Exchange Server 2013 CU10


А вот и он. Exchange 2013 cu10. Нужен нам для установки Exchange Server 2016. Как и Cumulative Update 11 для Exchange Server 2010.

upgrade

upgrade

UPDATE:

Из замеченных проблем:

  1. EX CU 10  в одной среде после обновления mail enabled PF перестали принимать почту. Вылечилось https://support.microsoft.com/en-us/kb/2984402 Если GET-PublicFolderClientPermission показывает None то решение в кб.                                      pfpub
  2. Слетает сертификат для BE. Лечение стандартное 🙂
  3. Базы не активируются с CU10 на CU9. Увы, в этот раз не повезло, имеем этот момент ввиду.
Advertisements

Мы должны принципиально изменить наш подход к безопасности


Давайте на этой неделе попробуем другой, не технический,  стиль статьи. В статье предлагается сделать шаг назад и взглянуть на стратегию ИТ “с высоты птичьего полета”, а не со стороны технических / тактических деталей ИТ-операций. Эта статья является результатом совместных усилий по идентификации и безопасности и была разработана в течение длительного периода времени с участием множества сотрудников MCS, PFE и групп кибер безопасности в Microsoft. Наслаждайтесь!
Michael Hildebrand- MSFT

Эта статья не предназначена чтобы свести на нет обсуждения по вопросам безопасности, она скорее предназначена для начала разговора о безопасности, в которой мы признаем определенные реалии. В этом случае мы признаем, что нынешние парадигмы безопасности не соответствуют результатам.

Идентификация должна быть важным направлением для обеспечения безопасности

Идентификация  передается при каждой транзакции и расширяет периметр за пределы корпоративной границы, поэтому наша защита также должна выходить за рамки этих границ. В духе десяти неизменных правил безопасности, введем следующие Правила Идентификации для рассмотрения сообществом:

Предлагаемые правила Идентификации:

  1. Если плохой парень сможет убедить сотрудника компании что он это Вы, то он получит доступ ко всем Вашим данным, хранящимся в организации и потенциально любой другой организации, доверяющей Вам.
  2. Если плохой парень может изменить пароль для Вашей учетной записи, то он имеет доступ ко всем данным, доступным для этой учетной записи.
  3. Если плохой парень может украсть (или применить социальную инженерию) пароль Вашей учетной записи, то он имеет доступ ко всем данным, доступным для этой учетной записи (и всех других, использующих тот же пароль) а также потенциально любого другого клиента, который доверяет провайдеру.
  4. Если плохой парень может получить ответы на Ваши вопросы безопасности от социальных медиа, Ваши аккаунты в них больше не Ваши, и, следовательно, он имеет доступ ко всем данным, доступных на аккаунтах, где Вы использовали эти вопросы безопасности.
  5. Если плохой парень может получить доступ к паролю или хэшу пароля, это больше не Ваша учетная запись, и, следовательно, он имеет доступ ко всем данным аккаунта (и всех других, использующих тот же пароль).
  6. Многофакторная  аутентификация (MFA) не является панацеей; она защищает от кражи ПАРОЛЕЙ,  но не кражи УЧЕТНЫХ ДАННЫХ. Если  у плохого парня будут права учетной записи администратора /root доступ на машине, где Вы вошли в систему, используя MFA, то он имеет доступ к Вашей учетной записи (и Вы вернулись к Правилу # 1).
  7. MFA без защиты учетных (например брутфорса, оповещения пользователей, либо активного аудита) означает, что если получен физический доступ, мы вернулись к брутфорсу (перебору) пароля. Если плохой парень подберет пароль, то он имеет доступ к Вашей учетной записи (и Вы вернулись к Правилу # 1).

“Только любители атакуют машины; профессионалы нацелены на людей.”

Шнайер, Брюс (2000-10-15). Семантические атаки: Третья волна Сетевых атак. Шнайер в блоге Безопасности. Continue reading “Мы должны принципиально изменить наш подход к безопасности”

OWA SSO


Single Sign On безусловно, хорошая штука, но с Exchange ее применяют очень редко. Почему? Скорее всего, потому, что про нее администраторы и не знают: общаясь с коллегами, несколько раз безуспешно пытался выяснить отличия различных форм аутентификации для виртуальных каталогов Exchange- часто многие путаются в показаниях и представляют себе довольно туманно, зачем нужны те или иные разновидности аутентификации. Все это, конечно, доходчиво описано в библиотеке им. Ленина.

Большинство облачных сценариев использует как дополнительный огромный плюс SSO для пользователей домена при открытии корпоративной страницы почты. Чем локальная инсталляция хуже? Да, собственно, ничем- давайте посмотрим, как включить SSO для пользователей домена, тем более, что этот функционал можно добавить и к другим “тайным” для многих возможностям Exchange, о которых упоминалось ранее. Continue reading “OWA SSO”

Виртуальные каталоги Exchange


Небольшая функция для смены имен каталогов, крайне полезна при любом количестве серверов.
#
# Author: Scott Jaworski
# Website: jaworskiblog.com
# Version: 1.0
# Description: This script sets internal and external URL’s on the specified Exchange 2013 Client Access Server
# then displays the results of all the urls that have been set.
# How to Use: Copy the text file to a location on the Exchange server. Change the .txt extension to .ps1,
# Open Exchange Management Shell, Browse to the location of the script in EMS, Run .\Set-Exchange2013Vdirs
#

Function Set-Exchange2013Vdirs
{
$ExServer = Read-Host “Please enter the Exchange 2013 Server Name you’d like to set Vdirs ”
$InternalName = Read-Host “Input the internal domain name eg.. IntMail.domain.com ”
$ExternalName = Read-Host “Input the external domain name eg. ExtMail.domain.com ”

Write-Host “Configuring Directories for $ExServer..” -Foregroundcolor Green

Get-WebservicesVirtualDirectory -Server $ExServer | Set-WebservicesVirtualDirectory -InternalURL https://$InternalName/EWS/Exchange.asmx -ExternalURL https://$externalName/EWS/Exchange.asmx
Get-OwaVirtualDirectory -Server $ExServer | Set-OwaVirtualDirectory -InternalURL https://$InternalName/owa -ExternalURL https://$ExternalName/owa
Get-ecpVirtualDirectory -Server $ExServer | Set-ecpVirtualDirectory -InternalURL https://$InternalName/ecp -ExternalURL https://$ExternalName/ecp
Get-ActiveSyncVirtualDirectory -Server $ExServer | Set-ActiveSyncVirtualDirectory -InternalURL https://$InternalName/Microsoft-Server-ActiveSync -ExternalURL https://$ExternalName/Microsoft-Server-ActiveSync
Get-OABVirtualDirectory -Server $ExServer | Set-OABVirtualDirectory -InternalUrl https://$InternalName/OAB -ExternalURL https://$ExternalName/OAB
Set-ClientAccessServer $ExServer -AutodiscoverServiceInternalUri https://$internalName/Autodiscover/Autodiscover.xml
Set-OutlookAnywhere -Identity “$ExServer\Rpc (Default Web Site)” -InternalHostname $internalName -ExternalHostName $ExternalName -InternalClientAuthenticationMethod ntlm -InternalClientsRequireSsl:$True -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl:$True

Write-Host “Vdirs have been set to the following..” -Foregroundcolor Green
Write-Host “$ExServer EWS”
Get-WebservicesVirtualDirectory -Server $ExServer |Fl internalURL,ExternalURL
Write-Host “$ExServer OWA”
Get-OWAVirtualDirectory -Server $ExServer | Fl internalUrl,ExternalURL
Write-Host “$ExServer ECP”
Get-ECPVirtualDirectory -Server $ExServer | Fl InternalURL,ExternalURL
Write-Host “$ExServer ActiveSync”
Get-ActiveSyncVirtualDirectory -Server $ExServer | Fl InternalURL,ExternalURL
Write-Host “$ExServer OAB”
Get-OABVirtualDirectory -Server $ExServer | Fl InternalURL,ExternalURL
Write-Host “$ExServer Internal Autodiscover URL”
Get-ClientAccessServer $ExServer | Fl AutodiscoverServiceInternalUri
Write-Host “$Exserver Outlook Anywhere Settings”
Get-OutlookAnywhere -Identity “$ExServer\rpc (Default Web Site)” |fl internalhostname,internalclientauthenticationmethod,internalclientsrequiressl,externalhostname,externalclientauthenticationmethod,externalclientsrequiressl

Write-Host “The Powershell URL have not been set as part of this script. Set it if you choose” -ForegroundColor Yellow
}
Set-Exchange2013Vdirs

Azure Automation и с чем его едят.


Давайте ознакомимся, как можно задействовать чрезвычайно мощный функционал автоматизированных заданий в Windows Azure.Пре-реквизиты:

1) Нужно пойти и зарегистрировать подписку в Azure, пробная вполне подойдет.

2) Нужна 1 ВМ для тестов.

Итак, если все готово, приступим:

  1. Выбираем в меню слева “Active Directory”. Если нет каталога, создайте.

123

Выбираем меню “Пользователи”

1234

Выбираем “Добавить пользователя” и заполняем поля.

13

Добавьте его в со-администраторы, выбрав в меню слева “Настройки” – “Администраторы”.

После того, как аккаунт создан, обязательно выполните первый вход под пользователем и смените его пароль.

Выбираем в меню слева “Автоматизация”- “Создать” — “Создание учетной записи автоматизации”

1

2. Заполняем учетные данные для записи автоматизации ,имя произвольное, регион можно оставить по умолчанию, единственно, нужно помнить, что аккаунт автоматизации должен располагаться в том же регионе, где и ВМ.
Continue reading “Azure Automation и с чем его едят.”

Server Core и Active Directory


clip_image002

Как многие знают, с момента выхода 2008 Windows Server в далеком 2007 году мы получили возможность устанавливать “безголовый” сервер. и даже тогда очень многим сообразительным парням это пришлось по вкусу. Еще до выхода R2  и sconfig они настраивали свои серверы при помощи аналогичных vbs скриптов (многие понят, я думаю) а самые упорные это делали руками, молотком и всякими netsh. Sconfig сделал администраторов равными, и около часа на настройку сервера уже не требовалось, и появился powershell внутри сервера core….

В 2012 счастье стало еще ближе с возможностью установки и настройки сервера, а потом его лишения (или в случае чего экстренного добавления обратно) GUI. В практике, опять же, таких инсталляций не видел- если человек чего решил, то он просто ставит core версию сразу и дружит с ней потом, и все у них обычно хорошо.

Плюсы инсталляции перечислять здесь не будем, все они давно известны и многие, разумеется, не преминут ими воспользоваться.

Но сегодня хотелось бы порассказать о неприятностях, которые могут случиться с серверами core.

Неприятность номер один описана в статье 2734222 (http://support.microsoft.com/kb/2734222 и ссылается на сценарий in-place upgrade и проблему для контроллеров домена Windows Server 2008R2. Тем не менее, я (и не только) эту проблему встретил в Windows Server 2012 RTM.

Номер два: инсталляции Server Core на базе 2008 не смогут запустить AD Web Services, поскольку для этого понадобится полная версия 2008.

Номер три: сейчас есть определенные проблемы как раз с добавлением/ удалением GUI  на Windows Server 2012ТР3. Те, кто поставил и не трогает, могут этого и не увидеть никогда :). Возможно, в каких-то определенных случаях они и раньше существовали…

Номер четыре: В Windows Server 2012ТР3 и 2 есть неприятный баг, связанный с установкой нового леса на Server Core, выполнив Install-ADDsForest мы получим ошибку установщика.

Вот такие вот сегодня истории относительно Server Core и Active Directory.

Просмотр правил в ящике пользователя


Часты ситуации, когда пользователь накостылял тучу правил в своем ящике ,и все взорвалось ПОЧТАНЕХОДИТ. Посмотреть на ящик поможет командлет Get-InboxRule

$users = get-mailbox

ForEach ($user in $users)
{
$rules = Get-InboxRule -Mailbox $user.name
if ($rules.length -gt 0) {
echo “”
echo $user.name
echo “”
$rules | select name, priority, description | fl
echo “”
}
}