Virtual Study

28 czerwca 2017

Czerwcowe poprawki do Exchange

Ostatniej nocy Microsoft oficjalnie wydał nowe paczki poprawek do Exchange 2016 i 2013:


Niestety, dla dla nowych pakietów nie została zweryfikowana kompatybilność z .NEt Framework 4.7, tak że nadal w mocy pozostaje ostrzeżenie przed instalacją tej wersji. Pisałem o tym niedawno i jak widać zespół Exchange nie zdążył jeszcze zakończyć testów weryfikacyjnych.
Co zatem znajdziemy w aktualizacji? Co prawda paczka CU 17 dla Exchange 2013 zawiera głównie hotfixy do zlokalizowanych ostatnio problemów, to w paczce CU6 dla Exchange 2016 zespół zawarł dwa ciekawe rozszerzenia, z których pierwsz od pewnego czasu było dostępne w wersji Exchange Online - Sent Items Behavior Control oraz Original Folder Item Recovery. Zespół produktowy kończy również prace dopasowujące serwery Exchange do pełnej obsługi TLS 1.2, który formalnie ma w najnowszej paczce poprawek rozszerzone wsparcie, jednak koledzy z Redmond nie zachęcają na razie do wyłączenia starszych wersji TLS 1.0 i 1.1. Jeszcze trochę czasu potrzeba, zwłaszcza w kontekście nowej wersji Frameworka.
Oczywiście należy pamiętać, zwłaszcza w środowiskach hybrydowych o aktualizacji Exchange, co ważniejsze również należy aktualizować Framework, o czym pisałem trzy miesiące temu - przypomnę, że mając wersję starszą niż CU15 musimy zainstalować ją w pierwszej kolejności, gdyż nie są kompatybilne z .NetFramework 4.6.2, wymaganym do instalacji nowszych paczek CU.
Tym razem Microsoft nie wydał już aktualizacji do starszych wersji Exchange - grono potencjalnych testerów skurczyło się drastycznie.
Więcej informacji można znaleźć na blogu zespołu produktowego.

24 czerwca 2017

Dziwny problem z Receive Connectorem - MSExchangeTransport error 1040

Kilka dni temu poproszono mnie o zdiagnozowanie problemu z pojawiającymi się na Exchange 2013 błędami transportowymi 1040 dotyczącymi kilku receive connectorów na różnych serwerach.



















Weryfikacji logów i kolejek transporotwych, okazało się że problem (a właściwie fałszywy alarm) wywołuje wprowadzony w CU9 nowy agent transportowy, mający usprawnić proces odpytywania skrzynek testowych (HealthMailbox), tworzonych dla wszystkich baz danych w ramach Managed Availability.










Agent o nazwie System Probe Drop SMTP Agent wymusza dostarczanie maili testowych do Health Mailboxów z pominięciem kolejek transportowych, ale czyni to nieco "brutalnie", kasując odbiorców maila, co powoduje powstawanie w tracking logach zdarzeń typu FAIL.












Momentami, gdy takich zdarzeń jest dużo, jest to wykrywane przez system i zgłaszane jako błąd niedostępności kolejki. Dopóki jednak zdarzenia FAIL dotyczą tylko maili zgłaszanych przez agenta dla poszczególnych skrzynek testowych, nie ma się czym martwić.
Chociaż agent pojawił się w CU9, a za chwilę zostanie wydany CU17, to błędy 1040 nadal się zdarzają. Co ciekawe nie zauważyłem ich na serwerach Exchange 2016, na których również ten agent jest zaimplementowany.
Informacje o takich problemach można znaleźć na blogach wielu specjalistów, np. tutaj i tutaj.

14 czerwca 2017

.Net Framework = kłopoty

Kolejny raz zespół produktowy .Net Framework odtrąbił sukces związany z wprowadzeniem nowej wersji .Net Framework 4.7. Jednak jak pisałem już kilkukrotnie zespoły produktowe Exchange i Skype for Business, nie od razu obsługują najnowsze wersje Frameworka. Chociaż kolejna wersja Cumulative Update jeszcze nie jest gotowa, to nie jest pewne, że będzie ona zapewniała zgodność z tą wersją - dopiero ostatnie poprawki wspierają .Net Framework 4.6.2, a doświadczenie uczy, że przedwczesna aktualizacja .Net Framework (zwłaszcza na serwerach Exchange) może spowodować duże problemy dla administratorów. Zespół produktowy Exchange zaleca tymczasowe zablokowanie instalacji wersji 4.7 oraz przedstawia procedurę naprawczą, co zrobić, gdy już taką instalację popełniliśmy.
Generalnie powinniśmy na wszelki wypadek dodać klucz typu DWORD do rejestru:
HKLM:\Software\Microsoft\NET Framework Setup\NDP\WU\BlockNetFramework47 = 1
Jeżeli nie jesteśmy pewni, czy przypadkiem nie dokonaliśmy aktualizacji Frameworka, możemy użyć skryptu get-dotnetversion.ps1 Michela de Rooij, żeby sprawdzić jaką wersję mamy zainstalowaną. Jak widać na jednym z serwerów dodałem już powyższy klucz do rejestru.

Przy okazji warto zauważyć, że coraz bardziej krytyczne staje się czuwanie nad aktualizacjami Exchange - Microsoft publikuje tylko dwie ostatnie wersje, a patrząc na tablicę zgodności Exchange z wersjami .NEt Frameworka, może okazać się, że aktualizacja starszych wersji Exchange może okazać się bardzo trudna, ze względu na brak źródeł - żeby zainstalować najnowszy CU musimy zaktualizować Frameworka do wersji 4.6.2 (weryfikacja na poziomie setupu), który z kolei jest niekompatybilny np. z Exchange 2013 CU13 i starszymi.

13 czerwca 2017

Office Servers Summit 2017

Już w najbliższy poniedziałek - 19 czerwca organizuję konferencję Ofice Server Summit 2017. Podobnie jak w zeszłym roku konferencja dotyczy ciekawych i nowych funkcjonalności w produktach serwerowych rodziny Office 2016. Zmian jest tak dużo, że organizowane w tym roku konferencje nawet nie wymagają przy zgłoszeniach prelegentów precyzyjnych tematów sesji, bo po kilku miesiącach funkcjonalności publikowane w Office 365 zmieniają się znacząco i trudno przewidzieć, co będzie "na topie" za kilka miesięcy. Ze względu na ilość pomysłów konferencja będzie odbywała się w dwóch równoległych ścieżkach. Więcej informacji na stronie konferencji:
Office Servers Summit 2017


Termin konferencji może nie jest najszczęśliwszy - dosłownie 2-3 tygodnie temu Microsoft ogłosił spotkanie z cyklu Build Tour w Warszawie w tym samym dniu, ale czasu do wakacji mało więc nie bardzo można było przełożyć. Udało się namówić kilku Microsoft MVP oraz znanych specjalistów wdrażających technologie Office na co dzień do podzielenia się doświadczeniami, więc na pewno słuchacze nie będą zawiedzeni.

29 maja 2017

Skype for Business CU5

Chociaż minęło już kilka dni od daty wydania, to warto wspomnieć o wydanym w maju kolejnym pakiecie Cumulative Update - tym razem CU5, który można pobrać ze strony Microsoft.
Chyba najbardziej oczekiwaną zmianą miało być wsparcie dla Windows Server 2016, jednak zmiana ta finalnie nie pojawiła się w tej aktualizacji. Szczegółowa lista została wyszczególniona w artykule o poprawkach i zmianach funkcjonalnych w majowej aktualizacji. Mniej formalna informacja o publikacji pakietu CU5 pojawiła się na portalu TechCommunity. Tam też można znaleźć informację, wyjaśniającą, że na wsparcie dla Windows Server 2016 trzeba jeszcze trochę poczekać. Poprawiona została za to obsługa Location Based Routing, tak że oficjalnie dostępne jest wsparcie dla urządzeń mobilnych (nieśmiało wprowadzane od CU4). Usunięto również kilka problemów z usługami głosowymi, migracją Meeting Roomu do chmury oraz parowaniem pool. Ciekawą funkcjonalnością jest specjalna aplikacja Skype Meeting App, do udziału w spotkaniach dla klientów zewnętrznych, która może zastąpić klienta webowego. Ciekawy artykuł o nowym kliencie napisał Tom Arbuthnot.

23 maja 2017

Nowe metody zabezpieczenia poczty - DANE i STS

Jakiś czas temu pisałem na blogu o metodach zabezpieczania poczty, takich jak DKIM oraz DMARC. Tylko część firm z nich korzysta, ale ponieważ spamerzy i różnego rodzaju włamywacze wymyślają nowe rodzaje ataków i metody podszycia się pod zaprzyjaźnionego nadawcę, więc dostawcy usług pocztowych próbują wprowadzić nowe metody zabezpieczeń. Tym razem chciałem przyjrzeć się dwóm takim pomysłom - SMTP STS (Strict Transport Security) oraz DANE (The DNS-based Authentication of Named Entities).
Obie te metody próbują zaadresować jedną z ułomności SMTP, związaną z szyfrowaniem transmisji poprzez TLS. W trakcie zestawiania sesji SMTP serwery mogą włączyć szyfrowanie TLS, poprzez użycie komendy STARTTLS.

Niestety w żaden sposób nie jest weryfikowana tożsamość serwera - jeżeli ktoś podmieni w DNS adres IP serwera i przedstawi się on odpowiednią nazwą, to sesja TLS będzie zestawiona i taki fałszywy serwer może następnie zestawić w analogiczny sposób połączenie z naszym rzeczywistym serwerem, przeglądając wszystkie wiadomości, pomimo tego, że transmisja jest szyfrowana (tzw. atak man in the middle).
Jak temu zapobiec? DKIM (przypomnę, że jest to metoda na podpisywanie maili wychodzących certyfikatem, którego klucz publiczny publikowany jest w rekordzie tekstowym naszej domeny) wykorzystuje DNS do potwierdzenia poprawności używanego przez nasz serwer certyfikatu. Podobnie działa DANE - to metoda na weryfikację poprawności certyfikatu, użytego do zaszyfrowania połączenia TLS poprzez publikację w DNS. Metoda ta zadziała poprawnie zarówno dla certyfikatów z urzędów komercyjnych, naszych wewnętrznych urzędów CA jak i dla certyfikatów typu SelfSign. Niestety w tej metodzie jest jeden problem - chociaż DANE jest już opisana w dokumentach RFC, to wymaga nowego typu rekordu DNS - TLSA (Transport Layer Security Authentication). Jeżeli spojrzymy na platformę Windows, to jest on dostępny tylko w Windows Server 2016. Ponadto strefa DNS musi być zabezpieczona (DNSSEC). Mając certyfikat, który chcemy wykorzystać do zabezpieczenia poprzez DANE, musimy wygenerować odpowiedni rekord TLSA, zawierający hash naszego certyfikatu. Możemy to zrobić z narzędzia powiązanego z naszym DNS:

ldns-dane -4 create pepug.org 25 _25._tcp.pepug.org. 3600 IN TLSA 3 0 1 f32249d9c9bd8fa245dafc722c55f5087c3b2b8c236d194ebc912f30be20af5

Możemy również użyć narzędzia webowego, żeby sobi pomóc przy składni - https://www.huque.com/bin/gen_tlsa Pojawiło się również sporo stron, które pozwalają nam zweryfikować czy nasz rekord jest poprawnie opublikowany - np. https://check.sidnlabs.nl/dane/ lub http://tlsa.info. Często popełniane przy konfiguracji błędy można znaleźć na tej stronie - https://dane.sys4.de/common_mistakes. Polecam również prezentację na temat DANE - https://www.menandmice.com/resources/webinar-dnssec-and-dane-e-mail-security/.
Exchange nie potrafi korzystać z takiego mechanizmu (choć są dostępne narzędzia, które na to pozwalają - np. CryptoFilter for Exchange), nie ma go jeszcze również większość bramek antyspamowych, ale duzi dostawcy usług pocztowych już wprowadzają tego typu mechanizmy. Oczywiście mechanizm DANE, lub jak niektórzy piszą TLSA, może być również dodatkową weryfikacją serwera webowego zabezpieczonego TLS. Co ciekawe, na rynkku niemiecki ponad połowa dostawców usług pocztowych używa już DANE, a w Danii jest to wymóg do komunikacji dla agencji rządowych. W Polsce na razie jeszcze nie jest on tak popularny.
Inną metodą na wyeliminowanie zagrożeń przy TLS może być SMTP STS (Strict Transport Security), który jest jak na razie na etapie draftu, ale wszystko wskazuje na to, że niebawem szerzej wejdzie do użytku. STS omija cześć niedogodności jakie niesie DANE (użycie nowego typu rekordu DNS), a rekord DNS typu TXT z standardową nazwą _mta-sts jest uzupełniony przez dokument JSON, publikowany przez zabezpieczony TLS-em  serwer webowy. Czyli zabezpieczenia naszej domeny opisane są przez rekord DNS:
_mta-sts.pepug.org   900  IN   TXT  "v=STSv1; id=20170523"
gdzie STSv1 oznacza wersję (oczywiście jest wersja 1) oraz numer polisy zabezpieczeń. Plik json z kolei publikowany będzie poprzez url
https://mta-sts.pepug.org/.well-known/mta-sts.json
W nazwie hosta nie może być znaku _, więc mamy tu drobną różnicę (oczywiście rekord A lub C z nazwą mta-sts wskazującą na serwer webowy publikujący JSON-a musi znaleźć się w strefie naszej domeny). Dodatkowym wymogiem jest zabezpieczenie serwera webowego certyfikatem wydanym przez publiczny urząd certyfikacyjny.
Zasada działania jest prosta - normalnie wysyłając pocztę, nasz serwer pocztowy, czy mówiąc bardziej technicznie MTA, odpytuje DNS o serwer pocztowy wymieniony w rekordzie MX domeny adresata. W przypadku STS nasz MTA odpytuje DNS o rekord TXT, na podstawie którego pobiera kanałem szyfrowanym plik JSON z informacją o polisie i rekordzie MX. Dopiero po uzyskaniu tej informacji mail wysyłany jest do zweryfikowanego serwera pocztowego adresata poprzez kanał TLS. 

04 kwietnia 2017

Koniec planu E4 usługi Office 365

7 kwietnia Microsoft oficjalnie wygasza plan E4 w usłudze Office 365. Wydano oficjalny dokument opisujący możliwości wyboru dla klientów, którzy chcą odnowić subskrypcję -  Office 365 Enterprise E4 EOL Retirement Guide.

27 marca 2017

Odchudzanie kolejki transportowej na Exchange

Od czasu do czasu dostaję pytanie na temat możliwości zmniejszenia pliku kolejki transportowej Exchange, lub po prostu pytanie, dlaczego ten plik jest taki duży? Faktycznie, może się on rozrosnąć do kilkudziesięciu, a nawet ponad 100 GB, jednak bywa to przeważnie łatwe do wytłumaczenia. Plik mail.que, czyli właśnie kolejka transportowa serwera Exchange to baza w formacie Extensible Storage Engine (ESE), podobna do baz skrzynkowych, usługi katalogowej AD, czy też innych usług systemu Windows. Bazy te niestety w odróżnieniu od SQL nie mają mechanizmu "odchudzania" w przypadku zwolnienia wolnej przestrzeni wewnątrz bazy. W bazie tworzone są kolejki dla maili generowanych na bieżąco (jeżeli w organizacji ktoś wysyła duże ilości maili wewnętrznych, to może przekładać się na dużą wielkość pliku), przechowywane są również maile na wypadek awarii i konieczności ich odtworzenia - tzw. Safety Net. Safety Net przechowuje maile już dostarczone do baz danych i po okresie ich przechowywania (domyślnie dwa dni) je kasuje. Jeżeli zwiększymy ten okres, to oczywiście wielkość bazy danych wzrośnie, w zależności od zwiększenia okresu przechowywania i ilości przetwarzanych maili. Można to bardzo prosto zweryfikować komendą:
Get-TransportConfig | select SafetyNetHoldTime
Domyślnie system zwróci wartość "2.00:00:00", czyli dwa dni. Żeby zmniejszyć okres przechowywania maili w kolejce wystarczy wykonać komendę:
Set-TransportConfig -SafetyNetHoldTime 2.00:00:00
Oczywiście możemy użyć innej, wygodnej dla nas wartości.
Jeżeli serwer należy do DAG, to dodatkowo domyślnie włączona jest funkcja Shadow Redundancy, dla której również są zdefiniowane okresy przechowywania maili w replikach kolejek. Parametry związane z Shadow Redundancy również możemy zmienić, korzystając z tego samego polecenia Set-TransportConfig.
Co można zatem zrobić, jeżeli boimy się, że kolejka przepełni nam dysk? Zasadniczo opcje są dwie - przeniesienie kolejki transportowej na dysk z większą ilością wolnego miejsca, albo wymuszenie odtworzenia pustej bazy. W tym drugim wypadku procedura jest bardzo prosta:
  1. Sprawdzamy, czy kolejki na serwerze są puste - w tym celu najprościej zawiesić usługę transprtową komendą suspend-service msExchangeTransport, a następnie sprawdzić ilość maili w kolejkach komendą get-queue.
  2. Jeżeli są puste, to zatrzymujemy usługę transportową - stop-service msExchangeTransport.
  3. Przenosimy całą zawartość katalogu Queue (domyślna ścieżka C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue) do lokalizacji tymczasowej.
  4. Uruchamiamy usługę transportową - start-service msExchangeTransport.
  5. Po uruchomieniu usługi i utworzeniu pustych plików możemy stare pliki skasować z tymczasowej lokalizacji.
Oczywiście opcja druga usunie Safety Net i Shadow Queues również.

21 marca 2017

Marcowe poprawki dla Exchange

Kończy się kwartał, więc najwyższa pora na publikację pakietów aktualizacji dla Exchange. W tym miesiącu Microsoft udostępnia ostatni pakiet poprawek dla Exchange 2007 (wsparcie ostatecznie kończy się za kilkanaście dni). Pakiety dla nowszych wersji w większości poprawiają błędy znalezione przez ostatnie miesiące. Warto pamiętać, że CU5 dla Exchange 2016 i CU16 dla Exchange 2013 wymagają do instalacji .NetFrameworka 4.6.2, co wymusza w firmach, które nie zaktualizowały Exchange do grudniowych poprawek konieczność instalacji dwuetapowej - najpierw Exchange 2016 CU4, potem aktualizacja Fraweworka, potem dopiero CU5. Analogicznie w wersji Exchange 2013 - najpierw CU15, Framework, potem CU16.
Poniżej przedstawiam listę pakietów aktualizacji, artykuły KB opisujące zmiany oraz linki do stron z paczkami instalacyjnymi:

15 marca 2017

Microsoft Teams dla wszystkich

Jedną z funkcjonalności Skype for Business, których Microsoft nie zaimplementował w wersji Online usługi komunikacyjnej jest Persistent Chat, czyli funkcjonalność tablic ogłoszeniowych/grup dyskusyjnych działających od dłuższego czasu (wcześniej pod nazwą Group Chat). Pisałem o tej usłudze całkiem niedawno. Teraz w końcu Microsoft uzupełnia ten brak.
Na początku listopada Microsoft udostępnił wszystkim klientom Office 365 usługę o nazwie Microsoft Teams, w marcu osiągnęła ona status GA, a wczoraj odbyła się oficjalna premiera produktu. W ostatnich miesiącach trwały intensywne testy Teamsów i dyskusje, porównujące funkcjonalności nowej aplikacji z innymi dostępnymi na rynku produktami tego typu, jak np. Slack czy HipChat, a nawet Microsoftowy Yammer. Ponieważ Slacka używam sporadycznie w wersji bezpłatnej (bez obsługi rozmów), a innych produktów nie powiązanych z Microsoft wcale, więc nie chciałem się do tej dyskusji przyłączać. Jak na razie widzę duże plusy Teamsów, takie jak integracja z komponentami Office 365  - współdzielenie dokumentów poprzez Sharepoint Online i OneDrive for Business, rozmowy poprzez Skype for Business czy kalendarz synchronizowany z Exchange Online. Teamsy wykorzystują tworzone w ramach naszego Tenanta O365 zespoły, które tak naprawdę są Grupami Office, co daje nam możliwość używania np. konektorów, integrujących różne aplikacje zewnętrzne, możemy również wysyłać maile na adres kanału dyskusji naszego zespołu. Na stronie pomocy można znaleźć mnóstwo przydatnych informacji, jak korzystać z Microsoft Teams. Na YouTube pojawiło się również sporo filmów, pokazujących możliwości i funkcjonowanie Teamsów:

Minusami jak na razie są przede wszystkim pewne zamieszanie funkcjonalne - jaką aplikację do poszczególnych zadań będziemy używać (czy korzystać z Yammera, Grup czy Teams), oraz brak możliwości dodawania do zespołów Teamsowych osób spoza konkretnego tenanta Office 365. W modelach hybrydowych  również część funkcjonalności jest niedostępna dla osób ze skrzynkami on-premises. Ale to dopiero premiera i na pewno w kolejnych miesiącach kolejne funkcje, których potrzebę zgłaszają użytkownicy zostaną dodane. Na pewno w tym roku będzie trwała bardzo ostra walka komunikatorów i systemów do pracy grupowej.

Dziura w zabezpieczeniach Exchange

Wczoraj zespół produktowy Microsoft wydał biuletyn bezpieczeństwa,  https://technet.microsoft.com/library/security/MS17-015, dostępny również  na stronie pomocy technicznej, w nieco bardziejj rozwiniętej formie - https://support.microsoft.com/en-us/help/4013242/ms17-015-security-update-for-microsoft-exchange-server-march-14-2017, opisujący dziurę w systemach zabezpieczeń interface'u OWA, która pozwala na eskalację uprawnień.
Microsoft Server Software
Updates Replaced*
Important
Elevation of Privilege
3184736 in MS16-108
Important
Elevation of Privilege
3184736 in MS16-108
Important
Elevation of Privilege
3184736 in MS16-108
Podobne problemy dotyczą nie tylko Exchange, ale również innych aplikacji (przeglądarek, Hyper-V). W stosunku jednak do Exchange zagrożenie nie jest aż tak poważne jak można by podejrzewać. Najnowsze paczki zabezpieczeń CU15 dla Exchange 2013 i CU4 dla Exchange 2016 są bezpieczne, a lada moment możemy spodziewać się kolejnych aktualizacji (minął już kwartał od poprzedniej partii), które również zawierać będą poprawki łatające powyższą dziurę. Dlatego też warto aktualizować serwery Exchange na bieżąco, chociaż czasem wymaga to nieco czasu i cierpliwości.

08 marca 2017

Aktualizacje Skype for Business - małe podsumowanie

Polityka aktualizacji systemu Exchange Server, zarówno 2013 jak i 2016, jest stosunkowo prosta - raz na kwartał wydawany jest pakiet Cummulative Update, co zostało dokładnie opisane na blogu zespołu produktowego i w dokumentacji. Od czasu do czasu, jeżeli zajdzie taka potrzeba wydawana jest poprawka bezpieczeństwa i to wszystko. Jasno, prosto i czytelnie.
W przypadku Skype for Business wydawało się że wszystko jest podobnie, jednak zespół produktowy od dawna określa pakiety poprawek miesiącem wydania, nie są one również wydawane regularnie, więc sam się trochę zgubiłem. Kiedy w lutym pojawiła się kolejna paczka aktualizacji, zastanawiałem się, czy zawiera ona wsparcie dla Windows Server 2016, zgodnie z zapowiedziami grupy produktowej:
Windows Server 2016 is not included in this list right now, but we're planning to add it as a supported option after Skype for Business Server Cumulative Update 5 is released
Jednak po dokładniejszej weryfikacji okazało się, że poprawka February 2017 jeszcze nie jest zapowiedzianym Cummulative Update 5. Przy okazji zweryfikowałem nazewnictwo poprawek dla Skype for Business, które pokazuje poniższa lista.
Wersja
Nazwa pakietu Cumulative Update
Artykuł KB
Numer CU/HotFix
6.0.9319.277
February 2017
CU4 HF1
6.0.9319.272
November 2016
CU4
6.0.9319.259
June 2016
CU3
6.0.9319.235
March 2016
CU2
6.0.9319.102
November 2015
CU1
6.0.9319.88
September 2015
HF2
6.0.9319.55
June 2015
HF1
6.0.9319.0
RTM
NA
RTM

23 lutego 2017

Exchange 2007 - zegar tyka

Już za półtora miesiąca kończy się całkowicie wsparcie techniczne na Exchange 2007. Co to oznacza dla firm, które jeszcze używają tej wersji systemu? Przede wszystkim brak wsparcia dla problemów technicznych, które mogą pojawić się w związku np. z nową poprawką bezpieczeństwa do systemu operacyjnego. Ponadto brak będzie również łatek na nowo wykryte dziury z punktu widzenia bezpieczeństwa. Inną kwestią (chociaż dla Polski nie jest to krytyczne) są aktualizacje związane z modyfikacjami stref czasowych. Jeszcze inną kwestią, o której może głośno się nie mówi jest brak specjalistów w serwisie od starych wersji systemów, co również utrudnia rozwiązywanie ewentualnych problemów.
Można zmigrować się do nowszych wersji systemu (chociaż do Exchange 2016 migracja bezpośrednia nie jest możliwa) lub do Exchange Online i dobrze jest taką migrację zaplanować jak najszybciej, jeżeli jeszcze jej nie uwzględniliście w swoich planach.
Analogicznie Microsoft kolejno wycofuje kolejne wersje produktów z linii Office 2007:
Wersja serwera
Koniec Wsparcia
Dodatkowe informacje
Exchange Server 2007
11 kwietnia 2017
SharePoint Server 2007
10 października 2017
Project Server 2007
10 października 2017
Office Communications Server 2007
8 stycznia 2018
PerformancePoint Server 2007 Service Pack 3
9 stycznia 2018
O ich aktualizacji również warto pomysleć jak najszybciej.
W ramach portalu Techcommunity, Microsoft przygotował dedykowaną witrynę Office Retirenment, poświęconą zagadnieniom dotyczącym systemów Office wycofywanych z eksploatacji - fora dyskusyjne, odnośniki do narzędzi migracyjnych, dokumentacji, itp. Warto tu zajrzeć, żeby lepiej i bezpieczniej przeprowadzić proces migracji.

18 stycznia 2017

Exchange 2016 CU3 - problem z ustawieniem zewnętrznej domeny

Konfigurując serwery Exchange już od dawna korzystam ze skryptu, który napisałem jakiś czas temu do ustawiania zewnętrznych nazw dla usług webowych. Dzisiaj jednak na szkoleniu z Exchange 2016, które prowadzę, zwrócono mi uwagę, że nie da się tego zrobić w sposób standardowy, czyli poprzez kreator "Configure External Access Domain" z poziomu Exchange Admin Center.























Okazało się, że faktycznie, do wersji CU3 (w CU4 jest już na szczęście OK) był błąd w pliku ClientAccess\ecp\VDirMgmt\EditExternalCASDomain.aspx (w strukturze katalogów instalacyjnych serwera Exchange) - brakowało filtra, który wyświetlał serwery z rolą Mailbox (oddzielnej roli CAS już w Exchange 2016 nie ma). Po dodaniu do pliku dwóch linii z odpowiednimi parametrami, zgodnie z zaleceniami, podanymi na blogu http://www.weeta.net/post/exchange-2016-cu3-configure-external-access-domain-server-list-empty, można było znaleźć wszystkie serwery w organizacji i dodać im zewnętrzną nazwę.









Niby drobiazg, ale uciążliwy. Na szczęście zostało to poprawione w paiecie poprawek CU4.

02 stycznia 2017

SHA-1 do wymiany

Początek roku przyniesie nam spore zamieszanie w obszarze certyfikatów webowych. Wiele firm korzysta wewnętrznie z urzędów certyfikacji, które zostały zainstalowane kilka, a nawet kilkanaście lat temu, z domyślnym podpisem SHA-1, który od kilku lat jest uznawany za niewystarczający. Producenci przeglądarek od jakiegoś czasu zaczęli ostrzegać użytkowników o tym, że takie certyfikaty są potencjalnie niepoprawne (np. Chrom już od wersji 39 wyświetla ostrzeżenia o błędach certyfikatu). Aktualna wersja (Chrome 50) wyświetla informację, że o błędnym certyfikacie.





Jednak sytuacja diametralnie zmieni się w najbliższych tygodniach. Google ogłosił, że nowa wersja Chrome 56, planowana na koniec stycznia 2017 nie będzie otwierać stron zabezpieczonych certyfikatem z SHA-1.
Podobnie Firefox ogłosił politykę wygaszania wsparcia dla SHA-1, Nowa wersja Firefox 51, planowana do dystrybucji, podobnie jak Chrome 56 w styczniu 2017 ma również blokować dostęp do stron zabezpieczonych certyfikatem wystawionym przez urząd główny z SHA-1.
Co prawda można użyć polis konfiguracyjnych, które pozwolą na dalsze użycie takich certyfikatów, ale nie będzie to dla standardowych użytkowników takie proste.
Do tego trendu dołączył Microsoft, ogłaszając, że w dniu 14 lutego 2017 zostanie wydana poprawka dla przeglądarek Internet Explorer i Edge, która zacznie wyświetlać okno z informacją, że certyfikat jest niezaufany, a w kolejnym kroku blokada będzie całkowita.






















Dokładniejsza informacja na ten temat opublikowana została na stronach Technetu.
Jak się ustrzec przed takimi problemami? Nie pozostaje nic innego niż zmienić certyfikat swojego urzędu certyfikacji, wykorzystując SHA-256 (pamiętajmy o tym że TLS 1.0-1.2 nie wspierają mocniejszych podpisów jak np. SHA-512, więc ustawienie bardzo mocnego algorytmu też nie jest zalecane). Instrukcja jak to zrobić, dostępna jest na stronach Microsoftu, a także na wielu innych blogach.

Nowy rok czas zacząć

Kolejny rok minął, zastanawiam się, czy był udany? Na pewno był ciekawy - APN Promise przeprowadził się do Mordoru, a mój zespół zrealizował całkiem sporo wdrożeń i migracji Exchange i Skype for Business. Udało mi się podnieść i rozwinąć kompetencje w wielu obszarach, głównie w obszarze terminali wideo i narzędzi integracyjnych, SBC i systemów archiwizacyjnych. Starałem się również nadążyć za zmianami w Office 365, Exchange i Skype for Business, co wbrew pozorom nie było takie proste. Udało mi się wziąć udział w kilku ciekawych konferencjach, a nawet ponownie zorganizować Office Server Summit. Na blogu udało mi się również opublikować trochę ciekawych informacji (5000 wyświetleń w ostatnim miesiącu, to może nie jest tyle co u blogerów modowych, ale jak na dosyć specyficzną część IT, do tego po polsku, chyba nie najgorzej), może nie tyle ile chciałem, ale więcej niż w 2015 czy 2014 roku, chociaż dawniej udawało mi się pisać więcej. No ale teraz krótkie info wrzucam na twittera, którego śledzi coraz więcej osób.
W świecie IT też się dużo działo w 2016 roku. O wpływie dobrej zmiany na IT w Polsce nie będę pisać, bo staram się nie mieszać polityki z technologią, wystarczy skupić się na działalności mojego ulubionego producenta z Redmond. Odchodzenie poszczególnych grup produktowych od tworzenia aplikacji na platformę Windows Phone zmusiło mnie to zmiany telefonu na model z Androidem - trudno poznawać i testować nowe aplikacje, jeżeli Microsoft po prostu ich na WP nie robi. Ale przy udziale w rynku < 0,5% i masowych zwolnieniach w tej części korporacji trudno się takiej postawie dziwić.
Zaczął się za to rozwijać obszar telefonii w ramach Office 365. Dodanie Cloud PBX do planów Office, Skype Meeting Broadcast czy też PSTN Conferencing (PSTN Calling nie jest w Polsce dostępne, więc na razie nie ma co się nad tą funkcjonalnością rozwodzić, chociaż warto pamiętać, że w wybranych krajach można dzwonić z chmury bezpośrednio) na pewno mocno rozszerzyło możliwości funkcjonalne Skype for Business Online, a Microsoft Teams uzupełni te możliwości o kolejne obszary.
Pojawił się również Windows Server 2016, a Microsoft we wrześniu na konferencji Ignite ogłosił współpracę tej wersji systemu z Exchange 2016, jednak ze względu na problemy z IIS, dopiero w połowie grudnia instalacja Exchange 2016 na nowej wersji systemu stała się możliwa. Sam padłem ofiarą tych problemów, więc na pewno jeszcze jakiś czas będę się uważnie przyglądał nowej platformie zanim ją zarekomenduję klientom.
Co przyniesie rok 2017? Mam sporo planów, związanych z PEPUG i różnymi technologiami, ale o tym napiszę osobno.

Szczęśliwego Nowego Roku!

14 grudnia 2016

Grudniowe aktualizacje Exchange

Zespół produktowy Exchange właśnie opublikował informację na swoim blogu o kolejnych aktualizacjach poprawek dla Exchange Server 2013 i 2016. Zostały również wydane aktualizacje poprawek dla 2010 i 2007, chociaż dla tych produktów Rollupy wnoszą dużo mniejsze zmiany - tylko łatanie krytycznych dziur bezpieczeństwa i aktualizacje stref czasowych.
Cummulative Update 4 dla Exchange Server 2016 oprócz kilku mniejszych problemów wprowadza kilka istotnych modyfikacji:
  • w połączeniu z poprawką dla systemu oeracyjnego Windows Server 2016, KB3206632 (musi być zainstalowana przed wdrożeniem CU4) przede wszystkim naprawia problem z krytyczną awarią IIS, która następowała po skonfigurowaniu DAG (sam padłem w labie ofiarą tego problemu). Jak wiele innych poprawek systemowych KB3206632 ma wielkość około 1 GB. Można ją pobrać z tej lokalizacji.
  • Kolejną zmianą jest dodanie wsparcia dla .Net 4.6.2, zarówno dla Exchange 2016 jak i 2013 (CU3 dla Exchange 2016 wprowadzało to wsparcie tylko dla platformy Windows Server 2016). Warto mieć to na uwadze, ponieważ Microsoft wspomina, że 4.6.2 będzie wymagany przy kolejnych aktualizacjach w następnym kwartale.
  • Jeszcze jedną istotną zmianą jest poprawienie (zarówno w wersji 2013 jak i 2016) mechanizmów indeksowania dla folderów publicznych. Żeby mieć pewność, że mechanizm będzie działał poprawnie należy przenieść skrzynkę z folderami publicznymi do nowej bazy.

Pełna lista zmian jak zwykle znajduje się w odpowiednich artykułach KB. Poniżej również znajdują się odnośniki z których można pobrać poprawki:
Exchange 2016 CU415.1.669.32KB3177106DownloadUMLP
Exchange 2013 CU1515.0.1263.5KB3197044DownloadUMLP
Exchange 2010 SP3 Rollup 1614.3.339.0KB3184730Download
Exchange 2007 SP3 Rollup 228.3.502.0KB3184712Download