Обновляйте свои почтовые серверы…


хотя бы периодически.

Кейс сегодня такой- коллега обратился с проблемой: после смены почтового домена на другой, который долгое время переходного периода был не дополнительным, а стал основным, ActiveSync устройства стали отправлять дополнительные копии сообщений. Причина проста:

Senders receive a message copy after they click “Reply to All” in Exchange ActiveSync

This problem occurs because the client is receiving multiple PrimarySmtpAddress values in the response to the Settings command from the server that is running Exchange Server. When the user clicks Reply to All, the client does not detect the second PrimarySmtpAddress value within the recipient list. Therefore, the client includes the sender as a recipient.
The second PrimarySmtpAddress value is any SMTP address for the mailbox that is prefixed by an all-capitalized code value. The most common examples of such a value are the “SIP” address for Microsoft Lync and the “NOTES” address for Lotus Notes.

Решение: обновляем вовремя почтовые серверы, чтобы не наступать на закрытые грабли.

Или Workaround, предложенный в той же статье:

To work around this problem, manually change any existing address that is not the Primary address to all-lowercase characters.

Правильно планируйте почтовые адреса, чтобы они были не Ivanov.Ivan, a ivanov.ivan 🙂

Advertisements

Exchange Server 2016


Ну вот оно, будущее, уже рядом.

Встречаем новый Exchange Server 2016! Не забывайте, что на странице в видео интервью есть субтитры, которые можно легко включить для более подробного понимания, куда плывет новый Exchange, и почему CAS выкинули за борт. Так же напомню, что на прошедшем Ignite, о котором я писал ранее в блоге, есть доклады, посвященные  Exchange Server 2016. Смотрим, читаем, скачиваем.

Обновления….


Я, посиживая в отпуске, решил тут два мелких кейса коллегам. ^^

Кейс 1. Есть  общий ящик. Им пользуются 5 сотрудников. У одного из них функция отозвать сообщение, отправленное от имени общего ящика недоступна.  Она просто “серая”. Ваши действия?

Дав время на подумать пять минуток, заглядывайте в ответ:

aug20_2

Как всегда, виноваты “обновления”. На этом клиенте, который находился в удаленном офисе, отсутствовал фикс известной проблемы.

Кейс 2. Обращение от коллеги- нет подключения на вражеском не доменном ноутбуке к Outlook. Техподдержка советует выдать для настройки профиля почты повышенные права.

Ну а как же иначе? Думаем, в чем м.б. причина (самое актуальное)

Screenshot_1

Ответ: сертификат, разумеется честно купленный. Но поскольку ноутбук не был обновлен, не было свежих crl, и, как следствие- не была построена цепочка доверия к сертификату. Нет доверия- нет подключения 🙂

Выводы: давайте обновляться. Давайте делать это чаще, и  часть граблей, к которым решения уже появились в продаже сети, Вы не соберете. Да, обновления накладывают на устанавливающего ответственность- прерывание, проверка работоспособности и др. Но в любом случае, жизненный опыт подсказывает- обновленная система работает лучше, чем не обновленная.

Берегите себя, и обновляйтесь, обновляйтесь, обновляйтесь!

PS. Вчера был вторник, и вышло больше 40 обновлений.  Надеюсь, все уже их поставили/запланировали к установке? 🙂

Внеклассное чтение

Повышаете уровень домена? Сперва прочтите это!


85052b9df8349222ee46f54568c7a4ea

Срок Windows Server 2003 end of life закончился еще вчера (14 июля 2015), и хотя многие предприятия обновили свои контроллеры доменов с 2003, некоторые еще могут находиться в процессе обновления.

Первое, что важно решить при переходе- куда мы будем двигаться и на какую ОС. Сейчас выбор стоит так: 2008, 2008R2, 2012, или 2012R2. Однако, независимо от того, на какую новую ОС вы будете переходить с 2003, аккаунт krbtgt сбросит (reset) свой пароль при обновлении функционального  уровня домена (DFL). И это может повлиять на доступность Exchange.

Примечание: Если Ваш текущий уровень домена уже установлен 2008 или выше, вам не нужно проделывать шаги статьи. 🙂

Хорошей отправной точкой будет понимание того, что во время процесса повышения функционального уровня домена системный аккаунт krbtgt сменит пароль. Репликация измененного пароля отдельный процесс и происходит уже после того, как уровень домена был повышен. Это изменение не повлияет на любые приложения, зависимые от Active Directory, но иногда это может повлиять на остановку аутентификации приложений, одним из которых является Exchange.

Хотя повышение функционального уровня необратимая ситуация (во многих случаях, но не всегда), оно должно быть тщательно спланировано и  произведено только после проверки того, что приложения, полагающиеся на Directory Services в своей работе, продолжат корректную работу после обновления. В основном это могут быть продукты третьих фирм (или программы собственных разработок). В этом случае лабораторная среда для проверки будет лучшим решением, а в следствии этого- и рекомендацией лучших практик Microsoft.

После того, как Вы подняли уровень домена с 2003, находим ошибки в журналах событий Система на контроллерах домена за номерами Event ID 14 или Event ID 10.

Если Вы наблюдаете эти ошибки после повышения  функционального уровня домена, то есть пара вариантов исправления ситуации для решения ошибки аутентификации.

Вариант 1: Перезапустите службу Kerberos Key Distribution Center на всех контроллерах домена (короткое прерывание сервиса, перезапуск)

  • Воспользовавшись командной строкой:
    • SC \\ComputerName Stop kdc
    • SC \\ComputerName Start kdc
  • Вариант с использованием модуля Active Directory PowerShell:
    • $DC=Get-ADDomainController
    • Get-Service KDC –ComputerName $DC | Restart-Service
  • Через графический интерфейс GUI:
    • Откройте оснастку Services (services.msc) на контроллерах
    • Выберите службу Kerberos Key Distribution и щелкните “Перезапустить”

image_61366C5A

Вариант 2: Перезагрузка всех контроллеров в лесу (большее прерывание сервиса, перезагрузка серверов может занять длительное время)

  • Вручную выполняем вход на каждый контроллер и перезагружаем, ИЛИ
  • Все тем же Active Directory PowerShell module:
    • $DC=Get-ADDomainController
    • Restart-Computer $DC

Почему это важно?

Хотя влияние перехода должно быть нулевым для приложений, факт того, что пароль учетной записи krbtgt меняется и это может привести к остановке Exchange (или других приложений), которые могут ожидать успешной репликации измененного пароля в течение нормального цикла репликации AD.Рекомендуется выполнить шаги  решения выше.

Почему это случается только при переходе с 2003 DFL?

Под капотом ситуации добавление новых хэшей AES, представленных в NT 6.0. Изменения только добавляют хэши AES во время изменения функционального режима домена на более высокий (’08, ‘08R2, ’12, ‘12R2). В будущем поддержка старых алгоритмов шифрования будет убираться, и Вы вновь можете наступить на эти же грабли.

Знание половина дела. Вероятность того, что Вы столкнетесь с описанной проблемой мала, но сейчас Вы знаете, как ее решить и будете готовыми к возможным неожиданностям. Планируйте переход, повышайте уровень контроллеров и домена; используйте все новые возможности, доступные сегодня, и не давайте Exchange ломаться!

Удачи.

да-да. Поддержка 2003 – все.


Еще вчера, во вторник, на Windows 7 пришло более сорока апдейтов безопасности и прочих обновлений. А вот на старую добрую 2003 ни одного. Потому, что поддержка кончилась! (14 июля). Всё. Всёёёёё.

Продолжаем делать дважды в день то, что на скриншоте 🙂readmsg