После установки и настройки серверов Exchange 2010 необходимо переключить клиентов на новые сервера клиентского доступа. При этом следует помнить, что сервера клиентского доступа на базе Exchange 2010 не могут подключаться к серверам почтовых ящиков на базе Exchange 2007 и наоборот. Поэтому старые сервера клиентского доступа можно выводить только после того как на старых серверах почтовых ящиков никакой информации не останется. После переключения клиентского доступа на сервера Exchange 2010 все клиенты будут обращаться на новые сервера прии подключениии. При этом те, чьи почтовые ящики будут находиться на старых серверах почтовых ящиков будут автоматически переадресовываться на старые же сервера клиентского доступа, а вот клиенты с новых серверов почтовых ящиков будут работать в штатном режиме.

Процесс переключения не совсем тривиален и ниже я постарался его описать опираясь на статью из блога команды Exchange.

Все необходимые сертификаты у нас выданы и установлены. Сервера клиентского доступа уже предварительно настроены. Outlook Anywhere на них включен. Не забываем так же, что у нас имеется балансировщик нагрузки, который балансирует клиентские подключения на сервера клиентского доступа.

1. Проверяем параметр ExternalURL на каждом сервере клиентского доступа Exchange 2010 для служб оффлайновой адресной книги, веб-сервисов, активсинка, OWA и Exchange Control Panel (ECP):

Get-OABVirtualDirectory servernameOAB* | fl -ExternalURL
Get-WebServicesVirtualDirectory servernameEWS* | fl -ExternalURL
Get-ActiveSyncVirtualDirectory -Identity servernameMicrosoft-Server-ActiveSync |
fl -ExternalURL
Get-OWAVirtualDirectory servernameOWA* | fl -ExternalURL
Get-ECPVirtualDirectory servernameECP* | fl -ExternalURL

Если на каких-то серверах эти параметры пустые или указывают не на внешний dns-адрес нашего балансировщика, то необходимо будет его указать:

Set-OABVirtualDirectory servernameOAB* -ExternalURL https://hq-hub.domain.com/OAB
Set-WebServicesVirtualDirectory servernameEWS*
-ExternalURL https://hq-hub.domain.com/ews/exchange.asmx
Set-ActiveSyncVirtualDirectory -Identity servernameMicrosoft-Server-ActiveSync
-ExternalURL https://hq-hub.domain.com/Microsoft-Server-ActiveSync
Set-OWAVirtualDirectory servernameOWA* -ExternalURL https://hq-hub.domain.com/OWA
Set-ECPVirtualDirectory servernameECP* -ExternalURL https://hq-hub.domain.com/ECP

2. Если у нас имеются сервера Exchange 2007 в сайтах, которые не имеют выхода в интернет, то необходимо будет скопировать бинарные файлы OWA Exchange 2007 (самую старшую версию – на текущий момент это папка с названием 8.3.192.1, находится в %ProgramFiles%MicrosoftExchange ServerClient AccessOwa) в папку %ProgramFiles%MicrosoftExchange ServerV14ClientAccessOwa на сервера клиентского доступа Exchange 2010. По завершении запускаем IISReset на всех серверах клиентского доступа Exchange 2010.

3. Переносим оффлайновую адресную книгу на сервера Exchnge 2010. Для начала переносим процесс создания адресной книги на один из серверов почтовых ящиков Exchnge 2010 (к сожалению, DAG указать не получится):

Move-OfflineAddressBook "Default Offline Address List" -Server servername

Затем добавляем в её свойства новые точки распостранения, расположенные на серверах клиентского доступа Exchange 2010. Делается это следующим набором команд:

$OABVDir=Get-OABVirtualDirectory -Server servername
$OAB=Get-OfflineAddressBook "Default Offline Address List"
$OAB.VirtualDirectories += $OABVdir.DistinguishedName
Set-OfflineAddressBook "Default Offline Address List" 
-VirtualDirectories $OAB.VirtualDirectories

Процесс повторяется для обоих серверов клиентского доступа. Балансировщик указать не получится. Все это так же можно сделать через EMC: Organization Configuration → Mailbox → Offline Address Book.

4. Проверяем, что все сервера с ролью клиентского доступа и наш балансировщик нагрузки доступны из интернета.

5. Теперь мы готовы к самому процессу переключения функции клиентского доступа со старых серверов Exchange 2007 на новые сервера Exchange 2010. Проверяем что записано в параметре ExternalURL на каждом сервере клиентского доступа Exchange 2007 для служб оффлайновой адресной книги, веб-сервисов, активсинка, и OWA:

Get-OABVirtualDirectory servernameOAB* | fl -ExternalURL
Get-WebServicesVirtualDirectory servernameEWS* | fl -ExternalURL
Get-ActiveSyncVirtualDirectory -Identity servernameMicrosoft-Server-ActiveSync |
fl -ExternalURL
Get-OWAVirtualDirectory servernameOWA* | fl -ExternalURL

Если там указано не имя самого сервера, настройки которого смотрим, то имеет смысл поменять:

Set-OABVirtualDirectory servernameOAB* 
-ExternalURL https://servername.domain.com/OAB
Set-WebServicesVirtualDirectory servernameEWS*
-ExternalURL https://servername.domain.com/ews/exchange.asmx
Set-ActiveSyncVirtualDirectory -Identity servernameMicrosoft-Server-ActiveSync
-ExternalURL https://servername.domain.com/Microsoft-Server-ActiveSync
Set-OWAVirtualDirectory servernameOWA* 
-ExternalURL https://servername.domain.com/OWA

Эта настройка связана с тем, что клиент, чей ящик находится на серверах почтовых ящиков Exchange 2007, при заходе на сервера клиентского доступа Exchange 2010 будет автоматически перебрасываться на адрес указанный в параметре ExternalURL службы, которая запрашивается в данный момент клиентом. Поэтому проще всего указать в этом параметре сами сервера клиентского доступа (или их dns-алиасы, доступные снаружи).

6. Во внешнем и внутреннем dns меняем записи autodiscover.domain.com (A, CNAME, SRV) так, чтобы они ссылались на наш балансировщик нагрузки. Ждём пока dns-кэш на клиентах обновится.

Подробнее процесс рассмотрен в следующих записях блога команды Exchange:
Transitioning Client Access to Exchange Server 2010
Upgrading Outlook Web App to Exchange 2010
Upgrading Exchange ActiveSync to Exchange 2010

Продолжаем нашу миграцию. Ранее было описано как устанавливать и настраивать первые сервера в DAG и NLB. Осталось добавить следующие сервера, чтобы решение стало действительно отказоустойчивым.

Добавляем второй узел в DAG

Процесс добавления практически ничем не отличается от установки первого узла.

У второго узла DAG будут также задействованы 2 сетевых интерфейса. Один для клиентского подключения, второй для внутренней репликации между узлами. Первый интерфейс будет иметь сетевые настройки характерные для клиентов локальной сети предприятия. На интерфейсе для репликации оставляем включенным только Internet Protocol Version 4 и в его свойствах не забываем указать ip-адрес (отличный от ip-адреса интерфейса для репликации первого узла) и маску подсети, gateway и dns-сервера при этом не указываем, так же отключаем регистрацию клиента на dns-сервере (Register this connection’s addresses in DNS). Continue Reading »

Коллега относительно недавно описал решение по хранению данных DPM на стороне провайдера, предоставляющего подобную услугу по хранению – фактически в облаке. Было интересно проверить что же в этом направлении нам предлагает компания Symantec. Полное решение, аналогичное описанному Егором, существует. Более того решение это родное, полностью поддерживаемое Symantec’ом и не требующее дополнительной установки стороннего софта.

Речь идёт о Symantec Protection Network. Фактически SPN представляет собой пачку облачных сервисов, предоставляемых Symantec’ом, которые покрывают большую часть аспектов по защите данных заказчиков. Один из сервисов – Online Storage for Backup Exec нам как раз и нужен. Continue Reading »

При запуске командлет не возвращает списка системных арбитражных ящиков.

Get-Mailbox -Arbitration

Технет говорит следующее про эти ящики:

Arbitration mailboxes are used for managing approval workflow. For example, an arbitration mailbox is used for handling moderated recipients and distribution group membership approval.

Так что желательно эти ящики таки иметь.

Первым делом необходимо проверить создались ли учётные записи этих ящиков. По умолчанию они создаются в контейнере domain.local/Users и называются следующим образом:

  • SystemMailbox{GUID}
  • SystemMailbox{GUID}
  • DiscoverySearchMailbox{GUID}
  • FederatedEmail.GUID

Если таких учётных записей нет, то необходимо повторно запустить процесс подготовки AD с дистрибутива Exchange 2010 (setup.exe /PrepareAD). В процессе подготовки AD они и создаются. Если этого не происходит – необходимо смотреть лог подготовки AD.

Если такие учётные записи есть, то необходимо просто создать для них почтовые ящики следующим набором команд:

Enable-Mailbox –Arbitration –Identity "SystemMailbox{GUID}"
Enable-Mailbox –Arbitration –Identity "SystemMailbox{GUID}"
Enable-Mailbox -Discovery -Identity "DiscoverySearchMailbox{GUID}"
Enable-Mailbox -Discovery -Identity "FederatedEmail.GUID"

Не забываем указывать кавычки – иначе команды не отработают.

Роль сервера почтовых ящиков у нас должна быть отказоустойчивой, поэтому будем использовать Database Availability Group (DAG). Функция эта объединяет кластеры CCR и SCR, которые были доступны в Exchange 2007.

У всех узлов DAG будут задействованы 2 сетевых интерфейса. Один для клиентского подключения, второй для внутренней репликации между узлами. Первый интерфейс будет иметь сетевые настройки характерные для клиентов локальной сети предприятия. На интерфейсе для репликации оставляем включенным только Internet Protocol Version 4 и в его свойствах не забываем указать ip-адрес и маску подсети (например из сети 192.168.0.0/24), gateway и dns-сервера при этом не указываем, так же отключаем регистрацию клиента на dns-сервере (Register this connection’s addresses in DNS).

После этого можно приступать к установке необходимых компнентов системы через powershell:

Import-Module ServerManager
Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,
Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,
RSAT-Web-Server -Restart

После перезагрузки устанавливаем сервер Exchange 2010 с ролью Mailbox:

setup.com /r:M /Mdbname:"HQ Mailbox Database 01"
/DbFilePath:e:db01db01.edb /LogFolderPath:d:log01

Делаем это не через графический режим, чтобы заранее задать имя и расположение самой первой почтовой базы. После очередной перезагрузки сервер готов к настройке роли узла DAG.

Для начала создадим саму группу доступности баз данных:

New-DatabaseAvailabilityGroup -Name HQ-DAG -WitnessServer hq-hub3
-DatabaseAvailabilityGroupIpAddresses ip-address

В нашем случае имя группы будет HQ-DAG (фактически это имя по которому сервер клиентского доступа и транспортный сервер будут общаться с сервером почтовых ящиков), hq-hub3 будет использоваться в качестве сервера свидетеля (при этом нужная папка будет создана автоматически), ip-address – по нему будет доступна наша группа.

Затем добавляем наш первый сервер с ролью сервера почтовых ящиков к нашей группе доступности:

Add-DatabaseAvailabilityGroupServer -Identity hq-dag -MailboxServer hq-mbx3

Во время работы этого командлета будут установлены необходимые бинарники кластерной службы Windows, проверен сервер hq-mbx3, если проверка пройдёт успешна, то он будет добавлен в группу доступности. Так же будет создан объект-компьютер в AD для нашей группы доступности HQ-DAG. Если компьютеры при создании должны помешаться не в стандартный контейнер domain/Computers, то необходимо предварительно объект-компьютер создать и настроить как описано здесь. Так же во время работы этого командлета будут созданы объекты сети для группы доступности. Их можно немного откорректировать. Для начала посмотрим какие сетевые объекты созданы используя командлет:

Get-DatabaseAvailabilityGroupNetwork

Далее редактируем каждый объект:

Set-DatabaseAvailabilityGroupNetwork HQ-DAGDAGNetwork01 -Name MAPINetwork
Set-DatabaseAvailabilityGroupNetwork HQ-DAGDAGNetwork02 -Name ReplicationNetwork

Затем для сети MAPINetwork отключаем репликацию, которая по умолчанию включена для всех сетей:

Set-DatabaseAvailabilityGroupNetwork HQ-DAGMAPINetwork –ReplicationEnabled $false

После чего можно начинать создавать дополнительные почтовые базы, если это необходимо.


Пожалуй продолжим миграцию с Exchange 2007 на Exchange 2010.

Настройка WinNLB

NLB при установке компонентов, описанных в предыдущей статье мы поставили. Теперь необходимо настроить балансировщик для работы. Балансировщик будет обслуживать следующие протоколы: HTTPS (TCP 443), IMAP4s (TCP 993), POP3s (TCP 995), RPC Endpoint Mapper (TCP 135), Address Book Service (TCP 59595) и RPC Client Access (TCP 59596).

Для начала запускаем консоль Network Load Balancing Manager из административных утилит. И создаём новый кластер. Вводим имя нашего сервера, нажимаем кнопку Connect и выбираем сетевое подключение, которое будет использоваться балансировщиком. Continue Reading »

Буквально вчера вышел Enterprise Vault 10.0. Официальный пресс-релиз можно посмотреть здесь. Как обычно лицензия на новую версию доступна через портал лицензирования после апгрейда лицензии на версию EV 9.0. После получения лицензии на новую версию дистрибутив доступен для скачивания через портал fileconnect.

Из нового обещают следующее:

  • Data Classification Services. Позволяет добавлять информацию о важности и содержимом архивируемого объекта, что позволит более гибко настраивать политики хранения.
  • Новый тип поиска в Discovery Accelerator. Позволяет сужать область поиска по некоторым критериям, для его ускорения.
  • Архивирование данных соцсетей. Как я понял, предназначено это в первую очередь для дальнейшего поиска данных.
  • Более быстрый поиск и лучшая производительность. Индекс теперь 64-битный, что ускоряет его работу. Кроме этого появились некие дополнительные функции его настройки.
  • Возможность использовать для хранения архивов облака. Без комментариев.

Пока на этом всё. Дистрибутив, включая документацию, качается. Возможно напишу более подробно что же появилось нового. Но позднее.

dsquery group -name Executives | dsget group -members |
dsmod user -office Headquarter

Не так круто как в пошике, но впечатляет!

Святая ГораИдея поездки на Афон возникала ещё в марте этого года. Как я понял, спонтанно и неожиданно. Была задумана поездка на машинах до города Урануполиса (от которого отходит паром на Святую Гору) через Украину, Молдавию, Румынию и Болгарию. Планировали ехать на двух машинах вшестером. Как это случается, в последний момент все планы изменились. Между некоторыми участниками поездки возникла ссора, в итоге нас стало на двое меньше. Затем за 3 недели до отправления оказалось что ещё у одного человека истекает загранпаспорт и поменять его он не успел. В итоге нас осталось двое и полетели мы на самолёте до Салоников… Continue Reading »