Переключение https-трафика

После того как новые серверы настроены и подготовлены для приёма пользовательских почтовых ящиков наступает время, когда необходимо веб-клиентов переключить на новые серверы. Новые серверы, в случае необходимости, сами будут проксировать клиентов, находящихся на серверах Exchange 2010 на старые серверы.

Делается это достаточно просто – меняется a-запись в dns, которая является точкой подключения веб-клиентов. В нашем случае это webmail.o365lab.pro. Она должна указывать на VIP балансировщика, который отвечает за обработку веб-трафика для Exchange 2016. После изменения схема лабы будет выглядеть следующим образом:

Согласно схеме все веб-клиенты (OWA/ActiveSync/Outlook Anywhere) будут ходить на новые серверы MBX161/162, которые будут проксировать подключения клиентов на старые серверы MBX101/102. MAPI-клиенты Outlook будут продолжать ходить на старые серверы MBX101/102. Для них ничего не изменится.

Миграция почтовых ящиков

После этого можно начинать миграцию почтовых ящиков. При миграции есть несолько тонких моментов:

  • Ящики пользователей нужно мигрировать в первую очередь. Связано это с тем, что если ящик пользователя находится на сервере Exchange 2010, а ресурсный/общий почтовый ящик уже на сервере Exchange 2016, то могут наблюдаться различные проблемы с доступом к ресурсному/общему почтовому ящику
  • Необходимо настроить автоматический перезапуск следующих IIS-пулов на серверах Exchange 2016 на время миграции: MSExchangeAutodiscoverAppPool, MSExchangeRpcProxyAppPool, MSExchangeServicesAppPool. Например, на перезапуск через минуту. Связано это с тем, что после миграции ящика, информация служб автообнаружения, EWS, RPC-прокси на новых серверах обновляется не сразу, а по мере сброса кэша пулов, которые отвечают за работу этих служб. Кэш сбрасывается не сразу. Например, для службы автообнаружения на текущий момент срок жизни кэша составляет 4 часа. А это значит, кто клиент, после миграции может до 4 часов получать с серверов Exchange 2016 информацию о том, что он должен подключаться к серверам Exchange 2010. Соответственно, в течение этого времени клиент не сможет подключить свой Outlook.
  • При миграции происходит конвертация данных почтового ящика в новый формат почтовой базы, что приводит к незначительному росту размера конкретного объекта в ящике. Если таких объектов много (сотни тысяч, например), то это напрямую повлияет на финальный размер ящика на сервере Exchange 2016. И если финальный размер превысит ограничения на размер ящика, то миграция ящика завершится с ошибкой. Выхода всего два: увеличивать ограничения на размер ящика либо удалять старые данные из исходного ящика, чтобы уменьшить количество объектов в нём.

Полезные ссылки:
Outlook stays disconnected after migrating mailbox from Exchange 2010 to Exchange 2013 SP1
Миграция на Exchange 2016: настройка новых серверов
Миграция на Exchange 2016: танцы с бубном вокруг IIS
Client Connectivity in an Exchange 2016 Coexistence Environment with Exchange 2010

Ситуация: имеется общий почтовый ящик с включенными опциями копирования исходящих писем и в ящик отправителя и в общий почтовый ящик:

Get-Mailbox shared_mailbox | fl MessageCopy*

MessageCopyForSentAsEnabled       : True
MessageCopyForSendOnBehalfEnabled : True

Однако, при отправке писем с общего ящика исходящие письма в папку Sent Items общего ящика не попадают. Беглый обзор свойств почтового ящика выявил, что по какой-то причине он принимает почту только от пользователей, прошедших аутентификацию:

Get-Mailbox shared_mailbox | fl *auth*

RequireSenderAuthenticationEnabled : True

После выключения

Set-Mailbox shared_mailbox -RequireSenderAuthenticationEnabled $false

проблема уходит.

Полезные ссылки:
Want more control over Sent Items when using shared mailboxes?

Очередная встреча UC² под номером 24 состоится уже на этой неделе, 30 числа, как обычно с 18-00 до 21-00. Встреча будет проходить и в ОНЛАЙН-режиме и в МТЦ. А вот кто будет выступать:

  • Артём Синицын (Microsoft, руководитель программ информационной безопасности в Центральной и Восточной Европе)

Тема: Двойное гражданство: современные сценарии аутентификации и авторизации на земле и в небе.

Сегодня мы с Вами живем в мире, где облачные вычисления и мобильные технологии являются главными трендами и формируют направления развития бизнеса. Вместе с тем, благодаря именно этим двум трендам, традиционный подход к реализации процедур аутентификации и авторизации доступа не совместим с современными реалиями. Современные сценарии доступа к данным на земле и в облаках подразумевают новую парадигму, методы, алгоритмы и протоколы.
В рамках встречи мы обсудим, почему традиционные методы аутентификации и авторизации теряют свою актуальность. Узнаем, какие компоненты дизайна современных систем аутентификации и авторизации являются обязательными. Рассмотрим современные протоколы аутентификации (OAUTH и OpenID Connect), реализацию их поддержки в продуктах компании Microsoft, таких как Azure Active Directory (AAD), Azure Multi-Factor Authentication, Active Directory Directory Services (ADDS), Active Directory Federation Services (ADFS), и вопросы безопасности, связанных с их использованием.

  • Евгений Григоренко (Microsoft Россия, Technical Evangelist), Олег Коверзнев (Microsoft Россия, Director of Product Marketing, Office Group

Тема доклада: Эффективные внутренние коммуникации организации на базе Microsoft Teams и Bot Framework

Доклад посвящен видению темы внутренних коммуникаций организации на базе технологий Office 365 c особым упором на использовании Microsoft Teams и встроенных в него возможностей построения чат-ботов.

Регистрация на встречу как обычно тут.