СБ

При создании ящика пользователя, в нём создаётся ряд стандартных объектов, которые пользователь видит как папки (Inbox, Sent Items итд.). Сами имена этих объектов создаются при первом запуске Outlook пользователем, которому только что создали ящик. Имена эти зависят от локализации Outlook. Если он английский – будут созданы имена на английском языке (типа Inbox), если русский – то на русском языке (типа Входящие). Наступает интересная ситуация, когда сотрудник перемещается из одного регионального офиса в другой. Например, из немецкого в русский. Ящик его переезжает на новый сервер, при этом стандартные имена папок остаются на немецком языке. Возникает задача переименования этих папок. Стандартными средствами переименовать не получится (через контекстное меню команда Rename не доступна для стандартных папок). В Ootlook 2003 приходилось для переименования запускать скрипт. В Outlook 2007 появился ключ запуска программы, который сбрасывает существующие имена стандартных папок и назначает их в соответствии с языком Outlook, который установлен. В итоге достаточно запустить команду

outlook.exe /resetfoldernames

для того, чтобы привести к нужному виду имена стандартных папок переехавшего из другого офиса пользователя.

Вот и дождались. Качать отсюда. Самая полная на текущий момент документация здесь. Ну и в качестве бесплатного довеска Forefront Protection 2010 for Exchange Server RC.

Были в прошлые выходные на выставке. Выставляли Масю. Мася заработала первую свою медальку САС. Ещё 2 таких и к её имени из родословной можно официально будет подписывать Ch. (то бишь чемпион). А вот собственно и она на выставке:

Вопрос, вынесенный в заголовок, имеет однозначный ответ ещё со времён NT 4.0, а может и раньше. По умолчанию, любой пользователь домена может в него добавить до 10 компьютеров включительно. После превышения этого значения пользователь получит предупреждение «Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased» после попытки добавить компьютер в домен. Компьютер, конечно же, в домен не добавится.

А теперь немного теории. Любой компьютер в AD имеет аттрибут mS-DS-CreatorSid, в который записывается SID пользователя, который добавил этот компьютер в домен. При попытке добавить новый компьютер для пользователя считается количество объектов-компьютеров, которые он добавлял в домен ранее. Если это число 10, то пользователь не сможет добавить компьютер в домен.

В компаниях, в которых существует отдел тестирования, его сотрудники достаточно часто добавляют в домен компьютеры для тестирования. Обычно, они забывают их при этом из домена удалить. В итоге, в AD хранится некоторое количество «мёртвых» объектов-компьютеров, которые уже не используются, при этом добавляют значения к счётчику компьютеров, введённых пользователем в домен. Достаточно их удалить и пользователь снова сможет добавлять компьютеры в домен. Для решения этой задачи написал небольшой скрипт на PoSh.

$UserName = Read-Host -Prompt "Enter users name"
$UserSID = (Get-QADUser -Identity $UserName -IncludeAllProperties).objectsid

Get-QADComputer -SizeLimit 0 | Where-Object {$_.'mS-DS-CreatorSid' -eq $UserSID} | ft Name

Скрипт запрашивает имя пользователя (можно ввести также и логин) и выводит список компьютеров, которые он вводил в домен. Этот список можно показать пользователю, чтобы он подсказал какие из этих компьютеров можно удалить.

Давно хотел написать об этой замечательной конторе, да всё руки никак не доходили.

В общем есть крайне дешёвая конторка mtw.ru. Как я понимаю, своими ценами они привлекают некоторое количество клиентов. К сожалению, цена полностью соответствует качеству. Первый раз я с ними столкнулся с полгода назад. В ответ на некоторые письма на разные адреса возвращался отлуп:

pochta1.mtw.ru #550 5.7.1 <mx.mydomain.com[xxx.xxx.xxx.xxx]>: Client host rejected: Access denied! Please contact abuse@mtw.ru ##

Я первым делом отписал письмо на адрес указанный выше. Ведь все порядочные люди не просто так оставляют в подобных случаях адреса для связи! Через недельку, не получив никаких новостей, решил позвонить и попробовать решить проблему по телефону.

Первая же говорящая голова из их техподдержки мне сообщила, что оказывается, на этот почтовый адрес писать не надо – его никто не просматривает и пообещал проблему решить до обеда. Что-то он там собирался в каких-то списках исправить и всё, якобы, должно было заработать. Оставил ему ip-адреса своих почтовых серверов и их dns-имена и занялся другими делами.

На следующий день ситуация не исправилась, пришлось ещё раз звонить. В этот раз разговаривал с другой говорящей головой, которая тоже обещала дико начать править какие-то списки, чтобы всё заработало на следующий день.

Через день пришлось общаться уже с третьей говорящей головой, которая так же предложила начать править какие-то списки (спасибо, что не обещала варенье на завтра =)). Я в ответ решил возмутиться, что это уже третье предложение что-то там у них править и в ответ предложил пообщаться с администратором их почтовой системы. Говорящая голова сказала, что его нет на месте и когда он будет никому не известно, контактных данных его тоже никто не знает (этакий неуловимый Джо). На этом наше общение с третьей говорящей головой закончилось.

P.S. Не советую пользоваться услугами этих бравых парней.

Клиент EV можно устанавливать вручную, или используя средства централизованной установки (политики, SMS etc.). Сам клиент может ставиться в двух видах – полная версия или облегченная. Самый простой способ определить какая именно версия поставилась посмотреть на описание клиента в свойствах Outlook (меню Help => About Enterprise Vault). Выглядеть будет примерно следующим образом:

dcom – говорит о том, что установлена полная версия продукта, http – о том, что установлена облегченная версия.

Версии отличаются функционалом. Вот что доступно в полной версии, чего не доступно в облегченной:

• В свойствах папок есть закладка Enterprise Vault, в которой можно настраивать правила архивирования папки
• При восстановлении из архива окно восстановления предоставляет более богатый набор функций (можно выбирать куда восстанавливать сообщения и стирать ли их из архива)
• При ручном перемещении в архив окно архивирования так же более функционально (можно выбирать какую политику для архивирования использовать, в какое хранилище из доступных помещать сообщение, удалять ли оригиналное сообщение из ящика, создавать ли ярлык на сообщение в ящике пользователя)

Кроме этого, облегченная версия более экономна к потребляемым ресурсам клиентской системы.

Что интересно, тип устанавливаемой версии можно задать централизованно через политики:

Кроме этого, при запуске установки клиента EV инсталлятор проверяет настроен ли Outlook на работу с Exchange через HTTP (Outlook Anywhere) и если это так, то автоматически ставится облегченная версия клиента EV.

Сам сервис пак для Exchange 2007 вышел уже месяц как. Скачать можно отсюда. Процесс обновления в принципе не сложен и времени занимает немного. Тем не менее при обновлении большой почтовой организации нужен некоторый план действий, без которого можно наткнуться на некоторые непредсказуемые последствия. План обновления следующий:

• Обновляем схему для поддержки динамической проверки схемы AD.
• Обновляем AD для поддержки управления на основе ролей.
• Обновляем CAS сервера.
• Обновляем Hub Transport сервера.
• Обновляем Mailbox сервера.

Теперь подробнее.

1. Обновление схемы.

Делается командой »setup /PrepareSchema» (или «setup /ps»). Естественно, запускается из под учётной записи с правами администратора схемы и предприятия. Естественно, запускается с сервера, который находится в одном домене с мастером схемы.

2. Обновление AD.

Делается командой »setup /PrepareAD» (или «setup /p»). Естественно, запускается из под учётной записи с правами администратора предприятия. Естественно, запускается с сервера, который находится в одном домене с мастером схемы.

3-4. Обновление серверов клиентского доступа и транспортных серверов.

Делается командой »setup /m:Upgrade» (или через графический интерфейс). Если установлен Forefront Security For Exchange – его сервис придётся предварительно отключить. После установки можно его будет включить обратно. На Symantec Mail Security и Trend Micro ScanMail установщик при этом не ругался. Нужно помнить, что если использовались корпоративная тема в OWA и приложения, которые правят web.config в папке CAS\OWA, то их придётся переустанавливать. Кроме этого, если у нас имеются несколько серверов клиентского доступа в разных сайтах и при этом один из них является прокси для остальных, то обновлять их нужно в одно время. В противном случае, пользователь необновлённого сервера клиентского доступа, получая доступ через сервер клиентского доступа исполняющий роль прокси, который обновлён, увидит в OWA полное отсутствие графики и стилей, что врядли его обрадует. Сама установка сервис пака не требует перезагрузки, тем не менее, сервер лучше перегрузить. Установка занимает минут 20-30.

Следует заметить, что при установке сервис пака из под учётной записи с ролями администратора схемы и администратора предприятия пункты 1-3 можно сделать одновременно. При запуске первого «setup /m:Upgrade» первые 2 обновления будут сделаны автоматически.

5. Обновление кластера почтовых ящиков.

Обновление происходит в следующем порядке:

• Файлы пассивного узла
• Кластерные ресурсы
• Перемещаем кластер на обновлённый узел
• Обновляем файлы оставшегося узла

На пассивном узле обновление запускается командой «setup /m:Upgrade». Нужно помнить, что при этом никаких кластерных ресурсов не должно быть на этом узле. Обновление происходит достаточно быстро (менее 10 минут). После чего пассивный узел перезапускается. После перезагрузки через EMS пассивного узла останавливается почтовый кластер:

Stop-ClusteredMailboxServer –Identity CMS-Server –StopReason "Upgrade"

и перемещается на обновлённый узёл:

Move-ClusteredMailboxServer –Identity CSM-Server –TargetMashine New-Node –MoveComment "Upgrade" –Confirm:$false

После этого запускаем обновление «setup.com /UpgradeCMS». Важно помнить, что кластер в этот момент выключен. По завершении процесса обновления кластера он автоматически запустится на новом узле.  Фактически, кластер недоступен пользователям около 20-ти минут.

После этого обновляем файлы на бывшем активном узле кластера с помощью «setup /m:Upgrade» и перегружаем его. Нужно не забывать что на нём не должно оставаться никаких кластерных ресурсов, иначе при апгрейде выскочит ошибка.

Буквально на днях при обновлении с RC на RTM VMM 2008R2 столкнулся со следующей проблемой. Один из хостов периодически отваливался от VMM. На самом хосте сервис Hyper-V Virtual Machine Management выгружался после двух минут работы. В события при этом шла ошибка:

Faulting application vmms.exe, version 6.0.6001.18221, time stamp 0x499f6aeb, faulting module ntdll.dll, version 6.0.6001.18000, time stamp 0x4791adec, exception code 0xc0000005, fault offset 0x000000000001e758, process id 0x6ec, application start time 0x01ca403665f3fc4e.

Гугл сразу вывел на обсуждение проблемы. Как оказалось, такое поведение системы связано с наличием на хосте виртуалки с подключенным SCSI-адаптером, к которому не подключены жёсткие диски. После удаления адаптера проблема исчезла.

Присутствовал две недели отпуска в жаркой Тунисии, соответственно отсутствовал здесь.

Набрался сил, наел пузо, так что в ближайшее время буду активнее писать. Пока на носу описание установки sp2 на Exchange 2007 (как оказалось это дело нетривиальное, особенно на серверах почтовых ящиков в кластере) и некоторых фишек SCVMM.

Право на отправку от имени группы рассылки можно назначить через PowerShell. Команда выглядит следующим образом:

Add-ADPermission -Identity MailGroup -ExtendedRights Send-As -User domain\username

После выполнения команды, пользователь domain\username сможет отправлять письма от имени группы MailGroup.

На днях стала доступна для скачивания триальная версия SCVMM 2008 R2 RTM. Достаточно оперативно обновилась информация о том как обновиться с RC до RTM версии. Процесс выглядит следующим образом:

1. Делаем бэкап базы VMM 2008 R2 RC. На всякий случай. Если что-то пойдёт не так, можно будет откатиться.

2. Удаляем сервер VMM 2008 R2 RC с галочкой «retain db» и остальные установленные компоненты.

3. Обновляем оставшуюся после удаления базу с помощью утилиты UpgradeVMMR2RC.exe (доступна через Microsoft Connect). Для этого из командной строки, запущенной с расширенными привилегиями (Run as Administrator) на компьютере с установленными .NET Framework 2.0 и Microsoft SQL Server tools выполняется команда:

UpgradeVMMR2RC.exe –server <computername[\instancename]> -database <database>

где указываем сервер с нашей базой данных и её имя. Нужно помнить, что учётная запись от которой запускается утилита должна иметь право записи в папку где эта утилита находится и право на изменение базы данных. 

4. Устанавливаем сервер VMM 2008 R2 RTM, при установке указываем использовать обновлённую базу. Затем консоль управления и, если необходимо, портал самообслуживания.

5. В консоли управления на странице хостов в поле действий обновляем страницу (Refresh), то же самое делаем на странице библиотек.

6. Обновляем агентов VMM на всех хостах. В связи с тем, что процесс обновления агентов влияет на производительность, рекомендуется запускаеть его одновременно не более чем на 25 хостах.

На этом обновление завершается. При обновлении переносится следующая информация: информация портала самообслуживания и пользовательские поля виртуальных машин и хостов. При обновлении не переносится: список задач (job table)  и пароли для профилей операционных систем и компьютеров.

Буквально вчера стал доступен для скачивания второй сервис пак для Exchange 2007. Сам сервис пак можно скачать отсюда. Из нового после его установки обещают следующее:
 

• Можно внедрять в почтовую организацию Exchange 2010 как только будет установлен второй сервис пак на CAS сервера. При переходе на новую версию все остальные сервера Exchange 2007 так же должны быть обновлены до второго сервис пака.
• Появился плагин для возможности делать резервные копии и восстанавливать из них почтовые базы средствами Windows Server Backup. Более подробно о самом процессе можно почитать здесь.
• Расширились возможности аудита почтовых серверов (в частности появилась GUI-оболочка для установки уровня логгирования).
• Динамическая проверка схемы AD. Более подробно здесь.
• Дополнительны возможности для квотирования общих папок. Набор ключей командлета Set-PublicFolder расширился ключами для управления квотами (IssueWarningQuota, ProhibitPostQuota).
• Расширился набор командлетов и ключей к уже существующим.

Недавно вышел небольшой конфуз. Перестал работать SVN-сервер. При первом осмотре оказалось, что отключился сервис Apache. После его запуска работа SVN продолжилась. При более детальном изучении проблемы, оказалось, что один из лог-файлов достиг размера 4Гб. При попытке пересоздать лог-файл сервис Apache остановился и не запустился. Возникла проблема с тем, как ограничить рост логов Apache. При небольшом изучении вопроса решение было найдено достаточно быстро. В комплекте с Apache идёт утилита rotatelogs.exe, которая позволяет пересоздавать логи при выполнении некоторого критерия. Критерием может служить время и размер файла с логами. Для выполнения ротации логов достаточно изменить файл конфигурации Apache – httpd.conf. Вместо

ErrorLog " logs/error.log"

Используем

ErrorLog "|bin/rotatelogs.exe logs/error.log.%Y-%m-%d 86400"

Вместо

CustomLog "logs/access.log"

Используем

CustomLog "|bin/rotatelogs.exe logs/access.log.%Y-%m-%d 86400"

86400 указывает количество секунд через которое будет пересоздаваться лог-файл (то есть раз в сутки). Вместо времени можно было указать по достижении какого размера (в мегабайтах) файл должен быть пересоздан. Например при 5М файл будет пересоздаваться при достижении 5Мб. Ну и конец имени файла для идентификации меняем на понятный временной формат.

Были с Масей неделю назад на выставке. Мася была признана расово полноценной и было предложено продолжить участвовать в выставках. Так что до нового года теперь стоит задача получить для неё титул чемпиона. =) А вот сама виновница на фоне завоеванных наград:

Со вчерашнего MCP клуба:

Ну и немного поразжигаю =)

Периодическое снятие статистики почтовых баз является одной из обязательных операций по поддержке почтовой организации. Наткнулся в интернете на пару отличных скриптов для проведения этой операции. После небольшой доработки получается следующее.

Вывод на экран информации по количеству почтовых ящиков в базах сервера MailServer, отсортированных по имени баз:

Get-MailboxDatabase | Where-Object {$_.Server -eq "MailServer"} | Select Server, StorageGroupName, Name, @{Name="Number Of Mailboxes";expression={(Get-Mailbox -Database $_.Identity | Measure-Object).Count}} | Sort -Property Name | Format-Table -AutoSize

Вывод на экран информации по размеру баз и количеству почтовых ящиков в них, отсортированный по имени баз, выглядит следующим образом:

Get-MailboxDatabase | Where-Object {$_.Server -eq "MailServer"} | Select Identity, @{Name="Size (GB)";Expression={$objitem = (Get-MailboxDatabase $_.Identity); $path = "`\`\" + $objitem.server + "`\" + $objItem.EdbFilePath.DriveName.Remove(1).ToString() + "$"+ $objItem.EdbFilePath.PathName.Remove(0,2); $size = ((Get-ChildItem $path).length)/1048576KB; [math]::round($size, 2)}}, @{Name="No. Of Mbx";expression={(Get-Mailbox -Database $_.Identity | Measure-Object).Count}} | Sort -Property Identity | Format-table -AutoSize

Для вывода в файл вместо Format-Table можно использовать Export-Csv.

Буквально неделю назад вышел второй сервис пак для Enterprise Vault 8.0. В отличие от предыдущего, он вносит серъёзные изменения в предоставляемом функционале. В частности, появился клиент Enterprise Vault для MacOS (для клиента Entourage) и появилась поддержка MS SQL 2008. Сервис пак доступен через сервис Fileconnect.

На текущий момент у нас остались только back-end сервера. Вся информация из общих папок отреплицирована на сервера почтовых ящиков Exchange 2007. Остался последний шаг – удаление back-end серверов. Операция производится в несколько шагов. Кроме этого, для удаления самого последнего сервера Exchange 2003 необходимо сделать ряд дополнительных операций. Итак, приступим.

Read the rest of this entry »

Вышел очередной пакет обновлений для Exchange 2007 sp1 под номером 9. Качаем здесь. Описание здесь. Как обычно, советуется предыдущий пакет обновлений удалить перед установкой нового и обеспечить доступ к http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl для обновляемого сервера для успешного завершения процесса обновления. Через Microsoft Update пакет обновлений станет доступен 26 июля.

В Exchange 2007 практически весь почтовый трафик проходит через сервера hub transport. Поэтому основные настройки логгирования почтового трафика делаются именно на этих серверах. Часть настроек (папки нахождения логов) можно править через Exchange Management Console, остальные доступны через командлет Set-TransportServer в Exchange Management Shell. Какие настройки имеет транспортный сервер можно посмотреть используя командлет Get-TransportServer hub-server. Интересуют нас следующие ключи:

MessageTrackingLogEnabled – включает/выключает отслеживание сообщений. По умолчанию включен.

MessageTrackingLogMaxAge
ReceiveProtocolLogMaxAge
SendProtocolLogMaxAge – максимальное время хранения логов отслеживания сообщений, входящей и исходящей почты. По умолчанию равны 30 дням.

MessageTrackingLogMaxDirectorySize
ReceiveProtocolLogMaxDirectorySize
SendProtocolLogMaxDirectorySize – максимальный размер папки с логами отслеживания сообщений, входящей и исходящей почты. По умолчанию 250Мб. Имеет приоритет перед предыдущим ключём. То есть при достижении папки с логами размера 250Мб все старые логи будут затираться новыми, вне зависимости от того достигнут ли максимальный размер хранения лога.

MessageTrackingLogMaxFileSize
ReceiveProtocolLogMaxFileSize
SendProtocolLogMaxFileSize – максимальный размер файла лога отслеживания сообщений, входящей и исходящей почты. По умолчанию 10Мб. При достижении этого размера создаётся новый лог файл.

MessageTrackingLogPath
ReceiveProtocolLogPath
SendProtocolLogPath – размещение папок с логами отслеживания сообщений, входящей и исходящей почты. Имеет смысл сразу после установки переместить эти папки с системного диска, где они размещаются изначально.

IntraOrgConnectorProtocolLoggingLevel - включение/выключение логгирования сообщений отсылаемых внутри организации. По умолчанию выключено.