Архив

Archive for the ‘Exchange 2010’ Category

Публикация ресурсного календаря Exchange 2013

ICal_IconМаленькая заметка как опубликовать календарь ресурсного ящика в формате iCalendar или HTML. Чтобы публиковать в таком виде календари пользователей необходимо предварительно настроить данную возможность, например здесь отлично описан этот процесс: http://www.stevieg.org/2010/06/calendar-sharing-improvements-coming-in-exchange-2010-sp1/

Но что если нам нужно опубликовать календарь ресурсного ящика в интернет? для этого нам необходимо сделать следующее:

1. Set-Mailbox -Identity ResourceMailbox -SharingPolicy SharingPolicyForInternet (назначим созданную ранее политику либо предварительно создадим новую например так New-SharingPolicy -Name SharingPolicyForInternet -Domains ‘Anonymous: CalendarSharingFreeBusySimple’ -Enabled $true)

2. Set-MailboxCalendarFolder -Identity ResourceMailbox:\Calendar -PublishEnabled $true

3. Get-MailboxCalendarFolder -Identity ResourceMailbox:\Calendar

из последней команды найдем ссылку для подключения календаря (ical или html) — теперь можно выслать данные ссылки для подключения ical либо просмотра через браузер.

P.S. Если у вас папка календаря на русском то замените в командах Calendar на Календарь (получится так ResourceMailbox:\календарь ).

Рубрики:Exchange 2010, Exchange 2013

Публикация CRL (certificate revocation list)

PKIProcessДанная статья описывает пример публикации CRL (certificate revocation list), в целях доступности их внешним клиентам, например мобильным клиентам lync, в случае когда для публикации вебслужб Lync используются сертификаты внутреннего CA. Данная статья предназначена для тех кому надо решить данную задачу, но не хочет лезть в дебри PKI 🙂

 

Что мы имеем:

  • Внутренний CA развернут и работает корректно
  • Запись во внешнем DNS(для публикации crl по этому имени), например ca.company.ru
  • Возможность обеспечить доступ к серверу CA (или другой публикующий web server) из Интернета по порту 80/TCP (HTTP). Например можно использовать IIS ARR который мы развернули в прошлых статьях для публикации вебслужб Lync. Просто добавим новую ферму (Server Farm) участником которой будет сервер CA и добавим новое правило(URL Rewrite) для запросов типа ca.* (для нашего примера).

Итак, приступим:

  1. На веб сервере (у нас CA) создадим папку, например c:\CRLDistribution . Дать на нее серверу CA NTFS права на модификацию. Расшарить директорию и дать серверу CA или группе Everyone права на модификацию. crl1crl2
  2. Откройте Internet Information Services (IIS) Manager (на сервере CA). Далее правой кнопкой по Default Web Site и выберете Add Virtual Directory. Заполните поле ALIAS например – CRLD, и выберете директорию из пункта 1. crl3
  3. Выберете созданную виртуальную директорию. Справа выберете и зайдите в Directory Browsing, и включите его (Enable справа в поле action)
  4. Выберете созданную виртуальную директорию. Справа выберете и зайдите в Configuration Editor, выберете в поле section значение system.webServer/security/requestFiltering. Ниже в поле allowDoubleEscaping выберете для него true. crl4         Это необходимо для доступа к файлам, содержащим в имени знак ‘+’. Такой знак генерируется в имени файла, содержащего Delta CRL. Без этого при попытке доступа к файлу Delta CRL сервер будет в любом случае возвращать Error 404 (даже при наличии файла). В нашем случае необходимо также выставить данный флаг и на IIS ARR: Default Web Site\Request Filtering\Edit Feature Settings\Allow double escaping
  5. Перейти на СА и открыть оснастку управления СА (Administrative Tools > Certificate Authority). Войти в свойства CA и перейти на вкладку Extensions. Нажать кнопку Add. В поле Location ввести следующее:
  6. file://\\CA01\CRLDistribution\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    Необходимо для автоматической публикации crl в нужной папке. Где \\CA01\CRLDistribution — UNC-путь к директории, а CA01 — имя, по которому веб-сервер доступен внутри сети(в нашем случае это корпоративный CA).
    Нажать ОК, выделить в списке эту строку и установить:
    Publish CRLs to this location
    Publish Delta CRLs to this location
  7. Добавить еще одну строку(по этому пути внешние клиенты будут искать наши crl). При этом CA.company.ru – fqdn имя по которому сервер доступен из сети интернет. CRLD – это ALIAS виртуальной директории.
    http://CA.company.ru/CRLD/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    Нажать ОК, выделить в списке эту строку и установить:
    Include in CRLs. Clients use this to find Delta CRL locations.
    Include in the CDP extension of issued certificates
  8. crl5
  9. Сохранить изменения. Согласиться с перезапуском службы СА
  10. В оснастке управления СА щелкнуть правой кнопкой на Revoked Certificates и выбрать All tasks -> Publish. В директории на веб-сервере появились два файла — CLR и Delta CLR. Если по этому действию возникают ошибки то они зачастую связаны с отсутствием прав на директорию размещения файлов crl. Еще раз перепроверьте правильно ли вы дали доступ к папке. Возможно помогут статьи с technet http://social.technet.microsoft.com/wiki/contents/articles/3081.ad-cs-error-the-directory-name-is-invalid-0x8007010b-win32http-267.aspx и http://technet.microsoft.com/en-us/library/cc726342(v=WS.10).aspx
  11. Теперь нужно перевыпустить сертификаты для наших публикуемых сервисов. Например для Lync: необходимо перевыпустить сертификаты для ReverseProxy и Edge. Открыть свойства новых сертификатов и на вкладке Details проверить содержимое поля CLR Distribution Points. Там должен фигурировать соответствующий URL, ссылающийся на публичный FQDN веб-сервера.
  12. Проверить доступность CRL из интернет. Например пройдя в нашем случае по ссылке http://ca.company.ru/crld/ вы должны увидеть все файлы в этой директории, попробуйте скачать их. Если скачивается значит все работает как надо. crl6
  13. Примечание: Для использования сертификатов, выданных внутренним CA, с сервисами, доступными из интернет (различные веб службы, например веб службы Lync), необходимо, чтобы публичные сертификаты корневого центра сертификации и всех подчиненных CA были помещены в хранилище Доверенные корневые центры сертификации / Trusted root certification authorities и клиентам были доступны CRL(списки отзыва сертификатов), публикуемые этими центрами сертификации. На мобильных клиентах Lync также необходимо устанавливать корневой сертификат.
  14. Пример из практики для чего нужна данная публикация CRL.

Исходные данные: В организации развернут Lync, используются сертификаты внутреннего CA. Администратор решил организовать доступ мобильных клиентов Lync из сети интернет. Опубликовал веб службы в интернет с помощью IIS ARR, использовал для публикации сертификаты выпущенные внутренним CA. Установил Lync client 2013 на свой смартфон с ОС WP8, установил корневой сертификат своего CA и успешно подключился, после этого свернул приложение. На следующее утро администратор вызвал из фона приложение Lync но приложение не могло подключиться, помогал только выход из клиента путем разлогирования, при этом появлялось сообщение что связь с сервером разорвана. Данная проблема повторялась каждый раз после длительного периода нахождения в фоне(около 4-6 часов).

Причины: поиск мобильным клиентом списков отзыва сертификатов (CRL)

Решение проблемы: публикация CRL, заново опубликовать веб службы Lync с новыми сертификатами (где есть новая точка распространения CRL)

Profit!

Памятка по созданию сертификатов SSL для Exchange 2010/2013 (локальный CA)

exchange2

В данной памятке предполагается:

  • Использование доменного центра сертификации на базе Windows Server, на котором опубликован шаблон сертификата типа WebServer (он публикуется по умолчанию).
  • Все действия производятся с помощью Exchange Management Shell (EMS). Способ с использованием ECP не рассматривается.
  • Предполагается наличие всех необходимых прав.

Последовательность команд:

1. $Data = New-ExchangeCertificate -server SERVERFQDN -SubjectName “c=RU, o=ORGNAME, cn=SERVERFQDN” -generaterequest -friendlyname “Exchange Cert for WEB Services” -domainname [все FQDN через запятую без пробелов] -PrivateKeyExportable $true

Указать следующие имена SAN(параметр -domainname):
— короткое (NetBIOS) название сервера(например EX-CAS1);
— все FQDN, по которым к серверу получают доступ пользователи и приложения, как внутренние, так и внешние (через Интернет), например EX-CAS1.contoso.local; OWA.contoso.com ;
— имя autodiscover.AD_DOMAIN_FQDN (например autodiscover.contoso.com);

Запрос должен быть создан на сервере Exchange, на котором впоследствии будет импортирован соответствующий сертификат (использовать параметр -server)

2. Set-Content -path “c:\cert\EXcertreq.txt” -Value $Data

3. certreq -attrib “CertificateTemplate:WebServer” -attrib “Exportable:TRUE” -submit c:\cert\EXcertreq.txt c:\cert\EXcert.cer

будет отображено окно с запросом, к какому из перечисленных в нем СА
отправлять запрос — выбрать тот на котором опубликован шаблон сертификата
веб-сервера

4. Import-ExchangeCertificate -Server SERVER_FQDN -FileData ([Byte[]]$(Get-Content -Path c:\cert\EXcert.cer -Encoding byte -ReadCount 0))

Импортируем в Exchange сертификат

5. Get-ExchangeCertificate -Server SERVER_FQDN | fl

Узнаем THUMBPRINT

6. Enable-ExchangeCertificate -Server SERVER_FQDN -thumbprint THUMBPRINT -services
“SMTP,IIS,POP,IMAP”

Назначаем сертификат

7. Get-ExchangeCertificate -Server SERVER_FQDN

Проверяем

 

Есть гибридный способ:

— делаем через ECP запрос на сертификат (файл.req)

certreq -attrib “CertificateTemplate:WebServer” -attrib “Exportable:TRUE”  — выбираем наш запрос req, получаем сертификат

— импортируем на exchange

Рубрики:Exchange 2010, Exchange 2013

Расчет требований при внедрении Exchange 2010

Расчет требований к оборудованию при внедрении Exchange 2010exchange2

При внедрении Exchange возникает вопрос — сколько ресурсов необходимо выделить для нормальной работы? При этом нас интересует не только нормальная работа серверов, но и пользователей. Для этого используются следующие средства:

Exchange Server Jetstress 2010

Средство Jetstress предназначено для имитации ввода-вывода Exchange на уровне базы данных путем прямого взаимодействия с технологией базы данных расширенного обработчика хранилищ (ESE), также известного как Jet, на базе которого создана система Exchange. Средство Jetstress можно настроить для тестирования максимальной пропускной способности ввода-вывода, доступной для дисковой подсистемы, в соответствии с необходимыми ограничениями производительности Exchange. Кроме того, оно может принимать необходимый профиль числа пользователей и количества операций ввода-вывода в секунду на каждого пользователя, а также проверять способность дисковой подсистемы поддерживать приемлемый уровень производительности с таким профилем. Тестирование Jetstress может использоваться для проверки надежности и производительности хранилища перед развертыванием серверов Exchange.  Подробнее на technet http://technet.microsoft.com/en-us/library/ff706601(EXCHG.141).aspx

Скачать Jetstress можно по следующим ссылкам:

x32 — http://www.microsoft.com/en-us/download/details.aspx?id=20054

x64 — http://www.microsoft.com/en-us/download/details.aspx?id=4167

Exchange Server Load Generator 2010

Средство Load Generator (LoadGen) предназначено для создания имитированной рабочей нагрузки клиента в тестовом развертывании Exchange. Эта рабочая нагрузка может использоваться для оценки производительности Exchange и для анализа эффективности различных изменений конфигурации в поведении и производительности Exchange, когда система находится под нагрузкой. В документации по средству LoadGen описываются способы настройки и выполнения нагрузочного теста на сервере Exchange. Средство LoadGen может имитировать работу Microsoft Office Outlook 2003 (в Интернете и в кэше), Outlook 2007 (в Интернете и в кэше), протоколов POP3, IMAP4, SMTP, ActiveSync и клиента Outlook Web App. Оно может использоваться для создания рабочей нагрузки на отдельный протокол. Также эти клиентские протоколы могут использоваться вместе для создания рабочей нагрузки на несколько протоколов.

Необходим для:

  • Проверка развертываний
  • Вычисление времени ответа клиентского компьютера для конфигурации сервера под клиентской нагрузкой
  • Подсчет количества пользователей на сервер
  • Определение узких мест на сервере

Скачать Load Generator можно по следующим ссылкам:

x32 версия  — http://www.microsoft.com/en-us/download/details.aspx?id=16135

x64 версия — http://www.microsoft.com/en-us/download/details.aspx?id=20322

Exchange 2010 Mailbox Server Role Requirements Calculator

Данное средство позволит правильно спроектировать систему хранения для почтовых серверов. Средство представляет собой файл в формате Excel. В данном файле существует несколько закладок. Заполняя таблицы вводными данными вы получаете расчет по требованиям к оборудованию и конфигурации.

Более подробно о Exchange 2010 Mailbox Server Role Requirements Calculator можно узнать по следующим ссылкам:

Скачать последнюю версию Exchange 2010 Mailbox Server Role Requirements Calculator можно по следующей ссылке: http://blogs.technet.com/b/exchange/archive/2010/01/22/updates-to-the-exchange-2010-mailbox-server-role-requirements-calculator.aspx

Полезные ссылки по внедрению, проверке, расчету требований Exchange 2010

—          Помощник по развертыванию Exchange Server — http://technet.microsoft.com/ru-ru/exdeploy2010/default(EXCHG.150).aspx#Index

—          Анализатор подключений — https://www.testexchangeconnectivity.com/

—          Инструмент расчета процессора для сервера почтовых ящиков Exchange 2010 — http://blogs.technet.com/b/exchange_ru/archive/2011/04/13/exchange-processor-query-tool.aspx

Рубрики:Exchange 2010
Заметки ИТ инженера

Мои заметки, связанные с профессиональной деятельностью в сфере Информационных Технологий

IT in realworld

о технологиях Microsoft, или кратко обо всем. Active Directory and other stuff.