Базовое гибридное развертывание Exchange 2013 от вашей IT инфраструктуры требует установки и настройки минимального количества дополнительных программ, но главная загвоздка состоит в том, что нужно строго придерживаться определенной последовательности при установке. Если пренебречь этим, то мы будем получать ошибки, которые будут сбивать нас с верного пути.
В этой заметке я постараюсь показать вам путь, который был неоднократно “отработан” мной при реализации базового гибридного развертывания в тестовой и реально работающей IT инфраструктуре.
После перехода с Forefront TMG на Squid мне не давала покоя одна проблема, разобраться с которой “с наскоку” никак не получалось. При использовании браузера Internet Explorer 11 в связке с прокси-сервером Squid наблюдались задержки при открытии веб-страниц Интернет-ресурсов, и особенно это было ощутимо на https-ресурсах. При этом те же самые веб-страницы открывались в других браузерах без подобных проблем. Так уж получилось, что изначально изучение этой проблемы пошло в неверном направлении и было ориентировано на связку IE11/HTTPS/Squid. Попытка разобрать трафик между клиентом IE11 и прокси-сервером Squid не дала ничего интересного. В ходе поиска возможной причины использовались всевозможные варианты начиная с таких, как например изменение client_persistent_connections в конфигурационном файле Squid и заканчивая такими глупостями, как например, отключение SPDY/3 и HTTP 1.1 в IE11 или даже использование режима предприятия. По пути наткнулся на довольно занятную статью об IE на “Хабре”. В общем перебор возможных вариантов решения дошёл до экспериментов с авто-конфигурацией прокси, где тоже появились интересные подробности. В частности выяснилось, что IE может давать ощутимые задержки в открытии страниц, если в файле автоконфигурации прокси (WPAD) присутствует вызов функций вида isInNet(host,,).
В силу того, что некоторое время назад Forefront Threat Management Gateway (TMG) был изъят Microsoft из прайсов, его использование для организаций не имеющих приобретённых ранее экземпляров коробочной версии этого продукта стало невозможно. В такую ситуацию в частности попали компании, которые используют ПО Microsoft в режиме аренды по корпоративным соглашениям EA. В Сети можно найти много обсуждений и споров на тему выбора альтернативы TMG как продукта в целом, так и отдельных его функциональных компонент. Если говорить о функционале прямого прокси (forward proxy), то из вариантов не требующих финансовых затрат на лицензирование можно выбрать один из самых популярных в среде ОС Linux/BSD – кэширующий прокси сервер Squid. С этой заметки я хочу начать серию заметок о том, как установить и настроить прокси сервер Squid 3.3 на ОС Ubuntu Server 14.04 LTS. На базе этой связки ключевым условием задачи будет получение функционала прокси сервера способного проводить аутентификацию пользователей в домене Active Directory с использованием протоколов Kerberos (как приоритетного) и NTLM а также авторизацию аутентифицированных пользователей через разные доменные группы безопасности (с учетом их транзитивности).
Выбор в качестве ОС Linux именно дистрибутива Ubuntu Server 14.04 LTS в моём случае обусловлен требованием установки ОС в виртуальной среде Hyper-V на базе Windows Server 2012 R2, и если проанализировать информацию о поддержке Linux в Hyper-V, то можно убедиться в том, что именно Ubuntu Server 14.04 на текущий момент имеет самые развитые (и развивающиеся) возможности интеграции с гипервизором Hyper-V последнего поколения.
Очередная заметка цикла об установке и базовой настройке SharePoint Server 2013 SP1 будет посвящена настройке общей службы SharePoint – Службы профилей пользователей (User Profile Service) и связанной с ней службы - Службы синхронизации профилей (User Profile Synchronization Service).
Служба профилей пользователей — это общая служба в SharePoint Server 2013, позволяющая создавать и администрировать профили пользователей, доступ к которым можно получить с нескольких сайтов и из нескольких ферм.
Служба синхронизации профилей в SharePoint Server 2013 позволяет администраторам службы профилей пользователей синхронизировать сведения профилей пользователей и групп, которые хранятся в хранилище профилей SharePoint Server 2013, со сведениями профилей, которые хранятся в службах каталогов и бизнес-системах предприятия.
- Используется редакция SharePoint Server 2013 Standard или Enterprise
- Существует экземпляр Службы управляемых метаданных (Managed Metadata Service).
- Существует пул приложений и развернутое на нём семейство сайтов, которое использует шаблон узла личного сайта (My Site Host template)
При попытке выполнить импорт пакетов управления Management Pack (MP) в консоли System Center 2012 R2 Operations Manager (SCOM) Console из онлайн-каталога Microsoft мы можем нарваться на ошибку, говорящую о недоступности веб-службы этого самого каталога. Такая ситуация возможна в случае, если доступ в интернет организован через прокси-сервер, как в нашем случае например через Forefront TMG 2010.
На самом деле эта проблема "с бородой" и подобная ситуация наблюдалась мной ещё со времён работы с Operations Manager 2007 R2. Однако в силу того, что практически всегда MP загружались из предварительно загруженных на локальный диск файлов с таким же предварительным изучением сопроводительной документации к MP, этой ошибке я всегда как-то не уделял внимания. Но вот настал тот момент, когда очень захотелось посмотреть доступное содержимое этого каталога через консоль SCOM.
Продолжая тему развёртывания Service Pack 1 (SP1) для линейки продуктов Microsoft System Center (SC) 2012, в этой заметке опишу опыт обновления Configuration Manager (SCCM).
Обновление инфраструктуры SCCM до уровня SP1 методом In-Place Upgrade будем выполнять в следующей последовательности:
Обновляем сервер центрального сайта - Central Administration Site (CAS)
Обновляем сервера первичных сайтов Primary Site
Обновляем сервера вторичных сайтов Secondary Site
Обновляем клиентов SCCM
В данный момент все сервера инфраструктуры SCCM у нас работают на базе Windows Server 2008 R2 и SQL Server 2008 R2.
Несмотря на недавние новости - Forefront FPE/FPSP/TMG 2010 – Закат жизненного цикла… команда разработчиков Forefront Threat Management Gateway (TMG) 2010 продолжает бодрствовать. На прошлой неделе стало доступно для загрузки обновление KB2735208 - Rollup 3 for Forefront TMG 2010 Service Pack 2. Обновление имеет очень скромный размер (около 12MB) и состоит исключительно их хотфиксов:
FIX: PPTP connections through Forefront Threat Management Gateway (TMG) 2010 may be unsuccessful when internal clients try to access a VPN server on the external network
FIX: A non-web-proxy client in a Forefront Threat Management Gateway (TMG) 2010 environment cannot open certain load-balanced websites when TMG HTTPS inspection is enabled
FIX: You cannot log on when FQDN is used and Authentication delegation is set to "Kerberos constrained delegation" in a Forefront Threat Management Gateway 2010 environment
FIX: A closed connection to a domain controller is never reestablished when Authentication delegation is set to "Kerberos constrained delegation" in a Forefront Threat Management Gateway 2010 environment
FIX: Unexpected authentication prompts while you use an OWA website that is published by using Forefront Threat Management Gateway (TMG) 2010 when RSA authentication and FBA are used
FIX: A "Host Not Found (11001)" error message occurs when an SSL site is accessed by using a downstream Forefront Threat Management Gateway 2010 server that has HTTPS Inspection enabled
После установки номер билда Forefront TMG 2010 повышается до 7.0.9193.575. Несмотря на то, что в описании к обновлению сказано, что в процессе установки перезагрузка серверов TMG не требуется, один из серверов имеющегося у нас массива всё-таки потребовал перезагрузки.
Пару дней назад наткнулся на не очень радостную новость - Important Changes to Forefront Product Roadmaps. Microsoft анонсировали об окончании развития основной массы продуктов линейки Forefront:
Forefront Protection 2010 for Exchange Server (FPE)
Forefront Protection 2010 for SharePoint (FPSP)
Forefront Security for Office Communications Server (FSOCS)
Forefront Threat Management Gateway 2010 (TMG)
Forefront Threat Management Gateway Web Protection Services (TMG WPS)
При этом, как я понял, уже начиная с 01.12.2012 будут прекращены продажи этих продуктов. Для продукта Forefront TMG 2010, в частности, основная фаза поддержки (mainstream support) будет прекращена 14.04.2015, а расширенная фаза поддержки (extended support) будет прекращена 14.04.2020. В любом случае появление такого анонса свидетельствует о том, что ждать дальнейшего развития функционала для этого продукта смысла нет. Тот же источник сообщает о том, что продукты Forefront UAG 2010 и Forefront Identity Manager 2010 R2 продолжат своё развитие. Возможно в некоторых сценариях и получится заменить функционал TMG на UAG, но в некоторых, как например с организацией proxy, как мне думается, это может стать проблемой, так как UAG по сути своей больше заточен под публикацию внутренних ресурсов для внешних пользователей. Возможно теперь некоторые товарищи вспомнят про SQUID :)
При использовании Endpoint Protection (SCEP) из состава System Center 2012 Configuration Manager (SCCM) на терминальных серверах можно заметить то, что в конфигурации по-умолчанию SCEP устроен так, что в каждой пользовательской сессии запускается процесс msseces.exe (Microsoft Security Client User Interface), отображающий в частности иконку в области уведомлений (трее).
Помимо того, что происходит нерациональное потребление системных ресурсов есть ещё и проблема того, что пользователям доступен графический интерфейс антивируса, в частности такие волшебные функции как запуск сканирования по требованию.
В текущей реализации SCEP мне не удалось найти возможности отключения пользовательского интерфейса программы через настройки политик клиента SCCM или политик Endpoint Protection. Но можно попробовать воспользоваться методом отключения автозагрузки выше обозначенного программного модуля, например через системную утилиту msconfig
Эта процедура по сути отключает использование параметра реестра MSC в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
После перезагрузки сервера процесс msseces.exe больше не будет запускаться в каждой пользовательской сессии и соответственно исчезнет значок SCEP из области уведомлений. Если же администратору сервера потребуется получить доступ к UI, то можно воспользоваться ручным запуском исполняемого файла %ProgramFiles%Microsoft Security Clientmsseces.exe
Эксперименты с EICAR показали что функциональность самого основного процесса MsMpEng.exe не страдает после отключения msseces.exe из автозагрузки.
Настройку Endpoint Protection (SCEP) в System Center 2012 Configuration Manager (SCCM) начинаем с поднятия роли Endpoint Protection Point (EPP) на сервере сайта верхнего уровня иерархии SCCM. В нашем случае таким сервером является сервер Central Administration site (CAS). После включения роли EPP на сайте верхнего уровня функциональность SCEP станет доступна на всех сайтах нижнего уровня иерархии.