• Не устанавливайте Windows Management Framework 3.0 (KB2506146 и KB2506143) на сервера Exchange 2007/2010

    imageИсходя из заметки, опубликованной 14 Декабря 2012 в блоге Exchange Team Blog Windows Management Framework 3.0 on Exchange 2007 and Exchange 2010 крайне не рекомендуется устанавливать на продуктивные сервера Exchange Server 2007/2010 свежие обновления Windows Management Framework 3.0:

      В составе указанных обновлений присутствует новая версия PowerShell 3.0, которая на данный момент не поддерживается Exchange Server 2007/2010. Установка указанных обновлений может привести к ряду проблем, начиная с невозможности установки Rollup, заканчивая невозможностью работы консоли Exchange Management Shell. Рекомендуется также не устанавливать данные обновления и на рабочих станциях , где развернуты компоненты управления Exchange Management Tools.
      Обновления распространяются через Windows Update и поэтому у любителей автоаппрува могут возникнуть определённые сложности.
      По некоторым данным, возможность установки этих обновлений на сервера с Exchange Server 2010 появиться в начале 2013 года вместе с выходом SP3 для Exchange 2010, однако на данный момент нет никакой информации о возможной поддержке со стороны Exchange 2007.
  • Exchange 2010 - Делегируем управление контактами

    imageВозникла потребность делегировать права управления почтовыми Контактами Exchange Server 2010 (SP2) отдельной группе пользователей. Процесс предоставления такого уровня прав подразумевает два этапа:

    1) Делегирование прав на создание/изменение/удаление объектов типа Контакт в определённой организационной единице (OU) Active Directory (AD) для определённой группы пользователей.

    2) Делегирование прав на работу с командлетами Exchange Management Shell (EMS), отвечающими за управление почтовыми контактами.

    Читать далее...

  • Антивирус для Windows Server - настраиваем список исключений. Обновлено 11.08.2016

    imageВ ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать.  Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию».

    Читать далее...

  • Exchange 2010 - Ищем почтовые ящики по PrimarySmtpAddress

    В ходе автоматизированных операций массового создания почтовых ящиков может возникнуть ситуация когда Exchange изменяет значение алиаса почтового ящика добавляя в конце цифровое значение. PrimarySmtpAddress при  этом получается например V.Ivanov2@holding.com вместо желаемого V.Ivanov@holding.com. Таким образом Exchange разрешает конфликты между создаваемым ящиком и уже существующим с таким же алиасом.

    Для того чтобы отловить такие ящики можно воспользоваться нехитрым запросом

    Get-Mailbox -ResultSize Unlimited | where {($_.PrimarySmtpAddress -match ".*[0-9]@.*") -AND ($_.Database -like "KOM-AD01-*")}  | Select Name,PrimarySmtpAddress,Database

     

  • Exchange 2010– Делегирование Send As

    imageПри необходимости делегирования прав на управление почтовыми ящиками в Exchange 2010 можно столкнуться с ситуацией, когда при создании группы ролей путём копирования из преднастроенной группы "Recipient Management" будет создана группа ролей, которая не дает права предоставления разрешения отправки от  имени (Send As). Чтобы добавить это право к созданной группе ролей нужно добавить роль "Active Directory Permissions". Для уже существующей группы ролей это можно выполнить с помощью PS команды:

    New-ManagementRoleAssignment -SecurityGroup "My Recipient Management" -Role "Active Directory Permissions"


    Если же группа ролей которая будет кастомизирована ещё не создана то вот пример для создания группы путём копирования из преднастроенной с добавлением соответствующей роли:

    $RGbyDefault = Get-RoleGroup "Recipient Management"

    New-RoleGroup "My Recipient Management" -Roles $RGbyDefault.roles

    Set-RoleGroup "My Recipient Management" -ManagedBy $RGbyDefault.ManagedBy

    New-ManagementRoleAssignment -SecurityGroup "My Recipient Management" -Role "Active Directory Permissions"


    Так же добавление роли к группе ролей можно выполнить через веб-интерфейс Exchange ECP

    image

  • Exchange 2010 - Использование Shared Mailbox в Outlook 2010

    Shared Mailbox in Outlook 2010Технология общих почтовых ящиков (Shared mailboxes) в Exchange далеко не нова и, насколько я понимаю, на сегодняшний день считается даже морально устаревшей. Ведь не зря в Exchange 2010 в пользовательский интерфейс консоли управления до сих пор не включена возможность даже создания такого рода ящиков и сделать это можно только с помощью PowerShell. Не смотря на то, что в статье TechNet Library - Understanding Mailbox - Understanding Recipients сказано, что вместо общих ящиков рекомендуется использовать ресурсные ящики (Resource mailboxes) или механизмы совместной работы на SharePoint Server, иногда могут встретиться ситуации, в которых использование общих почтовых ящиков является более удобным вариантом.

    Рассмотрим основные моменты управления общими почтовыми ящиками и ряд проблем, с которыми можно столкнуться при их использовании на практике. Сразу отмечу, что речь пойдёт об использовании общих почтовых ящиков на связке Exchange 2010 SP2 и Outlook 2010 SP1. Читать далее...

  • FIX: Не закрывается консоль Exchange MC после установки IE9

    imageПосле установки Internet Explorer 9, при закрытии консоли Exchange Management Console может появляться ошибка с сообщением "You must close all dialog boxes before you can close Exchange Management Console".

    В моей ситуации эта ошибка воспроизводится только в том случае, если в процессе использования консоли открывается узел Organization Configuration > Mailbox > закладка Database Management

    image

    Недавно в базе знаний Microsoft появилась статья KB2624899 - FIX: You cannot close the EMC window on a computer that has Internet Explorer 9 installed в которой описывается данная проблема и есть ссылка на скачивание пакета исправления для решения этой проблемы. Дополнительную информацию об этой проблеме можно найти в блоге команды разработчиков Exchange в заметке A fix for the interoperability issues between Exchange 2007 and 2010 EMC and IE9 is now available

    В данный момент прямые ссылки на скачивание обновления KB2624899 можно заказать по ссылке http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2624899

    Предварительными требованием для установки обновления являются:

    • Наличие Internet Explorer 9, установленного на одну из ОС:
      - Windows Vista Service Pack 2 (SP2)
      - Windows Server 2008 Service Pack 2 (SP2)
      - Windows 7
      - Windows 7 Service Pack 1 (SP1)
      - Windows Server 2008 R2
      - Windows Server 2008 R2 Service Pack 1 (SP1)
    • Наличие установленного Октябрьского кумулятивного обновления для IE9
      MS11-081- Cumulative Security Update for Internet Explorer- October 11, 2011
      Это обновление доступно через WSUS.
      Обратите внимание на то, что в блоге команды разработчиков есть рекомендация дождаться следующего кумулятивного обновления для IE9 и обещают, что данное обновление будет включено туда.
  • Запрос авторизации Outlook при переключении БД Exchange или перезагрузке ноды NLB

    imageБыло замечено, что при выполнении процедуры переключения активной копии БД Exchange Server 2010 в группе DAG с одного сервера на другой (Database Switchover), а так же при проверке механизма аварийного переключения (Database Failover) на клиентах Outlook 2007/2010 происходит кратковременный разрыв соединения с сервером Exchange, сопровождаемый появлением окна авторизации для ввода имени пользователя и пароля. При этом, если без ввода учетных данных просто перезапустить Outlook, - соединение успешно восстанавливается. После проведения изыскательных мероприятий выяснилось то, что клиент Outlook в момент кратковременной потери MAPI (RPC) соединения c активным экземпляром БД Exchange пытается использовать альтернативный метод доступа – RPC over HTTP, то есть пытается использовать встроенный механизм мобильного клиента Outlook Anywhere. И в нашем случае это происходит из-за того, что на стороне серверов клиентского доступа компонента Outlook Anywhere настроена на использование Basic Authentication.

    Одним из методов решения данной проблемы может быть отключение использования встроенного механизма Outlook Anywhere в клиентах Outlook, включённого по умолчанию. Для этого в Outlook откроем свойства учетной записи > «Другие настройки» > перейдём на закладку «Подключение» и отключим флажок «Подключение к Microsoft Exchange по протоколу HTTP»:

    image

    Если стоит задача отключить данный механизм массово на всех клиентах, то можно это выполнить, например, с помощью доменных групповых политик – GPO. При попытке использовать ADMX шаблоны групповых политик в домене Windows Server 2008/2008 R2 имеющихся в комплекте с MS Office 2007/2010 вы можете убедиться в том, что они не имеют параметров для настройки мобильного клиента Outlook.
    В базе знаний Microsoft можно найти две статьи описывающие проблему невозможности настройки параметров мобильного клиента Outlook c помощью стандартных шаблонов GPO:

    В этих статьях нам доступны для загрузки шаблоны GPO в уже устаревшем формате – *.adm. Мы можем воспользоваться средством ADMX Migrator для того чтобы сконвертировать полученные ADM файлы в формат ADMX.

    После конвертации из каждого файла *.adm мы получим по два файла – *.admx (шаблон GPO) и *.adml (файл языкового описания для шаблона GPO).
    Зададим полученным файлам соответствующие имена:

    • Для Outlook 2007: outlk12_961112.admx и outlk12_961112.adml
    • Для Outlook 2010: outlk14_2426686.admx и outlk14_2426686.adml

    Для того чтобы в консоли управления групповыми политиками наши новые шаблоны смотрелись более наглядно, чем в том виде в котором они представлены по умолчанию, внесём некоторые корректировки в языковые файлы:

    В файле outlk12_961112.adml строку, описывающую отображаемое имя раздела GPO:

    <string id="L_MicrosoftOfficeOutlook12-Article961112">Article 961112 Policy Settings</string>

    заменим на строку:

    <string id="L_MicrosoftOfficeOutlook12-Article961112">Microsoft Office Outlook 2007 KB961112</string>

    В файле outlk14_2426686.adml строку, описывающую отображаемое имя раздела GPO:

    <string id="L_MicrosoftOfficeOutlook">Microsoft Outlook 2010</string>

    заменим на строку:

    <string id="L_MicrosoftOfficeOutlook">Microsoft Outlook 2010 KB2426686</string>

    Скопируем полученные в результате шаблоны outlk12_961112.admx и outlk14_2426686.admx в каталог центрального доменного хранилища шаблонов GPO - \domain.com\SYSVOL\domain.com\Policies\PolicyDefinitions
    Языковые файлы outlk12_961112.adml и outlk14_2426686.adml скопируем в это же размещение в подкаталог en-us.

    После этого, при работе с оснасткой редактирования доменных групповых политик Group Policy Management Editor (gpmc.msc) у нас появится возможность задавать соответствующие параметры:

    image

    Для того чтобы полностью отключить попытки Outlook использовать протокол HTTP, параметр RPC/HTTP Connection Flags должен быть включён и его значение должно быть установлено в No Flags:

    image

    После вступления в силу данного параметра GPO, для всех клиентских профилей будет добавлено соответствующее значение в куст реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\RPC (для Outlook 2007) или HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Outlook\RPC (для Outlook 2010):

    image

    …а в свойствах учетной записи Outlook параметры настройки мобильного клиента Outlook станут недоступны для изменений:

    image

    В развитие темы запросов авторизации Outlook можно также отметить то, что из практики замечено то, что в некоторых случаях перезагрузка одной из нод NLB кластера, обслуживающего массив Client Access Array, так же может порождать подобную проблему. Поэтому в случае если в рабочее время нам потребуется выполнить обслуживание серверов Client Access входящих в NLB кластер с необходимостью их перезагрузки, - перед выполнением перезагрузки в оснастке Network Load Balancing Manager соответствующий сервер желательно перевести в режим DRAINSTOP

    image

    При этом после перезагрузки нода NLB будет автоматически включаться в работу кластера если в оснастке NLB Manager в свойствах этого хоста значение параметра Default state установлено в Starded:

    image

    Дополнительная информация:

    Обновление 20.02.2018

    По просьбам трудящихся, у которых не получается самостоятельно сконвертировать ADM шаблоны, добавляю ссылку на готовые файлы: KB961112 & KB2426686 ADMX

  • DPM 2010 - Резервное копирование БД Exchange Server 2010 в группе DAG

    imageРассмотрим использование DPM 2010 в качестве системы резервного копирования баз данных роли Mailbox Exchange Server 2010 на конкретном примере. В качестве исходных данных будем считать, что мы имеем два сервера Exchange Server 2010 с ролью Mailbox объединённых в группу Database Availability Group (DAG), на которых расположено шесть баз данных почтовых ящиков. Параллельно поставим перед собой задачу распределить нагрузку по двум серверам Mailbox. Читать далее...

  • Outlook 2007 – процедура автонастройки профилей возвращает userPrincipalName вместо mail

    image

    Не так давно было замечено, что клиенты MS Outlook 2007 в процессе создания нового профиля подключения к серверу Exchange на этапе автодискаверинга вместо адреса электронной почты (атрибут mail) пользователя возвращают значение атрибута userPrincipalName (UPN) этого пользователя:

    image

    с такими параметрами процедура авто-настройки профиля завершается с ошибкой. После разбора полётов выяснилось, что виновником такого поведения Outlook 2007 стало недавно выпущенное и развернутое через WSUS обновление KB2412171

    image

    О других “косяках” этого обновления можно почитать в “чистосердечном признании” в официальном блоге - The Microsoft Office Blog - Issues with the recent update for Outlook 2007

    Если произвести удаление этого обновления с клиентского ПК, то процедура авто-настройки начинает работать штатно:

    image

    Соответственно, для решения данной проблемы можно пойти двумя путями:

    1) Произвести удаление данного обновления с пользовательских ПК;

    2) Дожидаться выхода нового обновления Office, устраняющего эту проблему, а пока оно не вышло, в случае необходимости подключения нового профиля Outlook в поле “Адрес электронной почты” заменять автоматически подставленное значение UPN на mail и оставлять появившиеся поля для ввода учетных данных пустыми (в таком случае процедура авто-настройки будет завершаться без ошибки).