Обновление: мероприятие так же будет проходить в оффлайн-режиме в МТЦ.

Очередная встреча UC² под номером 18 состоится уже через неделю, в последний вторник сентября – 27 числа, как обычно с 18-00 до 21-00. Встреча будет проходить в ОНЛАЙН-режиме. А вот кто будет выступать:

1. Дмитрий Плохих (Microsoft, PFE Exchange Server)

   Тема: Современные общие папки: под капотом.
   – Обзор архитектуры, отличия от «классических» общих папок
   – Репликация иерархии
   – Клиентский доступ и современные общие папки
   – Поиск неисправностей в работе репликации и клиентском доступе
   – Обзор процесса миграции

2. Димо Илиев (KEMP Technologies)

   Тема: Cильные и слабые стороны KEMP Technologies согласно “Gartner 2016 Magic Quadrant Application Delivery Controllers”.
   – Аналитика и обзор рынка
   – KEMP Technologies, сильные и слабые стороны согласно “2016 Magic Quadrant Application Delivery Controllers”
   – “Важнейшие возможности”:

   Infrastructure Load Balancing
   Standard Enterprise Apps
   Customized Enterprise Apps
   Mid-Market ADC
   Mode 2 App Development
   Mode 1 / Mode 2 Hybrid ADC

Регистрация на встречу как обычно тут.

Очередная встреча UC² под номером 17 состоится в ближайший вторник 30 августа, как обычно с 18-00 до 21-00. Встреча будет проходить в ОНЛАЙН-режиме. А вот кто будет выступать:

1. Константин Гузнин, Системный инженер, MCSE

   Тема: Управление доступом на основе ролей (RBAC) в Exchange Server 2016/2013/2010. Основные понятия и примеры использования.
   В докладе будет теория и демонстрации. Константин поделится практическим опытом и своими рекомендациями.

2. Дмитрий Черников, PFE Skype for Business, Microsoft

   Тема: Устранение проблем клиентских подключений в Skype for Business.
   В данной сессии мы рассмотрим, как происходит подключение клиентов Lync/SfB, средства и способы устранения проблем при подключении.
   Тема (если останется время). Глубокое погружение в Skype Meeting Broadсast.

Регистрация на встречу как обычно тут.

Обновление. Записи доступны по ссылкам:
UC². Встреча №17. Константин Гузнин. Управление доступом на основе ролей (RBAC) в Exchange Server
UC². Встреча №17. Дмитрий Черников. странение проблем клиентских подключений в Skype for Business

Очередная встреча UC² под номером 16 состоится в ближайший вторник 26 июля, как обычно с 18-00 до 21-00. Встреча будет проходить в онлайн-режиме. А вот кто будет выступать:

1. Михаил Сартаев (MCSE: Messaging, MCSE: Communication), Системный архитектор в компании АйТи

   •Мультитенантность в Exchange:

   – Описание мультитенантности
   – Архитектура внедрения
   – Особенности развертывания
   – Ограничения мультитенантного решения.

2. Виктор Овчинников, Технический директор, AudioCodes Enterprise Russia&CIS

   •Least Cost Routing для Cloud PBX и варианты построения централизованной маршрутизации для распределенных компаний.
   •Варианты построения отказоустойчивого офиса Skype For Business. Бюджетное решение отказоустойчивости удаленных офисов для Microsoft UC — AudioCodes One Voice Resiliency.

Регистрация на встречу как обычно тут.

Обновление. Записи доступны по ссылкам:
Встреча UC2 номер 16. Мультитенантность в Exchange. Михаил Сартаев
Встреча UC2 номер 16. Least Cost Routing для Cloud PBX. Виктор Овчинников

Итак, первые серверы у нас установлены. Теперь необходимо их настроить и подготовить к миграции. Все ниже описанные действия выполняются на любом из серверов Exchange 2016.

Ввод серийных номеров

Выполняется командлетами:

"mbx161","mbx162" | Set-ExchangeServer -ProductKey XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

После этого необходимо перегрузить сервис Microsoft Exchange Information Store.

Invoke-Command -ComputerName mbx161 {Restart-Service MSExchangeIS}

Invoke-Command -ComputerName mbx162 {Restart-Service MSExchangeIS}

Наконец, проверяем, что серверы себя начали считать полноценными:

[PS] C:\>Get-ExchangeServer | ft Name,Edition,IsExchangeTrialEdition -a

Name   Edition    IsExchangeTrialEdition
----   -------    ----------------------
MBX101 Enterprise False
MBX102 Enterprise False
MBX161 Enterprise False
MBX162 Enterprise False

Установка сертификата

Процедура получения и установки сертификатов не поменялась со времени Exchange Server 2010. Запросить/установить сертификат можно как через графический интерфейс EAC, так и через шелл EMS.

Настройка веб-сервисов

Чтобы миграция прошла более гладко настройки веб-сервисов на Exchange 2010 и на Exchange 2016 должны совпадать в части URL, на которые обращаются клиенты.

"mbx161","mbx162" | Get-ExchangeServer | Get-OWAVirtualDirectory | Set-OWAVirtualDirectory 
-InternalURL https://webmail.o365lab.pro/owa -ExternalURL https://owa.o365lab.pro/owa

"mbx161","mbx162" | Get-ExchangeServer | Get-ECPVirtualDirectory | Set-ECPVirtualDirectory 
-InternalURL https://webmail.o365lab.pro/ecp -ExternalURL https://owa.o365lab.pro/ecp

"mbx161","mbx162" | Get-ExchangeServer | Get-OABVirtualDirectory | Set-OABVirtualDirectory 
-InternalURL https://webmail.o365lab.pro/oab -ExternalURL https://owa.o365lab.pro/oab

"mbx161","mbx162" | Get-ExchangeServer | Get-ActiveSyncVirtualDirectory | 
Set-ActiveSyncVirtualDirectory 
-InternalURL https://webmail.o365lab.pro/Microsoft-Server-ActiveSync 
-ExternalURL https://owa.o365lab.pro/Microsoft-Server-ActiveSync

"mbx161","mbx162" | Get-ExchangeServer | Get-WebServicesVirtualDirectory | 
Set-WebServicesVirtualDirectory -InternalURL https://webmail.o365lab.pro/EWS/Exchange.asmx 
-ExternalURL https://owa.o365lab.pro/EWS/Exchange.asmx

"mbx161","mbx162" | Get-ExchangeServer | Get-MapiVirtualDirectory | Set-MapiVirtualDirectory 
-InternalURL https://webmail.o365lab.pro/mapi -ExternalURL https://owa.o365lab.pro/mapi

Кроме этого необходимо на всех серверах включить OA, если не включен, и настроить его на использование NTLM.

Новый DAG

Необходимо создать новый DAG:

New-DatabaseAvailabilityGroup -Name DAG16 
-DatabaseAvailabilityGroupIPAddresses ([System.Net.IPAddress]::None) -WitnessServer MBX101

И добавить в него новые серверы:

Add-DatabaseAvailabilityGroupServer -Identity DAG16 -MailboxServer mbx161
Add-DatabaseAvailabilityGroupServer -Identity DAG16 -MailboxServer mbx162

Далее остался ряд небольших задач, которые завершают настройку:

• Настроить интеграцию со Skype for Business в OWA, как описано тут
• Настроить принимающие коннекторы, как они настроены в Exchange 2010
• Создать в новом DAG новые базы под миграцию почтовых ящиков

Полезные ссылки:
Миграция на Exchange 2016: установка первых серверов
Configure instant messaging integration with Outlook on the web

Итак, предыдущий пост прочитан. Ящик валерьянки закуплен. Можно двигаться дальше.

Балансировщики и общая схема

В качестве подготовительного шага немного добавим правил на существующий балансировщик нагрузки. Предыдущая конфигурация балансировщика на примере Kemp VLM описана здесь. Помимо штатных правил я добавил новый VIP для HTTPS-трафика для Exchange 2010, чтобы избежать проблемы с Ambiguous URLs, а так же добавил новый VIP для HTTPS-трафика сервера Exchange 2016. Табличка с адресами получается следующая:

Картинка с правилами на балансировщике:

Сама схема тестовой лабы выглядит примерно следующим образом:

Имея эту схему на руках можно приступать к установке серверов Exchange 2016.

Установка пререквизитов

Ставить будем на Windows Server 2012R2. Список поддерживаемых ОС можно посмотреть тут. Предварительно ставим все необходимые компоненты операционной системы:

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, 
RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, 
RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, 
Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, 
Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, 
Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, 
Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, 
Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

После чего устанавливаются .NET Framework 4.5.2 и Microsoft Unified Communications Managed API 4.0.

После установки всех сопутствующих обновлений и перезагрузки сервера можно начинать устанавливать сам сервер Exchange 2016.

Установка сервера Exchange 2016

В процессе установки сервер подготовит схему, раздел конфигурации и доменные разделы. Более подробно процедуру подготовки со всеми требуемыми правами я описывал тут. Со стороны установщика поменялось только одно – все команды требуют использования ключа /IAcceptExchangeServerLicenseTerms. Таким образом, нам нужно будет запускать следующую последовательность команд:

setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms

Можно отдельно этого не делать и запускать установщик от учётной записи, входящей в группы Schema Admins и Enterprise Admins. Проверить готовность можно по версиям обновлённых объектов. Список версий можно посмотреть тут.

Сама установка запускается следующим образом:

setup.exe /Mode:Install /Roles:Mailbox   /IAcceptExchangeServerLicenseTerms

Сразу по завершении установки необходимо будет через EMS на новом сервере исправить настройку автообнаружения нового сервера. По умолчанию, служба автообнаружения будет отправлять клиентов на себя, а при отсутствии нормального сертификата, который мы ещё не успели выписать, клиент будет получать предупреждение о том, что источник данных службы автообнаружения использует не доверенный сертификат:

Set-ClientAccessService -Identity mbx161 
-AutodiscoverServiceInternalURI https://webmail.o365lab.pro/Autodiscover/Autodiscover.xml

После установки второго сервера:

Set-ClientAccessService -Identity mbx162 
-AutodiscoverServiceInternalURI https://webmail.o365lab.pro/Autodiscover/Autodiscover.xml

Серверы можно перегружать.

Полезные ссылки:
Миграция на Exchange 2016: вводные данные и подготовка
Kemp VLM: настраиваем Exchange 2010
Ambiguous URLs and their effect on Exchange 2010 to Exchange 2013 Migrations
Exchange 2016 system requirements
Exchange 2016 prerequisites
Миграция на Exchange 2010: подготовка домена
Prepare Active Directory and domains

Очередная встреча UC² будет совмещена со встречей сообщества IT Pro. В связи с этим встречаемся не в последний вторник месяца, а в последний четверг месяца, то есть 23 июня с 19-00 до 21-30. Встреча будет проходить в Технологическом Центре Microsoft (MTC) и транслироваться средствами Skype for Business Online. А вот кто будет выступать:

1. Вадим Поданс, “Миграция с SHA1 на SHA2, мифы и реальность”

   В процессе доклада Вадимс опишет проблематику (уязвимость SHA1 на предмет коллизий) и политику вендоров в отношении SHA1. Обозначит стратегии миграции (обновление существующей инфраструктуры или миграция в новый PKI) и какие критерии будут влиять на выбор. А так же расскажет, как планировать и производить миграцию при обновлении существующей инфраструктуры с использованием демонстрации.

2. Олег Крылов, “Управление Exchange Server с помощью Desired State Configuration”

   В докладе будет рассмотрена концепция применения декларативных конфигураций на базе технологии Desired State Configuration с использованием кастомного модуля PowerShell в условиях on-premise инсталляций. Будут разобраны как технические, так и архитектурные моменты. И все это с живой демонстрацией работы данной концепции.
   Это доклад, который Олег по техническим причинам не успел подготовить для MVP Community Roadshow, проходившем в Санкт-Петербурге 7 июня.

Регистрация на встречу как обычно тут.

Обновление. Записи доступны по ссылкам:
UC². Встреча №15. Олег Крылов. Управление Exchange Server с помощью Desired State Configuration

Давно я не брал в руки шашку. Поэтому миграция будет между крайними версиями 2010 и 2016 с пропуском версии 2013. Схема миграции в основном совпадает со схемой миграции 2007 → 2010. Кратко выглядит следующим образом:

• Установка первых серверов, формирование DAG, подготовка точек подключения клиентов
• Переключение клиентов с точек подключения Exchange 2010 на точки подключения Exchange 2016
• Миграция пользовательских данных
• Вывод из эксплуатации серверов Exchange 2010

Перед первой фазой категорически приветствуется ознакомление с документацией и пилотная миграция в изолированной среде.

На текущий момент имеются следующие известные проблемы, которые могут попортить кровь в процессе миграции и которых можно избежать в процессе предварительной подготовки:

• Имеется известная бага/фича в работе приложения Autodiscover в Exchange 2016. Приложение кеширует данные в течение двух часов. Сразу после миграции ящика Autodiscover продолжит отдавать клиенту закэшированные данные со старыми настройками клиента. Это приводит к тому, что клиент Outlook в течение жизни кэша перенаправляется на старый сервер. Обходных путей решения проблемы ровно два:

– делаем вручную или автоматически recycle пула Autodiscover, это приведёт к сбросу кэша и клиент получит новые данные при следующем обращении
– пересоздаём локальный почтовый профиль пользователя

• В старых версиях Exchange 2010 в инструкциях по планированию очень невнятно описаны рекомендации по планированию пространства имен для разных типов клиентов. В частности, сильно вскользь затронут момент с совпадением fqdn массива серверов CAS (CAS-Array) и точек подключения веб-клиентов (OA). В общем, это не рекомендуется делать. То есть RPC-клиенты будут обращаться к CAS-Array по одному доменному имени, а веб-сервисы должны быть доступны по другому. Если этого не придерживаться, то при миграции мы получим неработающих клиентов на новых серверах, как это описано тут. Связано это с тем, что Exchange 2016 про RPC-клиентов не знает вообще ничего. Всех клиентов он по умолчанию считает веб-клиентами. Сразу после миграции клиент попытается подключиться к CAS-Array (точка подключения для RPC-клиентов) на новом сервере, который про CAS-Array не знает ничего. На этом в общем то всё для клиента и закончится.

Самым правильным в данной ситуации, с моей точки зрения, будет поменять fqdn точки подключения веб-клиентов. Процедура эта проходит прозрачно для клиентов и не требует перезапуска, в отличие от смены fqdn точки подключения RPC-клиентов. По ссылке выше так же указан вариант с принудительным переключением всех клиентов на OA. Мне он нравится меньше, так как требует предварительных подготовительных работ.

• При использовании связки Windows Server 2008 R2 + Exchange 2010 после миграции ящика может поломаться авторизация клиента. Подробнее проблема описана в следующей статье базы знаний. Там же ссылка на обновление, которое это исправляет.
• Обновления, обновления, обновления… Обновляем всё до самых последних обновлений. Операционные системы на серверах и клиентах, серверы Exchange до последнего SP и RU, Outlook на клиентах.

Полезные ссылки:
Ambiguous URLs and their effect on Exchange 2010 to Exchange 2013 Migrations
Outlook Anywhere users prompted for credentials when they try to connect to Exchange Server 2013 or Exchange Server 2016

Задача: имеется список guid-ов объектов в AD, для которых необходимо получить некоторый набор свойств. Объекты могут быть как пользователями, так и группами или контактами. Искать нужно внутри многодоменного леса, объекты могут быть внутри любого домена в лесе. Найти объект, вне зависимости от его типа, можно через командлет Get-ADObject:

Get-ADObject $guid

Небольшое затруднение возникает, если необходимо делать поиск по всем доменам одного леса. Очевидное решение в лоб – взять список доменов и в каждом из них провести поиск:

$Domains = (Get-ADForest).Domains

ForEach ($Domain in $Domains)
{
$Search = Get-ADObject $guid -Server (Get-ADDomain $Domain).PDCEmulator -ErrorAction Stop
}

Работать будет, но с ошибками. Очевидно, что по-конкретному guid-у объект будет возвращаться только из одного домена. Поиск в остальных доменах вернёт ошибку, так как такого объекта там не будет. Поэтому имеет смысл внести в скрипт try-catch:

$Domains = (Get-ADForest).Domains
$Results = @()
ForEach ($Domain in $Domains)
{
  try
  {
    $Search = Get-ADObject $guid -Server (Get-ADDomain $Domain).PDCEmulator -ErrorAction Stop
    $Found = $true
  }
  catch
  {
    $Found = $false
  }
  If ($Found)
  {
    $Results += New-Object PSObject -Property @{
    guid = $guid
    Domain = $Domain
    DistinguishedName = $Search.DistinguishedName
    ObjectClass = $Search.ObjectClass
    Found = $Found
    }
  }
}

Добавляем загрузку из txt-файла списка guid-ов:

$guids = Import-Csv -Path C:\guids.txt
$Domains = (Get-ADForest).Domains
$Results = @()
ForEach ($guid in $guids)
{
  ForEach ($Domain in $Domains)
  {
    try
    {
      $Search = Get-ADObject $guid -Server (Get-ADDomain $Domain).PDCEmulator -ErrorAction Stop
      $Found = $true
    }
    catch
    {
      $Found = $false
    }
    If ($Found)
    {
      $Results += New-Object PSObject -Property @{
      guid = $guid
      Domain = $Domain
      DistinguishedName = $Search.DistinguishedName
      ObjectClass = $Search.ObjectClass
      Found = $Found
      }
    }
  }
}
$Results | Where { $_.Found } | Select guid,Domain,DistinguishedName,ObjectClass,Found

Задача решена и можно запускать скрипт и ждать. Если доменов у нас с десяток, объектов для поиска больше сотни, то ждать придётся долго. Что с эти делать? Искать в глобальном каталоге! Правда, стоит помнить, что он содержит не все аттрибуты объектов. Для поиска в глобальном каталоге используем тот же Get-ADObject, но в ключе -Server нужно будет указать любой ближайший глобальный каталог, по-умолчанию доступный при обращении к порту 3268:

$LocalSite = (Get-ADDomainController -Discover).Site
$NewTargetGC = Get-ADDomainController -Discover -Service GlobalCatalog -SiteName $LocalSite
if (!$NewTargetGC)
{ $NewTargetGC = Get-ADDomainController -Discover -Service GlobalCatalog -NextClosestSite }
$NewTargetGCHostName = $NewTargetGC.HostName
$LocalGC = "$NewTargetGCHostName" + ":3268"

Try-catch при таком поиске нам будет нужен разве что для обработки поиска несуществующих guid-ов. Скрипт немного упростится:

$guids = Import-Csv -Path C:\guids.txt
$Results = @()
$LocalSite = (Get-ADDomainController -Discover).Site
$NewTargetGC = Get-ADDomainController -Discover -Service GlobalCatalog -SiteName $LocalSite
if (!$NewTargetGC)
{ $NewTargetGC = Get-ADDomainController -Discover -Service GlobalCatalog -NextClosestSite }
$NewTargetGCHostName = $NewTargetGC.HostName
$LocalGC = "$NewTargetGCHostName" + ":3268"
ForEach ($guid in $guids) 
{
  Try 
  {
    $Search = Get-ADObject -Identity $guid.guid -Server $LocalGC
  }
  Catch {
  }
  $Results += New-Object PSObject -Property @{
  guid = $guid.guid
  DistinguishedName = $Search.DistinguishedName
  ObjectClass = $Search.ObjectClass
  }
}
$Results | Select guid,DistinguishedName,ObjectClass

Скрипт при этом отрабатывать будет на пару порядков быстрее.

Полезные ссылки:
Powershell Code: Discover a Local Global Catalog for Forest Queries
PowerShell Code: Find User in Active Directory Forest
Get-ADDomainController
Get-ADObject

Вводные данные. Имеется удалённый почтовый ящик, который пока ещё не был вычищен из базы. То есть его видно на вкладке Disconnected Mailbox в EMC. Есть запрос на его выгрузку в pst-файл. Переподключим этот ящик к новой учётке и попробуем выгрузить “новый” ящик в pst-файл. Видим вот такую красоту:

[PS] C:\>New-MailboxExportRequest -Mailbox test_mailbox -FilePath \\servername\pst\test.pst
Couldn't connect to the source mailbox.
+ CategoryInfo : NotSpecified: (0:Int32) [New-MailboxExportRequest], RemotePermanentException
+ FullyQualifiedErrorId : 186244BB,Microsoft.Exchange.Management.RecipientTasks.NewMailboxE...
+ PSComputerName : servername

Добавление ключа -v добавляет дровишек:

VERBOSE: [14:03:35.317 GMT] New-MailboxExportRequest : Couldn't connect to the source mailbox.
MapiExceptionCallFailed: Unable to make connection to the server. (hr=0x80004005, ec=1249)
Diagnostic context:
Lid: 59431 EMSMDB.EcDoConnectEx called [length=147]
Lid: 34855 EMSMDB.EcDoConnectEx returned [ec=0x4E1][length=56][latency=31]
Lid: 59505 StoreEc: 0x4E1
Lid: 52465 StoreEc: 0x4E1
Lid: 60065
Lid: 33777 StoreEc: 0x4E1
Lid: 59805
Lid: 52209 StoreEc: 0x4E1
Lid: 56583
Lid: 52487 StoreEc: 0x4E1
Lid: 19778
Lid: 27970 StoreEc: 0x4E1
Lid: 17730
Lid: 25922 StoreEc: 0x4E1

Судя по MapiExceptionCallFailed что-то у нас не так пошло с подключением к ящику по MAPI. Смотрим свойства ящика:

[PS] C:\>Get-CASMailbox test_mailbox | fl mapi*

MAPIEnabled : True
MAPIBlockOutlookNonCachedMode : True
MAPIBlockOutlookVersions :
MAPIBlockOutlookRpcHttp : 

Блокировка онлайн-режима – нехорошо. Меняем:

[PS] C:\>Set-CASMailbox test_mailbox -MAPIBlockOutlookNonCachedMode:$false

После этого экспорт запускается.

Очередная встреча UC² под номером 14 состоится 31 мая во вторник, как обычно с 18-00 до 21-00. Встреча будет проходить в Технологическом Центре Microsoft (MTC) и транслироваться средствами Skype for Business Online. А вот кто будет выступать:

1. Виктор Овчинников, Технический директор, AudioCodes Enterprise Russia&CIS

   •Вопросы безопасности и совместимости при подключении Skype For Business к операторам связи. Подключения аналоговых устройств к Skype For Business.
   •Новая программа сертификации IP телефонов. Что в ней обязательное и что развитие телефонов AudioCodes согласно данной программе.

2. Алексей Акопян, Системный архитектор, «Тритфейс»

   Решения компании Ixia для контроля за SLA с определением показателей качества сетевых услуг
   •Обзор решений Hawkeye и IxChariot компании Ixia по контролю за качественными характеристиками каналов связи.
   •Обзор вариантов использования решений Ixia для анализа готовности инфраструктуры заказчика к использованию MS Unified Communication

Регистрация на встречу как обычно тут.

Обновление. Записи доступны по ссылкам:
UC². Встреча №14. Виктор Овчинников. AudioCodes Enterprise Russia&CIS
UC². Встреча №14. Алексей Акопян. Решения компании Ixia для контроля за SLA