Exchange Server 2013 – миграция на SP1 и Windows Server 2012 R2


Задача.

Есть инфраструктура с Exchange Server 2013 RTM/CU1/CU2/CU3 с DAG на Windows Server 2012.

Требуется выполнить миграцию Exchange Server 2013 на SP1 и Windows Server 2012 на Windows Server 2012 R2.

Читать далее

Windows Server 2012 R2 Remote Desktop – Single Sign-On в RD Deployment


Как я писал ранее (Windows Server 2012 R2 Remote Desktop – теперь две модели), Windows Server 2012 R2 RDS имеет классическую модель, которая работает точно также как раньше, только не имеет GUI для настройки, и новую модель RD Deployment с новыми возможностями.

Это также касается SSO: вы можете использовать либо классический вариант, либо новый.

Читать далее

Windows Server 2012 R2 Remote Desktop – сертификаты


Как я уже писал Windows Server 2012 R2 Remote Desktop – теперь две модели есть два способа настройки Remote Desktop Services. Это также касается сертификатов.

Как мы настраиваем сертификаты в классической модели. Когда стартует сервис RDS, он проверяет наличие сертификата, если его нет, то либо получает сертификат из Certification Authority леса, либо создает самоподписанный сертификат. И наконец, мы можем получить сертификат из внутреннего CA вручную, либо взять коммерческий сертификат и назначить такой сертификат сервису RDS вручную. Автоматический и ручной методы описаны в статье Configuring Remote Desktop certificates. В Windows Server 2012 R2 отсутствует GUI для настройки RDS в классической модели. Это касается и сертификатов: нужно использовать командную строку для назначения сертификатов сервису RDS.

Читать далее

Exchange Server 2013 SP1 – контроль за информацией стал еще проще.


В любой организации есть информация, движение которой необходимо контролировать. Это может быть предписано законом (например, государственная тайна, закон о персональных данных), так и установлено внутренними нормативными документами, например, как служебная тайна.

Если компания озабочена необходимостью контроля за информацией, то она действует по нескольким направлениям: разрабатывает нормативные документы, проводит организационные мероприятия, внедряя разработанные нормы в документооборот, подкрепляет все это техническими средствами.

Электронная почта на сегодняшний день остается основным средством обмена информацией и документами как внутри любой организации, так и между организациями. Это приводит к необходимости контроля за передачей информации по электронной почте для предотвращения утечек.

Читать далее

Service Pack 1 для Exchange Server 2013 и Windows Server 2012 R2


В Service Pack 1 для Exchange Server 2013 заявлена поддержка Windows Server 2012 R2. В связи с этим возникает целый ряд вопросов.

Читать далее

Windows Server 2012 R2 Remote Desktop – теперь две модели


Windows Server 2012 и следом за ним Windows Server 2012 R2 поменяли облик Remote Desktop Services с точки зрения администратора. Изменений много. Я уже написал несколько статей с разъяснениями некоторых новшеств и их особенностей и продолжу эту серию статей.

Читать далее

Заглянем под капот Exchange Server


Иногда интересно заглянуть внутрь Exchange: что там и как делается. Многие вещи скрыты в откомпилированных файлах, но журналы показывают много очень интересной информации.Вот такой случай.

Exchange позволяет владельцам групп управлять членством в их группах, если выставлено соответствующее разрешение. Владелец может это сделать через Outlook или OWA. Возьмем для простоты наблюдения OWA, перейдем на страницу управления группами и перед тем как нажать Join и добавить кого-то в группу, включим отладчик IE. Он нам покажет, что Join генерирует вызов ECP. Если вы запустите EAC, и как администратор попробуете проделать ту же операцию, то отладчик покажет вам похожий вызов ECP. Таким образом мы можем сделать вывод, что для пользователей, что для администраторов используется один протокол управления – ECP.

Еще более наглядно это можно проследить в журнале на сервере. Сначала определяем на какой CAS подключен наш клиент (смотрим ip адрес по netstat или если есть балансировщик, то смотрим на нем). И на сервере смотрим журнал в папке C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server Имя журнала начинается на HttpProxy. Находим нашу транзакцию:

2014-02-11T14:30:01.439Z,6e9a950c-2ea7-40b0-bf93-421872670d97,15,0,775,22,,Ecp,owa.domain.ru,/ecp/MyGroups/SearchAllGroups.svc/JoinGroup,,Negotiate,True,DOMAIN\testuser,,Sid~S-1-5-21-498639864-1756676512-2473291660-1443,Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko,172.16.1.231,EXCAS,200,200,,POST,Proxy,exmb.domain.ru,15.00.0775.000,IntraForest,WindowsIdentity,Database~ef96e1fa-bb25-48e6-9e29-3b277a1fc881~~02/11/2014 14:39:46,,,116,595,1,,0,1,,0,,0,,0,0,62.3863,0,0,1,0,56,0,0,0,59,0,56,2,3,3,59,?reqId=1392129001444&msExchEcpCanary=PgF2Qvx8L0axlqkECUyEO6geE-NK9dAIII7OSDngFhYTw6AT6vFq5bi3DmwvU3eML6znJ9l4drQ.,,

Первое что мы видим это вызов метода JoinGroup. Логично! Второе, что запрос уходит на MailBox сервер exmb.domain.ru, где и должен фактически выполнится. Смотрим журнал на этом сервере (имя начинается на ECPServer):

2014-02-11T14:30:01.344Z,EXMB,ECP.Request,S:TIME=46;S:SID=b1adbgc7-7d45-4836-9590-88617bd87e04;S:CMD=Add-DistributionGroupMember.Identity=1c097931-3f5d-4134-8946-d505a53f8369;S:REQID=1392129001444;S:URL=/ecp/MyGroups/SearchAllGroups.svc/JoinGroup?reqId=1392129001444&msExchEcpCanary=PgF2Qvx8L0axlqkECUyEO6geE-NK9dAIII7OSDngFhYTw6AT6vFq5bi3DmwvU3eML6znJ9l4drQ.;S:EX=Microsoft.Exchange.Configuration.Tasks.OperationRequiresGroupManagerException:Необходимые разрешения отсутствуют. Эту операцию может выполнять только руководитель группы.\r\n;S:ACTID=6e9a950c-2ea7-40b0-bf93-421872670d97;S:RS=0;S:BLD=15.0.775.38

Желтым я выделил в обоих логах REQID, который помогает нам найти связанные части одной транзакции.

Как видите (выделено красным) вызывается команда Add-DistributionGroupMember – та же самая, что используется администратором при добавлении пользователя в группу.

Таким образом становится ясно, что внутри Exchange используется один механизм управления, и более того он контролируется RBAC: во втором логе вы видите сообщение об ошибке – тот, кто попытался добавить пользователя в группу не имеет прав на эту операцию. Точно такое сообщение он получит в EAC и EMS, т.к. вызывается один и тот же командлет.

Аналогично вы можете отследить по журналам работу клиента Outlook, который подключается к CAS серверу точно также – по протоколу HTTPS, и увидеть, что работают те же механизмы внутри Exchange.