обрадовало сегодня ещё и вот такое: в новомодном Admin Сenter просто нет возможности вернуть ящик обратно на землю! Кнопка, как говорят пользователе “засерена”. В старом, понятно есть, но на него давно махнули рукой и того и гляди переименуют и снесут. Так что надежды нет. Остался конечно ещё старый способ мигрировать ящик взад используя PowerShell, и про него лучше помнить, т.к. скорее всего этот способ оставят единственным. Если оставят 🙂