Your meeting was found to be out of date and has been automatically updated


Выполнял тут задание немецкого генштаба: надо было на майских праздниках неспешно съехать с десятки на Exchange 2016. Ехали бы и дальше, но стародавнее правило “через один” нам тут не дало влиться в ряды модных парней и поставить сразу 2019. Заказчик не особо печалился и все прошло гладко. Единственное, что вылезло, так это пара проблем с делегатами и сабж с календарями. Календари, как понятно решаются просто удалением проблемного элемента, который рассылает пользователю в зависимости от его кармы или пяток уведомлений в час или сразу сотню. Помолясь, можно элемент удалить и восстановить статус-кво.

Другая проблема была куда более интересная.

У одного пользователя не запускается Аутлук на терминальном сервере. Говорит, this set of folders cannot be opened.  Пробовали запретить MAPI через HTTP, отключить add on’ы, пересоздать профиль, выполнить запуск с resetnavpane и safe, удалить в реестре Windows Mail и Outlook из HKCU – ничерта. Политики, как рекомендуют граждане вот тут, тоже не помогли.

Рекомендую еще ознакомиться со ссылкой на технет внизу статьи, где с подобным оказывается сталкивались и не раз. Когда увидели что и OWA на терминальнике не работает, захотелось убежать с воем.

Как решили проблему? После того, как были перепробованы все способы диагностики и лечения, решили использовать последний. Передвинули ящик в другую базу (я напомню, свежий сервер, новые базы,  DAG и все такое, но поди ж ты) и проблема разрешилась.

EHLO всё, да здравствует EHLO!


Последнее китайское предупреждение делали еще три недели назад, а сейчас всё.

Блог продуктовой группы официально переехал на новую платформу, поэтому всем нужно радоваться и обновить RSS.

Кто не спрятался- новостей больше не прочитает.

 

 

Еще немного про автообнаружение


Наткнулся тут на интересную статью в базе кб.

Она интересна тем, что делает следующее: выключает новомодный мастер и дает старый, привычный уже десятилетия интерфейс.  А чем плох этот интерфейс, спросит читатель? Я сто раз так делал, и ничего. А плох он тем, что при создании учетной записи Outlook предлагает пользователю выбор- зарегистрировать только приложение  (This app only) или по умолчанию зарегистровать  всю машину целиком в гибридном облаке Ажура. Любой пользователь по умолчанию может легко выполнить такую регистрацию не задумываясь (а чо такова), а вот это уже может привести к очень нежелательным последствиям, например Вам не нужно привязывать аккаунт пользователя к системе и О365 (официально эта штука называется connected accounts), а при регистрации случится именно это, да еще и устройство пользователя появится в  Azure AD, готовым для управления и не только. Почему это плохо, поговорим как-нибудь в другой раз, сегодня только очертим проблему.

Страшная клятва


Надо было тут для тестов создать две группы по-быстрому, ну и дернул меня черт создать их из графики. Кого назначить владельцем- себя, конечно, ведь они нужны на пять минут и сразу удалим их.
Проверив изменения, я полез группы удалять. Не тут то было, владельцем я назначил свой пользовательский ящик, а не администратора, который вошел на портал. Администратор теперь с группой сделать ничего не мог.

 

 

 

 

 

 

 

Для выбора владельцев доступны только граждане с ящиками, а администратору моему ящика не положено. Проклиная графический интерфейс я открыл свернутую консоль, где проводил тесты и ввел команду:

Set-DistributionGroup “test-DL” -ManagedBy “DR-Adm@razbornov.ru” -BypassSecurityGroupManagerCheck

Статус-кво был восстановлен, но осадочек, как говорится остался. Поэтому я  произнес торжественную клятву больше в графику не ходить, и если и ходить, параметры там не менять, пусть другие страдают а мы по старинке будем в страшном синем окошке работать. Не ходил бы в графику гулять, а так бы и работал в консоли, и глядишь и заметки с болью и не было бы.

О том, что в других окошках выбора графика  вообще ищет и отображает по DN (!)  искомые объекты, промолчу. Такие вот сегодня прелести интерфейса. Помним, скорбим.

 

Трудности и опасности


Которые подстерегают одинокий Exchange сервер, могут быть банальны, и сто раз пройдены всеми.

 

 

 

 

 

Смотрим внимательно на картинку, нет гарантий что выиграем обязательно. Предыстория проста- одинокий и всеми забытый гибридный сервер на земле перестал отправлять почту для корпоративной системы. Саппорт системы находился в солнечном Бангалоре и отвечал, как водится неторопливо, на наш запрос “а что за айпишник-то у системы, парни?”, парни ответили через неделю. Еще неделю они соображали что ответить, когда зоркий глаз с нашей стороны им указал через 5 минут что айпишник, который они выдали был контроллера домена, и касательства к делу не имел. Получив через три недели необходимую информацию, мы начали изучать проблему, а она была просто замечательной, доложу я вам!
Continue reading “Трудности и опасности”

Немножко документов


Подкинули тут годных ссылок по строительству эксченджей в ажурах. Теперь и PTR кстати дают там же, раньше такого счастья не было. Хотя если честно, кто сейчас по PTR-то спам режет, интересно, остались еще такие интересно.

По строительству выяснил что стали блокировать 25 порт, и блокировки сымут, если хорошо попросите. Раньше такого не было!

Starting on November 15, 2017, outbound email messages that are sent directly to external domains (such as outlook.com and gmail.com) from a virtual machine (VM) are made available only to certain subscription types in Microsoft Azure. Outbound SMTP connections that use TCP port 25 were blocked. (Port 25 is primarily used for unauthenticated email delivery.)

https://docs.microsoft.com/en-us/azure/virtual-network/troubleshoot-outbound-smtp-connectivity

https://docs.microsoft.com/en-us/azure/virtual-network/create-ptr-for-smtp-service

Unable to retrieve group Managed Service Account information. The system cannot find the file specified


Забавная штука. gMSA, оказывается имеют в запасе пару трюков, умеющих удивлять.

 

 

 

 

Вот видим такую ошибку при использовании gMSA. О чем нам она скажет? О том, что сервис не может найти gMSA и зацепиться за неё. Варианта, почему такое может произойти в практике было замечено два.

Первый: учетка gMSA передвинута суровой рукой администратора в специально отведенный OU для сервисных учеток. Установщик же мечтает увидеть ее в контейнере по умолчанию и дальше последнего смотреть отказывается. Шах и мат. Можно пойти на сделку с совестью, и перетащить созданную учетку в контейнер по умолчанию, потом вернуть куда положено.

Второй вариант: лес был неправильно подготовлен, и нужный контейнер не создался вовсе. Такое тоже, как выяснилось бывает. Вариантов опять два, или создаем контейнер, зажмурившись, или не создаем и отказываемся от использования gMSA вовсе. Не, ну а чо они?

Как-то так. Берегите себя.