Заметки IT Менеджера

10.03.2015

Аккаунты с выключенным наследованием прав доступа и Exchange 2013/Lync 2013

Exchange_2013

 

В процессе внедрения Exchange или Lync можно столкнуться с акантами, для которых не работает или работает странно часть функционала Exchange 2013 или невозможность активировать аккаунт для работы в Lync 2013. На самом деле эти проблемы могут возникать и в более ранних версиях этих продуктов.

Расследование показывает, что эти аккаунты существуют давно и имеют или имели когда-то более широкие права чем другие. Самый распространенный случай – выданные права администраторов домена.

Собственно внедрение этих продуктов хороший повод к проведению аудита прав, лишения их у тех кому это не нужно в принципе, а тем, кому это все-таки нужно следует перейти на двуаккаунтную работу. Один аккаунт будет иметь рядовые права в домене и он же будет использоваться в Exchange/Lync, ну а второй будет использоваться для целей администрирования.

Сама по себе проблема связана с отключенным наследованием прав доступа к аккаунту. Можно зайти в каждый проблемный аккаунт и вручную включить наследование и это поможет. Но, через какое-то время (около часа) все вернется на место. Это связано с тем, что для аккаунтов, которые входят в так называемые защищенные группы, наследование на регулярной основе сбрасывается.

(more…)

Реклама

15.04.2014

Решение проблем с Outlook Address Book

Microsoft Outlook 2013Время от времени в компаниях, использующих Exchange всплывают проблемы с записями в адресной книге Outlook. Обычно это выражается в том, что какие-то записи отсутствуют, хотя и должны, какие-то присутствуют, хотя их не должно быть. Зачастую, полная закачка адресной книги занимает существенное время, что тоже, мягко говоря, неудобно.

В общем, привожу ряд того, что может решить эти проблемы как на серверной стороне, так и на клиентской.

1. Обновить адресную книгу
Get-OfflineAddressBook | Update-OfflineAddressBook

2. Обновить ее в местах распространения:
Get-ClientAccessServer | Update-FileDistributionService -Type OAB

 

3. Изменить расписание для генерации адресной книги:
Set-OfflineAddressBook «Default Offline Address Book» –schedule «So.05:00-So.05:15, Mo.05:00-Mo.05:15, Di.05:00-Di.05:15, Mi.05:00-Mi.05:15, Do.05:00-Do.05:15, Fr.05:00-Fr.05:15, Sa.05:00-Sa.05:15»

(more…)

10.12.2013

NDR при отправке сообщений от имени группы рассылки в Exchange 2013

exchange_2013Практика показывает, что Exchange “не любит” отсылать NDR сообщения на группу. В общем-то, зачастую, это и не нужно. Но есть ситуация, когда пользователь отправляет сообщение от имени группы и, конечно же, хочет знать о случаях когда оно не дошло.

Для того, чтобы это заработало нужно сделать несколько пунктов:

1. Переключить отправку NDR от отправителя к менеджеру (владельцу)
Get-DistributionGroup Group1| Set-DistributionGroup -ReportToManagerEnabled $true -ReportToOriginatorEnabled $false

2. Включить нужных пользователей в список owners (владельцев) и их же в список Send As. При этом, если вдруг вы пропишете их еще и в список Send on Behalf, то работать не будет

03.12.2013

Некоторые пользователи не могут подключиться с мобильных устройств к Exchange 2013

exchange_2013В процессе настройки обнаружилась странная вещь. Часть пользователей с абсолютно идентичными настройками не могла подключиться с мобильных устройств (Android). Пользователи “старые”, но самое главное, что AD не новое и пережившее несколько обновлений.

Первые поиски ничего особенного не дали, но затем было найдено решение, которое решало эту проблему.

Оказалось, что у этих пользователей в настройках безопасности отключено наследование. Если его включить, то все начинает работать.

Итак

 

Запускаем Active Directory Users and Computers

  1. Включаем в меню View пункт Advanced Features
  2. Переходим к нужному пользователю и заходим в его Properties
  3. Закладка Security
  4. Если интерфейс Windows Server 2012, то внизу слева будет кнопка, если она в положении Enable inheritance, то нажать, т.к. оно не включено. Потом подтвердить применение. Если ту же операцию делать на Windows Server 2008, то вместо кнопки будет чекбокс Include inheritable permissions from this object’s parent.

26.11.2013

Смена устаревшего пароля с помощью OWA для Exchange 2013

 

exchange_2013

Смена пароля с помощью OWA в Exchange – очень удобная функция, особенно для удаленных сотрудников, которые пользуются, в основном, почтой. Человек заходит в свою почту, там идет в параметры и меняет старый пароль на новый. Для нового сотрудника все сложнее, приходится давать ему какой-то пароль, а потом контролировать то, чтобы он его поменял, что не очень удобно, особенно если таких сотрудников много.

Ранее, в Exchange 2007 & Exchange 2010 были способы, которые помогали в настройке этой функции. Они требовали некоторых манипуляций с реестром. Как оказалось, в Exchange 2013 старые способы уже не работают.

Так что же делать, если нужно пароль устарел или включена функция поменять при следующем входе?

Все достаточно просто. Нужно зайти на каждый из серверов с ролью CAS, там запустить IIS Manager, в нем перейти на Default Web Site, потом на виртуальный каталог owa, затем выбрать Authentication и для Basic Authentication прописать в поле Default domain значение “\” и нажать OK.

После этого нужно запустить команду iisreset /noforce

Это справедливо для Exchange 2013 и Windows Server 2012.

Мне этого оказалось достаточно, хотя советовали еще и уменьшить минимальный срок действия пароля с одного дня до нуля.

19.11.2013

Exchange 2013 ошибка smtp 421 4.3.2 Service Not Available

Exchange 2013

В процессе настройки вылезла интересная проблема, время от времени smtp сервис перестает отвечать на запросы и вместо этого начинает выдавать ошибку
421 4.3.2 Service Not Available

Если перезапустить сервис транспорта (Micorosoft Exchange Transport), то на какое-то время проблема исчезает, но, затем, снова появляется. Метод лежащий на поверхности – поставить в шедуллер маленький скриптик, который будет раз в несколько часов передергивать сервис конечно рабочий, но это классический “костыль” :-)

Оказалось, что дело в созданных Receive Connector, точнее в их конфликте с базовыми. Для устранения проблемы нужно переписать или запомнить параметры созданных вами соединителей, затем удалить их и создать новые. При создании нужно в переключателе “Role” выбирать “Frontend Transport”, а не “HUB Transport”, который выбран по умолчанию.

Это то решение, которое помогло мне и даже в процессе поиска показалось самым логичным. Кроме того, встречались советы, которые якобы помогли людям:

  • Отключить MailWare filter: Set-MalwareFilteringServer -BypassFiltering $true
  • Прописать в файл hosts ipv4 адреса серверов Exchange как в FQDN так и просто имя сервера

Эти советы я даже и не проверял, но если вам не поможет способ с изменением роли соединителя, то можете попробовать.

04.11.2013

Очистка AD от Exchange 2013

exchange_2013Оказалось, что очистить окружение от Exchange 2013 — это не самая простая задача. В простейшем случае, если все штатно, то нужно просто запустить uninstall из соответствующей оснастки Control Panel или из командной строки.
Но моя ситуация была интереснее. AD был уже подготовлен и установлено два сервера в виртуалки на Windows Server 2012. Но, виртуалки, по независящим от меня причинам, были сильно повреждены. Но не беда, настройки-то еще как таковой не было! Устанавливаю их по новой, запускаю setup и … Exchange сообщает, что он таки уже как бы есть и его нужно только восстановить. Запускаю восстановление на обоих серверах. Все хорошо, теперь есть оба Exchange, правда самих баз, на которые они ссылаются нет. Ну не беда, сейчас я их штатно удалю, а затем поставлю заново, начисто. Второй сервер удалился без вопросов. А вот первый отказался это делать, т.к. его сильно беспокоили “призраки” системных, да и не только, почтовых ящиков. При всем при этом, он мне красиво рассказывал как именно найти и отключить эти самые ящики. Одна проблема, для этого нужна база, созданная первой на первом из серверов, причем в живом состоянии! Взять ее негде. Что можно сделать? Да грохнуть эти аккаунты в AD! Это, конечно хорошо, но не решит до конца всех вопросов, кроме аккаунтов есть ссылки на базы в AD, на сервер, на группы и т.д. и т.п. Кстати, после какого-то из этапов появляется замечательная ошибка:
“Couldn’t find the Enterprise Organization container”,которую можно использовать как маркер.

В конечном итоге было найдено решение по очистке, которое и привело к нужному результату.

Итак, в случае ошибки типа
“ was run: ”An error occurred with error code ‘3221684226’ and message ‘The system cannot find the file specified. ‘.”
Нужно просто установить RSAT:
Install-WindowsFeature RSAT-ADDS, RSAT-ADDS-Tools

(more…)

28.08.2013

Настройка выбора помещений и времени в Exchange 2013/2010

exchange_2013Как оказалось, настройка в помощнике по планированию Outlook подсказки по выбору помещений и времени далеко не так тривиальна как мне казалось.

Настраивал в тестовой среде Exchange 2013 с клиентами в виде Outlook 2007 и Outlook 2013. К моему удивлению, в Outlook 2007 подсказки по варианту выбора времени работали, ну а подсказок по выбору помещений там и нет. Ну а в Outlook 2013 оба эти списка были пустыми и даже светилась надпись “Предоставление вариантов невозможно, поскольку не удается получить данные о доступности”. Но, что самое интересное, данные о доступности людей были доступны и видны в календаре! Более того, из скриншотов в интернет было видно, что должно быть еще одно выпадающее меню со списком помещений.

Итак, чтобы настроить списки помещений и т.д. нужно:

Создать ресурсы помещений, а затем создать специальную группу или набор таких групп, которые бы содержали такие помещения, например

New-DistributionGroup -Name «TST Meeting Rooms Group» -PrimarySMTPAddress roomgroup1@tst.ua -RoomList
Add-DistributionGroupMember -Identity «TST Meeting Rooms Group» -Member «Conference Room 1»
Add-DistributionGroupMember -Identity «TST Meeting Rooms Group» -Member «Conference Room 2»

(more…)

14.08.2013

Security fix MS13-061 breaks content index on Exchange Server 2013

This problem occurs with following symptoms:

  • Content index (CI) for mailbox databases shows Failed on affected server.
  • The Microsoft Exchange Search Host Controller service is missing.
  • You see a new service named «Host Controller service for Exchange».

Workaround:

To work around the problem, update the following registry entries.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Search Foundation for Exchange

Set the value of the DataDirectory registry entry to the Data directory path for your Exchange Server installation.

Example
Your Exchange installation directory is C:\Program Files\Microsoft\Exchange Server\V15. Then set the value of the DataDirectory registry entry to «C:\Program Files\Microsoft\Exchange Server\V15\Bin\Search\Ceres\HostController\Data«.

Collapse this imageExpand this image

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HostControllerService

  1. Set the value of the DisplayName registry entry to «Microsoft Exchange Search Host Controller«.
  2. Add a new Multi-String Value named DependOnService and set its value to «http«.
  3. Restart the Microsoft Exchange Search Host Controller service.

Note Change to the service display name will take effect after you restart the server.

Оригинал

Блог на WordPress.com.

%d такие блоггеры, как: