Enable-ExchangeCertificate и его друзья.


Чтобы назначить сертификат на службы Exchnage, требуется подсмотреть в справку, которая предлагает убирать его и назначать через параметры командлета Enable-ExchangeCertificate.

Мол, поставьте None и все будет ОК, сертификат уйдет. Логично, да. Disable-ExchangeCertificate пилить лень, делайте все через один командлет, всем будет проще.

https://technet.microsoft.com/en-us/library/dd351257(v=exchg.141).aspx

И это действительно работает, но только для служб IMAP и POP! Ну, и IIS, конечно.

А что делать, если вы задумчиво ковыряете древний сервер транспорта, которому лет уже больше, чем вашему сыну, и который имеет на борту уже с пяток сертификатов? Понятно, что некоторые из них давно просрочены, и не используются службами транспорта (все же помнят алгоритм выбора сертификата для транспорта, если их несколько;) ? Какой будет выбран?). Понятно, что нет на свете таких администраторов, которые удаляли бы “протухшие” сертификаты с серверов, но все же, как решить проблему “отвязки” конкретного сертификата с SMTP?

В общем, плохие новости сегодня: простого способа удалить сертификат для службы SMTP нет.

Придется удалять его полностью (можно экспортировать и сделать это скриптом) и только в этом случае он отвяжется от параметров транспорта.

PS. Хочу напомнить также, что Set-POP/IMAPSettings тоже умеет работать с сертификатами для данных сервисов.

 

 

 

Advertisements

Пятница!


Да-да, это именно она, и докатилась она и до моего блога 🙂

Я решил написать маленький пост про коварные нововведения в блогах Misrosoft.

Не знаю, все ли заметили, но 9 марта блоги переехали на новую платформу. Новый глянцевый вид, возможно сразу же бросился в глаза. Старого интерфейса, к сожалению уже не вернуть- кнопок переключения нет 🙂 Что еще?

Было blogs.technet.com/b/exchnage, стало https://blogs.technet.microsoft.com/exchnage.

Если начать хихикая убирать https, то ничего не выйдет, наш запрос все равно перенаправят на 443, что, собственно хорошо и полезно. По всей видимости, это исторический момент, при котором мы присутствуем. Мир станет безопаснее? Может быть. По крайней мере. хочется на это надеяться. Будет ли весь интернет сплошь в https? Кажется, все к тому и идет.

 

Cashe mode и все-все-все


Обычно, когда администратор почтовой системы слышит о том, что Outlook должен очень тесно сотрудничать с VDI, то его такие новости не радуют. Не радуют администратора и медленные каналы связи, при которых тоже приходится задумываться о разных интересных настройках. (Не поймите меня правильно:- я за VDI,  но с Outlook в нем часто возникают трудности).

Сегодня как раз хотелось об этом поговорить,

И начнем мы с ключа MAPIBlockOutlookNonCachedMode. Ключ этот, как мне справедливо поставили на вид старшие товарищи, существует с момента выхода десятки в свет, но про существование технетов, а тем более статью, где описаны эти и очень многие другие параметры, например настройки для AS девайсов, или EwsAllowOutlook, который зарубит Free Busy по вашему велению, многие не знают. Наша задача- просветительская, поэтому делюсь ТЗ из отрытых, так сказать источников. Очень рекомендую освежить память и припасть к ним, ибо в повседневной работе настройки иногда помогают.

Итак, зачем нам ключ, можно прочитать все в той же статье. Мы же поговорим про его практическое применение. Приходишь так, запросто к кому-нибудь в гости- а там анархия, хаос и прочее непотребство. Администратор пытается управлять ключами реестра, о которых кто-то, наверное, уже читал ранее. Получается, как получается. Но есть и решение со стороны сервера. Посмотреть, как обстоят дела, можно так:

Get-CASmailbox | ? {$_.MAPIBlockOutlookNonCachedMode -eq "True"}
Get-CASmailbox | ? {$_.MAPIBlockOutlookNonCachedMode -eq "False"}
Get-Mailbox | ? {$_.Office -eq "VDI"} | Set-CASmailbox -MAPIBlockOutlookNonCachedMode $true
Что нужно помнить- если ящик был на терминальном сервере или на VDI, и был он подключен через online mode,
то он после принудительного включения использования только кэшированного подключения не подключится сам!
Такие изменения необходимо документировать. Ну, и знать про них :)

Далее, поговорим про задачи деления пользователей на внутренних и внешних.
В Exchange 2010 нам помогал в этом параметр -MAPIBlockOutlookRpcHttp $true, и многие его активно пользовали. И потом еще большие многие, матерясь, поправляли ключи, когда траблшутили это :) а вот в 2016 появился другой ключ:
MAPIBlockOutlookExternalConnectivity. Он поможет решить задачу "Outlook для Васи работает только внутри!"
MapiHttpEnabled, опять же, для самых правильных парней, не убоявшихся 2016, порадует возможностью порулить параметрами на уровне конкретного ящика.

Полезные ссылки
Таблица внизу
https://technet.microsoft.com/ru-ru/library/bb125264(v=exchg.160).aspx

 

Просмотрите остальные настройки, надеюсь, найдете для себя интересные. Это, конечно же была реклама технета.

PS. Граждане бандиты! Неистово плюсуйте понравившиеся статьи, чтобы я мог понимать, какие темы более интересны.  Есть мысли написать разоблачения про Архивы, выпившие несколько литров крови. Будет ли это интересным, работа с архивами?

Разминаем пальцы…


Поставил на закачку Exchange Server 2013 Cumulative Update 12, и буду обновлять одним ребятам 2010, так что оба апдейта пойдут в массы 🙂 Update Rollup 13 for Exchange Server 2010 Service Pack 3 и Cumulative Update 12 for Exchange Server 2013

Читаем, качаем, забираем.

http://blogs.technet.com/b/exchange/archive/2016/03/15/released-march-2016-quarterly-exchange-updates.aspx

 

Autodiscover и все все все.


Очень многие в интернетах обращают свое внимание на механизм Autodiscover, и это хорошо. Еще более многие пытаются пересказать простыми понятными словами старый добрый документ Understanding the Exchange 2010 Autodiscover Service, или посматривая блоги, рисуют картинки и большие буквы, пытаясь донести до широких общественных масс ускользающую от них суть, изложенную все в том же документе. Так как таких статей довольно много, сегодня не хотелось бы на этом останавливаться подробно: я считаю, что вполне можно собраться с силами, и одолеть первоисточник за несколько попыток, не расползаясь по древу. Если вы пытались это сделать раньше, или никогда не видели ссылки выше- победите ее после окончания чтения данной статьи, для лучшего понимания ситуации. Continue reading “Autodiscover и все все все.”

Throttling, replication и DAG.


Если мы решаем проблему первоначального заполнения (seeding) ну очень большой базы данных, то уместно в этот момент вспомнить про VSS. Если вспоминать про такие вещи не хочется, то можно обойтись встроенными механизмами Exchange. Однако, как быть, если базы- большие, от полутора ТБ и их много, да и WAN канал достаточно узкий? hello_html_m1bd97e73

Встроенного throttling’а, который регулировал бы полосу репликации БД- нет. (Именно отсюда растет рекомендация Microsoft о выделенной сети для репликации DAG). Если начать копирование даже одной БД на 2 терабайта на канале с утилизацией в 20 МБ, то можно забыть о репликации на неделю, а то и больше, при условии, что процесс будет под наблюдением и, как говорится, ничего такого не случится. А как быть, если нет выделенной сети, а физический канал между сайтами только один? Ведь Exchange “съест” всю полосу, а что тогда останется для клиентов и приложений?

Можно, конечно выполнять Suspend-DatabaseCopy/Update-MailboxDatabaseCopy в рабочие/нерабочие часы, но есть решение более элегантное.

Как многие помнят, в Windows 2012 значительно улучшилась функциональность QoS, и стало возможным гибко управлять трафиком на основе портов и приложений. Эти возможности многие администраторы успешно применяют, когда работают с Hyper-V Replica, и цели имеют схожие с нашей задачей. Поскольку для репликации БД используется MS Exchange Replication Service, просто ограничим его аппетиты до 5 мб/c:

New-NetQosPolicy “ExchangeRepl” -AppPathNameMatchCondition msexchangerepl.exe -ThrottleRateActionBitsPerSecond 5000000

Буквально через пару секунд в диспетчере ресурсов сервера мы видим, что загрузка сетевого интерфейса стала такой, как мы определили политикой.

Удалить политику можно так:

Remove-NetQosPolicy “ExchangeRepl”

Поправить, разумеется- так: Set-NetQosPolicy.

Как видите, все очень несложно, можно выполнять команды в автоматическом режиме, в зависимости от ваших условий и потребностей, и не обращаться за помощью в отдел сетевых администраторов 🙂 Не забывайте о возможностях Windows Server 2012, и более старших версий, используйте их в повседневной работе.

 

Полезные ссылки

https://technet.microsoft.com/en-us/library/dd638104.aspx

https://technet.microsoft.com/en-us/library/dn904093%28v=exchg.150%29.aspx

Обновился AAD Connect


В очередной раз обновился AAD Connect.

Изменений не много, но все они, безусловно, приятные.

  1. Стало доступно авто обновление. Express Settings теперь позволяет выполнить автоматическое обновление.Screenshot_15
  2. Сокращено время синхронизации. Настройкой по умолчанию была синхронизация каждые три часа, но изменять настройки было неудобно, да и поддерживалось с оговорками. Теперь минимальный интервал- 30 минут. Значение ниже этого не поддерживается :).021816_1651_AzureADConn1
  3. Появилась поддержка Modern Authentication, и теперь можно использовать учетные  записи, где она включена.                                                                                                                                                                                                 021816_1651_AzureADConn2

4. Фильтрация OU появилась и в мастере. Ранее для такой фильтрации приходилось покопаться в настройках после установки, но теперь и это в прошлом.

021816_1651_AzureADConn3

5. Изменение метода входа для пользователей.

021816_1651_AzureADConn4

Ранее для этого изменения приходилось “щас быстренько переустановим” программу, теперь же переустановка не потребуется- появилась возможность переключиться на использование федеративного метода входа. Это частое изменение при переходе от пилота к боевому продакшену.

Что хочется сказать- хоть и не быстро, но главный якорь облака все же эволюционирует и развивается. Изменения очень приятные, можно вспомнить, каким был Dirsync в 2013 году, и сравнить, каким он стал три года спустя.

Скачиваем и устанавливаем. История изменения релизов- здесь.