СБ

Случайно наткнулся в блоге Паши Нагаева на пост о борьбе с зомби-пользователями в правах доступа к общим папкам. В качестве решения в комментариях было предложено решение от Васи Гусева, правда, применительно к одной папке (вложенные не очищались).

Стандартная картинка с правами доступа к общей папке может выглядеть следующим образом:

На картинке прекрасно видно, что происходит с записями в ACL в случае удаления пользователя из AD. Именно поэтому советуют раздавать права на уровне групп, а не отдельных пользователей. Впрочем, в ситуации показанной выше проблема с присутсвием так называемого зомби-пользователя существует, и было бы неплохо её решить. А ещё лучше было бы у всех общих папок скопом всех зомби-пользователей удалить. Скрипт в итоге получился следующий:

Get-PublicFolder -Identity "\" -Recurse | Get-PublicFolderClientPermission | where {$_.User -like "NT User:S*"} | Remove-PublicFolderClientPermission

Скрипт перебирает все общие папки, смотрит в них права доступа и если находит пользователя, начинающегося с «NT User:S», то удаляет его из ACL.

Похоже пора вводить новый тэг.

Вязку делали в самом конце декабря прошлого года вот с этим замечательным британцем. Половина котят будет с голубым окрасом, половина – лиловые. Чистопородные британцы, годные для разведения. В предках 4 чемпиона мира итд. Котята все будут привитые, с медкнижками, можно на них будет получить родословную. Так что кто хочет недорого – обращайтесь =).

Задача – собрать архив сообщений отсылавшихся на группу рассылки Distribution List. Доступ к нему должен быть у нескольких человек, пополняться он должен автоматически. Имеется человек (User1), который утверждает, что у него есть самые старые сообщения от этой группы рассылки.

Решение следующее. Создаём общий почтовый ящик Archive Mailbox, включаем его в группу Distribution List. Таким образом, все новые сообщения для группы Distribution List будут попадать в наш архивный ящик. Осталось заполнить его старыми сообщениями. Сделаем для них специальную папку в корне Archive. Заполнение делается через EMS. Команда выглядит следующим образом:

Export-Mailbox -Identity User1 -IncludeFolders "\Inbox" -TargetMailbox "Archive Mailbox" -TargetFolder Archive -RecipientKeywords "Distributionb List"

Команда делает поиск писем, посланных на Distribution List, в папке Inbox пользователя User1 и копирует их в папку Archive ящика Archive Mailbox. Ключ -IncludeFolders можно убрать – тогда поиск будет идти по всему почтовому ящику (включая календари, контакты, удалённые итд). После завершения процесса достаточно будет переместить скопированные сообщения из папки Archive в папку Inbox в Archive Mailbox.

Проблема: имеется сайт domain.com (хостится на одном из виртуальных серверов одного из провайдеров) на битриксе, в нём настроены различные типы уведомлений, которые уходят на разные адреса в случае наступления определённых условий (отсылкой занимается Exim поднятый на этом виртуальном сервере). Причём, домен domain.com я поддерживаю на своих серверах (то есть зона и все записи находятся у меня, то же самое и с почтой). Уведомления, отправляемые на почтовые ящики домена domain.com, при этом не доходят на мои почтовые сервера. На другие почтовые ящики (например на gmail.com уходит без проблем).

Первое что приходит в голову – посмотреть логи Exim. Сказано – сделано. Поключаюсь по ssh, смотрю, что находится в /var/log, что могло бы быть логами Exim. Нахожу, смотрю. Следующий кусок лога привлекает внимание:

2010-01-25 15:58:20 == root@vps.provider.com domain@domain.com R=localuser T=local_delivery defer (-29): User 0 set for local_delivery transport is on the never_users list
2010-01-25 15:58:22 => s.buldakov@gmail.com R=lookuphost T=remote_smtp H=gmail-smtp-in.l.google.com [209.85.211.20]

Получается, что на мой адрес почта уходит на сервер gmail.com, а на адрес domain@domain.com почта пытается доставится локально, а не на мои почтовые сервера. Непорядок, смотрю /etc/exim.conf. Нахожу следующее:

domainlist local_domains = lsearch; /etc/localdomains

Открываю /etc/localdomains. Вижу следующее:

vps.provider.com
domain.com

Проблема локализована, убираем из него domain.com, рестартуем Exim:

/etc/init.d/exim restart

Теперь можно заняться поисками виновного. =)

Вышел очередной пакет обновлений для Exchange 2007 sp2 под номером 2. Качаем здесь. Описание здесь. Как обычно, советуется предыдущий пакет обновлений удалить перед установкой нового и обеспечить доступ к http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl для обновляемого сервера для успешного завершения процесса обновления.

Новость относительно старая. Тем не менее, информация интересная. Symantec обещает поддержку Exchange 2010 в Enterprise Vault, но только в следующей версии (9.0). Enterprise Vault 8.0 поддерживать Exchange 2010 не будет. Программа бэта-тестирования EV 9.0 начнётся в марте, релиз обещают в мае этого года. Оригинал новости можно посмотреть здесь.

Буквально вчера было объявлено о добавлении новых сценариев в Exchange Deplyment Assistant. Теперь он, кроме миграции Exchange 2003 => Exchange 2010, поддерживает миграции Exchange 2007 => Exchange 2010, Exchange 2003&2007 => Exchange 2010 и новое развёртывание организации Exchange 2010. Инструмент крайне полезный, позволяющий получить практически пошаговый документ по проведению миграции/новой установки Exchange 2010. Из замеченных на текущий момент минусов – не поддерживает в своих сценариях использования/миграции High Availability решений. Впрочем, feedback по этому поводу уже написал (и не я один). Так что, вполне возможно, что к существующим сценариям добавятся миграции кластеров SCR/CCR => DAG и NLB.

Уже начались рождественские службы, так что поздравляю всех православных со светлым праздником Рождества Христова. Сам я грешен, на службы хожу редко, но завтра на утреннюю попробую попасть.

Имеется стандартная задача направлять автоматически письмо с заданным текстом в ответ на приходящее  (ставится обычно отделом кадров – уведомлять соискателей о том, что резюме получено, например). Стандартный автоответчик (Out-of-Office) данную задачу не решает, так как добавляет к теме письма фразу об отсутствии респондента. Как её решить подсказал Олег Крылов, за что ему большое спасибо.

Решается задача через настройку специального правила в почтовом ящике, который должен отсылать автоответ на любое поступившее письмо. Процесс выглядит следующим образом:

Read the rest of this entry »

Сделал миграцию (p2v) контроллера домена (Windows 2003 R2 x64 Ent) с помощью SCVMM 2008 R2 на сервер Hyper-V на базе Windows 2008, потом импортировал эту виртуалку на сервер Hyper-V на базе Windows 2008 R2. После этого (и может и сразу после миграции – к сожалению не отследил виртуалка выпадает в BSOD. Ошибку пишет:

STOP: 0×0000007B (0xFFFFFADFEA40F3C0,0xFFFFFFFFC0000034,0×0,0×0).

Делаю загрузку последней успешной конфигурации – грузится, но отсутствуют все устройства, которые устанавливаются Integrational Services. Через Add/Remove Program удаляю сервисы интеграции. Перегружается успешно. Ставлю их опять – находятся все устройства, но при перезагрузке опять появляется BSOD. Как лечить? Переустановить не получится (DC).

На форумах технета навели на отличнейшую ссылку, которая проблему и решила. Решение выглядит следующим образом:

1. Загружаем виртуалку в режиме LastKnownGoodConfiguration.
2. Открываем реестр и смотрим следующий ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdf01000
3. Он должен иметь значение WdfLoadGroup. В моем случае (и у автора статьи из ссылки) там было base. Меняем на WdfLoadGroup.
4. Удаляем Integration Components.
5. Перегружаем виртуалку в обычном режиме.
6. Устанавливаем Integration Components заново.

По словам автора статьи, проблема была в том, что для загрузки драйвера хранилища требовалось подгрузить Windows Driver Framework (WDF), который не подгружался. Соответственно, не загружался драйвер хранилища, поэтому операционная система при запуске и вываливалась в BSOD с ошибкой о недоступности загрузочного устройства. Причиной же этого было некорректное значение соответствующего ключа реестра.

Совсем незаметно Масе исполнился год. Встретила она его на выставке в Ульяновске 12 декабря. Встретила вполне успешно, заработав второй CAC.

Наконец-таки дошли руки до интеграции SCVMM и OpsMgr. По идее, процесс выглядит достаточно просто – на сервере с OpsMgr ставится интеграционная компонента с диска SCVMM, на сервере с SCVMM ставится консоль OpsMgr. Затем в консоли SCVMM указывается корневой сервер OpsMgr. Всё выглядит просто в случае установки обоих продуктов на один сервер. Если же сервера разные, кроме этого базы хранятся на третьем сервере, то начинаются разные весёлые приключения.

Сам процесс интеграции в простейшем случае (всё на одном сервере) можно посмотреть здесь.

У меня же процесс интеграции застрял на этапе указания корневого сервера OpsMgr. Попытка возвращала ошибку «VMM service does not have necessary privileges to access the Operations Manager SDK service on <servername>. Add VMM service account as an administrator to the Operations Manager Server and try the operation again». Ниже небольшое описание того, как я ошибку победил.

1. Добавляем в группу локальных администраторов на корневом сервере OpsMgr сервисную учётную запись VMM.

2. Нужно дать права на чтение и на запись SPN для сервисной учётной записи OpsMgr SDK. Делается это через ADSIEdit следующим образом:

• В разделе Default naming context ищем сервисную учётную запись OpsMgr SDK.
• В её свойствах на закладке Security переходим в расширенные настройки (кнопка Advanced).
• Добавляем учётку SELF, на закладке Properties указываем область применения – This object only. Ставим галки Allow напротив Read servicePrincipleName и Write servicePrincipleName.
• После этого надо перезапустить сервис System Center Data Access на корневом сервере OpsMgr.

3. Создаём доменную глобальную группу VMMAdmins, добавляем в неё сервисную учётную запись VMM и учётную запись сервера VMM (объект компьютер).

4. Добавляем эту группу в Operations Manager Administrators через консоль OpsMgr (Administration => Security => User Roles => Operation Manager Administrators). Опять перезапускаем System Center Data Access (net stop OMSDK && net start OMSDK).

5. Перезапускаем сервер SCVMM, после этого через консоль VMM добавляем сервер OpsMgr (или через PoSh – Set-VMMServer -VMMServer <SCVMM Server> -OpsMgrServer <OpsMgr RMS Server>).

Честно говоря, для меня необходимость всех пяти пунктов неочевидна, так же как и их очерёдность. Впрочем, после их выполнения у меня интеграция заработала.

В настройках Junk E-mail в Outlook есть возможность составлять списки безопасных отправителей, письма от которых не будут проверяться локальным спам-фильтром. Кроме этого, в административных шаблонах Outlook 2003 и Outlook 2007 для групповых политик есть пункт «Specify path to Safe Senders list». По идее, в нём можно указать путь до файла txt со списком безопасных отправителей (список в формате: одна строка – одна запись). По умолчанию, этот список добавляется к существующему списку пользователя. Если нужно его подменить (то есть старые записи удалить и оставить только те, которые есть в txt файле) – необходимо задействовать настройку «Overwrite or Append Junk Mail Import List». Что удивительно – при включении этих пунктов ничего не произошло. Хотя в реестре появились необходимые ключи. После небольшого поиска наткнулся на причину этого странного поведения «The GPO is missing a key setting (…) after the GPO approach didn’t work. The missing registry value is JunkMailImportLists (DWORD). To make it available to your policy object, you’ll need to modify the Outlk11.adm file to add the following policy information». Итого, в сухом остатке, необходимо внести в шаблоны групповых политик (outlk11.adm и outlk12.adm) следующее: для outlk11.adm

POLICY "Junk Mail Import List"
PART "Check to import junk mail lists" CHECKBOX
VALUENAME JunkMailImportLists
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
END POLICY

для outlk12.adm

POLICY !!L_JunkMailImportList
PART !!L_Checktoimportjunkmaillists CHECKBOX
VALUENAME JunkMailImportLists
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END PART
EXPLAIN !!L_JunkMailImportListExplain
END POLICY

кроме этого в outlk12.adm в секцию [Strings] надо внести следующее

L_JunkMailImportList="Junk Mail Import List"
L_Checktoimportjunkmaillists="Check to import junk mail lists"
L_JunkMailImportListExplain="Your should enable Import List to add
SafeSenders List file"

В итоге RSOP выдаст примерно следующее:

Microsoft Office Outlook 2003/Tools | Options…/Preferences/Junk E-mail

    Junk Mail Import List Enabled
        Check to import junk mail lists Enabled

    Overwrite or Append Junk Mail Import List Disabled
    Specify path to Safe Senders list Enabled
        Specify full path and filename to Safe Senders list \\DC\NETLOGON\SS.txt

Microsoft Office Outlook 2007/Tools | Options…/Preferences/Junk E-mail

    Junk Mail Import List Enabled
        Check to import junk mail lists Enabled

    Overwrite or Append Junk Mail Import List Disabled
    Specify path to Safe Senders list Enabled
        Specify full path and filename to Safe Senders list \\DC\NETLOGON\SS.txt

Вышло обновление около полутора недель назад. Обновление примечательно тем, что изменён процесс его установки, что позволяет снизить время простоя Exchange при установке обновления. Каким образом это реализовано?

• В течение установки её можно остановить и отменить. При установке предыдущих RU кнопка Cancel присутствовала, но большую часть времени была недоступна.
• Перед установкой проводятся следующие проверки: проверка возможности доступа с сервера Exchange в интернет (попытка обойти проблему с недоступностью CRL во время устновки RU) и проверка необходимых прав доступа учётной записи которая запускает установке RU.
• Генерация файлов обновления проходит в два этапа: сначала создаются не-Exchange файлы (в это время все сервисы Exchange работают), потом создаются новые файлы Exchange (в это время сервисы Exchange останавливаются).
• Можно установку обновления засунуть в PoSh-скрипт, и перед его непосредственной установкой остановить некоторые сервисы (например, почтовый антивирус) или совершить какие-либо дополнительные действия, а после завершения установки запустить всё назад.

Фактически получается, что сервисы Exchange будут недоступны только во второй части третьего пункта.

Недели 3 назад стал доступен Sp3 для Enterprise Vault 8.0. Что же нового появилось после его установки?

1. Virtual Vault. Теперь пользователь получает доступ к своему архиву напрямую, не используя Archive Explorer, через стандартную папку в Outlook. С одной стороны это даёт много новых интересных возможностей пользователю при работе с архивом и решение старых проблем, с другой стороны для его подключения необходимо выполнить ряд достаточно жёстких условий.
2. Расширен функционал утилиты EVSVR.
3. Расширено число поддерживаемых клиентов EV для Entourage версий. Теперь поддерживаются:

• Microsoft Entourage 2004 с версии 11.4.0 и старше 
• Microsoft Entourage 2008 с версии 12.1.5 и старше 

Стоит подробно остановиться на Virtual Vault. Более подробное описание ниже.

Read the rest of this entry »

Успешно перебрался на новый хостинг. Спасибо Федора Коммуникейшнс и лично Кириллу Морозову. =)
Пока полёт нормальный.

При создании ящика пользователя, в нём создаётся ряд стандартных объектов, которые пользователь видит как папки (Inbox, Sent Items итд.). Сами имена этих объектов создаются при первом запуске Outlook пользователем, которому только что создали ящик. Имена эти зависят от локализации Outlook. Если он английский – будут созданы имена на английском языке (типа Inbox), если русский – то на русском языке (типа Входящие). Наступает интересная ситуация, когда сотрудник перемещается из одного регионального офиса в другой. Например, из немецкого в русский. Ящик его переезжает на новый сервер, при этом стандартные имена папок остаются на немецком языке. Возникает задача переименования этих папок. Стандартными средствами переименовать не получится (через контекстное меню команда Rename не доступна для стандартных папок). В Ootlook 2003 приходилось для переименования запускать скрипт. В Outlook 2007 появился ключ запуска программы, который сбрасывает существующие имена стандартных папок и назначает их в соответствии с языком Outlook, который установлен. В итоге достаточно запустить команду

outlook.exe /resetfoldernames

для того, чтобы привести к нужному виду имена стандартных папок переехавшего из другого офиса пользователя.

Вот и дождались. Качать отсюда. Самая полная на текущий момент документация здесь. Ну и в качестве бесплатного довеска Forefront Protection 2010 for Exchange Server RC.

Были в прошлые выходные на выставке. Выставляли Масю. Мася заработала первую свою медальку САС. Ещё 2 таких и к её имени из родословной можно официально будет подписывать Ch. (то бишь чемпион). А вот собственно и она на выставке: