Аккаунты с выключенным наследованием прав доступа и Exchange 2013/Lync 2013

 

В процессе внедрения Exchange или Lync можно столкнуться с акантами, для которых не работает или работает странно часть функционала Exchange 2013 или невозможность активировать аккаунт для работы в Lync 2013. На самом деле эти проблемы могут возникать и в более ранних версиях этих продуктов.

Расследование показывает, что эти аккаунты существуют давно и имеют или имели когда-то более широкие права чем другие. Самый распространенный случай – выданные права администраторов домена.

Собственно внедрение этих продуктов хороший повод к проведению аудита прав, лишения их у тех кому это не нужно в принципе, а тем, кому это все-таки нужно следует перейти на двуаккаунтную работу. Один аккаунт будет иметь рядовые права в домене и он же будет использоваться в Exchange/Lync, ну а второй будет использоваться для целей администрирования.

Сама по себе проблема связана с отключенным наследованием прав доступа к аккаунту. Можно зайти в каждый проблемный аккаунт и вручную включить наследование и это поможет. Но, через какое-то время (около часа) все вернется на место. Это связано с тем, что для аккаунтов, которые входят в так называемые защищенные группы, наследование на регулярной основе сбрасывается.

(more…)

Remote Desktop Connection Manager Download (RDCMan) 2.7

Ну наконец-то!

ILYA Sazonov: ITPro

Вышел новый Remote Desktop Connection Manager 2.7, который поддерживает Windows 8, 8.1, Server 2012 и 2012 R2.

Подробности тут

View original post

Решение проблем с Outlook Address Book

Время от времени в компаниях, использующих Exchange всплывают проблемы с записями в адресной книге Outlook. Обычно это выражается в том, что какие-то записи отсутствуют, хотя и должны, какие-то присутствуют, хотя их не должно быть. Зачастую, полная закачка адресной книги занимает существенное время, что тоже, мягко говоря, неудобно.

В общем, привожу ряд того, что может решить эти проблемы как на серверной стороне, так и на клиентской.

1. Обновить адресную книгу
Get-OfflineAddressBook | Update-OfflineAddressBook

2. Обновить ее в местах распространения:
Get-ClientAccessServer | Update-FileDistributionService -Type OAB

 

3. Изменить расписание для генерации адресной книги:
Set-OfflineAddressBook «Default Offline Address Book» –schedule «So.05:00-So.05:15, Mo.05:00-Mo.05:15, Di.05:00-Di.05:15, Mi.05:00-Mi.05:15, Do.05:00-Do.05:15, Fr.05:00-Fr.05:15, Sa.05:00-Sa.05:15»

(more…)

Lync 2013 — решение проблемы с Certificate could not be published in the database associated with User Services Cluster

Очень неожиданно состоялось мое знакомство с Lync. В жизни не запускал ничего такого масштаба с такими сроками :-)
Сам Lync был установлен базово, все нужные компоненты на одном сервере, включая SQL.

В процессе установки использовал Пошаговое руководство по установке Microsoft Lync Server 2013, оно же еще и тут. Стоит приготовиться к достаточно долгому процессу с кучей этапов. Очень много времени заняли обновления, особенно те, что обновляли SQL.

После запуска и базовой настройки стали подключать клиентов. Клиенты подключаются, но пользователи друг друга не видят и общаться не могут. В event log стали появляться ошибки с текстом:

GetAndPublish web service failed.

Certificate could not be published in the database associated with User Services Cluster [lync1.domain.ua]. Request Details — Entity: [v.bamberduev@.domain.ua], Device Id: [E8CB1B75-B4D0-5FF2-B4A0-B23FFD3AA886], Authenticated User: [sip:v.bamberduev@.domain.ua].
Additional Context: [Publish_Failure: OtherFailure;HttpNoResponse:"lync1.domain.ua"]
Cause: This could be due to network connectivity issues with the remote server, or because the database is down.

(more…)

NDR при отправке сообщений от имени группы рассылки в Exchange 2013

Практика показывает, что Exchange “не любит” отсылать NDR сообщения на группу. В общем-то, зачастую, это и не нужно. Но есть ситуация, когда пользователь отправляет сообщение от имени группы и, конечно же, хочет знать о случаях когда оно не дошло.

Для того, чтобы это заработало нужно сделать несколько пунктов:

1. Переключить отправку NDR от отправителя к менеджеру (владельцу)
Get-DistributionGroup Group1| Set-DistributionGroup -ReportToManagerEnabled $true -ReportToOriginatorEnabled $false

2. Включить нужных пользователей в список owners (владельцев) и их же в список Send As. При этом, если вдруг вы пропишете их еще и в список Send on Behalf, то работать не будет

Некоторые пользователи не могут подключиться с мобильных устройств к Exchange 2013

В процессе настройки обнаружилась странная вещь. Часть пользователей с абсолютно идентичными настройками не могла подключиться с мобильных устройств (Android). Пользователи “старые”, но самое главное, что AD не новое и пережившее несколько обновлений.

Первые поиски ничего особенного не дали, но затем было найдено решение, которое решало эту проблему.

Оказалось, что у этих пользователей в настройках безопасности отключено наследование. Если его включить, то все начинает работать.

Итак

 

Запускаем Active Directory Users and Computers

1. Включаем в меню View пункт Advanced Features
2. Переходим к нужному пользователю и заходим в его Properties
3. Закладка Security
4. Если интерфейс Windows Server 2012, то внизу слева будет кнопка, если она в положении Enable inheritance, то нажать, т.к. оно не включено. Потом подтвердить применение. Если ту же операцию делать на Windows Server 2008, то вместо кнопки будет чекбокс Include inheritable permissions from this object’s parent.

Смена устаревшего пароля с помощью OWA для Exchange 2013

 

Смена пароля с помощью OWA в Exchange – очень удобная функция, особенно для удаленных сотрудников, которые пользуются, в основном, почтой. Человек заходит в свою почту, там идет в параметры и меняет старый пароль на новый. Для нового сотрудника все сложнее, приходится давать ему какой-то пароль, а потом контролировать то, чтобы он его поменял, что не очень удобно, особенно если таких сотрудников много.

Ранее, в Exchange 2007 & Exchange 2010 были способы, которые помогали в настройке этой функции. Они требовали некоторых манипуляций с реестром. Как оказалось, в Exchange 2013 старые способы уже не работают.

Так что же делать, если нужно пароль устарел или включена функция поменять при следующем входе?

Все достаточно просто. Нужно зайти на каждый из серверов с ролью CAS, там запустить IIS Manager, в нем перейти на Default Web Site, потом на виртуальный каталог owa, затем выбрать Authentication и для Basic Authentication прописать в поле Default domain значение “\” и нажать OK.

После этого нужно запустить команду iisreset /noforce

Это справедливо для Exchange 2013 и Windows Server 2012.

Мне этого оказалось достаточно, хотя советовали еще и уменьшить минимальный срок действия пароля с одного дня до нуля.

Exchange 2013 ошибка smtp 421 4.3.2 Service Not Available

В процессе настройки вылезла интересная проблема, время от времени smtp сервис перестает отвечать на запросы и вместо этого начинает выдавать ошибку
421 4.3.2 Service Not Available

Если перезапустить сервис транспорта (Micorosoft Exchange Transport), то на какое-то время проблема исчезает, но, затем, снова появляется. Метод лежащий на поверхности – поставить в шедуллер маленький скриптик, который будет раз в несколько часов передергивать сервис конечно рабочий, но это классический “костыль” :-)

Оказалось, что дело в созданных Receive Connector, точнее в их конфликте с базовыми. Для устранения проблемы нужно переписать или запомнить параметры созданных вами соединителей, затем удалить их и создать новые. При создании нужно в переключателе “Role” выбирать “Frontend Transport”, а не “HUB Transport”, который выбран по умолчанию.

Это то решение, которое помогло мне и даже в процессе поиска показалось самым логичным. Кроме того, встречались советы, которые якобы помогли людям:

• Отключить MailWare filter: Set-MalwareFilteringServer -BypassFiltering $true
• Прописать в файл hosts ipv4 адреса серверов Exchange как в FQDN так и просто имя сервера

Эти советы я даже и не проверял, но если вам не поможет способ с изменением роли соединителя, то можете попробовать.

Очистка AD от Exchange 2013

Оказалось, что очистить окружение от Exchange 2013 — это не самая простая задача. В простейшем случае, если все штатно, то нужно просто запустить uninstall из соответствующей оснастки Control Panel или из командной строки.
Но моя ситуация была интереснее. AD был уже подготовлен и установлено два сервера в виртуалки на Windows Server 2012. Но, виртуалки, по независящим от меня причинам, были сильно повреждены. Но не беда, настройки-то еще как таковой не было! Устанавливаю их по новой, запускаю setup и … Exchange сообщает, что он таки уже как бы есть и его нужно только восстановить. Запускаю восстановление на обоих серверах. Все хорошо, теперь есть оба Exchange, правда самих баз, на которые они ссылаются нет. Ну не беда, сейчас я их штатно удалю, а затем поставлю заново, начисто. Второй сервер удалился без вопросов. А вот первый отказался это делать, т.к. его сильно беспокоили “призраки” системных, да и не только, почтовых ящиков. При всем при этом, он мне красиво рассказывал как именно найти и отключить эти самые ящики. Одна проблема, для этого нужна база, созданная первой на первом из серверов, причем в живом состоянии! Взять ее негде. Что можно сделать? Да грохнуть эти аккаунты в AD! Это, конечно хорошо, но не решит до конца всех вопросов, кроме аккаунтов есть ссылки на базы в AD, на сервер, на группы и т.д. и т.п. Кстати, после какого-то из этапов появляется замечательная ошибка:
“Couldn’t find the Enterprise Organization container”,которую можно использовать как маркер.

В конечном итоге было найдено решение по очистке, которое и привело к нужному результату.

Итак, в случае ошибки типа
“ was run: ”An error occurred with error code ‘3221684226’ and message ‘The system cannot find the file specified. ‘.”
Нужно просто установить RSAT:
Install-WindowsFeature RSAT-ADDS, RSAT-ADDS-Tools

(more…)

Как грамотно уменьшить размер папки WinSxS в Windows 7 SP1

Как грамотно уменьшить размер папки WinSxS в Windows 7 SP1 | Вадим Стеркин.